Relazione del RODO con la Legge sui servizi digitali

1. DSA e RODO – stato delle relazioni: “è complicato”.

Negli ultimi mesi molte aziende di e-commerce hanno implementato il regolamento UE – la Legge sui Servizi Digitali (DSA) – nelle loro organizzazioni.

È importante ricordare che l’DSA non opera nel vuoto. Oltre ad essa, gli imprenditori del commercio elettronico devono tenere conto di altre normative da rispettare per essere pienamente conformi. Una di queste è proprio il RODO. Si può persino azzardare a dire che l’DSA non sarà attuato correttamente se prima non è stato implementato il RODO nell’organizzazione.

Il regolamento DSA, nel suo contenuto, indica come si relaziona con RODO. In generale, l’DSA non è influenzato dai regolamenti dell’UE sulla protezione dei dati (cioè principalmente dal RODO). A questo punto, un avvocato userà l’espressione che il RODO è la lex specialis dell’DSA. Ciò significa che le disposizioni del RODO sono specifiche rispetto a quelle dell’DSA. La Legge sui servizi digitali è solo complementare alle norme del RODO.

Di seguito sono riportate alcune aree in cui il RODO dovrebbe essere tenuto in considerazione quando si implementa l’DSA in un’organizzazione.

2. RODO e modelli scuri

Un esempio è il divieto di modelli oscuri – “interfacce ingannevoli”. Ai sensi dell’articolo 25, paragrafo 1, dell’DSA, i fornitori di piattaforme online non possono progettare, organizzare o gestire le loro interfacce online in modo da indurre in errore o manipolare i destinatari del servizio o da interferire materialmente con la capacità dei destinatari del servizio di prendere decisioni libere e informate. È importante notare che questo regolamento si applica quando non si applicano le disposizioni del RODO e della direttiva sulle pratiche di mercato sleali. Che cosa significa? Anche se il fornitore di una piattaforma online utilizza modelli oscuri, occorre innanzitutto stabilire se non sono collegati alla raccolta o al trattamento di dati personali o se sono rivolti ai consumatori. Se non si verifica nessuna delle due situazioni, si deve ricorrere al regolamento DSA.

Pertanto, il RODO rimane più rilevante dell’DSA quando si tratta di combattere i modelli oscuri. In questo contesto è importante prestare attenzione, tra l’altro, alle Linee guida 3/2022 del Comitato europeo per la protezione dei dati (Linee guida 3/2022 sui modelli di progettazione ingannevoli nelle interfacce delle piattaforme di social media: come riconoscerli ed evitarli, adottate il 14.2.2023 (versione 2.0)).

3. RODO e profilazione

Un’area a cui l’DSA ha prestato particolare attenzione è la questione della presentazione di pubblicità basata sulla profilazione dei dati personali.

Che cos’è la profilazione? Ai sensi del RODO, si tratta di qualsiasi forma di trattamento automatizzato di dati personali che implica l’uso di dati personali per valutare determinati fattori personali di un individuo, in particolare per analizzare o prevedere aspetti relativi al rendimento, alla situazione economica, alla salute, alle preferenze personali, agli interessi, all’affidabilità, al comportamento, all’ubicazione o agli spostamenti di tale individuo.

Il regolamento DSA si occupa principalmente della profilazione nel caso dei fornitori di piattaforme online.

In primo luogo, i fornitori di piattaforme online non possono presentare ai destinatari dei servizi annunci pubblicitari basati sulla profilazione utilizzando categorie particolari di dati personali. Cosa sono queste “categorie particolari di dati”, che vengono anche chiamate “dati sensibili”? Il RODO indica che si tratta di dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale e i dati genetici, i dati biometrici per identificare in modo univoco una persona fisica o i dati relativi alla salute, alla sessualità o all’orientamento sessuale di una persona.

In secondo luogo, i fornitori di piattaforme online non possono presentare sulla loro interfaccia pubblicità basata sulla profilazione utilizzando i dati personali (non solo quelli sensibili!) del destinatario del servizio se sanno con sufficiente certezza che il destinatario del servizio è un minore.

In terzo luogo, i fornitori di piattaforme online molto grandi e di motori di ricerca molto grandi che utilizzano sistemi di raccomandazione (maggiori informazioni a questo link) devono fornire almeno un’opzione per ciascuno dei loro sistemi di raccomandazione che non sia basata sulla profilazione.

4. RODO e protezione dei minori

Un’altra area dell’DSA in cui la conoscenza del RODO è necessaria per la sua attuazione è la questione della protezione dei minori (dal punto di vista dell’DSA, i minori di 18 anni). Sopra ho menzionato il divieto di presentare ai minori pubblicità basata sulla profilazione utilizzando dati personali. Di seguito è riportato un altro obbligo.

I fornitori di piattaforme online accessibili ai minori devono mettere in atto misure adeguate e proporzionate per garantire un elevato livello di privacy, sicurezza e protezione dei minori nei servizi che forniscono. Si tratta di un approccio simile al modello privacy by design e privacy by default introdotto nel RODO. In altre parole, quando si mettono in atto misure adeguate per garantire la privacy, la sicurezza e la protezione dei minori, è necessario attingere all’acquis del RODO a questo proposito, in particolare nel contesto degli articoli 25 e 34 di tale regolamento. È inoltre importante avvalersi degli orientamenti elaborati sia dall’EROD (ad esempio, il documento 5/2020 sul consenso ai sensi del Regolamento 2016/679) sia dalle autorità di controllo dei singoli Stati membri dell’Unione europea (ad esempio, “The Fundamentals for a Child-Oriented Approach to Data Processing”, elaborato dalla Commissione irlandese per la protezione dei dati).

5. Sintesi

Questi sono solo alcuni esempi che illustrano l’importanza del RODO dal punto di vista dell’DSA. L’implementazione del Digital Services Act in un’organizzazione non sarà completa se prima non si è proceduto a un’adeguata implementazione del RODO. Ciò significa che per ogni azienda di e-commerce vale già la pena di verificare la validità delle proprie soluzioni nel contesto della protezione dei dati.