Digital Services Act e Digital Markets Act tra responsabilità dei fornitori e rischi di bis in idem
Gianpaolo Maria Ruotolo, Università di Foggia
1. Il 15 dicembre 2020 la Commissione europea ha presentato un pacchetto di misure per aggiornare la disciplina UE del settore digitale, distinte in due proposte di adozione di atti di diritto derivato, sontuosamente definite “Acts”. Il regolamento Digital Services Act (DSA) mira a regolare la sicurezza, la trasparenza e le condizioni di accesso ai servizi online, mentre il regolamento Digital Markets Act (DMA) si occupa degli aspetti commerciali e di concorrenza.
Entrambi si vanno ad aggiungere alla proposta del 25 novembre 2020 di un Data Governance Act (DGA), che ha l’obiettivo di promuovere la disponibilità dei dati e a rafforzare la fiducia nei confronti dei c.d. intermediari, nonché di potenziare strumenti e meccanismi di condivisione dei dati stessi, in particolare con riguardo al riutilizzo dei medesimi da parte del settore pubblico e alla loro condivisione tra imprese (va detto che nella regolamentazione del mercato digitale, poi, gioca un ruolo determinante anche quello della tassazione dei proventi delle imprese che in tale mercato operano. Su tale aspetto si veda Caggiano).
Tutte queste proposte sono tra loro fortemente interrelate e si inseriscono nell’ampio framework predisposto dalla Comunicazione della Commissione del 19 febbraio 2020 “Plasmare il futuro digitale” e, quindi, alle politiche per la promozione della c.d. “sovranità digitale” dell’Unione (su ci, da ultimo, si vedano gli obiettivi digitali per il 2030, elencati nel documento approvato il 9 marzo 2021 in cui, tra l’altro, si auspica che ogni Paese membro dedichi alla transizione digitale il 20% dei finanziamenti derivanti dallo Strumento per la ripresa e la resilienza).
Con l’espressione “sovranità digitale”, a volte resa anche con “sovranità tecnologica”, si fa riferimento alla capacità dell’Unione (e dei suoi Stati membri) di agire in modo indipendente nel mondo digitale con strumenti tanto difensivi quanto offensivi, per promuovere l’innovazione e proteggersi, al contempo, dall’influenza economica e sociale di imprese tecnologiche extra-UE che, secondo alcuni, starebbero mettendo in pericolo non solo il controllo dei cittadini europei sui loro dati personali (sul punto si vedano Nino e Oldani) ma, soprattutto, starebbero limitando la crescita delle imprese hi-tech europee e finanche la capacità dei legislatori nazionali e dell’UE di garantire il rispetto delle normative relative a fattispecie digitali.
In questo nostro contributo ci concentreremo, per quanto concerne il DSA, sugli aspetti relativi alla responsabilità dei fornitori di servizi di hosting per i contenuti caricati dai loro utenti (il c.d. user generated content, appunto), e, per quanto concerne il DMA, più brevemente, sui rischi che la regolamentazione ivi prevista possa dimostrarsi incompatibile con il divieto di bis in idem.
2. Ricordiamo che la direttiva sul commercio elettronico, agli articoli 14 e 15, con riferimento al contenuto caricato dagli utenti sulle piattaforme di condivisione online, prevede che il fornitore non sia responsabile delle informazioni così memorizzate, chiarendo che l’esonero in parola non si applica solo qualora il fornitore stesso, non limitandosi al mero trattamento tecnico e automatico dei dati forniti dal cliente, abbia svolto sugli stessi un ruolo attivo e “di merito”, prestando all’utente assistenza, volta ad esempio all’ottimizzazione della presentazione dei contenuti o, ancora, se il medesimo, anche limitandosi alla fornitura neutra del servizio, dovesse essere comunque a conoscenza di fatti e circostanze tali da rendere manifesta l’illegalità dell’attività o dell’informazione condivisa.
Ricordiamo pure che il 31 maggio 2016 la Commissione, in applicazione della decisione quadro 2008/913/GAI e dell’art. 16 della stessa direttiva e-commerce, ha poi promosso un Codice di condotta per il contrasto all’illecito incitamento all’odio online, sottoscritto dai principali operatori privati di servizi online, il quale contempla l’impegno delle imprese che vi hanno aderito di predisporre procedimenti di esame rapido delle segnalazioni relative a discorsi d’odio che siano chiari ed efficaci e che possano condurre alla rimozione tempestiva dei contenuti illegittimi, di dotarsi di linee guida che vietino chiaramente la promozione e l’istigazione alla violenza e alla condotta odiosa, di esaminare le richieste di rimozione nel rispetto tanto delle linee guida così adottate quanto della pertinente normativa nazionale di recepimento della suddetta decisione quadro, mediante gruppi di lavoro a ciò specificamente deputati, e di far ciò entro ventiquattr’ore dalla conoscenza dell’illecito (v. Podstawa).
Ricordiamo, inoltre, che la Direttiva sul diritto d’autore nel mercato unico digitale, all’art. 17, par. 3, prevede che quando il prestatore di servizi di condivisione di contenuti effettui un “atto di comunicazione al pubblico o un atto di messa a disposizione del pubblico” di materiale caricato da utenti il quale rientri nell’ambito di applicazione della direttiva e alle condizioni stabilite dalla stessa, la limitazione di responsabilità di cui all’art. 14, par. 1, della direttiva sul commercio elettronico non possa trovare applicazione con riguardo alla violazione di diritti di proprietà intellettuale (per una analisi dettagliata di questo aspetto ci permettiamo di rinviare a Ruotolo).
La Corte di giustizia si è pronunciata in più occasioni sulle condizioni di applicazione della detta esenzione da responsabilità, chiarendo come la stessa debba essere applicata al fornitore di servizi di hosting che non abbia svolto un ruolo attivo che gli abbia consentito di conoscere il contenuto materiale o di assumere il controllo dei dati memorizzati; in questo caso il fornitore non potrà quindi essere ritenuto responsabile per i dati che ha memorizzato su richiesta di un utente, salvo il caso in cui, essendo venuto a conoscenza della natura illecita di tali dati o dell’attività dell’inserzionista, non abbia omesso di rimuoverli prontamente o disabilitare l’accesso agli stessi. La Corte, affermando l’inesistenza di un obbligo generalizzato di controllo sui contenuti, ha poi chiarito che l’esenzione in parola si applica anche ai gestori che non svolgono alcun “ruolo attivo” che gli permetta di avere conoscenza o controllo circa i dati memorizzati; il caso del “ruolo attivo”, cui consegue l’inapplicabilità dell’esenzione, si integra allorché il gestore fornisca agli utenti assistenza volta ad ottimizzare la presentazione. Peraltro, sempre secondo la Corte, anche in assenza di siffatto ruolo attivo, il prestatore di servizi non potrebbe comunque avvalersi dell’esonero dalla responsabilità qualora sia stato al corrente di fatti o circostanze in base ai quali un operatore economico mediamente diligente avrebbe potuto constatare l’illiceità delle inserzioni dei suoi clienti e, nell’ipotesi in cui ne sia stato al corrente, non abbia prontamente agito per porvi rimedio (Nino e Rodean). I giudici di Lussemburgo hanno anche chiarito che nel caso in cui il fornitore non agisca di propria iniziativa per sospendere l’utente che viola i diritti di proprietà intellettuale in modo da impedirgli di commettere ulteriori violazioni, i tribunali nazionali possono ingiungergli di prendere tutte le misure necessarie non solo a far cessare le violazioni già commesse, ma anche a prevenirne di ulteriori, a condizione che tali misure siano effettive, proporzionate, dissuasive e non creino illegittimi ostacoli al commercio intraUE.
Va infine ricordato che, in merito alla responsabilità dei forntioriper i contenuti illegittimi caricati da terzi si è pronunciata anche la CEDU, che, nel caso Delfi c. Estonia, ha tracciato una sorta di linea comune di condotta europea, e ha ritenuto che un gestore possa legittimamente essere sanzionato per la diffusione e la mancata rimozione di contenuti lesivi della reputazione altrui qualora non abbia posto in essere un’attività neutra e meramente tecnica, in quanto unico detentore del controllo sui contenuti pubblicati.
3. Negli ultimi anni tempo i servizi di hosting – anche a causa dell’avvento dei social networks che, consentendo ai loro utenti di caricare contenuti multimediali, ormai svolgono funzioni spesso analoghe– hanno mutato radicalmente le loro caratteristiche, e i relativi fornitori hanno aumentato esponenzialmente i servizi che offrono, che, oggi, vanno ben oltre la mera messa a disposizione di spazio per caricare contenuti, i quali vengono invece organizzati dagli stessi fornitori per migliorarne la fruizione. Al riguardo si è parlato di servizi di hosting 2.0.
Con particolare riguardo all’ordinamento italiano, in merito all’applicazione dell’esenzione di responsabilità di cui alla direttiva e-commerce al mutato contesto degli host 2.0, si sono radicati, negli anni passati, due orientamenti giurisprudenziali opposti: secondo il primo, le caratteristiche evolute di cui abbiamo detto sarebbero una conseguenza “naturale” dello sviluppo tecnologico in generale e dei servizi di hosting in particolare, i cui fornitori, quindi, continuerebbero a beneficiare dell’esenzione per i contenuti illegittimamente caricati da terzi, almeno finché il titolare di diritti lesi non comunichi loro puntualmente quali contenuti siamo caricati in violazione delle sue posizioni giuridiche, o qualora vi sia un ordine di rimozione della pubblica autorità non eseguito (in dottrina v. Bassini, p. 145 ss.). Alla luce del secondo orientamento, invece, le caratteristiche dei nuovi servizi di hosting impedirebbero di poterli continuare a considerare neutrali, passivi e meramente tecnici rispetto ai contenuti veicolati e, di conseguenza (e sebbene essi continuino a non esser gravati di un obbligo generale di sorveglianza sui contenuti caricati dagli utenti), proprio in conseguenza dell’organizzazione e sistematizzazione dei contenuti stessi (che ne presuppongono la conoscenza) il titolare dei diritti lesi potrebbe oggi limitarsi a rivolgere loro una generica richiesta di rimozione, la quale cioè non deve necessariamente contenere l’indicazione puntuale dei contenuti illegittimamente caricati e quindi da rimuovere.
È in questo contesto che va letta la proposta di disciplina contenuta nel DSA, che, per quanto ci occupa, mira a rivedere proprio le regole che disciplinano lo user generated content e la relativa responsabilità dei fornitori: a tal fine il DSA crea “categorie” di fornitori di servizi digitali e ne gradua, di conseguenza, la responsabilità, anche in base alle loro capacità di conoscenza dei contenuti caricati dagli utenti.
La proposta pare sviluppare, senza però innovare in maniera rivoluzionaria, i concetti già contemplati dal diritto UE che abbiamo illustrato (e infatti la Commissione dichiara esplicitamente che “la proposta conserva le norme relative alla responsabilità dei prestatori di servizi intermediari stabilite dalla direttiva sul commercio elettronico, che rappresentano ormai un fondamento dell’economia digitale e sono essenziali per la tutela dei diritti fondamentali online. Tali norme sono state interpretate dalla Corte di giustizia dell’Unione europea, che ha fornito chiarimenti e orientamenti preziosi”), ai quali vengono conferiti gli effetti tipici delle norme contenute in un regolamento (effetti diretti e prevalenza sul diritto interno incompatibile), con la conseguenza di eliminare distorsioni applicative nei vari Paesi e, quindi, rafforzarne la certezza.
La proposta, pur abrogando gli articoli da 12 a 15 della direttiva sul commercio elettronico, li riproduce, mantenendo le esenzioni dalla responsabilità per i prestatori, conformemente all’interpretazione già datane dalla Corte di giustizia, e continua così a distinguere tra i meri provider per così dire tradizionali, i quali cioè forniscono solo servizi di connettività e archiviazione e che quindi hanno scarse o nulle capacità di moderazione dei contenuti diffusi dai loro clienti, dai fornitori 2.0 di cui abbiamo detto che, invece, hanno capacità di conoscenza – e quindi di moderazione – ben più penetranti, e aggrava la responsabilità di questi ultimi.
Il DSA, poi, impone solo ai fornitori di quest’ultimo gruppo una serie di penetranti obblighi di rimozione rapida dei contenuti illegali – rendendo così vincolante quanto da molti di loro già volontariamente accettato con una serie di codici di condotta, in particolare quello relativo alla lotta ai discorsi d’odio di cui abbiamo detto, i cui obblighi però vengono applicati anche a fattispecie differenti – e vi aggiunge nuove responsabilità, tra cui quella di garantire alle istituzioni pubbliche la possibilità di sottoporre a un esame approfondito i loro dati interni, nonché l’obbligo di produrre annualmente un rapporto sullo stato di rischio dei loro servizi e di nominare un responsabile esterno e indipendente che verifichi il rispetto di tutte queste regole da parte loro. La graduazione degli oneri in funzione delle capacità dei singoli fornitori, oltre a rappresentare una incorporazione di orientamenti giurisprudenziali consolidati, peraltro, rappresenta un’applicazione del principio di proporzionalità.
Un altro passaggio del draft proposto dalla Commissione impone ai fornitori di servizi online l’obbligo di fornire ai loro utenti “informazioni significative” (anche se è poco chiaro cosa ciò stia a significare) sui meccanismi che regolano la pubblicità online e, in particolare, sugli algoritmi di profilazione che decidono in tempo reale quale specifica inserzione mostrare loro. Da quanto si legge, insomma, il regolamento DSA non pare ribaltare upside-down la regolamentazione UE della responsabilità dei fornitori di servizi online per i contenuti caricati dai loro utenti, quanto, più semplicemente, razionalizzarla nel rispetto di criteri e principi pregressi, di elaborazione prima giurisprudenziale e poi inseriti in misure normative già in vigore, come, ad esempio la già citata direttiva sul commercio elettronico o quella sul diritto d’autore nel mercato unico digitale.
4. Proviamo ora ad individuare, seppur per sommi capi, le linee di tendenza che si possono evidenziare nella proposta del DSA che abbiamo esaminato.
Innanzitutto, in considerazione del fatto che è altamente probabile che la stessa venga applicata (anche) a soggetti che non necessariamente saranno formalmente stabiliti sul territorio dell’Unione Europea, anche questa si caratterizza per una, almeno potenziale, applicazione extraterritoriale del diritto dell’Unione Europea o, come pure è stato efficacemente detto, di una forma di “territorial extension” (cfr. Scott).
Si tratta di una linea di tendenza che, a nostro parere, con riguardo al settore digitale, è stata inaugurata dal regolamento generale sulla protezione dei dati il cui articolo art. 3, par. 2 ne contempla l’applicabilità al trattamento dei dati personali di tutti gli individui interessati che si trovino nell’Unione, anche qualora effettuato da soggetti che non sono stabiliti nell’Unione, se tale trattamento riguarda: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione. Quest’ultima previsione, insomma, pare stia diventando una sorta di template normativo, spesso replicato, con i necessari adattamenti, in molti atti di regolamentazione del mercato unico digitale (come, ad esempio, già nel regolamento sui c.d. blocchi geografici, su cui ci permettiamo di rinviare a Ruotolo).
L’altra linea di tendenza che a nostro giudizio è individuabile nel complesso normativo esaminato è quella che vede l’UE disciplinare le responsabilità degli intermediari, prima ancora che mediante l’imposizione di obblighi materiali, cioè di contenuto sostanziale, attraverso norme di rito, cioè attraverso procedimenti, i quali poi, più o meno indirettamente, impattano su aspetti sostanziali (in senso analogo, se abbiamo ben inteso, già Pollicino). Si tratta, anche in questo caso, di una tendenza più generale, che è rintracciabile anche in altri atti di disciplina di fattispecie digitali. Peraltro, siffatta tecnica regolatoria risulta spesso accoppiata all’uso di strumenti giuridici non vincolanti (come i codici di autoregolamentazione di cui abbiamo detto) o comunque non riconducibili a fonti “formali”: si tratta di un modello che è stato rintracciato anche nell’ambito della letteratura relativa al c.d. informal international law (per un’analisi complessiva di queste tendenze ci permettiamo di rinviare a Ruotolo).
Dobbiamo però evidenziare come le brevi considerazioni qui sviluppate dovranno necessariamente essere riponderate alla luce del testo definitivo del DSA, la cui approvazione è prevista entro il 2023. La proposta, infatti, nel corso della procedura legislativa ordinaria potrebbe subire modifiche anche rilevanti (come è già avvenuto in passato, ad esempio con riguardo alla direttiva sul diritto d’autore e sui diritti connessi nel mercato unico digitale), in conseguenza di un dibattito molto acceso, tanto a livello istituzionale quanto di opinione pubblica: si pensi, ad esempio, agli interessi che potrebbero muovere Membri UE come il Lussemburgo o l’Irlanda, in cui risiedono molti degli “Over the Top”, o all’impatto che le misure proposte potrebbero avere sulla libertà d’espressione.
5. Passando ora velocemente al regolamento DMA, esso, avendo come obiettivo quello di rilanciare la competitività delle aziende europee in un settore dominato in larga misura da imprese statunitensi, va ad individuare le imprese c.d. gatekeeper: con questa espressione il regolamento fa riferimento a quelle imprese che godono di una particolare posizione di rilevanza e che, per questo, possono sollevare barriere all’ingresso di nuove aziende su un determinato mercato (si pensi ai mercati, distinti, del social networking, del cloud computing, della messaggistica, dello streaming, e così via…).
Secondo il progetto della Commissione saranno quindi considerate tali, in base a un criterio quantitativo, le imprese che in un anno fatturano in UE almeno 6,5 miliardi di euro o che hanno almeno 45 milioni di utenti tra i cittadini dell’Unione, nonché, con un criterio invece qualitativo, quelle, anche se di dimensioni minori, che detengono posizioni di particolare importanza su mercati specifici.
Tutte saranno soggette a regole “preventive”, volte a impedir loro di adottare comportamenti anticompetitivi: tali regole – e questa pare essere una delle innovazioni del pacchetto proposto, che però potrà essere valutata compiutamente solo dopo la sua approvazione definitiva – sono volte, ancor prima che a sanzionare ex-post le violazioni (le quali sono comunque possibili e sanzionabili autonomamente ai sensi delle relative norme previste dai Trattati), ad impedire preventivamente comportamenti anticoncorrenziali. I gatekeeper, infatti, non potranno promuovere esclusivamente i propri servizi o favorirli a discapito di quelli altrui, ciò che, invece, avviene attualmente: le aziende che gestiscono gli store di app saranno ad esempio obbligate a garantire la parità di trattamento ai prodotti dei concorrenti, anche consentendo l’utilizzo di sistemi di pagamento e di abbonamento diversi dai loro.
L’impianto punitivo proposto per la violazione di questi obblighi appare piuttosto severo, contemplando sanzioni una tanutm fino al 10% del fatturato mondiale dell’azienda responsabile e sanzioni periodiche fino al 5% del fatturato globale giornaliero, con il loro aggravamento in caso di recidiva. La disciplina in questione, tuttavia, rischia di andare a sommarsi alla possibilità che i medesimi comportamenti, siano sanzionati anche ex-post ai sensi del diritto antitrust: ciò potrebbe porre problemi di compatibilità con il divieto di bis in idem che trova, con riguardo alla tutela della concorrenza, una forma di applicazione più morbida rispetto a quanto non avvenga in materia penale (per una serrata critica a tale applicazione differenziata si vedano le Conclusioni presentate dall’Avvocato Generale Sharpston presentate nella causa C-467/04, Gasparini e le Conclusioni dell’Avvocato Generale Kokott nella causa C-17/10, Toshiba e a., punti 119 e 123; ricordiamo però che, ad oggi, la Corte ha confermato il suo orientamento; cfr. la sentenza del 3 aprile 2019 nella causa C‑617/17, Powszechny Zakład Ubezpieczeń na Życie S.A.). Sebbene, infatti, la Corte di giustizia abbia escluso che la doppia sanzione – per violazione delle norme antitrust nazionali ed UE – non violi il detto principio, nel caso di specie ci si troverebbe invece in presenza di una – quanto meno potenziale – applicazione di due sanzioni distinte, adottate entrambe in applicazione di norme di diritto UE, e in presenza dei requisiti stabiliti dalla stessa Corte per l’applicazione del principio del bis in idem nel contesto del diritto della concorrenza (identità di fatti, contravventore e interesse giuridico protetto; Nazzini).
No Comment