Autore: Luciano Bernardo

Dal 17 febbraio 2024 il Digital Services Act (Dsa)Il Digital Services Act, il Regolamento europeo sui servizi digitali, diventa legge per tutti.

Esso costituisce il nuovo regolamento sui servizi digitali, approvato dal Parlamento Europeo il 5 luglio 2022 insieme al Digital Markets Act. I due provvedimenti compongono il Digital Services Package

Il tutto per promuovere il corretto funzionamento del mercato interno dei servizi digitali UE, il Digital Services Act ha modificato le norme esistenti secondo il principio: “ciò che è illegale offline dovrebbe essere illegale anche online”.

Il regolamento riguarda varie tipologie di servizi digitali:

  • mercati online;
  • social network;
  • piattaforme di condivisione dei contenuti;
  • piattaforme di viaggio online e di alloggio;
  • app store;
  • servizi di intermediazione (es. provider Internet e register di domini);
  • servizi di cloud e hosting web;
  • piattaforme di economia collaborativa.

Il Digital Services Act si applica infatti ai “servizi delle società dell’informazione”, cioè a tutti gli intermediari che offrono servizi a distanza, per via elettronica/telematica, su richiesta, solitamente retribuita, di un destinatario.

L’obiettivo a lungo termine è creare un ambiente digitale sicuro e affidabile, che tuteli in modo concreto i diritti dei consumatori e allo stesso tempo aiuti l’innovazione e la competitività.

Il nuovo regolamento velocizza le procedure per la rimozione dei contenuti illegali e migliora il controllo pubblico sulle piattaforme online, soprattutto su quelle più diffuse, che raggiungono oltre il 10% della popolazione europea.

Nello specifico, tra gli obiettivi del Digital Services Act troviamo:

  • proteggere i diritti dei consumatori garantendo loro maggiore sicurezza;
  • contrastare la diffusione di contenuti illegali, la manipolazione delle informazioni, la disinformazione online;
  • offrire al consumatore e agli utenti commerciali di servizi digitali scelta più ampia e costi più contenuti;
  • istituire un quadro normativo chiaro, efficace e di immediata applicazione nell’ambito della trasparenza e della responsabilità delle piattaforme online;
  • promuovere l’innovazione e la competitività nel mercato, facilitando l’avvio di startup e lo sviluppo delle PMI,
  • fornire accesso ai mercati europei per gli utenti commerciali di servizi digitali;
  • favorire un maggiore controllo democratico e una migliore vigilanza sulle piattaforme;
  • potenziare tracciabilità e controlli sugli operatori commerciali nei mercati online (anche attraverso controlli casuali per verificare l’eventuale ripubblicazione di contenuti illegali).

Gli obblighi per le piattaforme

Il DSA ha mantenuto le linee guida dell’E-commerce Directive ma ha introdotto nuove norme in materia di trasparenza, obblighi informativi e accountability (responsabilità).

Gli obblighi del regolamento sono proporzionati al tipo di servizio offerto e al numero di fruitori.

Per questo, le piattaforme intermediarie di servizi vengono suddivise in quattro categorie:

  • intermediary services;
  • hosting (es.cloud);
  • online platform (es. social media)
  • very large platform.

Ogni categoria comporta obblighi specifici, da assolvere entro quattro mesi dall’assegnazione.

Gli obblighi principali, comuni a tutte le tipologie, sono:

  • indicare in modo chiaro le condizioni di servizio e i relativi requisiti;
  • fornire informazioni esplicite sulla moderazione dei contenuti e sull’uso degli algoritmi per i sistemi di raccomandazione dei contenuti, che potranno comunque essere contestati dagli utenti;
  • adottare trasparenza nei sistemi di suggerimento e nelle pubblicità online rivolte agli utenti;
  • non utilizzare pubblicità mirata rivolta ai bambini o basata su dati sensibili degli utenti;
  • non utilizzare pratiche ingannevoli volte a manipolare le scelte degli utenti, compresi i dark pattern;
  • collaborare con le autorità nazionali se richiesto;
  • denunciare i reati;
  • creare un meccanismo di reclamo e ricorso e risoluzione extragiudiziale delle controversie;
  • adottare misure contro le segnalazioni e le repliche abusive;
  • controllare le credenziali di fornitori terzi, secondo il principio del “conosci il tuo cliente commerciale” (KYBC), anche attraverso controlli a campione.

Le piattaforme online e i motori di ricerca di grandi dimensioni, a partire da 45 milioni di utenti al mese, presentano rischi più elevati, quindi devono rispettare obblighi più rigorosi.

Tra questi:

  • obblighi in materia di gestione dei rischi, di risposta alle crisi e di prevenzione di abuso dei propri sistemi;
  • condivisione dei propri dati chiave e dei propri algoritmi con le autorità e con i ricercatori autorizzati per comprendere l’evoluzione dei rischi online;
  • collaborazione nelle risposte alle emergenze;
  • codici di condotta specifici;
  • prevenzione dei rischi sistemici come la diffusione di contenuti illegali o con effetto negativo su diritti fondamentali, processi elettorali, violenza di genere, salute mentale;
  • obbligo di sottoporsi ad audit indipendenti, cioè alla verifica della correttezza dei dati di bilancio e delle procedure adottate;
  • abilitazione degli utenti al blocco delle “raccomandazioni” basate sulla profilazione.

Sono esenti dai nuovi obblighi i provider che forniscono attività di “mere conduit”, ovvero semplice trasporto, caching e hosting: queste attività, infatti, non sono ritenute responsabili delle informazioni salvate su richiesta di un destinatario del servizio.

A condizione che il fornitore:

  • non abbia conoscenza reale di eventuali attività o contenuti illegali,
  • dopo esserne venuto a conoscenza, agisca con tempestività per rimuovere il contenuto illegale o disabilitarne l’accesso.

Le sanzioni per le violazioni del DSA possono arrivare al 6% del fatturato annuo totale e i destinatari dei servizi digitali possono chiedere un risarcimento per danni o perdite subite a seguito di violazioni ad opere dalle piattaforme.

Altri motivi di sanzione per le piattaforme sono:

  • presentazione di informazioni scorrette, incomplete o fuorvianti;
  • mancata rettifica delle informazioni presentate;
  • mancato assoggettamento ai sopralluoghi.

In questi casi, come stabilito dall’art.42 del DSA, le sanzioni devono essere inferiori all’1% del reddito o del fatturato annuo.

La Governance

Il Digital Services Act ha previsto due nuove figure:

  • il Compliance officer, designato dalle “very large online platforms” con il compito di monitorare l’osservanza del regolamento da parte delle aziende. Una figura interna all’impresa, con precise competenze professionali indicate dal DSA e l’obbligo di imparzialità e trasparenza nel giudizio;
  • il Digital Services Coordinator, nuova autorità nazionale indipendente che deve vigilare sull’applicazione del regolamento con obblighi di trasparenza, imparzialità, tempestività di azione e report annuale sulle proprie attività. Come previsto dall’art.38, ha il compito di garantire il coordinamento nazionale sulle norme, nonché di gestire i reclami contro i provider e di indagare sulla presenza di illeciti con potere di ispezione. Accertato l’illecito, ha il compito di imporre la cessazione della violazione con sanzioni e penalità di mora, fino a chiedere alle autorità giudiziarie di Stato la restrizione temporanea dell’accesso dei destinatari al servizio interessato.

I coordinatori nazionali dei servizi digitali di tutti i Stati membri compongono il comitato europeo per i servizi digitali, presieduto dalla Commissione Europea, che supporta il coordinamento interstatale e la vigilanza sulle grandi piattaforme.

La tutela dei minori online

Il DSA ha ribadito, all’art.24, la priorità degli interessi del minore su quelli commerciali e pubblicitari.

L’articolo, dedicato alla “trasparenza della pubblicità online”, ha infatti stabilito il divieto di impiegare “tecniche di targeting o amplificazione che trattano, rivelano o inferiscono i dati personali dei minori o delle persone vulnerabili ai fini della visualizzazione della pubblicità”.

Il divieto di trattare per fini commerciali i dati dei minori era già stato stabilito dalla direttiva UE 2018/1808 sui servizi audiovisivi: la novità apportata dal DSA è che oltre alla sanzione a posteriori, gli eventuali danni sui minori rientrano nell’obbligo di valutazione del rischio sistemico.

In particolare, si chiede alle piattaforme di svolgere valutazioni di impatto dei rischi sistemici che riguardano “eventuali effetti negativi per l’esercizio dei diritti fondamentali al rispetto della vita privata e familiare e alla libertà di espressione e di informazione, del diritto alla non discriminazione e dei diritti del minore, sanciti rispettivamente dagli articoli 7, 11, 21 e 24 della Carta”.

Dott. Salvatore Passariello

Privacy: il 2024 l’anno dell’intelligenza artificiale

Il 2024 sarà l’anno di svolta per ciò che più ormai sta prendendo piede in Europa e nel Mondo; L’intelligenza Artificiale: si sente sempre più parlare di quello che prima era solo un progetto e adesso sta diventando realtà che attira sempre più interesse. Ma se da un lato vediamo un bellissimo passo avanti per la scienza dall’altro gli interrogativi risultano essere tanti e variegati; uno di quelli che più inquieta è: l’intelligenza artificiale sarà a prova di Privacy?

Il recente accordo sul testo del Regolamento UE sull’Intelligenza Artificiale (AI Act) rappresenta un importante passo avanti verso la regolamentazione dell’utilizzo di detta tecnologia. Il nuovo accordo vieta che i sistemi di IA possano causare gravi violazioni dei diritti fondamentali o altri rischi significativi, ciò non rappresenta un divieto esplicito dell’utilizzo basta che gli stessi presentino un rischio limitato e rispettino gli obblighi di trasparenza. Un esempio su tutti: rendere noto se un contenuto è generato dall’Intelligenza Artificiale così da far scegliere gli utenti di prendere decisioni più consapevoli e informate.

Per fissare dei paletti nell’uso dell’IA, il Parlamento Europeo ha fatto introdurre nell’accordo che un sistema ad alto rischio di intelligenza artificiale, prima di essere introdotto sul mercato, deve aver superato una valutazione d’impatto sui diritti fondamentali. Si introducono dei divieti assoluti: la manipolazione comportamentale cognitiva; lo scraping non mirato delle immagini facciali da Internet o da filmati di telecamere a circuito chiuso; il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione; l’attribuzione di un punteggio sociale (credit scoring); la categorizzazione biometrica per dedurre dati sensibili, quali l’orientamento sessuale o le convinzioni religiose; alcuni casi di polizia predittiva per gli individui. Lo stesso regolamento prevede delle sanzioni e anche i modi di presentare un reclamo all’autorità competente sui sistemi di IA che a parer loro violino diritti.  

L’IA si fa strada anche all’interno degli Istituti scolastici: anche qui bisogna un trade-off adeguatoper bilanciare un ottimo supporto che l’IA può fornire nelle tecniche di apprendimento e, dall’altro canto, limitare un rischio maggiore sia per il cyberbullismo che per la privacy.

Il suo utilizzo all’interno degli Istituti scolastici nasce dell’esigenza di dare maggiore aiuto e innovazione alla didattica, formando gli insegnanti in modo adeguato, al fine di introdurre già nei primi anni di vita scolastica degli alunni, un approccio più tecnologico per poter superare la tradizionale didattica; l’IA potrebbe introdurre un’innovazione anche per la valutazione e l’autovalutazione mediante l’assegnazione automatica di esercizi aggiuntivi e interrogazioni virtuali, con eventuale supporto di un tutor virtuale. Creare ed implementare nuovi approcci di valutazione basati su domande personalizzate, permetterebbe una analisi più approfondita e un supporto più centrato sul singolo studente; la disponibilità di una quantità maggiore di dati aiuterebbe i docenti a identificare i punti di forza e di debolezza dello studente in termini di apprendimento, permettendo una maggiore personalizzazione dei contenuti, così come delle lezioni.

Al contempo, questo rappresenterebbe un notevole vantaggio anche per gli studenti, che avrebbero l’opportunità di aumentare la consapevolezza dei propri progressi e la conoscenza di sé stessi in relazione alle attività svolte. Fermo restando una particolare attenzione rivolta al trattamento dei dati personali, l’Intelligenza Artificiale potrebbe dunque potenziare i sistemi d’istruzione in virtù dei nuovi livelli di competenze richiesti dal mondo del lavoro, ma quindi ciò vuol dire che gli alunni dovranno essere educati all’utilizzo di questi nuovi strumenti per lo sviluppo della propria istruzione;  Nel “Libro Bianco per l’Intelligenza Artificiale al servizio del cittadino” a cura dell’Agenzia per l’Italia Digitale, viene specificato che l’uso di soluzioni di IA nel settore scolastico consentirebbe di ridurre le diseguaglianze sociali. Nel documento è scritto infatti che nelle scuole “…è ipotizzabile un intervento significativo dei sistemi intelligenti di supporto all’apprendimento. C’è una lunga tradizione nell’uso del calcolatore per tali scopi: dai sistemi Computer Assisted Instruction (CAI) ai sistemi Intelligent Tutoring Systems (ITS). Negli ITS è sempre presente uno student model, inteso come base di conoscenza in cui sono rappresentate in modo esplicito le caratteristiche e le conoscenze dello studente. Questa soluzione svolge un ruolo di sostegno fornendo un’integrazione ai sistemi di insegnamento tradizionali, contribuendo a colmare le lacune di apprendimento degli studenti con problemi cognitivi”.

Non va trascurato il fatto che, per poter funzionare, l’IA deve trattare una grande quantità di dati personali, immessi dagli stessi utenti utilizzatori. Diventa quindi fondamentale accertarsi che tutti i sistemi vengano implementati secondo il rispetto dei principi di “privacy by design” e “privacy by default” previsti dal GDPR.

Gli algoritmi, fin dalla loro fase di progettazione, vanno impostati sul rispetto della riservatezza delle persone, e devono perciò trattare solamente i dati necessari per l’assolvimento delle finalità per cui sono programmati. Le scuole dunque, laddove intendano dotarsi di sistemi di IA (in quanto dalle stesse ritenuti importanti per lo svolgimento delle attività didattiche), saranno libere di farlo, previo accertamento della loro sicurezza e della loro conformità alle disposizioni del GDPR. Gli strumenti per giungere a questo risultato sono costituiti dalla valutazione del rischio e dalla valutazione di impatto (DPIA); bisogna infatti tener presente l’art. 75 e 76 del GDPR laddove si evince che se da un trattamento dati possono derivare danni fisici e materiali, la probabilità e la gravità del rischio devono essere determinate sulla base di una valutazione oggettiva, svolta dal titolare del trattamento tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento stesso, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, mettendo in atto misure tecniche e organizzative adeguate, riesaminate periodicamente, per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR (cfr. Art. 24 e 32 GDPR). Deve perciò essere condotta un’analisi finalizzata a determinare il livello di esposizione al rischio dei dati personali trattati. L’importanza di tale analisi consiste nel fatto che i suoi risultati consentiranno di individuare gli ambiti su cui focalizzare gli interventi, ottimizzando l’impiego delle risorse a disposizione. Per fare ciò il Titolare del Trattamento non ha uno schema giuridico standard da seguire ma il tutto è rimesso al suo controllo e alla sua osservazione nel  rispetto del principio dell’accountability e dovrà individuare la metodologia più idonea per raggiungere l’obiettivo.

Punto focale di questa analisi è che, una volta effettuata, dovrà essere coinvolto il responsabile della protezione dei dati (DPO) affinché possa esprimere il suo parere in merito. Una volta approvata definitivamente, andranno implementate le misure di sicurezza suggerite dai risultati. Laddove, a seguito della DPIA, permangano dubbi in merito alla rischiosità del nuovo trattamento dati, il titolare del trattamento dovrà chiedere un parere preventivo all’autorità di controllo. È importante sottolineare che sia la valutazione del rischio che la DPIA devono essere redatte prima dell’adozione del trattamento dati considerato come a rischio, proprio per questo il ruolo del DPO è fondamentale in quanto dovrà assiduamente aggiornarsi su un argomento così in costante evoluzione. L’avanguardia dell’argomento e l’interesse generale suscitato dovranno essere ancora oggetto di approfondimento; a tal proposito, proprio qualche settimana fa, il direttore operativo di OpenAI, Brad Lightcap, ha dichiarato che metterà in piedi un team per valutare le possibili applicazioni educative di ChatGPT nelle scuole. Resteremo a vedere.

Avv. Imma Daiana Rivetti

©2021 OXfirm s.r.l. | Tutti i diritti riservati | P.IVA 15972861007
Viale Antonio Ciamarra 259 – 00173 – ROMA (RM)
Privacy Policy | Cookie Policy | Certificazioni