Digital Services Act: dal 17 febbraio le nuove regole sui servizi digitali si applicano a tutti i prestatori di servizi intermediari

Il Digital Services Act (Regolamento (UE) 2022/2065 relativo a un mercato unico dei servizi digitali - per brevità anche “DSA”), insieme al Digital Markets Act (Regolamento (UE) 2022/1925 relativo a mercati equi e contendibili nel settore digitale - “DMA”)[1], costituiscono il c.d. “Digital Services Package”, ovvero il pacchetto di norme con il quale l’Unione europea ha inteso (i) creare uno spazio digitale più sicuro in cui siano tutelati i diritti fondamentali di tutti gli utenti dei servizi digitali, e (ii) creare condizioni di parità per promuovere l’innovazione, la crescita e la competitività, sia nel mercato unico europeo che a livello globale. Infatti, il DSA e il DMA rappresentano il tentativo dell’Unione europea di regolare il potere delle grandi società tecnologiche e di promuovere la concorrenza nel mercato digitale.

Con il presente contributo, si approfondiranno unicamente le principali novità del DSA con specifico riferimento ai prestatori di servizi intermediari con meno di 45 milioni di utenti attivi. Quanto invece ai VLOPs e VLOSE, si rimanda al nostro precedente articolo “DSA: European Commission designated 19 Very Large Online Platforms and Search Engines”.

In generale, il DSA nasce a seguito della necessità di stabilire una serie mirata di norme obbligatorie, uniformi, efficaci e proporzionate a livello europeo al fine di tutelare e migliorare ilfunzionamento del mercato interno, stabilendo le condizioni per lo sviluppo e l’espansione di servizi digitali innovativi. Il regolamento si basa essenzialmente su tre fattori chiave:

• la responsabilità dei prestatori di servizi intermediari, i quali saranno soggetti a nuove regole per la rimozione di contenuti illegali e nocivi;
• i diritti dei consumatori, che risultano rafforzati, in particolare per quanto riguarda la trasparenza delle informazioni sui prodotti e la protezione dei dati personali; e
• la concorrenza. Il DSA mira, infatti, a promuovere la concorrenza nel mercato digitale, in particolare attraverso la promozione dell’interoperabilità tra i servizi digitali e la prevenzione dell’abuso di posizione dominante.

Il DSA è entrato in vigore il 16 novembre 2022, inizialmente con applicazione parziale ai soli gatekeepers, ovvero quelle piattaforme digitali che ricoprono un ruolo sistematico nel mercato interno (con più di 45 milioni di utenti attivi), comprendendo sia le piattaforme online di grandi dimensioni (“VLOPs”), sia i motori di ricerca online di grandi dimensioni (“VLOSEs”), così come individuate dalla Commissione europea ai sensi dell’art. 33 del DSA.

A partire dal 17 febbraio 2024, invece, il DSA ha cominciato ad applicarsi a tutti i prestatori di servizi intermediari nell’UE,quindi anche alle piattaforme o ai motori di ricerca con meno di 45 milioni di utenti attivi.

Ma cosa sono i servizi digitali?

I servizi digitali comprendono un’ampia gamma di servizi online, dai semplici siti web, ai servizi di infrastruttura Internet, alle piattaforme online. Vi rientrano, ad esempio, mercati online, social network, piattaforme di condivisione di contenuti, app store e piattaforme di viaggio e alloggio online.

Nello specifico, il DSA si applica ai servizi intermediari, per tali intendendosi, ai sensi dell’art. 3(1) lett. g) del DSA:

1. servizio di semplice trasporto (“mere conduit”), il quale consiste nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, o nel fornire accesso a una rete di comunicazione;
2. servizio di memorizzazione temporanea (“caching”), il quale consiste nel trasmettere, su una rete di comunicazione, informazioni fornite dal destinatario del servizio, che comporta la memorizzazione automatica, intermedia e temporanea di tali informazioni al solo scopo di rendere più efficiente il successivo inoltro ad altri destinatari su loro richiesta;
3. servizio di memorizzazione di informazioni (c.d. “hosting”), il quale consiste nel memorizzare informazioni fornite da un destinatario del servizio su richiesta di quest’ultimo. In quest’ultima definizione, rientra anche il concetto di piattaforma online.

Quali obblighi introduce il DSA per i prestatori di servizi intermediari?

Dal 17 febbraio tutti i prestatori di servizi intermediari sono tenuti ad adeguarsi alle norme che impongono trasparenza su algoritmi e pubblicità, a quelle che promuovo la lotta alla violenza online e alla disinformazione, nonché alle norme a protezione dei minori e a quelle che vietano la profilazione degli utenti utilizzando dati sensibili.

In termini generali, il DSA suddivide gli obblighi in base alla tipologia di prestatori di servizi intermediari, prevedendo rispettivamente:

1. gli obblighi applicabili a tutti i prestatori di servizi intermediari (artt. 11-15 del DSA);
2. gli obblighi aggiuntivi applicabili ai prestatori di servizi di memorizzazione di informazioni, comprese le piattaforme online (artt. 16-18 del DSA);
3. gli obblighi applicabili ai fornitori di piattaforme online (artt. 19-28 del DSA);
4. gli obblighi aggiuntivi per i fornitori di piattaforme online che consentono ai consumatori di concludere contratti a distanza con gli operatori commerciali (le “piattaforme e-commerce” o “marketplace”) (artt. 29-32 del DSA);
5. gli obblighi supplementari per VLOPs e VLOSEs (artt. 33-43 del DSA).

A. Gli obblighi applicabili a tutti i prestatori di servizi intermediari

Le prime disposizioni, previste nella Sezione I del Capo III del DSA, sono applicabili indistintamente a tutti i prestatori.

Si tratta, nello specifico, del dovere di istituire punti di contatto per le Autorità degli Stati Membri, Commissione e Comitato (art. 11 del DSA) e un punto di contatto per i destinatari del servizio (art. 12 del DSA).

Inoltre, tutti i prestatori di servizi intermediari sono tenuti a specificare (in modo conciso, intellegibile e accessibile) nelle condizioni generali di contratto le informazioni riguardanti le restrizioni che impongono sull’uso dei loro servizi, tra cui le politiche, le procedure, le misure e gli strumenti utilizzati ai fini della moderazione dei contenuti, incluso il processo decisionale algoritmico e la verifica umana. Le condizioni generali devono altresì prevedere modelli di reclamo interni e meccanismi di risoluzione stragiudiziale delle controversie.

I prestatori di servizi intermediari sono altresì tenuti ad agire in modo diligente, obiettivo e proporzionato, tenendo conto dei diritti e degli interessi di tutte le parti coinvolte.

Infine, grava sui prestatori di servizi intermediari l'obbligo di pubblicare, almeno una volta l’anno, relazioni esplicite sull’attività di moderazione dei contenuti. Tali relazioni dovranno contenere: il numero di ordini ricevuti, il numero di segnalazioni presentate, l’utilizzo di strumenti automatizzati e il numero di reclami ricevuti.

B. Gli obblighi aggiuntivi per i prestatori di servizi di memorizzazione di informazioni

Per tali figure è previsto l’obbligo di istituire un meccanismo per le segnalazioni di contenuti illegali per via elettronica. Le decisioni che devono far seguito alle segnalazioni dovranno essere tempestive, adottate diligentemente ed in modo non arbitrario e obiettivo. Inoltre, laddove i prestatori di servizi di memorizzazione di informazioni, utilizzino strumenti automatizzati per i processi di trattamento delle segnalazioni o nell’adozione delle relative decisioni, devono informare la persona o l’ente che ha presentato la segnalazione dell’uso automatizzato di tali strumenti.

Nel caso in cui i prestatori di servizi di memorizzazione intendano adottare una misura restrittiva, essi dovranno altresì fornire a tutti i destinatari del servizio interessati una motivazione chiara e specifica, corredata da una serie di informazioni (ad esempio, devono esporre i fatti e le circostanze su cui si basa, le informazioni su eventuali strumenti automatizzati utilizzati o quelle sui mezzi di ricorso a disposizione del destinatario).

Inoltre, in caso di sospetto sulla commissione di un reato, il prestatore dovrà immediatamente informare le competenti autorità giudiziarie.

C. Gli obblighi aggiuntivi applicabili ai fornitori di piattaforme online

Le piattaforme online sono una sottocategoria rispetto ai prestatori di servizi di memorizzazione. Con esse si indicano i social network o quelle piattaforme che consentono ai consumatori di concludere contratti a distanza con operatori commerciali, i.e. le piattaforme e-commerce (o marketplace).

Il DSA precisa che, al fine di evitare oneri sproporzionati per microimprese o piccole imprese (come definite dalla Raccomandazione 2003/361/CE[2]), le stesse non saranno soggette agli obblighi previsti dagli artt. 19 a 28 del DSA per le piattaforme online.

Oltre agli obblighi generali (i.e. predisposizione di un sistema interno per la gestione dei reclami e previsione della facoltà di risolvere stragiudizialmente le controversie), i fornitori di piattaforme online:

• devono adottare una corsia preferenziale per le segnalazioni ricevute dai c.d. segnalatori attendibili, ossia un ente (e mai una persona fisica) – di natura pubblica, o un’organizzazione non governativa, o organismi privati o semipubblici, come le associazioni dei consumatori – che il coordinatore dei servizi digitali (per l’Italia, l’Autorità per le garanzie nelle comunicazioni – “AGCOM”) riconosce come tale in quanto ha dimostrato, tra l’altro, di disporre di capacità e competenze particolari nel contrasto ai contenuti illegali e di svolgere le proprie attività in modo diligente, accurato e obiettivo;
• in aggiunta alle informazioni relative alle relazioni annuali sulle attività di moderazione dei contenuti prescritte per tutti i prestatori, devono indicare anche il numero di controversie sottoposte agli organismi di risoluzione delle controversie, i risultati delle stesse, il tempo medio per il loro espletamento e il numero di sospensioni applicate. Inoltre, ogni sei mesi, devono pubblicare per ciascuna piattaforma e per ciascun motore di ricerca, informazioni circa il numero medio mensile di destinatari attivi del servizio nell’UE;
• devono progettare, organizzare e gestire le interfacce in modo che i destinatari dei servizi offerti non vengano ingannati o manipolati o in modo che le loro capacità nell’assumere decisioni libere e informate non siano materialmente falsate o compromesse. Si tratta, cioè, del divieto dei c.d. dark patterns (modelli di progettazione ingannevoli), ovvero interfacce e percorsi di navigazione concepiti per influenzare l’utente, spesso sfruttando pregiudizi cognitivi affinché intraprenda azioni inconsapevoli o non desiderate.
• Nel caso in cui presentino pubblicità sulle proprie interfacce, sono altresì tenuti a fare in modo che i destinatari siano in grado di identificare in modo chiaro, conciso, inequivocabile e in tempo reale:
  • se l’informazione è una pubblicità;
  • la persona, fisica o giuridica, per conto della quale viene presentata;
  • la persona, fisica o giuridica, che finanzia la pubblicità, se diversa da quella per conto della quale viene prestata;
  • indicazioni su parametri utilizzati per determinare il destinatario a cui viene prestata e alla modalità di modifica di tali parametri.
• Devono rispettare l’obbligo di trasparenza sul sistema di raccomandazione dei contenuti (i.e. i sistemi di suggerimento): devono, cioè, dichiarare in modo chiaro e trasparente quali sono i parametri utilizzati nonché qualunque opzione a disposizione dei destinatari del servizio che gli consenta di modificare o influenzare tali parametri principali.
• Nel caso di piattaforme accessibili anche ai minori, devono rispettare l’obbligo di adottare misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, della sicurezza e della protezione dei minori. Qualora il fornitore della piattaforma online sia invece a conoscenza della minore età dell’utente, è fatto divieto di procedere alla pubblicità basata sulla profilazione.

D. Gli obblighi aggiuntivi per i fornitori di piattaforme e-commerce

Come precisato nel paragrafo precedente, sebbene nel DSA non ne sia presente una definizione specifica, le piattaforme e-commerce rientrano nella categoria dei servizi di memorizzazione.

Il DSA precisa che, al fine di evitare oneri sproporzionati per microimprese o piccole imprese, le stesse non saranno soggette agli obblighi aggiuntivi previsti dagli artt. 29 a 32 del DSA per i fornitori di piattaforme e-commerce.

Fondamentale, in questo ambito, è l’obbligo di tracciabilità degli operatori commerciali. Esso si basa sul nuovo principio “KYBC – know your business client” ed impone alle piattaforme e-commerce di progettare e organizzare la propria interfaccia online in modo da permettere agli operatori commerciali di rilasciare ai consumatori tutta una serie di informazioni (quali, a titolo esemplificativo, nome, indirizzo, numero di telefono dell’operatore commerciale, eventuale registro delle imprese a cui è iscritto l’operatore, autocertificazione dell’operatore commerciale con cui si impegna ad offrire solo prodotti o servizi conformi alle norme dell’UE) in modo chiaro, facilmente accessibile e comprensibile. L’obiettivo è quello di rendere chiaro al consumatore che l’operatore commerciale da cui compra è un ente diverso dal marketplace.

I marketplace hanno altresì l’obbligo di valutare l’affidabilità delle informazioni loro fornite dagli operatori commerciali. Infatti, laddove il fornitore della piattaforma e-commerce si accorga che le informazioni ricevute siano inesatte, incomplete o non aggiornate, ovvero abbia ragione per ritenerlo, deve chiedere all’operatore commerciale di porre rimedio a tale situazione senza indugio. Se quest’ultimo non adempie, il fornitore della piattaforma e-commerce dovrà sospendere la prestazione del suo servizio finché l’operatore commerciale non ottempera alla richiesta.

Per i fornitori di marketplace è altresì previsto l’obbligo di progettare e organizzare la loro interfaccia online fin dal principio (c.d. by design): l’obiettivo è quello di consentire agli operatori commerciali di adempiere agli obblighi per essi previsti dal diritto dell’UE in relazione alle informazioni precontrattuali, alla conformità e sicurezza dei prodotti, fornendo ai consumatori tutte le necessarie richieste di informazioni per l’identificazione dei prodotti e servizi offerti.

Infine, sono previsti anche obblighi di informazione: i fornitori di piattaforme e-commerce dovranno, entro sei mesi da momento in cui ne sono venuto a conoscenza, informare i consumatori che il prodotto o il servizio da loro acquistato è illegale, rendendoli altresì edotti dell’identità dell’operatore commerciale e di qualsiasi mezzo di ricorso attivabile.

Nei prossimi mesi la Commissione provvederà alla messa in atto della normativa sui servizi digitali insieme alle Autorità Nazionali, che – come l’AGCOM – vigileranno sulla conformità delle piattaforme con sede nel loro territorio.

Nel frattempo, tutti gli operatori interessati sono tenuti ad adottare un piano di conformità coerente agli obblighi imposti.

In caso contrario, e, dunque, in caso di violazione degli obblighi previsti dal DSA, le sanzioni, ai sensi dell’art. 52(3) del DSA, possono arrivare fino al 6% del fatturato annuo totale e i destinatari dei servizi digitali possono chiedere un risarcimento per danni o perdite subite a seguito di violazioni ad opera delle piattaforme, come previsto dall’art. 54 del DSA.

Le imprese dovranno altresì prestare attenzione a presentare informazioni corrette e complete, e/o a rettificare, laddove richiesto, le informazioni presentate, nonché all’assoggettamento ai sopralluoghi. In caso contrario, infatti, in questi casi, ai sensi dell’art. 52(3) del DSA, le sanzioni possono arrivare fino al 1% del reddito o del fatturato annuo del prestatore interessato.

[1] Per un’analisi più esaustiva del DMA si rinvia all’apposito contributo precedentemente scritto e disponibile qui.

[2] La categoria delle microimprese, delle piccole imprese e delle medie imprese (PMI) è costituita da imprese che occupano meno di 250 persone, il cui fatturato annuo non supera i 50 milioni di euro oppure il cui totale di bilancio annuo non supera i 43 milioni di euro.