In che modo il Digital Markets Act (DMA) europeo influisce sulla privacy degli utenti e sulla gestione del consenso

Il DMA europeo è un punto di riferimento legislativo volto a promuovere mercati digitali equi e competitivi nell’Unione europea. Questa legge sul diritto privato dei mercati digitali stabilisce un quadro di riferimento per la regolamentazione delle grandi aziende tecnologiche, note come gatekeeper, al fine di garantire che non abusino del loro potere di mercato e proteggere la privacy degli utenti e il consenso online.

Questo framework impone un cambiamento significativo ai principali protagonisti della tecnologia pubblicitaria, i gatekeeper, che ora saranno responsabili di garantire che i dati raccolti abbiano il corretto consenso dell’utente, mentre in passato tale responsabilità era affidata ai siti web che utilizzavano i servizi dei gatekeeper.

In questo articolo troverai un riepilogo del Digital Markets Act, in cui esaminiamo le sue disposizioni chiave e l’impatto di questa normativa su organizzazioni e utenti nello spazio digitale.

Il Digital Markets Act (DMA), entrato in vigore il 1° novembre 2022, è stato concepito per avere un impatto sulla concorrenza, in particolare sulle questioni antitrust, sulla protezione dei consumatori e sulla privacy nel settore digitale, regolamentando le grandi piattaforme online, ovvero i gatekeeper.

Il DMA impone restrizioni ai social network, ai motori di ricerca, alle piattaforme di condivisione video, ai sistemi operativi, ai servizi di cloud computing e ai servizi pubblicitari online di proprietà di grandi aziende digitali. Dato il loro impatto significativo sul mercato, questi gatekeeper sono soggetti a specifici obblighi e restrizioni per creare condizioni paritarie per le piccole imprese e proteggere i diritti degli utenti.

Per gli utenti, il DMA migliora la privacy imponendo nuove restrizioni ai dati e consentendo loro di disinstallare applicazioni precaricate.

Le imprese innovative e le start-up tecnologiche avranno nuove opportunità per competere e innovare nell’ambiente delle piattaforme online, senza dover rispettare condizioni inique che ne limitano lo sviluppo.

I consumatori disporranno di servizi più numerosi e migliori, dalla possibilità di cambiare più facilmente fornitore, se lo desiderano, e di accedere direttamente ai servizi, a prezzi più corretti.

Le aziende che dipendono dai gatekeeper per offrire i loro servizi nel mercato unico potranno operare in un contesto più equo.

I gatekeeper manterranno inalterata la possibilità di innovare e offrire nuovi servizi, ma non saranno autorizzati a ricorrere a pratiche sleali nei confronti degli utenti commerciali e dei clienti che dipendono da loro per ottenere un vantaggio indebito.

Chi sono esattamente i gatekeeper? Il termine gatekeeper si riferisce ai grandi attori del mercato digitale, come piattaforme online e motori di ricerca, che hanno un impatto significativo sul mercato e fungono da intermediari tra le aziende e i consumatori.

I sei gatekeeper designati dalla Commissione europea (CE) ai sensi del DMA sono:

• Alphabet
• Amazon
• Apple
• ByteDance
• Meta
• Microsoft

Nel suo comunicato stampa, la Commissione europea identifica ‌22 servizi critici della piattaforma supervisionati da questi gatekeeper:

• 4 social network (Facebook, Instagram, LinkedIn, TikTok)
• 2 grandi servizi di comunicazione (Facebook Messenger e WhatsApp)
• 6 cosiddette piattaforme di “intermediazione” (Amazon Marketplace, Google Maps, Google Play, Google Shopping, iOS App Store, Meta Marketplace)
• 1 motore di ricerca (Google)
• 2 browser Web (Chrome e Safari)
• 3 servizi pubblicitari online (Amazon, Google e Meta)
• 3 sistemi operativi più diffusi (Google Android, iOS, SO Windows PC)
• 1 piattaforma di condivisione video (YouTube)

Ai sensi del DMA, i gatekeeper hanno tempo fino al 6 marzo 2024 per rispettare l’elenco completo degli obblighi e dei divieti per garantire una concorrenza leale e proteggere la privacy degli utenti. Tra questi sono inclusi il divieto di pratiche sleali, l’accesso trasparente ai servizi e la condivisione dei dati con gli utenti aziendali.

Google ha già detto che prevede di apportare modifiche, affermando: “Il nostro obiettivo è implementare modifiche in linea con le nuove normative, preservando al contempo l’esperienza utente e offrendo prodotti di valore, innovativi e sicuri per gli utenti europei” (fonte: blog.google).

Microsoft ha accettato la designazione di gatekeeper, ma ha richiesto di avviare un’indagine per la potenziale esenzione dei servizi Microsoft, come Bing, Edge e Microsoft Ads dal DMA.

Apple e TikTok si sono dimostrati meno accoglienti nei confronti della nuova norma. Apple ha espresso perplessità in merito ai rischi per la privacy e la sicurezza associati alla legge del DMA (fonte: Reuters). In una dichiarazione, Apple ha enfatizzato il suo impegno a “mitigare questi impatti e continuare a fornire i migliori prodotti e servizi ai nostri clienti europei”. TikTok ha dichiarato di essere “fondamentalmente in disaccordo con questa decisione” e “deluso dal fatto che non sia stata condotta alcuna indagine di mercato prima di questa decisione”, aggiungendo che sta valutando le sue prossime mosse.

Nel frattempo, Meta, la società madre di Facebook, ha dichiarato che attualmente sta valutando la designazione della commissione.

I gatekeeper devono garantire l’interoperabilità con i servizi di terze parti, consentendo loro di comunicare e integrarsi con la loro piattaforma. Ciò contribuirà a creare condizioni di parità tra le imprese e impedisce ai gatekeeper di favorire i propri servizi rispetto a quelli della concorrenza. Gli obblighi di non discriminazione assicurano che i gatekeeper trattino tutte le aziende e gli utenti in modo equo, senza offrire un trattamento preferenziale ai propri prodotti o servizi.

I gatekeeper devono consentire agli utenti di trasferire i propri dati personali da un servizio a un altro, la cosiddetta portabilità dei dati. In questo modo gli utenti possono passare da una piattaforma all’altra e mantenere il controllo sui propri dati. I gatekeeper sono inoltre tenuti a fornire alle aziende e alle terze parti l’accesso in tempo reale ai dati generati dagli utenti sulla loro piattaforma, su richiesta.

I gatekeeper devono fornire una descrizione chiara e controllata delle tecniche utilizzate per la profilazione dei clienti sulla loro piattaforma. Ciò include informazioni sullo scopo, la durata e l’impatto della profilazione, nonché le misure adottate per richiedere il consenso dell’utente o fornire opzioni per negare o ritirare il consenso. La trasparenza assicura che gli utenti siano consapevoli del modo in cui vengono utilizzati i loro dati e che abbiano un maggiore controllo sulla loro privacy.

Il Digital Markets Act ha implicazioni significative per la privacy degli utenti e la gestione del consenso. Introduce restrizioni sulle basi giuridiche su cui i gatekeeper possono fare affidamento per il trattamento dei dati personali, limitandoli a motivi legali specifici quali il consenso dell’utente, gli obblighi legali, gli interessi vitali o le attività nell’interesse pubblico.

L’attenzione del DMA sull’ottenimento del consenso esplicito è in linea con i principi del marketing basato sul consenso, che enfatizza l’ottenimento dell’autorizzazione da parte degli individui prima di utilizzare le loro informazioni personali per scopi di marketing. Richiedendo il consenso esplicito dell’utente durante il trattamento dei dati personali, il DMA protegge la privacy dell’utente e garantisce che gli individui abbiano il potere di decidere in che modo i loro dati vengono utilizzati.

In alcuni casi i gatekeeper devono ottenere il consenso degli utenti per il trattamento dei dati personali, ad esempio per scopi pubblicitari online o per combinare dati personali provenienti da servizi diversi.

Il DMA delinea i requisiti per ottenere un consenso valido, l’informazione agli utenti delle conseguenze del mancato consenso e il divieto di pratiche ingannevoli (dark pattern) che manipolano gli utenti per indurli a dare il consenso.

Il DMA impone ai gatekeeper di condividere i dati personali con le aziende che operano sulla loro piattaforma e con le società pubblicitarie, su richiesta. Ciò consente alle aziende di accedere e utilizzare i dati degli utenti per fornire servizi personalizzati e pubblicità mirata.

Tuttavia, i gatekeeper devono garantire che la condivisione dei dati venga effettuata con termini equi, ragionevoli e non discriminatori, proteggendo la privacy degli utenti e impedendo l’uso improprio dei dati personali.

Una delle principali disposizioni del DMA è l’obbligo per i gatekeeper di abilitare la portabilità dei dati, consentendo agli utenti di trasferire i propri dati personali ad altre piattaforme o servizi. Ciò consente agli utenti di esercitare un maggiore controllo sui propri dati e facilita la concorrenza permettendo agli utenti di passare da una piattaforma all’altra senza perdere i dati.

La trasparenza è un aspetto fondamentale del DMA, che garantisce agli utenti di sapere come vengono elaborati i propri dati e di poter effettuare scelte informate.

I gatekeeper devono fornire informazioni chiare sulle tecniche di profilazione e ottenere il consenso dell’utente per la pubblicità mirata. Gli utenti devono avere la possibilità di negare o revocare il consenso e non devono essere soggetti a pratiche ingannevoli.

Il DMA impone ai gatekeeper garantire che siti web e/o aziende utilizzino i propri servizi per raccogliere, gestire e registrare il consenso degli utenti in modo trasparente e intuitivo. Deve ancora essere determinato in che modo i gatekeeper raggiungeranno questo obiettivo e quali requisiti legali e tecnici definiranno per gli inserzionisti.

Tuttavia, possiamo già capire che gli utenti dei servizi dei gatekeeper (ad esempio siti web, app e aziende che ne fanno parte) svolgeranno un ruolo fondamentale nella raccolta dei consensi appropriati, anche se in ultima analisi non sono loro i responsabili della conformità al DMA.

Le piattaforme di gestione del consenso (CMP) come Usercentrics CMP o la soluzione per il consenso Cookiebot™ sono già indispensabili per consentire alle aziende di raccogliere i dati con i consensi appropriati.

Come parte importante dell’ecosistema della privacy e proprietario di entrambe le soluzioni di gestione del consenso citate qui sopra, Usercentrics monitorerà attentamente gli sviluppi futuri e si impegnerà a garantire che le nostre soluzioni rimangano in linea con le implicazioni del Digital Markets Act (DMA) e di altre normative pertinenti che potrebbero emergere o evolvere.

Mentre il diritto privato dei mercati digitali riassunto nel DMA mira a proteggere la privacy degli utenti e a promuovere una concorrenza leale, presenta anche sfide per i gatekeeper e le autorità di regolamentazione. I gatekeeper dovranno adattare le proprie pratiche di elaborazione dei dati, implementare modifiche tecniche e garantire la conformità alle disposizioni del DMA. Le autorità di regolamentazione svolgeranno un ruolo cruciale nell’applicazione del DMA e nel garantire che i gatekeeper rispettino i propri obblighi.

Il Digital Markets Act rappresenta un passo importante verso la protezione della privacy degli utenti e la promozione della concorrenza leale nel settore digitale. Imponendo obblighi ai gatekeeper e migliorando il controllo degli utenti sui dati personali, il DMA mira a creare un ecosistema digitale più trasparente e incentrato sull’utente.

I gatekeeper e le autorità di regolamentazione si occupano dell’attuazione della legge sulla privacy del DMA, ma è essenziale trovare un equilibrio tra concorrenza, innovazione e diritti sulla privacy degli utenti.

Continueremo a fornire informazioni aggiornate su questi cambiamenti man mano che si verificano. Per ricevere aggiornamenti sul DMA per questioni relative alla gestione del consenso direttamente nella tua casella di posta, iscriviti alla nostra newsletter.

Usercentrics non fornisce consulenza legale e le informazioni sono fornite esclusivamente a scopo educativo. Si consiglia sempre di rivolgersi a consulenti legali o esperti di privacy qualificati per questioni e operazioni relative alla privacy e alla protezione dei dati.