Il 27 ottobre 2022 è stato pubblicato sulla Gazzetta ufficiale dell’UE il Regolamento UE 2022/206 (Digital Services Act) che, insieme al Digital Markets Act (DMA) già pubblicato, costituisce il Digital Services Act Package strumento fondamentale nell’ambito della strategia europea per il digitale.
Lo Scopo principale della normativa europea è duplice, da un lato implementare e garantire la trasparenza sulle operazioni e la prevenzione contro la disinformazione, dall’altro limitare le pratiche ingannevoli, il tutto nella prospettiva di accrescere e armonizzare le responsabilità delle piattaforme online e dei fornitori di servizi d’informazione.
Per quanto riguarda la protezione delle persone fisiche ed il trattamento dei dati personali, il regolamento UE 2022/206 sancisce espressamente che tale materia sia disciplinata unicamente dal regolamento (UE) 2016/679 (GDPR) e dalla direttiva 2002/58/CE.
Rispetto, infatti, all’ambito di applicazione del DSA (Digital Services Act) si evince come lo stesso sia finalizzato alla costituzione di nuove regole per l’economia digitale, l’equità e la contendibilità di mercati digitali e piattaforme online (social media e siti di e-commerce).
E’ proprio sulle piattaforme online che il legislatore comunitario si sofferma, evidenziandone i profili più critici legati all’elevato livello di rischio sociale a cui fruitori e utenti sono esposti. Di conseguenza, è stabilito che i fornitori di piattaforme online non debbano presentare inserzioni pubblicitarie basate sulla profilazione, ai sensi dell’articolo 4, punto (4), del regolamento (UE) 2016/679, utilizzando le categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del GDPR.
In quest’ottica il DSA si concentra sulle grandi piattaforme digitali (identificate con l’acronimo VLOPs – very large online platforms) e sui c.d. gatekeepers (grandi fornitori di servizi on line e motori di ricerca dotati di ampia capacità di filtrare e diffondere informazioni) stabilendo nei loro confronti specifici obblighi di moderazione e supervisione.
Tali tipologie di piattaforme infatti, in virtù della quantità di dati processati, di informazioni trattate, di utenti raggiunti e numero di interazioni, possono divenire strumento di diffusione di contenuti illegali e/o dannosi. Al fine di operare un controllo ed una limitazione di tali pericoli, il DSA prevede nuove disposizioni circa:
- le modalità di funzionamento degli algoritmi che suggeriscono all’utente nuovi contenuti conformi alle preferenze dallo stesso espresse;
- obblighi di preventiva valutazione del rischio di diffusione di disinformazione e contenuti dannosi;
- procedure di tutela dei diritti fondamentali degli utenti e di rimozione dei contenuti illegali(è previsto un meccanismo di c.d. “notice and action” o avviso e azione: una volta ricevuto l’avviso, si prevede che i fornitori di servizi di hosting debbano attuare misure di sicurezza “senza indebito ritardo, tenendo conto del tipo di contenuto illegale che viene notificato e dell’urgenza di agire”);
- misure per responsabilizzare gli utenti e la società civile, tra cui: la possibilità di contestare le decisioni di moderazione dei contenuti delle piattaforme e di richiedere un risarcimento, sia attraverso un meccanismo di controversia extragiudiziale che un ricorso giurisdizionale;
- misure per valutare e mitigare i rischi, quali l’obbligo per le VLOPs e i grandi motori di ricerca di intraprendere azioni basate sul rischio, per prevenire l’uso improprio dei loro sistemi, nonché l’obbligo di sottoporsi a audit indipendenti dei sistemi di gestione del rischio adottati nonché nuovi obblighi di vigilanza da parte della Commissione sulle VLOPs, con il supporto degli Stati Membri e del nuovo Consiglio Europeo per i servizi digitali;
- nuove garanzie per la tutela dei minori e limiti all’utilizzo dei dati personali sensibili per la pubblicità mirata (ossia il divieto di utilizzare determinati tipo di pubblicità mirata sulle piattaforme online per bambini o specifiche categorie di dati personali, come etnia, opinioni politiche, orientamento sessuale);
Detti obblighi si applicheranno a tutti i servizi digitali che forniscono ai consumatori beni, servizi o contenuti, ossia fungono da intermediari. La tipologia e quantità di obblighi muta, tuttavia, in base al ruolo, alla dimensione dell’azienda e all’impatto della stessa sull’ecosistema digitale.
Tra i servizi di intermediazione online destinatari del regolamento rientrano:
- servizi di intermediazione che offrono infrastrutture di rete: provider di accesso a Internet, servizi di registrazione di nomi di dominio;
- servizi di hosting come servizi di cloud computing e webhosting;
- piattaforme online che riuniscono venditori e consumatori come mercati online, app store, piattaforme di economia collaborativa e piattaforme di social media;
- piattaforme online e motori di ricerca molto grandi (VLOPs), che raggiungono oltre il 10% dei 450 milioni di consumatori nell’UE, che potrebbero parimenti comportare rischi particolari nella diffusione di contenuti illegali e danni sociali.
Il Digital Markets Act e le regole per i gatekeeper.
Le regole per i “gatekeeper” digitali, le grandi piattaforme che rivestono all’interno del mercato digitale un ruolo strategico di collegamento tra le aziende e i consumatori, sono espressamente riportate all’interno del Digital Markets Act.
La normativa europea si occupa innanzitutto di definire i gatekeeper come piattaforme online che offrono servizi di intermediazione, di advertising e pubblicità online, motori di ricerca, social media, piattaforme di condivisione video, messaggistica, browser web, assistenti virtuali, sistemi operativi, in grado di soddisfare requisiti di tipo sia qualitativo che quantitativo.
Dal punto di vista qualitativo la piattaforma dovrà esercitare una forte posizione economica e di intermediazione, nonché un impatto significativo sul mercato interno nonché attività in più paesi dell’UE. Dal punto di vista quantitativo dovranno essere soddisfatti, invece, criteri dimensionali quali: un fatturato annuo di almeno 7,5 miliardi di euro; una capitalizzazione di mercato di almeno 75 miliardi di euro; almeno 45 milioni di utenti finali mensili attivi; almeno 100.000 utenti commerciali con sede in UE nonché il controllo di almeno un’altra piattaforma di servizi.
Ai gatekeeper così identificati, il Digital Markets Act richiede di garantire trasparenza ed equità e , pertanto, disciplina una serie di obblighi quali: consentire a terzi di interagire con i propri servizi in determinate situazioni; consentire agli utenti aziendali di accedere ai dati generati dagli stessi durante l’utilizzo della piattaforma dei gatekeeper medesimi; garantire agli inserzionisti e agli editori l’accesso a tutti i dati relativi ai loro annunci in tempo reale e gratuitamente per assicurarsi di ottenere il miglior rapporto qualità-prezzo; consentire ai propri utenti business di promuovere la propria offerta e concludere contratti con i propri clienti anche al di fuori della piattaforma a condizioni simili ed infine di notiziare la Commissione Europea di acquisizioni e fusioni.
I gatekeeper dovranno, inoltre, garantire l’interoperabilità dei servizi di terzi con il loro hardware e software gratuitamente: allo stesso modo, gli utenti dovranno poter avanzare richieste di portabilità dei dati generati su un dispositivo o un’applicazione in via gratuita.
All’interno del DMA si prevede, inoltre, un’inversione dell’onere della prova: dovrà essere il gatekeeper a dimostrare la conformità al regolamento.
I meccanismi pubblicitari ed il divieto di dark patterns
Il regolamento sui servizi digitali (DSA) riserva particolare attenzione ai meccanismi pubblicitari ed alle forme di marketing e profilazione. La normativa comunitaria si focalizza sulle criticità del sistema marketing soprattutto legate all’utilizzo di tecniche di targeting “ottimizzate” su preferenze ed interessi dei fruitori. Tali tecniche sono sviluppate allo scopo di attirare/sfruttare le vulnerabilità dell’utente e, proprio in virtù della loro intrinseca forza manipolativa, possono avere un impatto negativo su interi gruppi e amplificare i danni sociali (come nel caso della diffusione di fake news, campagne di disinformazione o discriminazione).
In questa prospettiva occorre rilevare la previsione del divieto di utilizzo dei c.d. Dark Pattners o pratiche ingannevoli, cioè di tutte le pratiche poste in essere modo fraudolento per indurre gli utenti a compiere determinate scelte e attuare determinati comportamenti.
Dal punto di vista prettamente tecnico i dark patterns possono essere definiti come elementi dell’interfaccia progettati per disorientare l’utente e portarlo a compiere azioni indesiderate o a scoraggiare alcune sue scelte. I dark patterns nei quali più frequentemente gli utenti si imbattono sono i link per la disinscrizione nel footer di una newsletter a carattere minuscolo; una X difficile da notare o cliccare su un popup; un prodotto o servizio extra aggiunto al carrello in fase di checkout oppure presenza di messaggi che vogliono far sembrare non convenienti le scelte operate.
Dall’analisi delle tecniche di marketing e degli strumenti informatici maggiormente utilizzati sono emerse ben 12 diverse categorie di dark patterns in grado, dunque, di manipolare/indirizzare l’esperienza del fruitore. I più diffusi sono:
- i c.d. Disguised Ads ovvero annunci camuffati da altri tipi di contenuto per indurre a fare clic su di essi;
- i c.d. Trick questions moduli con domande che inducono a fornire risposte indesiderate;
- i c.d. Roach Motel processo di iscrizione/registrazione a siti o piattaforme eccessivamente semplici con vendita di servizi dai quali poi è invece eccessivamente difficoltoso cancellarsi (ad esempio un abbonamento premium);
- il c.d. Privacy Zuckering, processo che porta l’utente a a condividere pubblicamente più informazioni di quelle che vorrebbe veramente;
- l’applicazione dei c.d. Hidden Costs addebiti imprevisti, ad es. spese di spedizione, tasse, ecc. scoperti solo al momento finale del processo di checkout;
- l’inserzione da parte del sito, spesso tramite l’uso di una checkbox o di un link nascosto, di un articolo aggiuntivo nel carrello c.d. Sneak into Basket;
- la pratica del c.d. Confirmshaming ovvero l’atto di colpevolizzare l’utente per aver optato per una determinata scelta;
- la richiesta di e-mail o autorizzazioni per i social media al fine del raggiungimento del risultato desiderato dall’utente (ad esempio trovare amici), con successivo utilizzo dei dati forniti per l’invio di spam a tutti i contatti dell’utente a suo nome c.d. Friend Spam.
Il Digital Sistem Act ha previsto un periodo di sei mesi per l’adeguamento alle nuove disposizioni, pertanto a partire dal mese di maggio 2023, le VLOPs ed i gatekeeper che non si saranno adeguati saranno passibili di multe fino al 10% del proprio fatturato annuo mondiale totale aumentate fino al 20% in caso di recidiva. Alle sanzioni economiche si possono affiancare sanzioni amministrative, come il divieto di porre in essere acquisizioni.