Dall’esenzione di responsabilità agli obblighi di due diligence: prospettive di eteroregolamentazione degli ISP attraverso il Digital Services Act
Gioele Abaldo, Alma Mater Studiorum – Università di Bologna
Keywords: responsabilità del provider, ISP attivo, Digital Services Act, responsabilizzazione
Introduzione
La rapida evoluzione telematica dell’ultimo decennio, che ha dato spazio ad un nuovo modo di vivere la realtà multimediale, ha definito una mutata figura di provider. La prima normativa europea che ha disciplinato la responsabilità dei providers è quella dettata dalla Direttiva sul commercio elettronico (Direttiva 31/2000/CE). Essa intervenne in un periodo in cui Internet era diverso da come lo conosciamo oggi. Non si voleva, allora, arrestare l’espansione della Rete attraverso una legislazione eccessivamente restrittiva. La Direttiva definisce tre diverse tipologie di providers (mere conduit, caching, hosting), differenziandoli in base all’attività concretamente svolta. Essi risultano essere esenti da un obbligo generale di sorveglianza sui contenuti, ma sono obbligati ad evitare il ripetersi di violazioni dello stesso tipo.
Lo sviluppo della Rete, accompagnato da quello delle nuove tecnologie, ha comportato un mutamento della figura dei providers. Essi non risultano più essere dei meri intermediari neutrali, ma svolgono un ruolo “attivo” rispetto ai contenuti che attraverso la Rete giungono agli utenti. Non può prescindersi dal fatto che il provider c.d. “passivo”, che svolge una mera attività di memorizzazione dei dati acquisiti dagli utenti della Rete, è un soggetto che dispone di un potere di gestione e controllo sempre più ampio
Il mutato ruolo dei providers nel contesto digitale non è sfuggito ai giudici nazionali e comunitari,[1] cui si deve l’introduzione della figura dell’hosting provider attivo. Di recente si è posta l’attenzione sul punto a livello europeo, attraverso la presentazione di una Proposta di Regolamento che tiene conto, in particolare, del ruolo proattivo imposto alle piattaforme di grandi dimensioni. L’Unione europea punta, in tal modo, a porsi quale attore di rilevanza globale con riferimento al proprio ecosistema digitale, in particolare rispetto alla tutela dei dati dei cittadini europei e della democrazia.
- L’attività di hosting nella Direttiva 31/2000/CE
La Direttiva eCommerce prevedeva ipotesi di esonero della responsabilità per i providers che erogavano servizi di mere conduit, caching e hosting, stabilendo inoltre il divieto per gli Stati membri di prevedere obblighi generali di sorveglianza volti ad individuare e prevenire lo svolgimento di attività illecite.
Le diverse tipologie di provider sono disciplinate dalla Direttiva rispettivamente agli articoli 12, 13 e 14, per il tramite di una disciplina “in negativo”[2], che individua le condizioni rispetto alle quali i providers non possono essere ritenuti responsabili.
L’attività di hosting è regolata dall’art. 14 della Direttiva 31/2000/CE. Essa consiste nella «memorizzazione di informazioni fornite da un destinatario del servizio». Il considerando 42 della Direttiva 31/2000/CE specifica che le deroghe alla responsabilità riguardano proprio l’ipotesi in cui «l’attività di prestatore di servizi della società dell’informazione si limiti al processo tecnico di attivare e fornire accesso ad una rete di comunicazione sulla quale sono trasmesse o temporaneamente memorizzate le informazioni messe a disposizione da terzi al solo scopo di rendere più efficiente la trasmissione. Siffatta attività è di ordine meramente tecnico, automatico e passivo, il che implica che il prestatore di servizi della società dell’informazione non conosce né controlla le informazioni trasmesse o memorizzate». La norma in commento sembrerebbe sancire un’irresponsabilità relativa, da escludersi ogniqualvolta il prestatore si sia reso partecipe dell’illecito ovvero, acquisitane conoscenza, non si sia adoperato per rimuovere tali informazioni[3]. L’esenzione da responsabilità richiede che il provider non sia effettivamente al corrente del fatto che l’attività o l’informazione sia illecita (lett. a) o non sia al corrente di fatti o di circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione (lett. b). Inoltre, qualora abbia avuto conoscenza dell’illecito, deve attivarsi prontamente per la rimozione o per disabilitarne l’accesso[4].
Se queste previsioni possedevano un senso a fronte di soggetti che svolgevano un ruolo del tutto passivo e neutrale rispetto ai contenuti veicolati tramite i loro servizi, il mutamento della fisionomia dei providers, sempre meno passivi e neutrali, ha rimesso in discussione l’effettiva applicabilità delle stesse[5].
Non potendosi considerare codeste attività degli hosting providers meramente automatizzate e passive, tali soggetti devono essere ascritti ad una nuova categoria più evoluta e distinta da quella tipica disciplinata dal legislatore, con la conseguenza dell’esclusione di operatività delle deroghe fissate dalla disciplina europea ed italiana.
- L’hosting provider “attivo”
La distinzione tra provider attivo e passivo risulta essere un utile criterio al fine dell’individuazione del regime di responsabilità applicabile alle nuove figure soggettive protagoniste di Internet. Tra queste è possibile individuare una nuova figura soggettiva atipica, l’Internet service provider (ISP) attivo, nelle ipotesi in cui non sia rinvenibile la condotta neutra che giustifica il regime di irresponsabilità come previsto dall’art. 17 d. lgs. 70/2003.
Non pare, infatti, si possa sostenere che il motore di ricerca, il social network e più in generale l’aggregatore di contenuti di terzi sia, sempre e comunque, ascrivibile alla categoria dell’ISP passivo beneficiario dello speciale regime di responsabilità. Occorrerà, invero, accertare, caso per caso, in concreto, se il motore di ricerca, e più in generale il social network o anche l’aggregatore di contenuti, svolga effettivamente un’attività meramente tecnica, automatica e passiva o piuttosto interferisca attivamente con la pubblicazione del contenuto in concorso con il soggetto responsabile del caricamento online del contenuto digitale illecito.
L’eventuale «contributo attivo»[6] può essere infatti apprezzato mediante elementi, denominati appunto indici di interferenza, che spetta al giudice del merito accertare nel caso concreto, i quali sono rappresentati, a titolo meramente esemplificativo e non dovendo essere necessariamente tutti compresenti, quali ad esempio: attività di filtro; selezione; indicizzazione; organizzazione; catalogazione; aggregazione; valutazione; uso; modifica; estrazione; promozione dei contenuti operate mediante una gestione imprenditoriale del servizio; adozione di una tecnica di valutazione comportamentale degli utenti per aumentarne la fidelizzazione.[7]
La giurisprudenza della Corte di giustizia UE ha accolto la nozione di «hosting provider attivo», con riferimento a quelle figure soggettive eccentriche in quanto non riconducibili alla tipizzazione normativa di attività dei prestatori di servizi della società dell’informazione di ordine meramente tecnico, automatico e passivo, con la conseguenza che detti prestatori non conoscono né controllano le informazioni trasmesse o memorizzate dalle persone alle quali forniscono i loro servizi[8]. Conseguentemente, anche alla luce del considerando 42 della Direttiva 31/2000/CE, «tali limitazioni di responsabilità non sono applicabili nel caso in cui un prestatore di servizi della società dell’informazione svolga un ruolo attivo»[9].
- Il Digital Services Act
Si è avuto modo di sottolineare come il ruolo assunto dai providers “attivi” sia mutato rispetto agli albori di Internet. Il nuovo assetto delineato esige una rinnovata normativa in tale settore. Il pacchetto del Digital Services Act (DSA) è introdotto per regolare ex ante le attività delle piattaforme online che agiscono come gatekeepers, che ora stabiliscono le regole del gioco per i loro utenti e i loro concorrenti. L’iniziativa dovrebbe garantire che tali piattaforme si comportino in modo equo e possano competere direttamente con nuovi operatori e concorrenti esistenti, in modo che gli utenti abbiano più ampia scelta e il mercato unico rimanga competitivo e aperto alle innovazioni.
Infatti, seppure gli algoritmi delle grandi piattaforme siano oramai indispensabili a mettere ordine alla quantità immane di contenuti di qualsiasi genere[10], si vuole limitare la possibilità che l’ampio arbitrio guadagnato dalle Big Tech possa spingere questi meccanismi a selezionare i contenuti per noi, non solo in base ai parametri e alle tendenze soggettive, ma anche in base al guadagno che una risposta può ottenere. Per tale ragione, il DSA si rivolge a: servizi di intermediazione che offrono infrastrutture di rete, servizi di hosting come servizi cloud e webhosting, piattaforme online che riuniscono venditori e consumatori come mercati online, app store, piattaforme di economia collaborativa e piattaforme di social media[11]. Le prescrizioni del DSA vanno nella direzione della più ambiziosa creazione da parte dell’Unione Europea di un ecosistema di fiducia basato sull’intelligenza artificiale[12].
Riconoscendo il particolare impatto delle piattaforme online di dimensioni molto grandi (VLOPs) sulla nostra economia e sulla nostra società, la proposta fissa standard di trasparenza e responsabilità più rigorosi in relazione alle modalità di moderazione dei contenuti da parte dei fornitori di tali piattaforme, alla pubblicità e ai processi algoritmici. Istituisce, inoltre, obblighi di valutazione dei rischi derivanti dai loro sistemi, allo scopo di sviluppare adeguati strumenti di gestione dei rischi e proteggere l’integrità dei servizi dall’uso di tecniche di manipolazione.
Tale assetto non è nuovo nel panorama giuridico dell’Unione europea, essendo un sistema di due diligence già previsto nel GDPR[13]. Il Digital Services Act sembra quindi segnare il passaggio da un regime di irresponsabilità ad una crescente responsabilizzazione degli operatori del Web, attraverso l’esecuzione del risk assessment da parte degli stessi, riproponendo lo stesso principio di accountability sancito dal Regolamento UE 679/2016 per i titolari e responsabili del trattamento di dati personali.
È, inoltre, facilmente riscontrabile un’assonanza tra il Data Protection Impact assessment (DPIA), imposto ai titolari del trattamento ogni qualvolta l’impiego di nuove tecnologie comporti rischi per i diritti e le libertà delle persone fisiche, con le attività di risk assessment previste a carico delle piattaforme nella proposta di DSA[14]. Sul punto, l’art. 26 del DSA impone alle grandi piattaforme un obbligo di analisi e valutazione dei rischi sistemici su base annuale.
Al fine di limitare tali rischi sistemici, l’art. 27 del DSA richiede alle piattaforme di adottare «misure di attenuazione ragionevoli, proporzionate ed efficaci, adattate ai rischi sistemici specifici individuati a norma dell’articolo 26».
Inoltre, per garantire un adeguato livello di trasparenza e assunzione della responsabilità, i prestatori di servizi intermediari dovrebbero comunicare annualmente le attività di moderazione dei contenuti da loro intraprese, comprese le misure adottate a seguito dell’applicazione e dell’esecuzione delle loro condizioni generali. Al fine di evitare oneri sproporzionati, tali obblighi di comunicazione trasparente non dovrebbero tuttavia applicarsi ai prestatori che siano microimprese o piccole imprese[15].
Sarà inoltre richiesto di includere nei loro termini e condizioni ogni restrizione o limitazione da questi imposta in relazione all’uso dei loro servizi.
Con riferimento ai fornitori che svolgono attività di hosting, la proposta prevede di implementare meccanismi intuitivi e di facile accesso attraverso i quali gli utenti potranno notificare al provider la presenza di contenuti illegali. In particolare, il fornitore di servizi di hosting dovrebbe agire immediatamente per rimuovere i contenuti illegali o per disabilitare l’accesso agli stessi non appena ne venga effettivamente a conoscenza o ne divenga consapevole[16].
Sul punto, l’articolo 14 della proposta prevede un apposito meccanismo di notifica e azione, attraverso cui: «I prestatori di servizi di hosting predispongono meccanismi per consentire a qualsiasi persona o ente di notificare loro la presenza nel loro servizio di informazioni specifiche che tale persona o ente ritiene costituiscano contenuti illegali». Tali meccanismi, aggiunge la norma, «sono tali da facilitare la presentazione di notifiche sufficientemente precise e adeguatamente motivate, in base alle quali un operatore economico diligente può rilevare l’illegalità dei contenuti in questione».
I reclami presentati vengono convogliati in un sistema interno di gestione. È previsto che le piattaforme online forniscano ai destinatari del servizio, per un periodo di almeno sei mesi dalla decisione, l’accesso a un sistema interno di gestione dei reclami efficace, che consenta di presentare per via elettronica e gratuitamente reclami contro le seguenti decisioni adottate dalla piattaforma online a motivo del fatto che le informazioni fornite dai destinatari costituiscono contenuti illegali o incompatibili con le condizioni generali.
I destinatari del servizio hanno il diritto di scegliere qualunque organismo di risoluzione extragiudiziale delle controversie ai fini della risoluzione delle controversie inerenti a tali decisioni, compresi i reclami che non è stato possibile risolvere mediante il sistema interno di gestione dei reclami. Le piattaforme online si impegnano in buona fede con l’organismo selezionato al fine di risolvere la controversia e sono vincolate dalla decisione adottata da tale organismo.
Al fine di tutelare la libertà di impresa, senza far gravare eccessivamente il sistema di notifica e azione sugli operatori, la proposta introduce i c.d segnalatori attendibili, con lo scopo di evitare la ripetizione di notifiche non giustificate.
La qualifica di segnalatore attendibile a norma dell’articolo 19, viene riconosciuta, su richiesta di qualunque ente, dal coordinatore dei servizi digitali dello Stato membro in cui stabilito il richiedente, purché siano rispettati i requisiti indicati dalle lettere a, b e c del comma 2.
L’avvio o l’adeguamento della cooperazione con i segnalatori attendibili dimostra la compliance della piattaforma rispetto all’attenuazione del rischio, rientrando nelle misure di attenuazione dei rischi previste per le piattaforme di grandi dimensioni.
Conclusioni
La responsabilità degli Internet Hosting Provider, ossia di quei prestatori di servizi della società dell’informazione che ospitano contenuti forniti da terzi, risulta assoggettata al beneficio dell’esonero da responsabilità a condizione che il prestatore di servizi non sia effettivamente a conoscenza del fatto che l’attività o l’informazione è illecita e che, per quanto attiene ad azioni risarcitorie, non sia al corrente di fatti o circostanze che rendono manifesta l’illegalità dell’attività o dell’informazione. Motori di ricerca, social networks e aggregatori di contenuti di terzi in generale, possono essere considerati, in linea di massima, assimilabili alla figura soggettiva dell’ISP passivo nei limiti in cui tali attività siano svolte in modo esclusivamente automatico e passivo, in quanto certamente ospitano o rinviano tramite link a contenuti forniti da terzi. Occorre, come detto, verificare nel singolo caso concreto, sulla scorta dei parametri oggettivi emersi nell’elaborazione giurisprudenziale, che il motore di ricerca, il social network e l’aggregatore di contenuti forniti da terzi non si limitino a svolgere servizio di hosting passivo ma svolgano ulteriori significative attività di organizzazione dei contenuti digitali, non meramente automatiche[17]. Detti indici di interferenza elaborati dalla giurisprudenza nazionale e riconosciuti in sede comunitaria,[18] rilevanti quali cause di decadenza dal beneficio del peculiare regime legale di irresponsabilità, da accertarsi in concreto; la sussistenza anche solamente di alcuni dei predetti indici di interferenza, a fronte della prudente valutazione del giudice di merito, integra gli estremi di hosting attivo. Tale figura non si ritiene, in linea con la recente giurisprudenza in commento, compatibile con il regime di irresponsabilità del safe harbour, previsto per i meri intermediari passivi, dal d.lgs. n. 70/2003.
Un primo passo nel senso della regolamentazione dei providers “attivi” è stato nel senso della responsabilizzazione. Attraverso il principio di accountability, si è attribuito ai providers il compito di valutare preventivamente i rischi, e di adottare misure volte a rimuoverli o limitarli. In tale passaggio, può rinvenirsi una similitudine con il GDPR, che già aveva introdotto tale principio. D’altra parte, le piattaforme online hanno fatto riferimento all’autonomia negoziale per regolare i propri rapporti con gli utenti, anche nel senso della limitazione delle proprie responsabilità. Le policies interne delle piattaforme e i Termini e Condizioni d’uso, rappresentano l’esito di tale processo, e sono ad oggi la fonte primaria che disciplina il rapporto con gli users.
Particolarmente incidente è, in tal senso, il potere di rimozione dei contenuti (take down), attraverso il quale si esplica il ruolo “censorio” delle piattaforme rispetto ai contenuti immessi dagli utenti.
Un’importante risposta del DSA sul punto consiste nell’imporre obblighi di trasparenza affinché le piattaforme indichino nelle proprie condizioni generali, in modo chiaro e comprensibile, le modalità di intervento rispetto alla moderazione dei contenuti.
Rispetto alle take down policies, si rende necessaria una interpretazione dei presupposti per il recesso conforme alle garanzie costituzionali, che bilanci il potere di esclusione dalla comunità virtuale di quanti realizzino condotte contrarie alla policy, con la contrapposta esigenza di non rimettere al gestore valutazioni quali il carattere discriminatorio o lesivo dei contenuti. Tali perplessità sembrano essere colmate dal DSA. L’introduzione dei c.d. segnalatori attendibili, quali soggetti previamente riconosciuti e legittimati ad operare una valutazione imparziale rispetto ai contenuti presenti in Rete, rappresenta la volontà del legislatore europeo di sottrarre le decisioni incidenti sulla libertà di espressione al mero arbitrio di soggetti privati, quali le piattaforme online.
Ancora, si è imposta una riflessione rispetto al ruolo svolto dagli algoritmi. Se è vero che le piattaforme sostengono la neutralità delle scelte effettuate nella selezione dei contenuti, poiché rimesse a scelte algoritmiche, si evidenziano le scelte politiche che soggiacciono alla scrittura degli algoritmi, giustificate dalle piattaforme ricorrendo alle garanzie accordate, in favore del free speech, alle attività di editoria.
Sul punto il DSA non manca di intervenire. Il riconoscimento di un ruolo “attivo” in capo ai providers rappresenta una presa di coscienza rispetto al diverso modo di atteggiarsi dei principali attori della Rete. Tale figura, quella del provider attivo, si caratterizza per un intervento non neutrale, persino censorio, rispetto ai contenuti immessi dagli utenti.
Al fine di limitare gli effetti derivanti dalla disinformazione online, con il DSA si impongono obblighi di due diligence, i quali prevedono una preventiva valutazione dei rischi, nonché l’adozione di misure necessarie ad eliminarli o a ridurne gli effetti negativi, responsabilizzando così le piattaforme.
Per concludere, la responsabilizzazione di tipo preventivo rafforza, con una nuova Good Samaritan clause, l’esenzione da responsabilità secondaria dei gestori rispetto agli illeciti commessi dagli utenti sulle proprie piattaforme, e il doveroso divieto di monitoraggio generale sui contenuti.
Merito del DSA è quello di compensare questo safe harbour con degli obblighi di regolamentazione tali da minimizzare il rischio o da contenerne gli effetti pregiudizievoli.
Il DSA delinea, in definitiva, un equilibrio delicatissimo tra il mantenimento dell’opzione di fondo della direttiva 31/2000/CE, ovvero responsabilità condizionata del gestore, con il correlativo divieto di monitoraggio generale dei contenuti, e l’introduzione di una serie di obblighi procedurali e sostanziali, espressivi tanto del principio di accountability quanto del canone di responsabilità. La cifra di questa novella legislativa risiede nel passaggio dalla sola responsabilità alla responsabilizzazione, che può avere effetti determinanti anche sul campo della disinformazione, grazie a stringenti obblighi di trasparenza sull’online advertisment.
[1] Il dibattito attorno alla figura dell’hosting provider attivo, quale nuova figura soggettiva protagonista di Internet, è stato aperto dalla giurisprudenza italiana con il leading case RTI c. Yahoo! del 2011. Sul punto si vedano, ex multis causa C – 291/13, Sotiris Papasavvas c. O Fileleftheros Dimosia Etaireia Ltd, Takis Kounnafi, Giorgios Sertis; CGUE, C – 236/08, Google France SARL e Google Inc. contro Louis Vuitton Malletier SA; COM (2017) 555, del 28 settembre 2017, Lotta ai contenuti illeciti online. Verso una maggiore responsabilizzazione delle piattaforme online
[2] G. M. RICCIO, La responsabilità civile degli internet providers alla luce della direttiva n. 2000/31/CE, in REDI Revista Electrónica de Derecho Informático, n. 47, 2002, p. 4.
[3] G. BELLI, La responsabilità civile dei service providers, in La responsabilità civile, 2011, p. 694.
[4] Così come delineata dall’art. 16, la conoscenza comunque raggiunta, anche sulla base della segnalazione di un soggetto non qualificato, risulta essere di per sé sufficiente a sottrarre il fornitore al regime di irresponsabilità e a far sorgere l’obbligo di informare le autorità competenti. L’altra condizione di esonero da responsabilità si riferisce all’ipotesi in cui l’hosting provider sia a conoscenza dell’illiceità perché informato dalle autorità competenti e non si attivi per l’oscuramento o il blocco delle informazioni, sanzionando dunque l’atteggiamento inerte del prestatore.
[5] O. POLLICINO, Tutela del pluralismo nell’era digitale: ruolo e responsabilità degli Internet service provider, in Percorsi Costituzionali, 2014, p. 453 ss.
[6] Ibid.
[7] Indici individuati dalla giurisprudenza nel leading case RTI c. Yahoo!, Tribunale di Milano, 9 settembre 2011, in Rivista Diritto Industriale, 2, 2012, p. 364 ss.
[8] CGUE, C – 236/08, Google France SARL e Google Inc. contro Louis Vuitton Malletier SA, punto 114.
[9] CGUE, C – 521/17, Coöperatieve Vereniging SNB-REACT U.A. c. Deepak Mehta, punto 48.
[10] Il cons. n. 1 della Proposta di Regolamento del Parlamento europeo e del Consiglio relativo a un mercato unico dei servizi digitali (legge sui servizi digitali) e che modifica la direttiva 2000/31/CE del 15 dicembre 2020, COM 825/2020, osserva come «I servizi della società dell’informazione e in particolare i servizi intermediari sono diventati una componente significativa dell’economia dell’Unione e della vita quotidiana dei suoi cittadini. A vent’anni dall’adozione del quadro giuridico esistente applicabile a tali servizi stabilito nella direttiva 2000/31/CE del Parlamento europeo e del Consiglio, modelli aziendali e servizi nuovi e innovativi, quali i social network e i mercati online, hanno consentito agli utenti commerciali e ai consumatori di accedere alle informazioni, diffonderle ed effettuare transazioni in modi nuovi. Attualmente la maggior parte dei cittadini dell’Unione utilizza tali servizi su base giornaliera. La trasformazione digitale e il maggiore utilizzo di tali servizi hanno tuttavia anche dato origine a nuovi rischi e sfide sia per i singoli utenti sia per la società nel suo insieme».
[11] v. Legge sui servizi digitali: garantire un ambiente online sicuro e responsabile, https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_it
[12] Nella COM 67/2020, Plasmare il futuro digitale dell’Europa, p. 5, si legge che «Una vera trasformazione digitale deve iniziare dalla fiducia di cittadini e imprese europei nella sicurezza di prodotti e applicazioni».
[13] L’art. 25 del GDPR, al comma 1, in ossequio all’approccio della privacy by design, prevede che «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati».
[14] v. il cons. n. 58 del DSA «Le piattaforme online di dimensioni molto grandi dovrebbero porre in essere le misure necessarie per attenuare con diligenza i rischi sistemici individuati nella valutazione del rischio»; sul tema, l’art. 26 del DSA prevede che «(…) le piattaforme online di dimensioni molto grandi individuano, analizzano e valutano eventuali rischi sistemici significativi derivanti dal funzionamento e dall’uso dei loro servizi nell’Unione».
[15] v. il cons. n. 39 del DSA.
[16] Il DSA stabilisce pertanto obblighi fondamentali applicabili a tutti i prestatori di servizi intermediari nonché obblighi supplementari per i prestatori di servizi di hosting e, più specificamente, le piattaforme online e le piattaforme online di dimensioni molto grandi.
[17] M. R. ALLEGRI, Alcune considerazioni sulla responsabilità degli intermediari digitali, e particolarmente dei social network provider, per i contenuti prodotti dagli utenti, in Informatica e Diritto, XLIII, vol. XXVI, 2017, p. 100. Questa eventuale trasformazione del ruolo dell’intermediario digitale va accertata caso per caso, valutando in che modo l’utilizzo di software e algoritmi gestionali da parte del provider produca effetti sui contenuti caricati dagli utenti tali da eccedere la sua presunta posizione di neutralità.
[18] Si vedano Corte di giustizia 23 marzo 2010 nel caso Google c. Louis Vuitton e Corte di Giustizia 12 luglio 2011 nel caso L’Oreal c. eBay, ove la Corte ha stabilito che la neutralità dell’ISP non può essere invocata se «il prestatore del servizio, anziché limitarsi ad una fornitura neutra di quest’ultimo, mediante un trattamento puramente tecnico e automatico dei dati forniti dai suoi clienti, svolge un ruolo attivo atto a conferirgli una conoscenza o un controllo di tali dati” e che il ruolo del fornitore di servizi si considera attivo “allorché presta un’assistenza che consiste in particolare nell’ottimizzare la presentazione delle offerte in vendita di cui trattasi o nel promuoverle».
