Che cos’è il Digital Markets Act (DMA)?
Il regolamento europeo sui mercati digitali (Digital Markets Act, DMA) è una normativa che riguarda le organizzazioni che operano nell’Unione europea. A partire da novembre 2022, data di entrata in vigore in vigore, affronta le questioni dell’antitrust delle grandi aziende tecnologiche, i gatekeeper, che controllano molte attività online ed elaborano enormi quantità di dati dei consumatori.
Il DMA ha lo scopo di influire sulla concorrenza e garantire equità e trasparenza da parte dei gatekeeper. A causa della loro enorme influenza sul mercato e sui consumatori, il DMA applica restrizioni a una varietà di servizi tecnologici, tra cui motori di ricerca, servizi cloud, social network, piattaforme di condivisione video, reti di pubblicità online e altri prodotti e servizi di proprietà delle grandi imprese digitali.
Uno dei principali obiettivi del DMA è quello di livellare il campo di gioco per le organizzazioni più piccole nello spazio digitale e fornire maggiore protezione per i diritti e i dati degli utenti. Ad esempio, sono state introdotte nuove restrizioni sull’accesso ai dati, e ora gli utenti possono disinstallare le applicazioni precaricate sui telefoni, nei browser e su altre piattaforme.
Chi sono i gatekeeper nominati nel DMA e cosa controllano?
Big Tech, giganti tecnologici, gatekeeper: fanno tutti riferimento agli stessi operatori. Quindi, quali organizzazioni sono state identificate dalla Commissione europea (CE) come altamente influenti, con un forte impatto sul mercato e che agiscono tra i consumatori e altre aziende?
I sei gatekeeper sono:
- Alphabet (società madre di Google e Android)
- Amazon
- Apple
- ByteDance (società madre di TikTok)
- Meta (società madre di Facebook, Instagram, WhatsApp e altri)
- Microsoft (società madre di LinkedIn)
Tutte queste società hanno sede negli Stati Uniti,, a eccezione di ByteDance, che è cinese. La CE ha inoltre designato 22 servizi e piattaforme forniti dai gatekeeper:
- 1 motore di ricerca (Google)
- 1 piattaforma di condivisione video (YouTube)
- 2 grandi servizi di comunicazione (Facebook Messenger e WhatsApp, entrambi di proprietà di Meta)
- 2 browser web (Chrome e Safari)
- 3 sistemi operativi più diffusi (Google Android, iOS, SO Windows PC)
- 3 servizi pubblicitari online (Amazon, Google e Meta)
- 4 social network (Facebook, Instagram, LinkedIn, TikTok)
- 6 piattaforme di “intermediazione” (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace)
Tra le omissioni degne di nota figurano la conglomerata coreana Samsung (leader di mercato per i dispositivi mobili Android), e i servizi di posta elettronica basati sul web di Google e di Microsoft, rispettivamente Gmail e Outlook.
La spiegazione della CE relativa alla decisione di escludere tali fornitori e servizi è stata la seguente:
“La Commissione ha inoltre concluso che, sebbene Gmail, Outlook.com e Samsung Internet Browser raggiungano le soglie di cui al regolamento sui mercati digitali per essere qualificati come gatekeeper, Alphabet, Microsoft e Samsung hanno fornito argomentazioni sufficientemente motivate per dimostrare che tali servizi non costituiscono punti di accesso per i rispettivi servizi di piattaforma di base. La Commissione ha pertanto deciso di non designare Gmail, Outlook.com e Samsung Internet Browser come servizi di piattaforma di base. Di conseguenza, Samsung non è designata come gatekeeper in relazione a nessun servizio di piattaforma di base”.
Quali sono gli obblighi dei gatekeeper ai sensi del DMA?
Ai sensi del DMA, i gatekeeper hanno tempo fino al 6 marzo 2024 per conformarsi all’elenco di “obblighi e divieti”. Questi requisiti hanno lo scopo di migliorare la privacy degli utenti e contribuire a garantire una concorrenza leale nei mercati digitali.
L’elenco degli “obblighi” è incentrato su un ecosistema più ampio e sulla condivisione delle informazioni. L’elenco dei “divieti” ha lo scopo di impedire trattamenti preferenziali, silo, monitoraggio eccessivo e la limitazione delle scelte dell’utente.
In che modo i gatekeeper rispondono al DMA?
La risposta dei giganti tecnologici è stata contrastante. Google ha annunciato che prevede di apportare modifiche, affermando in un post nel suo blog: “Il nostro obiettivo è implementare modifiche in linea con le nuove normative, preservando al contempo l’esperienza utente e offrendo prodotti di valore, innovativi e sicuri per gli utenti europei”.
Microsoft ha accolto con favore la decisione della CE di aprire un’indagine su potenziali esenzioni dal DMA per servizi quali Bing, Edge e Microsoft Ads. Ha inoltre dichiarato di aver accettato la sua designazione di gatekeeper.
La reazione al DMA da parte di Apple e TikTok è stata meno positiva. Apple ha espresso perplessità in merito ai rischi per la privacy e la sicurezza della legge europea sui mercati digitali. La dichiarazione di Apple ha confermato il suo impegno a “mitigare questi impatti e continuare a fornire i migliori prodotti e servizi ai nostri clienti europei”.
La società madre di TikTok, ByteDance, ha affermato che avrebbe soddisfatto i criteri, pur dichiarando di “essere fondamentalmente in disaccordo con questa decisione”, contestando la propria inclusione nell’elenco, e pronunciandosi “delusa dal fatto che non sia stata condotta alcuna indagine di mercato prima di questa decisione”.
La risposta di Meta è stata più limitata, il suo portavoce ha commentato: “Stiamo valutando le designazioni della Commissione e forniremo ulteriori informazioni a tempo debito mentre ci impegniamo a rispettare la conformità al DMA”.
Che cosa richiede la legge DMA ai gatekeeper?
I gatekeeper devono far fronte a tre categorie principali di modifiche o nuove responsabilità:
- interoperabilità e non discriminazione
- portabilità e accesso ai dati
- trasparenza e profilazione
Requisiti di interoperabilità e non discriminazione previsti dalla normativa europea sui mercati digitali (DMA)
Una parte importante dei requisiti del DMA ha lo scopo di espandere l’ecosistema digitale in modo sano e sostenibile. I gatekeeper dovranno garantire l’interoperabilità delle loro piattaforme e servizi con terze parti. Sono necessarie comunicazioni e integrazioni con le piattaforme dei gatekeeper. In questo modo si evitano favoritismi e si promuove la concorrenza. I gatekeeper non possono favorire i propri servizi rispetto a quelli dei concorrenti più piccoli.
I requisiti di non discriminazione si concentrano sull’equità di trattamento per tutte le aziende, al fine di evitare di prediligere i prodotti e i servizi propri dei gatekeeper o quelli dei partner preferiti.
Requisiti di accesso e portabilità dei dati previsti dalla legge europea sui mercati digitali
Ai sensi della legge sulla privacy DMA, i gatekeeper non possono impedire agli utenti di cambiare servizi o fornitori di servizi. Devono avere il controllo sui propri dati ed essere in grado di trasferirli a un altro servizio o piattaforma: si tratta della cosiddetta portabilità dei dati, prevista da molte leggi sulla privacy.
Utenti, aziende e altre terze parti devono inoltre avere accesso in tempo reale ai dati generati sulle piattaforme dei gatekeeper, se richiesto. L’accesso ai dati o le richieste di accesso ai dati di una persona interessata ne sono un esempio.
Requisiti di trasparenza e profilazione previsti dalla legge europea sui mercati digitali
I gatekeeper devono fornire informazioni chiare e controllate su come viene eseguita la profilazione dei clienti sulle loro piattaforme. Così come molte leggi sulla privacy includono requisiti relativi al trattamento dei dati, comprese le finalità e la condivisione, il DMA richiede la fornitura di informazioni relative allo scopo, alla durata e all’impatto della profilazione del cliente.
I gatekeeper devono inoltre assicurarsi di fare il possibile per ottenere il consenso dell’utente e fornire opzioni per consentire agli utenti di ritirare o negare il consenso alla raccolta e all’uso dei dati. In generale, l’obiettivo è quello di garantire che i consumatori siano istruiti e tenuti informati sui dati che forniscono alle aziende, su come vengono utilizzati e su quali sono i loro diritti alla privacy.
Quali sono i vantaggi del Digital Market Act (DMA)?
Nonostante la legge europea sui mercati digitali si rivolga alle grandi aziende tecnologiche, anche molte altre organizzazioni di diverso tipo traggono vantaggio da ciò che prevede. Ad esempio:
Consumatori: accesso a servizi più numerosi e migliori, più possibilità di cambiare fornitore, prezzi più competitivi, migliore protezione dei dati.
Aziende: maggiore equità sul mercato per le piccole imprese che dipendono dai servizi forniti dai gatekeeper.
Gatekeeper: possibilità di mantenere inalterata l’opportunità di innovare e lanciare nuovi prodotti e servizi. Maggiore chiarezza sulle pratiche aziendali consentite.
Imprese innovative e start-up tecnologiche: nuove opportunità per competere e innovare nelle piattaforme online e nell’ecosistema digitale senza dover rispettare onerosi termini e condizioni di terze parti che ostacolano la crescita.
Che cosa significa il DMA per la privacy degli utenti e la gestione del consenso
La privacy degli utenti e la protezione dei dati sono obiettivi chiave del Digital Markets Act, quindi l’impatto della legge sarà sostanziale. Il DMA limita le basi giuridiche che i gatekeeper possono utilizzare per il trattamento dei dati personali. Queste organizzazioni possono rivendicare obblighi legali, interessi vitali o interesse pubblico, ma dovranno essere in grado di comprovarli. Anche il consenso dell’utente è una base giuridica valida, ma deve essere ottenuto in modo valido.
Il marketing basato sul consenso sottolinea l’importanza e i vantaggi di ottenere il consenso esplicito e informato degli utenti e garantire loro il controllo sui propri dati prima di raccoglierli ed elaborarli per operazioni di marketing: il DMA sostiene ulteriormente questo diritto degli utenti.
Requisiti della legge sulla privacy DMA per ottenere un consenso dell’utente valido
Per trattare i dati personali degli utenti per le varie finalità, i gatekeeper devono ottenere da parte loro un consenso valido senza ricorrere in alcun modo a pratiche manipolative (ad esempio i dark pattern). Le attività che richiedono il consenso preventivo includono la pubblicità online o la combinazione di dati personali provenienti da servizi diversi. Gli utenti devono inoltre essere informati in merito alla possibilità di rifiutare il consenso e a ciò che questo rifiuto comporterebbe.
Requisiti della legge sulla privacy DMA per la condivisione dei dati personali
La normativa europea sui mercati digitali intende eliminare i vantaggi competitivi sleali e i silo di informazioni tra le organizzazioni tecnologiche con piattaforme che raccolgono ed elaborano i dati personali dei consumatori. Richiede che i gatekeeper condividano, su richiesta, i dati (con limitazioni) raccolti con altre aziende o inserzionisti che operano sulle loro piattaforme. Ciò consente alle piccole aziende di utilizzare i dati degli utenti per pubblicità mirate o per personalizzare i servizi.
La condivisione dei dati deve essere ragionevole e non può essere effettuata in modo preferenziale, e la privacy e la protezione dei dati degli utenti devono essere una priorità.
La legge sulla privacy DMA per i diritti di portabilità dei dati
Il diritto alla portabilità dei dati non è universale tra le leggi sulla privacy, ma fa parte del GDPR e del DMA. I gatekeeper devono consentire agli utenti di richiedere i propri dati personali (in genere in un formato comunemente utilizzabile) e devono essere in grado di trasferirli ad altre piattaforme o servizi. Questo diritto consente agli utenti di mantenere il controllo sui propri dati e di non venire danneggiati se abbandonano una piattaforma o interrompono l’utilizzo di un servizio. Inoltre, favorisce la concorrenza tra i provider di piattaforme e altri prodotti o servizi per fornire agli utenti esperienze e servizi migliori.
La legge sulla privacy DMA per la trasparenza e il controllo da parte dell’utente
Ai sensi della maggior parte delle leggi sulla privacy, gli utenti devono essere informati sulla raccolta e sull’utilizzo dei dati, e il DMA non fa eccezione. I consumatori devono essere in grado di fare scelte informate sull’accesso ai propri dati e sul loro utilizzo; a rendere possibile tutto ciò contribuiscono queste informazioni su quali dati vengono raccolti, per cosa vengono utilizzati, con chi possono essere condivisi e molto altro.
Le tecniche di profilazione devono essere illustrate chiaramente dai gatekeeper, che devono richiedere agli utenti il consenso prima che le aziende utilizzino la pubblicità mirata. Gli utenti devono inoltre essere in grado di rifiutare o ritirare il proprio consenso in qualsiasi momento.
Conformità al DMA e piattaforme di gestione del consenso
Tutte le aziende che raccolgono e utilizzano i dati personali dei clienti hanno la responsabilità di informare gli utenti in merito alla raccolta e all’utilizzo dei dati, nonché di ottenerli in modo conforme (ad esempio con il consenso) e gestirli e condividerli in modo sicuro. Tra queste aziende sono inclusi i gatekeeper e le organizzazioni terze che utilizzano i loro servizi.
Resta ancora da stabilire come i gatekeeper e le terze parti, quali gli inserzionisti, otterranno la conformità e utilizzeranno i dati, nonché quali saranno gli esatti requisiti legali e tecnici. Tuttavia, le leggi sulla privacy esistenti, come il GDPR, forniscono già requisiti e best practice rigorosi per le aziende che operano nell’UE, e il DMA si inserisce tra le normative esistenti (e potenzialmente future).
Le terze parti che utilizzano le piattaforme e i servizi dei gatekeeper, come siti web e app, saranno fondamentali per la raccolta del consenso degli utenti prima che i dati personali vengano raccolti e utilizzati. Mentre i gatekeeper saranno tenuti a rispettare il DMA, le aziende più piccole che utilizzano le loro piattaforme e fanno affari con loro saranno in prima linea, per così dire, con il coinvolgimento degli utenti, l’ottenimento del consenso, ecc.
Una piattaforma di gestione del consenso può essere uno strumento chiave per ottenere il consenso conforme da parte degli utenti per l’uso dei dati. Le piattaforme di gestione del consenso (CMP) come la soluzione per il consenso Cookiebot™ e la CMP di Usercentrics sono già strumenti indispensabili per consentire alle aziende di qualsiasi tipo e dimensione di ottenere un consenso dell’utente valido e rispettare la conformità alle leggi sulla privacy dei dati.
Usercentrics, società madre di Cookiebot™, sta monitorando attentamente gli sviluppi per garantire che le soluzioni fornite soddisfino il Digital Markets Act (DMA) e altre normative pertinenti, ora e in futuro.
Sfide di implementazione e implicazioni future della normativa DMA
Sebbene i gatekeeper e altre organizzazioni siano già tenuti a rispettare le normative sulla privacy esistenti, la legge europea sui mercati digitali richiederà ulteriori sforzi e probabilmente presenterà alcune sfide.
Per soddisfare i requisiti di conformità del DMA, saranno probabilmente necessari adattamenti delle pratiche di raccolta e trattamento dei dati, aggiornamenti e modifiche sul piano tecnologico, e non solo. Le autorità di regolamentazione svolgeranno un ruolo importante nell’applicare la legge e garantire che i gatekeeper soddisfino a tutti gli effetti, e non solo a parole, i requisiti per la condivisione dei dati e altre azioni.
Il ruolo del DMA nel mondo digitale
Il regolamento sui mercati digitali (DMA) rappresenta un ulteriore rafforzamento dei diritti dei consumatori in relazione ai dati personali, oltre a garantire la protezione dei dati stessi e degli attuali diritti correlati. Gli obblighi che i gatekeeper identificati devono rispettare ai sensi del DMA e le restrizioni imposte a queste società contribuiscono inoltre a livellare il campo di gioco dei mercati digitali e aiutano le organizzazioni più piccole a competere a livello globale. Ciò favorirà anche l’innovazione e consentirà agli utenti di migliorare le esperienze online. Il DMA mira infatti a creare un ecosistema digitale più trasparente e incentrato sull’utente.
Continueremo a fornire informazioni sull’implementazione di questo regolamento e sulle implicazioni di altre leggi sulla privacy. Per ricevere aggiornamenti direttamente nella tua casella di posta, iscriviti alla nostra newsletter.
Usercentrics (Cookiebot™) non fornisce consulenza legale e le informazioni sono fornite esclusivamente a scopo educativo. Si consiglia sempre di rivolgersi a consulenti legali o esperti di privacy qualificati per questioni e operazioni relative alla privacy e alla protezione dei dati.
La soluzione più utilizzata per l’uso conforme dei cookie e del tracciamento online