Moderazione dei contenuti: dall’autorità inglese ICO una guida al rispetto della privacy

Il quadro normativo

Il 17 febbraio 2024 è divenuto di piena applicazione il Regolamento (UE) 2022/2065 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (c.d. “Regolamento sui servizi digitali”, anche “Digital Services Act” o abbreviato come “DSA”). La norma ha ereditato l’impostazione e il regime della precedente Direttiva 2000/31/CE sull’e-commerce, abrogandone una parte, aggiornandone ed espandendone le prescrizioni.

Tra le varie disposizioni contenute nel DSA, il nocciolo chiave è quello sulla moderazione dei contenuti da parte dei servizi intermediari della società dell’informazione online (ovvero soggetti elencati all’art. 3 lett. g) DSA: mere conduit, caching, hosting, motori di ricerca). La norma prevede obblighi diversificati in ragione della dimensione e attività dei servizi, in ogni caso rientrano come obblighi comuni a tutti i servizi intermediari quelli basilari sulla trasparenza nella moderazione dei contenuti (art. 14 DSA), inclusa la relazione annuale proprio per garantire tale trasparenza nella moderazione (art. 15 DSA). È il testo stesso del DSA (v. Considerando 10) che stabilisce come il DSA non deve pregiudicare l’applicazione di ulteriori normative, tra le quali si conta proprio il GDPR.

Orbene, l’attività di moderazione dei contenuti comporta inevitabilmente, in qualche fase, il trattamento di dati personali degli utenti degli intermediari e di eventuali terzi coinvolti. La gestione corretta dei loro dati, in tale frangente, non è banale e si apre a diversi interrogativi.

In assenza - al momento - di documenti specifici di indirizzo da parte di autorità unionali, rappresenta un contributo valido la recente linea guida pubblicata dall’autorità di controllo inglese (ICO – Information Commissioner’s Office) e mirata alla moderazione dei contenuti in accordo con la normativa data protection. Il testo in bozza era stato posto in consultazione pubblica dall’autorità e ora si è consolidato nella versione definitiva.

Va precisato che - quale noto effetto della Brexit - dopo l’uscita dall’Unione il Regno Unito ha adottato propri atti normativi, slegati da quelli europei. Nondimeno in questo caso si può trarre profitto dal testo britannico perché la normativa inglese sulla privacy (Data Protection Act del 2018) è al momento, di fatto, un adattamento quasi integrale del GDPR, così come lo è quella sulla moderazione dei contenuti (Online Safety Act del 2023) modellata perlopiù sul DSA. Ecco perché l’applicabilità dei suggerimenti delle indicazioni dell’ICO al contesto UE è quasi integrale. Nel prosieguo, per questa ragione, si è optato per la diretta indicazione dei riferimenti normativi UE, salvo ove vi fosse necessità di una distinzione rispetto alla normativa britannica.

La moderazione di contenuti e i terzi coinvolti

Il testo del DSA (art. 3 lett. t)) definisce queste attività di moderazione come quelle “automatizzate o meno, svolte dai prestatori di servizi intermediari con il fine, in particolare, di individuare, identificare e contrastare contenuti illegali e informazioni incompatibili con le condizioni generali, forniti dai destinatari del servizio”. E vi ricomprende ”le misure adottate che incidono sulla disponibilità, sulla visibilità e sull’accessibilità di tali contenuti illegali o informazioni, quali la loro retrocessione, demonetizzazione o rimozione o la disabilitazione dell’accesso agli stessi, o che incidono sulla capacità dei destinatari del servizio di fornire tali informazioni, quali la cessazione o la sospensione dell’account di un destinatario del servizio”. Il DSA, tra l’altro, impone agli intermediari online di disciplinare la moderazione dei contenuti nei propri termini contrattuali di servizio.

Il testo della guida ICO è ancora più preciso del DSA nello scomporre l’attività di moderazione: (i) analisi, (ii) valutazione, (iii) azione a seguito della valutazione (per es. la rimozione).

La guida ben descrive, di conseguenza, in quali fasi si può potenzialmente articolare l’attività: dal matching – ovvero cercare corrispondenze di contenuti in database (interni o esterni) -, alla classificazione (solitamente automatizzata) dei contenuti (in violazione o meno delle condizioni generali), alla revisione umana del processo automatizzato, fino all’azione di moderazione (sul contenuto o sull’account) e ai ricorsi/ripristini (qualora l’utente reclami dopo l’azione).

Possono essere coinvolti terzi in tutto questo? È molto frequente, visto che ci si può avvalere di moderatori umani (esterni) così come di tool e strumenti automatizzati di terze parti. Identificare i ruoli privacy di questi terzi è essenziale. Oltre a ciò, va ricordato che terzi possono essere soggetti diversi dagli utenti della piattaforma e che possono segnalare contenuti o richiedere informazioni in merito (per es. autorità di controllo o “segnalatori attendibili” riconosciuti dal DSA).

I dati personali nella moderazione di contenuti

Oltre ai dati personali pacificamente inquadrabili come tali (per es. quelli anagrafici di un utente), l’ICO rammenta che possono esserlo altresì dati che possono rendere “identificabili”, come l’indirizzo IP o simili identificatori, relativi agli utenti che hanno caricato contenuti o che li hanno segnalati o, ancora, che sono presenti nei contenuti stessi. L’uso dei dati personali e la sua estensione andranno improntati al rispetto del principio di minimizzazione, con dati in chiaro solo se necessario e nella misura proporzionata rispetto al fine di trattamento. Si pensi a dati complementari il cui uso va adeguatamente giustificato, quali l’età di un utente, la sua posizione geografica, l’attività registrata nell’ambito di un servizio o un profilo di interessi e interazioni.

In tal senso, i dati potranno essere pseudonimizzati (separando la parte identificativa dal resto, solitamente tramite codici), come accade per analizzare i contenuti nelle fasi di rilevamento e classificazione - pertanto, riducendo i rischi associati a un trattamento svolto altrimenti del tutto “in chiaro”. I dati resteranno sì personali ma si ridurrà il numero di persone coinvolte e le occasioni di (re)identificazione degli interessati: un esempio è quello del team di moderazione che controlla che i contenuti non siano in violazione e che, per tale attività, non ha sempre la necessità di visionare chi siano gli utenti collegati a quei contenuti.

I dati personali afferenti a contenuti, inoltre, potrebbero essere facilmente di tipo particolare (ex art. 9 GDPR) o persino, più remotamente, giudiziari penali (ex art. 10 GDPR). Esempio del primo tipo potrebbe essere quello di un post su un forum online, in cui utenti identificabili esprimono direttamente le loro opinioni politiche.

L’ICO rammenta che il carattere “particolare” del dato può anche essere inferibile dal dato di partenza – per es. un moderatore che esamina immagini e video di persone che indossano determinati indumenti può essere in grado di dedurre che appartengono a un particolare gruppo religioso, sebbene il contenuto non specifichi direttamente tali informazioni. Il fattore decisivo, per capire se si stanno trattando dati delle categorie particolari, è quello della finalità del titolare, cioè se è intenzionale estrarre deduzioni dai dati.

Nel caso, si dovranno adottare le corrette basi giuridiche di trattamento ed eventuali condizioni aggiuntive (ex artt. 6, 9 e 10 GDPR), come vedremo nuovamente di seguito.

Un esempio tracciato dall’ICO migliora la comprensione: quello di una moderazione che analizzi le immagini e i video generati dagli utenti, quando vengono caricati, onde rilevare i contenuti che promuovono l’autolesionismo o il suicidio, con intervento di un moderatore umano e servizi di emergenza nel caso. Ciò comporta il trattamento di dati di salute (che indicano se la persona è a rischio psicologico di autolesionismo o suicidio).

Le basi giuridiche applicabili alla moderazione

Il documento dell’ICO offre un’ampia disamina delle possibili basi giuridiche del trattamento nel contesto in parola. L’autorità si spinge a suggerire che le due basi giuridiche più probabili per il trattamento potranno essere:

• l’obbligo derivante da normativa (art. 6 lett. c) GDPR) – per es. per rispettare la normativa dettata dal DSA – in tal caso, il trattamento dovrà essere necessario e proporzionato rispetto agli obblighi gravanti sul titolare; il testo dell’ICO parifica al rispetto normativo anche quelli di codici di condotta collegati alla normativa UK OSA, ragion per cui pare ammissibile per i codici di condotta a più riprese richiamati nel DSA (come quello dell’art. 46 sulla pubblicità online);
• il legittimo interesse (art. 6 lett. f) GDPR) – per es. per poter applicare al proprio sito web la moderazione dei contenuti ai sensi dei propri termini di servizio; ovviamente, l’adozione di questa base si deve effettuare solo al superamento positivo del noto three step test sul legittimo interesse, delineato dal WP29 nel Parere 6/2014, volto (i) alla identificazione dell’interesse, (ii) della sua necessarietà, (iii) della sua prevalenza su interessi, diritti e libertà degli interessati – con particolare cautela nel caso di soggetti vulnerabili come i minori;
• solo residualmente potrebbero essere candidabile la base del rispetto di obblighi contrattuali (art. 6 lett. b GDPR), se il trattamento è fase mirata e necessaria del rispetto dei servizi contrattuali.

Mentre altre basi – come il consenso, l’interesse vitale, o l’interesse pubblico – non paiono all’autorità facilmente ipotizzabili. In particolare la moderazione dei contenuti non pare qualcosa di opzionale e soggetto a scelta consensuale degli utenti (potrebbero lecitamente rifiutarsi di soggiacere a moderazione dei propri contenuti). Mentre l’interesse pubblico (rilevante) potrebbe rientrare utile nel caso di dati particolari (art. 9 lett. g) GDPR).

I rischi e la valutazione di impatto privacy

Per l’ICO è probabile che il trattamento nell’ambito della moderazione faccia scattare l’obbligo di una DPIA ex art. 35 GDPR, presentando un rischio elevato - per es. poiché coinvolge nuove tecnologie o la nuova applicazione di tecnologie esistenti (compresa l’intelligenza artificiale), oltre al combinare, confrontare o abbinare i dati personali ottenuti da più fonti. O, ancora, trattando dati di minori.

Nella valutazione dei possibili rischi e danni per i diritti e le libertà degli interessati, possiamo annoverare: perdita di controllo a causa di un uso o di una condivisione imprevisti e sleali; effetti negativi sui diritti e sulle libertà, compresi il diritto alla vita privata e il diritto alla libertà di espressione; danni economici alle persone (per es. per perdita di reddito o di lavoro); discriminazioni basate sui risultati di un sistema di moderazione.

Circa la valutazione del rispetto del principio di correttezza, ad avviso dell’ICO i sistemi di moderazione devono funzionare in modo accurato e produrre risultati imparziali e coerenti, specie riguardo a eventuali decisioni che non dovrebbero risultare imprecise o distorte (biased). Ciò comporta una revisione regolare dell’utilizzo dei dati nei processi di moderazione, fornendo indicazioni e formazione ai moderatori su come prendere decisioni (umane) di moderazione coerenti ed eque basate su dati personali. Ancor più quando l’attività di moderazione passa attraverso sistemi di intelligenza artificiale, particolarmente suscettibili (specie a causa dei dataset di training, ma non solo) di pregiudizi e risultati discriminatori.

Sistemi decisionali automatizzati nella moderazione

L’impiego, inoltre, di eventuali processi decisionali unicamente automatizzati (ex art. 22 GDPR) di probabile applicazione nell’ambito in esame, sarà soggetto alle relative prescrizioni quanto alle basi giuridiche e garanzie ulteriori. Oltre alla dovuta trasparenza informativa.

L’ICO offre l’esempio di un sistema di classificazione dei contenuti basato sull’intelligenza artificiale, il quale rimuove automaticamente tutti i contenuti che superano un determinato punteggio di attendibilità in una particolare categoria di contenuti vietati. È il sistema automatizzato a decidere se il contenuto soddisfa questa classificazione e, in caso affermativo, a rimuovere il contenuto. Poiché non c’è coinvolgimento umano, ricade nell’ambito dell’art. 22 GDPR.

Possono darsi fattispecie più ambigue: strumenti di matching (corrispondenza) dei database possono confrontare i contenuti generati dagli utenti con un database di materiale proibito e noto, determinato come proibito ex ante da umani, rimuovendolo. Secondo l’ICO, questo tipo di decisioni non saranno necessariamente automatizzate, perché lo strumento opera in base a parametri predefiniti che rappresentano decisioni umane, non già in base a fattori probabilistici.

Circa la necessaria valutazione degli effetti “significativi” delle decisioni, come richiesto dai requisiti dell’art. 22 GDPR, il documento dell’autorità descrive un utile scenario di riferimento: un servizio di condivisione video che utilizza un sistema di moderazione esclusivamente automatizzato e che comporta la rimozione del video di un utente dal servizio. L’azione di moderazione viene intrapresa a seguito di un’analisi esclusivamente automatizzata di classificazione del video, e il sistema adotta una decisione automatizzata anche sull’analisi dei dati personali dell’utente: potrebbe essere un creatore di contenuti/influencer e così avere le entrate derivanti dai contenuti video quale principale fonte di reddito. Sarebbe innegabile, in questo caso, che la rimozione del video può comportare un impatto significativo su questo tipo di utente.

Si pensi infine alle misure di salvaguardia per l’interessato che l’art. 22 GDPR prescrive nel caso di decisioni unicamente automatizzate: ottenere l’intervento umano, esprimere il proprio punto di vista e contestare la decisione. Pertanto si dovrà disporre di un processo interno di reclamo (come richiesto altresì dal DSA per le piattaforme all’art. 20) per le decisioni di moderazione. Tra le altre cose, gli utenti interessati dovrebbero potersi lamentare se il loro contenuto viene rimosso (o se ricevono un avvertimento, vengono sospesi o banditi dall’utilizzo del servizio) in forza di una classificazione del contenuto come illegale.

Informazioni agli interessati

I requisiti noti per la trasparenza informativa agli interessati sono quelli usuali degli artt. 13 e 14 GDPR. Nell’ambito della moderazione di contenuti si dovrà porre maggior attenzione ad aspetti già menzionati come per es. le informazioni specifiche sulle decisioni automatizzate ex art. 22 viste sopra.

Aspetto delicato e di particolare attenzione sarà l’indicazione di eventuali utilizzi dei dati personali – in proprio, quindi da titolari autonomi – per fini diversi da parte di fornitori terzi dei servizi o tool di moderazione. Per es. per lo sviluppo e il miglioramento dei propri prodotti per la moderazione dei contenuti.

A ciò vanno aggiunti a complemento gli obblighi informativi specificati nel DSA (e nel suo omologo inglese OSA) al suo art. 14, ovvero l’inclusione – nei termini di servizio – di informazioni sulle politiche, le procedure, le misure e gli strumenti utilizzati ai fini della moderazione dei contenuti, compresi il processo decisionale algoritmico e la verifica umana, nonché le regole procedurali del sistema interno di gestione dei reclami. Il tutto in un linguaggio chiaro, semplice, comprensibile, facilmente fruibile e privo di ambiguità e sono disponibili al pubblico in un formato facilmente accessibile e machine readable.

In accountability, il titolare dovrà mantenere documentazione delle informazioni sull’accuratezza e correttezza della compiuta moderazione.  Di un utente che sia presuntivamente un violatore delle regole sui contenuti, si deve garantire l’accuratezza di tale status e sua registrazione nell’account utente, tenendolo debitamente aggiornato ove necessario e adottando misure ragionevoli per rettificare o cancellare i dati registrati – nel caso di reclamo dell’utente - senza indugio.

La minimizzazione dei dati personali e i tempi di conservazione

Si è cennato alla minimizzazione dovuta durante la moderazione dei contenuti: l’ICO sottolinea come “le tecnologie e i metodi di moderazione dei contenuti sono in grado di raccogliere e utilizzare più informazioni di quelle necessarie per raggiungere i tuoi [rectius: del titolare] scopi. In questo modo si rischia un’inutile intrusione nella privacy degli utenti”.

È frequentemente possibile assumere decisioni, comunque accurate, sulla moderazione basandosi esclusivamente sul contenuto, senza associarvi dati personali. La moderazione sarebbe attività contestuale, dipendendo da fattori che possono entrare in gioco per un trattamento di dati personali che sia giustificato. Secondo l’ICO, elementi di valutazione possono essere i post e le violazioni precedenti dell’utente (per valutare l’eventuale recidiva o abusi), le interazioni sul servizio (come like e condivisioni) e gli interessi dell’utente. In ogni caso, l’autorità nei suoi esempi ipotizza in genera varie fasi di moderazione in generale, in cui le prime sono prive di dati personali visibili/comprensibili ai moderatori e solo successivamente li contemplano.

Quanto alla tempistica di conservazione dei dati, l’ICO naturalmente non ammette scadenze indefinite, dipendendo dalle finalità e dalla situazione dell’utente.

Caso di scrupolo ulteriore è quello dei servizi di terze parti e che nel loro accordo contrattuale devono aver ben definito quali dati personali conservano e per quanto tempo, variando a seconda del servizio che forniscono. Si pensi a uno strumento di classificazione basato sull’intelligenza artificiale e che potrebbe non aver bisogno di conservare le informazioni per un periodo di tempo superiore a quello necessario per analizzare il contenuto. Invece un fornitore che gestisce i reclami degli utenti potrebbe dover conservare le informazioni più a lungo, per consentire loro di gestire il reclamo e arrivare al suo esito.

L’accesso e gli altri diritti spettanti agli interessati

Nella moderazione dei contenuti, circa l’esercizio dei diritti degli interessati (artt. 15-22 GDPR) si deve prestare attenzione alle particolarità del trattamento declinato in questa attività peculiare.

Vediamo per es. il diritto di accesso secondo l’ICO: in questo ambito, l’utente interessato potrebbe richiedere conferma dell’uso dei suoi dati per l’attività di moderazione, oppure copia di tali dati (incluso l’iter e l’esito della moderazione e delle azioni intraprese). È importante garantire che se terzi sono coinvolti in questi processi allora siano in grado di mettere a disposizione queste informazioni prontamente.

Delicato può essere l’esercizio del diritto di rettifica: il sistema di moderazione può generare dati personali su un utente che afferma di aver pubblicato un contenuto in violazione. È necessario  assicurarsi che il risultato registrato a proposito di quell’utente sia accurato, inclusa qualsiasi argomentazione avanzata dall’utente in merito a tale decisione e, se necessario, rettificarne le informazioni.

In conclusione

La guida dell’ICO – a fronte di una normativa come il DSA di piena applicazione dal febbraio 2024 e di un certo ritardo da parte delle autorità e della Commissione nel fornire indicazioni utili – rappresenta al momento uno dei pochi strumenti di supporto e indirizzo da parte di un’autorità “autorevole” tuttora nel contesto UE, al netto di eventuali differenze normative. Come si evince dalla lettura di quanto sopra, il tema può assumere una certa complessità applicativa e gli operatori possono trovare notevoli spunti e considerazioni dirimenti negli esempi e nelle puntualizzazioni pragmatiche dell’ICO.

Anche quando interverranno autorità dell’Unione per fornire strumenti ufficiali di adempimento del DSA, la guida inglese continuerà probabilmente a rappresentare un utile strumento di riflessione e confronto.

Riferimenti

In dottrina sul tema:

AA.VV., Online Platforms’ Moderation of Illegal Content Online Law, Practices and Options for Reform, Parlamento Europeo, Lussemburgo, 2020;

AA. VV., Verso una legislazione europea su mercati e servizi digitali, Bari, 2021;

Bolognini, Pelino, Scialdone (a cura di), Digital services act e Digital markets act: definizioni e prime applicazioni dei nuovi regolamenti europei, Giuffrè Francis Lefebvre, 2023;  

Martinez, Platform regulation, content moderation, and AI-based filtering tools: Some reflections from the European Union, in  JIPITEC, 14, 2023, 211 ss.;

Nahmias – Perel, The Oversight of Content Moderation by AI: Impact Assessments and Their Limitations, in Harvard Journal on Legislation, 58 (1), 2021.