DSA e GDPR: linee di collisione e convergenzaFonte: Reg. 19 ottobre 2022 n. 2065
18 Dicembre 2023
Struttura e oggetto del DSA Il DSA si applica unicamente ai servizi intermediari digitali diretti al mercato dell'Unione. Strutturalmente, il regolamento, vedasi l'art. 1.2, è composto da tre macroaree di ampiezza difforme, riguardanti: (i) l'esenzione di responsabilità dei fornitori di servizi intermediari, in continuità con l'analogo istituto del safe harbor già previsto dalla direttiva 2000/31; (ii) l'introduzione di specifici obblighi di accountability per i fornitori, grossolanamente scalati in base all'ampiezza dei fruitori nell'Unione, questa è la parte veramente nuova e “interventista”; (iii) norme di attuazione della disciplina e di reazione alle sue violazioni, ossia l'apparato istituzionale che permette il funzionamento concreto del DSA. La tessitura complessiva non è priva di contraddizioni e si offre a una lettura non piana, soprattutto la seconda sezione, frammentata in rivoli diversi, da leggere, ancor più di altri atti normativi, congiuntamente ai considerando. L'elemento unificante del regolamento, a volerlo condensare in un'idea, è quello di iniettare disciplina giuridica nei processi di controllo dell'informazione, quindi anche nei meccanismi della sua circolazione e nei fattori di rilevanza. L'impostazione è fortemente orientata nel senso di accrescere prevedibilità e responsabilizzazione, introducendo procedure, adempimenti, verifiche. Ciò inevitabilmente significa intervenire su manifestazioni della parola che hanno significato economico, sociale e politico, e dunque interessano strutture portanti dell'assetto democratico. Così il considerando 79: “Le piattaforme online di dimensioni molto grandi e i motori di ricerca online di dimensioni molto grandi possono essere utilizzati in un modo che influenza fortemente la sicurezza online, la definizione del dibattito e dell'opinione pubblica nonché il commercio online”. Non a caso l'atto normativo è stato salutato alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea come una “Costituzione” della società digitale. In concreto, sono ad esempio affrontati noti fenomeni del mondo digitale quali: la propagazione virale dei contenuti, e le connesse conseguenze; gli algoritmi di raccomandazione; la tutela dei minori dinanzi all'esposizione informativa; l'attività di moderazione svolta dalle piattaforme online, incluso lo shadow banning; la segnalazione di contenuti da parte di soggetti attendibili (trusted flagger); la pubblicità mirata; forme di decisione automatizzata; i dark pattern; per citarne alcuni. La prevalenza della disciplina sulla protezione dei dati personali Lo stato di lex specialis rispetto al DSA non è limitato al GDPR, ma riguarda anche la direttiva cd. “e-Privacy”, come espressamente precisato dall'art. 2.4, lett. g) DSA: “Il presente regolamento non pregiudica le norme stabilite da altri atti giuridici dell'Unione… in particolare i seguenti atti: … g) diritto dell'Unione in materia di protezione dei dati personali, in particolare il regolamento (UE) 2016/679 e la direttiva 2002/58/CE”. Dalla formulazione del quarto paragrafo e soprattutto della lettera g) si evince che la clausola di salvezza – e pertanto di preminenza in caso di contrasto – si intende estesa all'intera normativa UE “in materia di protezione dei dati personali”, lettura ribadita dall'espressione “in particolare”. È questo il punto da tenere fermo. Collisioni e convergenze con il GDPR Condizione principale ai fini dell'interazione tra DSA e GDPR è che i “destinatari”, come definiti all'art. 3.b) DSA, coincidano con gli interessati di trattamento di cui all'art. 4.1) GDPR. L'interazione tra le due discipline esiste cioè solo nella misura in cui i fenomeni catturati dal nuovo corpo normativo riguardino dati personali. La definizione di dato personale è del resto dichiaratamente lata, si confronti sul punto CGUE, ex multis Crif, C‑487/21, 4 maggio 2023, § 23. Posta dunque questa condizione, ossia che vengano in considerazione dati personali, emergono, al breve sguardo d'insieme sviluppabile in questa sede, due evidenti aree di potenziale conflitto tra le discipline: quella dei principi di cui all'art. 5 GDPR, e più esattamente la particolare declinazione del principio di minimizzazione espressa all'art. 25 GDPR, l'osservanza cioè dei criteri by design e by default; e quella delle decisioni significative unicamente automatizzate, che trova espressione nei sensi di un generale divieto, salve poche eccezioni, all'art. 22 GDPR. Queste aree, non le uniche di tensione ma certo le maggiormente evidenti, saranno di seguito considerate in relazione ad alcuni dei temi affrontati dal DSA: sistemi di raccomandazione; pubblicità mirata; principio del “buon Samaritano”. Le aree di convergenza, non trascurabili, tra i due regolamenti riguardano soprattutto il rafforzamento della trasparenza, dell'accountability, dell'analisi anticipata del rischio. Sistemi di raccomandazione L'art. 25 GDPR impone di osservare le due coordinate della tutela per progettazione e per impostazione predefinita. Ne deriva che attività ultronee rispetto all'offerta base di un servizio, come la profilazione, si pongano concettualmente in contrasto con il livello zero di trattamento richiesto dalla norma citata, cfr. EDPS, Opinion 1/2021, § 73. Orbene, la profilazione è una componente tipica di molti dei fenomeni esaminati dal DSA. La natura di lex specialis del GDPR richiede pertanto che, tutte le volte in cui siano trattati dati personali nei servizi intermediari, non si proceda a profilazione, a meno di richiesta in tal senso del destinatario interessato. Consideriamo ora brevemente l'applicazione dell'art. 25 GDPR ai sistemi di raccomandazione. Tali sistemi, com'è noto, plasmano la percezione del quadro informativo, con grado diverso di intensità, anche in relazione al livello culturale dei destinatari. Consistono nella riproposizione di contenuti simili a quelli già fruiti, sulla base di algoritmi di previsione di gradimento diretti a fidelizzare i destinatari. “Tali sistemi di raccomandazione possono avere un impatto significativo sulla capacità dei destinatari di recuperare e interagire con le informazioni online, anche per facilitare la ricerca di informazioni pertinenti per i destinatari del servizio e contribuire a migliorare l'esperienza dell'utente. Essi svolgono inoltre un ruolo importante nell'amplificazione di determinati messaggi, nella diffusione virale delle informazioni e nella sollecitazione del comportamento online” (cons. 70). I rischi sono la creazione di filter bubble, fenomeni di scadimento culturale e di acritico convincimento collettivo, talvolta addirittura a forme di radicalizzazione, tema quest'ultimo che ha perfino generato contenzioso giudiziale. In effetti, l'art. 38 DSA prescrive alle piattaforme e ai motori di ricerca di dimensioni particolarmente grandi, rispettivamente VLOPs e VLOSEs, di assicurare “un'opzione per ciascuno dei loro sistemi di raccomandazione non basata sulla profilazione come definita nell'articolo 4, punto 4), del regolamento (UE) 2016/679”, il che risponde al principio di data protection by design. Occorre tuttavia aggiungere la data protection by default, precisazione assente nel DSA. Tale notazione, decisiva in termini di conseguenze giuridiche, è possibile solo leggendo il DSA attraverso l'art. 25 GDPR. È un esempio della linea di “collisione” tra le due discipline, che trova soluzione impostando la prevalenza della lex specialis. La stessa linea di ragionamento consente di generalizzare l'applicazione dei principi by design e by default a tutti i servizi intermediari che trattano dati personali, dunque ben oltre il recinto dei VLOPs e dei VLOSEs. Non si registra cioè nessuna diluizione del GDPR. La pubblicità mirata o “targhettizzata” si basa su forme di profilazione, spesso di microprofilazione, che la rendono particolarmente efficace rispetto alla promozione generalista. Invero, il modello di business di molti fornitori di servizi intermediari è costruito proprio sulla pubblicità mirata. Viene cioè in considerazione un fenomeno connotante della società dell'informazione, come chiarisce il cons. 68 DSA: “La pubblicità online svolge un ruolo importante nell'ambiente online, anche in relazione alla fornitura di piattaforme online, in cui la prestazione del servizio è talvolta remunerata, in tutto o in parte, direttamente o indirettamente, mediante proventi pubblicitari”, ne deriva il dovere di assicurare trasparenza su tale pubblicità, “con spiegazioni rilevanti sulla logica seguita a tal fine, anche quando essa è basata sulla profilazione”, ossia appunto quando si tratta di pubblicità mirata su un profilo di utente. Vale anche in questo caso il richiamo all'art. 25 GDPR, non deve perciò ritenersi consentito attivare per impostazione predefinita i sistemi di pubblicità costruita sulla profilazione e deve essere, by design, possibile l'esclusione di modalità profilate. In proposito, il DSA ribadisce nel cons. 68 che restano impregiudicate le previsioni del GDPR e della direttiva e-Privacy, tra le quali “specificamente la necessità di ottenere il consenso dell'interessato prima del trattamento dei dati personali per la pubblicità mirata”. La precisazione è fondamentale poiché, se non si procedere a integrare a livello ermeneutico e applicativo il GDPR nel DSA, ne risulta una comprensione del tutto deformata dei fenomeni disciplinati da quest'ultimo. Su alcuni temi specifici, per vero, il DSA supera perfino la disciplina del regolamento generale sui dati personali. Così l'art. 26.3 pone il divieto di pubblicità mirata basata sulla profilazione di dati sensibili, che non sembra possibile superare neppure con il consenso esplicito dell'interessato ai sensi dell'art. 9.2.a) GDPR. Tale ultima norma non ammette del resto la validità di siffatto consenso in caso ne sia altrove disposta dall'Unione o dagli Stati membri l'inefficacia a superare il divieto generale di cui al paragrafo primo dell'art. 9. La citata previsione del DSA sembra integrare un'ipotesi di applicazione di tale clausola. Allo stesso modo, l'art. 28.2 DSA pone un divieto, senza eccezioni, di presentare pubblicità mirata anche basata su dati “comuni” ai minori. Sono situazioni nelle quali la prospettiva che stiamo seguendo risulta perfino capovolta, nel senso che in tali casi il GDPR va letto alla luce del DSA. Decisioni significative unicamente automatizzate L'art. 7 DSA formalizza, in termini per vero alquanto laschi e vaghi, il principio cd. del “buon Samaritano”, che consente ai fornitori di sviluppare attività proattive di ricerca di contenuti illeciti senza per questo perdere il diritto alla generale esenzione di responsabilità. Il considerando 56 precisa che “un prestatore di servizi di memorizzazione di informazioni può in alcuni casi venire a conoscenza, ad esempio attraverso una segnalazione di una parte notificante o mediante proprie misure volontarie, di informazioni relative a determinate attività di un destinatario del servizio, quali la fornitura di determinati tipi di contenuti illegali, che giustifichino ragionevolmente, considerato l'insieme delle circostanze pertinenti di cui il prestatore di servizi di memorizzazione di informazioni è a conoscenza, il sospetto che tale destinatario possa aver commesso, potenzialmente stia commettendo o probabilmente commetterà un reato che comporta una minaccia per la vita o la sicurezza delle persone, quali i reati di cui alla direttiva 2011/36/UE del Parlamento europeo e del Consiglio, alla direttiva 2011/93/UE o alla direttiva (UE) 2017/541”. Tali attività, che includono perfino spericolate iniziative predittive, implicano l'impiego di sistemi automatizzati, ma non necessariamente – si noti – l'assunzione di decisioni finali interamente automatizzate. Siffatta applicazione si porrebbe infatti in contrasto, ed è il terzo esempio notevole di potenziale “collisione” normativa, con l'art. 22 GDPR. La disposizione in parola pone infatti un divieto generale in tal senso, che non può subire alcuna diluizione attraverso il DSA, e che è superabile solo attraverso le limitate eccezioni di cui al par. 2 e ss.. In particolare non sembra, almeno a chi scrive, che l'art. 7 del regolamento sui servizi digitali integri l'ipotesi di cui alla lett. b) della citata disposizione, mentre le altre due, a) e c) riposano su una manifestazione di volontà dell'interessato. La linea di composizione possibile tra i due corpi normativi resta quella della rimessione della decisione finale ad una verifica umana. È appena il caso di notare che in concreto tale previsione appare largamente violata. Trasparenza informativa Come notato, oltre alle aree di sovrapposizione tra la normativa sulla protezione dei dati personali e quella dei servizi digitali, di cui si sono offerti alcuni esempi, sussistono notevoli spazi di convergenza, dunque di reciproca integrazione e rafforzamento. Le due normative condividono del resto lo stesso approccio costruito sull'accountability e sull'anticipazione del rischio, e dunque su una sua previsione documentabile. Proprio il tema degli algoritmi di raccomandazione e quello della pubblicità mirata offrono terreno applicativo per constatare tale convergenza virtuosa. Dispone l'art. 27 DSA che le piattaforme online debbano indicare con “linguaggio chiaro e intellegibile”, clausola che echeggia l'art. 12 GDPR, “i principali parametri utilizzati nei loro sistemi di raccomandazione, nonché qualunque opzione a disposizione dei destinatari del servizio che consente loro di modificare o influenzare tali parametri principali”. Si tratta evidentemente di previsioni da integrare nell'obbligo di dettagliata informativa di cui agli artt. 13 e 14 GDPR. I parametri di funzionamento dei servizi di raccomandazione permettono ad esempio di riempire di contenuto, e perfino di espandere, il dovere di fornire “informazioni significative sulla logica utilizzata” disposto dal GDPR, cfr. ivi artt. 13.2.f) e 14.2.g). Ugualmente, per proporre un altro esempio tra i molti possibili, in tema di pubblicità mirata, l'art. 26.1 DSA prescrive alle piattaforme online di: indicare chiaramente la natura pubblicitaria di un'informazione, il soggetto committente, il finanziatore, se diverso, e soprattutto i “parametri utilizzati per determinare il destinatario al quale viene presentata la pubblicità e, laddove applicabile, alle modalità di modifica di detti parametri”. Ancora in materia di potenziamento della trasparenza, giova segnalare la convergenza di DSA e GDPR rispetto ai cd. “dark pattern”, ossia quelle “pratiche che distorcono o compromettono in misura rilevante, intenzionalmente o di fatto, la capacità dei destinatari del servizio di compiere scelte o decisioni autonome e informate”, come le definisce il cons. 67 DSA. Alla contrarietà al regolamento generale sui dati personali di tali tecniche di aggiramento della consapevolezza dell'utente, per la quale si rimanda a EDPB, linee guida 3/2022, si aggiunge ora il divieto generale espresso contenuto all'art. 25.1 DSA. In conclusione L'ecosistema di diritto digitale progettato e già oggi parzialmente realizzato dall'Unione europea pone al giurista un mosaico normativo contemporaneamente di notevole ambizione e di difficile composizione. Occorre lavorare sulle commessure dei diversi tasselli normativi, e ciò si pone indubbiamente come l'aspetto più complesso e meno felice in termini di certezza e prevedibilità del diritto, perché aggiunge stratificazione e livelli interpretativi a testi che, esaminati da soli, rischiano di essere fuorvianti. Il presente contributo ha ristretto il campo d'esame a due corpi normativi, il DSA rispetto al GDPR, e lo ha ulteriormente ridotto a una breve casistica applicativa centrata sugli artt. 22 e 25 GDPR rispetto ad alcuni fenomeni e istituti normati dal regolamento sui servizi digitali. Già da questo approccio minimo sono emerse linee di lettura giuridica delle disposizioni esaminate che allontanano da applicazioni meccaniche e automatiche delle formulazioni, restituendo un quadro di intrecci normativi meno evidente e meno anticipabile di quanto sarebbe desiderabile. Ci indicherà l'applicazione concreta del DSA negli anni a venire quale sarà l'effettivo risultato della proiezione di questa interazione (ben più ampia del resto di quella del solo GDPR) sull'effettiva fisionomia dei servizi intermediari della società dell'informazione. |
