Como a Lei Europeia dos Mercados Digitais (ou Digital Markets Act – DMA) afeta a privacidade do usuário e o gerenciamento de consentimento

A Lei Europeia dos Mercados Digitais (DMA) é um marco da legislação que visa promover mercados digitais justos e competitivos na União Europeia. A lei DMA estabelece uma estrutura para regulamentar as grandes empresas de tecnologia, conhecidas como controladores de acesso, para garantir que elas não abusem de seu poder de mercado e para proteger a privacidade e o consentimento do usuário on-line.

Essa estrutura imporá uma mudança significativa para os principais atores na tecnologia de anúncios – os controladores de acesso – que agora serão responsáveis por garantir que os dados que coletam tenham o consentimento adequado do usuário, enquanto no passado isso era responsabilidade dos sites que usavam os serviços dos controladores de acesso.

Neste artigo, forneceremos um resumo da Lei dos Mercados Digitais, explorando as principais disposições e o impacto da DMA sobre organizações e usuários no espaço digital.

A Lei dos Mercados Digitais (DMA), que entrou em vigor em 1º de novembro de 2022, foi projetada para impactar a concorrência – ou seja, questões antitruste – proteção ao consumidor, e privacidade no setor digital, por meio da regulamentação de grandes plataformas on-line – os controladores de acesso.

A DMA impõe restrições a redes sociais, mecanismos de busca, plataformas de compartilhamento de vídeos, sistemas operacionais, serviços de computação na nuvem e serviços de publicidade on-line de propriedade de grandes corporações digitais. Por terem um impacto significativo no mercado, esses controladores de acesso estão sujeitos a obrigações e restrições específicas para nivelar o campo de atuação das empresas menores e proteger os direitos dos usuários.

Para os usuários, ela aumenta a privacidade estabelecendo novas restrições de dados e permitindo que eles desinstalem aplicativos pré-carregados.

As empresas de inovação e as startups de tecnologia terão novas oportunidades para competir e inovar no ambiente de plataformas on-line, sem ter que cumprir termos e condições injustas que limitam seu desenvolvimento.

Os consumidores terão mais e melhores serviços para escolher, além de mais oportunidades de mudar de provedor, se assim desejarem, acesso direto a serviços e preços mais justos.

As empresas que dependem de controladores de acesso para oferecer seus serviços no mercado único terão um ambiente de negócios mais justo.

Os controladores de acesso manterão todas as oportunidades de inovar e oferecer novos serviços. Eles simplesmente não terão permissão para usar práticas injustas em relação aos usuários e clientes comerciais.

Então, quem exatamente são os controladores de acesso? O termo gatekeepers ou controladores de acesso refere-se aos grandes atores do mercado digital, como plataformas on-line e mecanismos de busca, que têm um impacto significativo no mercado e atuam como intermediários entre empresas e consumidores.

Os seis controladores de acesso designados pela Comissão Europeia (CE) no âmbito da DMA são:

• Alphabet
• Amazon
• Apple
• ByteDance
• Meta
• Microsoft

Em seu comunicado à imprensa, a CE identifica ‌22 serviços de plataforma essenciais supervisionados por esses controladores de acesso:

• 4 redes sociais (Facebook, Instagram, LinkedIn, TikTok)
• 2 grandes serviços de comunicação (Facebook Messenger e WhatsApp)
• 6 plataformas denominadas “intermediárias” (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace)
• 1 mecanismo de busca (Google)
• 2 navegadores da web (Chrome e Safari)
• 3 serviços de publicidade on-line (Amazon, Google e Meta)
• 3 sistemas operacionais mais populares (Google Android, iOS, Windows PC OS)
• 1 plataforma de compartilhamento de vídeo (YouTube)

De acordo com a DMA, os controladores de acesso agora têm até 6 de março de 2024 para cumprir a lista completa do que fazer e o que não fazer para garantir uma concorrência justa e proteger a privacidade do usuário. Isso inclui evitar práticas injustas, fornecer acesso transparente a serviços e compartilhar dados com usuários corporativos.

O Google já mencionou que planeja fazer alterações, dizendo: “Nosso objetivo é implementar modificações que se alinhem com as novas regulamentações, preservando a experiência do usuário e fornecendo produtos valiosos, inovadores e seguros para os usuários europeus” (fonte: blog.google).

A Microsoft aceitou sua designação de controlador de acesso, mas solicitou o início de uma investigação sobre a possibilidade de que os serviços da Microsoft, como Bing, Edge e Microsoft Ads, sejam isentos da DMA.

Apple e TikTok foram menos receptivos. A Apple expressou preocupações contínuas sobre os riscos de privacidade e segurança associados ao Digital Markets Act (fonte: Reuters). Em um comunicado, a Apple enfatizou seu compromisso de “mitigar esses impactos e continuar a fornecer os melhores produtos e serviços aos nossos clientes europeus.” A TikTok declarou que “discordou fundamentalmente dessa decisão” e “ficou desapontada por não ter sido conduzida nenhuma investigação de mercado antes dessa decisão”, acrescentando que estava avaliando suas próximas ações.

Enquanto isso, a Meta, empresa proprietária do Facebook, declarou que está avaliando a designação da comissão.

Os controladores de acesso devem garantir a interoperabilidade com serviços de terceiros, permitindo que eles se comuniquem e se integrem à plataforma do controlador de acesso. Isso promove a concorrência e impede que os controladores de acesso favoreçam seus próprios serviços em detrimento dos serviços dos concorrentes. As obrigações de não discriminação garantem que os controladores de acesso tratem todas as empresas e usuários de forma justa, sem dar tratamento preferencial a seus próprios produtos ou serviços.

Os controladores de acesso devem permitir que os usuários transfiram seus dados pessoais de um serviço para outro, o que é conhecido como portabilidade de dados. Isso permite que os usuários alternem entre plataformas e mantenham o controle sobre seus dados. Os controladores de acesso também são obrigados a fornecer acesso em tempo real aos dados gerados pelos usuários em sua plataforma para empresas e terceiros, mediante solicitação.

Os controladores de acesso devem fornecer uma descrição clara e auditada das técnicas usadas para definir o perfil dos consumidores em sua plataforma. Isso inclui informações sobre a finalidade, a duração e o impacto da definição de perfis, bem como as medidas tomadas para buscar o consentimento do usuário ou oferecer opções para negar ou retirar o consentimento. A transparência garante que os usuários estejam cientes de como seus dados estão sendo usados e lhes dá maior controle sobre sua privacidade.

A DMA tem implicações significativas para a privacidade do usuário e o gerenciamento de consentimento. Ela introduz restrições às bases legais nas quais os controladores de acesso podem se basear para processar dados pessoais, limitando as bases legais específicas , como o consentimento do usuário, obrigações legais, interesses vitais ou tarefas de interesse público.

O foco da DMA na obtenção de consentimento explícito está alinhado com os princípios do marketing de consentimento, que enfatiza a obtenção de permissão dos indivíduos antes de usar suas informações pessoais para fins de marketing. Ao exigir o consentimento explícito do usuário ao processar dados pessoais, a DMA protege a privacidade do usuário e garante que os indivíduos tenham o poder de decidir como seus dados são usados.

Os controladores de acesso devem obter o consentimento do usuário para processar dados pessoais em certos casos, como para fins de publicidade on-line ou combinar dados pessoais de diferentes serviços.

A DMA descreve os requisitos para a obtenção de consentimento válido, incluindo a informação aos usuários sobre as consequências de não dar consentimento e a proibição de práticas enganosas (padrões escuros) que manipulam os usuários para dar consentimento.

A DMA exige que os controladores de acesso compartilhem dados pessoais com empresas que operam em suas plataformas e com empresas de publicidade, mediante solicitação. Isso permite que as empresas acessem e usem dados do usuário para fornecer serviços personalizados e publicidade direcionada.

No entanto, os controladores de acesso devem garantir que o compartilhamento de dados seja feito em termos justos, razoáveis e não discriminatórios, protegendo a privacidade do usuário e evitando o uso indevido de dados pessoais.

Uma das principais disposições da DMA é a exigência para que os controladores de acesso habilitem a portabilidade de dados, permitindo que os usuários transfiram seus dados pessoais para outras plataformas ou serviços. Isso permite que os usuários exerçam maior controle sobre seus dados, o que facilita a concorrência, pois permite que os usuários alternem entre plataformas sem perder seus dados.

A transparência é um aspecto fundamental da DMA, garantindo que os usuários sejam informados sobre como seus dados são processados e dando a eles a capacidade de fazer escolhas informadas.

Os controladores de acesso devem fornecer informações claras sobre suas técnicas de definição de perfis (profiling) e obter o consentimento do usuário para publicidade direcionada. Os usuários devem ter a opção de negar ou retirar o consentimento e não devem ser submetidos a práticas enganosas.

A DMA exige que os controladores de acesso garantam que sites e/ou empresas que usam seus serviços coletem, gerenciem e registrem o consentimento do usuário de forma transparente e fácil de usar. Ainda não se sabe como os controladores de acesso conseguirão isso e quais requisitos legais e técnicos eles definirão para os anunciantes.

No entanto, já podemos entender que os usuários dos serviços dos controladores de acesso (por exemplo, sites, aplicativos e as empresas por trás deles) desempenharão um papel fundamental na coleta de consentimentos adequados, mesmo que não sejam os responsáveis finais pela conformidade com a DMA.

As plataformas de gerenciamento de consentimento (CMP), como a CMP da Usercentrics ou o Cookiebot™, uma solução de consentimento, já são indispensáveis para que as empresas coletem os consentimentos adequados para a coleta de dados.

Como parte importante do ecossistema de privacidade, além de ser proprietária das duas soluções de gerenciamento de consentimento mencionadas anteriormente, a Usercentrics monitorará de perto futuros desenvolvimentos e trabalhará para garantir que nossas soluções permaneçam alinhadas com as implicações da Lei dos Mercados Digitais (Digital Markets Act – DMA) e de outras legislações relevantes que possam surgir ou evoluir.

Embora a DMA tenha como objetivo proteger a privacidade do usuário e promover uma concorrência justa, ele também apresenta desafios para controladores de acesso e reguladores. Os controladores de acesso precisarão adaptar suas práticas de processamento de dados, implementar mudanças técnicas e garantir a conformidade com as disposições da DMA. Os reguladores desempenharão um papel crucial na aplicação da DMA e na garantia de que os controladores de acesso cumpram suas obrigações.

A Lei dos Mercados Digitais representa um passo significativo para proteger a privacidade do usuário e promover a concorrência justa no setor digital. Ao impor obrigações aos controladores de acesso e aumentar o controle dos usuários sobre os dados pessoais, a DMA visa criar um ecossistema digital mais transparente e centrado no usuário.

À medida que os controladores de acesso e os órgãos reguladores conduzem a implementação do Digital Markets Act (DMA), é essencial encontrar um equilíbrio entre concorrência, inovação e direitos de privacidade do usuário.

Nós nos certificaremos de mantê-lo informado sobre essas mudanças à medida que elas acontecem. Se quiser receber atualizações sobre a DMA e questões de gerenciamento de consentimento diretamente em sua caixa de entrada, assine a nossa newsletter.

A Usercentrics não fornece aconselhamento jurídico e as informações são fornecidas apenas para fins educacionais. Recomendamos sempre obter orientação jurídica qualificada ou a assistência de especialistas em privacidade em relação a questões e operações de privacidade e proteção de dados.