Il safe harbor ex § 230 CDA per Youtube in caso di accessi abusivi frodatori ad account altrui

Interessante lite sull’applicabilità del § 230 CDA statunitense a Youtube per allegate violazioni informatiche a fini di frode in account altrui (tra cui quello di Steve Wozniak) .

E’ ora giunta la decisione del 6° appellate district 15 marzo 2024,  H050042
(Santa Clara County Super. Ct. No. 20CV370338), Wozniak e altri c. Youtube), che sostanzialmente conferma il rigetto del primo grado (lasciando aperta agli attori solo  una piccola finestra).

La fattispecie è interessante per l’operatore.  Gli attori avevano diligentemente cercato di aggirare il safe harbour, argomentando in vario modo che gli addebiti a Y. erano di fatti propri (cioè di Y.), anzichè di mera condotta editoriale di informazioni altrui (per cui opera il safe harbor). Ragioni che la corte (anzi gli attori) avevano raggruppato in sei categorie:

a. Negligent security claim

b. Negligent design claim

c. Negligent failure to warn claim

d. Claims based on knowingly selling and delivering scam ads and
scam video recommendations to vulnerable users

e. Claims based on wrongful disclosure and misuse of plaintiffs’
personal information

f. Claims based on defendants’ creation or development of
information materially contributing to scam ads and videos

Ma per la corte non si può arrivare a qualificarle come condotte proprie di Y.  ai sensi del § 230 CDA , ma solo dei terzi frodatori (sub ii Material contributions, 34 ss).

Concede però parziale Leave to amend, p. 36.

I profili allegati dagli attorei sono utili pure da noi, perchè il problema è sostanzialmente simile: quello del capire se le notizie lesive pubblicate possono dirsi solo del terzo oppure anche della piattaforma (art. 6 reg. UE DSA  2022/2065)

(notizia della e link alla sentenza dal blog di Eric Goldman)

Alcuni spunti sulla nuova (esenzione da) responsabilità europea degli internet provider per i materiali illeciti caricati dagli utenti (artt. 4-8 reg. 2022/2065 Digital Services Act)

Il reg. 2022/2065 del 19.10.2022 disciplina l’esimente delle piattaforme per i materiali illeciti degli utenti (oltre a imporre loro significativi obblighi in positivo, di cui ora non mi occupo).

Si tratta degli artt. 4-8 che sostituiscono gli artt. 12-15 della dir. 2000/31 (art. 89).

Riporto solo alcuni considrando. DA vedere -come sempre- se possano essere ritenuti tradotti in norme giuridiche, visto che per lo più nell’articolato non sono espressamente ripresi.

Fanno giustizia di tanti errori leggibili in dottrina e giurisprudenza sul tema.

<< (17) Le norme sulla responsabilità dei prestatori di servizi intermediari stabilite nel presente regolamento dovrebbero limitarsi a stabilire i casi in cui il prestatore di servizi intermediari interessato non può essere ritenuto responsabile in relazione ai contenuti illegali forniti dai destinatari del servizio. Tali norme non dovrebbero essere intese come una base per stabilire quando un prestatore può essere ritenuto responsabile, circostanza che deve essere determinata in base alle norme applicabili del diritto dell’Unione o nazionale. Le esenzioni dalla responsabilità stabilite nel presente regolamento dovrebbero inoltre applicarsi in relazione a qualsiasi tipo di responsabilità per qualsiasi tipo di contenuto illegale, indipendentemente dall’oggetto preciso o dalla natura esatta di tali leggi.

(18) Le esenzioni dalla responsabilità stabilite nel presente regolamento non dovrebbero applicarsi allorché, anziché limitarsi a una fornitura neutra dei servizi mediante un trattamento puramente tecnico e automatico delle informazioni fornite dal destinatario del servizio, il prestatore di servizi intermediari svolga un ruolo attivo atto a conferirgli la conoscenza o il controllo di tali informazioni. Tali esenzioni non dovrebbero di conseguenza essere disponibili per quanto riguarda la responsabilità relativa alle informazioni fornite non dal destinatario del servizio ma dallo stesso prestatore del servizio intermediario, anche nel caso di informazioni elaborate sotto la responsabilità editoriale di tale prestatore>>.

<< (22) Al fine di beneficiare dell’esenzione dalla responsabilità per i servizi di memorizzazione di informazioni, il prestatore dovrebbe agire immediatamente per rimuovere le attività illegali o i contenuti illegali o per disabilitare l’accesso agli stessi non appena ne venga effettivamente a conoscenza o ne divenga consapevole. La rimozione dei contenuti o la disabilitazione dell’accesso agli stessi dovrebbe essere effettuata nel rispetto dei diritti fondamentali dei destinatari del servizio, ivi compreso il diritto alla libertà di espressione e di informazione. Il prestatore può effettivamente acquisire tale conoscenza o consapevolezza della natura illegale del contenuto, tra l’altro, mediante indagini volontarie o mediante segnalazioni presentategli da persone o enti conformemente al presente regolamento, nella misura in cui tali segnalazioni sono così sufficientemente precise e adeguatamente motivate da consentire a un operatore economico diligente di individuare ragionevolmente, valutare e, se del caso, contrastare i presunti contenuti illegali. Tuttavia, tale conoscenza o consapevolezza effettiva non può essere considerata acquisita per il solo motivo che tale prestatore è consapevole, in senso generale, del fatto che il suo servizio è utilizzato anche per memorizzare contenuti illegali. Inoltre, la circostanza che il prestatore proceda a un’indicizzazione automatizzata delle informazioni caricate sul suo servizio, che il servizio contenga una funzione di ricerca o che consigli le informazioni in funzione del profilo o delle preferenze dei destinatari del servizio non è un motivo sufficiente per considerare che il prestatore abbia una conoscenza «specifica» di attività illegali realizzate sulla medesima piattaforma o di contenuti illegali ivi memorizzati.>> [il più importante; inspoiegabilm ente omesso nell’articolato nonostanteforti  incertezze dottrinali e sopratuttto giurisrpudenziali ]

<< (26) Al fine di garantire la certezza del diritto e non scoraggiare le attività volte a individuare, identificare e contrastare i contenuti illegali che i prestatori di tutte le categorie di servizi intermediari intraprendano su base volontaria, è opportuno chiarire che il semplice fatto che i prestatori intraprendano tali attività non comporta il venir meno delle esenzioni dalla responsabilità stabilite nel presente regolamento, purché tali attività siano svolte in buona fede e in modo diligente. La condizione di agire in buona fede e in modo diligente dovrebbe includere l’agire in modo obiettivo, non discriminatorio e proporzionato, tenendo debitamente conto dei diritti e degli interessi legittimi di tutte le parti coinvolte e fornendo le necessarie garanzie contro la rimozione ingiustificata di contenuti legali, conformemente agli obiettivi e alle prescrizioni del presente regolamento>>.

<< (28) … A tale riguardo è opportuno ricordare che anche i prestatori di servizi che stabiliscono e agevolano l’architettura logica di base e il corretto funzionamento di internet, comprese le funzioni tecniche ausiliarie, possono beneficiare delle esenzioni dalla responsabilità stabilite nel presente regolamento, nella misura in cui i loro servizi si qualificano come semplice trasporto, memorizzazione temporanea o memorizzazione di informazioni. Tali servizi comprendono, a seconda dei casi, reti locali senza fili, servizi di sistema dei nomi di dominio (domain name system — DNS), registri dei nomi di dominio di primo livello, registrar, autorità di certificazione che rilasciano certificati digitali, reti private virtuali, motori di ricerca online, servizi di infrastrutture cloud o reti per la diffusione di contenuti che abilitano, localizzano o migliorano le funzioni di altri prestatori di servizi intermediari. Analogamente, i servizi utilizzati per le comunicazioni e i mezzi tecnici attraverso i quali vengono forniti hanno subito una notevole evoluzione, dando luogo a servizi online come il Voice over IP, i servizi di messaggistica e i servizi di posta elettronica basati sul web, in cui la comunicazione avviene tramite un servizio di accesso a internet. Anche tali servizi possono beneficiare delle esenzioni dalla responsabilità, nella misura in cui si qualificano come servizi di semplice trasporto, memorizzazione temporanea o memorizzazione di informazioni>>.

Utili indicazioni classificatorie, infine, nel § 29 : <<I servizi intermediari abbracciano una vasta gamma di attività economiche che si svolgono online e che evolvono costantemente per consentire una trasmissione di informazioni rapida, sicura e protetta nonché per garantire la comodità di tutti i partecipanti all’ecosistema online. A titolo di esempio, i servizi intermediari di semplice trasporto includono categorie generiche di servizi quali i punti di interscambio internet, i punti di accesso senza fili, le reti private virtuali, i risolutori e servizi di DNS, i registri dei nomi di dominio di primo livello, i registrar, le autorità di certificazione che rilasciano certificati digitali, il Voice over IP e altri servizi di comunicazione interpersonale, mentre esempi generici di servizi intermediari di memorizzazione temporanea includono la sola fornitura di reti per la diffusione di contenuti, proxy inversi o proxy di adattamento dei contenuti. Tali servizi sono fondamentali per garantire una trasmissione fluida ed efficiente delle informazioni fornite su internet. Esempi di «servizi di memorizzazione di informazioni» (hosting) includono categorie di servizi quali nuvola informatica, memorizzazione di informazioni di siti web, servizi di referenziazione a pagamento o servizi che consentono la condivisione di informazioni e contenuti online, compresa la condivisione e memorizzazione di file. I servizi intermediari possono essere prestati isolatamente, nel quadro di un altro tipo di servizio intermediario o simultaneamente ad altri servizi intermediari. I fattori che definiscono un servizio specifico come un servizio semplice trasporto, di memorizzazione temporanea o di memorizzazione di informazioni dipendono unicamente dalle funzionalità tecniche, che potrebbero evolvere nel tempo, e dovrebbero essere valutati caso per caso.>>

Safe harbour ex § 230 CDA per piattaforma che verifica malamente l’identità dell’utente, poi autore dell’illecito?

Dice di si la corte del District of Colorado, Case 1:22-cv-00899-MEH , del 5 dicembre 2022, Roland ed altri c. Letgo+2.

Si tratta di azione contro una piattaforma di scambi di annunci di compravendita (Letgo), basata sul fatto che  la stessa non aveva controllato l’identità di un venditore: il quale aveva postato un annuncio fasullo per poi rapinare il potenziale acquirente (incontro poi conclusosi tragicamente per quet’ultimo).

Circa il § 230.c.1 del  CDA, la piattaforma è di certo internet  provider.

Che sia trattata come publisher o speaker è altretanto certo, anche se la corte si dilunga un pò di più.

Il punto difficile è se fosse o meno un <content privider>, dato che in linea di principio l’annuncio era del suo utente.

Per la corte la piattaforma era in parte anche contentt priovider.

Bisogna allora capire il fatto: centrale è l’attività di verifica dell’utente/venditore.

< Letgo provides a website and mobile application allowing users to “buy from, sell to and
chat with others locally.” Amended Complaint (“Am. Compl.”) at ¶ 21. It advertises a “verified
user” feature. Id. ¶ 23. On its website, Letgo explains that it utilizes “machine learning” to identify
and block inappropriate content (such as stolen merchandise) and continues to work closely with
local law enforcement to ensure the “trust and safety of the tens of millions of people who use
Letgo.”
Id. OfferUp merged with Letgo on or around August 31, 2020. Id. ¶ 26.
To access its “marketplace,” Letgo requires that its consumers create a Letgo account.
Id.
¶ 27. Each new account must provide a name (the truthfulness of which Letgo does not verify) and
an active email address.
Id. Once a new Letgo account is created, the user is given an individual
“user profile.”
Id. at ¶ 28. Each new user is then given an opportunity to and is encouraged to
“verify” their “user profile.”
Id. Once a user is “verified,” the term “VERIFIED WITH” appears
on their profile (in this case, Brown verified with a functioning email address).
Id. ¶¶ 29-30.1 Letgo
performs no background check or other verification process.
Id. Once created, a Letgo user’s
account profile is viewable and accessible to any other Letgo user.
Id. ¶ 31. Letgo buyers and
sellers are then encouraged to connect with other users solely through Letgo’s app.
Id. Letgo’s
advertising and marketing policies prohibit selling stolen merchandise.
Id. 32. Furthermore, the
app promotes its “anti-fraud technology” to help detect signs of possible scams based on keyword
usage.
Id. >

ciò è dufficiente per ritenerlo cotnent priovioder e negarre alla piattaforma il safe harour.

< The singular item of information relevant here is the “verified” designation, and factually,
it appears to be a product of input from both Letgo and its users. It seems from the record that
simply providing a telephone number to Letgo is not sufficient to earn the “verified” designation.
At oral argument, Defendants acknowledged that when someone wants to create an account, he
must provide, in this case, a functioning telephone number, whereupon Letgo sends a
communication to that telephone number (an SMS text) to confirm that it really exists, then informs
users that the person offering something for sale has gone through at least some modicum of
verification. Thus, the argument can be made that Plaintiffs’ claims do not rely solely on thirdparty content.
Defendants say Letgo merely created a forum for users to develop and exchange their own
information, and the “verified” designation, relying solely on the existence of a working email
address or telephone number, did not transform Letgo into a content provider. Mot. at 14. “If [a
website] passively displays content that is created entirely by third parties, then it is only a service
provider with respect to that content. But as to content that it creates itself . . . the website is also
a content provider.”
Roommates.Com, LLC, 521 F.3d at 1162. I do not find in the existing caselaw
any easy answer. (….) In the final analysis under the CDA, I find under Accusearch Inc. that Plaintiffs have
sufficiently pleaded, for a motion under Rule 12(b)(6), that Defendants contributed in part to the
allegedly offending “verified” representation. Therefore, as this stage in the case, Defendants are
not entitled to immunity under the statute. Whether this claim could withstand a motion for
summary judgment, of course, is not before me 
>

Nonostante neghi il safe harbour alla piattaforma, accoglie però le difese di questa rigettando la domanda.

Analoga disposizione non esiste nel diritto UE e ciò anche dopo il Digital Services Act (Reg. UE 2022/2065 del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali))

(notizia e link alla sentenza dal blog del prof Eric Goldman)

E’ in gazzetta UE il regolamento sulla responsabilità dei provider (DSA Digital Services Act)

E’ oggi in GUCE n° L 277 del 27 ottobre 2022 il regolamento 2065 del 19 ottobre 2022 sull’oggetto.

Qui incollo solo gli artt. 4-8 riproducenti quelli aboliti della dir. c.d. e-commerce 2000 n. 31 (spicca però l’art. 7 sulle indagini volontarie):

<< Articolo 4    Semplice trasporto
1. Nella prestazione di un servizio della società dell’informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio o nel fornire un accesso a una rete di comunicazione, il prestatore del servizio non è responsabile delle informazioni trasmesse o a cui si è avuto accesso a condizione che:
a) non dia origine alla trasmissione;
b) non selezioni il destinatario della trasmissione; e
c) non selezioni né modifichi le informazioni trasmesse.
2. Le attività di trasmissione e di fornitura di accesso di cui al paragrafo 1 includono la memorizzazione automatica, intermedia e transitoria delle informazioni trasmesse, a condizione che questa serva solo alla trasmissione sulla rete di comunicazione e che la sua durata non ecceda il tempo ragionevolmente necessario a tale scopo.
3. Il presente articolo lascia impregiudicata la possibilità, conformemente all’ordinamento giuridico dello Stato membro, che un’autorità giudiziaria o amministrativa esiga che il prestatore del servizio impedisca o ponga fine a una violazione.

Articolo 5    Memorizzazione temporanea
1. Nella prestazione di un servizio della società dell’informazione consistente nel trasmettere, su una rete di comunicazione, informazioni fornite da un destinatario del servizio, il prestatore non è responsabile della memorizzazione automatica, intermedia e temporanea di tali informazioni effettuata al solo scopo di rendere più efficiente o più sicuro il successivo inoltro delle informazioni ad altri destinatari del servizio su loro richiesta, a condizione che detto prestatore:
a) non modifichi le informazioni;
b) si conformi alle condizioni di accesso alle informazioni;
c) si conformi alle norme sull’aggiornamento delle informazioni, indicate in un modo ampiamente riconosciuto e utilizzato dalle imprese del settore;
d) non interferisca con l’uso lecito di tecnologia ampiamente riconosciuta e utilizzata nel settore per ottenere dati sull’impiego delle informazioni; e
e) agisca prontamente per rimuovere le informazioni che ha memorizzato, o per disabilitare l’accesso alle stesse, non appena venga effettivamente a conoscenza del fatto che le informazioni all’origine della trasmissione sono state rimosse dalla rete o che l’accesso alle informazioni è stato disabilitato, oppure che un organo giurisdizionale o un’autorità amministrativa ha ordinato la disabilitazione dell’accesso a tali informazioni o ne ha disposto la rimozione.
2. Il presente articolo lascia impregiudicata la possibilità, conformemente all’ordinamento giuridico dello Stato membro, che un’autorità giudiziaria o amministrativa esiga che il prestatore del servizio impedisca o ponga fine a una violazione.

Articolo 6    Memorizzazione di informazioni
1. Nella prestazione di un servizio della società dell’informazione consistente nella memorizzazione di informazioni fornite da un destinatario del servizio, il prestatore del servizio non è responsabile delle informazioni memorizzate su richiesta di un destinatario del servizio, a condizione che detto prestatore:
a) non sia effettivamente a conoscenza delle attività o dei contenuti illegali e, per quanto attiene a domande risarcitorie, non sia consapevole di fatti o circostanze che rendono manifesta l’illegalità dell’attività o dei contenuti; oppure
b) non appena venga a conoscenza di tali attività o contenuti illegali o divenga consapevole di tali fatti o circostanze, agisca immediatamente per rimuovere i contenuti illegali o per disabilitare l’accesso agli stessi.
2. Il paragrafo 1 non si applica se il destinatario del servizio agisce sotto l’autorità o il controllo del prestatore.
3. Il paragrafo 1 non si applica in relazione alla responsabilità prevista dalla normativa in materia di protezione dei consumatori per le piattaforme online che consentono ai consumatori di concludere contratti a distanza con operatori commerciali, qualora tali piattaforme online presentino informazioni specifiche o rendano altrimenti possibile l’operazione specifica in questione in modo tale da indurre un consumatore medio a ritenere che le informazioni, o il prodotto o il servizio oggetto dell’operazione, siano forniti dalla piattaforma stessa o da un destinatario del servizio che agisce sotto la sua autorità o il suo controllo.
4. Il presente articolo lascia impregiudicata la possibilità, conformemente all’ordinamento giuridico dello Stato membro, che un’autorità giudiziaria o amministrativa esiga che il prestatore del servizio impedisca o ponga fine a una violazione.

Articolo 7    Indagini volontarie promosse di propria iniziativa e rispetto degli obblighi normativi
I prestatori di servizi intermediari non sono considerati inammissibili all’esenzione dalla responsabilità prevista agli articoli 4, 5 e 6 per il solo fatto di svolgere, in buona fede e in modo diligente, indagini volontarie di propria iniziativa o di adottare altre misure volte a individuare, identificare e rimuovere contenuti illegali o a disabilitare l’accesso agli stessi, o di adottare le misure necessarie per conformarsi alle prescrizioni del diritto dell’Unione e del diritto nazionale conforme al diritto dell’Unione, comprese le prescrizioni stabilite nel presente regolamento.

Articolo 8    Assenza di obblighi generali di sorveglianza o di accertamento attivo dei fatti
Ai prestatori di servizi intermediari non è imposto alcun obbligo generale di sorveglianza sulle informazioni che tali prestatori trasmettono o memorizzano, né di accertare attivamente fatti o circostanze che indichino la presenza di attività illegali>>.

Di immediata impatto poi l’art. 9 “Ordini di contrastare i contenuti illegali” e l’art. 10 “Ordini di fornire informazioni”.

C’è da lavorare per l’aggiornamento.

E’ un regolamento, quindi self executing: le eventuali disposizioni incompatibili con il d. lgs. 70 del 2003 determineranno la loro abrogazione.

Si applicherà dal 17 febraio 2024. Termine un pò troppo lungo.

Disciplina speciale UE in arrivo per i provider “to prevent and combat child sexual abuse”

La Commissione UE l’11 maggio 2022 ha proposto un regolamento contenente  <<rules to prevent and combat child sexual abuse>> COM(2022) 209 final – 2022/0155 (COD): qui la pagina e qui il link diretto al testo .

Segnalo solo la parte relativa agli obblighi per i provider (capitolo II “OBLIGATIONS OF PROVIDERS OF RELEVANT INFORMATION SOCIETY SERVICES TO PREVENT AND COMBAT ONLINE CHILD SEXUAL ABUSE”); la loro individuazione (campo soggettivo di applicazione) rinvia largamente al digital services act (v. la  bozza)

  • dovranno i) fornire un risk assessment e ii) adottare misure di loro contenimento. Le seconde dovranno rispondere ai requisiti (fumosi) dell’art. 4.2
  • obblighi di indagine/ispezione, art. 10: <<Providers of hosting services and providers of interpersonal communication services that have received a detection order shall execute it by installing and operating technologies to detect the dissemination of known or new child sexual abuse material or the solicitation of children, as applicable, using the corresponding indicators provided by the EU Centre in accordance with Article 46. 2. The provider shall be entitled to acquire, install and operate, free of charge, technologies made available by the EU Centre in accordance with Article 50(1), for the sole purpose of executing the detection order. The provider shall not be required to use any specific technology, including those made available by the EU Centre, as long as the requirements set out in this Article are met. The use of the technologies made available by the EU Centre shall not affect the responsibility of the provider to comply with those requirements and for any decisions it may take in connection to or as a result of the use of the technologies.>>
  • gravosi i conseguenti doveri precisati al § 4 , art. 10:<<The provider shall:(a) take all the necessary measures to ensure that the technologies and indicators,as well as the processing of personal data and other data in connection thereto,are used for the sole purpose of detecting the dissemination of known or newchild sexual abuse material or the solicitation of children, as applicable, insofaras strictly necessary to execute the detection orders addressed to them;(b) establish effective internal procedures to prevent and, where necessary, detectand remedy any misuse of the technologies, indicators and personal data andother data referred to in point (a), including unauthorized access to, andunauthorised transfers of, such personal data and other data;(c) ensure regular human oversight as necessary to ensure that the technologiesoperate in a sufficiently reliable manner and, where necessary, in particularwhen potential errors and potential solicitation of children are detected, humanintervention;  d) establish and operate an accessible, age-appropriate and user-friendlymechanism that allows users to submit to it, within a reasonable timeframe,complaints about alleged infringements of its obligations under this Section, aswell as any decisions that the provider may have taken in relation to the use ofthe technologies, including the removal or disabling of access to materialprovided by users, blocking the users’ accounts or suspending or terminatingthe provision of the service to the users, and process such complaints in anobjective, effective and timely manner;(e) inform the Coordinating Authority, at the latest one month before the start datespecified in the detection order, on the implementation of the envisagedmeasures set out in the implementation plan referred to in Article 7(3);(f) regularly review the functioning of the measures referred to in points (a), (b),(c) and (d) of this paragraph and adjust them where necessary to ensure that the requirements set out therein are met, as well as document the review processand the outcomes thereof and include that information in the report referred to in Article 9(3)>>
  • reporting: sono indicati i dettagli del relativo dovere all’art. 13
  • doveri di rimozione entro 24 ore, art. 14: <<remove or disable access in all Member States of one or more specific items of material >> (notare l’oggteto: specific items)
  • doveri di bloccaggio, art. 16 (articolo importante, come comprensibile, prob. il più imporante assieme a quelli di indagine e di rimozione): << take reasonable measures to prevent users from accessing known child sexual abuse material indicated by all uniform resource locators on the list of uniform resource locators included in the database of indicators [ex art. 44]>>, c.1 (annosa questione del grado di precisione nell’indicazione dei siti).
  • responsabilità, art. 19: Providers of relevant information society services shall not be liable for child sexual abuse offences solely because they carry out, in good faith, the necessary activities to comply with the requirements of this Regulation, in particular activities aimed at detecting, identifying, removing, disabling of access to, blocking or reporting online child sexual abuse in accordance with those requirements.

Precisaizone praticamente utile , avendo alcuni ipotizzato che il cercare di prevenire eliminerebbe la possibilità di dire <non sapevo>. Teoricamente però inutile sia perchè si tratta di adempimento di dovere giudirico , sia perchè non c’è alcun concorso colposo nell’illecito (hosting di materiale vietato) se si adottano strategie informatiche di contrasto che richiedono magari un certo tempo per la implementazione e l’affinamento.

  • grosso problema sarà quello dei costi attuativi per i provider di minori dimensioni. 

Finalmente la bozza delle modifiche europee alla regolamentazione dei servizi digitali

la Commissione UE a dicembre 2020 ha fatto circolare la bozza di legislazione sui servizi digitali nota come Digital Services Act , che modifica anche la Direttiva sul commercio elettronico (n 31 del 2000 da noi attuata con il decreto legislativo 70 del 2003).

Si tratta di Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Single Market For Digital Services (Digital Services Act) and amending Directive 2000/31/EC,  del 15 dicembre 2020, COM(2020) 825 final  – 2020/0361(COD) .

Ora è tradotta in italiano col nome di <legge sui servizi digitali>.

L’atto è complesso e non vale la pena qui di esaminarlo in dettaglio, dovendo superare lo scoglio del Consiglio e del Parlamento (ove saranno possibili diverse modifiche , come l’esperienza insegna).

Accenno brevemente alle disposizioni che sembrano più significative ad oggi. E’ utile leggere pure l’EXPLANATORY MEMORANDUM iniziale e ad es. qui il rapporto con le altre leggi europee (Consistency with other Union policies)

Va tenuto conto che questo strumento normativo è stato presentato contemporaneamente ad un’altro , il  regolamento sui profili concorrenziali delle piattaforme, detto Digital Markets Act

Il cap. 1 contiene soprattutto definizioni.

Il capitolo 2 è quello che qui interessa maggiormente. Riguarda la responsabilità dei fornitori di servizi internet , articoli 3 e seguenti.  Rimane la tripartizione passata.

Resta uguale la disciplina del mere conduit provider e del caching prpovider, articoli 3/4

Cambia invece un pò (non ci sono però stravolgimenti) quella circa l’hosting. provider. Ad es.  il safe harbour non si applica, quando la piattaforma fa apparire di essere non un mero fornitore di hosting bensì’ il fornitore diretto dell’informazione sub iudice: <<Paragraph 1 shall not apply with respect to liability under consumer protection law of online platforms allowing consumers to conclude distance contracts with traders, where such an online platform presents the specific item of information or otherwise enables the specific transaction at issue in a way that would lead an average and reasonably well-informed consumer to believe that the information, or the product or service that is the object of the transaction, is provided either by the online platform itself or by a recipient of the service who is acting under its authority or control.>>, art.  5 paragrafo 3 (novità assai significativa).

Importante  è pu re l’articolo 6:  il fatto di portare avanti indagini volontarie non fa venir meno necessariamente il safe harbor

Rimane il divieto di imporre obblighi generali di monitoraggio:  la norma appare sostanzialmente invariata (art. 7)

Nell’articolo 8 viene specificato l’ex paragrafo 2 dell’articolo 15 cioè l’assoggettaabilità ad injunction.

Qui ad esempio la particolarità è che la denuncia la richiesta dell’autorità deve concernere un elemento specifico (specific item) a  contenuto illecito. La disciplina viene inoltre arricchita in vario modo (v. paragrafo 2).

La disciplina viene ulteriormente integrata dall’articolo 9 il quale a differenza dell’articolo 8 riguardo a un ingiunzione di fornire informazioni (mentre l’articolo 8 riguardava un ingiunzione per agire contro illegalità). Anche qui si richiede uno specific item , anche se muta l’oggetto: non è più per un oggetto illegale ma è riferito a soggetti (gli utenti dell piattaforma, gli uploaders).

il capitolo III sezione 1, artt. 10 ss. impone una disciplina organizzativa a carico di tutte le piattaforme: vengono imposti l’istituzione di un point of contact, doveri di  trasparenza nel reporting , eccetera

Iel capo III sezione II viene (finalmente!) regolato il meccanismo di notice And Take down con una certa analiticità (articoli 14 e 15)

Ci sono altre disposizioni importanti : ad es. l’esenzione per le imprese micro e piccole (individuate con rinvio all’allegato della  Raccomandazione 2003/361/EC).

Interessante poi l’articolo 19 sui trusted flagger,  che dà priorità alle segnalazione provenienti da questi soggetti particolarmente credibili (trusted flagger appunto, le cui caratteristiche sono indicate al § 2).

E poi previsto il dovere di sospensione per i violatori frequenti , articolo 20, e uno per la notificazione di sospetti di violazioni penali , articolo 21.

E’ posto un obbligo di tracciabilità delle informazioni per i contratti conclusi tramite la piattaforma -articolo 22- e un altro addizionale di trasparenza , ex articolo 23

Ci sono doveri speciali per le very large online platforms . Queste sono quelle con utenti mensili pari/maggiori di 45 milioni (sono ad es. tenute ad eseguire un Risk Assessment , articolo 26). Queste dovranno anche adottare delle misure di mitigation of Risk secondo l’articolo 27 e avranno doveri addizionali (tipo Independent Audit ed altri ancora)

Il capitolo 4 concerne l’enforcement , comprensivo pure di una regola sulla giurisdizione , articolo 40

E’  creata la figura dei cosiddetti Digital Services Coordinators cioè l’Autorità che in ogni Stato sovrintenderà l’attuazione della normativa. I poteri di questi Digital Services coordinators sono indicati  nell’articolo 41

Viene istituito uno un Board indipendente per i servizi digitali (articolo 42) , sostanzialmente per un migliore applicazione del regolamento

La successiva sezione 3 del cap. 4 (art. 50 segg.)  disciplina le conseguenze in caso di violazioni da parte delle very large online platforms (di cui al cit. art. 25).

Infine, il regolamento abroga gli articoli 12-15 della direttiva 2000/31, cit. all’inizio.