Sono in vigore gli obblighi previsti dal Digital Services Act (DSA) per le grandi piattaforme online, i 17 Very Large Online Platforms (VLOPs) e i 2 Very Large Online Search Engines (VLOSEs), designate dalla Commissione europea.
A norma del Digital Services Act (DSA), la Commissione europea (CE) ha designato 17 piattaforme online di dimensioni molto grandi (VLOPs) e 2 motori di ricerca online di dimensioni molto grandi (VLOSEs), ovverosia con un numero medio mensile di destinatari attivi del servizio nell’UE pari o superiore a 45 milioni. Le piattaforme sono state designate dalla CE sulla base dei dati utente che le stesse erano tenute a pubblicare entro il 17 febbraio 2023 (elenco completo delle piattaforme designate disponibile qui).
Le società designate hanno avuto 4 mesi di tempo, che scadono oggi 25 agosto 2023, per conformarsi a tutti i nuovi obblighi stabiliti dal DSA. Tali obblighi mirano a conferire autonomia e responsabilità e a proteggere gli utenti online, compresi i minori, imponendo ai servizi designati di valutare e attenuare i propri rischi sistemici e di predisporre solidi strumenti di moderazione dei contenuti.
Relativamente ai termini e condizioni del servizio, i fornitori di VLOPs e VLOPEs dovranno ora fornire ai destinatari una sintesi concisa delle condizioni generali, di facile accesso e leggibile meccanicamente, compresi le misure correttive e i mezzi di ricorso disponibili, in un linguaggio chiaro e privo di ambiguità. Le condizioni generali dovranno essere pubblicate in tutte le lingue ufficiali degli Stati Membri in cui gli stessi offrono i loro servizi.
In termini di valutazione del rischio, tali fornitori dovranno, individuare, analizzare e valutare con diligenza gli eventuali rischi sistemici nell’UE derivanti dalla progettazione o dal funzionamento del loro servizio e relativi sistemi, compresi i sistemi algoritmici, o dall’uso dei loro servizi. Tra i rischi sistemici da attenuare sono ricompresi, per esempio, (i) la diffusione di contenuti illegali, (ii) eventuali effetti negativi, attuali o prevedibili, per l’esercizio dei diritti fondamentali, tra cui la libertà di espressione e di informazione, inclusi la libertà e il pluralismo dei media, e la non discriminazione, (iii) i rischi specifici relativi alla violenza di genere, alla protezione della salute pubblica e della persona, fisica e mentale, compresi i minori.
Nello svolgimento delle valutazioni, i fornitori dovranno altresì analizzare se e in che modo i rischi siano influenzati dalla manipolazione intenzionale del loro servizio, anche mediante l’uso non autentico e lo sfruttamento automatizzato del servizio, nonché l’amplificazione e la diffusione potenzialmente rapida e ampia di contenuti illegali e di informazione incompatibili con le condizioni generali.
Ove opportuno, ai sensi del DSA, le misure di attenuazione dei rischi potranno includere, tra le altre, (i) l’adeguamento delle procedure di moderazione dei contenuti, compresa la velocità e la qualità del trattamento delle segnalazioni concernenti tipi specifici di contenuti illegali (es. incitamento illegale all’odio, violenza online) e, se del caso, la rapida rimozione del contenuti oggetto della notifica o la disabilitazione dell’accesso agli stessi, nonché l’adeguamento di tutti i processi decisionali pertinenti e delle risorse dedicate alla moderazione dei contenuti, (ii) l’adozione di misure di sensibilizzazione e l’adattamento della loro interfaccia online al fine di dare ai destinatari del servizio maggiori informazioni, (iii) il ricorso a un contrassegno ben visibile per fare in modo che un elemento di un’informazione (es. immagine, contenuto audio o video) generati o manipolati, che assomigli notevolmente a persone, oggetti, luoghi o altre entità o eventi esistenti e che a una persona appaia falsamente autentico o veritiero, sia distinguibile quando è presentato sulle loro interfacce online, congiuntamente alla fornitura di una funzionalità di facile utilizzo che consenta ai destinatari del servizio di indicare tale informazione.
Per quanto riguarda i minori, i fornitori di piattaforme online accessibili ai minori (i) dovranno adottare misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio, (ii) non potranno più presentare sulla loro interfaccia pubblicità basata sulla profilazione dei minori, (iii) dovranno effettuare valutazioni dei rischi specifiche per i loro servizi e proporzionate ai rischi sistemici, compreso qualsiasi effetto negativo in relazione alla protezione della salute dei minori e alle gravi conseguenze per il loro benessere fisico e mentale, e (iv) dovranno adottare misure di attenuazione ragionevoli, proporzionate ed efficaci, adattate ai rischi sistemici specifici individuati, tra cui, ove opportuno, adottare misure mirate per tutelare i diritti dei minori, compresi strumenti di verifica dell’età e di controllo parentale, o strumenti volti ad aiutare i minori a segnalare abusi od ottenere sostegno.
I fornitori di VLOPs e VLOPEs dovranno altresì sottoporsi, a proprie spese e almeno 1 volta all’anno, a revisioni indipendenti volti a valutarne la conformità agli obblighi disposti dal DSA in materia di dovere di diligenza per un ambiente online trasparente e sicuro e agli impegni assunti a norma dei codici di condotta, anche per la pubblicità online, e dei protocolli di crisi elaborati. Tali revisioni includono l’accesso, da parte delle organizzazioni incaricate, a tutti i dati e ai locali pertinenti e la risposta a eventuali domande rivolte.
In termini di maggiore potere concesso agli utenti, i fornitori di piattaforme online VLOPs e VLOPEs che utilizzano sistemi di raccomandazione dovranno assicurare almeno un’opzione per ciascuno dei loro sistemi non basata sulla profilazione. Inoltre, coloro che presentano pubblicità sulle proprie interfacce online saranno tenuti a compilare e rendere accessibile al pubblico un registro contenente come minimo le informazioni indicate nel DSA, tra cui (i) il contenuto della pubblicità, (ii) la persona per conto della quale viene presentata la pubblicità e quella che l’ha pagata, se diversa, (iii) un’indicazione volta a precisare se la pubblicità fosse destinata a essere presentata a uno o più gruppi specifici di destinatari e, in tal caso, i principali parametri utilizzati a tal fine, inclusi quelli utilizzati per escludere uno o più di tali gruppi, (iv) le comunicazioni commerciali. I suddetti fornitori dovranno impegnarsi affinché il registro non contenga dati personali dei destinatari del servizio ai quali la pubblicità è stata o avrebbe potuto essere presentata.
In aggiunta, i fornitori di VLOPs e VLOPEs dovranno fornire al coordinatore dei servizi digitali del luogo di stabilimento o alla CE, su loro richiesta motivata ed entro un termine ragionevole, l’accesso ai dati necessari per monitorare e valutare la conformità al DSA tramite interfacce appropriate (es. banche dati online, API). Su richiesta motivata del coordinatore, i fornitori dovranno altresì fornire l’accesso ai dati accessibili al pubblico ai ricercatori abilitati allo scopo di condurre ricerche che contribuiscano al rilevamento, all’individuazione e alla comprensione dei rischi sistemici nell’UE, nonché per la valutazione dell’adeguatezza, dell’efficienza e degli impatti delle misure di attenuazione dei rischi (qui l’invito della CE a presentare contributi sulle disposizioni previste dal DSA in relazione all’accesso dei ricercatori ai dati).
Ancora, una funzione di controllo della conformità indipendente dalle loro funzioni operative e composta da uno o più responsabili della conformità, compreso il capo della funzione di controllo della conformità, dovrà essere istituita dai fornitori e dovrà disporre di autorità, status e risorse sufficienti, nonché dell’accesso all’organo di gestione del fornitore della piattaforma per monitorarne la conformità al DSA.
L’osservanza del DSA sarà garantita da un’architettura di vigilanza paneuropea. Sebbene l’autorità competente per la vigilanza delle piattaforme e dei motori di ricerca designati sia la CE, quest’ultima collaborerà con i coordinatori dei servizi digitali nel quadro di vigilanza istituito dal DSA. Tali autorità nazionali, responsabili anche della vigilanza sulle piattaforme e sui motori di ricerca più piccoli, dovranno essere istituite dagli Stati membri dell’UE entro il 17 febbraio 2024. Entro la stessa data tutte le altre piattaforme dovranno conformarsi agli obblighi previsti dal DSA e fornire ai propri utenti la tutela e le garanzie previste da quest’ultimo.
Per garantire il rispetto del DSA, la CE sta inoltre rafforzando le proprie competenze multidisciplinari interne ed esterne e ha recentemente istituito il Centro europeo per la trasparenza algoritmica (ECAT), che la coadiuverà valutando se il funzionamento dei sistemi algoritmici sia in linea con gli obblighi di gestione dei rischi. La CE sta inoltre istituendo un ecosistema di applicazione digitale che riunisce le competenze di tutti i settori pertinenti.
Su un simile argomento potrebbe interessarti questo articolo “Pubblicato il Digital Services Act (“DSA”): novità sul regime di responsabilità degli ISPs”.