EU Digital Services Act, obblighi di compliance per gli enti del settore dei servizi digitali e poteri di enforcement: un quadro di sintesi del nuovo scenario di regolazione,

di  Emanuele Birritteri, Assegnista di ricerca in Diritto penale, Luiss

 

 

 

1. Inquadramento generale

 

Il nuovo Regolamento UE 2022/2065 relativo al mercato unico dei servizi digitali (Digital Services Act – DSA) del 19 ottobre 2022 si pone l’ambizioso obiettivo di regolamentare i mercati digitali, bilanciando il libero sviluppo di tali attività economiche nel mercato unico europeo con la protezione dei rilevanti interessi individuali e collettivi in gioco (dal benessere psico-fisico della persona, alla tutela dell’integrità di processi elettorali, fino alla salute pubblica).

 

La riforma – che si applicherà a decorrere dal 17 febbraio 2024 (cfr. art. 93) – incide su tre principali profili: a) il regime di responsabilità dei provider; b) l’introduzione di nuovi obblighi di compliance a carico di determinate categorie di prestatori di servizi intermediari; c) la costruzione di un apparato di enforcement per garantire l’osservanza delle previsioni del Regolamento.

 

 

2. La responsabilità dei provider

 

Rispetto al primo punto pocanzi menzionato, da un lato, la novella conferma (art. 8) la tradizionale impostazione dell’assenza di obblighi generali di sorveglianza a carico di tali operatori (per cui si esclude normalmente che rispetto a essi sia ravvisabile una posizione di garanzia concernente il dovere di impedire reati commessi dagli utenti); si stabilisce, altresì, che i prestatori di servizi intermediari possano beneficiare comunque dell’esenzione da responsabilità di cui agli artt. 4, 5 e 6 del DSA anche laddove svolgano «in buona fede e in modo diligente indagini volontarie di propria iniziativa o [adottino] altre misure volte a individuare, identificare e rimuovere contenuti illegali o a disabilitare l’accesso agli stessi» (art. 7). Dall’altro lato, però, il DSA disciplina dettagliatamente, inter alia, sia i doveri di cooperazione dei provider allorquando ricevano ordini da parte delle autorità pubbliche di contrastare specifici contenuti illegali (art. 9) o di fornire informazioni (art. 10), sia, per ciò che riguarda i prestatori di servizi di memorizzazione, l’obbligo di informare senza indugio le autorità giudiziarie o di enforcement dello Stato o degli Stati membri interessati «qualora venga[no] a conoscenza di informazioni che fanno sospettare che sia stato commesso, si stia commettendo o probabilmente sarà commesso un reato che comporta una minaccia per la vita o la sicurezza di una o più persone» (art. 18).

 

 

3. L’introduzione di nuovi obblighi di compliance a carico di determinate categorie di prestatori di servizi intermediari

 

Il DSA introduce una serie di due diligence obligation per determinati provider, con un innovativo sistema di obblighi strutturato secondo vari ‘livelli’ di intensità crescente e diversificati in base al particolare destinatario degli stessi, tenendo conto della sua importanza e della dimensione del suo business; in particolare, a ogni nuovo livello ‘aggiuntivo’ alcuni operatori vengono chiamati a conformarsi a disposizioni ulteriori che vanno a sommarsi (e non già a sostituirsi) a quelle dei livelli precedenti.

 

Il Regolamento muove in tal senso dalla dimensione ‘base’ delle previsioni applicabili a tutti i prestatori di servizi intermediari, tra cui il dovere di definire termini e condizioni del servizio nel rispetto, tra l’altro, dei diritti fondamentali sanciti dalla ‘Carta’ europea e in particolare della libertà di espressione (art. 14) e quello di pubblicare (ex art. 15) relazioni periodiche sulle attività di moderazione dei contenuti immessi in rete dagli utenti.

 

Si passa poi alle norme ‘intermedie’ valevoli per prestatori di servizi di memorizzazione e piattaforme online: a seconda dei casi, ex multis, il dovere di: a) predisporre meccanismi di notice and action per consentire agli utenti di presentare segnalazioni circa la presenza di contenuti illegali (art. 16); b) fornire motivazioni dettagliate agli utenti sulle restrizioni imposte (art. 17); c) istituire sistemi interni di gestione dei reclami (art. 20) e meccanismi (art. 22) per trattare in via prioritaria le segnalazioni presentate dai c.d. trusted flaggers. Alcune disposizioni aggiuntive specifiche riguardano altresì le piattaforme online «che consentono ai consumatori di concludere contratti a distanza con gli operatori commerciali» (Capo III, Sez. IV del DSA), tra cui obblighi in tema di tracciabilità dei traders (art. 30), compliance by design (art. 31) e informazioni agli utenti (art. 32).

 

Si giunge, quindi, all’ultimo ‘gradino’ concernente le più gravose regole applicabili soltanto alle piattaforme online e ai motori di ricerca di ‘dimensioni molto grandi’. Qui il legislatore ha ampiamente mutuato le metodiche classiche della corporate compliance, richiedendo, ad esempio, alle c.d. VLOPs (Very Large Online Platforms) e ai c.d. VLOSEs (Very Large Online Search Engines) di:

  • a) effettuare attività di risk assessment e management (artt. 34 e 35) dei ‘rischi sistemici’ legati ai servizi digitali e alla possibilità che siano utilizzati per diffondere contenuti illegali o generare un impatto negativo su interessi individuali e collettivi fondamentali, quali il benessere psicofisico della persona, la salute pubblica, l’integrità dei processi elettorali (si pensi, ad es., alla diffusione di contenuti, raccomandati da sistemi algoritmici che li rendono agevolmente virali in rete, che promuovano atti di autolesionismo o informazioni false relative a campagne vaccinali o a difficoltà di accesso ai seggi elettorali);
  • b) sottoporsi ad audit indipendenti esterni annuali (art. 37) e istituire una apposita funzione di compliance (art. 41) per il monitoraggio della conformità dell’organizzazione al DSA.

 

Sotto tale profilo il Regolamento costituisce una normativa all’avanguardia, che tenta – sostanzialmente per la prima volta nello scenario globale, considerato l’ampio respiro della novella – di definire una cornice pubblicistica entro la quale gli operatori digitali possano esercitare il loro potere di autonormare tutte le policy interne di funzionamento e utilizzo dei loro servizi (ad es., in tema di condivisione di notizie false o informazioni potenzialmente pericolose per gli utenti). Prima del DSA, infatti, tale potestà veniva esercitata dalle c.d. Big Tech in assenza di una simile impalcatura normativa, consegnandosi così nelle mani di questi soggetti l’enorme potere di farsi liberamente arbitri del dibattito pubblico e del confronto politico che si svolge nelle loro arene digitali (il riferimento è ovviamente qui, soprattutto, ai grandi social network), con ciò che ne consegue in termini di potenziale impatto negativo sulla libertà di espressione degli utenti e altri diritti fondamentali. Sono dunque ben chiari i correlati rischi di chilling effect: basti soltanto pensare, per dare una idea dei termini problematici della questione, alla rimozione permanente o alla sospensione di account di esponenti politici di primo piano (esemplare, in tal senso, il caso Trump, con la relativa decisione del Comitato di controllo di Facebook).

 

Il DSA, insomma, pur non imponendo mai alle piattaforme l’adozione di specifiche politiche ‘di dettaglio’ in merito alla gestione dei contenuti, consentendo loro di costruirle secondo una logica taylor made, rende cogenti sia delle metodologie di analisi e gestione di simili rischi, sia delle due diligence obligation a carico degli operatori anche con riferimento ai diritti da riconoscere all’utente in sede di moderazione dei contenuti. Ciò per quanto forse, su taluni di tali aspetti, il Regolamento si sarebbe potuto ulteriormente perfezionare, ad es. rafforzando l’apparato di garanzie sostanziali e procedurali per gli utenti in relazione ai diritti essenziali che devono essere necessariamente riconosciuti nell’applicazione di qualsiasi ‘paradigma punitivo’, anche in ambito privato: tra le molte, ad es., il principio di ‘legalità’ delle violazioni, la proporzionalità del trattamento sanzionatorio, il diritto al contradditorio preventivo, la sufficiente autonomia e indipendenza interna dei soggetti deputati a irrogare la sanzione e a decidere sui reclami, etc.

 

Si prevede, altresì, il ‘generale’ obbligo delle piattaforme di agire in modo proporzionato e non discriminatorio in tali attività e nel rispetto degli interessi fondamentali in gioco. È evidente, quindi, specie avuto riguardo al profilo da ultimo menzionato, come venga loro demandato un bilanciamento di interessi tutt’altro che semplice.

 

 

4. La costruzione di un nuovo apparato di enforcement per garantire l’osservanza delle previsioni del Regolamento

 

Il DSA, infine, delinea un consistente apparato di enforcement a presidio del rispetto di queste nuove regole.

 

Tutti gli Stati membri, anzitutto, sono tenuti a nominare un coordinatore dei servizi digitali, quale primaria autorità incaricata di vigilare sul rispetto del Regolamento; potrà trattarsi di un ente istituito ex novo o, in alternativa, sarà possibile attribuire tale ruolo a un’autorità già esistente (in Italia, ad esempio, hanno presentato candidature l’Autorità per le garanzie nelle comunicazioni e il Garante per la protezione dei dati personali). A ciò si aggiunga che si prevede altresì l’istituzione di un organismo, per così dire, intermedio – il Comitato europeo per i servizi digitali –, con compiti consultivi e di coordinamento, composto da funzionari di alto livello in rappresentanza di tutti i coordinatori nazionali e presieduto dalla Commissione, sulla falsariga di quanto già fatto in passato in ambito privacy, con lo European Data Protection Board.

 

In base al DSA – nella logica della competenza concorrente – i coordinatori nazionali dei servizi digitali condividono il compito di monitorare l’osservanza del Regolamento, e di applicare le correlate misure sanzionatorie in caso di inosservanza dei relativi obblighi, con la Commissione europea. Quest’ultima, in particolare, assume il ruolo di interlocutore primario (e addirittura ‘esclusivo’ per ciò che concerne le due diligence obbligation di cui alla sezione V del Capo III del Regolamento) nei confronti di piattaforme e motori di ricerca di ‘dimensioni molto grandi’, essendovi chiaramente la volontà di ‘schierare sul terreno di gioco’ una controparte sovranazionale e ‘di peso’ rispetto a società, esse stesse, multinazionali e detentrici di rilevanti poteri.

 

Pur non prevedendosi l’introduzione di sanzioni penali, i poteri di cui godono le autorità di enforcement sono molto significativi, potendosi applicare (v. gli artt. 52, 74 e 76), in caso di inosservanza degli obblighi del DSA, sanzioni pecuniarie fino al 6 % del fatturato mondiale annuo del provider e fino all’1% del reddito annuo o del fatturato mondiale del fornitore per i casi di mancata cooperazione e altre violazioni ‘minori’, oltre a penalità di mora per le perduranti inosservanze (secondo un meccanismo riconducibile, in sostanza, al paradigma ingiunzionale).

 

Il Regolamento, infine, cerca di sperimentare (cfr., ad es., l’art. 71) alcune soluzioni negoziali per la definizione dei procedimenti connessi all’inosservanza del DSA, essendovi la possibilità per le autorità di rendere vincolanti gli impegni presi dall’operatore – dopo l’apertura dell’iter conseguente alla violazione della normativa – nella direzione di adeguarsi agli obblighi imposti, stabilendo così che non vi sono ulteriori ragioni per proseguire il procedimento e ferma restando la potestà di riaprirlo ove, tra l’altro, il soggetto regolato venga successivamente meno agli adempimenti in questione. Pare emergere in controluce, qui, la volontà di replicare mutatis mutandis delle prassi che, come noto, sempre più si sono diffuse nello scenario globale nella materia della responsabilità da reato degli enti.

 

 

5. Rilievi conclusivi

 

Il DSA, in definitiva, in diversi suoi punti è riuscito a colmare una lacuna che caratterizzava lo scenario normativo europeo e di diversi Stati membri, in cui si erano iniziate ad affacciare soltanto iniziative legislative parziali. Ed è peraltro apprezzabile che ci si sia fatti carico di risolvere tale gap mediante un regolamento europeo, per definizione più adatto a disciplinare un fenomeno transnazionale, come quello dei servizi digitali, che necessita di risposte non esclusivamente ‘locali’.

Bisognerà certamente attendere l’applicazione concreta della riforma per tracciare un primo bilancio, ma l’impressione è quella di un percorso in cui, nel complesso, le luci prevalgono sulle ombre, anche in considerazione della indubbia complessità degli obiettivi che ci si proponeva di conseguire.