MERCATO UNICO DIGITALE E SERVIZI DIGITALI: IL NUOVO ‘PACCHETTO’ LEGISLATIVO DELLA COMMISSIONE EUROPEA, E LE CONSIDERAZIONI DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI
Autore: Dott.ssa Laura De Rose, Vice Direttore Foroeuropa
Il 19 febbraio, nel suo intervento durante l’edizione speciale della Conferenza sulla sicurezza transatlantica di Monaco, il Presidente della Commissione Europea, Ursula von der Leyen, si è concentrata sui cambiamenti climatici e la trasformazione digitale come due temi principali che potrebbero guidare la nuova agenda globale UE-USA.
In questo quadro, von der Leyen ha rivolto due messaggi importanti.
Riguardo il clima, ha sottolineato l'obiettivo di rendere l'Europa il primo continente climaticamente neutro entro il 2050, e ha invitato altri a "soddisfare le nostre ambizioni", e ha elogiato il ritorno degli Stati Uniti all'accordo di Parigi.
Inoltre, ha invitato gli Stati Uniti ad aderire alle iniziative dell'UE sulla regolamentazione del mercato digitale e a "creare insieme un regolamento sull'economia digitale valido in tutto il mondo". “Vogliamo assicurarci che ciò che è illegale offline sia illegale anche online. E vogliamo requisiti chiari che le aziende Internet si assumano la responsabilità dei contenuti che distribuiscono, promuovono e rimuovono", ha spiegato von der Leyen.
Questa nota presenta i contenuti essenziali del ‘pacchetto’ legislativo presentato dalla Commissione il 15 dicembre scorso al fine di regolamentare il mercato e i servizi digitali, ovvero:
- La proposta di regolamento del Parlamento europeo e del Consiglio sul mercato unico dei servizi digitali e che modifica la direttiva 2000/31 /CE
(Digital Services Act: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-services-act-ensuring-safe-and-accountable-online-environment_it; e
- La proposta di regolamento del Parlamento europeo e del Consiglio sui mercati contendibili ed equi nel settore digitale
(Digital Markets Act: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digital-markets_it).
Contenuti essenziali del ‘pacchetto’ legislativo
Gli obiettivi fondamentali sono: i) promuovere innovazione, crescita e competitività e facilitare l'espansione delle piattaforme più piccole, delle PMI e delle start-up; ii) riequilibrare le responsabilità degli utenti, delle piattaforme e delle autorità pubbliche in base ai valori europei, ponendo al centro i cittadini; iii) proteggere meglio i consumatori e i loro diritti fondamentali online; iv) istituire un quadro efficace e chiaro in materia di trasparenza e responsabilità delle piattaforme online; v) regolamentare i mercati digitali e garantire parità di condizioni di accesso a tali mercati.
Campo di applicazione
I principali fornitori interessati sono servizi di intermediazione che offrono infrastrutture di rete, ovvero i fornitori di accesso a Internet, registrar di nomi di dominio, nonché le piattaforme online che riuniscono venditori e consumatori come mercati online, app store, piattaforme dell'economia collaborativa e piattaforme dei social media. Per le piattaforme online di grandi dimensioni, ovvero quelle che raggiungono più del 10% dei 450 milioni di consumatori, visti i rischi particolari per la diffusione di contenuti illegali e i danni alla società, sono previste norme specifiche.
Attualmente, oltre 10.000 piattaforme online operano nel mercato digitale europeo. Nonostante la maggior parte di questi fornitori siano PMI, alcune piattaforme di grandi dimensioni gestiscono una quota molto ampia dell'economia digitale nell'UE e sono diventati de facto gatekeeper tra imprese e cittadini/consumatori. Tali fornitori sono, per esempio:
Possible typology of online platforms
| Online marketplaces | Amazon, Ebay, Allegro, Booking.com, Etsy, Bol |
| Collaborative or "sharing" economy platforms | Uber, Airbnb, Taskrabbit, Bla-bla car |
| Communication platforms | Skype, Whatsapp |
| Social networks | Facebook, LinkedIn, Twitter, Tumblr, Weibo |
| Video-sharing social network | Tik Tok, Instagram |
| Search engines | Google search, TripAdvisor, Twenga, Yelp, DuckDuckGo |
| Maps | Google maps. Bing maps |
| New aggregators | Google News |
| Music platforms | Deezer, Spotify, Netflix, Canal Play, Apple TV |
| Video-sharing platforms | YouTube, Dailymotion |
| Payment systems | PayPal. Apple Pay |
| App stores | Google Play, Apple app store |
| Forums |
(Fonte: House of Lords Select Committee on the European Union (2015), citato in “The Digital Services Act package: Reflections on the EU Commission’s policy options”, by Aída Ponce del Castillo, ETUI Policy Brief (n. 12/2020).
Nuovi obblighi
Tutti gli intermediari online che offrono i loro servizi nel mercato unico, con sede o meno nell'UE, dovranno rispettare le nuove norme. Le piccole e medie imprese avranno obblighi proporzionati alla loro capacità e alle loro dimensioni, rimanendo nel contempo responsabili.
In sintesi, la proposta della Commissione prevede: i) misure per contrastare beni, servizi o contenuti illeciti online, quali un meccanismo per consentire agli utenti di segnalare tali contenuti e alle piattaforme di collaborare con "segnalatori attendibili"; ii) nuovi obblighi in materia di tracciabilità degli utenti commerciali nei mercati online, per contribuire a identificare i venditori di beni illegali; iii) garanzie efficaci per gli utenti, compresa la possibilità di contestare le decisioni prese dalle piattaforme in merito alla ‘moderazione’ dei contenuti; iv) misure di trasparenza per le piattaforme online su vari aspetti, compresi gli algoritmi utilizzati per le raccomandazioni; v) obbligo per le piattaforme di grandi dimensioni di prevenire qualsiasi abuso dei loro sistemi adottando interventi basati sul rischio e sottoponendo le proprie attività di gestione del rischio ad audit indipendenti; vi) accesso dei ricercatori ai dati chiave delle piattaforme più grandi per capire l'evoluzione dei rischi online; vii) obbligo di denunciare i reati; viii) una struttura di vigilanza che rifletta la complessità dello spazio online: i paesi dell'UE svolgeranno il ruolo principale, sostenuti da un nuovo comitato europeo per i servizi digitali; inoltre, per le piattaforme di grandi dimensioni, la Commissione interverrà per potenziare la vigilanza e l'applicazione delle norme.
Le proposte della Commissione dal punto di vista della protezione dei dati personali
Il nuovo ‘pacchetto’ legislativo sui servizi digitali introduce importanti innovazioni. Gli aspetti relativi alla protezione dei dati personali sono stati e sono ancora al centro del dibattito giuridico e politico, e continueranno senza dubbio ad avere un’importanza essenziale durante il processo legislativo, soprattutto a livello del Parlamento Europeo.
L’opinione del Garante europeo della protezione dei dati (GEDP) offre una prospettiva molto interessante su questi aspetti (Opinion 1/2021 - https://edps.europa.eu/).
Il GEPD concorre pienamente con l'obiettivo della Commissione di promuovere mercati e servizi digitali trasparenti e sicuri, definendo responsabilità per i servizi di intermediazione, in particolare le piattaforme online, considerato che le attività di queste ultime presentano rischi crescenti non solo per i diritti degli individui, ma per la società nel suo insieme.
Sebbene la proposta includa una serie di misure di mitigazione dei rischi, è necessario porre in essere ulteriori garanzie, in particolare in relazione alla moderazione sui contenuti, alla pubblicità online e ai sistemi di raccomandazione.Innanzitutto, la moderazione sui contenuti dovrebbe essere strettamente conforme alle regole dello Stato di diritto. Dato il monitoraggio già endemico del comportamento degli individui, in particolare nel contesto delle piattaforme online, il nuovo regolamento dovrebbe delineare quando gli sforzi per combattere i "contenuti illegali" legittimano l'uso di mezzi automatizzati per rilevare, identificare e affrontare i contenuti illegali. Il ‘profiling’ a fini della moderazione dei contenuti dovrebbe essere vietato a meno che il fornitore non possa dimostrare che tali misure sono strettamente necessarie per affrontare i rischi sistemici esplicitamente identificati dalla proposta legislativa stessa.
Data la moltitudine di rischi associati alla pubblicità mirata online, il GEPD esorta i co-legislatori a prendere in considerazione norme aggiuntive che vadano oltre l’obbligo specifico della trasparenza. Tali misure dovrebbero includere un'eliminazione graduale che porti al divieto di pubblicità mirata sulla base del tracciamento pervasivo, nonché restrizioni in relazione alle categorie di dati che possono essere elaborati a fini mirati e alle categorie di dati che possono essere comunicati a inserzionisti o terze parti per abilitare o facilitare la pubblicità mirata.
Inoltre, il GEPD raccomanda di introdurre requisiti minimi di interoperabilità per piattaforme online di grandi dimensioni e di promuovere lo sviluppo di norme tecniche a livello europeo, in conformità con la legislazione dell'Unione. Inoltre, il GEPD raccomanda vivamente di fornire una base giuridica esplicita e completa per la cooperazione e lo scambio di informazioni pertinenti tra le autorità di controllo, ciascuna operante nell'ambito delle rispettive aree di competenza: la legge sui servizi digitali dovrebbe garantire una cooperazione istituzionalizzata e strutturata tra le autorità di controllo competenti, comprese le autorità di protezione dei dati, le autorità di protezione dei consumatori e le autorità di concorrenza.
Il GEPD si sofferma in particolare su un aspetto centrale della proposta della Commissione, ovvero l’obbligo dei fornitori di denunciare i sospetti di reati.
In particolare, l'articolo 21 richiede che le piattaforme online informino prontamente le forze dell'ordine o le autorità giudiziarie non appena vengono a conoscenza di qualsiasi informazione che faccia sospettare che si sia verificato o sia in corso un reato grave che comporta una minaccia alla vita o che vi sia la probabilità che un tale reato abbia luogo. Il considerando 48 menziona, a titolo di esempio, i reati specificati nella direttiva sugli abusi sessuali sui minori (direttiva 2011/93 / UE). In tali casi, la piattaforma online dovrebbe informare senza indugio le autorità di contrasto competenti di tale sospetto, fornendo tutte le informazioni pertinenti a sua disposizione.
Il GEPD accoglie con favore la chiara definizione dei reati che possono dar luogo a un obbligo di notifica, ossia "reati gravi che comportano una minaccia per la vita o la sicurezza delle persone". Tuttavia, nell'interesse di soddisfare i requisiti di certezza del diritto, compresa la prevedibilità, il GEPD consiglia di specificare ulteriormente, elencando in un allegato, qualsiasi altro reato, che soddisfa questa soglia e può dar luogo a un obbligo di notifica.
Il GEPD accoglie con favore il chiarimento esplicito, al considerando 48, che la proposta non fornisce una base giuridica per le piattaforme online per profilare i destinatari dei servizi in vista della possibile identificazione di reati, nonché la conferma che le piattaforme online devono rispettare le altre norme applicabili del diritto dell'Unione o nazionale per la protezione dei diritti e delle libertà delle persone quando si informano le autorità di contrasto.
Il GEPD, inoltre, osserva che la proposta non contiene alcuna disposizione che miri a limitare l'obbligo di trasparenza o l'esercizio dei diritti degli interessati ai sensi del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Nella misura in cui il regolamento (UE) 2016/679 è "fatto salvo" rispetto alla proposta, i doveri del fornitore di informare le persone e di soddisfare i diritti degli interessati rimangono in linea di principio inalterati. Tuttavia, il GEPD raccomanda ai co-legislatori di introdurre misure aggiuntive per garantire la trasparenza e l'esercizio dei diritti degli interessati, soggetti, ove strettamente necessario, a restrizioni strettamente definite (ad esempio, ove necessario per proteggere la riservatezza di un'indagine in corso).
Inoltre, il GEPD sottolinea che la proposta non fornisce una definizione specifica delle "informazioni pertinenti" disponibili per la piattaforma online nel contesto della notifica. Il considerando 48 menziona, a titolo di esempio, "il contenuto in questione e una spiegazione del sospetto". Il GEPD ritiene che sia necessaria una chiara definizione di "informazioni pertinenti" per garantire la certezza del diritto per tutte le parti coinvolte, comprese le piattaforme stesse, fornendo un elenco esaustivo delle categorie di dati che dovrebbero essere comunicate, nonché tutte le categorie di dati che dovrebbero essere preservate al fine di sostenere ulteriori indagini da parte delle autorità di contrasto competenti autorità, se necessario.
