© Tutti i diritti riservati. Vietata la ripubblicazione cartacea ed in internet senza una espressa autorizzazione scritta. È consentito il link diretto a questo documento.

Di Antonio Pezzuto, ex Dirigente della Banca d’Italia

 

1. La Strategia per il mercato unico digitale

Con la Comunicazione del 6 maggio 2015 la Commissione europea ha reso nota la “Strategia per il mercato unico digitale in Europa” (COM (2015) 192), definito come un mercato in cui, indipendentemente dalla cittadinanza e dal luogo di residenza, persone e imprese non incontrano ostacoli all’ingresso e all’esercizio delle attività on line, in condizioni di concorrenza leale e con un elevato livello di protezione dei consumatori e dei dati personali.

Secondo la Commissione, la realizzazione del mercato unico digitale determinerebbe un aumento del PIL europeo di 415 miliardi di euro, creando nuovi posti di lavoro, favorendo la crescita, la competizione, gli investimenti, contribuendo allo sviluppo del mercato e stimolando l’offerta di servizi migliori.

La Strategia poggia su tre pilastri fondamentali:

• migliorare e facilitare l’accesso ai beni e ai servizi digitali in tutta Europa sia per i consumatori sia per le imprese, ad esempio semplificando il commercio tecnologico transfrontaliero attraverso l’armonizzazione delle norme europee in materia di contratti, garantendo un più rapido accesso ai diritti dei consumatori, tramite la revisione del regolamento sulla cooperazione per la tutela dei consumatori e rendendo i servizi di consegna a domicilio dei prodotti acquistati e venduti on line più semplici e convenienti per le aziende;
• creare un ambiente idoneo allo sviluppo delle reti e dei servizi digitali, ad esempio riformando la disciplina europea in materia di telecomunicazioni, effettuando un’analisi dettagliata sul ruolo delle piattaforme on line nel mercato e rafforzando la fiducia nei servizi digitali e la sicurezza degli stessi;
• massimizzare il potenziale di crescita dell’economia digitale, migliorando le competenze digitali, ritenute essenziali per una società digitale inclusiva.

Nell’ambito delle iniziative intraprese dagli Organi comunitari per la realizzazione di tale Strategia si colloca il Digital Services Package, che mira a: i) modernizzare le norme che regolano i servizi digitali nell’Unione Europea; ii) creare uno spazio digitale più sicuro dove siano protetti i diritti fondamentali di tutti gli utenti dei servizi digitali; iii) creare condizioni di parità per promuovere l’innovazione, la crescita, la competitività sia nel mercato unico europeo sia a livello globale.

Il pacchetto legislativo si compone di due atti: il Regolamento (UE) 2022/1995 relativo a mercati equi e contendibili nel settore digitale (Digital Markets Act, DMA) e il Regolamento (UE) 2022/2065 relativo a un mercato unico dei servizi digitali (Digital Services Act, DSA).

 

2. Il Regolamento Digital Markets Act

Beneficiando di effetti di rete e di economie di scala e di scopo, le piattaforme on line svolgono un ruolo cruciale nel mercato interno agevolando gli scambi commerciali transfrontalieri e generando nuove opportunità per le imprese a vantaggio dei consumatori. E’ emerso tuttavia che un numero limitato di grandi piattaforme digitali (Google, Netflix, Facebook, ecc.) hanno raggiunto una posizione dominante riducendo, di conseguenza, la capacità di imprese emergenti di entrare nel mercato.

La scarsa contendibilità dei servizi digitali e l’impatto negativo delle pratiche sleali delle imprese che forniscono servizi di piattaforma di base sul mercato interno hanno indotto alcuni Stati membri ad adottare o proporre soluzioni normative a livello nazionale, che hanno comportato la frammentazione del mercato interno, accentuando il rischio di un aumento dei costi di conformità dovuti all’applicazione di requisiti normativi divergenti.

In tale contesto si inserisce il Regolamento DMA che ha la finalità di contribuire al corretto funzionamento del mercato interno stabilendo norme armonizzate volte a garantire la contendibilità e l’equità dei mercati digitali nei quali operano piattaforme on line che hanno acquisito la posizione di gatekeeper (controllori dell’accesso)[1]. Per il raggiungimento di tale obiettivo, il Regolamento introduce una serie di obblighi e divieti ex ante in capo ai gatekeeper, allo scopo di contrastarne gli abusi di posizione dominante in relazione a un insieme di “servizi di piattaforma di base” (core platform services)[2], che rappresentano per le imprese importanti punti di accesso per raggiungere gli utenti finali.

Il Regolamento si applica ai servizi di piattaforma di base forniti o offerti dai gatekeeper a utenti commerciali stabiliti nell’UE o a utenti finali stabiliti o situati nell’Unione, a prescindere dal luogo di stabilimento o di residenza dei gatekeeper (art. 1, par. 2).

Non rientrano, invece, nell’ambito di applicazione del Regolamento i mercati relativi alle reti di comunicazione elettronica e ai servizi di comunicazione elettronica diversi dai servizi di comunicazione interpersonale indipendenti dal numero (art. 1, par. 3).

La qualifica di gatekeeper è attribuita dalla Commissione europea sulla base di tre requisiti cumulativi, ciascuno dei quali si presume soddisfatto se sono raggiunte determinate soglie quantitative (art. 3, par. 1 e 2). In particolare, può essere designata come gatekeeper un’impresa che:

a) ha un impatto significativo sul mercato interno. Tale criterio si presume soddisfatto se l’impresa fornisce lo stesso servizio di piattaforma di base in almeno tre Stati membri e ha raggiunto un fatturato annuo nell’Unione pari o superiore a 7,5 miliardi di euro negli ultimi tre esercizi finanziari o una capitalizzazione di mercato media di almeno 75 miliardi di euro nell’ultimo esercizio finanziario;

b) fornisce un servizio di piattaforma di base che costituisce un punto di accesso (gateway) importante affinché gli utenti commerciali raggiungano gli utenti finali. Questo criterio si presume soddisfatto se l’impresa fornisce un servizio di piattaforma di base che, nell’ultimo esercizio finanziario, ha almeno 45 milioni di utenti finali attivi su base mensile stabiliti nell’UE e almeno 10 mila utenti commerciali attivi su base annua stabiliti nell’UE;

c) detiene una posizione consolidata e duratura delle proprie attività. Il suddetto criterio si presume soddisfatto se le soglie di cui al punto precedente sono state raggiunte negli ultimi tre esercizi finanziari.

Qualora siano raggiunte tutte le soglie quantitative, l’impresa ha l’obbligo di notificare tale informazione alla Commissione europea entro due mesi dal raggiungimento delle soglie (art. 3, par. 3). La Commissione, a sua volta, provvede a designare l’impresa come gatekeeper adottando, entro 45 giorni lavorativi dalla ricezione delle informazioni, una “decisione di designazione” nella quale sono indicati i servizi di informazione di base per i quali le soglie sono raggiunte (art. 3, par. 4).

Il Regolamento riconosce alla Commissione il potere di designare come gatekeeper qualsiasi impresa che soddisfa i requisiti qualitativi ma non raggiunge tutte le soglie quantitative. A tal fine, la Commissione effettua una specifica valutazione qualitativa supportata da un’indagine di mercato, nel corso della quale tiene conto di un complesso di elementi, tra cui le dimensioni, le attività e la posizione del fornitore, nonché il numero di utenti commerciali che dipendono dal servizio di piattaforma di base e il numero di utenti finali raggiunti dalla piattaforma stessa.

Lo status di gatekeeper dovrà essere riesaminato dalla Commissione periodicamente: i) almeno ogni tre anni se i gatekeeper continuano a soddisfare i criteri di cui all’art. 3, par. 1; ii) almeno ogni anno se nuove imprese soddisfano tali criteri (art. 4).

L’attribuzione della qualifica di gatekeeper comporta l’automatica applicazione di una serie di obblighi e divieti ex ante elencati nel Regolamento, dei quali il gatekeeper è tenuto a garantirne l’osservanza entro sei mesi dalla decisione di designazione (art. 3, par. 10).

Gli obblighi e i divieti imposti dal Regolamento sono numerosi e di diversa natura. Tra gli obblighi si segnalano, ad esempio, quelli di: i) ottenere il consenso per trattare, combinare, utilizzare in maniera incrociata dati personali (art. 5, par. 2); ii) consentire agli utenti finali di disinstallare applicazioni software preinstallate e modificare le impostazioni predefinite del sistema operativo, assistente virtuale o web browser del gatekeeper (art. 6, par. 3) iii)  assicurare agli utenti finali la portabilità dei loro dati (art. 6, par. 9); iv) garantire a fornitori terzi di servizi di comunicazione interpersonale indipendenti dal numero l’interoperabilità con le funzionalità di base dei servizi di comunicazione interpersonale indipendenti dal numero dei gatekeeper (art. 7, par. 1); v) informare la Commissione europea di qualsiasi progetto di concentrazione nel settore digitale (art. 14); vi) presentare alla Commissione una descrizione sottoposta ad audit indipendente delle tecniche di profilazione dei consumatori applicate (art. 15).

Rientrano fra i comportamenti vietati, ad esempio, quelli di: i) impedire o limitare la possibilità per gli utenti commerciali o gli utenti finali il ricorso alle autorità pubbliche (art. 5, par. 6); ii) utilizzare i dati degli utenti commerciali con cui il gatekeeper è in concorrenza (art. 6, par. 2); iii) garantire un trattamento più favorevole dei propri prodotti/servizi rispetto a prodotti/servizi simili offerti da terzi sulla piattaforma (art. 6, par. 5); iv) prevedere condizioni di risoluzione per la fornitura di un servizio di piattaforma di base sproporzionate o difficili da esercitare (art. 6, par. 13.)

Una volta designato, il gatekeeper ha l’onere di garantire e dimostrare l’osservanza degli obblighi imposti dal Regolamento (art. 8, par. 1). A tal fine, è previsto che questi, entro sei mesi dalla designazione, trasmetta alla Commissione una relazione illustrativa delle misure attuate per garantire il rispetto degli obblighi. Il gatekeeper dovrà inoltre pubblicare, e inoltrare alla Commissione, una sintesi non riservata della relazione per consentire ai terzi di valutare se i gatekeeper rispettano gli obblighi previsti dal regolamento. Viene previsto che la relazione e la sintesi non riservata siano aggiornate con cadenza almeno annuale (art. 11, par. 2).

Oltre a ciò, il gatekeeper è tenuto a istituire una funzione di compliance indipendente dalle funzioni operative dell’impresa, composta da uno o più elementi in possesso di adeguate conoscenze tecniche, che hanno il compito, tra l’altro, di organizzare, controllare e supervisionare le misure e le attività del gatekeeper che mirano a garantire il rispetto del Regolamento e di informare e consigliare i dirigenti e i dipendenti del gatekeeper in merito al rispetto del Regolamento (art. 28).

Il Regolamento contempla la possibilità di non applicare al gatekeeper uno o più obblighi specifici, al verificarsi di eventi del tutto eccezionali. In particolare, viene previsto che la Commissione europea possa, su richiesta motivata del gatekeeper, decidere di sospendere, in tutto o in parte, un obbligo specifico soltanto qualora questi dimostri che, a causa di circostanze eccezionali che sfuggono al suo controllo, l’osservanza di tale obbligo metterebbe a rischio la redditività economica della sua attività. La Commissione è tenuta ad adottare la decisione di sospensione al più tardi entro tre mesi dalla ricezione della richiesta e a riesaminarla periodicamente per verificare se sussistano ancora le condizioni per la concessione della sospensione (art. 9).

La Commissione può inoltre, a fronte della richiesta motivata del gatekeeper o di propria iniziativa, decidere di esentare il gatekeeper da un obbligo specifico, qualora ciò sia giustificato da motivi di salute pubblica o sicurezza pubblica. La Commissione è tenuta ad adottare la decisione di esenzione entro tre mesi dalla ricezione della richiesta e a riesaminarla se i motivi che giustificano l’esenzione non sussistono più (art. 10).

In considerazione del rilevante potere economico di cui gode, si vieta al gatekeeper di adottare qualsiasi comportamento che possa pregiudicare l’effettiva osservanza degli obblighi ex articoli 5, 6 e 7 (c.d. clausola di esenzione), indipendentemente dalla sua forma o dal fatto che abbia natura contrattuale, commerciale, tecnica o consista nell’utilizzo di tecniche comportamentali o della progettazione di interfacce (art. 13, par. 4). Qualora il gatekeeper eluda o tenti di eludere uno degli obblighi imposti dal Regolamento, la Commissione potrà adottare una decisione ai sensi dell’art. 8, par. 2, al fine di specificare le misure che deve attuare per garantire l’effettiva osservanza dell’obbligo in questione (art. 13, par. 7).

Il Regolamento DMA prevede un sistema di public enforcement accentrato in capo alla Commissione europea, alla quale sono riconosciuti, oltre ai poteri decisionali relativi alla designazione dei gatekeeper e alla definizione degli obblighi regolatori (esenzione, sospensione, ecc.), ampi poteri di indagine, monitoraggio e sanzionatori per garantire il rispetto delle disposizioni regolamentari. Nello specifico, il Regolamento consente alla Commissione di:

• condurre indagini di mercato per valutare se designare come gatekeeper un’impresa che non raggiunge le soglie quantitative presuntive o un gatekeeper “emergente” (art. 17); accertare una violazione sistematica delle disposizioni regolamentari e individuare i rimedi da applicare al gatekeeper[3] (art. 18); valutare se modificare l’elenco dei servizi di piattaforma di base o se estendere l’ambito di applicazione del Regolamento a nuove pratiche sleali (art. 19);
• richiedere alle imprese e alle associazioni di imprese di fornire tutte le informazioni necessarie e, in particolare, chiedere l’accesso a dati e algoritmi delle imprese e informazioni sui test, nonché chiarimenti su tali elementi (art. 21);
• sentire, mediante audizione e la raccolta di dichiarazioni, qualsiasi persona fisica o giuridica ai fini della raccolta di informazioni relative all’oggetto delle indagini (art. 22);
• svolgere accertamenti ispettivi presso un’impresa o un’associazione di imprese e richiedere l’accesso e ottenere chiarimenti in merito all’organizzazione, al funzionamento, al sistema informatico, agli algoritmi, alla gestione dei dati e alle pratiche commerciali dell’impresa (art. 23);
• disporre misure provvisorie nei confronti del gatekeeper nei casi di urgenza, ove vi sia il rischio di un danno grave e irreparabile per gli utenti commerciali e gli utenti finali e la Commissione abbia constatato prima facie la sussistenza di una violazione degli obblighi regolamentari da parte del gatekeeper (art. 24);
• adottare provvedimenti atti a monitorare l’attuazione e l’effettiva osservanza degli obblighi e delle decisioni prese, imponendo al gatekeeper l’obbligo di conservare tutta la documentazione ritenuta pertinente per valutare l’attuazione e il rispetto di tali obblighi e decisioni (art. 26, par. 1). Viene inoltre prevista la possibilità per la Commissione di nominare esperti e revisori esterni indipendenti, o funzionari designati dalle autorità nazionali competenti, per farsi coadiuvare nei compiti e nell’attività di monitoraggio (art. 26, par. 2);
• irrogare sanzioni pecuniarie fino al 10 per cento del fatturato totale realizzato dal gatekeeper a livello mondiale nel corso del precedente esercizio finanziario se constata che il gatekeeper, intenzionalmente o per negligenza, non rispetta gli obblighi regolamentari, i rimedi imposti per violazioni sistematiche e le misure provvisorie, o fino al 20 per cento in caso di recidiva (art. 30, par. 1). Sanzioni di minore entità, fino all’1 per cento del fatturato totale realizzato a livello mondiale, possono essere comminate quando le imprese, compresi i gatekeepers, e le associazioni di imprese, intenzionalmente o per negligenza, violano alcuni obblighi procedurali (art. 30, par. 3);
• applicare alle imprese, compresi i gatekeepes, e alle associazioni di imprese penalità di mora fino al 5 per cento del fatturato medio giornaliero realizzato a livello mondiale durante l’esercizio finanziario precedente per ogni giorno di ritardo a decorrere dalla data fissata nella decisione, al fine di costringerle, tra l’altro, a trasmettere informazioni esatte e complete entro il termine imposto, a sottoporsi a ispezioni e a conformarsi a una decisione adottata (art. 31).

La Commissione europea è tenuta a garantire il rispetto dei diritti fondamentali del gatekeeper e, in particolare, il diritto di essere sentiti e dei diritti di difesa e di accesso al fascicolo nel contesto dei procedimenti di esecuzione. Al riguardo, il Regolamento dispone che la Commissione, prima di adottare una decisione, offra al gatekeeper l’opportunità di essere ascoltato in merito alle constatazioni preliminari della Commissione e alle misure che la Commissione stessa intende adottare (art. 34).

Si stabilisce un principio generale di cooperazione in virtù del quale la Commissione e gli Stati membri sono tenuti ad operare in stretta collaborazione e a coordinare le loro azioni per garantire un’applicazione coerente, efficace e complementare degli strumenti giuridici disponibili applicati ai gatekeeper (art. 37).

Si sancisce, inoltre, il dovere della Commissione e delle autorità garanti della concorrenza nazionali di collaborare strettamente e di scambiarsi informazioni attraverso la rete europea della concorrenza (art. 38, par. 1)). In particolare, è previsto che un’autorità antitrust nazionale: i) se manifesta l’intensione di avviare un’indagine sui gatekeeper sulla base della legislazione nazionale in materia di concorrenza, deve informare la Commissione per iscritto della prima misura formale di indagine, prima dell’avvio di tale misura o immediatamente dopo (art. 38, par. 2); ii) se intende imporre obblighi ai gatekeepes sulla base della legislazione antitrust europea o nazionale, è tenuta a comunicare alla Commissione il progetti di misura specificandone i motivi, al più tradi entro trenta giorni prima della sua adozione o nell’ipotesi di misure provvisorie, quanto prima e al più tardi immediatamente dopo l’adozione di tali misure (art. 38, par. 3).

Sempre in tema di cooperazione e coordinamento tra Commissione e autorità pubbliche, si impone espressamente agli organi giurisdizionali nazionali di non adottare decisioni che siano in contrasto con una decisione già adottata dalla Commissione (art. 39, par. 5).

Di particolare rilievo è la previsione di istituire un “gruppo ad alto livello per il regolamento sui mercati digitali”, composto dalla rete europea della concorrenza, dall’organismo dei regolatori europei delle comunicazioni elettroniche, dal garante europeo della protezione dei dati, dal comitato europeo per la protezione dei dati, dalla rete di cooperazione per la tutela dei consumatori e dal gruppo dei regolatori europei per i servizi di media audiovisivi, con il compito di fornire alla Commissione consulenza e raccomandazioni sull’applicazione del Regolamento DMA, nonché consulenza e competenze che promuovano un approccio normativo coerente tra i diversi strumenti normativi (art. 40).

Viene prevista, per ogni Stato membro, la possibilità di chiedere alla Commissione che avvii una indagine di mercato, presentando prove a sostegno delle loro richieste (art. 41). La richiesta deve provenire da almeno tre Stati membri per le indagini volte alla designazione di un’impresa come gatekeeper e ad individuare nuovi servizi di piattaforma di base o nuove pratiche non contemplate dal Regolamento. Per le indagini relative a violazioni sistematiche degli obblighi dei gatekeeper è invece sufficiente la richiesta di un solo Stato membro.

Viene previsto, infine, che la Commissione sia assistita da un “Comitato consultivo per i mercati digitali”, composto da rappresentanti degli Stati membri, ai sensi del Regolamento (UE) 182/2011 relativo al controllo degli Stati membri sull’adozione di atti di esecuzione da parte della Commissione (art. 50).

Si stabilisce che la Commissione europea proceda un primo riesame del testo regolamentare entro il 3 maggio 2026 e successivamente ogni tre anni, presentando una relazione al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo (art. 53).

Il Regolamento DMA è entrato in vigore il 1° novembre 2022 ma la maggior parte delle sue disposizioni comincerà ad applicarsi dopo sei mesi dall’entrata in vigore del Regolamento, dal 2 maggio 2023 (art. 54).

 

3. Il Regolamento Digital Services Act

Il Regolamento DSA ha lo scopo di contribuire al corretto funzionamento del mercato interno dei servizi intermediari stabilendo norme armonizzate per un ambiente on line sicuro, prevedibile e affidabile, in cui i diritti fondamentali delle persone sanciti dalla Carta dei diritti fondamentali dell’Unione Europea siano efficacemente tutelati e l’innovazione sia agevolata, contrastando la circolazione di contenuti illegali on line[4] e i rischi che la diffusione della disinformazione o di altri contenuti può generare (art. 1 e Considerando n. 9).

Il Regolamento modifica la Direttiva 2000/31/CE sul commercio elettronico in quanto, dalla sua adozione, si sono affermati nuovi modelli di business e nuovi servizi digitali, come i social network e i marketplaces, che, pur consentendo agli utenti commerciali e ai consumatori di accedere alle informazioni, diffonderle ed effettuare transazioni in nuovi modi”, hanno generato “nuovi rischi e sfide per i singoli destinatari dei vari servizi, per le imprese e per le società nel suo insieme” (Considerando n. 1).

Il Regolamento si applica ai servizi intermediari[5] offerti a destinatari il cui luogo di stabilimento si trova nell’UE o che sono ubicati nell’Unione, indipendentemente dal luogo di stabilimento dei prestatori di tali servizi (art. 2, par. 1). Non si applica, invece, ai servizi che non siano servizi intermediari né alle prescrizioni imposte in relazione a tali servizi dal diritto dell’Unione o nazionale (art. 2, par. 2).

Per “servizio intermediario” si intende (art. 3, lett. g), in linea con quanto già previsto dalla Direttiva sul commercio elettronico, uno dei seguenti servizi:

• servizi di semplice trasporto dati (mere conduit), consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio o nel fornire accesso a una rete di comunicazione (ad esempio, i punti di interscambio internet e le reti private virtuali),
• servizi di memorizzazione temporanea (caching), consistente nella trasmissione su una rete di comunicazione e nella memorizzazione automatica, intermedia e temporanea di informazioni fornite dal destinatario del servizio, al solo scopo di rendere più efficiente il successivo inoltro delle informazioni ad altri destinatari su loro richiesta (ad esempio, la sola fornitura di reti per la diffusione di contenuti, proxy inversi o proxy di adattamento dei contenuti);
• servizi di hosting, consistente nel memorizzare informazioni fornite da un destinatario del servizio su richiesta dello stesso (ad esempio, fornitori di servizi cloud e memorizzazione di informazioni di siti web).

A queste categorie di servizi intermediari, il Regolamento DSA aggiunge le piattaforme on line che rientrano nella categoria dei prestatori di servizi di hosting e sono definite come un “servizio di memorizzazione di informazioni che, su richiesta di un destinatario del servizio, memorizza e diffonde informazioni al pubblico” (art. 3, lett. i).

In generale, i fornitori di servizi intermediari (o providers) non hanno l’obbligo di verificare le informazioni e i contenuti che trasmettono o memorizzano, né sono tenuti ad accertare fatti o circostanze che indichino la presenza di attività illegali (art. 8).

Nel caso di prestazione di un servizio di semplice trasporto, il provider non è responsabile delle informazioni trasmesse o a cui si è avuto accesso se: i) non ha dato origine alla trasmissione; ii) non seleziona il destinatario della trasmissione e; iii) non modifica le informazioni trasmesse (art. 4).

Nel caso di prestazione di un servizio di memorizzazione temporanea, il provider non è responsabile se: i) non modifica le informazioni; ii) si conforma alle condizioni di accesso alle informazioni;  iii) si conforma alle norme sull’aggiornamento delle informazioni riconosciute dalle imprese del settore; iv) non interferisce con l’uso di tecnologia lecitamente utilizzata per raccogliere dati sull’impiego delle informazioni; e v) agisce prontamente per rimuovere o disabilitare l’accesso alle informazioni che erano state già rimosse dalla rete o il cui accesso era già stato disabilitato (art. 5).

Nel caso di prestazione di un servizio di hosting, il provider non è responsabile delle informazioni memorizzate su richiesta del destinatario se: i) non è effettivamente a conoscenza delle attività o dei contenuti illegali; e ii) quando ne viene a conoscenza agisca immediatamente per rimuovere i contenuti illegali o per disabilitare l’accesso ad essi[6] (art. 6).

Un’importante novità introdotta dal Regolamento DSA è la disposizione che consente ai providers di avvalersi dell’esenzione da responsabilità prevista dai richiamati articoli 4, 5 e 6 anche quando essi svolgono, in buona fede e diligentemente, indagini volontarie di propria iniziativa o adottano  altre misure volte a individuare, identificare e rimuovere contenuti illegali o a disabilitare l’accesso agli stessi, oppure ad adottare le misure necessarie per conformarsi alle prescrizioni del diritto dell’Unione e nazionale ad esso conformi, comprese le disposizioni contenute nel Regolamento sui servizi digitali (art. 7).

Poiché uno degli obiettivi principali del Regolamento DSA è il contrasto alla circolazione di contenuti illegali on line, viene previsto che i prestatori di servizi intermediari, appena ricevuto l’ordine di contrastare uno o più specifici contenuti illegali, emesso dalle autorità giudiziarie o amministrative competenti, sulla base del diritto dell’Unione o nazionale ad esso conforme, devono informare senza indugio l’autorità che ha emesso l’ordine, specificando se e quando è stato dato seguito all’ordine (art. 9).

Parimenti, i prestatori di servizi intermediari, appena ricevono dalle autorità giudiziarie o amministrative l’ordine di fornire informazioni specifiche su uno e più destinatari del servizio, devono informare senza indugio l’autorità che ha emesso l’ordine del suo ricevimento e del seguito dato allo stesso (art. 10).

Al fine di migliorare il funzionamento del mercato interno e garantire un ambiente on line sicuro e trasparente, il Regolamento DSA introduce una serie di obblighi armonizzati in materia di dovere di diligenza per i prestatori di servizi intermediari, differenziati a seconda della tipologia, della dimensione e della natura del servizio prestato.

In particolare, ad obblighi comuni a tutti i fornitori di servizi intermediari (ad esempio, istituire un punto di contatto unico sia per la comunicazione con le autorità degli Stati membri, la Commissione e il Comitato per i servizi digitali (art. 11) sia per i destinatari del servizio (art. 12), si affiancano obblighi supplementari per i prestatori di servizi di hosting (ad esempio, predisporre meccanismi, di facile accesso e uso, per consentire a qualsiasi persona o ente di notificare loro la presenza nel servizio di informazioni specifiche che tale persona o ente ritiene costituiscano contenuti illegali (art. 16), obblighi supplementari per le piattaforme on line, escluse micro e piccole imprese (ad esempio,  predisporre un sistema interno per la gestione dei reclami che consentano ai destinatari del servizio, e alle persone o enti che abbiano notificato una segnalazione, di presentare per via elettronica e gratuitamente reclami contro le decisioni adottate dai fornitori di piattaforme on line a seguito del ricevimento di una segnalazione o a fronte dell’illegalità delle informazioni fornite dai destinatari o della loro incompatibilità con le condizioni generali (art. 20), obblighi supplementari per marketplace, escluse micro e piccole imprese (ad esempio, tracciabilità degli operatori commerciali (art. 30) e progettare le interfacce on line per consentire agli operatori commerciali di adempiere ai loro obblighi (art. 31) e obblighi supplementari per le piattaforme on line di dimensioni molto grandi (VLOPs, Very Large Online Plattforms) e di motori di ricerca on line di dimensioni molto grandi (VLOSEs, Very Large Online Search Engines)[7], tra cui quelli di valutare e mitigare i rischi sistemici (articoli 34 e 35), sottoporsi a revisioni indipendenti (art. 37) e istituire una funzione di compliance (art. 41).

Con particolare riguardo alle prescrizioni di cui agli articoli 34 e 35, il Regolamento stabilisce che i fornitori di VLOPs e VOLSEs hanno l’obbligo di individuare, analizzare e valutare con diligenza gli eventuali rischi sistemici[8] nell’Unione che possano derivare dalla progettazione o dal funzionamento dei loro servizi, dei rilevi sistemi, compresi i sistemi algoritmici, o dall’uso dei loro servizi (art. 34, par. 1). La valutazione dei rischi deve essere eseguita una prima volta entro quattro mesi dalla notifica al “fornitore” della decisione della Commissione che li qualifica come grandi e, in seguito, almeno una volta l’anno o comunque prima dell’introduzione di funzionalità che possono avere un impatto critico sui rischi (art. 34, par. 2).

Ai fornitori di VLOPs e VLOSEs il Regolamento impone inoltre di adottare le misure necessarie per attenuare i rischi sistemici individuati nella valutazione dei rischi; tra queste, l’adeguamento della progettazione, delle caratteristiche e del funzionamento dei servizi e delle condizioni generali, l’adeguamento dei sistemi di moderazione dei contenuti e dei relativi processi decisionali interni e delle risorse dedicate, l’avvio o l’adeguamento della cooperazione con altri “fornitori” attraverso i codici di condotta e i protocolli di crisi (art. 35, par. 1).

Le competenze in materia di vigilanza sui fornitori di servizi intermediari siano ripartite tra la Commissione e gli Stati membri: la Commissione ha il compito di vigilare sulle piattaforme digitali e i motori di ricerca di grandi dimensioni, mentre i paesi membri sono responsabili della vigilanza delle piattaforme di minori dimensioni, a seconda dello Stato membro di stabilimento (art. 56).

Per i prestatori che non sono stabiliti nell’UE ma che offrono servizi nell’Unione, la competenza è dello Stato membro in cui il loro rappresentante legale risiede o è stabilito e della Commissione, a seconda dei casi (art. 56, par. 6). Qualora il prestatore ometta di designare un rappresentante legale, la competenza è attribuita a tutti gli Stati membri e alla Commissione, nel caso di fornitore di una piattaforma digitale o di un motore di ricerca di dimensioni molto grandi (art. 56, par. 7).

Gli Stati membri sono chiamati a designare una o più autorità competenti incaricate della vigilanza dei fornitori di servizi intermediari e dell’esecuzione del Regolamento (art. 49, par. 1); una delle autorità competenti deve essere designata come “coordinatore dei servizi digitali”[9], che ha la funzione di punto di contatto unico responsabile di tutte le questioni relative alla vigilanza e all’applicazione del regolamento nello Stato membro (art. 49, par. 2).

Attesa la centralità del loro ruolo nel garantire l’efficacia dei diritti e degli obblighi stabiliti dal Regolamento, è necessario che i “coordinatori” dispongano di adeguate risorse finanziarie, tecniche e umane e svolgano i propri compiti in modo imparziale, trasparente e tempestivo, e in piena indipendenza.

Il Regolamento attribuisce ai “coordinatori” poteri di indagine (art. 51, par. 1) sulla condotta dei fornitori di servizi intermediari che ricadono nella competenza del loro Stato membro (ad esempio, imporre ai fornitori e a qualsiasi persona che agisca per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale e che possa essere ragionevolmente a conoscenza di informazioni relative a una presunta violazione del regolamento di fornire informazioni senza indebito ritardo), nonché poteri di esecuzione (art. 51, par. 2) nei confronti dei fornitori di servizi intermediari che ricadono nella competenza del loro paese membro (ad esempio, ordinare la cessazione delle violazioni e imporre eventuali misure correttive proporzionate alla violazione e necessarie per farla cessare, o chiedere all’autorità giudiziaria del loro Stato membro di farlo).

Qualora, nonostante l’esercizio dei suddetti poteri, la violazione continui o non vi sia stato possibile porvi rimedio, i “coordinatori” possono imporre all’organo di gestione dei fornitori di servizi intermediari che ricadono nella competenza del loro Stato membro di esaminare la questione e presentare un piano d’azione che indichi le misure necessarie per fare cessare la violazione (art. 51, par. 3). Qualora il “coordinatore” ritenga che il fornitore non si sia sufficientemente conformato a tali obblighi e che non sia stato posto rimedio alla violazione o che essa continui e provochi un danno grave e integri un reato grave che comporta una minaccia per la vita o la sicurezza delle persone, il “coordinatore” può chiedere all’autorità giudiziaria competente del suo paese membro di ordinare la restrizione temporanea dell’accesso da parte dei destinatari al servizio interessato dalla violazione oppure, ma solo nei casi in cui ciò non sia fattibile, la restrizione dell’accesso all’interfaccia on line del fornitore sulla quale ha luogo la violazione (art. 51, par. 3).

Le restrizioni all’accesso sono temporanee, essendo disposte per un periodo non superiore a quattro settimane, tuttavia prorogabile per ulteriori periodi della stessa durata, su ordine dell’autorità giudiziaria competente (art. 51, par. 3). Il “coordinatore” può prorogare tale periodo solo se il fornitore di servizi intermediari ha omesso di adottare le misure necessarie per far cessare la violazione e se la restrizione non limita indebitamente l’accesso dei destinatari del servizio alle informazioni lecite (art. 51, par. 3).

Gli Stati membri sono chiamati a definire le condizioni e le procedure per l’esercizio dei richiamati poteri di indagine e di esecuzione, garantendo che l’esercizio di detti poteri sia soggetto ad adeguate garanzie previste dal diritto nazionale in conformità alla Carta e ai principi generali del diritto dell’Unione (art. 51, par. 6).

Gli Stati membri devono altresì stabilire le norme relative alle sanzioni applicabili in caso di violazione del Regolamento da parte dei fornitori di servizi intermediari (art. 52, par. 1). Le sanzioni devono essere effettive, proporzionate e dissuasive, “tenendo conto della natura, della gravità, della reiterazione e della durata della violazione, in considerazione dell’obiettivo di interesse generale perseguito, della portata e del tipo di attività svolte nonché della capacità economica dell’autore della violazione” (art. 52, par. 2 e Considerando n. 117).

Si stabilisce che l’importo massimo delle sanzioni erogabili in caso di inosservanza di un obbligo regolamentare sia pari al 6 per cento del fatturato annuo mondiale del fornitore di servizi intermediari nell’esercizio finanziario precedente (art. 52, par. 3). L’importo massimo della sanzione in caso di comunicazione di informazioni inesatte, incomplete o fuorvianti, di mancata risposta o rettifica di informazioni inesatte, incomplete o fuorvianti e di inosservanza dell’obbligo di sottoporsi a un’ispezione deve essere pari all’1 per cento del reddito annuo o del fatturato mondiale del fornitore di servizi intermediari o della persona interessata nell’esercizio finanziario precedente (art. 52, par. 3).

L’importo massimo giornaliero delle penalità di mora deve essere pari al 5 per cento del fatturato giornaliero medio mondiale o del reddito del fornitore di servizi intermediari nell’esercizio finanziario precedente, calcolato a decorrere dalla data specificata nella decisione (art. 52, par. 4).

I destinatari dei servizi possono presentare al “coordinatore” dello Stato membro in cui sono stabiliti reclami nei confronti dei fornitori di servizi intermediari in caso di violazione delle disposizioni regolamentari. Il “coordinatore” valuta il reclamo e, se del caso, lo trasmette al “coordinatore” dello Stato membro in cui è stabilito il fornitore accompagnato, ove ritenuto opportuno, da un parere. Se il reclamo rientra tra le responsabilità di un’altra autorità competente, il “coordinatore” trasmette il reclamo a quest’ultima (art. 53).

I destinatari del servizio hanno diritto di chiedere un risarcimento, sulla base del diritto nazionale e dell’Unione, ai fornitori di servizi intermediari per i danni o le perdite che abbiano subito a seguito di una violazione degli obblighi stabiliti dal Regolamento (art. 54).

I “coordinatori” sono tenuti a redigere, e a rendere disponibili al pubblico, relazioni annuali sulle attività svolte, che indichino il numero dei reclami ricevuti e una sintesi degli stessi e del seguito che è stato dato loro, nonché il numero e l’oggetto degli ordini di contrastare contenuti illegali e degli ordini di fornire informazioni emessi da qualsiasi autorità giudiziaria e amministrativa nazionale dello Stato membro del “coordinatore” (art. 55).

Al fine di garantire un’applicazione coerente del Regolamento, viene prevista l’istituzione di un “Comitato europeo per i servizi digitali”, un gruppo consultivo indipendente di coordinatori di servizi digitali per la vigilanza sui fornitori di servizi intermediari (art. 61). Il consesso, che è presieduto dalla Commissione e adotta i propri atti a maggioranza semplice (art. 62), ha il compito, tra l’altro, di: i) sostenere il coordinamento delle indagini congiunte; ii) assistere le autorità competenti nell’analisi delle relazioni e dei risultati delle revisioni di VLOPs e VLOSEs da presentare a norma di regolamento; ii) fornire pareri, raccomandazioni o consulenze ai “coordinatori”, tenendo conto, in particolare, della libera prestazione di servizi da parte dei fornitori intermediari di servizi (art. 63).

Muovendo dalla considerazione che un’eventuale inosservanza degli obblighi supplementari loro imposti per la gestione dei rischi sistemici può causare gravi danni ai destinatari del servizio, il Regolamento prevede una vigilanza rafforzata della Commissione sulle VLOPs e sui VLOSEs. In particolare, la Commissione può:

• avviare un procedimento in vista della possibile adozione di decisioni di non conformità (art. 73) e sanzioni pecuniarie (art. 74) in relazione alla condotta di un fornitore di VLOPs o VLOSEs nei confronti del quale la Commissione abbia il sospetto che abbia violato delle disposizioni regolamentari (art. 66);
• procedere a una richiesta di informazioni, per il tramite di una richiesta semplice o di una decisione, imponendo al fornitore di VLOPs o VLOSEs o a qualsiasi altra persona fisica o giuridica che agisca per fini connessi alla propria attività commerciale, imprenditoriale, artigianale o professionale e che possa ragionevolmente essere a conoscenza di informazioni relative alla presunta violazione, di fornire informazioni (art. 67);
• sentire, mediante audizione e la raccolta di dichiarazioni, qualsiasi persona fisica o giuridica che vi acconsenta ai fini della raccolta di informazioni riguardo all’oggetto dell’indagine sulla presunta violazione (art. 68);
• effettuare ispezioni presso i locali del fornitore della piattaforma o del motore di ricerca o di altre persone che possono essere a conoscenza di informazioni (art. 69);
• nell’ambito di un procedimento che può portare a una “decisione di non conformità”, in caso di urgenza dovuta al rischio di grave nocumento per i destinatari del servizio, può ordinare misure provvisorie nei confronti del fornitore qualora abbia constatato prima facie la sussistenza di una violazione degli obblighi previsti dal regolamento (art. 70);
• imporre al fornitore di VLOPs e VLOSEs il pagamento di: i) sanzioni pecuniarie non superiori al 6 per cento del fatturato totale realizzato a livello mondiale su base annua nell’esercizio precedente, qualora constati che, intenzionalmente o per negligenza, il fornitore viola le pertinenti disposizioni regolamentari e non rispetta una decisione che dispone misure provvisorie oppure non si conforma a un impegno reso vincolante da una decisione (art. 74, par. 1); ii) sanzioni pecuniarie nella misura massima dell’1 per cento del reddito annuo o del fatturato totale annuo a livello mondiale dell’esercizio precedente, qualora il fornitore, intenzionalmente o per negligenza, fornisca informazioni inesatte, incomplete o fuorvianti in risposta a una semplice richiesta, rifiuti di sottoporsi a un’ispezione, non rispetti i provvedimenti adottati dalla Commissione, ecc. (art. 74, par. 2).; iii) penalità di mora non superiori al 5 per cento del reddito netto giornaliero medio o del fatturato annuo realizzato giornalmente a livello mondiale nell’esercizio precedente, calcolate a partire dalla data stabilita nella decisione per costringerli, tra l’altro, a fornire informazioni corrette e complete in risposta a una decisione di richiesta di informazioni, sottoporsi a un’ispezione disposta dalla Commissione mediante decisione, conformarsi a una decisione che dispone misure provvisorie (art. 76);
• chiedere al fornitore di VLOPs o VLOSEs di predisporre un piano d’azione particolareggiato, da portare a conoscenza dei “coordinatori”, della Commissione e del “comitato”, che stabilisca le misure necessarie per porre fine alla violazione o porvi rimedio. Queste misure devono comprendere l’impegno ad effettuare una revisione indipendente e, se del caso, un impegno a partecipare a un codice di condotta pertinente (art. 75, par. 2).

Qualora la Commissione abbia esaurito tutti i poteri volti a far cessare le violazioni accertate e l’infrazione continua a persistere e causi un grave nocumento, che non può essere evitato mediante l’esercizio di altri poteri previsti dal diritto nazionale o dell’Unione, la Commissione può chiedere al “coordinatore” del luogo di stabilimento del fornitore di VLOPs o VLOSEs di agire con la restrizione dell’accesso (art. 82, par. 1).

Il Regolamento prevede che la Commissione proceda a un primo riesame del testo regolamentare entro il 17 novembre 2027 e in seguito ogni cinque anni, presentando una relazione al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo (art. 91).

Il Regolamento DSA è entrato in vigore il 16 novembre 2022 e si applicherà alla maggior parte dei servizi a decorrere dal 17 febbraio 2024 (art. 92). Tuttavia, l’applicazione per le VLOPs e i VLOSEs è anticipata a partire da quattro mesi dalla notifica al fornitore della designazione come VLOPs e VLOSEs, nel caso in cui tale data sia anteriore al 17 febbraio 2024.

 

Note:

[1] I gatekeeper possono essere definiti come quelle imprese che fungono da intermediari tra chi accede ad Internet (gli utenti finali) e chi offre contenuti e servizi nella rete (operatori commerciali).

[2] L’art. 2, par. 2, del Regolamento identifica dieci servizi di piattaforma di base: servizi di intermediazione on line (ad esempio, marketplace e app store); motori di ricerca on line; servizi di social network on line; servizi di piattaforma per la condivisione di video; servizi di comunicazione interpersonale indipendenti dal numero (ad esempio, WhatsApp); sistemi operativi (ad esempio, Android); browser web; assistenti virtuali; servizi di cloud compunting; servizi pubblicitari on line. L’elenco di tali servizi non è chiuso, poiché, ai sensi dell’art. 19, la Commissione europea potrà proporre modifiche al Regolamento per aggiungervi nuovi sevizi oppure per eliminare servizi esistenti.

[3] In questi casi, i rimedi previsti possono includere anche la dismissione di determinate attività e il divieto di avviare concentrazioni riguardanti i servizi di piattaforma di base o gli altri servizi forniti nel settore digitale o servizi che consentono la raccolta di dati.

[4] Contenuto illegale è “qualsiasi informazione che, di per sé o in relazione a un’attività, tra cui la vendita di prodotti o la prestazione di servizi, non è conforme al diritto dell’Unione o di qualsiasi Stato membro conforme con il diritto dell’Unione, indipendentemente dalla natura o dall’oggetto specifico di tale diritto” (art. 3, lett. h).

[5] Ossia qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi (art. 1 della Direttiva (UE) 2015/1535).

[6] Tale regola non si applica se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore.

[7] Sono considerate tali, ai sensi, le imprese che hanno un numero medio mensile di destinatari attivi del servizio nell’Unione pari o superiore a 45 milioni o comunque pari al 10 per cento della popolazione dell’Unione (art. 33 del Regolamento). La designazione viene effettuata dalla Commissione, previa consultazione dello Stato membro di stabilimento o tenuto conto delle informazioni fornite dai coordinatori dei servizi digitali del luogo di stabilimento 8art. 33, par. 3). L’elenco delle VLOPs e dei VOLSEs è pubblicato e aggiornato, a cura della Commissione, nella Gazzetta Ufficiale dell’UE (art. 33, par. 6). Il 25 aprile 2023 sono state designate le prime 17 VOLPs e i primi due VOLSEs.

[8] Il Regolamento individua quattro categorie di rischi sistemici: 1) i rischi associati alla diffusione di contenuti illegali; 2) gli effetti negativi attuali o prevedibili del servizio per l’esercizio dei diritti fondamentali tutelati dalla Carta; 3) gli effetti negativi, attuali o prevedibili, sul dibattito civico, sui processi elettorali e sulla sicurezza pubblica; 4) qualsiasi effetto negativo, attuale o prevedibile, in relazione alla violenza di genere, alla tutela della salute pubblica e dei minori.

[9] La designazione dovrà essere effettuata al più tardi entro il 24 febbraio 2024 (art. 49, par. 3).

Rivista di Diritto Bancario Tidona - www.tidona.com - Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.

Le informazioni contenute in questo sito web e nella rivista "Magistra Banca e Finanza" sono fornite solo a scopo informativo e non possono essere ritenute sostitutive di una consulenza legale. Nessun destinatario del contenuto di questo sito, cliente o visitatore, dovrebbe agire o astenersi dall'agire sulla base di qualsiasi contenuto incluso in questo sito senza richiedere una appropriata consulenza legale professionale, da un avvocato autorizzato, con studio dei fatti e delle circostanze del proprio specifico caso legale.