Il Digital Service Act e la lezione del GDPR: un benchmark importante per il legislatore europeo - Cyber Security 360

SERVIZI DIGITALI

Il Digital Service Act e la lezione del GDPR: un benchmark importante per il legislatore europeo

Il Digital Services Act, la nuova normativa che mira a rendere più sicuro l’ecosistema digitale, pone all’attenzione di consumatori e operatori economici una serie di temi cari al legislatore europeo: trasparenza, informazione, verificabilità, conformità, sicurezza. In questo senso, l’esperienza maturata dal GDPR e dall’approccio basato sul rischio hanno rappresentato un importante benchmark. Ecco perché

22 Dic 2021
C
Anna Cataleta

Avvocato, Senior Partner P4I – Partners4Innovation

N
Alessandra Nisticò

Data Privacy Consultant, P4I - Partners4Innovation

Il 15 dicembre scorso è stato raggiunto l’accordo in seno alla commissione parlamentare che porterà il Digital Services Act (DSA) a ricevere il voto finale nella sessione plenaria del Parlamento Europeo nel gennaio 2022.

I destinatari principali del Digital Services Act sono gli intermediari online e le piattaforme. Vi rientrano i marketplace, i social network, le piattaforme di condivisione di contenuti, gli store di app e le piattaforme per l’organizzazione di viaggi e alloggi.

In altre parole, molte delle piattaforme in cui si articola la c.d. sharing-economy e gli spazi di condivisione dei contenuti generati dagli utenti. Vengono previsti una serie di obblighi che crescono al crescere delle dimensioni dell’operatore economico.

Digital Services Act, via libera alle modifiche della proposta di legge: ecco cosa dice la norma

Il Digital Services Act per la sicurezza dell’ecosistema digitale

La nuova normativa pone all’attenzione di consumatori e operatori economici una serie di temi che sono cari al legislatore europeo: trasparenza, informazione, verificabilità, conformità, sicurezza.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

Infatti, ciò che ha mosso il legislatore è stata la proliferazione di contenuti online pericolosi. Disinformazione e hate speech hanno caratterizzato l’esperienza online di miliardi di utenti in tutto il globo negli ultimi anni e tali fenomeni sono incrementati durante i primi mesi della pandemia da Covid-19.

Rendere più sicuro l’ecosistema digitale in cui miliardi di persone quotidianamente condividono esperienze, generano contenuti, compiono acquisti, lavorano, socializzano è diventata un’esigenza imprescindibile per il raggiungimento di quel Mercato Unico Digitale (il Digital Single Market) che è tra gli obiettivi della nuova legislazione dell’Unione.

Accanto alla proliferazione di contenuti illegali o pericolosi si è assistito al proliferare di pratiche commerciali scorrette che portano i consumatori a sottoscrivere abbonamenti in modo inconsapevole, perdendosi tra i dark patterns, una sorta di “selva oscura” di link per annullare abbonamenti dai quali è difficile uscire.

La normativa introdotta amalgama l’esperienza maturata in relazione alla protezione dei consumatori e della sicurezza dei prodotti per gli aspetti contrattuali e di conformità, mentre ricorre all’esperienza ormai quadriennale del Regolamento UE 2016/679 sulla protezione dei dati personali.

Dark pattern, come evitarli per la tutela dei consumatori europei e dei loro dati personali

Obblighi di informazione e trasparenza: la lezione del GDPR

Il GDPR diviene allora un elemento utile per individuare gli obblighi di informazione e trasparenza che dal trattamento dei dati personali si spostano al rapporto tra provider di servizi digitali e utente.

L’accettazione del servizio deve essere informata, libera, trasparente secondo i termini e le condizioni d’uso del servizio. Vengono scoraggiate le pratiche che rendono difficoltoso il recesso dal servizio digitale e viene incentivata la creazione di standard su cui i fornitori di servizi digitali possono programmare le rispettive azioni in un mercato digitale che è sempre più unico.

Il bisogno di rapidità e di certezza sottostante la programmazione economica e informatica agevolano modalità contrattuali che tentano di minimizzare i possibili contenziosi e rendere il processo economico fluido, automatizzato, tracciabile.

Nuovi obblighi nei rapporti tra piattaforma e operatore economico

Gli obblighi di trasparenza richiesti dalla normativa si estendono anche ai rapporti tra la piattaforma e l’operatore economico.

La piattaforma deve spiegare a chi propone i propri servizi attraverso essa, quali sono i criteri per la comparsa degli annunci, la logica sottostante l’algoritmo delle ricerche degli utenti, al fine di scoraggiare eventuali pratiche commerciali scorrette che vanno a penalizzare alcuni operatori economici a discapito di altri sulla base di informazioni non condivise tra gli operatori economici o di libere scelte di alcuni.

È evidente il riferimento alla recente sanzione che l’AGCM ha erogato nei confronti di Amazon per 1 miliardo e 128 milioni di euro per abuso di posizione dominante.

Secondo l’Autorità, infatti, la piattaforma avrebbe penalizzato gli operatori economici che gestivano le proprie consegne con corrieri diversi da quelli del servizio Logistica di Amazon cui era legato l’accesso a un insieme di vantaggi essenziali per ottenere visibilità e migliori prospettive di vendite su Amazon.it (ad esempio, l’etichetta Prime, che consente di partecipare ad eventi speciali gestiti da Amazon, come Black Friday, Cyber Monday, Prime Day e aumenta la probabilità che l’offerta del venditore sia selezionata come Offerta in Vetrina e visualizzata nella cosiddetta Buy Box).

Inoltre, dall’istruttoria è emerso che ai venditori terzi che utilizzano FBA non veniva applicato lo stesso sistema di misurazione delle performance cui Amazon sottopone i venditori non-FBA e il cui mancato superamento può portare anche alla sospensione dell’account del venditore.

Secondo l’Autorità per la Concorrenza e il Mercato, le condotte poste in atto da Amazon costituiscono un abuso di posizione dominante perché impongono condizioni diseguali per operatori economici che accedono alla piattaforma, sulla base dell’accettazione o meno di servizi che non sono core della piattaforma come quello della logistica.

Tale politica ha finito per danneggiare i fornitori dei servizi di logistica diversi da Amazon e al tempo stesso gli altri marketplace concorrenti, posto che i venditori online che utilizzavano la logistica di Amazon avrebbero dovuto duplicare il magazzino per poter offrire i prodotti su altre piattaforme.

Cosa ci insegna la sanzione di AGCM ad Amazon

La vicenda di Amazon è uno degli esempi come il funzionamento di una piattaforma digitale, le regole che governano l’algoritmo finiscono per produrre effetti anche sul mercato offline e pertanto richiedono una regolamentazione.

La nuova proposta di regolamento, dunque, innesta un dialogo fatto di pesi e contrappesi nel tentativo di bilanciare il bisogno di favorire lo sviluppo del digitale con l’esigenza di evitare distorsioni di mercato. Al tempo stesso, il bisogno di contrastare la proliferazione di contenuti dannosi o illegali e la necessità di preservare la libertà di parola individuale che è uno dei diritti fondamentali che caratterizzano l’Unione Europea.

È un procedimento che va per tentativi non scevro di difficoltà per il legislatore europeo, come dimostra la marcia indietro che è stata fatta sul content-filtering.

Nelle proposte emerse in seno al regolamento vi era la richiesta di rendere le piattaforme responsabili per i contenuti prodotti dagli utenti e ciò rischiava di far introdurre meccanismi di rimozione automatica del contenuto, ponendo dei quesiti sulla compatibilità di tale sistema con la libertà di opinione.

Nella versione su cui la commissione parlamentare ha trovato l’ultimo accordo, rimane l’impostazione attuale, ovvero la responsabilità dell’utente, salvo il coinvolgimento della piattaforma per non essersi attivata a rimuovere i contenuti a seguito di segnalazioni.

In relazione alla rimozione dei contenuti e alla gestione dei contenziosi interni alla piattaforma, è ribadita la possibilità di implementare sistemi di ricorso automatici, anche basati su algoritmi, che tuttavia devono prevedere la possibilità di un intervento umano per contestare la decisione, come prevede l’art. 22 GDPR, affinché la normativa rimanga human-centric.

L’esperienza maturata dal GDPR, pertanto, ha costituito un benchmark importante per il legislatore europeo per modellare sui suoi meccanismi processi che non necessariamente sono inerenti al trattamento dei dati personali ma le cui logiche sottostanti di trasparenza, pubblicità e sicurezza hanno dimostrato di funzionare insieme all’approccio basato sul rischio i cui principi vengono mutuati con i dovuti distinguo nel nuovo regolamento.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5