g-docweb-display Portlet

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - Proposta di Regolamento relativo a un mercato unico dei servizi digitali (legge sui servizi digitali) (COM(2020) 825 final) e Proposta di Regolamento relativo a mercati equi e contendibili nel settore digitale (legge sui mercati digitali) (COM(2020) 842 final)

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VIDEO DELL'AUDIZIONE

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione - Proposta di Regolamento relativo a un mercato unico dei servizi digitali (legge sui servizi digitali) (COM(2020) 825 final) e Proposta di Regolamento relativo a mercati equi e contendibili nel settore digitale (legge sui mercati digitali) (COM(2020) 842 final)

Commissione IX della Camera dei Deputati (Trasporti, Poste, Telecomunicazioni)

(23 giugno 2021)

 

1. Il contesto

Ringrazio la Commissione per l’invito al confronto su due proposte legislative di assoluta rilevanza per la governance del digitale. Tanto il Digital Services Act quanto il Digital Markets Act (assieme del resto all’Artificial Intelligence Act) caratterizzano infatti, in maniera determinante, la linea di politica legislativa seguita dalla Commissione europea sul terreno del rapporto tra innovazione e tutela della persona, sul quale si gioca una partita importante per la democrazia.

Che si tratti di una delle sfide decisive per l’affermazione dell’Europa come leader mondiale di un’innovazione sostenibile perché antropocentrica, emerge in maniera netta dalle dichiarazioni della Presidente Von der Leyen.

Riguardo a queste proposte normative, la Presidente ha infatti rivendicato la primazia - cronologica, oltre che assiologica e politica - dell’Europa nel tentativo di “giuridificazione” della rete, intesa come emancipazione da uno stato di anomia che non è libertà, ma soggezione alla lex mercatoria, sì che il perimetro delle libertà in rete viene definito dalle condizioni generali di contratto stilate dalle piattaforme.

Esse assumono sempre più il ruolo (emerso palesemente con la sospensione degli account Facebook e Twitter dell’allora Presidente Usa Donald Trump) di veri e propri poteri privati, ovvero autorità di fatto che tuttavia, proprio in questa fase, la più recente legislazione europea sta tentando di disciplinare come autorità, almeno in parte, “di diritto”, circoscrivendone le facoltà e ascrivendo loro corrispondenti responsabilità funzionali alla garanzia dei diritti fondamentali incisi, in varia misura, dalla loro azione.

Nell’ora presente, in cui l’acquisizione di beni, la fruizione di servizi, l’accesso alla conoscenza e all’informazione, i rapporti sociali sono necessariamente intermediati da piattaforme le più varie, il loro ruolo diviene invero centrale per l’esercizio dei diritti fondamentali, di cui proprio i gatekeepers (definizione significativa!) rischiano di divenire arbitri dal potere insindacabile.

Le due proposte in discussione intervengono su questo terreno, da prospettive diverse, entrambe comunque rilevanti per la privacy, in quanto incidenti sulle condizioni per la legittima circolazione dei dati nell’ecosistema digitale e sui limiti da porre, a tutela della persona, al capitalismo delle piattaforme.

Anche in ragione della stretta interrelazione tra l’oggetto delle proposte e la protezione dati, il Garante manifesta sin da ora la propria disponibilità a contribuire, nei modi che saranno ritenuti opportuni, al successivo adeguamento dell’ordinamento interno a questa nuova disciplina, offrendo la propria esperienza e competenza, quantomai trasversale, sul digitale.

Vorrei premettere che si tratta, in entrambi i casi, di testi avanzati e certamente necessari per normare, appunto, le condizioni di esercizio di un potere, quello delle piattaforme, cui oggi non corrisponde un adeguato statuto di responsabilità e che le proposte in esame mirano invece ad introdurre, l’una a tutela principalmente dei diritti degli utenti, anche mediante la garanzia di un ambiente on line sicuro e l’altra a garanzia della competitività del mercato.

Indicheremo, tuttavia, alcuni possibili miglioramenti già suggeriti, in sede europea, dal Garante europeo per la protezione dei dati con i pareri 1 e 2/2021 e molti dei quali sono stati ripresi anche nell’ambito del tavolo di coordinamento istituito presso il Dipartimento delle politiche europee della Presidenza del Consiglio dei Ministri.

2. Il DSA

2.a. Profili generali

Il Digital Service Act disciplina la fornitura di servizi di intermediazione on line a livello transfrontaliero, al fine di garantire un ambiente on line sicuro; migliorare le condizioni di prestazione per i servizi digitali transfrontalieri innovativi; offrire tutele adeguate, anche remediali, agli utenti; istituire una vigilanza efficace sui servizi digitali, promuovendo anche la collaborazione tra le autorità competenti.

Significativi sono gli obblighi, soprattutto di carattere proattivo, previsti in capo alle piattaforme on line, diversamente modulati sulla base del numero di utenti attivi, nel segno di una loro responsabilizzazione di tipo essenzialmente preventivo.

L’ambito soggettivo di riferimento del provvedimento comprende i prestatori di servizi d’intermediazione, tra cui quelli di hosting, a loro volta comprensivi delle piattaforme on line in senso proprio (che si caratterizzano per la diffusione al pubblico d’informazioni); categoria al cui interno sono incluse le “very large platforms”, con un numero di destinatari attivi nell’UE pari o superiore a 45 milioni, cui sono riservati obblighi maggiormente significativi per la gestione dei “rischi sistemici” connessi alla loro attività.

E’ significativo che tra i parametri di valutazione dei rischi sistemici connessi al funzionamento delle piattaforme siano incluse le implicazioni negative, attuali o prevedibili, sulla salute pubblica, i minori, la pubblica sicurezza, i processi elettorali, derivanti in particolare dalla manipolazione intenzionale del servizio.

Vengono poi introdotti - a fini di responsabilizzazione e agevolazione dell’enforcement - obblighi di tracciabilità degli operatori commerciali, richiedendo alle piattaforme di abilitare i propri servizi solo a soggetti che forniscano specifiche informazioni funzionali alla loro identificazione.

Nel ribadire - e, anzi, rafforzando con una nuova Good Samaritan Clause – l’esenzione di responsabilità secondaria dei gestori rispetto agli illeciti commessi dagli utenti sulle proprie piattaforme e il doveroso divieto di monitoraggio generale e preventivo sui contenuti, il DSA compensa tuttavia questo safe harbor con degli obblighi di regolamentazione tali da minimizzare il rischio di violazioni o da contenerne, comunque, gli effetti pregiudizievoli.

A tal fine s’impone l’istituzione (diversamente modulata in ragione, appunto, della rilevanza della piattaforma) di procedure interne di decisione delle istanze di rimozione di contenuti illeciti o comunque contrari alle policies aziendali, con obblighi di motivazione e reclamabilità delle scelte adottate, nonché con la devoluzione delle controversie ad organi di AdR dotati di requisiti adeguati di indipendenza. 

In tal senso, si “positivizza” il percorso compiuto dalla giurisprudenza nel segno di una maggiore responsabilizzazione del gestore (si pensi alla figura pretoria dell’hosting attivo), volta a impedire che la rete, con la forza della condivisione virale e l’ubiquitarietà dei suoi servizi, divenga la cassa di risonanza di violazioni le più diverse dei diritti individuali.

Il crinale stretto su cui si muove il Digital Services Act è il mantenimento dell’opzione di fondo sottesa alla direttiva 2000/31, ovvero il regime generale di responsabilità (soltanto) condizionata del gestore(1) - con il correlativo divieto di monitoraggio generale dei contenuti - coniugato, tuttavia, con una serie di obblighi procedurali e sostanziali espressivi tanto del principio di accountability quanto del canone di responsibility.

La proposta della Commissione interviene in un momento di accentuata esigenza - avvertita non solamente in Europa - di ascrizione alle grandi piattaforme di responsabilità almeno pari alla rilevanza del potere (non solo economico) dalle stesse esercitato.

Si pensi, in tal senso, alla responsabilità (oggettiva) di Amazon per l’intermediazione svolta rispetto alla vendita di un prodotto difettoso, affermata nel caso Bolger dalla sentenza del 13 agosto 2020 del Quarto Distretto della Corte d’appello della California, fondata sull’affidamento riposto dagli utenti nella qualità dei prodotti ospitati dalla piattaforma.

Benché non scevra da criticità, questa sentenza riflette indubbiamente l’esigenza (avvertita persino nell’ordinamento dove questo regime di responsabilità, soltanto condizionata, dei gestori è nato), di circondare il potere delle piattaforme di un sistema adeguato di limiti e responsabilità.

In tale contesto, è significativa la scelta della Commissione europea di non cedere(2) al modello della responsabilità oggettiva del prestatore per i servizi intermediati o i contenuti diffusi dagli utenti(3), pur non rinunciando a una revisione della disciplina in senso maggiormente rigorista (si pensi al principio del know your business customer, che impone alle piattaforme di valutare adeguatamente l’affidabilità dei professionisti cui concedono spazi(4)).

2.b. DSA e GDPR: sinergie e complementarietà

La cifra di questa novella legislativa risiede, dunque, nel passaggio dalla (sola) responsabilità alla responsabilizzazione, che potrebbe avere effetti determinanti anche sul terreno della correttezza delle informazioni veicolate in rete, soprattutto grazie agli obblighi di trasparenza sull’ on line advertisement e sui suggerimenti commerciali. La disinformazione e i conseguenti effetti manipolativi sono, del resto, specifici pericoli sistemici di cui il DSA impone la valutazione, nell’ambito di un’analisi del rischio connesso all’attività svolta, al fine di modulare conseguentemente le garanzie da adottare, ivi inclusi i codici di condotta cui attenersi.

L’obbligo di motivazione delle decisioni adottate e la loro reclamabilità, introdotti dal provvedimento, dovrebbero contribuire, poi, a rendere più trasparente l’esercizio, da parte delle piattaforme, del potere di rimozione, che se non adeguatamente circoscritto e reso appunto ‘visibile’ e sindacabile, rischia di renderle arbitre dei diritti in rete.

Si tratta di un mutamento certo non radicale né “rivoluzionario”- in quanto lascia invariati i fon-damenti essenziali del divieto di monitoraggio generale e del carattere solamente successivo degli obblighi di rimozione – ma, indubbiamente, importante ed equilibrato; che potrà forse risultare, nell’applicazione futura, persino risolutivo. 

Sia l’opzione politica generale, sia  le singole scelte di merito sottese all’articolato sono, infatti,  tutt’altro che irrilevanti e sembrano mettere a sistema alcune delle più riuscite soluzioni normative sperimentate a livello nazionale (dalla distinzione degli obblighi gravanti sulle piattaforme in ragione della loro dimensione espressa dal numero degli utenti, sino al ruolo degli organismi di monitorag-gio, pur sempre privati ma assistiti da requisiti stringenti d’indipendenza(5)) e taluni degli istituti-cardine di  discipline, come quella di protezione dei dati, che intervengono sul settore del digitale (si pensi alla valutazione d’impatto, ad organismi come il Board, alla figura del compliance officer mu-tuata dal data protection officer, alla funzione dei codici di condotta o alla stessa struttura delle norme sanzionatorie).

Ma - e anche qui l’esperienza del Gdpr è stata importante – ciò che rileva in termini politico-legislativi generali è, anzitutto, la forma regolamentare che sottende un’esigenza di unificazione. Ciò, nella consapevolezza – rivendicata dal Parlamento europeo, ad esempio, nella Risoluzione del 20 ottobre 2020 sul regime di responsabilità dei sistemi d’intelligenza artificiale – di come la regola-zione del digitale esiga norme realmente uniformi: presupposto necessario di sovranità digitale intesa come governo (antropocentrico) dell’innovazione.

Proprio l’affinità di modello regolatorio tra Gdpr e Dsa dovrebbe suggerire di valorizzare l’esperienza acquisita dalle Autorità di protezione dei dati, in particolare nell’ambito delle procedure di cooperazione e coerenza(6) e in materia di rimozione di contenuti illeciti come per il cyberbullismo(7) ,anche conferendo loro il ruolo di Digital Service Coordinator (DSC). E questo, in ragione della competenza trasversale (e dunque particolarmente funzionale a fini di coordinamento) di tali Autori-tà in materia di digitale, derivante dalla intersettorialità della stessa materia della protezione dei dati.

L’individuazione del DSC in organi di tale competenza, appunto trasversale e con forte vocazio-ne alla salvaguardia dei diritti fondamentali (e in particolare della protezione dei dati, che ne costi-tuisce il presupposto di esercizio nell’ambiente on line), contribuirebbe a una maggiore coerenza ed efficacia del sistema multilivello di governance previsto dal DSA.

Tra i possibili miglioramenti da apportare al testo, sulla scorta delle indicazioni del Garante europeo, vi è in particolare la puntualizzazione in maniera precisa dei presupposti che legittimano il ricorso, da parte dei gestori, a mezzi automatizzati per l’individuazione e la rimozione di contenuti illegali, limitandone l’ammissibilità alla necessità di fronteggiare rischi sistemici e sempre evitando strumenti di moderazione dei contenuti con implicazioni potenzialmente discriminatorie o con risultati ingiustificati.

Si tratta di un aspetto molto delicato, in quanto la pur doverosa responsabilizzazione dei gestori, con la connessa attribuzione di poteri (speculari ad obblighi) di gestione dei contenuti veicolati in rete, necessita di alcuni criteri regolativi essenziali a tutela dei diritti suscettibili di esserne incisi e, in primo luogo, della libertà di espressione.

Si potrebbe inoltre sottolineare l’esigenza di circoscrivere le indagini volontarie dei prestatori di servizi intermediari volte a identificare contenuti potenzialmente illeciti, secondo un bilanciamento proporzionale tra l’interesse al contrasto della diffusione di tali contenuti e il rischio di chilling effect, mai del tutto sventato da tali forme di monitoraggio della rete.

Andrebbero poi previste dettagliatamente le fattispecie di reato che impongono la notifica alle autorità di contrasto, nonché le tipologie di dati da ostendere in tali casi. In ordine alla pubblicità mirata, invece - pur riconoscendo i maggiori obblighi di trasparenza informativa introdotti - si potrebbero rafforzare tali garanzie,suggerendo ad esempio di vietare la pubblicità comportamentale fondata su di un monitoraggio pervasivo, limitando le categorie di dati suscettibili di trattamento a tal fine e informando circa l’eventuale esclusione di determinati gruppi soggettivi dalle comunicazioni promozionali.  Sarebbe poi opportuno prevedere che i sistemi di raccomandazione dei contenuti non siano, per impostazione predefinita, basati sulla profilazione.

Si potrebbe infine introdurre una clausola di salvaguardia espressa in favore delle tutele, giudiziale e amministrativa, già previste dalle discipline di settore nelle materie tangenti (ad esempio per le procedure di rimozione dei contenuti introdotte da specifiche normative).

3. Il DMA

Se il DSA mira alla responsabilizzazione delle piattaforme, rendendo trasparente e quindi anche “accountable” l’esercizio dei loro poteri incidenti sui diritti degli utenti, il Digital Markets Act tende a promuovere la concorrenza imponendo in particolare ai gatekeepers (piattaforme di grandi dimensioni che esercitano una funzione di controllo nell’accesso quali intermediatori tra utenti finali e imprese) specifici obblighi, cui corrispondono penetranti poteri di supervisione della Commissione.

In termini di protezione dei dati rilevano, in particolare gli obblighi e i divieti sanciti rispetto al trattamento dei dati personali, anche per evitarne l’indebita concentrazione in funzione antitrust Condivisibile la valorizzazione del consenso operata dal testo sulla scorta dei principi del Regolamento UE 2016/679, al fine di garantirne l’effettiva libertà anche quale non condizionalità.

I possibili miglioramenti da apportare consistono: nella precisazione (anche soltanto nei considerando) che l’art. 5 non rappresenta una legittimazione indiretta delle piattaforme diverse dai gatekeepers a combinare dati personali  ricavati da servizi diversi in assenza del consenso dell’interessato; nell’imposizione ai gatekeepers dell’obbligo di assicurare agli utenti un’agevole gestione dei consensi prestati, nonché di garantire l’effettiva anonimizzazione dei dati derivati dall’attività on line, con la previsione dell’obbligo per il gatekeeper di dimostrare di aver adottato adeguate misure volte a impedire rischi di reidentificazione oltre a strumenti idonei; nella precisazione dell’ambito di applicazione del diritto alla portabilità con particolare riferimento ai dati generati dagli utenti finali mediante la propria attività on line; richiamando i rischi connessi alla “commodification” di tale diritto; nell’introduzione di requisiti minimi di interoperabilità delle piattaforme.

Inoltre, in ragione della stretta complementarietà tra protezione dati e concorrenza, andrebbe previsto l’obbligo della Commissione di fornire all’EDPB (Board europeo) - o alle competenti autorità di protezione dati ivi rappresentate - su richiesta, elementi utili all’esercizio delle proprie competenze, raccolti nell’ambito della procedura di supervisione delle tecniche di profilazione dei consumatori applicate dal gatekeeper ai suoi servizi di piattaforma di base (art. 13).

In linea più generale, per rafforzare la disciplina della governance - meno strutturata di quella “multilivello” del DSA -, andrebbe istituzionalizzata una procedura di cooperazione tra tutte le autorità coinvolte, ivi incluse le autorità di protezione dei dati: il Comitato consultivo per i mercati digitali dovrebbe comprendere, tra gli altri, rappresentanti del Comitato europeo per la protezione dati.

Si tratta, naturalmente, di proposte d’integrazione rispetto a testi già, comunque, innovativi e condivisibili allorché si sforzano di affermare diritti, obblighi e responsabilità in un settore, come quello del digitale, da sempre oscillante tra il liberismo quasi anomico e l’egemonia della sorveglianza di cui il dirigismo cinese, fondato sull’alleanza tra potenza di calcolo, nudging e coercizione, è esempio significativo.

E’ auspicabile che nel prosieguo dell’esame degli atti, così come in sede di successivo adeguamento, si tengano adeguatamente in conto i profili relativi alla protezione dei dati, anche avvalendosi dell’esperienza maturata, in particolare dal Garante, nell’applicazione di quella che è, ad oggi, la più organica e lungimirante normazione del digitale.

 

________________

 

1) Su cui cfr., in particolare, Cgue, III sez., nella sentenza del 24 novembre 2011, Scarlet Extended SA contro Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), C 70/2010.

2) Anche la giurisprudenza della Cgue sembra, almeno de jure condito, lontana da questo modello, come può evincersi dalla sentenza del 2 aprile 2020 nel caso C-567/18 relativa alla vendita, in uno spazio Amazon, in assenza di autorizzazione del titolare, di un profumo per il quale i diritti conferiti dal marchio non erano esauriti. In assenza di una disciplina specifica per i gestori di marketplace virtuali, la Cgue ha ricondotto la fattispecie unicamente al Regolamento UE 2017/1001, interpretandolo nel senso che chi conservi, per conto altrui, un prodotto in violazione di un diritto di marchio, ignaro tuttavia di tale circostanza, non può essere qualificato come soggetto che stocchi tali prodotti ai fini della loro offerta o immissione in commercio, ove non persegua egli stesso tali scopi.

3) Modello cui indulge invece, rispetto alla responsabilità per la sicurezza dei prodotti intermediati, la giurisprudenza americana come dimostra il caso Bolger già citato (Court of Appeal, Fourth Appelate District, Division One, State of California; sentenza 13 agosto 2020; Angela Bolger c. Amazon.com, LLC), secondo cui “Amazon, come avviene per i rivenditori tradizionali, può essere l’unico membro della catena di distribuzione nei cui confronti un soggetto danneggiato, che abbia acquistato un prodotto non sicuro sul relativo sito web, possa rivolgersi. Amazon, invero, può svolgere un ruolo sostanziale nell’assicurare che il prodotto sia sicuro, o comunque può essere in grado di esercitare pressioni sul produttore a tal fine; la responsabilità oggettiva del rivenditore serve quindi come ulteriore incentivo alla sicurezza. Poiché i clienti Amazon hanno un’alta aspettativa di sicurezza (incoraggiata specificamente dallo stesso Amazon) allora è opportuno ritenerlo strettamente responsabile quando un prodotto difettoso viene venduto tramite il suo sito web.”. E’, del resto significativa l’apertura (praticamente contemporanea alla presentazione, in Europa, del DSA) di una procedura per abuso di posizione dominante nel mercato digitale e comportamenti lato sensu anticoncorrenziali nei confronti di Facebook, da parte della Federal Trade Commission e di 48 procuratori generali statali e territoriali. A Facebook, in particolare, si contestano una serie di condotte asseritamente anticoncorrenziali connesse all’acquisto di Instagram e Whatsapp, espresse in particolare dalla tendenza del social network a bloccare l’accesso (prima consentito senza restrizioni) a siti ritenuti competitivi, creando di fatto una sorta di illegittimo monopolio nel settore e riducendo, per effetto delle modalità di trattamento dei dati, le garanzie di privacy degli utenti.

4) Principio analogo è sotteso, del resto, allo Shop Safe Act 2020 che incentiva le piattaforme a monitorare adeguatamente prodotti e venditori ospitati per garantire ai consumatori informazioni più complete e maggiore trasparenza nell’effettuazione di acquisti on line.

5) Si vedano, in tal senso, il NetzDG del 2017 per la Germania; la loi Avia 2020 per la Francia, del 24 giugno 2020, pur emendata nelle parti contrastanti con l’ art. 66 della Costituzione, secondo quanto disposto dal Conseil Constitutionel.

6) Il Garante, segnatamente, ha svolto un ruolo rilevante nelle procedure di cooperazione e coerenza soprattutto in ordine al settore delle reti telematiche (oltre 500 casi nel solo 2020), instaurando peraltro rapporti di proficua collaborazione con le Autorità degli Stati (ad esempio l’Irlanda) in cui verosimilmente saranno stabilite le principali piattaforme; ciò che potrebbe risultare estremamente utile nell’ambito della governance multilivello prevista dal DSA.

7) Procedura che, peraltro, alcune proposte di legge propongono di estendere, condivisibilmente, all’hate speech.