Digital services pack: pubblicati in GU i due nuovi regolamenti europei per i servizi digitali

Il Digital Services Act e il Digital Markets Act sono legge europea: entrambi i Regolamenti approvati nel luglio scorso, che costituiscono il “pacchetto” di norme europee sui servizi digitali sono stati pubblicati in Gazzetta e diventeranno esecutivi nel 2023.

Vediamo che cosa sono e che cosa prevedono i due nuovi Regolamenti.

    Indice

  1. Il Digital Services Act
  2. Il Digital Markets Act

1. Il Digital Services Act

Il Regolamento sui servizi digitali è improntato su un principio semplice, ma rivoluzionario, nella pratica: ciò che è illegale offline deve essere illegale anche online. Ovvero, basta considerare il web come un mondo a parte, una terra di nessuno dove tutto è permesso e dove nessuno controlla.

Trasparenza sulle piattaforme e sugli algoritmi di profilazione, moderazione dei contenuti, obbligo dei fornitori di collaborare con le Autorità e di sottoporsi periodicamente a audit indipendenti sono i pilastri del DSA, che si applica ai servizi di informazione, ovvero a tutti gli intermediari, ivi compresi tutti i social network, che offrono servizi a distanza per via elettronica o telematica ed ha come obiettivo principale di creare un ambiente online sicuro ed affidabile, sia in termini di contenuti proposti, sia in termini di tutela dei consumatori.

I soggetti interessati avranno quindi una serie di obblighi, tra cui:

  • indicare le condizioni di servizio e i relativi requisiti in modo chiaro;
  • fornire informazioni esplicite sulla moderazione dei contenuti e sull’uso degli algoritmi per i sistemi di raccomandazione dei contenuti;
  • adottare trasparenza nei sistemi di suggerimento e nelle pubblicità online;
  • non profilare bambini o rivolgere pubblicità rivolta ai bambini;
  • non utilizzare dati sensibili per profilare gli utenti;
  • non utilizzare dark pattern o altre pratiche ingannevoli per manipolare le scelte;
  • collaborare con le autorità nazionali;
  • denunciare i reati;
  • creare un meccanismo di reclamo e ricorso e risoluzione extragiudiziale delle controversie;
  • adottare misure contro le segnalazioni e le repliche abusive;
  • controllare le credenziali di fornitori terzi, anche attraverso controlli a campione.

Queste regole varranno per tutti, ma come se non bastasse, per i Big Tech, ovvero per le piattaforme con oltre 45 milioni di utenti al mese (il cosiddetto mondo GAFAM per intenderci) avranno una serie di obbligazioni aggiuntive, tra cui:

  • obblighi in materia di gestione dei rischi, di risposta alle crisi e di prevenzione di abuso dei propri sistemi;
  • condivisione dei propri dati chiave e dei propri algoritmi con le autorità e con i ricercatori autorizzati per comprendere l’evoluzione dei rischi online;
  • collaborazione nelle risposte alle emergenze;
  • codici di condotta specifici;
  • prevenzione dei rischi sistemici come la diffusione di contenuti illegali o con effetto negativo su diritti fondamentali, processi elettorali, violenza di genere, salute mentale;
  • obbligo di sottoporsi ad audit indipendenti, cioè alla verifica della correttezza dei dati di bilancio e delle procedure adottate;
  • abilitazione degli utenti al blocco delle “raccomandazioni” basate sulla profilazione.

Scopi principali del regolamento sono di protezione, soprattutto per i minori, (art.24, che stabilisce il divieto di impiegare “tecniche di targeting o amplificazione che trattano, rivelano o inferiscono i dati personali dei minori o delle persone vulnerabili ai fini della visualizzazione della pubblicità”), contrasto alla diffusione di contenuti illegali o di fake news, garantire una maggior concorrenza, competitività, sicurezza e trasparenza.

Le sanzioni in caso di violazione degli obblighi imposti dal DSA possono arrivare fino al 6% del fatturato annuo totale, oltre al risarcimento dei danni eventualmente richiesto dagli utenti.

A verificare che le normative vengano rispettate, sono state previste due nuove figure che si occuperanno della Governance:

il Compliance Officer, figura interna alla società, previsto solo per le piattaforme con oltre 45 milioni di utenti/mese, designato con il compito di verificare e monitorare l’osservanza del regolamento (una sorta di DPO dei servizi digitali). Inoltre, dovrebbe venire istituito un Digital Services Coordinator, nuova autorità nazionale indipendente per vigilare sulla applicazione del Regolamento con obblighi di trasparenza, imparzialità, tempestività di azione e report annuale sulle proprie attività, nonché per la gestione e risoluzione dei reclami.

I Digital Services Coordinator di tutti gli stati membri dell’Unione si riuniscono e compongono il Comitato Europeo per i Servizi Digitali, presieduto dalla Commissione Europea.

2. Il Digital Markets Act

Il secondo Regolamento facente parte del Digital Pack è il Digital Markets Act, ovvero il nuovo Regolamento Europeo sui mercati digitali, che diventerà operativo nel 2023, anch’esso promulgato in ottica di responsabilizzazione delle grandi piattaforme online, per regolare le condotte e gli obblighi in ottica preventiva.

Il Digital Markets Act introduce l’utilizzo di:

  • blacklist, ovvero liste di pratiche considerate scorrette a priori, con divieti e restrizioni a carico dei provider di servizi digitali, per prevenire la messa in atto di pratiche sleali;
  • whitelist, ovvero liste di pratiche virtuose, con elenchi di nuovi obblighi a carico delle aziende;
  • case by case assessment, cioè valutazioni da applicare caso per caso alle grandi piattaforme.

A titolo esemplificativo, nella blacklist sono comprese:

  • il leveraging, ovvero lo sfruttamento della propria posizione dominante per monopolizzare nuovi mercati;
  • il self preferencing, ovvero favorire arbitrariamente i propri prodotti sulla piattaforma a discapito di quelli proposti da altre società;
  • il rifiuto di accesso ai dati dell’utenza a terze parti terze, previa autorizzazione dell’utente stesso;
  • l’obbligo di termini e condizioni che bloccano l’accesso a determinate funzionalità;
  • le pratiche di vincolo (tying) e aggregazione (bundling), come la vendita o l’offerta congiunta e ingiustificata di beni/servizi diversi;
  • l’imposizione di termini e condizioni poco chiare;
  • la limitazione o il rifiuto della portabilità dei dati o del riuso dei dati, per scoraggiare o impedire all’utente l’abbandono della piattaforma;
  • il rifiuto immotivato di soluzioni di interoperabilità per rendere più difficile cambiare piattaforma;
  • la combinazione di dati personali dell’utente, ricavati dai servizi di piattaforma, con altri dati personali ricavati da altri servizi, anche di terze parti, senza espressa autorizzazione dell’utente stesso. (fonte: Agenda Digitale).

Mentre tra le pratiche raccomandate dalla whitelist elenchiamo:

  • possibilità per gli utenti di disinstallare qualsiasi applicazione software preinstallata;
  • astensione dal garantire posizionamento e trattamento più favorevole ai prodotti che appartengono alla stessa impresa rispetto a quelli altrui;
  • fornitura a inserzionisti ed editori di informazioni necessarie per effettuare verifica e monitoraggio dei dati indipendenti dell’offerta di spazio pubblicitario;
  • fornitura a titolo gratuito agli utenti commerciali, o a terzi autorizzati da un utente commerciale, di un accesso efficace, continuo e in tempo reale a dati aggregati e non aggregati forniti o generati nel contesto dell’uso dei pertinenti servizi di piattaforma di base (solo previo consenso dell’utente). (fonte: Agenda Digitale).

In caso di violazione delle norme, il Digital Markets Act prevede sanzioni fino al 10% del fatturato dell’azienda e fino al 20% in caso di recidiva (più del DSA e del GDPR messi insieme).

Gli obiettivi del Digital Market Act si possono dunque riassumere nell’esigenza di combattere gli abusi del mercato, stimolando la concorrenza leale, con conseguente maggiore offerta agli utenti ed inoltre una maggiore trasparenza nella gestione dei dati personali e dunque della privacy.

Volume consigliato

Manuale di diritto alla protezione dei dati personali

Le novità introdotte dal Regolamento Europeo 2016/679, con la modifica del nostro “Codice privacy” ad opera del D.Lgs. n. 101/2018, rendono necessario riprogrammare il modo attraverso il quale i titolari (siano essi aziende, enti pubblici o associazioni) trattano i dati personali.Si impone un cambiamento culturale e di approccio, che richiede anche una nuova consapevolezza del valore dei dati da parte dei titolari del trattamento: non si tratta più di un tema esclusivamente legale, ma di organizzazione, di gestione di processi produttivi e distributivi, di adeguatezza degli strumenti informatici utilizzati.Il volume, partendo dalle prassi e dalle soluzioni operative, si propone di illustrare, con taglio pratico, l’impatto sul mercato del nuovo assetto normativo.Per tali motivi, in questa nuova edizione si sono aggiunti capitoli che:• esaminano il GDPR in rapporto con Blockchain, Bitcoin, Data Protection e Intelligenza Artificiale;• illustrano il nuovo approccio delle misure di Cybersecurity, con profili pratico-operativi;• propongono un’analisi compiuta di una casistica di Data Breach;• affrontano i rapporti tra GDPR e D.Lgs. n. 231/2001, antiriciclaggio e misure di audit in campo privacy;• offrono una più capillare analisi dell’applicazione dei principi di protezione dei dati personali veicolati nel Web.MARCO MAGLIOAvvocato in Milano e Data Scientist, nel 2001 ha fondato Lucerna Iuris, il primo Network Giuridico Internazionale di studi legali specializzati nella normativa sul trattamento dei dati personali e compliance legale nelle attività di marketing. Insegna Diritto della protezione dei dati personali in corsi di specializzazione in Italia e all’estero su Data Protection e Privacy Engineering, Diritto dei consumi e del marketing. Presidente dell’Osservatorio Europeo sulla Data Protection. Presiede il Giurì per l’Autodisciplina nella comunicazione commerciale diretta e nelle vendite a distanza. È referente italiano per le attività di ricerca della American Society of Comparative Law per le tematiche della data protectiony. Ricopre incarichi scientifici e professionali fin dagli anni ‘90 promuovendo la conoscenza della normativa sui dati personali. Partecipa al Gruppo di lavoro della Division of Data Science dell’Università di Berkeley. Sostenendo l’importanza di un approccio integrato alle tematiche della Data Protection, nel 2018 ha fondato con Miriam Polini e Nicola Tilli la Global Data Protection Alliance, che unisce le competenze di legali, informatici e manager internazionali per la tutela e valorizzazione effettiva dei dati.MIRIAM POLINIAvvocato in Milano, abilitato al patrocinio avanti le Corti Superiori, è Senior Partner di SLT&Partners – Novastudia da 16 anni. Laureata all’Università degli Studi di Pavia, Dottore di ricerca in Diritto penale interno e comparato presso l’Università degli Studi “Carlo Bo” di Urbino, è stata titolare di contratti di ricerca in importanti progetti con l’Università degli Studi “Carlo Bo” di Urbino e Università degli Studi di Macerata. Ha avuto incarichi di docenza per la SSPL dell’Università degli studi “Carlo Bo” di Urbino e per il Corso “Risk Management for SME and Emerging Risk” modulo Data Protection, dell’Università di Parma. Ha collaborato con la cattedra di diritto penale commerciale e progredito dell’Università Statale di Milano, è stata tutor della scuola di specializzazione per le professioni forensi dell’Università Statale di Milano. Autrice e Co-autrice di diverse pubblicazioni, relatore in eventi di formazione è responsabile scientifica di Novastudia Formazione. È ideatore, curatore e co-autore dell’opera.NICOLA TILLIAvvocato in Milano dal 1996, Cassazionista, Founding Partner del network di studi legali internazionalistici Novastudia Professional Alliance. Autore di varie pubblicazioni per primarie case editrici giuridico-professionali. Ha collaborato negli ultimi venticinque anni con l’Istituto di diritto civile (cattedra di diritto comparato) Università Statale di Milano, Libera Università di Castellanza (LUIC), Università Bocconi di Milano, Università del Piemonte Orientale e con incarichi di docenza o lecturer presso Università degli Studi “Carlo Bo” di Urbino, LUISS di Roma, Università di Parma. Trainer di Business School Il Sole 24 Ore, IKN, AIIA (Ass. Internal Auditors) È consulente e DPO per primarie imprese.

Nicola Tilli, Marco Maglio, Miriam Polini | 2019 Maggioli Editore

84.00 €  79.80 €

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento