Il Parlamento Europeo dibatterà la prossima settimana, tra le altre cose, di un argomento assai controverso e finora non regolato ad hoc. La Commissione per le libertà civili, la giustizia e gli affari interni discuterà infatti della disciplina della trasparenza e del targeting nella pubblicità politica (2021/0381(COD)). Un testo dal forte impatto sul modo in cui si effettua la promozione politica odierna, specie online ma non solo.
Il marketing schiettamente commerciale è da tempo in via di regolazione, sempre più stringente (pensiamo ai recenti Digital Services Act e Digital Markets Act per l’online) – ma che cosa possiamo dire del suo sottoinsieme, del marketing a scopo politico, soprattutto in questo periodo di elezioni italiane infervorate da polemiche e utilizzi massivi di social e altri strumenti digitali?
Risale al 2021 una proposta di Regolamento UE diretta proprio a porre dei freni a certi fenomeni altrimenti incontrollati (basti citare il caso paradigmatico, cioè Cambridge Analytica del 2018, o i ripetuti allarmi di “infodemia” raccolti dalle istituzioni europee sotto pandemia).
Vediamo di seguito come è costruito questo testo e come si potrà integrare, se approvato, nel puzzle normativo corrente.
DSA e DMA approvati: ecco cosa cambia per le piattaforme online
Indice degli argomenti
Ratio: perché una regolazione specifica
La proposta è stata varata, si legge, per due motivi: il primo, “contribuire al buon funzionamento del mercato interno della pubblicità politica con norme armonizzate che garantiscano un livello di trasparenza elevato della pubblicità politica e servizi connessi”.
Il secondo è “tutelare le persone fisiche con riguardo al trattamento dei dati personali, con norme sull’uso delle tecniche di targeting e amplificazione sempre in ambito di pubblicità politica”. Si tratta di un’esplicita espansione e precisazione delle tutele correnti del GDPR, le quali già si applicano al messaggio promozionale in sé (che sia a fine politico o meno) se comporta il trattamento di dati personali. Le forme attuali di comunicazione politica, di fatto, impiegano quasi esclusivamente dati personali.
Nel testo si dà conto che le prassi di targeting e amplificazione “hanno precise ripercussioni negative sui diritti dei cittadini, tra cui la libertà di opinione e di informazione, nel prendere decisioni politiche ed esercitare il diritto di voto.
Alcuni Stati membri hanno tentato o stanno valutando di intervenire sul fronte del targeting. In un contesto in cui sono armonizzate le norme di tutela delle persone fisiche con riguardo al trattamento dei loro dati personali e di libera circolazione di tali dati, è necessario ed opportuno un intervento a livello dell’Unione che assicuri ulteriore protezione specifica ai dati personali quando sono usati per il targeting dei messaggi di pubblicità politica”.
È vero che il testo prevede forme di limitazione alla libertà di espressione (restringe compiutamente l’utilizzo di messaggi mirati a scopo politico, in quanto forma di comunicazione e informazione), però le si considera proporzionate e controbilanciate “dalle opportunità che trarranno i prestatori di servizi di pubblicità politica dalla maggiore fiducia dei cittadini e delle autorità di regolamentazione nelle tecniche di targeting e dalla maggiore certezza di un loro uso conforme in ambito politico”.
È dunque la fiducia la stella polare del provvedimento, visto che nelle intenzioni previsioni del legislatore “una trasparenza armonizzata e precise restrizioni conterranno gli effetti delle tattiche di targeting problematico, come l’amplificazione ingannevole di alcuni messaggi o le tecniche venute a galla con lo scandalo Cambridge Analytica”.
Le misure previste “dovrebbero rafforzare la fiducia nell’uso dei messaggi di pubblicità politica e più in generale nel dibattito politico e nell’integrità del processo elettorale, contribuendo ad accrescere la resilienza del sistema elettorale dell’UE alla manipolazione delle informazioni e alle interferenze”.
Si forniscono anche chiari orizzonti temporali: la proposta è pensata per mettere in atto tali misure nel 2023, “affinché siano effettive prima delle elezioni del Parlamento europeo del 2024”. Perciò si ha in mente la tutela di un evento politico ben preciso, pur essendo applicabile a livello nazionale nei singoli Stati per qualsivoglia occasione e contesto di comunicazione politica, interna o sovranazionale che sia.
Da questa esigenza potrebbe arrivare la sterzata nella imminente discussione parlamentare, per chiudere un testo condiviso e approvarlo a breve, specie vista la definitività raggiunta in luglio del testo del Digital Services Act.
Tanto più se pensiamo al contesto attuale, a un Parlamento UE che sta continuando le audizioni per lo scandalo, dato in febbraio, del penetrante software israeliano Pegasus, utilizzato purtroppo da vari Paesi per operazioni di sorveglianza mirata e di massa e, di riflesso, di influenza politica estera. Tali eventi non possono che rafforzare la volontà politica di arrivare a una regolamentazione come quella qui esaminata.
Il design del Regolamento
La normativa disegnata dal testo in discussione sceglie un bersaglio specifico, cioè i provider delle comunicazioni pubblicitarie stesse (in quanto “servizi”), precisato che comunque ne sono destinatari tutti i “titolari” (nel senso dato dal GDPR, coloro che stabiliscono fini e modalità di trattamento di dati personali) sempre che utilizzino tecniche di “targeting o amplificazione”.
Con tale espressione si intendono quelle tecniche “usate per rivolgere solo a una persona specifica o a un gruppo specifico di persone un messaggio di pubblicità politica concepito su misura, o per aumentarne la diffusione, la portata o la visibilità”.
Si prescinde dallo strumento o dal contesto: potrà essere digitale o meno, in un’ottica neutrale (“qualsiasi mezzo”). Circa le PMI, sono previste esenzioni da certi obblighi che vedremo, per non gravarle eccessivamente.
Se comunque il concetto di “targeting” è abbastanza preciso e trova sponda già nel GDPR, l’abbinato concetto di “amplificazione” appare più problematico e non trova nei Considerando del testo, al momento, un’esemplificazione esaustiva a supporto. Si comprende solo che dovrebbe basarsi, in ogni caso, sulla personalizzazione del contenuto per la sua diffusione, “in funzione di caratteristiche determinate grazie al trattamento di dati personali e la loro analisi”.
Nei Considerando si specifica oltretutto che “è possibile segmentare diversi gruppi elettorali o di privati cittadini e sfruttarne le caratteristiche o vulnerabilità, ad esempio diffondendo messaggi di pubblicità politica in momenti e luoghi ad hoc per trarre vantaggio da situazioni in cui potrebbe essere più acuta la sensibilità a un certo tipo di informazione/messaggio”.
L’ambito di particolare attenzione è, naturalmente, quello dei social media, maggiori utilizzatori delle attività di profilazione sottese a queste definizioni.
La domanda fondamentale trova una risposta definitoria nel Regolamento: che cosa si deve intendere per marketing “politico”, pubblicità “politica”? Si intende “la preparazione, collocazione, promozione, pubblicazione o diffusione, con qualsiasi mezzo, di un messaggio: a) di, a favore o per conto di un attore politico, salvo se di natura meramente privata o meramente commerciale; oppure b) che possa influenzare l’esito di un’elezione o di un referendum, di un processo legislativo o regolamentare o di un comportamento di voto”.
I dubbi su cosa, in che modo e in che misura si possa “influenzare” non mancano.
Si badi che sussistono due esclusioni indicate nei Considerando di un certo peso e che possono dare il via a facili escamotage, cioè quando i messaggi prendono la forma di contenuti caricati da utenti di servizi intermediari online (ad es. attraverso un social media) oppure condivisi tramite servizi di messaggistica (ad es. WhatsApp, Telegram ecc.) – sempre che l’utente non abbia ricevuto un compenso da terzi per tale messaggio (cosa non proprio facile da dimostrare).
Si tratta di un’esclusione che potrebbe esentare molta della comunicazione politica pratica oggi, ad es. tramite finti account e simili, rischiando di rendere poco efficace il Regolamento alla prova dei fatti, sebbene se ne comprenda il diverso soggetto coinvolto (immaginiamo la difficoltà per il provider nel gestire gli scambi di comunicazioni di utenti in questi contesti).
Nelle definizioni ritroviamo una lunga lista di coloro che possono considerarsi “attori politici”, includendovi partiti, alleanze, funzionari, membri di governo, ecc. Altri soggetti menzionati sono gli “sponsor” (cioè i soggetti per conto dei quali si realizza e comunica il messaggio politico) e gli “editori di pubblicità politica” (coloro che offrono gli strumenti di diffusione dei messaggi).
Similmente a quanto previsto dal GDPR, il perimetro applicativo corrisponde a condotte rientranti nel territorio unionale, indipendentemente dal luogo di stabilimento del prestatore di servizi (potenzialmente anche extra-UE/SEE).
Quanto alla “trasparenza”, nel contesto del Regolamento ciò significa il rispetto di obblighi ben precisi, andiamo a elencarli:
- individuazione dei servizi di pubblicità politica: saranno i prestatori di servizi a dover richiedere agli sponsor (o loro intermediari) una dichiarazione ove si attesti il carattere di “pubblicità politica” del servizio richiesto, oltre a far rispettare contrattualmente il presente Regolamento;
- registri e trasmissione delle informazioni: si dovranno mantenere – per ben 5 anni –registri ad hoc, con informazioni sui servizi richiesti, comunicati altresì agli editori coinvolti;
- trasparenza del singolo messaggio: una sorta di etichetta dovrà riportare in ogni messaggio il carattere di pubblicità politica (problematico potrebbe essere capire come includere “un avviso di trasparenza che renda comprensibili il contesto più ampio in cui si situa il messaggio di pubblicità politica e i suoi obiettivi, oppure l’indicazione chiara di dove lo si possa reperire facilmente”); l’onerato in questo caso è l’editore di pubblicità politica; si richiama la Direttiva UE/2019/882 sull’accessibilità per indicare l’opportunità di agevolarne l’accesso anche alle persone con disabilità;
- relazioni periodiche sui servizi di pubblicità politica: gli editori dovranno includere in bilancio informazioni su fatturati o valori di prestazioni legati alle tecniche di targeting e amplificazione;
- segnalazione di messaggi potenzialmente illeciti: sempre gli editori dovranno implementare meccanismi per poter segnalare, da parte del pubblico, se un messaggio non è conforme al Regolamento;
- trasmissione di informazioni alle autorità competenti: le autorità di controllo potranno chiedere ai prestatori di servizi di trasmettere i predetti registri, informazioni, etichette ecc.;
- trasmissione di informazioni ad altri soggetti interessati: similmente, se un “soggetto interessato” lo richiede deve ricevere i registri e le informazioni di cui sopra; attenzione, qui per “interessati” non si intendono quelli indicati nel GDPR (cioè le persone fisiche a cui si riferiscono i dati personali) bensì determinati terzi soggetti indicati nella normativa, tra cui ad es. i ricercatori abilitati già introdotti dal DSA, organizzazioni della società civile a tutela di interessi pubblici ecc.;
- rappresentante legale: al pari di quanto già previsto dal GDPR, i prestatori di servizi extra-UE dovranno designare un rappresentante nel territorio UE.
Vi sono pure articoli dedicati alle condotte stesse di targeting e amplificazione:
- divieti e obblighi specifici: sono vietate tecniche che facciano uso di dati personali particolari, tranne che nel caso di consenso esplicito o nell’ambito del terzo settore; inoltre va redatto dal provider un documento di strategia interna ove fissare le tecniche adottate, da mantenere per 5 anni; vanno tenuti registri su tali condotte e rese informazioni integrative ai destinatari per comprendere logiche, parametri, fonti dei dati, tecniche ecc.;
- trasmissione di informazioni specifiche ad altri soggetti interessati: gli interessati potranno richiedere ai titolari tutte le informazioni appena dette, nel senso sopra visto.
Il testo è integrato da due allegati, dedicati precipuamente alla trasparenza: si tratta di una lunga elencazione delle informazioni da rendere al pubblico, a onere dei provider. Si pensa già alla dinamica del loro aggiornamento, visto che questi documenti potranno essere modificati nel tempo dalla sola Commissione, senza comportare un iter legislativo di revisione.
Le sanzioni previste
Circa le sanzioni (“anche amministrative, pecuniarie e finanziarie”) per le violazioni, si adotta l’approccio già fatto proprio (parzialmente) nel Digital Services Act, cioè ogni Stato membro è libero di determinarle nel rispetto di alcuni criteri minimi presenti nel Regolamento (effettività, proporzionalità, dissuasività ecc. – manca del tutto una soglia minima/massima a fare da “ancora”).
Va notato che si stabilisce un criterio aggravante, se i fatti “riguardano messaggi di pubblicità politica pubblicati o diffusi durante un periodo elettorale e rivolte a cittadini dello Stato membro in cui è organizzata l’elezione”.
Questa scelta di rimando agli Stati era critica nell’Act e lo è anche qui, portando a una probabile disarmonia europea nell’enforcement (vi saranno Stati con sanzioni più o meno severe) e relativo forum shopping (scelta dello Stato con le sanzioni più lievi) da parte degli operatori. Non certo ciò che ci si aspetta dalle premesse di armonizzazione e dalla scelta di uno strumento unificante come un Regolamento.
Infine, chi sarà il sorvegliante di tutto ciò? Non si vogliono istituire nuove entità, per cui si demanda anzitutto alle autorità di controllo privacy (da noi sarà il Garante per la protezione dei dati personali) il monitoraggio di questa “nuova costola” di attività. Richiedendo necessariamente risorse aggiuntive per far fronte al nuovo monitoraggio: gli Stati saranno in grado di assicurarle? E in che misura?
Per altre attività del Regolamento il testo rimanda alla discrezione degli Stati, sia per le autorità di controllo del DSA, sia per autorità terze. E’ probabile che sempre e solo il Garante nazionale sia designato per tutto ciò, da parte del nostro Paese, al più con un ruolo forse per l’AGCOM?
Si noti che non è previsto, per attività transfrontaliere e che coinvolgono più Stati membri, un meccanismo one-stop-shop con autorità capofila analogo a quello del GDPR; si descrive invece un necessario coordinamento e si invoca una cooperazione tra le varie autorità nazionali coinvolte.
I rapporti con altre normative
Prima di tutto, il Regolamento presenta intersezioni e derivazioni con e dalla disciplina del GDPR, più volte richiamato nel testo stesso e di cui si è detto rappresenta un chiaro sviluppo settoriale e di integrazione tematica, oltre a riproporne concetti e termini. Vi si ritrovano spesso indicazioni che paiono ispirate dalle EDPB Guidelines n. 8/2020 sul targeting degli utenti di social media: l’obiettivo manifesto è anzitutto una maggiore trasparenza informativa, rispetto a quanto desumibile dal GDPR nel discusso art. 22 sulle decisioni automatizzate con eventuale profilazione.
Molti dubbi sono stati sollevati circa la compatibilità e integrazione del Regolamento con il testo del Digital Services Act (DSA), arrivato in luglio alla versione definitiva per regolare i servizi online.
Nelle intenzioni del Parlamento i due testi dovrebbero coesistere, anzi far parte di un combinato operare: rispetto al DSA, il Regolamento estende il cerchio di informazioni oggetto di disciplina (vedi le definizioni; si vuole soprattutto rendere più “granulare” quanto richiesto agli editori per la trasparenza), si indirizzano le prescrizioni ben oltre le piattaforme online (vedi editori, sponsor ecc.) e, soprattutto, rappresenta una specificazione di particolari “rischi sistemici” che, altrimenti, il DSA impone di valutare in maniera piuttosto astratta e generica. Vedremo se verranno applicate modifiche per coordinare maggiormente, pure a livello terminologico, quanto consolidato nel testo definitivo del DSA.
In linea col DSA, con le normative sull’e-commerce e la protezione della proprietà intellettuale, comunque sia, viene ribadito che non si vuole introdurre un obbligo generale di sorveglianza a carico dei provider.
Circa l’ambito politico, si dice esplicitamente che il Reg. UE/EURATOM 1141/2014 sui partiti politici europei va considerato complementare quanto ad obblighi pubblicitari.
Conclusioni
In definitiva, si auspica che il testo in bozza venga ancor meglio “sposato” con le regolazioni limitrofe, a far corpo in una complessa interazione normativa che già di per sé, per questo suo necessario coordinamento operativo e concettuale, rappresenta una sfida.
Sarà anche uno strumento efficace, nella sua complessità e articolazione in mille documenti, procedure, monitoraggi, ambiguità?
Il nodo fondamentale pare risiedere nell’oggetto disciplinato, le predette “pubblicità politiche”: i casi pregressi di infodemia e Cambridge Analytica hanno portato alla luce casi di influenza della popolazione attuate in guise sottili, dirette spesso non su temi scopertamente politici (né ovviamente palesando la finalità ultima) ma ancillari a determinate scelte politiche in corso.
Quanto di ciò potrà essere più o meno agilmente inquadrato nelle definizioni del testo regolamentare è dubbio, si tratta di uno degli aspetti che dovrebbe meritare la maggiore attenzione e riflessione in sede di revisione. Il tempo ci dirà se si tratta solo di un aggravio normativo o di uno strumento con una sua ragionevole efficacia.
