Il Digital Services Act (DSA) – già approvato nell’ottobre 2022 dall’UE, con l’obiettivo di aggiornare le regole sui servizi digitali, e dal 25 agosto 2023 entrato in vigore – è il nuovo regolamento dell’Unione Europea che mira a creare un ambiente digitale più equo, trasparente, affidabile e sicuro. Tale manovra mantiene e aggiorna le regole introdotte nel 2000, che esonerano gli intermediari online dalla responsabilità per i contenuti condivisi da terze parti – stabilendo che i provider di servizi digitali, come i fornitori di accesso a Internet e i social network, non possono essere direttamente responsabili per i contenuti pubblicati dagli utenti sulle loro piattaforme; obbligando tuttavia a prendere serie e puntuali misure preventive, per garantire la sicurezza dei loro servizi.
Le responsabilità previste dal DSA si basano principalmente sulla progettazione e sul funzionamento dei servizi online, non sul contenuto specifico. Le piattaforme online più grandi, tuttavia, così come (ça va sans dire) i motori di ricerca, sono soggette a regole più stringenti e revisioni indipendenti.
A un livello più generale, facendo propria la convinzione che ogni tipologia di design – soprattutto quelli digitali, dotati di natura proteiforme e meno definitiva – sia considerabile un ‘dispositivo di potere’ stesso, occorre sottolineare come anche questo provvedimento si inserisca nel solco di un percorso rivolto alla salvaguardia dei diritti umani ‘digitali’. Come è stato fatto nei riguardi della privacy online – e come a oggi è proposto dall’ultimo testo approvato dal Parlamento europeo sull’AI Act – anche il Digital Services Act fa propria la necessità che i grandi provider digitali, alla luce dell’influenza e dal potere che risulta dalla loro posizione dominante sul mercato, implementino specifiche modalità di valutazione e mitigazione dei rischi, derivanti dall’impatto della tecnologia sui diritti fondamentali: in questo caso, per esempio, attraverso l’interferenza elettorale o la diffusione di fake news.
Il DSA verrà applicato uniformemente in tutti i paesi membri dell’UE, ed entrerà in vigore dopo 15 mesi dalla sua pubblicazione o, in alternativa, il 1° gennaio 2024; e (in caso di conflitto) avrà la precedenza sulle leggi nazionali, applicandosi a tutti i fornitori di servizi digitali che si rivolgono al mercato europeo o che hanno un numero significativo di utenti europei, indipendentemente dalla loro sede.
Il DSA, come l’ormai celebre GDPR, prevede azioni legali per le violazioni delle sue norme: persone e/o imprese danneggiate, a seguito delle violazioni di queste regole, possono infatti richiedere risarcimenti ai tribunali nazionali.
La principale novità del DSA è la separazione delle responsabilità per i contenuti dai doveri di due diligence (investigazione e valutazione). Prima del DSA, infatti, le leggi mettevano pressione sui provider, ‘minacciando’ una responsabilità diretta per ciò che gli utenti facevano: ecco che il DSA modifica questo approccio, stabilendo differenze sostanziali tra aspettative e obblighi di diligenza. I fornitori che non rispettano questi obblighi possono essere ritenuti responsabili, ma il nuovo Regolamento prevede una serie di esenzioni di responsabilità per i provider nel caso in cui le violazioni in termini di trasparenza derivino da contenuti pubblicati dagli utenti.
Tali esenzioni di responsabilità sono una parte chiave del DSA, e proteggono i fornitori di servizi digitali dalla responsabilità per i contenuti pubblicati da terzi; così come, al contempo, l’assenza di un obbligo generale di sorveglianza da parte dei fornitori.
La principale novità introdotta dal DSA sta nei diversi ‘livelli di obblighi di diligenza’ cui i fornitori di servizi digitali sono sottoposti, in sostituzione alla responsabilità diretta, che variano, da una parte, in funzione delle dimensioni dei soggetti (piccole piattaforme ne sono escluse) e, soprattutto, dell’impatto che tali servizi digitali potrebbero avere sulla società.
Sono così predefiniti quattro macro livelli di obblighi in termini di attività che le piattaforme devono implementare per mitigare l’influenza di cui godono sulla società, tra cui la moderazione dei contenuti, la progettazione equa dei servizi per evitare manipolazioni, garantire la privacy, sicurezza e protezione dei minori, la rimozione dei contenuti illegali e trasparenza (anche in merito alle raccomandazioni dei fornitori), fino all’obbligo per le cosiddette VLOP, quindi le piattaforme di grandi dimensioni che raggiungono circa il 10% della popolazione dell’Unione Europea, cioè 45 milioni di utenti attivi mensili come Facebook o Google, di effettuare una valutazione annuale dei rischi e degli impatti, al fine di definire le aree di intervento più urgenti, e disegnare le opportune misure di mitigazione.
La normativa è certamente innovativa e giustamente indirizzata a garantire un ambiente digitale più sicuro ed equo, ma vi sono ancora diverse aree di miglioramento e aspetti da chiarire. In primis, benché sia giustamente introdotto l’obbligo per le VLOP di valutazione degli impatti sui diritti umani, il fatto che questa possa essere un’auto-valutazione sembra suggerire che l’obiettivo sia (solo) soddisfare esigenze di conformità certificabili tramite audit standard, piuttosto che indagare realmente quelli che possono essere gli impatti sistemici che tali piattaforme possono e potranno avere in termini di design della società.
Inoltre, per ora, l’eventuale definizione di contenuti illegali, e l’emissione di ordini relativi a tali contenuti, rimangono prerogativa degli Stati membri, tuttora senza armonizzazione a livello dell’UE, nonostante la Commissione europea supporti comunque le norme volontarie e abbia competenze dirette nell’applicazione delle norme per le grandi piattaforme online.
Insomma, il Digital Services Act appare un altro piccolo passo per la governance digitale europea – che si spera possa essere solo l’incipit di un percorso virtuoso, verso l’orizzonte di una sempre più completa trasparenza ed equità nella gestione di contenuti e responsabilità online, nonché sulla gestione, tramite processi specifici, della valutazione degli impatti e dei rischi legati alla progettazione dei servizi digitali. Questo potrà avvenire solo se le strutture di controllo e supervisione nazionali ed europee vigileranno sull’applicazione della norma, favorendo un coordinamento e un ecosistema di buone pratiche che raccontino un altro modo di fare tecnologia.