di Massimiliano Nicotra
Il Digital Service Act (Regolamento (UE) n. 2022/2065) si profila all’orizzonte dato che entrerà in vigore il prossimo 17 febbraio 2024. Le nuove regolano ridisegnano il panorama delle regole introducendo nuovi standard di sicurezza, trasparenza e responsabilità per i prestatori di servizi digitali intermediari.
Nel descrivere ed annunciare la nuova disciplina ci si è concentrati molto sugli obblighi che essa impone alle grandi piattaforme ed ai motori di ricerca.
La designazione da parte della Commissione Europea di diciassette Very Online Large Platform – VLOP (Alibaba AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube e Zalando) e di due Very Large Online Search Engines – VLOSE (Google e Bing) è stata ripresa da molti giornali e commentatori e, prescindendo dalle contestazioni mosse a tale designazione da alcuni dei soggetti (Zalando e Amazon), rischiano di mettere in secondo piano l’effettiva portata delle nuove regole.
Il Digital Service Act (DSA), infatti, interviene come evoluzione della direttiva 2000/31/CE sul commercio elettronico, sopprimendo alcuni suoi articoli (quelli relativi ai servizi intermediari) ed introducendo una serie di obblighi più stringenti verso coloro che prestano tali tipologie di servizi.
Ciò significa che il DSA ha un ambito di applicazione molto ampio e coinvolge, con una sorta di disciplina “piramidale”, svariate tipologie di soggetti che svolgono servizi intermediari “a destinatari il cui luogo di stabilimento si trova nell’Unione o che sono ubicati nell’Unione”.
Per tale motivo ad adeguarsi sono chiamate anche molte aziende italiane che offrono servizi online le quali per la data del 17 febbraio 2024, dovranno aver implementato le varie previsioni regolamentari.
La disciplina piramidale del DSA
Per comprendere l’approccio e l’estensione delle regole ed obblighi che le aziende sono chiamate a porre in essere può essere utile ricorrere allo schema di seguito riportato
Considerando la piramide come l’insieme degli adempimenti ed obblighi previsti nella nuova normativa alla sua base troviamo i soggetti che gestiscono grandi piattaforme online o grandi motori di ricerca (dove la grandezza è data dal numero di utenti che li utilizzano): coloro devono adempiere a tutte le previsioni del testo regolamentare incluse quelle volte ad evitare i cd. rischi sistemici.
Al secondo gradino si trovano le piattaforme online, la cui definizione vedremo in seguito, le quali sono tenute ad applicare tutte le previsioni con esclusione di quelle specifiche per i rischi sistemici. In tale ambito gli obblighi si differenziano anche a seconda che la piattaforma consenta la stipulazione di contratti a distanza o meno.
Per i fornitori dei servizi di memorizzazione, che sono al terzo gradino della piramide, trovano applicazione una serie più limitata di norme, mentre coloro che rendono servizi di caching e di mere conduit (ossia soggetti che svolgono prevalentemente attività tecniche necessarie alla trasmissione dei dati sulla rete) sono unicamente obbligati ad istituire un punto unico di contatto per autorità ed utenti ed a rendere pubblica annualmente la relazione di trasparenza.
E’ opportuno evidenziare che il DSA conferma l’impostazione già adottata dalla direttiva 2000/31/CE circa l’assenza di un generale obbligo di sorveglianza dei contenuti, che si traduce nell’assenza di responsabilità per gli stessi. Tale esimente, però, fa il paio con l’obbligo di contrastare i contenuti illegali: nel momento in cui il prestatore viene a conoscenza di un contenuto illegale deve agire prontamente per adottare le opportune azioni di contrasto.
I prestatori di servizi intermediari: l’applicazione trasversale del DSA.
A questo punto è necessario addentrarci nelle definizioni riportate nel Regolamento per comprendere quali sono i soggetti impattati dalla normativa.
La prima definizione riguarda l’utente, che il DSA inquadra come “destinatario” dei servizi in quanto utilizzatore degli stessi allo scopo di ricerca informazioni o diffonderle.
Dal lato dei fornitori essi sono definiti in via generale come fornitori di “servizi intermediari” che a loro volta sono:
- Il servizio di trasporto (mere conduit) che consiste nel trasmettere le informazioni su una rete di comunicazione o nel consentire l’accesso alla rete;
- Il servizio di memorizzazione temporanea (caching) che si concretizza nella memorizzazione automatica, intermedia e temporanea delle informazioni ed ha quale unico scopo quello di rendere più efficiente l’inoltro delle stesse ai successivi destinatari;
- Il servizio di memorizzazione di informazioni (hosting) ossia la conservazione delle informazioni stesse su richiesta di un destinatario.
A tali tre fornitori servizi, che potremmo definire di base, si aggiungono le “piattaforme online” le quali sono sempre dei fornitori di servizi di memorizzazione delle informazioni, ma oltre a conservare le stesse provvedono a diffonderle al pubblico.
Infine, sono regolati i motori di ricerca online quali servizi che consentono all’utente di formulare domande al fine di effettuare ricerche sul web.
Mentre i servizi di trasporto e di memorizzazione temporanea possono essere considerati come attività prevalentemente tecniche necessarie al corretto e più efficace svolgimento della trasmissione delle informazioni sulla rete, i servizi di memorizzazione di informazioni a richiesta del destinatario rivestono una maggior importanza e possono riguardare una platea molto ampia di soggetti.
Sul punto è necessario ricordare che la Corte di Giustizia Europea aveva operato una distinzione tra il cd. “hosting passivo” in cui il fornitore si limita a mettere a disposizione i macchinari (ed i collegamenti di rete) necessari a memorizzare le informazioni ed “hosting attivo” in cui oltre alla messa a disposizione di tali strumenti il fornitore interviene attivamente nell’organizzazione delle informazioni.
Tale distinzione non è stata letteralmente ripresa nel DSA, ma il legislatore europeo ha preferito piuttosto creare una sotto-categoria di fornitori di servizi di memorizzazione, ossia le piattaforme online che si connotano non tanto per organizzare i contenuti, ma piuttosto per diffondere le informazioni, su richiesta del destinatario del servizio, ad un numero indefinito di utenti.
La diffusione dei contenuti memorizzati verso un pubblico indefinito, è in verità caratteristica anche di alcuni servizi che non rientrano però nel concetto di piattaforma online.
La norma, infatti, precisa che se la diffusione è una funziona minore e puramente accessoria o una funzionalità minore del servizio principale, e per ragioni oggettive e tecniche non possa essere utilizzata senza l’altro servizio, allora deve escludersi che si rientri nel campo di applicabilità della definizione di piattaforma online.
Il considerando n. 13 del Regolamento fornisce alcuni esempi in tal senso, come la sezione dei commenti di un quotidiano online, che riveste le caratteristiche di tale accessorietà, oppure i servizi cloud o di web hosting per i quali la diffusione dovrebbe costituire una funzionalità minore ed accessoria rispetto la memorizzazione delle informazioni (si pensi anche ai servizi di file sharing o di file storage che normalmente non prevedono la condivisione die file in maniera indistinta con un numero indeterminato di destinatari, ma consentono di condividere i file con specifici soggetti individuati).
Le piattaforme online, invece, si distinguono come sotto-categoria proprio per tale attività di diffusione tra il su richiesta del destinatario. Le informazioni sono messe a disposizione ad un numero potenzialmente illimitato di persone, senza che sia necessario un ulteriore intervento dei destinatari del servizio che ha fornito le informazioni ed indipendente dall’accesso effettivo alle stesse da parte di tale pubblico. Ciò vale anche per i servizi di comunicazione interpersonale, qualora le informazioni vengano messe a disposizione di un numero potenzialmente illimitato di destinatari attraverso gruppi pubblici o canali aperti.
Conclusioni
Chiarito così l’ambito applicativo e la portata materiale delle definizioni presenti nel DSA è possibile comprendere, anche attraverso degli esempi, quali siano effettivamente i soggetti che devono essere tenuti all’applicazione delle nuove regole.
In particolare, mentre appare abbastanza chiara la definizione dei servizi di mere conduit, caching e memorizzazione delle informazioni, qualche precisazione appare necessaria per il concetto di piattaforma online.
Innanzitutto, è bene chiarire che le piattaforme online non sono solo quelle che sono state oggetto di designazione da parte della Commissione Europea, ma rientrano in tale categoria anche quei servizi che svolgono funzioni analoghe ed hanno un numero di utenti inferiori a 45 milioni (soglia al superamento della quale si è candidati per la designazione a VLOP).
In secondo luogo, gli obblighi previsti per i fornitori che rivestono la qualifica di piattaforma online non si applicano qualora siano microimprese o piccole imprese, sulla base dell’applicazione dei parametri stabiliti dalla Commissione Europea con raccomandazione 2003/361/CE.
Quindi, partendo dalla definizione di piattaforma online come servizio di memorizzazione delle informazioni a cui si aggiunge la funzione di diffusione al pubblico delle stesse su richiesta del destinatario del servizio, può ben comprendersi che la platea di soggetti impattati dalla normativa è molto ampia dato che comprende qualsiasi tipo di marketplace (ed in effetti nell’ambito della sotto-categoria delle piattaforme online vi sono specifiche previsioni per quelle che consentono la conclusione di contratti a distanza) e altri servizi volti a diffondere contenuti degli utenti.
Si pensi ai siti di annunci immobiliari (come immobiliare.it o casa.it), ai marketplace che consentono di vendere sulla piattaforma anche prodotti di terzi in vari settori (come minto.it, eprice.it, automobile.it per citarne alcuni) o anche alle app di food delivery che diffondono i contenuti inseriti dai vari ristoranti affiliati.
Si tratta in ogni caso di servizi che ricadono nella definizione di piattaforma online introdotta dal DSA i cui fornitori, pur non dovendo attuare le ulteriori previsioni previste in capo alle VLOP per la prevenzione dei rischi sistemici, saranno tenuti ad adeguarsi alla nuova normativa dal 17 febbraio 2024, implementando gli standard di sicurezza, trasparenza e responsabilità previsti dal Regolamento.