NEWS

Il Digital Services Act e gli impatti in materia di privacy

Come noto recentemente è stato approvato dal Parlamento Europeo il regolamento sui servizi digitali (Digital Services Act) che rappresenta una delle misure chiave nell'ambito della Strategia europea per il digitale. In linea con quanto preannunciato dalla Commissione europea nella Comunicazione "Plasmare il futuro digitale dell'Europa", l'iniziativa è stata presentata simultaneamente alla cosiddetta legge sui mercati digitali (DMA) nell'ottica di una revisione complessiva del corpus regolativo di matrice europea, che mira, da un lato, ad accrescere e armonizzare le responsabilità delle piattaforme online e dei fornitori di servizi d'informazione, rafforzando anche il controllo sulle politiche di contenuto delle piattaforme nell'UE, e, dall'altro, a introdurre regole per assicurare l'equità e la contendibilità dei mercati digitali.

Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy

(Nella foto: l'Avv. Michele Iaselli, coordinatore del Comitato Scientifico di Federprivacy)

Ma quali sono le conseguenze con riferimento alla materia della protezione dei dati personali?

Va subito precisato che il regolamento sancisce che la protezione delle persone fisiche con riguardo al trattamento dei dati personali è disciplinata unicamente dalle norme del diritto dell'Unione in materia, in particolare dal regolamento (UE) 2016/679 (GDPR) e dalla direttiva 2002/58/CE, per cui è evidente il rinvio alle disposizioni del GDPR per le questioni pertinenti.

In particolare viene lasciata impregiudicata l'applicazione delle pertinenti disposizioni del GDPR relative al diritto di opposizione e al processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione e specificamente la necessità di ottenere il consenso dell'interessato prima del trattamento dei dati personali per la pubblicità mirata.

Restano analogamente impregiudicate le disposizioni di cui alla direttiva 2002/58/CE, in particolare quelle riguardanti l'archiviazione di informazioni nell'apparecchiatura terminale e l'accesso a informazioni ivi archiviate.

In tale contesto assume rilievo quanto previsto dall’art. 67 del regolamento sui servizi digitali che prevede l’istituzione ed il mantenimento da parte della Commissione di un sistema affidabile e sicuro di condivisione delle informazioni a sostegno delle comunicazioni tra i coordinatori dei servizi digitali, la Commissione e il comitato, prevedendo l’eventuale accesso a tali informazioni da parte di altra autorità competenti.

Recentemente è stato approvato dal Parlamento Europeo il regolamento sui servizi digitali (Digital Service Act)

In effetti va evidenziato che l'esecuzione e il monitoraggio efficaci del regolamento richiedono uno scambio di informazioni continuo e in tempo reale tra i coordinatori dei servizi digitali, il comitato e la Commissione, sulla base dei flussi di informazioni e delle procedure previsti dal regolamento. Ciò può anche giustificare l'accesso a tale sistema da parte di altre autorità competenti, se del caso. Allo stesso tempo, dato che possono essere riservate o contenere dati personali, le informazioni scambiate dovrebbero rimanere protette da accessi non autorizzati, conformemente alle finalità per le quali sono state raccolte. Per questo motivo tutte le comunicazioni tra tali autorità devono avvenire sulla base di un sistema affidabile e sicuro di condivisione delle informazioni, i cui dettagli devono essere stabiliti in un atto di esecuzione come precisato dal 3° comma dell’art 67.

L’art. 68 del regolamento sui servizi digitali prevede, inoltre, che i destinatari dei servizi intermediari abbiano il diritto di incaricare un organismo, un'organizzazione o un'associazione di esercitare per loro conto i diritti conferiti dal regolamento, purché l'organismo, l'organizzazione o l'associazione soddisfino tutte le condizioni seguenti:

a) operano senza scopo di lucro;
b) sono debitamente costituiti secondo il diritto di uno Stato membro;
c) i loro obiettivi statutari includono un interesse legittimo a garantire che sia rispettato
il regolamento.

Naturalmente anche in questo caso i fornitori delle piattaforme online dovranno adottare le misure tecniche e organizzative necessarie per garantire che i reclami presentati dagli organismi, le organizzazioni o le associazioni di a nome dei destinatari dei servizi siano trattati e decisi in via prioritaria e senza indugio.

Il regolamento sui servizi digitali dedica una particolare attenzione ai meccanismi pubblicitari ed ovviamente a tutte le forme di marketing e profilazione. Viene, quindi, sottolineato che quando ai destinatari del servizio vengono presentate inserzioni pubblicitarie basate su tecniche di targeting ottimizzate per soddisfare i loro interessi e potenzialmente attirare le loro vulnerabilità, ciò può avere effetti negativi particolarmente gravi. In alcuni casi, le tecniche di manipolazione possono avere un impatto negativo su interi gruppi e amplificare i danni sociali, ad esempio contribuendo a campagne di disinformazione o discriminando determinati gruppi.

Il legislatore sottolinea che le piattaforme online sono ambienti particolarmente sensibili per tali pratiche e presentano un rischio sociale più elevato. Di conseguenza, i fornitori di piattaforme online non devono presentare inserzioni pubblicitarie basate sulla profilazione, ai sensi dell'articolo 4, punto (4), del regolamento (UE) 2016/679, utilizzando le categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del GDPR, anche utilizzando categorie di profilazione basate su tali categorie speciali. Tale divieto, naturalmente, lascia impregiudicati gli obblighi applicabili ai fornitori di piattaforme online o a qualsiasi altro fornitore di servizi o inserzionista coinvolti nella diffusione della pubblicità a norma del diritto dell'Unione in materia di protezione dei dati personali.

Il ricorso a processi decisionali automatizzati, compresa la profilazione automatizzata, si sta vieppiù diffondendo in diversi settori, sia privati che pubblici, perché il progresso tecnologico ha reso questi trattamenti maggiormente efficienti ed economici.

Lo stesso regolamento sui servizi digitali sottolinea che gli obblighi in materia di valutazione e attenuazione dei rischi dovrebbero far sorgere, caso per caso, presso i fornitori di piattaforme online di dimensioni molto grandi e di motori di ricerca online di dimensioni molto grandi, la necessità di valutare e adeguare la progettazione dei loro sistemi di raccomandazione, ad esempio adottando misure volte a evitare o ridurre al minimo le distorsioni che portano alla discriminazione delle persone in situazioni vulnerabili, in particolare laddove ciò sia conforme alla normativa in materia di protezione dei dati e quando le informazioni sono personalizzate sulla base di categorie particolari di dati personali, ai sensi dell'articolo 9 del GDPR. (v. art. 26 del regolamento sui servizi digitali).

Il regolamento sui servizi digitali sottolinea, inoltre, che la protezione dei minori è un importante obiettivo politico dell'Unione. Una piattaforma online può essere considerata accessibile ai minori quando le sue condizioni generali consentono ai minori di utilizzare il servizio. I fornitori di piattaforme online utilizzate dai minori devono adottare misure adeguate e proporzionate per proteggere i minori, ad esempio progettando le loro interfacce online o parti di esse con il massimo livello di privacy, sicurezza e protezione dei minori per impostazione predefinita, a seconda dei casi, o adottando norme per la protezione dei minori, o aderendo a codici di condotta per la protezione dei minori (v. art. 24ter del DSA).

Attenzione: Con la pubblicazione del regolamento sui servizi digitali sulla GUUE sono cambiati i riferimenti numerici delle disposizioni di interesse per cui: l'art. 85 del DSA parla del sistema di condivisione delle informazioni, l'art. 86 del DSA prevede che i destinatari dei servizi intermediari abbiano il diritto di incaricare un organismo, un'organizzazione o un'associazione di esercitare per loro conto i diritti conferiti dal regolamento, l'art. 34 parla degli obblighi in materia di valutazione e attenuazione dei rischi ed infine l'art. 28 parla di tutela dei minori.

Note Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev La 'Stele di Rosetta' della privacy per evitare l’isolamento di DPO e Privacy Officer in azienda
Next Elon Musk richiamato dall’ONU a rispettare i diritti umani sui social: suona la campana per un dibattito serio sulla digital age e sui rischi per l’umanità?

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy