Stop alla pubblicità manipolativa e alla schedatura di minori in rete; bloccati i percorsi forzati che sviano verso scelte preferite dal venditore; obbligatorio tracciare chi vende ed essere cristallini sul perché, quando si fa una ricerca in rete, le risposte vengono fuori con un certo ordine anziché un altro.
Sono queste le più importanti prescrizioni dettate dal regolamento Ue n. 2022/2065 del 19 ottobre 2022, relativo al mercato unico dei servizi digitali (pubblicato sulla Guue del 27 ottobre 2022), noto anche come Digital Services Act (siglato Dsa). Gli interventi citati confermano che il quadro attuale è una giungla senza regole, per l’uscita dalla quale si procederà, peraltro, ancora con andamento lento.
Anche il regolamento 2022/2065, infatti, come molte fonti europee, ha un lunghissimo periodo di cosiddetta vacatio, visto che si applicherà dal 17 febbraio 2024, con la scommessa che per quella data non risulti già invecchiato.
Il rischio è forte, considerato che si tratta di disciplinare un aspetto della vita in costante evoluzione e cioè il mercato che si sviluppa sulla rete e nel mondo digitale. Sta di fatto che le pause dilatate prima che un blocco di norme diventi operativo sono rese necessarie per consentire ai singoli Stati europei di adeguare l’ordinamento interno a una fonte, in astratto, direttamente applicabile, ma, in concreto, condizionata ai provvedimenti attuativi da approvare stato per stato.
Vediamo, dunque, di approfondire gli istituti su cui l’Europa punta per diffondere maggiore fiducia nel mercato digitale.
Tracciare chi vende online. Se uno va al mercato desidera vedere chi vende e sapere con chi ha a che fare, non vuole essere né borseggiato né truffato e, nel caso avvenga, si aspetta di poter contare su autorità che intercettino e puniscano i colpevoli.
Sono le stesse richieste che valgono sul mercato digitale: l’ambiente online deve essere sicuro, affidabile e trasparente. È un vantaggio per tutti: consumatori, operatori commerciali concorrenti, titolari di diritti di proprietà intellettuale.
Lo strumento per assicurare questo obiettivo è la tracciabilità degli operatori commerciali (articolo 30 del Regolamento). A questo scopo il regolamento responsabilizza i gestori di piattaforme online.
Gli operatori commerciali devono dichiarare nome/denominazione, recapiti telefonici/elettronici, altri dati identificativi (numero registro imprese) e devono impegnarsi a offrire solo prodotti o servizi conformi alle norme applicabili del diritto dell’Unione.
Questo anche ai fini della promozione di messaggi o dell’offerta di prodotti per conto proprio o per conto di terzi.
Le piattaforme online dovranno conservare tutte le informazioni in modo sicuro per la durata del loro rapporto contrattuale con l’operatore commerciale e per i sei mesi successivi, al fine di consentire la presentazione di azioni contro l’operatore commerciale o l’esecuzione di ordini.
Per chi userà piattaforme a cavallo del 17 febbraio 2024 scatta un periodo di 12 mesi entro i quali le piattaforme devono adoperarsi per raccogliere queste informazioni.
Pubblicità online. Il regolamento dedica alcune disposizioni alla pubblicità, che online, più che altrove, è decisiva.
Si consideri, al riguardo, che molto spesso i servizi digitali sono apparentemente gratuiti per l’utente finale, ma sono pagati dalla loro disponibilità a ricevere messaggi commerciali da inserzionisti.
Per fare pulizia in questo settore, il regolamento (articolo 26) pretende che le piattaforme online forniscano informazioni personalizzate per far comprendere quando e per conto di chi è presentata la pubblicità.
Sono informazioni che devono essere di immediata percezione, anche attraverso contrassegni visivi o audio standard. Poi si deve sapere perché un certo messaggio è arrivato proprio a me: la trasparenza a carico delle piattaforme concerne la logica seguita e la struttura della etichettatura degli utenti.
Targeting. Il regolamento si ricorda anche del targeting (pubblicità mirata), che può giocare anche su
vulnerabilità e debolezze del consumatore. Si pensi a situazioni in cui si punta su persone malate o su persone che hanno determinati orientamenti (politici, sessuali, ecc.). Le persone vengono inserite in gruppi sotto determinate etichette, con la possibilità di abusivi utilizzi con tecniche di
manipolazione e con effetti discriminatori.
Ecco, allora, che torna sulla ribalta una regola già dedotta dal Garante della privacy italiano sotto la vigenza del vecchio codice della privacy: l’articolo 26 del Regolamento in esame prevede che i fornitori di piattaforme online non devono presentare inserzioni pubblicitarie basate sulla profilazione, utilizzando dati sensibili e le categorie speciali di dati personali (articolo 9, paragrafo 1, del regolamento Ue sulla privacy n. 2016/679, Gdpr).
È in una certa misura un déjà vu (si veda ad esempio la newsletter del Garante della privacy dell’11-17 dicembre 2000), ma non per questo meno necessario.
Ordine risposte. Il regolamento approfondisce un altro aspetto di cui è facile accorgersi quando si fanno ricerche online e cioè che l’ordine delle risposte non è casuale. Anzi, come spiegano le premesse all’articolato del regolamento, un elemento essenziale dell’attività di una piattaforma online consiste nel modo in cui le informazioni sono messe in ordine di priorità e presentate all’utente. Si usano algoritmi che, per il solo fatto di ordinare le informazioni in un certo modo (come mettere la merce su un certo ripiano dello scaffale del supermercato), influenzano chi ha fatto la ricerca.
L’ordine di presentazione amplifica determinati messaggi, ne determina la diffusione e sollecita il comportamento online.
Da questa constatazione parte l’obbligo (articolo 27) di rendere esplicito agli utenti in rete come sia determinato l’ordine delle risposte. La norma pretende che siano indicati chiaramente i parametri usati per costruire l’ordine di priorità.
Minori. Il tema è molto delicato e le scelte legislative non sempre sono coerenti con l’obiettivo declamato di tutela dei più vulnerabili.
Ad ogni modo, il regolamento (articolo 28) impone ai fornitori di piattaforme online utilizzate dai minori di età di adottare misure adeguate e proporzionate per proteggere questa fascia d’utenza. Il provvedimento in esame, ad esempio, impone alle piattaforme di progettare le loro interfacce online o parti di esse con il massimo livello di privacy, sicurezza e protezione per impostazione predefinita, anche aderendo a codici di condotta.
Inoltre, i fornitori di piattaforme online non devono presentare inserzioni pubblicitarie basate sulla profilazione utilizzando i dati personali del destinatario del servizio se sono consapevoli, con ragionevole certezza, che il destinatario del servizio è minore.
Fini qui la linea di elevata tutela per i minori. Subito dopo, però, il regolamento scrive una norma ambigua a proposito di come rilevare l’età dei minori. Nella premessa n. 71, infatti, si legge che non si devono incentivare i fornitori di piattaforme online a rilevare l’età del destinatario del servizio prima del loro utilizzo e, questo, in attuazione del divieto, per il fornitore della piattaforma online, di mantenere, acquisire o trattare un numero di dati personali superiore a quello di cui dispone già per valutare se il destinatario del servizio è un minore.
Smarcando gli scioglilingua, per evitare vuoti di tutela si deve ritenere che se una piattaforma è accessibile da minori deve essere organizzata, nei contenuti e nelle modalità di trattamento, come se tutti gli utenti sono minori; se, invece, è accessibile solo ad adulti, la piattaforma deve accertare l’età dell’utente.
Si deve ritenere, infine, che se occorre rilevare una certa età per l’accesso a un servizio così come per esprimere il consenso al trattamento dei dati da parte dei servizi della società dell’informazione, il dubbio su questo elemento rende illecito il trattamento.
Dark pattern. Il regolamento 2022/2065 si occupa dei dark pattern. Molti ne hanno avuto esperienza quando, navigando su una pagina di un sito e volendo scegliere una opzione più favorevole, non si trova il relativo bottone, magari scritto in piccolo o nascosto sotto strisce colorate o raggiungibile solo dopo innumerevoli passaggi che richiedono l’inserimento continuo di password e codici, finché, stanchi di cercare, si finisce per cliccare sull’opzione più favorevole all’editore del sito.
L’articolo 25 del Regolamento in esame mette alla sbarra i dark pattern sulle piattaforme online, visto che distorcono o compromettono la capacità dei destinatari del servizio di compiere scelte o decisioni autonome e informate.
Ai fornitori di piattaforme online, dunque, viene vietato di ingannare o esortare i destinatari del servizio e distorcere o limitare l’autonomia, il processo decisionale o la scelta per il solo fatto di come è stata realizzata la struttura, la progettazione o le funzionalità di un’interfaccia online.
Antonio Ciccia Messina, Italia Oggi Sette