PREMESSA
“Want to move faster, fly higher, and perform like a top technology company? Try platform” sono le parole provocatorie di un articolo di McKinsey.
Una provocazione non così sproporzionata se pensiamo al dinamismo che connota il mercato in questa fase di cambiamenti e trasformazione. Un processo che coinvolge gli aspetti economici, quelli di tutela dei diritti, che inevitabilmente comporta l’inefficacia delle tecniche tradizionali e rende necessaria l’adozione di nuove logiche in cui la regolamentazione è chiamata, non a precedere, ma a seguire – o forse inseguire – il mutamento.
La questione principale è allora quella di “dominare” questo sistema, ma – riprendendo il pensiero di Goethe – “tutto è più semplice di quanto si possa pensare e allo stesso tempo più complicato di quanto si possa capire”.
Da tempo gli operatori c.d. Over the top (OTT) offrono agli utenti servizi apparentemente gratuiti che, in realtà, sono finanziati tramite la raccolta dei dati personali degli utenti reimpiegati nel mercato della pubblicità online. Si pensi ai siti web ad alta complessità che offrono una pluralità di prestazioni, dalla relazione interindividuale a quella di gruppo fino a servizi di natura commerciale, o anche ai motori di ricerca che restituiscono un ecosistema complesso e articolato.
Un ecosistema, quello delle piattaforme, che si situa perfettamente nelle logiche del neoliberismo. Come ben rilevato dallo studioso Dal Yong Jin, esiste oggi un imperialismo delle piattaforme potenziato dallo sviluppo del capitalismo digitale. Del resto, è proprio la crescente integrazione di produzione, consumo, finanza, logistics e marketing a trovare la sua massima espressione nelle piattaforme digitali contemporanee. Ne discende una struttura in cui la trasformazione dei dati degli utenti in valore costituisce un meccanismo di accumulazione, pur se essa è spesso ridefinita ideologicamente in termini di sharing. Un sistema di condivisione che tuttavia cela un processo di scambio fra soggetti con diseguale potere contrattuale.
Il valore economico dei dataset utilizzati dalle Internet company poi ingenera problematiche di ordine competitivo, poiché i dati sono un asset indispensabile per poter competere nell’ecosistema digitale.
La data driven economy porta a disintermediare gli operatori tradizionali, ad accentrare nel potere Big Tech tutto il mercato dei servizi con il rischio di estromettere gli operatori tradizionali e a lasciare l’intero mercato dei servizi in mano alle grandi imprese. Solo per restituire un’idea del fenomeno e del relativo business, si noti che, secondo l’ultimo report di Global Tv Research, nel 2026, gli OTT raggiungeranno ricavi per 210 miliardi di dollari, con un raddoppio rispetto ai 106 miliardi raggiunti nel 2020. Nell’anno in corso, si prevede un incremento dei ricavi di 23 miliardi.
La gestione dei dati però ha riflessi non solo in termini di mercato, ma chiaramente di diritti. E allora diventa rilevante la possibilità che la tutela dei dati personali diventi strumento in mano agli OTT, che la invocano a protezione del proprio walled garden per giustificare il rifiuto di condividere i dati dei propri utenti.
Si tratta di un sistema che pervade tutti i settori. Non voglio entrare nel tema che ci porterebbe troppo lontano, ma basti qui solo sottolineare come le potenzialità “ideologiche” degli algoritmi – che determinano la nascita e lo sviluppo di filter bubbles – possono giocare un ruolo anche nei meccanismi informativi e determinare pericolose forme di manipolazione e controllo. Ulteriore conseguenza coinvolge anche la sfera pubblica, considerato che forme di concentrazione e diseguaglianze di potere ne costituiscono di fatto una limitazione: simmetrie economiche, politiche e di potere culturale che tendono a parcellizzare la sfera pubblica, rendendola di fatto uno spazio di legittimazione del “pensiero unico” invece che un luogo simbolico di discussione e confronto.
Non è un caso, che alcuni studiosi abbiano espressamente parlato di un processo di platformization per indicare la centralità delle piattaforme digitali nella vita sociale contemporanea.
LA CATENA DEL VALORE
In termini di mercato, le logiche economiche sottostanti i servizi Internet facilitano il conseguimento di assetti estremamente concentrati; gli effetti di rete determinano che più persone usano una piattaforma più cresce il valore della stessa, sino al raggiungimento di una situazione di sostanziale monopolio, in cui simmetricamente le piattaforme minori perdono utenti sino a soccombere.
In questo contesto, il concetto di catena del valore, come teorizzato dall’economista Michael E. Porter in un fortunato saggio del 1985[1], sembra tornare sempre più attuale in funzione dei nuovi assetti di mercato, in cui l’offerta di servizi a prezzo zero si pone in cambio di ricavi e dati pubblicitari.
Certo, così come le tradizionali società di media, le piattaforme riuniscono due gruppi distinti di acquirenti: agli utenti, attirati ai servizi offerti, si contrappongono, dall’altro del mercato, gli inserzionisti, interessati all’attenzione dei fruitori.[2]
Se un tempo avevamo gli spot televisivi, oggi abbiamo servizi online progettati da zero per catturare ogni sfumatura delle nostre reazioni in modo da utilizzarle per distrarci e catturarci maggiormente, per poi vendere quei dati ad altri. Non a caso è sempre più diffusa la figura del broker che recupera informazioni online, le aggrega, le interpreta e le analizza per poi venderle sul mercato. Chiaramente quando questa attività consiste nel reperire informazioni economiche e finanziarie relative a società per produrre studi di settore non sembra presentare particolari criticità per la riservatezza delle persone; diversamente quando essa sia finalizzata a rintracciare notizie proprie di persone fisiche, i rischi in materia di rispetto della privacy dei soggetti interessati diventano enormi. Spesso, seppur si tratti di dati liberamente conoscibili, ciò non significa che questi siano anche apertamente riutilizzabili da chiunque e per qualsiasi scopo. In tal senso, l’Autorità Garante per la protezione dei dati personali ha precisato in ossequio al «principio di finalità», che è ad esempio illecito riutilizzare (ad es. a fini di marketing o di propaganda elettorale) i dati pubblicati online dagli stessi interessati, in quanto un ulteriore ed eventuale trattamento deve ritenersi incompatibile con le originarie finalità di trasparenza per le quali i dati sono resi pubblicamente disponibili.
Non solo. Come già anticipato, i Big Data possono essere utilizzati anche internamente per sviluppare algoritmi più accurati, e quindi orientare la pubblicità, offrendo servizi e prezzi personalizzati.
In questo scenario, vari sono i cambiamenti che si possono osservare. Da un lato, i dati degli utenti diventano ormai un nuovo mezzo di scambio, una sorta di moneta; dall’altro, le piattaforme incarnano una nuova figura di mercato, assumendo i connotati di quelli che, in un saggio del 2017[3], sono stati icasticamente definiti “i commercianti dell’attenzione”, e perseguendo ancora quest’ottica, il mezzo Internet, non diviene altro che il perfezionamento dell’arte – e oggi della scienza – della cattura dell’attenzione e della sua monetizzazione.
I RUOLI E LE RESPONSABILITÀ DEI DIVERSI ATTORI DELL’ECOSISTEMA DI INTERNET: L’INTERVENTO EUROPEO
Consapevole di questo scenario, seguendo il solco di una necessaria e impellente chiarificazione che abbia ad oggetto classificazione e regolamentazione del potere nelle mani di tali soggetti privati, l’Unione Europa ha lanciato un segnale di cambiamento che consentirà di ricordare il 2020 anche per altro oltre la pandemia.
Lo scopo è creare un unico apparato di regole applicabile in tutta Europa, redendo il digitale uno spazio più aperto e sicuro, rispettoso dei valori fondanti la nostra Comunità, come annunciato dalla Vicepresidente della Commissione Vestager.
È in questo contesto che l’UE è intervenuta collegando il tema emergente dei dati con la necessità di una regolamentazione dell’economia di questi e, attraverso di essa, delle piattaforme online.
In tal senso, si collocano le iniziative come la Strategia europea in materia di dati del febbraio 2020. Con essa, la Commissione si è impegnata a esplorare la necessità di un’azione legislativa specifica avente a oggetto la creazione di uno “un autentico mercato unico di dati, aperto ai dati provenienti da tutto il mondo – nel quale sia i dati personali sia quelli non personali, compresi i dati commerciali sensibili, siano sicuri e le imprese abbiano facilmente accesso a una quantità pressoché infinita di dati industriali di elevata qualità, che stimolino la crescita e creino valore” [4].
IL REGOLAMENTO “DATA GOVERNANCE ACT” (DGA): QUALE BILANCIAMENTO TRA ECONOMIA E PRIVACY?
Nell’ambito di questo impegno, si inserisce, tra le altre, la proposta di Regolamento “Data Governance Act” del 25 novembre 2020[5].
L’intento ultimo è quello di rafforzare la fiducia negli “intermediari di dati” e potenziare i meccanismi di condivisione orizzontale dei dati in tutta l’Unione, sia per l’accesso che per il riutilizzo, garantendo a enti pubblici e imprese una tutela effettiva dei loro diritti attraverso meccanismi più sicuri di condivisione dei dati e un maggiore controllo sui dati condivisi.
In tale prospettiva, la proposta intende creare un quadro giuridico armonizzato, chiaro e teso a:
- creare un meccanismo volto a favorire il riutilizzo di alcune categorie di dati protetti che siano in possesso di enti pubblici. Particolarmente rilevante è la definizione fornita dalla proposta di Regolamento, che coincide con l’uso da parte di persone fisiche o giuridiche di dati detenuti da enti del settore pubblico, per scopi commerciali o non commerciali diversi dallo scopo iniziale per il quale essi erano stati prodotti (nell’ambito di un compito pubblico), fatta eccezione per gli scambi di dati tra enti pubblici per l’esercizio dei loro compiti pubblici;
- predisporre un quadro normativo per la notifica e il controllo della fornitura di servizi di data sharing;
- istituire una cornice per la registrazione volontaria degli enti che raccolgono ed elaborano i dati resi disponibili per scopi altruistici (quali la ricerca scientifica, l’assistenza sanitaria, il miglioramento della mobilità e altri scopi di interesse generale).
Si tratta di misure che però mirano principalmente a favorire l’economia e quindi le aziende, piuttosto che tutelare i cittadini, col rischio di minare le protezioni previste in materia di privacy, presentandosi piuttosto come lex specialis rispetto a queste.
Le previsioni, seppur si dichiarino conformi alla legislazione in materia di protezione dei dati, suscitano delle perplessità. Sul tema, come si ricorderà, la produzione normativa è copiosa: è intervenuto il Regolamento UE 679/2016 (GDPR-General Data Protection Regulation), relativo alla protezione delle persone fisiche con riguardo al trattamento dei “dati personali” nonché alla libera circolazione di tali dati, e successivamente, il Regolamento UE 1807/2018 (FFD-Regulation on the free flow of non-personal data) del 14 novembre 2018, che ha disciplinato la libera circolazione dei “dati non personali” all’interno dell’Unione, senza poi dimenticare la Direttiva UE 1024/2019 (la Direttiva Open Data), che adegua il quadro legislativo ai progressi delle tecnologie digitali e prevede una maggiore apertura dei dati pubblici[6].
Non sono mancati spunti critici da parte dei Garanti privacy europei (European Data Protection Board, EDPB e dal European Data Protection Supervisor – EDPS), soprattutto riguardo alla possibile sovrapposizione fra normative unionali e alla pericolosità di introdurre disposizioni che possano intaccare le garanzie minime previste dal GDPR.
Solo per toccare alcuni temi, la normativa prevista in materia di riutilizzo dei dati da parte delle pubbliche amministrazioni mal si coordina, non solo con il GDPR (dimenticando ad esempio di disciplinare la base del trattamento e la necessità di informativa agli interessati, senza poi considerare il difficile coordinamento in ossequio «principio di finalità»), ma anche con la Direttiva Open Data, che ad esempio propone delle disposizioni contrastanti in tema di costi di accesso ai dati (la Direttiva in questione prescrive delle fee per coprire i costi di anonimizzazione, mentre il DGA non tiene conto del processo nell’imporla ai soggetti esterni che volessero avere accesso ai dati).
La proposta di Regolamento poi appare mettere sullo stesso piano dati anonimi e pseudonimi, che, come noto, nel GDPR trovano una propria autonoma collocazione: mentre i primi non sono dati personali, i secondi invece sono considerati tali e vanno trattati di conseguenza nel pieno rispetto delle previsioni in materia.
Terreno di scontro molto scivoloso è poi quello relativo al concetto di “data sharing as a platform”. Si tratta di una piattaforma che si pone come intermediario fra un numero indefinito di “titolari di dati” e “utenti dei dati”. Essa, progettata come una sorta di mercato dei dati aperto, risulta contraria ai principi di privacy by design e by default, trasparenza e limitazione delle finalità; questo a meno che la piattaforma non consenta una preselezione delle informazioni rilevanti basata sull’interesse del soggetto che vi accede.
Inoltre, i “data sharing service provider” dovrebbero essere sottoposti a un regime di autorizzazione (mentre la Direttiva propone unicamente un potere di veto basato sulla verifica di requisiti formali).
Non è questa la sede per affrontare in dettaglio il documento, ma – tenuto conto che ormai il GDPR costituisce uno strumento normativo consolidato – non potevo esimermi dal condividere le riflessioni evidenziate dai Garanti. Certo i pareri di EDPB e EDPS non sono vincolanti, ma sono sempre tenuti in massima considerazione dal legislatore comunitario.
Del resto, non si può prescindere da una valutazione di fondo, efficacemente espressa dal Garante Europeo: “da grandi database derivano grandi responsabilità, che rendono necessarie adeguate salvaguardie per la protezione dei dati”. Uno scenario, quello delineato, in cui deriva innanzitutto una altrettanto gravosa responsabilizzazione del legislatore chiamato ad affrontare una delicata materia, a tutela dell’acquis comunitario in tema di protezione dei dati personali.
… E GLI UTENTI COMMERCIALI?
L’impegno europeo non si è limitato a questi aspetti, ma anzi ha posto particolare attenzione anche dal lato degli utenti commerciali.
Lo scorso anno infatti – quindi ben prima delle più recenti iniziative, quali Digital Service Act e Digital Market Act, accomunate dal tentativo di individuare uno statuto giuridico delle piattaforme in grado di superare la pesante eredità della datata Direttiva e-commerce – è stato adottato Regolamento c.d. “Platform to-business” (UE 2019/1150, c.d. P2B)[7], in cui equità, trasparenza e prevedibilità dei servizi di intermediazione online sono stati posti quali principi cardine delle relazioni tra piccole imprese e piattaforme online.
Un intervento importante se pensiamo che la posizione di gateway (punti di accesso) o gatekeeper (controllori dell’accesso) tra utenti commerciali e finali delle piattaforme online consente loro di assumere un ruolo chiave nell’organizzazione di ecosistemi di milioni di utenti, con il conseguente rischio di avviare delle pratiche commerciali unilaterali, estremamente dannose per la competizione.
Infatti, dal lato dell’offerta, intrinsecamente frammentato, è esacerbata l’asimmetria tra la forza di mercato di un ristretto numero di piattaforme online e il contropotere delle migliaia di PMI che si servono delle piattaforme per raggiungere la propria base clienti e i cui servizi sono ordinati, dalle stesse piattaforme online di intermediazione, in “graduatorie” ottenute mediante algoritmi di ranking proprietari.
L’obiettivo della regolamentazione europea è, quindi, quello di garantire un adeguato livello di protezione anche alle PMI avverso pratiche commerciali potenzialmente anticompetitive e dannose adottate dalle piattaforme online. Si tratta di attività che potrebbero limitare le vendite online degli utenti business e compromettere il rapporto fiduciario tra le parti.
Si pensi a quelle più insidiose come: il cambiamento ingiustificato e senza preavviso dei termini e delle condizioni di accesso e uso della piattaforma; la rimozione dalla piattaforma senza motivazione, la mancanza di trasparenza sulle graduatorie, stilate dalle piattaforme mediante algoritmi proprietari, dei beni e dei servizi e delle imprese; condizioni non chiare per l’accesso e l’utilizzo dei dati raccolti dai fornitori.
Si tratta di aspetti che assumono notevole rilevanza in un periodo – come quello attuale – in cui le misure adottate in tutto il mondo per contenere la pandemia da Coronavirus, a causa delle restrizioni alla circolazione delle persone e all’esercizio delle attività commerciali, hanno avuto come conseguenza un enorme sviluppo del commercio online, che nell’anno 2020 ha visto una crescita esponenziale.
Secondo i dati dell’Osservatorio B2c del Politecnico di Milano, nell’anno del lockdown, sono decisamente cresciuti gli acquisti di prodotto (+31%), segnando l’incremento annuo più alto di sempre (+5,5 miliardi di euro) e raggiungendo quota 23,4 miliardi di euro.
Significativo è anche l’utilizzo dello smartphone – in cui inevitabilmente sono contenute molte informazioni di carattere personale – per abilitare gli acquisti eCommerce. In valore assoluto, l’eCommerce B2c da cellulare sfiora i 15,7 miliardi di euro, con un incremento del +22% rispetto al 2019. Emerge che il 51% di questi acquisti è ormai realizzato attraverso questo dispositivo.
È evidente come la pandemia e il conseguente lockdown abbiano creato uno dei cambiamenti più profondi e radicali del Retail degli ultimi dieci anni, ma anche restituito risultati frutto di dinamiche differenti.[8]
I valori richiamati però dimostrano come, sebbene le piattaforme offrano servizi di vario genere per facilitare l’incontro tra i consumatori e i seller, pur rappresentando vetrine formidabili, possono rivelarsi insidiose per gli operatori commerciali, che talvolta sono obbligati a confrontarsi con regole che non conoscono esattamente o a sottostare alle decisioni arbitrarie dei gestori. Inoltre, come abbiamo avuto modo di rilevare, anche chi offre prodotti o servizi esclusivamente tramite un proprio sito deve poi fare i conti ogni giorno con i motori di ricerca, che raccolgono e indirizzano le ricerche dei consumatori e possono essere determinanti per il successo di un’azienda o di un prodotto.
CENNI SU DSA E DMA
Il quadro normativo costituito dalla Direttiva E-Commerce, sebbene oggetto di molteplici interventi della Corte di Giustizia[9], è rimasto invariato nel corso di più di vent’anni e chiaramente non costituisce un baluardo regolatorio sufficiente.
In tal senso allora, l’Unione, seguendo le fila di un necessario emendamento di quanto era stato previsto dalla richiamata direttiva del 2000, è intervenuta, introducendo un concetto ad ombrello nel quale possiamo ricomprendere, tra gli altri, “i servizi di intermediari online, sia di contenuti, prodotti e servizi, messi a disposizione di terzi”.
Ci troviamo dunque di fronte a una proposta ambiziosa e molto articolata che cerca di rispondere al mutato ruolo delle piattaforme e che certamente darà vita a un ampio dibattito a livello europeo e di singoli Stati membri.
Il Digital Service Act introduce infatti un quadro orizzontale per tutte le categorie di contenuti, prodotti, attività e servizi di intermediazione nel quale però viene delineato un regime di responsabilità diversificato in base alle offerte e alla dimensione del fornitore. Non solo la proposta intende:
- introdurre un’ampia gamma di obblighi di trasparenza, ma anche organizzativi e procedurali
- definire e rafforzare i meccanismi di enforcement e cooperazione tra gli Stati.
- e, nel definire il modello di governance, istituisce nuovi soggetti, in particolare i Coordinatori nazionali dei Servizi Digitali ed il Board.
Al DSA si affianca il Digital Markets Act, con l’intento di arginare le conseguenze negative derivanti da determinati comportamenti delle piattaforme che hanno assunto il ruolo di controllori dell’accesso al mercato digitale, i cosiddetti gatekeeper.
Il DMA stabilisce una serie di criteri oggettivi definiti in modo restrittivo per qualificare una grande piattaforma online come “gatekeeper”; in particolare sarà rilevante se un’impresa:
- ha una forte posizione economica, un impatto significativo sul mercato interno ed è attiva in diversi Paesi dell’UE
- ha una forte posizione di intermediazione, ovvero che collega una grande base di utenti a un gran numero di imprese
- ha (o sta per avere) una posizione radicata e duratura nel mercato, il che significa che è stabile nel tempo.
Le piattaforme dovranno:
- consentire a terzi di interagire con i servizi del gatekeeper in determinate situazioni specifiche
- consentire agli utenti aziendali di accedere ai dati che generano nell’uso della piattaforma del gatekeeper
- fornire alle aziende pubblicitarie sulla loro piattaforma gli strumenti e le informazioni necessarie affinché gli inserzionisti e gli editori possano effettuare la propria verifica indipendente dei loro annunci ospitati dal gatekeeper
- consentire agli utenti commerciali di promuovere la loro offerta e concludere contratti con i loro clienti al di fuori della piattaforma del gatekeeper.
Sarà invece vietato
- trattare i servizi e i prodotti offerti dal gatekeeper stesso più favorevolmente rispetto a servizi o prodotti simili offerti da terzi sulla piattaforma del gatekeeper
- impedire ai consumatori di collegarsi con le imprese ospitate al di fuori delle piattaforme dei gatekeeper
- impedire agli utenti di disinstallare qualsiasi software o applicazione preinstallata, se lo desiderano.
Per garantire che le nuove regole del DMA stiano al passo con il rapido ritmo dei mercati digitali, la Commissione effettuerà indagini di mercato; in caso di non conformità sono previste multe:
- fino al 10% del fatturato annuo totale mondiale dell’azienda,
- fino al 5% del fatturato medio giornaliero
- ulteriori misure correttive in caso di violazioni sistematiche degli obblighi DMA da parte dei gatekeeper. Tali misure possono comprendere rimedi comportamentali e strutturali, ad esempio la cessione di (parti di) un’attività.
Entrambe le proposte dovranno ora essere discusse dal Parlamento e tra gli Stati membri ma una volta approvate daranno vita a Regolamenti ovvero ad un quadro normativo direttamente ed uniformemente applicabile in tutto il territorio dell’Unione.
CONCLUSIONI
Volgendo alle conclusioni e traendo qualche prima riflessione sulla riforma europea sul digitale, non possiamo non rilevare come l’intervento mostri da ultimo una acquisita maturità sul fenomeno da “regolare”. Ciò è reso evidente dal tipo di approccio utilizzato, ormai già positivamente sperimentato, con cui il legislatore dell’Unione ha voluto irrobustire le fondamenta della resilienza europea nel contesto della digitalizzazione dell’economia e della società.
In termini più concreti si possono segnalare taluni aspetti indice di questa rinnovata sensibilità. In tal senso sicuramente si colloca l’intento di voler meglio circoscrivere quel principio di irresponsabilità degli ISP, riprodotto dalla direttiva e-commerce, ma chiaramente frutto del retaggio statunitense del Communications Decenecy Act e, più in particolare, di quella c.d. “Good Samaritan protection”, contenuta nella Section 230.[10]
Sebbene sia ancor posta la tripartizione, già presente nella Direttiva del 2000, tra servizi mere conduit, caching e hosting, in un sistema di responsabilità condizionata, rilevante è la distinzione – operata dal Digital Service Act – della disciplina tra obblighi di due diligence specifici per tutti i provider di servizi di intermediazione, per i servizi di hosting, per le piattaforme online e per quelle che sono definite “very large online platform”. Detti obblighi sono informati ad una logica progressiva e cumulativa, che intende sommare gli obblighi della categoria precedente a quella successiva, secondo l’ordine riportato in precedenza.[11]
La proposta, pur senza scardinare il preesistente quadro normativo assume notevole rilevanza in quanto prevede un sistema differenziato rispetto a questo ”blocco normativo” andando a distinguere tra grandi piattaforme e piccole o medie realtà imprenditoriali digitali, con lo scopo ultimo di sostanziare degli obblighi più onerosi nei confronti delle prime a scapito delle seconde.[12]
Innovative, invece, le disposizioni recanti obblighi di due diligence differenziati e a complessità crescente.
A tutti i fornitori di servizi di intermediazione è prescritta l’istituzione di un singolo punto di contatto per la comunicazione diretta con le autorità degli Stati, l’individuazione (per i fornitori non stabiliti nell’Ue) di un legale rappresentante in uno degli Stati membri in cui offre i propri servizi, l’inclusione in un linguaggio chiaro e accessibile nei propri termini e condizioni, delle informazioni riguardanti eventuali restrizioni imposte all’utilizzo del servizio (incluse quelle relative a politiche, procedure, misure e strumenti utilizzati per la moderazione dei contenuti, compreso il processo decisionale algoritmico impiegato e la pubblicazione, almeno una volta all’anno, di report contenenti un’ampia gamma di informazioni).
Tali obblighi, tuttavia, si arricchiscono per le piattaforme online fino a raggiungere la massima complessità nel caso delle grandi compagnie. [13]
In tal senso, non può non rinvenirsi una notevole similitudine rispetto a quanto già disposto nel 2016, con il Regolamento generale sulla protezione dei dati, che ha previsto l’introduzione del principio di accountability per i titolari e responsabili del trattamento di dati personali.
Non solo. Si disciplinano anche i vincoli delle “very large online platform” per gestire i rischi sistemici. In ossequio al menzionato principio di accountability che assieme al principio di responsibility compone il binomio a cui il Regolamento risulta informato, viene previsto che queste effettuino il risk assessment, almeno una volta all’anno, sui rischi de qua. Si tratta di un’attività propedeutica all’adozione di misure di mitigazione.
Proprio considerando tali attività si può scorgere anche una analoga e significativa assonanza con il Data Protection Impact assessment (DPIA), imposto dal GDPR ai titolari del trattamento ogni qualvolta l’impiego di nuove tecnologie comporti rischi per i diritti e le libertà delle persone fisiche.
L’intendimento di promuovere un ambiente online sicuro e trasparente è ampiamente apprezzato anche dall’European Data Protection Supervisor (EDPS), che ha recentemente pubblicato una opinion sulle proposte formulate nel DSA, pur intravedendo margini di miglioramento delle previsioni.
Il Supervisor Europeo della protezione dei dati delle istituzioni e degli organi della Unione ha, in particolare, raccomandato misure aggiuntive per una ulteriore protezione delle persone nei settori della moderazione dei contenuti, della pubblicità mirata e personalizzata e in relazione alla trasparenza dei sistemi di raccomandazione utilizzati dalle piattaforme, come i social media e i marketplace.
Chiaramente, in virtù del proprio ruolo, l’EDPS è intervenuto sul tema della moderazione dei contenuti richiamando l’attenzione al rigoroso rispetto dei principi di minimizzazione del trattamento dei dati personali e dei canoni di impostazioni by design e by default.
Il monitoraggio, in sostanza, dovrebbe essere effettuato evitando, ove possibile, il trattamento di dati personali.
In relazione al targeting degli utenti l’EDPS ha ribadito la necessità di introdurre un divieto generale per la pubblicità online targettizzata basata su tracciamenti pervasivi e restrizioni in ordine alle tipologie di dati personali utilizzabili a tale scopo.
Indipendentemente dalle singole specificità le similitudini evidenziate tra DSA e GDPR sono più ampiamente frutto – finalmente – di una visione regolatoria d’insieme. Si tratta di un orientamento interessante – soprattutto per gli operatori del diritto – chiamati a confrontarsi con una disciplina tecnica che, individuando un approccio più generale, pur mantenendo applicazioni settoriali peculiari, sono in grado di superare gli attuali silos verticali che spesso hanno creato contraddittorie sovrapposizioni e conseguenti aree grigie di regolazione.
La circostanza che l’economia delle piattaforme digitali sia caratterizzata da crescenti interrelazioni tra diversi settori, e dalla loro convergenza verso simili modelli di business, sembra rendere più appropriata e giustificata la scelta di mantenere un approccio di regolazione orizzontale, più efficace rispetto a quella tradizionale di natura verticale. In questo modo gli obblighi di compliance delle piattaforme divengono più chiari e la libertà di impresa e i diritti fondamentali degli utenti, la cui salvaguardia è prioritaria a livello unionale, sono più efficacemente tutelati.
Non solo. L’approccio in esame è anche espressione di quella necessità di riequilibrio e bilanciamento tra opportunità economiche e responsabilità giuridiche ed etiche.
Aristotele sosteneva che “anche quando le leggi sono scritte non dovrebbero mai rimanere immutate”, ecco che allora il legislatore europeo sembra aver colto questo monito.
____________________
[1] M.E. PORTER, Competitive Advantage: creating and sustaining superior Performance, Free Press, 1985.
[2] Vedi, ad esempio, D Evans, “Rivalità di attenzione tra piattaforme online” (2013), Rivista di diritto della concorrenza ed economia 31; e T Wu, I commercianti dell’attenzione: Come il nostro tempo e la nostra attenzione sono raccolti e venduti (2017).
[3] Si veda T Wu, I commercianti dell’attenzione: Come il nostro tempo e la nostra attenzione sono raccolti e venduti (2017), cit.
[4] Commissione europea, (2020), A European strategy for data, Comunicazione, https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf, p. 5
[5] Proposta di regolamento del Parlamento europeo e del Consiglio relativo alla governance europea dei dati (Atto sulla governance dei dati) (Testo rilevante ai fini del SEE), Commissione europea, Bruxelles, 25.11.2020 COM (2020)767final, https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52020PC0767&from=EN
[6] Dal momento che il valore dei dati raccolti dal settore pubblico ha acquisito sempre più rilevanza e attenzione, la Commissione ha ritenuto opportuno intervenire sulla Direttiva 98/2003 (la Direttiva PSI), già oggetto di aggiornamento nel 2013, abrogandola tramite la summenzionata Direttiva.
[7] Tra le finalità di questo provvedimento si possono evidenziare:
- Sviluppo e corretto funzionamento del mercato
- Tutela diretta di coloro che, commercialmente o professionalmente, offrono beni o servizi ai consumatori tramite intermediari online
- Garanzie trasparenza, equità e possibilità di ricorso ai titolari di siti web aziendali nei confronti dei motori di ricerca online
- Tutela indiretta dei consumatori: i fornitori dei servizi di intermediazione online garantiscono che l’identità dell’utente commerciale che fornisce beni/servizi sia chiaramente visibile
[8] Chiaramente, non possiamo generalizzare: occorre fare una differenziazione tra gli acquisti di prodotto – in evidente crescita – e quelli di servizi che registrano una forte crisi per via dell’andamento del settore Turismo e trasporti (-47% rispetto al 2019).
[9] Numerose sono state le sentenze interpretative che hanno fatto scuola circa le norme contenute nella richiamata E-Commerce Directive. Una su tutte la Scarlet Extended SA v. SABAM, ove la Corte si è pronunciata circa l’art.15 (1) della Direttiva: punto nevralgico della casistica dei giudici di Lussemburgo in quanto si riferisce alla generale mancanza di un obbligo di monitoraggio in capo ai service providers. Sent. III sez. C-70/10: http://curia.europa.eu/juris/liste.jsf?language=it&num=C-70/10.
[10] La clausola richiamata prevedeva che nessun provider o utente di un servizio web potesse essere considerato responsabile per azioni intraprese, in buona fede, per fornire o limitare l’accesso o la disponibilità di un contenuto pubblicato online. Un intervento di mitigazione, quello europeo, non sconosciuto neanche negli Usa, dove con un Executive Order assai discusso, Trump aveva provato a emancipare il ruolo degli intermediari dalla veste delineata dalla Section 230 del CDA e ormai divenuta troppo stretta.
[11] Scendendo nel dettaglio, la prima categoria, i servizi di intermediazione, dovranno stabilire un punto di contatto unico (point of contact) per agevolare l’interazione con il sistema di governance previsto. Anche i provider che non hanno stabilimenti negli Stati membri, ma che offrono i propri servizi nell’UE, dovranno designare un rappresentante legale (legal representative). A tali obblighi si accompagnano quelli di definizione dei termini e condizioni di utilizzo dei servizi offerti e di report dell’attività di rimozione di contenuti.
A questi se ne aggiungono ulteriori per la seconda categoria, i provider dei servizi di hosting, che dovranno implementare meccanismi di notice and action, dovendo fornire, in caso di rimozione o disabilitazione, opportuna motivazione (statement of reasons).
Seguendo il sistema progressivo e cumulativo delineato dalla proposta, alle piattaforme online – con l’eccezione, come già osservato, di quelle appartenenti a micro o piccole imprese, come definite dall’annesso alla Raccomandazione 2003/361/CE – dovranno rispettare obblighi aggiuntivi rispetto a quelli stabiliti per i provider dei servizi di intermediazione e per gli hosting provider, e predisporre un sistema interno di gestione dei reclami contro le decisioni assunte in ordine alla sospensione, disabilitazione o rimozione di contenuti – illegali o contrari ai termini e condizioni – caricati dai loro utenti.
[12] Sul punto il Considerando (di seguito cons.) 56, ove a tali colossi viene associata la locuzione “very large online platforms”, le quali contano all’incirca 45 milioni di utenti destinatari del servizio. Come conseguenza di tali numeri, queste piattaforme hanno in mano non solo un gran numero di dati ed informazioni, ma hanno anche un grande potere: esse possono influenzare la sicurezza online, partecipare al discorso pubblico, in quanto, da una parte, sono in grado di dirigere le opinioni e le scelte degli utenti e, dall’altra, hanno un coefficiente di peso nell’orientare il mercato online. Inoltre, l’art. 16, situato all’inizio della Sez. III del DSA deputata all’enucleazione delle ulteriori obbligazioni in capo alle “grandi piattaforme”, specifica, per l’appunto, che “le norme di seguito riportate non si applicheranno a quelle micro o piccole imprese, identificate come tali ai sensi dell’allegato alla Raccomandazione 2003/361/CE”.
[13] A quest’ultime è richiesto, in aggiunta agli adempimenti generali citati, la predisposizione di un sistema interno di gestione dei reclami, la garanzia della possibilità per i destinatari del servizio di adire un organismo di risoluzione stragiudiziale delle controversie, la previsione di misure tecniche e organizzative idonee ad assicurare che le segnalazioni provenienti da “segnalatori di fiducia” siano processate e decise con priorità, obblighi di trasparenza ulteriori che si sostanziano in report dai contenuti arricchiti, specifici obblighi di trasparenza in relazione alla pubblicità e alla tracciabilità dei venditori che si avvalgono delle piattaforme. Alle grandi piattaforme, individuate in quelle con un numero di utenti pari ad almeno il 10% della popolazione dell’Ue (45 milioni), è prescritto un risk assessment annuale nel quale individuare e analizzare eventuali rischi sistemici derivanti dall’utilizzo dei propri servizi all’interno dell’Ue. Inoltre, devono predisporre le correlate misure di mitigazione, la sottoposizione a un audit annuale indipendente nel quale verificare la compliance con il regolamento, la messa a disposizione di Commissione e Coordinatore – nonché di ricercatori con determinati requisiti e per specifiche finalità – dei propri dati e l’individuazione di responsabili della conformità.