Il 25 agosto è entrato in vigore il Digital Service Act (DSA), uno dei molti pacchetti di norme digitali che l’Unione Europea si presta a varare nel prossimo futuro. I contenuti del DSA si applicano alle piattaforme online e ai motori di ricerca di dimensioni molto grandi, realtà internettiane che si vedono finalmente riconosciuti gli oneri amministrativi legati a quel peso politico che stanno ormai esercitano da anni, sia sul pubblico che sulle istituzioni. L’integrazione di queste nuove imposizioni è però già motivo di una certa dose di malumori, basti pensare ad Amazon, la quale ha avviato una battaglia pur di non vedersi riconosciuta come una piattaforma da assoggettare agli obblighi.
Il fitto testo del DSA è caratterizzato da molti verbi al condizionale, confida nella “diligenza” delle Big Tech di mostrare trasparenza nei sistemi di raccomandazione dei contenuti, nella decisione di smettere la manipolazione del pubblico con i dark pattern, nel sondare attivamente i rischi che i servizi digitali rappresentano per il pubblico. Sotto molti versi, il documento sembra più un patto tra gentiluomini che un vero e proprio pacchetto di leggi. A preoccupare vi è poi il fatto che il DSA introduca tutta una serie di articoli dedicati a combattere la “disinformazione”. Nella battaglia contro le fake news, le aziende assumeranno infatti un ruolo di supervisione che imporrà loro di sospendere “i contenuti considerati illegali”, ma anche tutti quei post che, seppur non illegittimi, vengono etichettati come dannosi per la sicurezza pubblica. Un obiettivo che evidentemente si può prestare a strette censorie della libertà d’informazione, come su L’Indipendente abbiamo già approfondito.
La reale applicazione nonché le possibili derive del Digital Service Act sembrano dunque legarsi fondamentalmente ai rapporti che andranno a instaurarsi nel tempo tra Unione Europea e grandi imprese, agli equilibri che ambo le parti dovranno costantemente ritrattare prima di poter cementare una qualche stabilità effettiva. Per approfondire le dinamiche che hanno portato i Paesi membri ad assumere un simile approccio abbiamo contattato il giurista Francesco Pizzetti, professore di Diritto costituzionale e Diritto della tutela dei dati personali presso la Libera università internazionale degli studi sociali Guido Carli (Luiss) di Roma, il quale ha sviluppato una certa competenza sul campo ricoprendo tra il 2005 e il 2012 la carica di Presidente dell’Autorità Garante per la Privacy.
In sintesi, come descriverebbe il Digital Service Act (DSA)?
È una regolazione che va letta è considerata in un quadro di regole che non si esauriscono nel solo DSA e che hanno come obiettivo quello di rafforzare il Mercato unico digitale europeo. È questo è il suo punto essenziale. […] Si inquadra nel grande sforzo che l’Europa sta facendo e che coinvolge le reti, coinvolge i sistemi di interconnessione, coinvolge il Digital Market Act (DMA) – il quale entrerà in vigore pochi giorni dopo – ed altre altre regolazioni, come per esempio il Cyber Resilience Act, che è stato presentato l’anno scorso.
In assenza di un solido Mercato digitale unico europeo, il conflitto che la società digitale determina lo portiamo in casa e facciamo diventare la transizione digitale un grosso rischio per l’Unione Europea. […] La grande intuizione dell’Unione Europea è stata quella di creare per le imprese dei Paesi membri un Mercato da 500 milioni di consumatori, il che non ha solamente evitato le guerre intraeuropee, ha anche dato agli operatori economici europei uno spazio economico incomparabilmente superiore a quello nazionale. Il Mercato unico digitale è quindi fondamentale per le imprese italiane e se c’è qualcuno che ha interesse a mantenere il Mercato unico europeo sono proprio le economie come l’Italia. La Germania questo lo capisce. […]
Se poi lei mi chiede se considero positivamente il DSA, la risposta è “sì e no”. “Sì” dal punto di vista di mantenere il Mercato unico digitale europeo; la regolazione è invece per certi versi forse eccessivamente ambiziosa rispetto alla realtà concreta che può determinarsi. Il controllo sul contenuto dei messaggi può obiettivamente aprire una quantità di tensioni, può essere usato facendosi scudo della libertà di stampa e di opinione, inquinando le cose ampiamente.
In tal senso il pubblico teme però che gli articoli del DSA che riguardano la gestione della disinformazione in “circostanze eccezionali comportano una grave minaccia per la sicurezza pubblica o la salute pubblica” possano effettivamente essere sfruttati per mettere a tacere le opinioni non in linea con la narrativa dominante.
Le fake news sono state usate abbondantemente in certi momenti dell’epoca europea recente. Ma lo scopo del DSA non è questo. […] Già da tempo, rispetto alle fake news c’erano regole che ponevano degli obblighi a carico dei fornitori di servizio, non di censurare, ma di controllare il contenuto dei messaggi oggetto del loro servizio. Adesso, il DSA estende queste regole – in parte modificandole, in parte no – secondo modalità uniformi che valgono per tutti gli operatori, indipendentemente dal fatto che questi abbiano sede nell’Unione o fuori da essa, avendo come riferimento dove ha sede il soggetto che riceve il servizio.
Qualora si ritenesse di essere stati oscurati ingiustamente, con chi bisognerebbe interfacciarsi per correggere il torto?
Innanzitutto c’è un problema di attendere che il soggetto che ritiene di essere stato leso faccia ricorso al fornitore di servizio. Dopodiché si tratterà di vedere in che cosa consiste il vizio denunciato. Per il resto l’interlocutore è la Commissione [Europea].
Come vede invece il ruolo del Comitato per i Servizi Digitali? Inciderà molto o avrà più che altro un ruolo di supervisione dei dietro le quinte?
Lo vedo come assolutamente essenziale. Ci stiamo accorgendo o no, che siamo entrati nell’epoca digitale? Se noi pensiamo di essere entrati nell’epoca digitale, allora riusciamo a capire che nulla è più come prima. Diversamente, sarebbe come immaginare di non avere un codice della strada: anche se le automobili vanno a 200 chilometri all’ora, continueremmo a usare le regole che si usavano in epoca medioevale. […] Se cambia la realtà che devo regolare, dovrò cambiare le regole. O devo immaginare di dover regolare una realtà nuova con le regole vecchie?
Il Comitato è una struttura che viene istituita in questa occasione, ma che sarà per esempio fondamentale per il Cyber Resilience Act. Avremo sempre più bisogno – anzi, sarebbe stato bene che le avessimo sviluppate anche con l’esistenza del GDPR – di strutture tecniche, non solo di quelle regolatorie. Di strutture che siano in grado di verificare dal punto di vista tecnologico se le tecnologie adottate costituiscono esse stesse un rischio nei confronti delle regole che devono essere rispettate.
Possiamo considerare effettivamente attivo il DSA, visto che il termine per siglare gli accordi per la cooperazione tra i regolatori delle diverse nazioni è fissato per il 24 febbraio 2024?
Non sarà qualche giorno in più o qualche giorno in meno che cambia la vita. Io direi che le imprese devono assolutamente essere in grado di dimostrare che stanno facendo gli sforzi per metterlo in atto. Poi, ovviamente, dipenderà dall’eventuale controllore verificare se gli sforzi fatti finora e quello in atto sono adeguati all’entrata in vigore fra pochi giorni o meno […].
È evidente che questa nuova regolamentazione comporta per le imprese dei problemi complessi e che dovranno essere affrontati anche con oneri. È altrettanto evidente che sarà necessario che le aziende si assicurino di avere il personale qualificato adeguato, che non basti più il Data Protection Officer, ma che ci voglia il Cybersecurity Officer – cioè non basta più una competenza puramente giuridica, ma ci vuole una figura di carattere tecnologico. […] D’altro canto, il DSA – così come il DMA – non è nato l’altroieri: sono tre anni che ne stiamo discutendo. La tematica è impegnativa. Che le imprese siano preoccupate per gli oneri economici che comporta l’applicazione di queste norme è assolutamente comprensibile. E sarebbe ben curioso il contrario. […]
Poi, sulle regole incontreremo tantissime difficoltà. Ancora nessuno ci ha messo davvero sopra la testa. Seguire tutte le evoluzioni in corso non è per nulla semplice, il procedimento di esame è stato lungo, poi l’Unione Europea ha messo tanta carne al fuoco, ma se ci sono dei problemi di carattere tecnico, li vedremo vivendo.
Tenendo conto delle correnti differenze politiche e produttive che separano i vari Paesi membri, l’idea di questo Mercato unico digitale è effettivamente concretizzabile o si tratta di un’utopia?
Se i sistemi economici hanno delle differenze significative l’uno rispetto all’altro, non è con un regolamento che si cancellano queste differenze. Non è questo l’obiettivo. Sarebbe anche sciocco. Quando si è creato il Mercato unico attuando il piano Schuman, non è che tutti avessero le stesse risorse del carbone dell’acciaio, ma dovevano comunque poter accedere a queste risorse anche quando in possesso di altri Paesi, secondo le regole stabilite dalla CECA [Comunità Europea del Carbone e dell’Acciaio, Ndr]. Questo è l’obiettivo! Garantire che la circolazione dei dati all’interno dei servizi digitali avvenga secondo regole uniformi da parte di tutti gli operatori che forniscono i servizi da uno Stato dell’Unione nel Mercato unico o che ricevono servizi nell’ambito dell’Unione da fornitori extra-UE.
[di Walter Ferri]
