GUIDE E HOW-TO

Digital Services Act: cos’è e ripercussioni su Big Tech e PMI

La normativa europea è già vincolante per i giganti dell’IT dal 25 agosto 2023 e per queste piattaforme sono previste le disposizioni più severe. Ma dal 17 febbraio 2024 il DSA riguarderà tutti i fornitori di servizi digitali che operano all’interno dell’Unione europea. Una guida dettagliata

Pubblicato il 25 Gen 2024

Patrizia Licata

Digital services act

È il 17 febbraio 2024 la data fissata per l’attuazione del Digital Services Act (DSA), la nuova legge europea rivolta ai fornitori di servizi digitali nell’Ue. Fa fa parte del più ampio impianto normativo con cui Bruxelles prova a regolare lo sviluppo dell’economia digitale nell’Unione, cercando un difficile equilibrio tra la tutela degli utenti, la difesa dei diritti, la concorrenza e lo stimolo all’innovazione.

L’equilibrio è reso complesso anche dalla presenza sul mercato delle grandi piattaforme, o Big Tech – definite dalla normativa come servizi con oltre 45 milioni di utenti unici in Europa – per le quali l’attuazione è già arrivata il 25 agosto 2023, con obblighi maggiori in quanto, afferma Bruxelles, i grandi servizi online comportano maggiori rischi.

Dal lato opposto, le microimprese e le piccole imprese avranno obblighi proporzionati alla loro capacità e alle loro dimensioni.

La base del Digital Services Act

La base del DSA, infatti, è la convinzione che, accanto ai grandi vantaggi di innovazione portati dai servizi online, vi siano anche rischi connessi alla diffusione di contenuti illegali, alla lesione dei diritti fondamentali, alla discriminazione, alla sicurezza pubblica e dei minori, alla democrazia, alla violenza, al benessere mentale e fisico.

Quanto più la piattaforma che offre servizi è diffusa e usata, tanto maggiori i rischi. Su questo punto le autorità sono particolarmente severe. Alcune Big Tech sono già state messe in guardia dalla Commissione europea e nei confronti di X e a dicembre 2023, è partita la procedura formale dell’esecutivo Ue per valutare se la ex Twitter abbia violato il Digital Services Act in merito alla gestione del rischio, la moderazione dei contenuti, i dark patterns, la trasparenza della pubblicità e l’accesso ai dati per i ricercatori.

Vediamo in dettaglio che cosa comporta l’attuazione del DSA.

Digital Services Act, la legge sui servizi digitali

La normativa sui servizi digitali disciplina intermediari e piattaforme online come marketplace, Social Network, piattaforme per la condivisione di contenuti, app store e piattaforme online per viaggi e alloggi.

L’obiettivo principale del DSA è prevenire le attività illegali e dannose online e la diffusione di notizie false, garantire la sicurezza degli utenti e proteggere i diritti fondamentali stabilendo norme chiare e proporzionate per le attività online. La legge promuove l’innovazione, la crescita e la competitività e facilita l’espansione delle piattaforme più piccole, delle pmi e delle start-up.

Nei prossimi mesi, la Commissione dovrà adottare una serie di atti delegati per contribuire all’attuazione e aumentare la certezza del diritto per guidare i piani di conformità. Ma, intanto, le imprese dovranno già lavorare a un piano di conformità.

Quali obblighi sono previsti per i fornitori di servizi digitali

I fornitori interessati dal Digital Services Act sono:

  • piattaforme online, motori di ricerca di grandi dimensioni e piattaforme online in genere, che riuniscono venditori e consumatori, come mercati online, app store, piattaforme dell’economia collaborativa e piattaforme dei social media;
  • servizi di hosting, che includono i servizi cloud e di webhosting (anche piattaforme online);
  • servizi di intermediazione che offrono infrastrutture di rete (fornitori di accesso a Internet e registrar di nomi di dominio).

Gli obblighi principali

Gli obbligi principali, comuni a tutte le tipologie, sono:

  • indicare in modo chiaro le condizioni di servizio e i relativi requisiti;
  • fornire informazioni esplicite sulla moderazione dei contenuti e sull’uso degli algoritmi per i sistemi di raccomandazione dei contenuti, che potranno comunque essere contestati dagli utenti;
  • adottare trasparenza nei sistemi di suggerimento e nelle pubblicità online rivolte agli utenti;
  • non utilizzare pubblicità mirata rivolta ai bambini o basata su dati sensibili degli utenti;
  • non utilizzare pratiche ingannevoli volte a manipolare le scelte degli utenti, compresi i dark pattern;
  • collaborare con le autorità nazionali se richiesto;
  • denunciare i reati;
  • creare un meccanismo di reclamo e ricorso e risoluzione extragiudiziale delle controversie;
  • adottare misure contro le segnalazioni e le repliche abusive;
  • controllare le credenziali di fornitori terzi, secondo il principio del “conosci il tuo cliente commerciale” (KYBC), anche attraverso controlli a campione.

Le Big Tech: più rischi, più obblighi

Il DSA classifica le piattaforme o i motori di ricerca che hanno più di 45 milioni di utenti al mese nell’Ue come piattaforme online di dimensioni molto grandi (VLOP) o motori di ricerca online di dimensioni molto grandi (VLOSE).

La Commissione ha iniziato a designare VLOP o VLOSE sulla base dei numeri di utenti forniti dalle piattaforme e dai motori di ricerca, che, indipendentemente dalle dimensioni, erano tenuti a pubblicare entro il 17 febbraio 2023.

Si tratta di quelle che raggiungono più del 10% dei 450 milioni di consumatori europei, quindi oltre 45 milioni di utenti nell’Ue. Le piattaforme e i motori di ricerca dovranno aggiornare queste cifre almeno ogni 6 mesi.

La designazione innesca norme specifiche per affrontare i “rischi particolari” che questi servizi di grandi dimensioni rappresentano per gli europei e la società quando si tratta di contenuti illegali e il loro impatto sui diritti fondamentali, sulla sicurezza pubblica e sul benessere.

Le piattaforme designate

L’elenco delle piattaforme designate è disponibile alla pagina Normativa sui servizi digitali: piattaforme online e motori di ricerca di dimensioni molto grandi.

Le prime 19 piattaforme sono state designate ad aprile 2023.

Come VLOP ci sono: Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter (allora si chiamava così, ora è X), Wikipedia, YouTube, Zalando.

Come VLOSE: Bing e Google Search. A dicembre ne sono state designate altre 3: Pornhub, Stripchat, XVideos.

Gli obblighi previsti

Tra gli obblighi più rigorosi previsti per queste piattaforme ci sono:

  • obblighi in materia di gestione dei rischi, di risposta alle crisi e di prevenzione di abuso dei propri sistemi;
  • condivisione dei propri dati chiave e dei propri algoritmi con le autorità e con i ricercatori autorizzati per comprendere l’evoluzione dei rischi online;
  • collaborazione nelle risposte alle emergenze;
  • codici di condotta specifici;
  • prevenzione dei rischi sistemici come la diffusione di contenuti illegali o con effetto negativo su diritti fondamentali, processi elettorali, violenza di genere, salute mentale;
  • obbligo di sottoporsi ad audit indipendenti, cioè alla verifica della correttezza dei dati di bilancio e delle procedure adottate;
  • abilitazione degli utenti al blocco delle “raccomandazioni” basate sulla profilazione.

La censura è, naturalmente, vietata, ma le piattaforme ora hanno il diritto di impostare in modo proattivo i processi di moderazione. Questo aspetto della normativa è stato particolarmente criticato dalle associazioni in difesa dei diritti fondamentali. Il perché è presto detto: i modelli ibridi di moderazione dei contenuti potrebbero diventare la norma, unendo strumenti automatici per identificare in modo proattivo i contenuti illegali, e le persone cui spetta la responsabilità della decisione finale.

La compliance: come si sta muovendo la Commissione europea

Bruxelles ha intanto ritenuto opportuno mettere sotto la lente la compliance di X: sulla base dell’indagine preliminare condotta dalla Commissione a fine 2023 sulla società di Musk, compresa un’analisi della relazione di valutazione del rischio presentata dalla piattaforma social a settembre, del rapporto di trasparenza pubblicato da X il 3 novembre e delle risposte di X a una richiesta formale di informazioni, che riguardava, tra l’altro, la diffusione di contenuti illegali nel contesto degli attacchi terroristici di Hamas contro Israele, la Commissione Ue ha deciso di avviare una procedura formale di infrazione contro X ai sensi del DSA.

A dicembre 2023 la Commissione europea ha anche inviato una richiesta di informazioni ad Apple e Google ai sensi del DSA per verificare la conformità dei rispettivi app store. A novembre la Commissione aveva chiesto chiarimenti a TikTok e Ali Expess: nel primo caso, per quanto riguarda le norme sulla protezione dei minori, nel secondo, in merito alla conformità alle regole sulla protezione dei consumatori contro i prodotti contraffatti.

Che cosa cambia per le PMI: i vantaggi

Tutti gli intermediari online che prestano i loro servizi nel mercato unico, con sede o meno nell’Ue, devono rispettare le nuove norme, incluse le PMI. Anche queste ultime, dunque, non potranno fare alcun tipo di pubblicità basata su dati sensibili come l’origine razziale o etnica, l’orientamento sessuale o le opinioni politiche.

I sistemi saranno tutti da riprogettare per “garantire un elevato livello di privacy, sicurezza e incolumità dei minori”, introducendo strumenti come la verifica dell’età e il controllo parentale. È vietato qualsiasi tipo di pubblicità mirata nei confronti dei bambini. E tutti gli utenti dei servizi online dovranno averela possibilità di rinunciare alla profilazione. Ma le piccole e le micro imprese sono esentate dagli obblighi più costosi, pur se restano libere di applicare le migliori pratiche, per il loro vantaggio competitivo.

La Commissione calcola che in Ue sono attive oltre 10mila piattaforme digitali e più del 90% sono piccole e medie imprese. E, se è vero che la compliance al Digital Services Act avrà un costo, nel mercato unico europeo resta più vantaggioso avere una normativa unica che doversi adeguare a una normativa frammentata in 27 mercati, afferma Bruxelles. Grazie al DSA, stima l’esecutivo europeo, il commercio digitale transfrontaliero nel mercato unico dovrebbe aumentare fino al 2%. I piccoli player avranno la certezza del diritto per sviluppare servizi e proteggere gli utenti dalle attività illegali e saranno supportati da standard, codici di condotta e linee guida.

Il sostegno allo scale-up

Viene, inoltre, dato sostegno allo scale-up: le esenzioni per le piccole imprese sono prorogate per 12 mesi dopo aver superato le soglie di fatturato e di personale che le qualifica.

“Le PMI e le startup dipendono dai termini e dalle condizioni delle grandi piattaforme per quanto riguarda il modo in cui i loro contenuti sono classificati e pubblicizzati e il modo in cui i loro canali di comunicazione attraverso le piattaforme sono moderati.

Le aziende non hanno accesso ai dati relativi ai loro consumatori e derivanti dalla loro attività su una piattaforma di gatekeeper, mentre tali dati consentono all’azienda di adattare la sua strategia di mercato. Ciò è problematico per le imprese in concorrenza diretta con un gatekeeper che può utilizzare tali dati nel proprio interesse. Il Digital Services Act renderà i processi interni delle piattaforme online più trasparenti e consentirà decisioni aziendali più informate”, si legge sul sito della Commissione europea.

Il DSA complementa con il Digital Markets Act (DMA), che “darà alle imprese l’accesso a determinati dati detenuti dai guardiani. Saranno anche in grado di scegliere tra diverse piattaforme dove offrire i loro servizi o prodotti. Avrebbero anche una maggiore possibilità di cambiare e combinare i servizi in base alle loro esigenze”.

Con il DSA, prosegue Bruxelles, le aziende utilizzeranno nuovi meccanismi semplici ed efficaci per segnalare contenuti e beni illegali che violano i loro diritti, compresi i diritti di proprietà intellettuale, o violano le norme sulla concorrenza. Si incentiva la conformità normativa al posto di misure volontarie.

L’attuazione del Digital Services Act e il ruolo di Agcom

La Commissione provvederà alla messa in atto della normativa sui servizi digitali insieme alle autorità nazionali, che vigileranno sulla conformità delle piattaforme con sede nel loro territorio. M, la Commissione europea ha ora il potere di monitorare e sanzionare l’elenco dei VLOP e dei VLOSE.

Ai sensi del DSA, infatti, la Commissione dispone sia di poteri investigativi che sanzionatori. Le compagnie saranno sottoposte a controlli indipendenti regolari, oltre alla rigorosa supervisione Ue. A partire dal 17 febbraio 2024, la Commissione può:

  • applicare ammende fino al 6% del fatturato annuo mondiale in caso di:
    • Violazione degli obblighi in materia di DSA
    • Mancato rispetto dei provvedimenti provvisori
    • Violazione degli impegni
  • applicare sanzioni periodiche fino al 5 % del fatturato medio giornaliero a livello mondiale per ogni giorno di ritardo nell’osservanza di misure correttive, misure provvisorie, impegni (a seguito della mancata conformità alla decisione del collegio che impone mezzi di ricorso, misure provvisorie o impegni vincolanti).

Come misura di ultima istanza, se l’infrazione persiste e provoca gravi danni agli utenti e comporta reati che comportano una minaccia per la vita o la sicurezza delle persone, la Commissione può chiedere la sospensione temporanea del servizio.

L’Autorità italiana per la Garanzia nelle Comunicazioni (Agcom) è stata nominata coordinatore dei servizi digitali per l’Italia e diventerà parte del comitato per i servizi digitali, che sarà istituito entro febbraio 2024, grazie all’accordo amministrativo sottoscritto lo scorso ottobre a sostegno dei poteri di vigilanza e di esecuzione della Commissione ai sensi del regolamento sui servizi digitali”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

  • SCENARI

    L’etica dell'Intelligenza Artificiale e le norme applicabili oggi, in attesa dell’AI Act

    26 Ott 2023

    di Sergio Fumagalli e Anna Cataleta

    Condividi

  • DATA PRIVACY

    Dati sanitari e attività giornalistica: presupposti e limiti della liceità del trattamento senza consenso e responsabilità solidale delle strutture sanitarie

    19 Set 2023

    di Stefania Pinaroli, Rebecca Rigon e Francesco Curtarelli

    Condividi

  • SCENARI

    La crescita del Legal Tech in Italia: una spinta innovativa tra entusiasmi e incertezze

    10 Lug 2023

    Condividi

Prossimo

L’etica dell'Intelligenza Artificiale e le norme applicabili oggi, in attesa dell’AI Act

Articolo 1 di 4