Digital Services Act e trattamento dei dati personali: regole per una maggiore tutela delle persone

Il Digital Services Act (abbreviabile come “DSA”), ovvero la proposta di normativa sui servizi digitali presentata nel dicembre 2020 dalla Commissione Europea, con la sua portata innovativa è ancora lungi dall’essere consolidata in un testo definitivo e poter facilitare la concretizzazione del lungamente auspicato Digital Single Market, oltre che del futuro digitale dell’Europa come si andrà a disegnare nel progetto comunitario 2020-2024.

Non da ultimo è intervenuto l’EDPS, ovvero il Garante europeo della protezione dei dati che fa rispettare la protezione dei dati personali nell’ambito delle istituzioni e degli organi comunitari.

L’ente ha rilasciato contestualmente due opinioni, la prima sulla coeva proposta di Digital Markets Act, la seconda proprio sul Digital Services Act. Ci occuperemo di seguito della seconda, per i diversi maggiori profili di interesse circa la protezione dei dati personali.

Il Digital Services Act quanto al trattamento dei dati personali

Partiamo da un chiarimento sull’intersecarsi della data protection con la normativa in parola.

Il testo del DSA si occupa di disciplinare, secondo la Commissione Europea, “l’innovazione, la crescita e la competitività e facilitano l’espansione delle piattaforme più piccole, delle PMI e delle startup. Le responsabilità degli utenti, delle piattaforme e delle autorità pubbliche sono riequilibrate in base ai valori europei, ponendo al centro i cittadini. Le norme proteggono meglio i consumatori e i loro diritti fondamentali online, istituiscono un quadro efficace e chiaro in materia di trasparenza e responsabilità delle piattaforme online, promuovono l’innovazione, la crescita e la competitività all’interno del mercato unico”.

Pertanto, il testo definitivo non dovrà presentare il fianco a possibili rischi per i diritti e le libertà degli interessati oltre che della tutela dei consumatori, nel coniugarsi con lo sviluppo del mercato digitale.

La stessa Commissione riassume così i nuovi obblighi previsti:

• “misure per contrastare beni, servizi o contenuti illeciti online, come un meccanismo per consentire agli utenti di segnalare tali contenuti e alle piattaforme di collaborare con “segnalatori attendibili”;
• nuovi obblighi in materia di tracciabilità degli utenti commerciali nei mercati online, per contribuire a identificare i venditori di beni illegali;
• garanzie efficaci per gli utenti, compresa la possibilità di contestare le decisioni prese dalle piattaforme in merito alla moderazione dei contenuti;
• misure di trasparenza per le piattaforme online su vari aspetti, compresi gli algoritmi utilizzati per le raccomandazioni;
• obbligo per le piattaforme di grandi dimensioni di prevenire qualsiasi abuso dei loro sistemi adottando interventi basati sul rischio e sottoponendo le proprie attività di gestione del rischio ad audit indipendenti;
• accesso dei ricercatori ai dati chiave delle piattaforme più grandi per capire l’evoluzione dei rischi online;
• una struttura di vigilanza che rifletta la complessità dello spazio online: i Paesi dell’UE svolgeranno il ruolo principale, sostenuti da un nuovo Comitato europeo per i servizi digitali; per le piattaforme di grandi dimensioni, la Commissione interverrà per potenziare la vigilanza e l’applicazione delle norme”.

Già tale elencazione fa intuire i tanti profili potenzialmente critici nei quali il testo normativo si addentra.

Oltretutto il testo vuole modificare alcune regole già vigenti, come la Direttiva 2000/31/CE, integrandone invece altre come il GDPR e la Direttiva ePrivacy 2002/58/CE (in sede essa stessa di revisione a opera della proposta di nuovo Regolamento).

Ecco, dunque, perché il parere dell’EDPS interviene proprio per bilanciare le esigenze espresse dal testo con i diritti e valori fondamentali dell’Unione, come quelli sorvegliati dalle normative sulla protezione dei dati personali, e non permettere contraddizioni con le tutele esistenti.

Le osservazioni critiche dell’EDPS

L’EDPS rilascia il 10 febbraio scorso la sua “Opinion 1/2021 on the European Commission’s proposal for a Digital Services Act”. Da subito precisa che il contesto disciplinato può far sorgere rischi non solo per le persone ma “per la società nel suo complesso”.

In particolare, quando la norma si focalizza sulle grandi piattaforme online, oggetto di disposizioni ad hoc: si menzionano gli ormai noti rischi che i big player si portano dietro, come ad es. la disinformazione generata dagli algoritmi e lo sfruttamento dell’attenzione degli utenti con tecniche, anche capziose e ingannevoli, per ottenere più dati possibili ed estendere il tracciamento comportamentale (ad es. si veda il dibattito sui dark pattern).

Secondo l’EDPS il DSA, così come proposto, include sì disposizioni per promuovere trasparenza e responsabilità da parte delle piattaforme ma sarebbero insufficienti nel porre rimedi ex post: invece si dovrebbe colpire ex ante la fonte dei rischi sopra detti, con misure aggiuntive rispetto a quelle presentate.

La tutela verso tali big player non va sottovalutata, difatti l’EDPS sottolinea come “gli obblighi proposti incombenti sulle piattaforme possono in pratica aumentare la dipendenza dalle piattaforme nella salvaguardia dei valori pubblici. Le piattaforme devono giustamente essere ritenute responsabili dei danni sociali derivanti dalle attività sotto il loro controllo. È inoltre opportuno che le piattaforme si assumano la responsabilità, ad esempio, dei contenuti che promuovono l’abuso di minori e di altri soggetti vulnerabili”.

Detto questo, l’EDPS comunque ricorda che la protezione dei dati personali non è assoluta, le interferenze sono ammissibili se bilanciate con altri valori e che dunque è possibile arrivare a una regolamentazione che permetta comunque il fiorire di un’economia digitale anche attraverso l’uso delle predette piattaforme online.

Le specifiche proposte dell’EDPS

In breve, possiamo schematizzare come seguono le principali proposte e osservazioni dell’EDPS per la revisione del testo del DSA:

• Contenuti illeciti (anche penalmente) e obbligo generale di loro monitoraggio: l’EDPS rileva che nel DSA non sussiste un obbligo di monitoraggio o di accertamento attivo di tali contenuti a carico delle piattaforme, tuttavia se ne incentiva l’attività di moderazione: tale attività dovrebbe rispettare la minimizzazione dei dati personali, senza identificare gli utenti o trattare tali dati, inoltre si dovrebbero specificare ulteriormente in quali circostanze gli sforzi per combattere i contenuti illeciti legittimano il trattamento dei dati personali (in particolare quando potrebbero comportare l’uso di mezzi automatizzati); l’EDPS propone di imporre a tutti i fornitori di servizi di hosting – non solo alle piattaforme online – di fornire un meccanismo di reclamo facilmente accessibile, anche per segnalare i predetti contenuti.
• Informazioni sulla moderazione dei contenuti: il DSA prevede oneri informativi a carico degli intermediari online, qualora intendano rilevare, identificare e affrontare contenuti o informazioni illecite incompatibili con le proprie condiziono contrattuali – ciò può portare a risultati come ad es. la disabilitazione dell’accesso all’account o la rimozione di contenuti; l’EDPS chiarisce che le informazioni da fornire in merito sono da considerare complementari agli oneri informativi del GDPR e delle altre normative, e accoglie con favore il fatto che annualmente una piattaforma debba pubblicare una relazione sulla moderazione dei contenuti, inclusi gli eventuali metodi automatizzati adottati (che non dovrebbero produrre risultati discriminatori o ingiustificati), aggravata – per i big player – dai risultati delle valutazione dei rischi, delle misure di mitigazione e di audit esterni, a documentare e permettere di sorvegliare il possibile impatto degli strumenti adottati verso gli interessati; l’EDPS raccomanda di specificare che la profilazione ai fini della moderazione dei contenuti dovrebbe essere vietata, a meno che il fornitore non sia in grado di dimostrare che tali misure sono strettamente necessarie per far rispettare i rischi sistemici identificati dal DSA; inoltre andrebbe chiarito se e in che misura i prestatori di servizi digitali siano autorizzati a notificare volontariamente i sospetti di reato alle autorità giudiziarie.
• Pubblicità online: il DSA impone alle piattaforme online di garantire che i destinatari del servizio possano identificare, per ogni annuncio specifico, la persona fisica o giuridica per conto della quale viene visualizzato l’annuncio, oltre alle informazioni significative sui principali parametri utilizzati per determinare il destinatario verso cui viene visualizzato l’annuncio – i big player devono ulteriormente rendere disponibile al pubblico, attraverso interfacce di programmazione delle applicazioni, un archivio di tali informazioni, nonché altre informazioni per una maggior trasparenza; l’EDPS auspica persino norme aggiuntive che vadano oltre la trasparenza, verso un’eliminazione graduale che porti al divieto di pubblicità mirata sulla base di un monitoraggio pervasivo – in ogni caso, raccomanda di prevedere restrizioni circa le categorie di dati che possono essere trattati a fini di targeting, quelle in base alle quali gli annunci possono essere notificati e quelle che possono essere comunicate a inserzionisti o terzi per consentire o facilitare la pubblicità mirata; si invoca una novità, cioè l’EDPS desidera che la piattaforma informi gli interessati se l’annuncio è stato selezionato utilizzando un sistema automatizzato (ad esempio, scambio di annunci o piattaforma) e, in tal caso, l’identità della persona fisica o giuridica o delle persone giuridiche responsabili di tale sistema.
• Sistemi di raccomandazione/suggerimento: il DSA li definisce come sistemi completamente o parzialmente automatizzati, “utilizzati da una piattaforma online per suggerire, nella sua interfaccia online, informazioni specifiche ai destinatari del servizio, anche a seguito di una ricerca avviata dal destinatario o che determina in altro modo l’ordine relativo o l’importanza delle informazioni visualizzate”; non di solo “suggerimento” si tratta, difatti possono utilizzare algoritmi per classificare e dare priorità alle informazioni, distinguere elementi nel testo o in altre rappresentazioni visive, con relativo impatto circa i dati personali e relativa profilazione; per l’EDPS si deve chiarire che – conformemente ai requisiti privacy by design e by default – i sistemi di raccomandazione non dovrebbero, per impostazione predefinita, basarsi sulla “profilazione” ai sensi del GDPR; andrebbero previsti requisiti supplementari, ovvero:
  1. indicare nella piattaforma il fatto che questa utilizza un sistema di raccomandazione e fornire controlli con le opzioni possibili, disponibili in modo intuitivo;
  2. informare l’utente se il sistema di raccomandazione è un sistema decisionale automatizzato e, in tal caso, l’identità della persona fisica o giuridica responsabile della decisione;
  3. consentire agli interessati di visualizzare, in modo user-friendly, qualsiasi profilo utilizzato dalla piattaforma;
  4. consentire ai destinatari del servizio di personalizzare i sistemi di raccomandazione, in base a criteri di base (ad es. argomenti di interesse);
  5. per fornire agli utenti un’opzione, facilmente accessibile, per eliminare qualsiasi profilo utilizzato dalla piattaforma.
• L’accesso da parte di ricercatori controllati: il DSA prevede all’art. 31 che su richiesta motivata di determinati enti e soggetti, i big player forniscano, entro un termine ragionevole, l’accesso ai loro dati verso “ricercatori controllati”, al solo scopo di condurre ricerche che contribuiscano all’identificazione e alla comprensione dei rischi sistemici per i diritti individuali e per gli interessi sociali sopra detti; l’EDPS suggerisce di ridefinire tali rischi, includendovi ogni “effetto negativo sistemico” effettivo o prevedibile sulla protezione della salute pubblica, dei minori, del discorso civico o degli effetti effettivi o prevedibili relativi ai processi elettorali e alla sicurezza pubblica, in particolare in relazione al rischio di manipolazione intenzionale (automatizzata o meno) dei loro servizi; l’EDPS si spinge oltre, consigliando al legislatore di agevolare la ricerca nell’interesse pubblico più in generale, al di fuori del contesto di monitoraggio del DSA come previsto attualmente.
• Interoperabilità della piattaforma: considerato che una maggiore interoperabilità ha il potenziale per facilitare lo sviluppo di un ambiente più aperto e pluralistico, oltre a creare nuove opportunità per lo sviluppo di servizi digitali innovativi, l’EDPS incoraggia l’introduzione di requisiti minimi di interoperabilità per le piattaforme dei big player, con obblighi espliciti a sostegno dell’interoperabilità, nonché di non adottare misure che ostacolino tale interoperabilità, proponendo altresì di elaborare a livello europeo le norme tecniche sull’interoperabilità, conformi al diritto comunitario in materia di protezione dei dati, senza abbassare il livello di sicurezza fornito dalle piattaforme e non ostacolando l’innovazione attraverso standard troppo dettagliati e così controproducenti.
• L’attuazione, la cooperazione, le sanzioni e l’applicazione: l’EDPS chiude la sua analisi con indicazioni su tali aspetti, ad es. sulla complementarità nella supervisione della vigilanza delle piattaforme online e di altri fornitori di servizi di hosting, proponendo di fare riferimento nel testo del DSA alle autorità competenti nel settore del diritto della concorrenza nonché all’EDPB e alla necessaria collaborazione, anche tramite scambio documentale e informativo, tra le autorità ed enti coinvolti.