Entro il 6 marzo 2024, i “gatekeeper” designati ai sensi del Digital Markets Act (DMA) dovranno essere conformi ai requisiti della normativa in materia di servizi di piattaforma di base identificati per evitare di incorrere in pesanti multe e altre sanzioni.
Questa data non è importante solo per queste grandi aziende tecnologiche. Anche le aziende che operano nel settore digitale nell’Unione europea (UE) e/o nello Spazio economico europeo (SEE) devono adeguarsi al Digital Markets Act per continuare a utilizzare i servizi di piattaforma di base in modo continuativo.
In questo articolo esamineremo a chi è rivolto il Digital Markets Act, gli obblighi legali imposti dalla normativa e come le aziende possono prepararsi al DMA.
Obblighi legali imposti dal Digital Markets Act
È importante notare che il Digital Markets Act riguarda direttamente i gatekeeper, che sono tenuti a soddisfare i requisiti stabiliti dalla Commissione europea (CE). Ciò non vuol dire che gli utenti commerciali non siano coinvolti. La normativa riguarda anche le aziende del settore digitale che si affidano alle piattaforme e ai servizi dei gatekeeper per raccogliere ed elaborare i dati degli utenti nell’UE e/o SEE.
Le disposizioni del DMA in materia di privacy dei dati hanno un’ampia portata e non si limitano a disciplinare le piattaforme, ma anche i dati personali raccolti sulle stesse. Inoltre, i gatekeeper hanno spesso termini di servizio o accordi contrattuali propri, che le aziende devono rispettare durante l’utilizzo delle piattaforme, che possono essere allineati con i requisiti del DMA in materia di trasparenza e protezione dei dati. Inoltre, l’Unione europea e i suoi stati membri hanno altre leggi sulla privacy dei dati che devono essere osservate, come il regolamento generale sulla protezione dei dati (GDPR).
Ciò significa che le aziende che utilizzano i servizi di piattaforma di base non possono permettersi di essere spettatori passivi e devono allineare le proprie pratiche e policy al DMA se desiderano continuare a utilizzare questi servizi senza incorrere in complicazioni legali o rischiare di perdere l’accesso alla piattaforma.
Sebbene il DMA imponga diversi obblighi ai gatekeeper, quelli indicati di seguito possono avere conseguenze dirette per le aziende che utilizzano i servizi di piattaforma di base e stabiliscono come devono operare ai sensi del DMA.
Consenso esplicito degli utenti per la raccolta dei dati personali
Il Digital Markets Act prevede controlli rigorosi sulle basi giuridiche per la raccolta dei dati personali da parte dei gatekeeper e il consenso degli utenti è fondamentale. L’articolo 2 (32) del regolamento allinea la definizione di consenso dell’utente a quella del GDPR:
“Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”
Il consenso secondo il Digital Markets Act, pertanto, deve avere quattro caratteristiche principali: essere liberamente concesso, specifico, informato e inequivocabile.
Liberamente concesso: il consenso viene concesso liberamente se la persona interessata sceglie di farlo in totale libertà, senza subire pressioni, coercizioni o manipolazioni e senza essere penalizzata o osteggiata in caso di rifiuto. Il consenso non può essere una condizione per accedere a un servizio o a un prodotto, a meno che il trattamento dei dati personali non sia necessario per il funzionamento di tale servizio o prodotto. Le persone devono poter cambiare idea e ritirare il consenso con la stessa facilità con cui lo concedono.
Specifico: il consenso non è specifico se si accetta una raccolta di dati vaga o troppo ampia. Il consenso specifico implica che gli utenti accettino ogni singolo scopo per cui i loro dati personali vengono raccolti e trattati e possano accedere alle informazioni su ciascuno di essi per prendere la decisione giusta. Ad esempio, se un’azienda desidera trattare i dati di un individuo a scopo pubblicitario e di analisi, deve ottenere un consenso separato per ciascuno di questi scopi. Se un’azienda desidera utilizzare i dati per un altro scopo in un secondo momento, deve ottenere un consenso separato e specifico.
Informato: il consenso è informato se gli utenti dispongono di tutte le informazioni pertinenti prima di prendere una decisione, ad esempio se sanno quali dati verranno raccolti, per quali scopi specifici verranno utilizzati e chi potrà accedervi. Gli utenti devono inoltre essere informati del diritto di ritirare il proprio consenso in qualsiasi momento e delle conseguenze di tale decisione.
Inequivocabile: non deve esserci spazio per l’interpretazione. Il consenso è inequivocabile se l’utente ha chiaramente accettato il trattamento dei dati. In genere, tale processo implica l’esecuzione di un’azione da parte dell’utente, ad esempio selezionare una casella o fare clic su un pulsante “Accetto i termini e le condizioni”. Il silenzio, l’inattività, lo scorrimento o la preselezione di caselle non configurano un tipo di consenso inequivocabile.
Quando il consenso è conforme a tutte le suddette condizioni, è un’azione chiara e affermativa ai sensi del Digital Markets Act e del GDPR.
In che modo l’ottenimento del consenso esplicito influisce sulle aziende che utilizzano i servizi di piattaforma di base?
Le aziende che raccolgono e trattano i dati personali degli utenti nell’UE e/o SEE devono ottenere il consenso valido ed esplicito degli utenti. Sebbene gli obblighi, le multe e le sanzioni previsti dal DMA riguardino i gatekeeper, le aziende non possono permettersi di sottovalutare le proprie pratiche di raccolta dei dati. Il mancato ottenimento di un consenso valido, oltre a mettere a rischio l’accesso ai servizi di piattaforma di base, potrebbe comportare sanzioni ai sensi del GDPR o di altre leggi.
Restrizioni sulla combinazione dei dati per la profilazione
Il Digital Markets Act prevede rigorosi requisiti in tema di combinazione dei dati degli utenti tra le diverse piattaforme gestite dai gatekeeper e tra le piattaforme di proprietà di un gatekeeper e quelle di terze parti.
L’articolo 5 (2) del DMA afferma specificamente che il gatekeeper:
- (a) non tratta, ai fini della fornitura di servizi pubblicitari online, i dati personali degli utenti finali che utilizzano servizi di terzi che si avvalgono di servizi di piattaforma di base del gatekeeper;
- (b) non combina dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi di piattaforma di base o da eventuali ulteriori servizi forniti dal gatekeeper o con dati personali provenienti da servizi di terzi;
- (c) non utilizza in modo incrociato dati personali provenienti dal pertinente servizio di piattaforma di base in altri servizi forniti separatamente dal gatekeeper, compresi altri servizi di piattaforma di base, e viceversa; e
- (d) non fa accedere con registrazione gli utenti finali ad altri servizi del gatekeeper al fine di combinare dati personali,
a meno che sia stata presentata all’utente finale la scelta specifica e quest’ultimo abbia dato il proprio consenso ai sensi del GDPR.
Gli obiettivi qui riportati hanno lo scopo di impedire ai gatekeeper di ottenere un vantaggio sleale raggruppando i dati degli utenti provenienti da più fonti, e di proteggere la privacy degli utenti.
Questa disposizione limita la capacità dei gatekeeper e delle aziende di terze parti di utilizzare i dati su più piattaforme per la profilazione dei clienti e per la pubblicità mirata. La profilazione dei minori è già vietata dal GDPR.
Tuttavia, il Digital Markets Act non vieta del tutto la profilazione e i gatekeeper devono specificare chiaramente in che modo eseguono la profilazione degli utenti. Devono fornire informazioni verificate sui dati raccolti, sulle modalità di trattamento, sull’uso che ne viene fatto, sulla durata della conservazione a fini di profilazione e sull’impatto della profilazione sui servizi dei gatekeeper.
Inoltre, è importante che i gatekeeper mostrino come informano gli utenti della profilazione e come cercano di ottenere il loro consenso e che offrano la possibilità di negare o revocare il consenso per la raccolta e l’utilizzo dei dati a scopo di profilazione. I dati personali degli utenti che rifiutano o revocano il consenso non possono essere utilizzati per la profilazione.
In che modo le restrizioni sulla combinazione dei dati per la profilazione influiscono sulle aziende che utilizzano i servizi di piattaforma di base?
Le aziende non possono combinare i dati provenienti da piattaforme diverse, anche se si tratta di servizi di terze parti, ai fini della profilazione senza il consenso esplicito degli utenti per questo tipo specifico di condivisione dei dati.
Ciò significa che devono disporre di sistemi per garantire che i dati degli utenti raccolti da piattaforme diverse rimangano separati. In sostanza, il DMA impone un approccio più trasparente e separato alla gestione dei dati per tutte le parti coinvolte.
Quest’ultimo punto è particolarmente importante alla luce dei requisiti del DMA in tema di interoperabilità. I gatekeeper devono consentire agli utenti di passare da un servizio all’altro e di accedere e trasferire facilmente i propri dati, oltre a garantire la compatibilità e l’integrazione con altre piattaforme o altri servizi. Le aziende e gli inserzionisti che hanno accesso ai dati di più piattaforme non possono combinare questi dati per la profilazione senza un valido consenso da parte degli utenti.
Rischi associati alla non conformità al Digital Markets Act
Il Digital Markets Act regolamenta i gatekeeper e non prevede sanzioni amministrative per altre aziende in caso di inadempienza. Tuttavia, esistono potenziali ripercussioni per le aziende che non gestiscono i dati degli utenti in base ai requisiti del DMA.
La mancata conformità può limitare o impedire l’accesso ai servizi di piattaforma di base, che sono spesso canali essenziali per connettere le aziende con i potenziali clienti e incrementare le vendite e i ricavi pubblicitari. Le aziende possono perdere l’accesso ai propri dati e al proprio pubblico, con conseguente perdita di ricavi.
Un aspetto diverso, ma altrettanto preoccupante, è il danno reputazionale. Il mancato rispetto delle regole per la protezione dei dati previste dal DMA può compromettere la fiducia dei clienti, determinando una riduzione dei tassi di conversione, un aumento del tasso di abbandono e perdite in termini di ricavi.
In che modo le aziende si preparano al Digital Markets Act
Comprendere il Digital Markets Act e il suo impatto sulle operazioni e sui servizi può aiutare le aziende ad assegnare le risorse necessarie, sia in termini di personale che di budget, per raggiungere e mantenere la conformità. In questo modo, le aziende possono creare solide basi per la sicurezza legale e incrementare la fiducia dei clienti.
Per adeguarsi al Digital Markets Act, le aziende devono garantire che la raccolta del consenso degli utenti e la segnalazione delle loro preferenze su siti web o app siano conformi al GDPR e alla direttiva ePrivacy.
Uso di una piattaforma di gestione del consenso per ottenere il consenso valido degli utenti
Per ottenere il consenso valido degli utenti è necessario innanzitutto avere un’informativa sulla privacy chiara e facilmente accessibile che spieghi quali dati verranno raccolti, come verranno utilizzati e chi può accedervi.
I banner di consenso per i cookie devono avere un linguaggio semplice che comunichi quali dati vengono raccolti e per quale scopo. Questi banner devono essere progettati per ottenere il consenso esplicito liberamente concesso senza ricorrere a manipolazione o linguaggio ingannevole.
Le aziende che cercano un approccio semplificato alla gestione di questi requisiti di consenso possono utilizzare una piattaforma di gestione del consenso (CMP), come la CMP di Usercentrics. Usercentrics è un partner CMP che supporta la modalità di consenso Google e la piattaforma di gestione del consenso aiuta le aziende a raccogliere e documentare il consenso valido degli utenti per soddisfare i requisiti normativi. Ciò aiuta le aziende a raggiungere la conformità legale, a evitare sanzioni e a mantenere la fiducia dei clienti man mano che crescono. La CMP di Usercentrics si integra con molti sistemi di gestione dei contenuti popolari e garantisce una configurazione più semplice.
Vuoi configurare o utilizzare una CMP per prepararti al Digital Markets Act? Inizia la prova gratuita di 30 giorni della CMP di Usercentrics.
Audit periodici sulla privacy dei dati e controlli di conformità
Un programma sistematico per gli audit interni può fungere da rete di sicurezza per monitorare la conformità man mano che il DMA e altre normative in materia evolvono. Questi audit devono concentrarsi sulle valutazioni dell’impatto sulla protezione dei dati (DPIA) per valutare le specifiche di elaborazione, archiviazione e condivisione dei dati degli utenti ai sensi del Digital Markets Act.
Altrettanto importante è la valutazione delle pratiche di partner e fornitori esterni. Se gestiscono dati provenienti dalle piattaforme di un’azienda, le policy di trattamento dei dati devono essere in linea con le normative. Eventuali mancanze possono avere ripercussioni sulle relazioni commerciali e potenziali conseguenze legali. Molte leggi sulla privacy dei dati richiedono contratti con terze parti che si occupano di trattamento dei dati per delineare le responsabilità in termini di accesso, protezione e utilizzo.
Passaggio al marketing basato sul consenso
Le aziende devono riesaminare le proprie strategie di marketing per adeguarsi alle rigorose linee guida imposte dal Digital Markets Act in materia di profilazione degli utenti e restrizioni sul retargeting. Anziché affidarsi al targeting basato sui dati combinati degli utenti, le aziende dovrebbero adottare il marketing basato sul consenso ed esplorare altre strategie, tra cui la pubblicità contestuale.
Il passaggio dal targeting specifico per l’utente al targeting contestuale si allinea meglio al requisito di consenso esplicito per l’utilizzo dei dati del DMA. Inoltre, offre alle aziende la possibilità di mantenere strategie pubblicitarie efficaci senza compromettere la fiducia degli utenti. Il marketing basato sul consenso protegge la privacy degli utenti e offre un’interazione più trasparente tra l’azienda e il consumatore, determinando relazioni potenzialmente più solide e affidabili con il marchio.
Approccio efficace alla gestione dei dati
Le aziende che raccolgono i dati degli utenti su più piattaforme dovrebbero dare priorità a strategie di gestione dei dati che proteggono la privacy e che sono conformi alle varie normative. Ogni fase del ciclo di vita dei dati (raccolta, archiviazione, utilizzo, eliminazione) deve essere analizzata per garantire che i dati personali siano protetti e non vengano condivisi con terze parti non necessarie o con altre persone o aziende non autorizzate. Le aziende devono inoltre assicurarsi che i dati provenienti da piattaforme diverse non vengano combinati per la profilazione e la pubblicità mirata.
Comunicazione del valore dell’allineamento ai Digital Markets Act all’interno dell’azienda
Far comprendere a tutti la necessità di conformarsi al DMA è un modo efficace per rendere il processo parte integrante delle operazioni quotidiane e ridurre il rischio di contravvenire ai requisiti.
I team a contatto con il pubblico, come marketing, vendite e customer success, che condividono messaggi unificati sull’allineamento al DMA rafforzano l’impegno dell’azienda nei confronti della privacy degli utenti, delle pratiche etiche e della conformità legale.
A tal fine, i team interni necessitano di una formazione completa per capire come conformarsi al Digital Markets Act e di argomentazioni specifiche per le riunioni con i clienti e le presentazioni di vendita.