Il Digital Services Act: tra responsabilità e governance. Commento alla proposta di Regolamento

Il Digital Services Act tra responsabilità e governance.

Commento alla proposta di Regolamento

di

Alberto Gambino e Davide Tuzzolino

 

 

La proposta di Regolamento sul Digital Services Act (DSA) disciplina i servizi digitali. In questa categoria sono ricompresi, inter alia, i servizi degli intermediari online, come quelli relativi all’accesso ad internet, i servizi cloud, le piattaforme online, gli intermediari di contenuti, di merci o i servizi messi a disposizione da terzi.

La proposta riporta disposizioni rivolte a tutti gli intermediari, gli hosting services e le piattaforme online. Queste ultime sono definite dall’art. 2 come un provider of a hosting service which, at the request of a recipient of the service, stores and disseminates to the public information, unless that activity is a minor and purely ancillary feature of another service and, for objective and technical reasons cannot be used without that other service, and the integration of the feature into the other service is not a means to circumvent the applicability of this Regulation.

La questione del riesame dell’architettura giuridica del regime di responsabilità degli intermediari era una delle tematiche più sentite della consultazione.  Tuttavia, il testo proposto, da questo punto di vista, non sembra particolarmente innovativo, in quanto viene ripresa la tripartizione, già presente nella Direttiva 2000/31/CE (Direttiva e-commerce o ECD), tra servizi mere conduit, caching e hosting, in un sistema di responsabilità condizionata, nonché il riferimento al general monitoring ban (artt. 3,4,5 e 7). La novità si rinviene nell’esplicita impregiudicata permanenza del c.d. safe harbour in caso di indagini volontarie o richieste dalla legge (c.d. good samaritan actions) da parte dei provider.

Rilevante è la distinzione della disciplina tra obblighi di due diligence specifici per tutti i provider di servizi di intermediazione, per i servizi di hosting, per le piattaforme online e per quelle che sono definite “very large online platform”. Detti obblighi sono informati ad una logica progressiva e cumulativa, che intende sommare gli obblighi della categoria precedente a quella successiva, secondo l’ordine riportato in precedenza.

Scendendo nel dettaglio, la prima categoria, i servizi di intermediazione, dovranno stabilire un punto di contatto unico (point of contact) per agevolare l’interazione con il sistema di governance previsto. Anche i provider che non hanno stabilimenti negli Stati membri, ma che offrono i propri servizi nell’UE, dovranno designare un rappresentante legale (legal representative). A tali obblighi si accompagnano quelli di definizione dei termini e condizioni di utilizzo dei servizi offerti e di report dell’attività di rimozione di contenuti.

A questi se ne aggiungono ulteriori per la seconda categoria, i provider dei servizi di hosting, che dovranno implementare meccanismi di notice and action, dovendo fornire, in caso di rimozione o disabilitazione, opportuna motivazione (statement of reasons).

Seguendo il sistema progressivo e cumulativo delineato dalla proposta, alle piattaforme online – con l’eccezione, come già osservato, di quelle appartenenti a micro o piccole imprese, come definite dall’annesso alla Raccomandazione 2003/361/CE – dovranno rispettare obblighi aggiuntivi rispetto a quelli stabiliti per i provider dei servizi di intermediazione e per gli hosting provider, e predisporre un sistema interno di gestione dei reclami contro le decisioni assunte in ordine alla sospensione, disabilitazione o rimozione di contenuti – illegali o contrari ai termini e condizioni – caricati dai loro utenti.

Le piattaforme online dovranno inoltre garantire priorità alle istanze avanzate dai trusted flagger ed informare le autorità di contrasto competenti nel caso in cui pervengano informazioni che diano adito a sospetti di reati gravi che minacciano la vita o la sicurezza delle persone. La medesima sezione, se approvata, obbligherà le piattaforme ad informarsi al principio Know Your Business Customer, compiendo sforzi ragionevoli, a tutela dei consumatori, per valutare l’affidabilità dei professionisti.

Tali disposizioni sono compendiate da vincoli di trasparenza riguardanti la pubblicazione report sulle loro attività di rimozione e disabilitazione, sulle informazioni riguardanti professionisti e, infine, sulla pubblicità online.

Si disciplinano, da ultimo, i vincoli delle “very large online platform” per gestire i rischi sistemici. In ossequio ad un principio di accountability che assieme al principio di responsibility compone il binomio a cui la proposta di Regolamento risulta informata, viene previsto che queste effettuino il risk assessment, almeno una volta all’anno, sui rischi de qua, attività propedeutica all’adozione di misure di mitigazione, secondo il dettato dell’art. 27.

La categoria in esame sarà altresì sottoposta ad audit esterni ed indipendenti e sarà soggetta ad obblighi specifici qualora utilizzino il recommender system o mostrino annunci pubblicitari sulla loro interfaccia. Le piattaforme sistemiche dovranno essere assoggettate ad ulteriori doveri di report in materia di trasparenza.

Altre disposizioni riguardano la disclosure dei dati delle piattaforme molto grandi a favore dei competenti organi di governance – previa specifica richiesta motivata e per un periodo di tempo ragionevole e definito – ai soli fini del monitoraggio e della valutazione dei livelli di compliance con il Regolamento. La disclosure potrà essere estesa, alle medesime condizioni ed entro i medesimi limiti di tempo, ai c.d. vetted researcher (soggetti esperti affiliati alle istituzioni accademiche ed estranei ad interessi commerciali), per sole finalità di ricerca, ai fini dell’identificazione e della comprensione dei rischi sistemici.

La proposta riporta la figura del compliance officer, che dovrà essere necessariamente nominato nelle piattaforme online molto grandi per un monitoraggio “dall’interno” della compliance in materia di DSA. Tale ruolo potrà essere svolto da una o più figure designate, in possesso delle necessarie qualifiche professionali. Il compliance officer dovrà essere come indipendente, nonostante sarà possibile nominare anche un membro dello staff, in alternativa al conferimento dell’incarico ad un soggetto esterno mediante contratto. I suoi compiti si estenderanno alla cooperazione ed al raccordo con le autorità competenti per lo scopo del Regolamento.

Sono infine previsti ulteriori obblighi di due diligence trasversali – e che quindi tutte le categorie dovranno rispettare – per implementare standard armonizzati e per lo sviluppo di codici di condotta.

 

La riflessione della proposta di riforma si è estesa anche alla struttura della governance, alla sorveglianza dei servizi digitali in ambito nazionale ed europeo, nonché agli strumenti per rafforzare la cooperazione tra le autorità al fine di una vigilanza efficace dei servizi.

Vi sono notevoli novità in punto di governance. Viene contemplata un’autorità designata ad applicare il regolamento, il Digital Services Coordinator (DSC), un gruppo consultivo, l’European Board e la possibilità di intervento della Commissione europea in determinati casi.

Il DSC viene descritto come un’autorità scelta dai singoli Stati membri, per l’applicazione e l’enforcement del Regolamento proposto, che coopererà con le altre authorities nazionali, le DSC degli altri Stati membri – per coordinamento ed operazioni congiunte – il Board e la Commissione, e che dovrà svolgere i suoi compiti in modo imparziale, trasparente e tempestivo. Detta autorità dovrà disporre di adeguate risorse tecniche, finanziarie ed umane.

Il DSC potrà ricevere reclami contro i provider di servizi di intermediazione per la violazione degli obblighi stabiliti dal Regolamento e svolgere indagini, colloqui ed ispezioni in loco. La competenza del DSC (rectius, jurisdiction) si incardinerà nel luogo dello stabilimento principale del provider (principio del paese d’origine).

Al DSC saranno garantiti poteri specifici descritti dall’art. 41, tra cui: (a) quello di accettare impegni da parte dei provider, (b) di ordinare la cessazione delle violazioni ed imporre rimedi proporzionati, (c) di imporre sanzioni, (d) di imporre penalità di mora periodiche, (e) di imporre misure provvisorie.

Anche il DSC sarà soggetto a vincoli di trasparenza da soddisfare attraverso la pubblicazione annuale di un report sulla propria attività.

Il Board è definito come un advisory group indipendente, composto da officials di alto livello dei DSC di vari Stati membri, che dovrà coordinare i DSC e la Commissione per questioni emergenti e per la supervisione delle piattaforme più grandi. Avrà dunque funzioni consultive.

La Commissione assumerà un ruolo centrale nel controllo delle piattaforme più grandi, che dovranno essere sottoposte ad una vigilanza rafforzata qualora venissero violati gli obblighi precipui di tali intermediari.

In caso di non conformità con le previsioni rilevanti del Regolamento proposto, con le misure provvisorie ordinate dalla Commissione o con gli impegni presi con questa, la medesima potrà adottare la non-compliance decision a cui occorrerà adeguarsi entro un termine ragionevole.

Anche la Commissione avrà poteri di controllo – potendo svolgere indagini, colloqui e ispezioni – e sanzionatori – potrà irrogare sanzioni pecuniarie e penalità di mora periodiche – esercitabili ed eseguibili entro dei termini di prescrizione individuati, rispettivamente, dagli artt. 61 e 62.

La proposta riporta inoltre le disposizioni procedurali da seguire innanzi la Commissione e le modalità di cooperazione di quest’ultima con le corti nazionali.

Da ultimo, è prevista l’istituzione di un sistema condiviso di informazioni tra Coordinator, Board e Commissione.

Dalla lettura della proposta di Regolamento, recentemente presentata, si percepisce l’intento di voler conferire un’impronta europea peculiare alla disciplina dei servizi digitali. Emerge un modello caratterizzato dall’accountability dei provider, con obblighi di due diligence a longitudine variabile e che raggiunge la sua massima estensione per le very large online platform.

Il modello di governance è altamente innovativo ed articolato e sembra voglia rappresentare il contrappeso al laissez-faire alla due diligence.

Nello scorrere le pagine della nuova proposta, si percepiscono gli echi del GDPR in un’architettura che presenta, con gli opportuni distinguo, alcune similarità.

È interessante constatare che, dal punto di vista sistematico, il dialogo con il diritto derivato attualmente in comunicazione con l’ECD, rebus sic stantibus, sarà senz’altro facilitato dal mantenimento delle categorie di carrying, caching e hosting. Una riprova di ciò è senz’altro offerta dall’art. 71 della proposta, che prevede l’abrogazione degli articoli da 12 a 15 dell’ECD e la contestuale sostituzione dei riferimenti a tali disposizioni rispettivamente agli artt. 3, 4, 5 e 7 del testo proposto. Questo renderà più facile il raccordo con l’art. 28-ter della Direttiva (UE) 2018/1808 sui servizi di media audiovisivi, con l’art. 17 della Direttiva 2019/790 sul diritto d’autore e sui diritti connessi nel mercato unico digitale e, fermo il testo della proposta, con il Regolamento relativo alla prevenzione della diffusione di contenuti terroristici online.

 

 

 

La redazione di DIMT rimanda al webinar organizzato e coordinato da IAIC – Italian Academy of the Internet Code, del 15 dicembre 2020 “Digital Services Act. Tra responsabilità e governance.”: