Skip to main content
LEWIS

Di

TEAM LEWIS

Pubblicato il

Febbraio 22, 2024

Nel primo episodio della seconda stagione di Una Cosa Al Volo, parliamo con l'avvocata Costanza De Porcellinis, partner dello studio legale FPB Legal, di Privacy Digitale, del caro vecchio GDPR e del nuovissimo Digital Service Act.


Ascolta il 1 episodio della 2 stagione

Se vuoi lasciarci un commento scrivici a [email protected]
Per ascoltare tutti gli episodi, visita la pagina Una Cosa Al Volo.

Avv. Costanza De Porcellinis, FPB Legal

L’avvocata Costanza De Porcellinis è equity partner di Ferrari-Pedeferri-Boni Studio Legale Associato (FPB Legal). Costanza opera nel campo del diritto commerciale e del diritto d’impresa e ha sviluppato negli anni una competenza specifica nella privacy e nel trattamento dei dati personali, nel diritto e nella gestione dei servizi e dei contenuti digitali e nelle materie del diritto delle nuove tecnologie (ad esempio, blockchain, internet of things, intelligenza artificiale). In particolare, presta assistenza e consulenza legale a favore di acceleratori di startup e PMI innovative, operanti nel settore digitale.

 

 

 

•·················•·················•

Tommaso: Bentornati a tutti e tutte. Questa è la seconda stagione di Una Cosa Al Volo, il podcast targato TEAM LEWIS. Torniamo oggi con una puntata dedicata alla privacy digitale e a tutti gli sviluppi in ambiti come la comunicazione e il marketing.

Alessia: Ospite con noi di questa prima puntata è Costanza de Porcellinis, partner dello studio SPB Legal. Ciao Costanza!

Costanza: Ciao a tutti e grazie mille dell’invito.

Alessia: Come anticipava Tommaso, tema molto caldo quello che andremo ad affrontare insieme ovvero la privacy digitale. Mettendo da parte un attimo il concetto del digital, analizziamo proprio il concetto di privacy. La percezione è che sia a volte una parola di cui si parla tanto, ma di cui alla fine l’utente finale sappia in realtà veramente poco. Quali sono i pericoli di una scarsa consapevolezza della propria privacy? E soprattutto, è davvero solo una questione di riservatezza affrontare il tema della privacy oggi?

Costanza: Affrontare il tema della privacy oggi, ovviamente, sconta l’enorme evoluzione tecnologica che c’è stata in tutti questi anni.
La privacy è nata nel 1890 a Boston con il concetto di diritto di essere lasciati in pace, quindi una pretesa negativa. È molto divertente sapere come nasce diritto alla privacy, perché di fatto è stato per mano di due avvocati americani, soci di uno studio legale, che scrissero un saggio pubblicato su una rivista specializzata dell’epoca. Le ragioni per la pubblicazione di questo articolo, e quindi per l’analisi di che cosa si intenda per privacy, furono non solo e non tanto professionali, quanto personali, perché la moglie di uno dei due avvocati aveva una vita molto mondana e veniva spesso ritratta in articoli di giornali della città di Boston e fotografata in compagnia di persone che non erano il marito. Lui, molto scocciato da tutta questa “pubblicità” che ricevevano, ha deciso di scrivere un saggio dove cercò di bilanciare il diritto alla cronaca con quello di essere lasciato in pace. Quindi la privacy in quegli anni nacque come diritto a non subire delle interferenze ingiustificate nella propria vita.
Ora, invece, siamo in un’epoca fondamentalmente iniziata negli anni 2000, dove la privacy ha subito un’enorme evoluzione, nel senso che tutti noi siamo dei costanti produttori e contenitori di informazioni personali. Con la società dell’informazione e con l’avvento di queste nuove tecnologie (principalmente stiamo parlando di Internet), siamo arrivati all’evidenza storica e concreta che ogni nostra azione quotidiana produce dei dati personali che vengono comunicati a soggetti terzi e da questi possono essere poi condivisi. Non si può più pensare di intendere la privacy come the right to be let alone, quindi come una pretesa negativa, ma bisogna passare dalla necessaria affermazione della necessità di controllare i nostri dati personali. Partendo dal presupposto che non possiamo impedire la diffusione delle nostre informazioni, almeno cerchiamo di controllarle. Questo è un po’ il presupposto del nuovo concetto di privacy.
Quindi, per rispondere alla tua domanda, privacy non significa riservatezza. Privacy ora significa riuscire ad avere un potere decisionale su quelle che sono le nostre informazioni personali. Tutti liberi di condividerle, basta sapere quali sono le conseguenze e gli eventuali rischi.

Tommaso: Eventuali rischi, tra l’altro, di cui abbiamo parlato ormai quattro anni fa con il covid. Quando è arrivato il covid e ancora dopo con l’app Immuni c’è sempre stato questo discorso della protezione dei dati. Lì forse si è capito che stavamo parlando anche di un vero e proprio diritto, come il diritto alla salute, giusto?

Costanza: Esatto. Quando parliamo della privacy dobbiamo considerare che noi siamo all’interno dell’Unione Europea, un sistema di leggi e di diritti molto particolare per certi versi, peculiare rispetto a quello di tutti i Paesi del mondo. Come abbiamo detto, la privacy nasce negli Stati Uniti, ma l’evoluzione più importante da un punto di vista normativo l’abbiamo avuta proprio qui nell’Unione Europea, quando fu deciso che il diritto alla privacy doveva avere il rango di diritto fondamentale, al pari di tutta una serie di diritti e libertà che conosciamo molto più facilmente, come la libertà di espressione, il diritto di voto, ma anche il diritto alla salute.
Il covid ha messo in luce un’esigenza concreta e che caratterizzava già una serie di dibattiti giuridici, ovvero quella di bilanciare il diritto alla salute con il diritto al trattamento dei dati personali. È chiaro che questi bilanciamenti hanno dei fondamenti giuridici, quindi dei principi e delle regole secondo cui il bilanciamento viene fatto, ma sono molto dettati dalla sensibilità che ciascuno di noi può avere sul tema. Ci sono alcune persone che magari sentono come più importante per la propria persona il diritto alla salute e un pochino meno il diritto alla privacy, altri invece hanno posizioni diverse, oppure cambiano idea ogni giorno, cosa che può succedere. Il concetto è che sicuramente il covid con il Green Pass mise in luce la necessità di riuscire a capire quale fosse il giusto equilibrio tra diritto alla salute e privacy. È stato un caso molto interessante per noi giuristi.

Tommaso: Tra l’altro, in quei tempi si parlava molto anche di profilazione. Legandoci un po’ alla profilazione degli utenti, vorremmo capire come possa essere utile a figure che impostano delle strategie di marketing. Concezione che al momento magari non è ben vista da alcuni utenti, però sappiamo che la profilazione è utile per offrire esperienze e contenuti più in linea con gli interessi degli utenti, quindi in qualche modo la profilazione di cui stiamo parlando si lega anche con quella del marketing digitale.

Costanza: Assolutamente, ma faccio un piccolo passo indietro. Fino al 25 maggio 2018, data in cui è entrato in vigore il GDPR (General Data Protection Regulation, il regolamento europeo che disciplina l’utilizzo dei dati personali), la profilazione non era un trattamento dei dati. Era concepito come una modalità per trattare i dati personali, quindi fondamentalmente non aveva una specifica disciplina. Chi parlava di profilazione e si occupava di capire giuridicamente come inquadrare e disciplinare la profilazione, lo faceva sulla sulla base del proprio sentito, non aveva delle regole da seguire. Il GDPR, invece, è intervenuto su questo tema molto sentito soprattutto nel campo della comunicazione e del marketing, e ha fornito una definizione giuridica di profilazione.
La profilazione è ad oggi un trattamento dei dati personali che si caratterizza per l’utilizzo, in tutto o in parte, di metodi innovativi e quindi di una tecnologia per analizzare aspetti personali che possono essere preferenze, interessi e hobby di una persona e fornire delle analisi o consentire di prevedere futuri comportamenti o preferenze degli utenti. Ora la profilazione è un trattamento dei dati personali, che deve essere svolto seguendo tutte le regole e i principi contenuti nel GDPR. Per intenderci, nessuno l’ha vietato, ma si è cercato di disciplinarlo proprio perché era uno degli utilizzi dei dati personali che lato utente era più complicato da comprendere e probabilmente non veniva comunicato in maniera trasparente. È chiaro che la profilazione ha un potere incredibile non solo nel campo del marketing, adesso chiunque fa business in maniera innovativa utilizza la profilazione. Noi abbiamo un sacco di clienti che operano nelle industry più varie e non ce n’è uno che non faccia profilazione.

Alessia: Tornando al tema del GDPR che hai menzionato poco fa, è chiaro che con la sua entrata in vigore è cambiato anche un po’ l’approccio a quello che è il tema della privacy digitale. Per avere più chiaro quello che è oggi il quadro effettivo nel quale ci muoviamo, qual è questo nuovo approccio? Quali sono i cardini su cui adesso ci si sta muovendo?

Costanza: Il GDPR è un regolamento dell’Unione Europea e si caratterizza per il fatto che, a differenza di tutte le altre tipologie di atti normativi dell’Unione Europea, ha avuto un’entrata in vigore unica e uguale per tutti i Paesi membri, nel senso che il legislatore di uno Stato non deve recepirlo e soprattutto non può modificarlo. È una normativa che abbiamo uguale noi, come i francesi, gli spagnoli, i tedeschi. Ha un vantaggio: una società italiana, nel momento in cui si adegua al GDPR, sa che non dovrà modificare niente dell’impostazione del proprio sistema di trattamento dei dati personali qualora dovesse decidere di andare a fare il suo stesso business in Austria o anche in UK, perché ora non è più parte dell’Unione Europea ma lo era nel 2018 quando entrato in vigore il GDPR e quindi l’ha recepito all’interno del proprio ordinamento. Nell’Europa è la normativa di riferimento. Ha avuto una gestazione molto lunga perché è stato un regolamento che ha posto tutta una serie di domande ai legislatori europei e soprattutto i giuristi hanno dovuto farsi aiutare dai tecnici. La privacy è una materia che si caratterizza proprio dalla necessità di far parlare avvocati e giuristi con informatici e tecnici, perché ovviamente non si possono dividere i due temi.
L’approccio che ha voluto il legislatore europeo, e che è sicuramente innovativo nella disciplina della privacy, è caratterizzato da due elementi fondamentali. La prima cosa è che il GDPR ha deciso che l’attenzione non dovesse essere posta sui dati personali. È partito dall’evidenza che the data is the new oil, quindi i dati hanno un valore economico sempre crescente, ma che non si dovesse disciplinare la circolazione dei dati personali, ma bisognava spostare il focus sui soggetti direttamente coinvolti nel trattamento. Da un lato c’è il cosiddetto data subject, la cui definizione è contenuta nel regolamento europeo e si tratta del soggetto a cui si riferiscono i dati personali, per cui io sono l’interessato del mio nome nel mio cognome, della mia residenza e così via. Dall’altro lato ci sono i titolari, che sono tutte quelle entità che decidono di raccogliere e utilizzare dati personali, quindi definiscono finalità e modalità del trattamento. Per esempio, il datore di lavoro è il titolare dei dati personali di tutti i suoi dipendenti, oppure una società è titolare di tutti i dati personali degli utenti dei propri servizi. In che senso è stato posto il focus su questi due soggetti? Da un lato, come abbiamo accennato prima, l’interessato ha tutta una serie di diritti che gli consentono di controllare la circolazione dei propri dati personali, ovviamente se vuole farlo in base alla sua sensibilità sulla materia. Dall’altro lato, il titolare viene responsabilizzato. Inoltre, il GPRD non ti dice più che cosa devi fare e cosa non devi fare con i dati personali, ma impone a tutti i titolari di fare una valutazione del rischio intrinseco. Per tornare al concetto di rischio, si parte dal presupposto che qualunque trattamento dei dati personali abbia un rischio intrinseco, che è di fatto determinato dalla possibilità che una persona, l’interessato, subisca un’interferenza nella propria sfera personale. Non stiamo parlando di chissà quale rischio, però si parte da questo presupposto. Il titolare fa la propria valutazione e analisi del rischio e definisce da solo quali sono le regole e le attività che deve porre in essere per limitare il più possibile, se non eliminare del tutto, il rischio.
Il GDPR, ovviamente, prevede tutta una serie di adempimenti che, bene o male, tutti dobbiamo fare per gestire in maniera corretta il nostro sistema dei dati personali, però alla fine lascia libertà a chiunque di impostare il proprio business. È un approccio molto innovativo nella redazione di un atto normativo, perché noi siamo abituati a leggi che ci dicono esattamente che cosa puoi fare o cosa non puoi fare. Invece il GDPR dice “ok, potete fare quello che volete, ma sappiate che lo valutate voi e dovete essere autoresponsabilizzati sul tema della privacy”.

Alessia: Proprio perché manca forse questa dicotomia tra quello che puoi e quello che non puoi fare, che come giustamente hai detto è la base quando vai a legiferare su un tema, questo lasciare ampio margine di libertà a chi è il fruitore finale della legge, non credi possa portare poi a una mancanza di consapevolezza sui temi legati alla privacy digitale? Come se mancasse anche una sorta di educazione a quello che è il tema della privacy digitale. Secondo te, come bisognerebbe fare per mettere le persone nella posizione di poter prendere le scelte migliori, quando si tratta di dover divulgare i propri dati sensibili?

Costanza: Il GDPR prevede tutta una serie di principi che poi disciplinano anche come sono state scritte tutte le norme più attuative, quelle che prevedono vari adempimenti e attività. Tra questi c’è quello della trasparenza, che è un po’ la missione che viene riconosciuta ai titolari del trattamento, quindi quella di elevare il più possibile il livello di consapevolezza negli interessati. La trasparenza nel GDPR è un principio che poi si sostanzia in tutta una serie di attività che si possono mettere in campo e sicuramente una di queste è l’informativa privacy. Però la fatica di essere consapevoli sul tema dipende dal fatto che le informative privacy si caratterizzano da sempre per una cosa, ovvero essere dei documenti lunghissimi che persino io, che ho un certo livello di attenzione su questi temi perché ci lavoro e vado a leggermi le informative privacy, dopo un po’ mi stufo, mi affaticano. Il GDPR ti dice attenzione: devi fare le informative, devi scrivere tutti gli elementi che io ti impongo – che sono sono elencati negli articoli 13 e 14 del GDPR – ma lo devi fare in maniera concisa, accattivante, semplificata,  puoi utilizzare delle icone. Quindi, si cerca di svecchiare la modalità con cui noi giuristi dovremmo scrivere la documentazione volta ad aumentare la consapevolezza degli utenti, ma è un’enorme sfida.
Noi con lo studio ci occupiamo di privacy da sempre, perché il GDPR non nasce dal nulla, in Unione Europea già prima c’era una direttiva che si occupava di privacy. La differenza tra regolamento e direttiva è che la direttiva non è immediatamente applicabile nel testo redatto dal legislatore europeo all’interno degli Stati membri, ma deve essere recepita dal legislatore singolo di ogni Stato e con un certo margine di autonomia può anche essere modificata, però di fatto è uno strumento utile a cercare di armonizzare su alcuni temi le legislazioni dei vari Paesi membri. Quella direttiva c’era già, era stata recepita in Italia come un decreto legislativo in vigore già dal 2003, quindi il GDPR non è che entra a gamba tesa in una tematica che non era mai stata trattata. È chiaro che il livello di consapevolezza degli utenti passa sicuramente molto dall’impegno che un soggetto può metterci nel redigere questi documenti e forse la parte che dovrebbe rendere più appetibile dovrebbe venire da soggetti esperti di comunicazione. In un legale la creatività è quella che è ed è molto limitata, però si può collaborare per cercare di aumentare il livello di consapevolezza, ed è un’enorme sfida. E come vi dicevo, noi che ci siamo sempre occupati di privacy, da dieci anni ogni anno ci ritroviamo e ci chiediamo come possiamo rendere più snelli i nostri modelli di privacy. Un po’ perché durante l’anno abbiamo visto come scrivono gli altri, un po’ perché cerchiamo di farci influenzare da quelle che possono essere le mode. Perché nel regolamento non c’è una ricetta ma un principio, poi applicarlo è un pochino più complicato.

Alessia: Parlavamo di scarsa consapevolezza che però mi fa sempre un po’ sorridere, perché se ci pensi siamo sempre molto pronti ormai a dare i nostri dati personali. Basti pensare a tutti i social network a cui siamo iscritti, dubito fortemente che qualcuno abbia mai letto una delle informative privacy prima di doversi iscrivere a una qualunque piattaforma o un qualunque social. Il risultato è che spesso accadono episodi in cui emerge una sorta di falla, non solo di sicurezza ma proprio di consapevolezza di dove vanno a finire e soprattutto a cosa servono i nostri dati personali. L’impressione è che il dato personale sia una sorta di moneta di scambio per essere presenti o “acquistare” un servizio digitale, anche se magari si tratta di un servizio gratuito. Mi ha fatto molto sorridere una frase che abbiamo trovato online che diceva “se il servizio è gratuito il prodotto sei tu”. Ecco, è effettivamente così quando parliamo in questo caso di sottoscrizione di servizi digitali?

Costanza: È così. Diciamo che questa affermazione è diventata ancora più vera nell’era digitale. Tu hai menzionato correttamente i social network. Quando è arrivato Facebook, che è stato il primo vero social network, io non so se voi vi ricordate che l’adagio scritto sotto alla pagina di registrazione era “Facebook è gratuito e lo rimarrà per sempre”. Nel 2018 fu l’Autorità garante dei consumatori italiana a intervenire per prima all’interno di tutta l’Unione Europea su questo adagio. Io mi trovavo a Londra per motivi lavorativi e uno degli avvocati dello studio mi disse “Ma hai sentito che cos’ha detto l’Autorità italiana?”. Io non ne sapevo niente. Sono andata a leggere il provvedimento ed era molto interessante. Fondamentalmente l’Autorità italiana disse “Non è vero che il servizio è gratuito, in realtà stai monetizzando, e sei infatti diventata una delle società più ricche al mondo, tutte le informazioni personali che le persone condividono volontariamente sulla tua piattaforma “. È chiaro che l’elaborazione di questi dati da parte dei social network avviene spesso in maniera aggregata e anonima, quindi noi magari non abbiamo la contezza di essere effettivamente un dato personale che la piattaforma utilizza e sfrutta, perché veniamo inclusi in un calderone insieme a tutti gli altri utenti del social network e in maniera aggregata le nostre informazioni vengono vendute o condivise per le più svariate finalità dall’operatore con tutta una serie di player con cui collabora. Su questo provvedimento, poi, è seguita una sentenza del Consiglio di Stato italiano del 2021 che ancora una volta ha ribadito, ed è sempre Facebook il protagonista di tutta questa vicenda giudiziaria, che doveva smetterla di dire che il servizio era gratuito e che avremmo tutti dovuto evolverci su questo tema per arrivare all’esatta consapevolezza che di fatto noi stavamo fornendo qualcosa in cambio, altrimenti non si spiegavano i bilanci di Facebook. Questo era un po’ il leitmotiv di tutti questi provvedimenti e sentenze che hanno visto come protagonista lo Stato italiano.
Dopo questa serie di ordinanze e sentenze italiane, o meglio più o meno in contemporanea, negli uffici del legislatore europeo era iniziata la redazione di un nuovo regolamento dell’Unione Europea che abbiamo imparato prima essere un particolare atto legislativo univoco che entra in vigore in tutti gli Stati membri, il cosiddetto Digital Services Act che è già entrato in vigore da agosto 2023 per le grosse piattaforme. Infatti non so se avrete ricevuto tutta una serie di email che informavano delle modifiche delle condizioni generali di queste piattaforme, ma era dovuto fondamentalmente al Digital Services Act che entrerà in vigore per tutti a partire dal 17 febbraio 2024. All’interno di questo regolamento è scritto in maniera chiara e anzi viene ribadito più e più volte, sia nei considerando che all’interno degli articoli, che i dati personali costituiscono un corrispettivo al pari del cash. E questa è un’importante regola che ormai tutti ci dobbiamo dare.
Quali sono le conseguenze di aver capito che se il servizio è gratuito e il prodotto siamo noi? È che se noi acquistiamo un servizio o un prodotto e diamo in cambio i nostri dati personali, quel servizio o quel prodotto deve seguire le stesse regole di un servizio o di un prodotto a pagamento. Faccio un esempio molto banale: se uno acquista un prodotto e non paga un prezzo, quel prodotto non ha la garanzia imposta dal legislatore; se invece se c’è un corrispettivo in dati personali, ecco che tutta la normativa di garanzia a tutela dei consumatori si applicherà anche a questi nuovi servizi e prodotti. Questa è una delle tante conseguenze, però è chiaro che una delle più evidenti e tutti si stanno adeguando.

Tommaso: Collegando nuovamente Facebook con il Digital Services Act, nel 2021 anche Facebook aveva subito un data breach di milioni di dati degli utenti italiani. Nel caso in cui dovesse succedere ancora un data breach di questa portata, il Digital Services Act agirebbe in qualche modo da questo punto di vista? Può far qualcosa anche l’utente?

Costanza: Diciamo che l’utente può ovviamente lamentare una violazione dei propri dati personali, quindi di fatto qualunque società che dovesse subire un data breach cosa dovrebbe fare? Innanzitutto, deve comunicarlo a tutti i suoi utenti, quindi c’è già immediatamente un danno di immagine enorme. Se stiamo parlando di Facebook finisce anche sul giornale, però se stiamo parlando di società più piccole, e a noi è capitato in studio di doverle seguire, l’argomento più delicato da far passare con i clienti è proprio quello di dover mandare una comunicazione. Poi la possiamo edulcorare il più possibile per renderla più soft, ma un data breach deve essere comunicato. Una volta comunicato è chiaro che qualcuno se ha una particolare sensibilità sull’argomento, può sicuramente chiedere lumi su cosa sia successo. Se poi c’è anche un danno, perché non è detto che ci sia, e viene provato, può chiedere un risarcimento.
Dall’altro lato, il data breach di per sé costituisce una violazione più che al Digital Service Act, a cui sicuramente si collega, al GDPR, che prevede delle sanzioni molto impegnative parametrate alla gravità dell’evento. Però stiamo comunque parlando di sanzioni che arrivano fino a 10 o 20 milioni di euro a seconda della tipologia di violazione. Quindi un data breach è un danno d’immagine e anche potenzialmente economico molto importante. La sanzione in Italia viene poi erogata dall’Autorità garante dei dati personali, ma non viene erogata sempre perché ci sono alcune ipotesi di data breach in cui si capisce che non c’è colpa. Tutti noi dobbiamo impegnarci ad avere delle misure di sicurezza a tutela dei dati personali che siano al passo con lo stato dell’arte. Cosa vuol dire? Più sono bravi gli hacker, più dobbiamo essere noi bravi a tutelare i nostri dati e i nostri server da eventuali attacchi. È chiaro che capire chi sta prima nella corsa è una cosa che varia di giorno in giorno. Quindi ci sono alcune ipotesi di data breach che effettivamente sono esenti da colpa, perché si riesce a dimostrare di aver fatto tutto ciò che si poteva. È successo, però il danno di immagine c’è stato comunque. E quindi sì, anche gli utenti possono fare qualcosa con tutti quei meccanismi di controllo, di trasparenza e di consapevolezza sull’utilizzo e quindi anche sull’eventuale violazione dei propri dati personali.

Alessia: Tornando al tema del Digital Services Act, quali sono dal punto di vista pubblicitario le principali novità che in qualche modo il regolamento introduce?

Costanza: Il Digital Services Act ha come obiettivo principale quello di rendere l’ambiente online più sicuro, più trasparente e più affidabile, quindi questo è il principio sotteso a tutte le regole che sono contenute in questo regolamento. Faccio presente che stiamo sempre parlando di regolamenti che sono lunghissimi ed è difficile sintetizzarli perché si tratta di un centinaio di pagine, ma ci proviamo.
Sicuramente l’ambito della comunicazione e della pubblicità online riceve una particolare attenzione da parte del legislatore europeo. Di base quello che viene chiesto a chi fa comunicazione digitale è di essere più trasparente. Torniamo sempre al principio da cui siamo partiti all’inizio, ovvero di rendere sempre più consapevoli gli utenti su che tipo di comunicazione, di pubblicità o di contenuto marketing ricevono. Il che vuol dire che bisogna essere sempre più bravi a far capire l’inserzione da chi viene, con quale logica viene proposta all’interno di un sito Internet piuttosto che un altro. Non è che non si possa più fare marketing, ma bisognerà cercare di farlo in maniera il più trasparente possibile. E ovvio è che all’interno del Digital Services Act vengono anche affrontati temi particolari e specifici della pubblicità. Per esempio, si cerca di dare delle regole ancor più approfondite per evitare la pubblicità ingannevole, perché si parte dal presupposto che l’ambiente online è un ambiente navigato anche da soggetti minori o persone vulnerabili e fragili in generale, quindi bisogna cercare di essere il più trasparenti possibili e anche il più coinvolgenti possibile nel cercare di trasmettere il contenuto di quell’informativa. Torniamo al vizio di base, il GDPR ti dice come fare a essere trasparente, ovvero con l’informativa, ma se poi fai un’informativa che è illeggibile, allora quel principio si svuota totalmente. La stessa sfida mi verrebbe da dire che l’avrete nel campo della comunicazione e del marketing. Ormai il concetto è che dovrete cercare di essere molto più comunicativi anche sulle ragioni e le logiche di qualunque tipo di comunicazione/contenuto marketing. Poi ci sono delle regole specifiche in alcuni contesti pubblicitari, come quelli della politica.
Una delle più importanti innovazioni contenute nel Digital Services Act, che ha ad oggetto sicuramente il marketing e la comunicazione, ma che in realtà è una sfida per qualunque piattaforma e sito online, è la lotta ai contenuti illeciti. Per illiceità non s’intende semplicemente un contenuto contrario alla legge, non dobbiamo essere tutti giuristi per capire se un contenuto illecito o meno, ma anche un contenuto che viola alcuni principi di buon costume o regole etiche che ci siamo dati. Per esempio, un contenuto illecito potrebbe essere un contenuto diffamatorio, che incita alla violenza o a comportamenti non corretti. Ciascun sito internet potrà dare una sua spiegazione di che cosa intende per contenuto illecito e che quindi non può essere condiviso o divulgato sulla propria piattaforma.
Accanto a darsi questa regola su che cosa è illecito all’interno del sito Internet, sarà necessario preparare una procedura di cosiddetta notice and action messa a disposizione di tutti gli utenti. Torniamo sempre all’impostazione che abbiamo visto anche nel GDPR: si dà più potere ai soggetti coinvolti o interessati in tutti questi meccanismi, che potranno segnalare (notice) un contenuto considerato illecito e la piattaforma dovrà passare all’action. E questo caratterizza l’Unione Europea dagli Stati Uniti. Mi spiego meglio. Negli Stati Uniti c’era già un principio di notice and take down, quindi segnali un contenuto illecito e la piattaforma lo tira giù, punto. In Unione Europea questo non basta e non è sufficiente perché fare il take down potrebbe violare un altro dei diritti fondamentali, ovvero la libertà di espressione, perché magari una segnalazione è totalmente infondata. In quel caso non devi prendere e tirare giù il contenuto, devi fare un’action e cercare di capire, poi ovviamente l’impegno nella valutazione dipende anche dalla grandezza della piattaforma. Però il concetto è cercare di capire se la segnalazione sia o meno fondata e solo in caso positivo passare al take down, dando sempre la possibilità all’utente che ha condiviso quel contenuto di difendersi se è interessato. Questo principio di notice and action andrà sicuramente a coinvolgere anche tutti i contenuti commerciali e di marketing che verranno condivisi sulle varie piattaforme.

Alessia: Grazie dell’ascolto. Se l’episodio ti è piaciuto o se vuoi suggerirci nuovi temi da trattare, scrivici a [email protected]. Se invece vuoi riascoltare gli episodi della prima stagione ci trovi su tutte le principali piattaforme podcast. Una Cosa Al Volo è una produzione TEAM LEWIS e ti aspettiamo per il prossimo episodio.

Contattaci