Tutele combinate tra DSA e GDPR per i sistemi di raccomandazione e profilazione online

I sistemi di raccomandazione: il quadro normativo

Il DSA rappresenta un importante tentativo di regolamentazione della disciplina delle piattaforme, da parte dell’Europa. I rischi derivanti, soprattutto, da determinati strumenti automatizzati impiegati dai social media sono oramai evidenti e discussi, gli effetti sociali altrettanto.

I sistemi di raccomandazione (“SDR”) non hanno trovato finora una disciplina specifica. La relativa disciplina sulla protezione dei dati personali, ritenuta non del tutto sufficiente quanto alla tutela delle persone, viene affiancata ora da quella diretta del DSA che esplicitamente fronteggia il tema, sia per incentivare il corretto sviluppo che per rendere più sicuro il mercato unico europeo dei servizi digitali. Il capo III del DSA, nello specificare una serie di obblighi di diligenza nella gestione della attività online dei providers, ha innestato la disciplina dei SDR.

Va menzionato che non si tratta, al momento, dell’unica disciplina pertinente: altre sono intervenute per bilanciare asimmetrie (informative e di potere) tra piattaforme e utenti.

1. Il tema è lambito, quanto alla tutela degli utenti professionali che usano piattaforme di intermediazione marketplace (ne sono esclusi i motori di ricerca), dal Regolamento 2019/1150 che all’art. 5 specifica che nei termini di servizio devono stabilirsi i principali parametri che determinano il posizionamento (cioè la rilevanza o importanza attribuiti a beni, servizi o all’utente professionale stesso da parte del marketplace) e i motivi della loro importanza rispetto ad altri parametri, con relativi requisiti di trasparenza. Per guidare l’applicazione sono state pubblicate indicazioni della Commissione Europea (Orientamenti sulla trasparenza del posizionamento a norma del regolamento (UE) 2019/1150 (2020/C 424/01)).
2. In aggiunta, la Direttiva 2019/2161 (c.d Omnibus) di modernizzazione della tutela dei consumatori online: secondo l’art. 3 direttiva 2019/2161, se i consumatori possono cercare prodotti sui marketplace sulla base di una ricerca in forma di parola chiave, frase o altri dati, allora vanno loro resi noti (tramite apposita interfaccia online) i parametri principali che ne determinano la classificazione e l’importanza, inclusi eventuali annunci a pagamento.
3. Inoltre, il regolamento per i mercati digitali (Digital Markets Act - “DMA”), Regolamento 2022/1925, applicabile ai c.d. gatekeepers (le maggiori piattaforme di servizi intermediari), disciplina sia i criteri di posizionamento (cioè di rilevanza) dei risultati di sistemi come i SDR, a tutela delle imprese, sia l’uso della profilazione dei consumatori (per es. imponendo in merito audit indipendenti, la pubblicazione di descrizioni trasparenti sulla profilazione secondo i criteri del considerando 72 DMA, ecc.).
4. Infine, se basato su soluzioni di Intelligenza Artificiale, un SDR potrebbe rientrare anche nel cono applicativo della proposta di regolamento ((COM(2021) 206 final) detta “AI Act” (ancora in discussione mentre scriviamo), potenzialmente categorizzabile tra i sistemi ad alto rischio.

Pertanto un SDR applicato a un contesto di marketplace potrebbe dover rispettare un combinato mosaico di tutte queste discipline, oltre che del GDPR e del DSA, a seconda dei casi.

Esempi di funzionamento dei SDR

Nella prassi, si è soliti definire e categorizzare i SDR come algoritmi di filtraggio di contenuti – in base a determinati parametri, solitamente ritagliati su caratteristiche distintive di un utente o di un gruppo di utenti – per proporli in maniera personalizzata ai richiedenti, secondo la maggiore utilità (ranking) possibile, definita con vari criteri.

Sussistono numerosi esempi di funzionamento dei SDR:

1. l’approccio collaborativo, basato sulla similarità tra gli utenti (e perciò delle loro caratteristiche comportamentali, come gli acquisti pregressi, se non di un vero e proprio profilo più completo);
2. l’approccio basato sul contenuto, basato sulla combinazione tra uno o più elementi descrittivi del contenuto e il profilo utente;
3. l’approccio ibrido, che mischia i due precedenti.

La loro efficienza è basata sui dati e la loro qualità, sul maggior numero di informazioni concernenti l’utente destinatario e la loro elaborazione con apposita profilazione (che sempre più deriva dall’aggregazione statistica invece che da abbinamenti casuali). Ciò per personalizzare il più possibile l’offerta di informazioni e contenuti (richiesti direttamente o meno dall’utente - si potrebbe trattare di meri annunci pubblicitari) e rispondere al meglio agli interessi e alle attese di determinati soggetti: il provider, l’interessato o un terzo (per es. un inserzionista). D’altro canto, gli algoritmi possono generare diversi errori, come falsi positivi e negativi.

L’uso nei SDR della profilazione e dell’automatismo decisionale su cosa presentare all’utente, in sé, può arrivare a cagionare rischi e danni di portata sociale (alimentazione di bias, stereotipi, discriminazioni, fino al diniego di servizi), persino sacrificando la libertà di scelta (pensiamo per es. alle “bolle” di confinamento di una persona entro determinati ambiti e categorie).

La definizione di “sistema di raccomandazione” nel DSA

La definizione di “sistema di raccomandazione” (SDR) è rinvenibile all'art. 3 lett. s) DSA, quale:

1. sistema interamente o parzialmente automatizzato; si noti la differenza più oltre con l'art. 22 GDPR che tratta di decisioni basate “unicamente” su sistemi automatizzati, quindi il DSA allarga la platea;
2. utilizzato da una piattaforma online: ergo (ai sensi dell'art. 3 lett. i) DSA) un provider di hosting, di memorizzazione di informazioni, che - su richiesta di un utente destinatario del servizio, che effettua uploading - memorizza e diffonde informazioni al pubblico, quale servizio o funzione principale o comunque non meramente accessorio (come accade con Facebook o Tik Tok); non vi rientrano pertanto provider che forniscono direttamente contenuti o informazioni, come Netflix o, in genere, la stampa online;
3. per suggerire informazioni specifiche, tramite la propria interfaccia online, all'utente (detto “destinatario del servizio” nella tassonomia del DSA);
4. o per mettere in ordine di priorità dette informazioni, anche quale risultato di una ricerca avviata dal destinatario;
5. o determinando in altro modo l'ordine o l'importanza delle informazioni visualizzate.

Gli altri articoli del DSA che ne trattano sono:

a) l'art. 27 DSA sulla trasparenza: è applicabile a tutte le piattaforme online, impone che nelle proprie condizioni generali contrattuali di servizio (detti anche “Terms of service” – “TOS” – nella prassi) - in un linguaggio chiaro e intellegibile – illustrino: (i) i “principali” parametri utilizzati nei loro SDR, nonché (ii) (se offerta all'utente) qualunque opzione a disposizione dei destinatari che consenta loro di modificare o influenzare tali parametri principali.

La descrizione di tali parametri è comunque più ridotta del diritto “alla spiegazione” che alcuni invocano quanto alla profilazione automatizzata ex art. 22 GDPR e che vedremo infra;

b) l'art. 38 DSA: si rivolge alle sole piattaforme molto grandi e ai soli motori di ricerca molto grandi (spesso abbreviati con gli acronimi inglesi “VLOP” e “VLOSE”) e aggiunge che dovranno prevedere almeno un'opzione non basata sulla profilazione (intesa ai sensi dell'art. 4, punto 4), GDPR), direttamente accessibile dall'interfaccia online in cui sono presentate le raccomandazioni (v. considerando 94 DSA);

In caso di SDR applicato all'advertising online, l'art. 26 DSA impone trasparenza su informazioni come i parametri utilizzati per determinare il destinatario e inoltre (art. 26.4 DSA) vieta l'uso di profilazione con l'uso di dati particolari (ex art. 9 GDPR) o diretta a minori (art. 28.2 DSA).

Sempre e solo per VLOP e VLOSE, i SDR sono affrontati da ulteriori disposizioni:

a) art. 34 DSA: per l'attenuazione dei c.d. rischi sistemici (per es. eventuali effetti negativi, attuali o prevedibili, per l'esercizio dei diritti fondamentali, come la tutela dei dati personali), si impone l'adozione di misure “ragionevoli, proporzionate ed efficaci”, inclusa la sperimentazione e l'adeguamento dei sistemi algoritmici, compresi i SDR; in particolare, nella valutazione va considerato il rischio legato all'amplificazione (cioè l'estensione all'aumento di visibilità e diffusione) di determinati messaggi, alla diffusione virale delle informazioni e alla sollecitazione del comportamento online, coinvolgendo altri soggetti;  

b) art. 40 DSA sull'accesso ai dati e controllo: su richiesta del Coordinatore dei servizi digitali (autorità di controllo istituita dal DSA) o della Commissione Europea, tali provider forniscono loro (e non già agli utenti destinatari) spiegazioni in merito a: (i) progettazione, (ii) logica, (iii) funzionamento e (iv) sperimentazione/test dei loro sistemi algoritmici, compresi i loro SDR - dando accesso ai dati necessari per valutare i rischi e gli eventuali danni arrecabili dai sistemi, come quelli di addestramento e gli algoritmi;

c) art. 44 DSA: la Commissione Europea promuove lo sviluppo di standard volontari, anche in merito alle interfacce di scelta e alla presentazione delle informazioni sui principali parametri dei diversi tipi di SDR.

L'art. 2 DSA specifica come siano “impregiudicate” le norme stabilite da altri atti giuridici che disciplinano ulteriori aspetti o che precisano e integrano il DSA, in particolare proprio il GDPR. Come si possano applicare “sinergicamente”, in via integrata o sostitutiva (lex specialis, ecc.), sarà auspicabilmente oggetto di futuri chiarimenti.

Profilazione e decisioni automatizzate nel GDPR

Di seguito si esaminano le disposizioni del DSA in combinazione con quanto previsto dal GDPR. Per quanto qui utile, richiamando alcuni concetti pertinenti:

- per “profilazione” (art. 4, n. 4 GDPR) si intende qualsiasi forma di trattamento “automatizzato” di dati personali, consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica;

- ai sensi dell'art. 22 GDPR sono vietate decisioni (a) basate “unicamente” sul trattamento automatizzato (compresa – ma non esclusivamente - la profilazione), (b) che producano effetti giuridici o che incidano in modo analogo significativamente sull'interessato; eccezionalmente, sono ammesse solo se (i) siano “necessarie” per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare, o (ii) siano autorizzate dalla normativa, oppure (iii) si basino sul consenso “esplicito” dell'interessato; le decisioni potrebbero essere imputate formalmente a persone ma rientrare nell'ambito in parola se, di fatto, l'essere umano non ha comunque avuto voce in capitolo (riprendendo senza interventi il risultato automatizzato);

- in questi casi, il titolare deve attuare misure appropriate per garantire i diritti, le libertà e i legittimi interessi dell'interessato, prevedendo per l'interessato diritti e misure aggiuntive – minimi, quindi integrabili in sede di accountability con altre misure, caso per caso - quali (i) l'ottenere l'intervento umano, il c.d. human-in-the-loop (deve essere significativo, da parte di chi ha capacità e autorità per valutare e modificare la decisione, oltre che per accedere ai dati), (ii) il poter esprimere la propria opinione in merito (di fatto, con apposite opzioni e canali comunicativi del titolare), e (iii) il poter contestare la decisione automatizzata (per es. con una procedura di ricorso);

- in tale frangente, l'art. 13 GDPR include, tra le informazioni da rendere preventivamente all'interessato: (i) l'esistenza di un processo decisionale automatizzato di cui all'art. 22 GDPR, (ii) informazioni significative sulla logica utilizzata, nonché (iii) l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Si abbinano a tutto questo le linee guida sul processo decisionale automatizzato e sulla profilazione del citato WP29 (WP 251 rev.01, 6 febbraio 2018), ove il gruppo di lavoro dell'art. 29 ha fornito ulteriori delucidazioni circa la trasparenza e sul significato di “incidere in maniera significativa” su diritti e libertà di una persona.

Questa può realizzarsi nella pubblicità online: per invasività del processo di profilazione (compreso il tracciamento delle persone tra più siti web, dispositivi e servizi), per violazione delle aspettative e della volontà degli interessati, per le modalità in cui viene reso disponibile l'annuncio pubblicitario oppure per lo sfruttamento di vulnerabilità degli interessati.

Le precisazioni dell’autorità

Il Supervisore europeo (EDPS), nella sua Opinion 1/2021 sulla proposta del testo DSA, aveva richiesto che il testo del DSA chiarisse che – in ossequio ai principi di privacy by default e by design ex art. 35 GDPR - i sistemi non dovrebbero essere basati automaticamente sulla profilazione, (richiedendo un opt-out per impedirla). L’autorità invocava sempre un espresso opt-in per poter utilizzare la profilazione. Fuori dai casi dell’art. 22 si potrà valutare, d’altro canto, l’uso di altre basi come il legittimo interesse, che richiede proprio il relativo opt-out di opposizione.

L’EDPS aveva altresì contestato come la sede adatta per fornire trasparenza e informazioni non sia quella dei termini di servizio. Non solo: in sede informativa - oltre alla segnalazione dell’automazione, delle opzioni e dei parametri significativi – dovrebbero palesarsi altresì il soggetto che ne è responsabile (anche se diverso dal provider dalla piattaforma), i profili utilizzati per fornire i contenuti, la possibilità di personalizzare i sistemi perlomeno con criteri di base (argomenti di interesse, tempo, ecc.), un’opzione per eliminare qualsiasi profilo utilizzato. Oltre all’indicazione di tutti i parametri, non solo quelli principali.

Il testo del DSA non ha recepito queste indicazioni ulteriori che, in ogni caso, possono risultare utili quali misure di mitigazione dei connessi rischi sistemici, nonchè di adeguata accountability in ambito privacy.

In attesa di apposite e specifiche linee guida da parte della Commissione Europea, si potranno utilizzare le indicazioni già fornite dalla stessa in merito all’applicazione del citato Regolamento 2019/1150, ovvero “Orientamenti sulla trasparenza del posizionamento” (2020/C 424/01).

In conclusione

Da quanto sopra possiamo ricavare – in attesa di maggiori delucidazioni e linee guida da parte delle autorità - una minima “mappa” orientativa degli adempimenti da presidiare quando ci si trovi di fronte ai SDR e loro compliance (presumendo che si tratti di sistemi basati su una profilazione di una certa invasività che, in via del tutto automatizzata, procedono a stabilire quali risultati/contenuti presentare e in che modo, da parte di un VLOP o VLOSE):

1. l'informativa privacy del titolare/provider: ai sensi del GDPR, si dovrà come minimo dare contezza delle basi giuridiche di trattamento (probabilmente il consenso esplicito, l'opt-in) della profilazione e dell'automatismo decisionale, della logica e delle conseguenze - oltre che delle misure aggiuntive viste sopra (e conseguenti modalità di esercizio del diritto di intervento umano, ecc.);
2. termini e condizioni del sito del provider: ai sensi del DSA, si dovranno indicare i parametri principali utilizzati dal sistema, prendendo quale utile indicazione (in attesa di linee guida dedicate) per es. quelle citate sopra della Commissione sul Regolamento 2019/1150;
3. il sistema di raccomandazione: se previste più opzioni (come detto sopra, obbligatorie solo per VLOP e VLOSE per il DSA, ma si tenga conto delle ristrette basi invocabili ex art. 22 GDPR e della privacy by default ex art. 25 GDPR che potrebbero, comunque, imporre l'opt-in), la funzionalità che consenta di selezionare e modificare in qualsiasi momento l'opzione per modificare o influenzare i parametri del sistema, “dovrebbe permettere di fornire informazioni sintetiche direttamente all'utente e tenere conto della varietà dei contesti in cui il sistema di raccomandazione opera – un social network non è uguale a un ambiente di cose interconnesse in una smart city – nonché della connessa molteplicità delle basi giuridiche dell'eventuale trattamento di dati personali (non limitabili solo al consenso degli utenti, ma inevitabilmente da estendere anche ad obblighi legali o al legittimo interesse dei titolari, in taluni scenari)” [Bolognini-Carpenelli, Privacy Nutrition Labels vs Privacy Dynamic Targeting, in www.istitutoitalianoprivacy.it, 2021, 17-18].

Almeno per i provider di dimensioni molto grandi, si porrà peraltro il tema di come integrare nella valutazione dei rischi sistemici quella di impatto privacy.

Guida all’approfondimento

- AA. VV., Putting the DSA into practice, Berlino, 2023

- De Gregorio, Dunn, Profiling under Risk-based Regulation: Bringing together the GDPR and the DSA

- Schwermer, Recommender Systems in the EU: from Responsibility to Regulation?, in FAccTRec Workshop ’21, settembre 27– ottobre 1, Amsterdam, 2021

- BudzinskI, Algorithmic Search and Recommendation Systems: The Brightside, the Darkside, and Regulatory Answers, in Competition Forum, 2021, n. 19

- Buri, Van Hoboken, The Digital Services Act (DSA) proposal: a critical overview, Amsterdam, 2021

- Mcgonagle, Pentney, From risk to reward? The DSA’s riskbased approach to disinformation, in AA.VV., Unravelling the Digital Services Act package, Strasburgo, 2021

- Sartor, La Gioia, Decisioni algoritmiche tra etica e diritto, in Ruffolo (a cura di), Intelligenza artificiale – il diritto, i diritti, l’etica, Giuffrè Francis Lefebvre, 2020

- Kaminski, The right to explanation, explained, in Berkeley Technology Law Journal, Vol. 34, N. 1, 2019

- AA. VV., Adapting recommender systems to the new data privacy regulations, in AA.VV., New Trends in Intelligent Software Methodologies, Tools and Techniques, Amsterdam, 2018

- Ricci, Rokach, Shapira, Recommender Systems Handbook, Berlino, 2015