mercati digitali

Digital Market Act, l’impatto sui dati personali: obblighi, sanzioni, problemi aperti

Con l’approvazione del DSA e del DMA, la Ue prova ad arginare il controllo sull’accesso ai mercati digitali, stabilendo una serie di vincoli in capo alle imprese cosiddette gatekeeper. Obblighi, aspetti sanzionatori, criticità, prime reazioni

04 Mag 2022
Alessandra Lucchini

Avvocato cassazionista - DPO

Stefania Pellegrini

Avvocato e consulente privacy

Nell’ultimo anno si sta assistendo ad un incremento di attenzione, di controlli e di sanzioni nei confronti dei grandi big del web (Google, Amazon, Facebook) da diversi punti di vista: protezione dei dati personali, concorrenza sleale, abuso di posizione dominante ed, ora, con l’approvazione della proposta del Digital Markets Act (DMA) e del Digital Services Act (DSA) [1], si aggiunge un tassello al tentativo di limitare il controllo sull’accesso ai mercati digitali da parte delle aziende che per dimensioni e posizione radicata nel mercato possono avere un “potere indebito su altre aziende e sui consumatori”.

Digital services act, Scorza: “Le luci e le poche ma gravi ombre delle nuove regole Ue”

Collegamento tra le diverse discipline

Andiamo con ordine.

In primo luogo, la protezione dei dati personali.

Il fenomeno è ormai conosciuto: l’utente fruisce di un servizio e “in cambio” autorizza il trattamento dei dati personali, molto spesso senza alcuna consapevolezza sul tema. I dati sono diventati un asset aziendale fondamentale su cui basare le attività di marketing, di vendita e in generale tutte quelle attività volte ad accrescere la propria immagine nel mercato e sono pertanto oggetto di sfruttamento economico, la cui gestione, come abbiamo visto, può arrivare persino a predire i comportamenti dei propri utenti.

WEBINAR
8 Giugno 2022 - 12:00
Governance e sicurezza dei dati. Come gestirli al meglio?
Big Data
Sicurezza

La enorme disponibilità di dati e degli algoritmi che li processano può rendere possibile una posizione dominante sul mercato. E questo è già stato dichiarato dall’Autorità Garante della Concorrenza e del Mercato, dal Consiglio di Stato e dal Tribunale dell’Unione europea [2].

Quanto all’abuso di posizione dominante ai sensi dell’art. 102 del trattato sul funzionamento dell’Unione europea “È incompatibile con il mercato interno e vietato, nella misura in cui possa essere pregiudizievole al commercio tra Stati membri, lo sfruttamento abusivo da parte di una o più imprese di una posizione dominante sul mercato interno o su una parte sostanziale di questo”.

Potrebbe dunque essere caratteristica della posizione dominante la disponibilità di un enorme patrimonio informativo sulla clientela costituito da dati personali, correnti e storici, scelte e abitudini dei propri utenti che i grandi colossi del web possiedono.

Nella stessa direzione anche il digital market act che si propone di intervenire nel funzionamento dei mercati digitali, stabilendo una serie di obblighi in capo alle imprese che si pongono come punti di riferimento centrali nel disciplinare l’accesso al mercato, i c.d. Gatekeeper.

Nella proposta di regolamento [3], ora approvato [4], si legge infatti che i servizi digitali hanno generato importanti vantaggi innovativi per i loro utenti e hanno contribuito al mercato interno aprendo nuove opportunità commerciali e facilitando il commercio transfrontaliero. Tali servizi comprendono un’ampia gamma di attività quotidiane, tra cui i servizi di intermediazione online quali i mercati virtuali, i servizi di social network online, i motori di ricerca online, i sistemi operativi o i negozi di applicazioni software.

In questo scenario i gatekeeper assumono un ruolo importante in quanto esercitano un controllo sostanziale sull’accesso ai mercati digitali con conseguente significativa dipendenza da parte di molti utenti commerciali: in sostanza, secondo la Commissione europea, i comportamenti anticoncorrenziali potrebbero portare a “risultati inefficienti nel settore digitale in termini di prezzi più elevati, qualità inferiore, nonché meno scelta e innovazione a scapito dei consumatori europei”. E poiché solo poche grandi piattaforme online si accaparrano la quota maggiore del valore complessivo generato, le piccole imprese (ben più numerose) non riescono a collocarsi sul mercato.

Lo scopo del DMA è quindi quello di cercare di contenere la posizione dominante delle grandi piattaforme online e favorire un sistema economico nel quale anche le imprese europee, di minori dimensioni e di ridotto potere di mercato, possono partecipare al mercato dei dati [5].

Vediamo come.

I gatekeeper secondo il Digital Market Act (DMA)

Secondo il regolamento un fornitore di servizi di piattaforme di base è designato gatekeeper quando:

  1. ha un impatto significativo sul mercato interno,
  2. gestisce un servizio di piattaforma principale che funge da importante punto di accesso per gli utenti commerciali per raggiungere gli utenti finali; e
  3. gode di una posizione radicata e duratura nelle sue operazioni o è prevedibile che godrà di tale posizione nel prossimo futuro.

Si presume che un fornitore di servizi di piattaforma principale soddisfi:

    • il requisito di cui alla lettera a), se l’impresa cui appartiene realizza un fatturato annuo nel SEE pari o superiore a 8 miliardi di EUR negli ultimi tre esercizi finanziari, o se la capitalizzazione media di mercato o il valore equo di mercato equivalente dell’impresa cui appartiene ammonta ad almeno 80 miliardi di EUR nell’ultimo esercizio finanziario, e fornisce un servizio di piattaforma principale in almeno tre Stati membri;
    • il requisito di cui alla lettera b), qualora fornisca un servizio di piattaforma principale con più di 45 milioni di utenti finali attivi mensili stabiliti nell’Unione e più di 10.000 utenti commerciali attivi mensili stabiliti nell’Unione nell’ultimo esercizio finanziario [6];
    • il requisito di cui alla lettera c), se le soglie di cui alla lettera b) sono state raggiunte in ciascuno degli ultimi tre esercizi finanziari.

Qualora un fornitore di servizi di piattaforma di base soddisfi tutte le soglie sopra indicate, ne informa la Commissione europea entro tre mesi dal raggiungimento di tali soglie e le fornisce le informazioni previste.

La Commissione, sussistendone i requisiti, designa il fornitore di servizi di piattaforma centrale come gatekeeper.

Gli obblighi previsti per i gatekeeper (lato privacy)

E tale designazione comporta degli obblighi.

In primo luogo, lato privacy, un gatekeeper deve astenersi dal combinare dati personali ricavati da tali servizi di piattaforma di base con dati personali provenienti da qualsiasi altro servizio offerto dal gatekeeper o con dati personali provenienti da terzi e dall’accesso con registrazione degli utenti finali ad altri servizi del gatekeeper al fine di combinare dati personali, a meno che sia stata presentata all’utente finale la scelta specifica e che quest’ultimo abbia prestato il proprio consenso ai sensi del GDPR.

Viene inoltre previsto che il gatekeeper garantisca l’effettiva portabilità dei dati (personali) generati mediante l’attività di un utente commerciale o utente finale e fornisca strumenti a tali utenti finali per agevolare l’esercizio della portabilità dei dati anche per mezzo di un accesso continuo e in tempo reale).

Gli obblighi previsti per i gatekeeper (lato concorrenza)

Lato concorrenza, il gatekeeper deve consentire:

  • agli utenti commerciali di offrire gli stessi prodotti o servizi agli utenti finali attraverso servizi di intermediazione online di terzi a prezzi o condizioni diverse da quelle offerte attraverso i servizi di intermediazione online del gatekeeper stesso;
  • di promuovere offerte agli utenti finali acquisiti attraverso il servizio di piattaforma di base e di stipulare contratti con tali utenti finali, a prescindere dal fatto che a tale fine essi si avvalgano o no dei servizi di piattaforma di base del gatekeeper;
  • di consentire agli utenti finali di accedere a contenuti, abbonamenti, componenti o altri elementi e di utilizzarli attraverso i servizi di piattaforma di base del gatekeeper avvalendosi dell’applicazione software di un utente commerciale, se gli utenti finali hanno acquistato tali elementi dall’utente commerciale in questione senza utilizzare i servizi di piattaforma di base del gatekeeper.

Deve poi astenersi (i) dall’impedire agli utenti commerciali di sollevare presso qualsiasi autorità pubblica competente questioni relative alle pratiche dei gatekeeper o dal limitare tale possibilità; (i) dall’imporre agli utenti commerciali l’utilizzo o l’offerta di un servizio di identificazione del gatekeeper, o l’interoperabilità con lo stesso, nel contesto dei servizi offerti dagli utenti commerciali che si avvalgono dei servizi di piattaforma di base di tale gatekeeper; (iii) dall’imporre agli utenti commerciali o agli utenti finali l’abbonamento o l’iscrizione a qualsiasi altro servizio di piattaforma di base identificato a norma dell’articolo 3 o che raggiunge le soglie di cui all’articolo 3, paragrafo 2, lettera b), quale condizione per accedere, registrarsi o iscriversi a uno dei servizi di piattaforma di base del gatekeeper identificato a norma del medesimo articolo.

Infine, deve fornire a inserzionisti ed editori cui eroga servizi pubblicitari, su loro richiesta, informazioni relative al prezzo pagato dall’inserzionista o dall’editore, nonché all’importo o alla remunerazione versati all’editore, per la pubblicazione di una determinata inserzione e per ciascuno dei pertinenti servizi pubblicitari forniti dal gatekeeper.

La Commissione effettuerà indagini di mercato dirette a valutare se a tali norme debbano essere aggiunte nuove pratiche e nuovi servizi al fine di garantire l’adeguatezza degli obblighi rispetto alla rapida evoluzione dei mercati digitali.

Sono infine previste sanzioni in caso di inadempimento agli obblighi sopra descritti fino al 10% del fatturato mondiale del gatekeeper. In caso di recidiva, queste sanzioni possono prevedere anche l’obbligo di adottare misure strutturali, fino all’eventuale cessione di determinate attività nei casi in cui non siano disponibili altre misure alternative altrettanto efficaci per garantire il rispetto delle norme.

I destinatari dei servizi digitali e le organizzazioni che li rappresentano potranno altresì chiedere un risarcimento per eventuali danni derivanti dal fatto che le piattaforme non rispettano i loro obblighi di dovuta diligenza.

Il punto di vista dello European Data Privacy Board

Dal punto di vista della protezione dei dati personali è intervenuto anche l’EDPB [7] che ha evidenziato alcuni impatti negativi della proposta di regolamento (ora approvata) sui diritti e le libertà fondamentali degli individui ed ha indicato alcune raccomandazioni affinché la proposta sia maggiormente in linea con la normativa europea sulla protezione dei dati personali.

In primo luogo, l’EDPB raccomanda di introdurre requisiti di interoperabilità per promuovere un ambiente digitale più aperto alla concorrenza, rendendo più facile per gli individui scegliere tra i servizi che offrono una migliore protezione della privacy e dei dati.

In secondo luogo, una maggiore chiarezza sul ruolo e sulle modalità di cooperazione delle nuove autorità di controllo in rapporto con le già esistenti autorità garanti per la protezione dei dati, soprattutto in relazione ad una potenziale sovrapposizione delle attività e delle competenze. In particolare, secondo l’EDPB la proposta di regolamento, pur prevedendo il rispetto del GDPR, non fornisce una chiara base giuridica per il loro trattamento né o un obbligo di consultazione e cooperazione tra le rispettive autorità competenti finalizzata alla verifica del rispetto di queste disposizioni. Risulta quindi opportuno prevedere modalità specifiche e basi giuridiche idonee per lo scambio di informazioni necessarie a garantire una effettiva cooperazione tra le autorità, anche dal punto di vista delle risorse organizzative.

Infine, la proposta dovrebbe affermare chiaramente che la disciplina in essa contenuta non pregiudicherà o comprometterà l’applicazione delle norme esistenti sulla protezione dei dati ed anzi, dovrà garantire che le norme sulla protezione dei dati prevalgano ogni volta che vengono trattati dati personali ai sensi e per l’effetto degli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea e dell’articolo 16 del Trattato sul funzionamento dell’Unione europea.

Aspetto sanzionatorio: è possibile una sovrapposizione nell’applicazione delle sanzioni?

Una delle riflessioni da cui la Commissione è partita per redigere la proposta del digital act è che le tradizionali politiche antitrust e privacy sopra analizzate sono risultate inadeguate per soddisfare le esigenze derivanti dalle nuove realtà o semplicemente troppo lente per tenere il passo dell’evoluzione tecnologica e dei comportamenti dei player dominanti, anche e soprattutto perché le rispettive autorità di controllo affrontano (e sanzionano) le infrazioni dopo che si sono verificate.

Come sappiamo, una violazione della normativa antitrust può determinare una violazione dei dati personali: se, ad esempio, una piattaforma che ha proceduto all’acquisizione di un concorrente che, nel proprio “patrimonio”, possiede un’estesa massa di dati, procedesse ad incrociare i dati presenti su entrambi i network, senza avere previamente avvisato gli utenti dell’una e dell’altra piattaforma, potrebbe verosimilmente porre in essere sia un comportamento anticoncorrenziale, sia una violazione della normativa posta a protezione della privacy, sia, infine, una violazione del digital marked act.

In questo caso, cosa dovrebbero fare le autorità competenti per l’applicazione dell’uno e dell’altro strumento normativo (che, nell’ipotesi ora formulata, sarebbero la Commissione, per quanto riguarda l’applicazione della normativa antitrust e del DMA; e l’autorità garante della protezione dei dati all’interno dell’ordinamento nazionale coinvolto)?

Per rispondere a questa domanda giova premettere che i tre gruppi normativi sopra individuati (antitrust, privacy, DMA) rispondono a logiche divergenti e non intercorre alcun rapporto di sovrapposizione tra i diversi settori normativi.

Le indagini devono essere condotte per uno scopo specifico; gli elementi acquisiti nel corso dell’una non possono essere utilizzati anche per un’indagine di tipo diverso, perché altrimenti si incorrerebbe in violazioni di principi cardine del diritto dell’Unione europea, quali i diritti nella difesa ed il rispetto del principio del contraddittorio.

Ne consegue, inoltre, che nell’ipotesi in cui una determinata impresa (che sia, al contempo, una piattaforma dominante) ponga in essere, con un unico comportamento, una violazione di tutti e tre i settori normativi, ogni autorità possa, nei limiti dei rispettivi regolamenti attributivi del potere, irrogare le proprie sanzioni.

Tuttavia, l’assenza di sovrapposizioni logiche e normative determina quindi l’ulteriore conseguenza che le sanzioni applicabili per effetto della normativa antitrust si possono sommare a quelle applicabili per violazione del regolamento sulla protezione dei dati, che, a propria volta si possono aggiungere agli obblighi supplementari imposti dal DSA. Con la conseguenza che potremmo arrivare a comminare ad una determinata piattaforma sanzioni corrispondenti, in ipotesi, addirittura al ventiquattro per cento del fatturato globale dell’impresa: quindi, una cifra di assoluto rilievo, di entità tale da scoraggiare effettivamente un’impresa di grandi dimensioni a porre in essere comportamenti abusivi, ma anche a non incentivare lo sviluppo delle PMI del settore che non potrebbero nemmeno in ipotesi sopravvivere a sanzioni di questa entità. Inoltre, la mancanza di coordinamento evidenziata dall’EDPB tra le autorità di vigilanza e controllo competenti per i tre ambiti in esame contribuisce di sicuro a non semplificare la materia e rende difficile garantire una effettiva cooperazione tra le autorità.

L’ impatto della nuova regolamentazione: criticità e prime reazioni

L’approvazione della proposta ha certamente consentito un balzo in avanti per quanto concerne la protezione dei dati personali e dunque la tutela dei diritti e delle libertà fondamentali, ma non mancano di certo alcune criticità: vediamone alcune.

L’assenza di una cabina di regia

Prima tra tutte si evidenzia la totale mancanza di una cabina di regia in capo alle Autorità di controllo della protezione dei dati che abbia come finalità quella di supervisionare ed intervenire in via prioritaria ed esclusiva laddove si tratti di protezione dei dati. È infatti prevista l’istituzione di altre autorità di vigilanza per le quali potrebbe sorgere un problema legato sia alla competenza sia alla sovrapposizione per quanto riguarda l’applicazione di sanzioni, mancando un principio di preminenza di una legislazione sull’altra.

La sudditanza verso i grandi colossi Usa

Inoltre, se da una parte l’Europa ha dimostrato di correre ai ripari promuovendo una nuova legge sulla concorrenza digitale, erodendo così il dominio tecnologico delle grandi imprese “high-tech”, dall’altra ne ha evidenziato i gaps ma soprattutto la sudditanza verso i grandi colossi americani: è un dato di fatto che più del 70% dei dati provenienti dall’Europa sia custodito negli Stati Uniti d’America, a causa della mancanza di server europei. Non a caso l’Europa ha ritenuto prioritaria una regolamentazione sulla digitalizzazione europea, né è un caso che la stessa stia spingendo per la realizzazione del grande progetto Gaia X, ovvero un vero e proprio cloud Europeo. Si è infatti sentita sempre più forte la necessità di realizzare un’infrastruttura, a livello europeo, il cui fine sia quello di garantire la sicurezza dei dati dei Paesi UE, collegando tra di loro i diversi servizi in cloud, dando luogo a una piattaforma efficiente di infrastrutture di dati e fornitori di servizi in ambito UE. Con ciò cercando di limitare sempre più la dipendenza dai cloud americani. Naturalmente la reazione oltre oceano non si è fatta attendere: non è una coincidenza che, dopo mesi di trattative, la Commissione UE e il Governo degli Stati Uniti d’America abbiano annunciato di aver trovato un “accordo politico di principio” sul nuovo quadro regolatorio transatlantico per disciplinare i flussi di dati tra il vecchio e il nuovo continente, anche se ad oggi manca un vero e proprio documento ufficiale.

Un aspetto che per anni infatti è stato trascurato dall’agenda europea è stato proprio il fatto che la detenzione dei dati e delle informazioni (e quindi i Big Data) ha un impatto notevole sull’andamento economico-finanziario dei mercati e sullo sviluppo delle società sul piano internazionale, consentendo opportunità di grande sviluppo e innovazione in campo industriale, scientifico, commerciale e sociale.

La scarsa flessibilità

Un’altra criticità che è emersa dalla nuova regolamentazione è la poca flessibilità: andando a sancire obblighi serrati di tipo preventivo il rischio potrebbe essere, da una parte, di non andar a differenziare i comportamenti a seconda delle diverse realtà nel campo digitale e, dall’altra, di non stare al passo con l’evoluzione tecnologica, che, come sappiamo, viaggia molto velocemente.

Anche le definizioni di gatekeeper e piattaforma digitale presentano dei dubbi: non è chiaro, infatti, l’elenco dei presupposti per i quali si possa parlare di “posizione determinante”, con il rischio di includere aziende che di fatto non hanno quelle caratteristiche nel mercato. Altro punto dolente sono proprio le sanzioni.

La problematica deve essere affrontata in maniera duplice: da una parte pare mancare un principio di proporzionalità sanzionatorio, dall’altra vi potrebbe essere un principio di violazione del “bis in idem”, ovvero evitare la duplicazione degli atti che mirano a un medesimo scopo o riguardano il medesimo caso.

Quanto al primo punto, le sanzioni risultano molto alte e inasprite in caso di recidiva, in quanto possono prevedere anche l’obbligo di adottare misure strutturali, fino all’eventuale cessione di determinate attività nei casi in cui non siano disponibili altre misure alternative altrettanto efficaci per garantire il rispetto delle norme. Se da un lato questa regolamentazione serve a smontare il monopolio e lo strapotere delle big tech, dall’altra introduce obblighi serrati anche per realtà molto più piccole, alle quali l’applicazione di sanzioni così alte potrebbe costare la chiusura delle attività, favorendo così nuovamente le Big tech.

Dall’altra parte, bisogna affrontare il tema del “bis in idem”: la disciplina va a sommarsi alla possibilità che i medesimi comportamenti siano sanzionati ex post anche per la normativa antitrust e per quella sulla protezione dei dati personali.

Conclusioni

Per quanto l’approvazione della proposta sia stata applaudita, come visto, come strumento atto a diminuire il potere dei giganti del web e l’introduzione di una regolamentazione applicabile ex ante abbia anche una finalità intimidatoria, tale da prevenire concretamente gli illeciti e favorire effettivamente lo sviluppo dell’innovazione e la nascita di un mercato unico digitale, resta il dubbio che tale scelta possa non essere quella idonea ad incentivare gli investimenti da parte delle imprese.

Note

  1. Il Digital Service Act (Dsa) istituisce un meccanismo di “notifica e azione” e garanzie per la rimozione “senza indebito ritardo” di prodotti, servizi o contenuti illegali online.
  2. Cfr.su questi argomenti Lucchini, Pellegrini, Posizione dominante e trattamento dati, c’è nesso? I casi Amazon, Facebook, Telecom, Apple e Google, https://www.agendadigitale.eu/sicurezza/posizione-dominante-e-trattamento-dati-ce-un-nesso-i-casi-amazon-facebook-telecom-apple-e-google/
  3. Si veda in questo senso la proposta di regolamento – Motivi e obiettivi della proposta.
  4. L’accordo tra Consiglio e Parlamento è stato raggiunto lo scorso 25 marzo 2022. Cfr. anche tra gli altri Luca Bertuzzi https://www.euractiv.com/section/digital/news/dma-eu-institutions-agree-on-new-rules-for-big-tech/; Marina Rita Carbone, https://www.agendadigitale.eu/mercati-digitali/digital-markets-act-come-si-sta-disegnando-il-futuro-delleconomia-digitale-europea/.
  5. Gianluca Contaldi, Il DMA (digital markets act) tra tutela della concorrenza e protezione dei dati personali, in Ordine internazionale e diritti umani, 2021, pp. 292-308.
  6. Ai fini di tale disposizione, gli utenti finali attivi mensili si riferiscono al numero medio di utenti finali attivi mensili per la maggior parte dell’ultimo esercizio finanziario.
  7. Cfr. Statement on the Digital Services Package and Data Strategy, Adopted on 18 November 2021.
WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 4