Digital Service Package: come regolare le piattaforme digitali?

Autore: Dipartimento Advocacy (Luna Bianchi, Leila B. Mohamed, Luca Nannini, Eleonora Bonel)

Il 5 luglio 2022, al termine della sessione plenaria del Parlamento Europeo, è stato approvato il Digital Services Package, il primo set normativo composto dal Digital Service Act (DSA) e dal Digital Markets Act (DMA), volto a regolare rispettivamente i servizi e il mercato digitali al fine di creare uno spazio online più sicuro e aperto, fondato sul rispetto dei diritti fondamentali dei cittadini. I due regolamenti saranno direttamente applicabili negli Stati membri nei mesi successivi all’entrata in vigore in UE ed interverranno profondamente sull’attuale framework normativo digitale dell’Unione Europea.

Da dove nasce il Digital Package

Il DSA e il DMA sono tra i primi testi di legge a livello internazionale ad occuparsi della regolamentazione dello spazio digitale e, attraverso un meccanismo di responsabilizzazione delle piattaforme, intendono riequilibrare i rapporti di forza tra cittadini, legislatore e big tech.

Le preoccupazioni principali dei policy maker sono infatti legate da una parte alla posizione dominante di GAMAM (Google, Apple, Meta, Amazon e Microsoft) all’interno del mercato digitale europeo, e dall’altra alla crescita esponenziale del potere manipolatorio delle piattaforme sulla società, le cui conseguenze in termini di amplificazione di dinamiche di disinformazione e polarizzazione sociale sono oggi allarmanti.

Proprio nell’ottica di tutelare i consumatori e di favorire un sistema competitivo sano, l’Unione Europea ha quindi lanciato una serie di iniziative normative nell’ambito del programma “Shaping Europe’s Digital Future”, come appunto il Digital Services Package, soffermandosi in primis sui “gatekeepers”, le piattaforme digitali di grandi dimensioni che promuovono pratiche commerciali sleali e dannose a scapito degli utenti finali e dei player concorrenti, minando la concorrenza effettiva e l’affidabilità del mercato interno.

Gli aspetti innovativi del DSA

Il DSA ha l’obiettivo primario di regolare la fornitura di servizi digitali ponendo un freno alla diffusione di contenuti illegali e fake news e imponendo nuovi obblighi per le piattaforme online, nel rispetto dei diritti fondamentali, come la libertà di espressione e la protezione dei dati.

Di seguito le cinque principali novità introdotte:

1. Social media, marketplace e motori di ricerca saranno responsabili per qualsiasi contenuto, bene o servizio dannoso o illegale di cui permetteranno la circolazione, e dovranno pertanto adottare misure più stringenti per limitarne la diffusione a tutela del consumatore.

2. Le piattaforme saranno tenute a migliorare il proprio livello di trasparenza e ad implementare strategie precise per monitorare sia le modalità di acquisizione ed elaborazione delle informazioni degli utenti, sia il funzionamento dei loro sistemi di raccomandazione di contenuti. Questo si traduce, ad esempio, nel divieto di pratiche ingannevoli e di alcuni tipi di pubblicità mirata, come quella rivolta ai minori e quella basata su dati sensibili, e nella proibizione dei cosiddetti Dark Pattern – interfacce volte ad indurre
in modo implicito determinati comportamenti degli utenti a fini commerciali.

3. Le piattaforme online di grandi dimensioni (VLOP – very large online platforms) e i motori di ricerca online di grandi dimensioni (VLOSE – very large online search engines) dovranno, inoltre, rispettare obblighi più severi rispetto a soggetti con posizioni di mercato meno influenti. In primis il compito di identificare i cosiddetti “rischi sistemici” derivanti dai propri servizi, e proporre, a seguito di una valutazione di tale rischio, soluzioni per mitigarne gli impatti sociali ed ambientali. Revisori indipendenti saranno incaricati di valutare l’adeguatezza degli interventi proposti, tenendo in considerazione che con “rischio sistemico” si intende una categoria di conseguenze strutturali derivanti dalla diffusione su larga scala di contenuti illegali e dannosi, compresa la disinformazione, i discorsi di odio, la violazione dei diritti fondamentali e la manipolazione intenzionale volta ad influenzare il discorso pubblico e i processi elettorali. Come Privacy Network abbiamo richiesto che il “rischio sistemico” sia riconosciuto e incluso anche nel contesto dell’AI Act.

4. Il regolamento, sempre al fine di aumentare la trasparenza e ridurre gli squilibri di potere esistenti, impone alle piattaforme l’obbligo di mettere a disposizione delle istituzioni e dei ricercatori i propri algoritmi e i dati utilizzati in fase di sviluppo ed implementazione degli stessi, così da garantire un monitoraggio efficace del rispetto degli obblighi delle piattaforme e favorire lo sviluppo di un discorso pubblico più libero ed equo.

5. Un ultimo elemento fondamentale e necessario per evitare situazioni di incertezza applicativa, come avvenuto ad esempio con il GDPR, è la creazione di quadro di governance forte che garantisca un’attuazione efficace e uniforme degli obblighi previsti. In quest’ottica il DSA da una parte conferisce alla Commissione il potere esclusivo di vigilare su VLOP e VLOSE, e dall’altra impone alle piattaforme di pagare per la tale supervisione secondo il principio “chi inquina paga”.

I punti critici del DSA

Nonostante i diversi aspetti innovativi introdotti e l’esplicita volontà di promuovere un ambiente digitale libero, il DSA manca ancora delle salvaguardie necessarie a tutelare adeguatamente la libertà di espressione: il rischio, similmente a quanto già esposto in relazione al TERREG, è che l’applicazione dell’obbligo di adottare meccanismi di notice & action tempestivi porti le piattaforme ad implementare un approccio precauzionale e a rimuovere, per esigenze di compliance, anche contenuti legali. Un secondo aspetto rilevante riguarda proprio il divieto di utilizzare dati personali sensibili per la pubblicità mirata: l’ambito di applicazione è infatti limitato alle piattaforme che mostrano annunci ai propri utenti, escludendo ad esempio le cosiddette reti pubblicitarie presenti sui siti web comuni, che potranno continuare liberamente la propria attività di data-extraction. Allo stesso modo, il divieto relativo ai dark pattern e ai dark design traits non sembra applicarsi a cookie e banner di tracciamento (se non in violazione di altre normative come il GDPR o atte a portare un vantaggio diretto alla piattaforma). In ultimo, il DSA non prevede misure vincolanti che promuovano un’accessibilità realmente ampia ed inclusiva all’ambiente digitale. Nel testo il tema dell’accessibilità è infatti relegato all’ambito dei “codice di condotta”, lasciando quindi in mano alle aziende la definizione di misure adeguate a soddisfare le esigenze, ad esempio, delle persone con disabilità.

DMA: focus sui mercati digitali

Il DMA, dall’altra parte, ha un focus sul settore business-to-business (B2B) e impone obblighi specifici ai player digitali di grandi dimensioni, con l’obiettivo di promuovere un ambiente equo e trasparente, e di contrastare alcuni dei meccanismi più opachi e anti concorrenziali tipici dei mercati digitali.

Il testo introduce la definizione di Gatekeeper, intendendovi le piattaforme online di grandi dimensioni la cui posizione di dominanza sistemica all’interno del mercato europeo trasforma in “guardiani delle porte di accesso” allo spazio digitale, capaci di decidere tempi e modalità con cui i concorrenti possono accedere allo scambio di servizi online. Sostanzialmente, l’attuale economia digitale risulta viziata da un’evidente riduzione del grado di libera concorrenza e dal radicamento della posizione dominante di tali piattaforme, con conseguenze evidenti anche sui diritti dei consumatori.

Il DMA identifica alcuni parametri per identificare i gatekeepers: (i) le piattaforme che hanno un impatto significativo sul mercato interno, con un fatturato (o una capitalizzazione netta) annuo in UE di almeno 7,5 miliardi di euro; (ii) le piattaforme che contino mensilmente almeno 45 milioni di utenti finali e 10.000 utenti commerciali stabiliti nell’Unione Europea; e (iii) le piattaforme che detengano una posizione consolidata e duratura, ossia abbiano avuto un impatto significativo sul mercato interno e possano vantare il controllo dei punti di accesso per almeno tre anni consecutivi. Le PMI sono esonerate, salvo casi eccezionali, dalla qualifica di gatekeeper.

Per ridurre gli squilibri economici tra gli operatori commerciali e le big tech, il DMA introduce il divieto di implementare diverse tra le tipiche pratiche commerciali sleali o anticoncorrenziali, quali ad esempio il self-preferencing e il bundling, o l’utilizzo di dati di altre aziende a scapito dei concorrenti.

Il DMA include, inoltre, vincoli specifici per garantire maggiore competizione all’interno del mercato digitale, come l’obbligo di data sharing e di interoperabilità, e proibisce, a salvaguardia dell’autonomia dei consumatori online, il tracciamento degli utenti finali al di fuori dei servizi specifici della piattaforma, inserendo anche nuovi limiti nelle attività di matching dei dati.

In ultimo, le sanzioni previste per i gatekeeper in caso di violazione delle disposizioni del DMA sono piuttosto alte e ammontano fino al 10% del fatturato totale annuo a livello mondiale (20% in caso di recidiva). La Commissione Europea, incaricata del monitoraggio ed enforcement del regolamento, potrà inoltre decidere di avviare un’indagine di mercato e, se necessario, imporre ai gatekeeper rimedi di natura comportamentale o strutturale.

Conclusioni

Sebbene il DSA e il DMA siano ancora strumenti imperfetti, introducono alcuni concetti normativi nuovi, quantomeno in termini di regolamentazione digitale, quali la “responsabilità d’impresa” per la valutazione degli effetti sociali connessi alle modalità in cui i dati e le relative tecnologie vengono governati, ed il principio “chi inquina paga” fondamentale per orientarsi verso una sistema in cui le leggi non solo sono implementate, ma applicate e rispettate nella pratica.

Il Digital Service Package rappresenta, pertanto, l’ultimo atto di una strategia europea più ampia che mira a rendere l’ecosistema digitale più trasparente, equo e competitivo. Noi di Privacy Network continueremo a monitorare gli sviluppi del DSA e il DMA, anche rispetto ed in relazione alle altre normative in lavorazione presso l’Unione Europea, focalizzandoci sul rispetto degli obblighi previsti per le big tech, per garantire che tali regolamentazioni a tutela della concorrenza e dei consumatori non si ritorcano contro quest’ultimi.