Per gli inserzionisti che si affidano alle grandi aziende tecnologiche, spesso il terreno di gioco viene percepito impari. Il Digital Markets Act (DMA), un quadro normativo creato dalla Commissione europea (CE), mira a correggere questa situazione.

Questo regolamento impone restrizioni e obblighi alle grandi aziende tecnologiche, designate dalla CE come “gatekeeper”, per aumentare la trasparenza, migliorare le condizioni della concorrenza e offrire una migliore protezione dei dati agli utenti. Il DMA interessa i consumatori online nell’Unione europea (UE) e/o nello spazio economico europeo (SEE), nonché le aziende con utenti in tali aree geografiche e che utilizzano piattaforme e servizi dei gatekeeper.

Gli inserzionisti devono comprendere in che modo il Digital Markets Act li influenza per continuare a raggiungere efficacemente il proprio pubblico nel rispetto delle leggi sulla privacy. Questo articolo illustra l’impatto del DMA sulla pubblicità e offre suggerimenti pratici agli inserzionisti digitali per la conformità alle normative sulla privacy.

Il ruolo della privacy e della conformità nella pubblicità

La privacy dei dati e la conformità alle normative sono diventati requisiti fondamentali per la pubblicità digitale,  plasmando il modo in cui i clienti vedono i marchi. In un mondo in cui vengono generate ingenti quantità di dati personali e con una maggiore consapevolezza da parte dei consumatori, seguire questi principi è più importante che mai per salvaguardare la fiducia e garantire una raccolta e un utilizzo responsabili dei dati.

L’adozione di pratiche pubblicitarie conformi alla privacy contribuisce a garantire l’adesione ai requisiti legali, nonché a creare fiducia nei consumatori. Gli inserzionisti possono mostrare ai consumatori il loro impegno verso la privacy proteggendo i dati degli utenti e rispettando le loro preferenze, contribuendo in ultima analisi alla longevità e al successo del loro marchio.

Restrizioni e obblighi per i gatekeeper nella pubblicità online

Le regole del DMA imposte ai gatekeeper hanno un duplice scopo. Mirano a tenere sotto controllo le grandi piattaforme e la loro influenza e a creare opportunità eque per tutti gli inserzionisti, grandi o piccoli. Allo stesso tempo, i requisiti introdotti dal Digital Markets Act sono volti a proteggere ulteriormente i dati dei consumatori, assicurando che sia gli inserzionisti che le piattaforme mantengano elevati standard di privacy dei dati.

Divulgazione delle politiche di raccolta e utilizzo dei dati

I gatekeeper devono comunicare apertamente quali dati raccolgono, nonché come li utilizzano, condividono o come ne traggono profitto sulle loro piattaforme. Devono ottenere il consenso esplicito dell’utente prima di raccogliere e trattare i dati personali. Devono fornire agli inserzionisti informazioni chiare sulle regole che disciplinano il posizionamento degli annunci e sulle metriche che influenzano queste decisioni.

Garanzia di un posizionamento degli annunci e di una classificazione dei risultati di ricerca corretti per tutti gli inserzionisti

I gatekeeper hanno l’obbligo di trattare con tutti gli inserzionisti allo stesso livello. Non possono dare priorità ai propri servizi e prodotti in termini di classificazione dei risultati di ricerca, posizionamento degli annunci o simili. Questo obiettivo mira a promuovere un ecosistema pubblicitario più competitivo e vivace.

Fornire metriche dettagliate per la verifica indipendente delle prestazioni degli annunci

Agli inserzionisti devono essere forniti gli strumenti e le informazioni necessari per verificare in modo indipendente le prestazioni dei loro annunci. Ciò significa fornire dati dettagliati sulle visualizzazioni degli annunci, sulla frequenza e sulla portata del pubblico, in modo che gli inserzionisti possano misurare il ritorno sull’investimento.

Fornire un accesso equo alla piattaforma per gli inserzionisti di tutti i settori

Ai gatekeeper è vietato limitare ingiustamente agli inserzionisti l’utilizzo delle loro piattaforme o servizi. Gli inserzionisti devono avere pari opportunità di interagire con i potenziali clienti, indipendentemente dalle loro dimensioni o settore di appartenenza. Tuttavia, i gatekeeper possono rimuovere dalle loro piattaforme terze parti che non soddisfano gli standard sulla privacy dei dati.

Semplificare le campagne multipiattaforma tramite l’interoperabilità

I gatekeeper sono incoraggiati a progettare i loro servizi in modo che possano funzionare perfettamente con altre piattaforme. L’obiettivo è quello di rendere più semplice per gli inserzionisti l’esecuzione di campagne multipiattaforma e l’analisi dei dati senza essere collegati a un unico ecosistema.

Conformità alle leggi sulla protezione dei dati

I gatekeeper devono aderire a severi obblighi di protezione dei dati ai sensi del DMA e di altre leggi, come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE, che, per estensione, influisce sul modo in cui gli inserzionisti possono utilizzare queste piattaforme. Ciò include la raccolta e la segnalazione del consenso conforme e la salvaguardia dei dati degli utenti in modo che gli inserzionisti stessi rispettino le leggi sulla privacy, e non rischino di esporre i gatekeeper alle violazioni, durante l’utilizzo delle loro piattaforme.

L’impatto del Digital Markets Act sugli inserzionisti

Con l’introduzione del DMA, gli inserzionisti stanno entrando in una nuova era di normative che richiedono la loro attenzione. Il DMA influenza le modalità e la quantità di dati raccolti, le pratiche di profilazione degli utenti e i principi di trasparenza e trattamento equo. Gli inserzionisti devono ora adattarsi a questi cambiamenti per mantenere la competitività nel settore e rispettare le leggi sulla privacy.

Linee guida più rigorose per la raccolta dei dati

L’obbligo dei gatekeeper di ottenere il consenso esplicito degli utenti per la raccolta dei dati si estende alle pratiche degli inserzionisti di terze parti se utilizzano le piattaforme dei gatekeeper. Ciò significa che gli inserzionisti devono raccogliere il consenso degli utenti in base alle normative e alle regole delle piattaforme. La non conformità non solo espone gli inserzionisti al rischio di rimozione degli annunci, ma aumenta anche la possibilità di conseguenze legali. Multe e sanzioni ai sensi del DMA possono essere rivolte ai gatekeeper, ma le terze parti rischiano di violare altre leggi come il GDPR e di incorrere in sanzioni da parte dei gatekeeper stessi.

Districarsi tra le modifiche alle pratiche di profilazione degli utenti

Il DMA impone restrizioni più stringenti sulla profilazione degli utenti nella pubblicità. Il consenso esplicito degli utenti è obbligatorio per raccogliere i loro dati personali e i gatekeeper e gli inserzionisti non possono combinare i dati degli utenti di piattaforme o servizi diversi per creare profili. Di conseguenza, gli inserzionisti devono orientarsi verso pratiche incentrate sulla privacy, il che potrebbe significare un allontanamento dagli annunci personalizzati.

Comprendere le implicazioni delle politiche di trattamento equo

L’obbligo dei gatekeeper di trattare tutti gli inserzionisti allo stesso modo cambia le dinamiche di posizionamento degli annunci e di classificazione dei risultati di ricerca. In questo modo si elimina il trattamento preferenziale che apporta vantaggi agli inserzionisti più grandi e facilita la competitività per le aziende con budget ridotti. Questo maggior livello di concorrenza rende più importante che mai per gli inserzionisti ottimizzare le proprie campagne per distinguersi. Fortunatamente, i requisiti di trasparenza previsti dal DMA contribuiranno a fornire dati operativi critici per permettere un’ottimizzazione più rapida e intelligente.

Verifica indipendente degli annunci pubblicitari

Con l’applicazione dei requisiti del Digital Markets Act, gli inserzionisti hanno un maggiore controllo sulla valutazione delle prestazioni delle loro campagne pubblicitarie. Tuttavia, devono adottare misure proattive per garantire la privacy degli utenti e la sicurezza dei dati mentre accedono a questi per analizzare le prestazioni dei loro annunci pubblicitari. Questo cambiamento potrebbe aumentare i costi operativi e richiedere una maggiore attenzione alla gestione dei dati, con un potenziale impatto sull’efficienza e sull’efficacia complessiva delle strategie pubblicitarie. Allo stesso tempo, ciò potrebbe stimolare le innovazioni nella pubblicità digitale.

Prepararsi a una maggiore gestione dei dati multipiattaforma

La spinta verso l’interoperabilità tra le piattaforme con il Digital Markets Act significa che ora gli inserzionisti devono gestire l’analisi dei dati su più piattaforme. Questo comporta una serie di sfide relative alla privacy degli utenti. I diversi termini e condizioni di ogni piattaforma possono rendere complicato tenere traccia di ciò che si può fare con ogni dato. Questo può essere complesso per gli inserzionisti, in quanto una gestione scorretta delle informazioni degli utenti da qualsiasi piattaforma può portare a sanzioni, non solo da parte di quel servizio specifico, ma anche in base a leggi più ampie sulla protezione dei dati. 

Inoltre, le operazioni di marketing oggi tendono a coinvolgere un ecosistema di strumenti, attività e dati connessi. Pertanto, garantire, ad esempio, che i dati degli utenti vengano conservati in modo sicuro in base ai requisiti normativi può diventare ancora più difficile.

Adesione a severe misure di protezione dei dati

L’obbligo dei gatekeeper di aderire a rigorose leggi sulla protezione dei dati influisce sul modo in cui gli inserzionisti interagiscono con queste piattaforme. Gli inserzionisti devono rafforzare le misure di protezione dei dati per evitare di contravvenire alle leggi esistenti, che potrebbero comportare gravi sanzioni, tra cui la perdita di pubblico, dati e ricavi, e compromettere la fiducia dei clienti.

Ripercussioni della mancata conformità per gli inserzionisti

Il Digital Markets Act si concentra sui gatekeeper per quanto riguarda le multe e le altre sanzioni in caso di non conformità. Ma ciò non significa che gli inserzionisti non siano coinvolti. I gatekeeper non vogliono rischiare la loro conformità alle normative ed esercitano una forte influenza per garantire che anche le terze parti siano conformi. 

Gli inserzionisti devono segnalare la prova del consenso conforme per la raccolta e l’utilizzo dei dati personali. Se non possono o non riescono a farlo, i gatekeeper possono interrompere l’accesso alle loro piattaforme e servizi. Nessun annuncio, nessun dato, nessun ricavo. E non ci sono molte altre piattaforme con le dimensioni e la portata dei gatekeeper.

Danni alla reputazione

La mancata conformità ai requisiti del DMA e dei gatekeeper può anche danneggiare gravemente la reputazione di un inserzionista, compromettendo la fiducia dei consumatori. A lungo termine, questi danni alla reputazione possono avere effetti di ampia portata, danneggiando la crescita.

In che modo gli inserzionisti possono districarsi tra i cambiamenti apportati dal Digital Markets Act

Sebbene le nuove regole introdotte dal DMA possano presentare delle sfide, gli inserzionisti possono adottare in modo proattivo le misure necessarie per raggiungere la conformità e mantenere buone relazioni operative con i gatekeeper con fiducia.

1. Raccolta del consenso esplicito dell’utente

Gli inserzionisti devono ottenere un consenso chiaro, informato e inequivocabile da parte degli utenti prima di raccogliere e trattare i dati. A tal fine è necessario disporre di un’informativa sulla privacy chiara che spieghi quali dati verranno raccolti, come verranno utilizzati e chi può accedervi. Gli inserzionisti possono utilizzare una piattaforma di gestione del consenso (CMP) come quella di Usercentrics per raccogliere da parte dell’utente un consenso valido per l’uso dei dati personali.

2. Adottare pratiche incentrate sulla privacy

Alla luce delle normative più severe del DMA sulla profilazione utenti, gli inserzionisti devono spostare il loro approccio verso pratiche incentrate sulla privacy e adottare un marketing basato sul consenso, anche se significa abbandonare una pubblicità altamente mirata. Ciò include l’astensione dal combinare i dati dell’utente provenienti da diversi servizi per creare profili, poiché questa pratica è vietata.

3. Miglioramento delle strategie di gestione dei dati

Man mano che diventa necessaria la gestione dei dati multipiattaforma, gli inserzionisti devono sviluppare solide strategie di gestione dei dati. Queste strategie devono includere l’analisi dei dati su più piattaforme, garantendo meticolosamente la privacy degli utenti e la conformità ai diversi requisiti normativi e aziendali. Gli inserzionisti devono prestare particolare attenzione alle modalità di raccolta, archiviazione e utilizzo dei dati su diverse piattaforme per evitare di gestire in modo errato le informazioni degli utenti e di incorrere in conseguenti potenziali sanzioni.

4. Revisione e aggiornamento regolari delle pratiche

Una diligenza continua è fondamentale per garantire la conformità alle leggi in continua evoluzione in materia di tecnologia e privacy. Gli inserzionisti devono svolgere controlli periodici sulla privacy dei dati per garantire che le loro politiche e i loro processi siano in linea con il Digital Markets Act e adottare misure correttive, se necessario.

5. Rivolgersi a un consulente legale

Professionisti legali ed esperti della privacy qualificati, come un responsabile della protezione dei dati, possono offrire indicazioni personalizzate, valutare i rischi e aiutare le aziende ad allinearsi alle leggi sulla privacy. Gli inserzionisti devono rivolgersi a un consulente esperto per garantire la conformità, proteggere i dati degli utenti e rispettare i limiti delle normative sulla privacy.

Il potere e l’influenza delle grandi piattaforme online su piccole imprese e consumatori non vanno assolutamente sottovalutati. Queste piattaforme, note come gatekeeper nel Digital Markets Act, hanno la capacità di plasmare il panorama digitale e possono influire su milioni di aziende e consumatori. L’Unione europea ha riconosciuto la necessità di regolamentare i gatekeeper per garantire una concorrenza più leale e per proteggere i dati e i diritti di privacy degli utenti. Ciò ha reso necessaria l’implementazione del Digital Markets Act (DMA), un regolamento volto a creare condizioni paritarie nei mercati digitali europei.

In questo articolo analizzeremo il ruolo dei gatekeeper ai sensi del Digital Markets Act (DMA). Esamineremo i criteri di designazione, i doveri di queste aziende e le conseguenze della non conformità al nuovo regolamento. Scopri insieme a noi il DMA e le sue implicazioni per le imprese europee.

Cosa si intende per gatekeeper nel Digital Markets Act?

Il termine “gatekeeper” definito dalla Commissione europea (CE) si riferisce alle grandi aziende tecnologiche che gestiscono uno o più servizi di piattaforma di base (CPS). I CPS sono identificati dalla Commissione europea anche per le dimensioni del pubblico, il volume di dati che generano ed elaborano e l’influenza che esercitano sui mercati digitali e sui consumatori. I 22 CPS includono browser web, piattaforme di social media, assistenti vocali, motori di ricerca, sistemi operativi, piattaforme video e altro ancora.

Grazie ai servizi di piattaforma di base che offrono, i gatekeeper sono strumenti importanti che le aziende possono sfruttare per raggiungere gli utenti finali. Raccolgono e gestiscono enormi quantità di dati degli utenti, controllano l’accesso a servizi popolari ed essenziali e possono potenzialmente sfruttare la loro posizione a scapito della concorrenza e dell’innovazione.

I gatekeeper hanno il potere di plasmare il panorama online e di influire sul successo delle aziende che operano nel loro ambito. Grazie alla vasta portata e all’ampia base di utenti, i gatekeeper sono diventati i protagonisti del mercato digitale.

Designazione di gatekeeper ai sensi del Digital Markets Act

Le aziende gatekeeper sono state scelte in base a criteri specifici e hanno risposto a questa designazione in vari modi, alcune in modo favorevole e altre esprimendo forte dissenso. Il ruolo e l’influenza delle grandi aziende tecnologiche nei mercati digitali sono oggetto di costante analisi, quindi è possibile che l’elenco delle aziende gatekeeper possa allungarsi o subire modifiche, analogamente a quello dei servizi di piattaforma di base che offrono.

Criteri per la designazione come gatekeeper

Per essere designata come “gatekeeper” ai sensi del DMA, un’azienda deve soddisfare specifici criteri qualitativi e quantitativi.

I criteri qualitativi includono produrre un impatto significativo sui mercati digitali, fornire uno o più servizi di piattaforma di base che fungano da importanti intermediari tra aziende e consumatori e avere una posizione solida e stabile nel mercato.

I criteri quantitativi prevedono il rispetto di determinate soglie finanziarie, ad esempio un fatturato annuo di almeno 7,5 miliardi di euro nell’UE o una valutazione di mercato di almeno 75 miliardi di euro. Inoltre, i gatekeeper devono fornire gli stessi servizi di piattaforma di base in almeno tre stati membri dell’UE e avere un numero considerevole di utenti finali e utenti commerciali attivi.

Processo di designazione dei gatekeeper

La designazione di gatekeeper ai sensi del DMA è un processo rigoroso. La Commissione europea è responsabile della designazione dei gatekeeper sulla base dei criteri qualitativi e quantitativi delineati nel regolamento. Si presume che i gatekeeper che rispettano le soglie per la designazione soddisfino i requisiti, a meno che non siano in grado di contestare la presunzione.

I gatekeeper hanno l’opportunità di contestare i criteri quantitativi fornendo prove e argomentazioni per dimostrare che non soddisfano i requisiti in questione. La Commissione può inoltre condurre indagini di mercato per valutare la designazione dei gatekeeper e considerare fattori aggiuntivi come fatturato, capitalizzazione di mercato, numero di utenti, effetti sulla rete e altro.

Gatekeeper designati dalla Commissione europea ai sensi del Digital Markets Act

Delle sei aziende attualmente designate come gatekeeper dalla Commissione europea, cinque hanno sede negli Stati Uniti e una in Cina. Tutte operano e hanno utenti in Europa, ma nessuna ha sede nell’UE. I gatekeeper sono:

• Microsoft (proprietario di LinkedIn e del sistema operativo PC Windows)
• Meta (proprietario di Facebook, Instagram, WhatsApp e altri)
• Alphabet (proprietario di Google, YouTube e Android)
• ByteDance (proprietario di TikTok)
• Amazon (proprietario di Amazon Marketplace)
• Apple (proprietario di iOS e App Store)

A seguito della loro designazione avvenuta il 6 settembre 2023, ogni gatekeeper ha una finestra di sei mesi per adeguarsi agli obblighi del DMA in relazione ai servizi di piattaforma di base specificati. La scadenza è il 6 marzo 2024.

La Commissione ha inoltre avviato indagini di mercato per valutare ulteriormente le richieste di Microsoft e Apple, che hanno contestato la designazione di alcuni dei loro servizi di piattaforma di base (fonte: Financial Times, settembre 2023). Queste indagini mirano a determinare se i servizi in questione devono essere designati come CPS. Inoltre, è stata avviata un’indagine di mercato per valutare se iPadOS di Apple debba essere designato come servizio di piattaforma di base.

Ambito delle operazioni dei servizi di piattaforma di base dei gatekeeper

I servizi di piattaforma di base dei gatekeeper comprendono un’ampia gamma di piattaforme e attività digitali, dall’agevolazione delle transazioni online alla connessione degli utenti tramite i social media. Il valore extraterritoriale del DMA fa sì che i gatekeeper siano soggetti alle sue normative, indipendentemente da dove hanno sede, perché offrono i loro servizi a utenti commerciali o utenti finali residenti o situati in UE e SEE.

Obblighi imposti ai gatekeeper

I gatekeeper hanno una serie di obblighi da rispettare ai sensi del DMA, che includono quanto segue.

Trattamento dei dati e pubblicità mirata: i gatekeeper devono ottenere il consenso degli utenti prima di raccogliere e trattare i dati personali per scopi di pubblicità mirata. Gli viene anche vietato di combinare i dati personali di diversi servizi di piattaforma di base o di ricorrere all’utilizzo incrociato dei dati in altri servizi che forniscono.

Non discriminazione: i gatekeeper non devono discriminare gli utenti commerciali impedendo loro di offrire gli stessi prodotti o servizi tramite servizi di intermediazione online di terze parti o i propri canali di vendita online diretta a prezzi diversi o con condizioni differenti.

Libertà di comunicazione e promozione: i gatekeeper devono permettere agli utenti commerciali di comunicare e promuovere le loro offerte agli utenti finali acquisiti tramite i servizi di piattaforma di base, indipendentemente dal fatto che tali servizi vengano utilizzati. Ciò favorisce una concorrenza leale e offre agli utenti commerciali la libertà di raggiungere il proprio pubblico di destinazione.

Accesso a contenuti e servizi: i gatekeeper devono permettere agli utenti finali di accedere e utilizzare contenuti, abbonamenti, funzionalità o altri elementi tramite i loro servizi di piattaforma di base utilizzando l’applicazione software di un utente commerciale di terze parti. Ciò offre libertà di scelta all’utente e impedisce ai gatekeeper di limitare l’accesso a determinati servizi.

Reclami e risoluzione delle controversie: i gatekeeper non devono impedire agli utenti commerciali o finali (né limitarne la facoltà) di sollevare questioni di non conformità alle leggi pertinenti alle autorità pubbliche, compresi i tribunali nazionali. I gatekeeper sono invitati a stabilire meccanismi legali di gestione dei reclami per risolvere eventuali problemi segnalati dagli utenti.

Conformità agli obblighi del Digital Markets Act

I gatekeeper hanno la responsabilità di garantire la loro conformità nei confronti degli obblighi previsti dal DMA e di terze parti connesse alle loro piattaforme e ai loro servizi. Devono stabilire un controllo di conformità indipendente dalle loro funzioni operative. Il controllo di conformità, eseguito da un responsabile designato, ha lo scopo di monitorare e supervisionare la conformità del gatekeeper al DMA. Il responsabile di questo controllo ha l’autorità e le risorse necessarie per svolgere la propria attività e segnalare eventuali inadempienze all’organo di gestione del gatekeeper.

I gatekeeper hanno sei mesi di tempo dalla loro designazione, fino al 6 marzo 2024, per adempiere a tutti gli obblighi previsti dal DMA. Durante questo periodo, sono tenuti a presentare una relazione di conformità dettagliata alla Commissione europea, illustrando in che modo hanno implementato le misure necessarie per adempiere ai propri obblighi. La Commissione monitorerà attentamente l’implementazione e la conformità dei gatekeeper e può imporre pesanti sanzioni economiche in caso di inadempienza. Di seguito sono riportati i dettagli.

Conseguenze della non conformità al Digital Markets Act

I gatekeeper che non rispettano gli obblighi stabiliti nel DMA incorrono in serie conseguenze. La Commissione europea ha l’autorità di imporre sanzioni amministrative fino al 10% del fatturato annuale mondiale del gatekeeper, o fino al 20% in caso di reiterazione delle violazioni.

Oltre a tali sanzioni, la Commissione può imporre obblighi comportamentali o strutturali in caso di inadempienza sistematica al DMA da parte di un gatekeeper. Tali obblighi possono includere la cessione di alcuni settori di attività o il divieto di effettuare acquisizioni correlate a pratiche non conformi.

Il DMA consente inoltre alla Commissione di avviare indagini di mercato per valutare la conformità e designare i gatekeeper in base ai criteri qualitativi. Queste indagini vengono condotte per garantire un mercato digitale equo e competitivo e possono comportare ulteriori conseguenze per i gatekeeper non conformi al DMA.

Futura espansione del ruolo e della designazione dei gatekeeper ai sensi del Digital Markets Act

Come molte normative attuali, in particolare quelle attinenti alla privacy dei dati, il Digital Markets Act è in evoluzione. L’ambito operativo, la tecnologia e il pensiero giuridico sono in costante trasformazione e le normative devono evolversi di pari passo. I requisiti previsti dal DMA possono cambiare, così come i diritti degli utenti finali e l’elenco dei gatekeeper e dei servizi di piattaforma di base.

Espansione della designazione di gatekeeper

Il DMA consente ad altre aziende di presentare la richiesta di designazione come gatekeeper alla Commissione europea. Queste aziende possono valutare autonomamente la loro conformità alle soglie pertinenti e avviare discussioni con la Commissione. Ciò garantisce un ambiente normativo dinamico e in evoluzione e in grado di adattarsi al mutevole panorama digitale.

Conformità al Digital Markets Act e fiducia degli utenti

La conformità agli obblighi del DMA da parte dei gatekeeper è essenziale per mantenere la fiducia degli utenti. Rispettando i requisiti del DMA, i gatekeeper possono dimostrare il loro impegno a fornire un ambiente digitale sicuro e protetto. La conformità non solo riduce il rischio di multe e sanzioni, ma contribuisce a creare una reputazione positiva e una sostenibilità a lungo termine nel mercato digitale. Questa costruzione della fiducia è valida anche per le aziende di terze parti che si affidano alle piattaforme e ai servizi dei gatekeeper e che soddisfano gli obblighi del DMA in materia di privacy dei dati.

Conclusione: i gatekeeper plasmano un mercato digitale equo

Il ruolo dei gatekeeper ai sensi del Digital Markets Act è determinante per plasmare il panorama digitale e garantire una concorrenza leale. Le decisioni e le operazioni hanno un impatto diretto su milioni di aziende e consumatori. Lo scopo del DMA è quello di definire determinate regole per limitare il potere dei gatekeeper e prevenire pratiche sleali nel mercato digitale.

I gatekeeper sono tenuti a conformarsi al DMA entro un tempo stabilito e a predisporre controlli volti a monitorare le azioni intraprese e il modo in cui mantengono la conformità. La designazione dei gatekeeper ai sensi del DMA è stata e continuerà a essere un processo rigoroso svolto dalla Commissione europea. Con i mercati digitali in continua evoluzione, il DMA e la designazione dei gatekeeper rivestono un ruolo cruciale nel mantenimento di un ambiente digitale equo, competitivo e sicuro.

Come prepararsi al Digital Markets Act?

Sebbene il DMA riguardi i gatekeeper, è importante che le piccole imprese che operano in UE e SEE comprendano la normativa, in quanto influirà in modo diretto sul loro utilizzo delle grandi piattaforme online e dei servizi di proprietà dei gatekeeper, come Facebook, LinkedIn o Google Ads.

Le aziende dovranno rispettare le linee guida normative imposte dai fornitori di servizi digitali come Google e Amazon. Questo è tutto ciò che devi sapere per essere conforme al DMA e rispettare i nuovi requisiti sulla privacy che probabilmente verranno imposti dalle principali aziende tecnologiche. Abbiamo anche redatto un breve elenco di attività che puoi svolgere per prepararti al DMA.

1. Per prima cosa, devi conoscere quali dati vengono raccolti dalla tua organizzazione, come vengono raccolti, utilizzati e condivisi e con chi. Riesamina le policy riguardanti la gestione dei dati degli utenti, l’ottenimento del loro consenso e l’utilizzo dei dati, inclusi gli eventuali accordi per la condivisione con terze parti.
2. Assicurati che il tuo sito web o la tua app utilizzi gli strumenti di privacy richiesti, ottenga il consenso dell’utente in modo conforme e disponga di un’informativa sulla privacy dettagliata e chiara.
3. Prendi in considerazione l’implementazione di una soluzione per la conformità alle normative in materia di privacy in linea con i requisiti del DMA, come la piattaforma di gestione del consenso (CMP) di Usercentrics o l’SDK per app mobili.

La CMP di Usercentrics aiuta le aziende a rispettare i requisiti e le regole del Digital Markets Act imposti dai gatekeeper ai fini della conformità al DMA. È completamente personalizzabile e automatizzata ed è conforme al regolamento generale sulla protezione dei dati (GDPR), il principale regolamento europeo sulla privacy dei dati. La CMP di Usercentrics consente di:

• ottenere e gestire il consenso degli utenti in modo sicuro e conforme
• rispettare i dati e la privacy degli utenti
• analizzare le preferenze di consenso degli utenti per aumentare i tassi di adesione

Inizia la prova gratuita di 30 giorni

Iscriviti alla nostra newsletter per ricevere aggiornamenti sulle novità e sugli sviluppi del Digital Markets Act.

Seguendo le linee guida sopra indicate, potrai preparare la tua azienda a soddisfare i requisiti del DMA e dei gatekeeper e a gestire gli imminenti cambiamenti che interesseranno il mercato digitale europeo.

Esclusione di responsabilità:

Usercentrics non fornisce consulenza legale e le informazioni sono fornite esclusivamente a scopo educativo. Si consiglia sempre di rivolgersi a consulenti legali o esperti di privacy qualificati per questioni e operazioni relative alla privacy e alla protezione dei dati.

Entro il 6 marzo 2024, i “gatekeeper” designati ai sensi del Digital Markets Act (DMA) dovranno essere conformi ai requisiti della normativa in materia di servizi di piattaforma di base identificati per evitare di incorrere in pesanti multe e altre sanzioni.

Questa data non è importante solo per queste grandi aziende tecnologiche. Anche le aziende che operano nel settore digitale nell’Unione europea (UE) e/o nello Spazio economico europeo (SEE) devono adeguarsi al Digital Markets Act per continuare a utilizzare i servizi di piattaforma di base in modo continuativo.

In questo articolo esamineremo a chi è rivolto il Digital Markets Act, gli obblighi legali imposti dalla normativa e come le aziende possono prepararsi al DMA.

Obblighi legali imposti dal Digital Markets Act

È importante notare che il Digital Markets Act riguarda direttamente i gatekeeper, che sono tenuti a soddisfare i requisiti stabiliti dalla Commissione europea (CE). Ciò non vuol dire che gli utenti commerciali non siano coinvolti. La normativa riguarda anche le aziende del settore digitale che si affidano alle piattaforme e ai servizi dei gatekeeper per raccogliere ed elaborare i dati degli utenti nell’UE e/o SEE.

Le disposizioni del DMA in materia di privacy dei dati hanno un’ampia portata e non si limitano a disciplinare le piattaforme, ma anche i dati personali raccolti sulle stesse. Inoltre, i gatekeeper hanno spesso termini di servizio o accordi contrattuali propri, che le aziende devono rispettare durante l’utilizzo delle piattaforme, che possono essere allineati con i requisiti del DMA in materia di trasparenza e protezione dei dati. Inoltre, l’Unione europea e i suoi stati membri hanno altre leggi sulla privacy dei dati che devono essere osservate, come il regolamento generale sulla protezione dei dati (GDPR).

Ciò significa che le aziende che utilizzano i servizi di piattaforma di base non possono permettersi di essere spettatori passivi e devono allineare le proprie pratiche e policy al DMA se desiderano continuare a utilizzare questi servizi senza incorrere in complicazioni legali o rischiare di perdere l’accesso alla piattaforma.

Sebbene il DMA imponga diversi obblighi ai gatekeeper, quelli indicati di seguito possono avere conseguenze dirette per le aziende che utilizzano i servizi di piattaforma di base e stabiliscono come devono operare ai sensi del DMA.

Consenso esplicito degli utenti per la raccolta dei dati personali

Il Digital Markets Act prevede controlli rigorosi sulle basi giuridiche per la raccolta dei dati personali da parte dei gatekeeper e il consenso degli utenti è fondamentale. L’articolo 2 (32) del regolamento allinea la definizione di consenso dell’utente a quella del GDPR:

“Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”

Il consenso secondo il Digital Markets Act, pertanto, deve avere quattro caratteristiche principali: essere liberamente concesso, specifico, informato e inequivocabile.

Liberamente concesso: il consenso viene concesso liberamente se la persona interessata sceglie di farlo in totale libertà, senza subire pressioni, coercizioni o manipolazioni e senza essere penalizzata o osteggiata in caso di rifiuto. Il consenso non può essere una condizione per accedere a un servizio o a un prodotto, a meno che il trattamento dei dati personali non sia necessario per il funzionamento di tale servizio o prodotto. Le persone devono poter cambiare idea e ritirare il consenso con la stessa facilità con cui lo concedono.

Specifico: il consenso non è specifico se si accetta una raccolta di dati vaga o troppo ampia. Il consenso specifico implica che gli utenti accettino ogni singolo scopo per cui i loro dati personali vengono raccolti e trattati e possano accedere alle informazioni su ciascuno di essi per prendere la decisione giusta. Ad esempio, se un’azienda desidera trattare i dati di un individuo a scopo pubblicitario e di analisi, deve ottenere un consenso separato per ciascuno di questi scopi. Se un’azienda desidera utilizzare i dati per un altro scopo in un secondo momento, deve ottenere un consenso separato e specifico.

Informato: il consenso è informato se gli utenti dispongono di tutte le informazioni pertinenti prima di prendere una decisione, ad esempio se sanno quali dati verranno raccolti, per quali scopi specifici verranno utilizzati e chi potrà accedervi. Gli utenti devono inoltre essere informati del diritto di ritirare il proprio consenso in qualsiasi momento e delle conseguenze di tale decisione.

Inequivocabile: non deve esserci spazio per l’interpretazione. Il consenso è inequivocabile se l’utente ha chiaramente accettato il trattamento dei dati. In genere, tale processo implica l’esecuzione di un’azione da parte dell’utente, ad esempio selezionare una casella o fare clic su un pulsante “Accetto i termini e le condizioni”. Il silenzio, l’inattività, lo scorrimento o la preselezione di caselle non configurano un tipo di consenso inequivocabile.

Quando il consenso è conforme a tutte le suddette condizioni, è un’azione chiara e affermativa ai sensi del Digital Markets Act e del GDPR.

In che modo l’ottenimento del consenso esplicito influisce sulle aziende che utilizzano i servizi di piattaforma di base?

Le aziende che raccolgono e trattano i dati personali degli utenti nell’UE e/o SEE devono ottenere il consenso valido ed esplicito degli utenti. Sebbene gli obblighi, le multe e le sanzioni previsti dal DMA riguardino i gatekeeper, le aziende non possono permettersi di sottovalutare le proprie pratiche di raccolta dei dati. Il mancato ottenimento di un consenso valido, oltre a mettere a rischio l’accesso ai servizi di piattaforma di base, potrebbe comportare sanzioni ai sensi del GDPR o di altre leggi.

Restrizioni sulla combinazione dei dati per la profilazione

Il Digital Markets Act prevede rigorosi requisiti in tema di combinazione dei dati degli utenti tra le diverse piattaforme gestite dai gatekeeper e tra le piattaforme di proprietà di un gatekeeper e quelle di terze parti.

L’articolo 5 (2) del DMA afferma specificamente che il gatekeeper:

• (a) non tratta, ai fini della fornitura di servizi pubblicitari online, i dati personali degli utenti finali che utilizzano servizi di terzi che si avvalgono di servizi di piattaforma di base del gatekeeper;
• (b) non combina dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi di piattaforma di base o da eventuali ulteriori servizi forniti dal gatekeeper o con dati personali provenienti da servizi di terzi;
• (c) non utilizza in modo incrociato dati personali provenienti dal pertinente servizio di piattaforma di base in altri servizi forniti separatamente dal gatekeeper, compresi altri servizi di piattaforma di base, e viceversa; e
• (d) non fa accedere con registrazione gli utenti finali ad altri servizi del gatekeeper al fine di combinare dati personali,

a meno che sia stata presentata all’utente finale la scelta specifica e quest’ultimo abbia dato il proprio consenso ai sensi del GDPR.

Gli obiettivi qui riportati hanno lo scopo di impedire ai gatekeeper di ottenere un vantaggio sleale raggruppando i dati degli utenti provenienti da più fonti, e di proteggere la privacy degli utenti.

Questa disposizione limita la capacità dei gatekeeper e delle aziende di terze parti di utilizzare i dati su più piattaforme per la profilazione dei clienti e per la pubblicità mirata. La profilazione dei minori è già vietata dal GDPR.

Tuttavia, il Digital Markets Act non vieta del tutto la profilazione e i gatekeeper devono specificare chiaramente in che modo eseguono la profilazione degli utenti. Devono fornire informazioni verificate sui dati raccolti, sulle modalità di trattamento, sull’uso che ne viene fatto, sulla durata della conservazione a fini di profilazione e sull’impatto della profilazione sui servizi dei gatekeeper.

Inoltre, è importante che i gatekeeper mostrino come informano gli utenti della profilazione e come cercano di ottenere il loro consenso e che offrano la possibilità di negare o revocare il consenso per la raccolta e l’utilizzo dei dati a scopo di profilazione. I dati personali degli utenti che rifiutano o revocano il consenso non possono essere utilizzati per la profilazione.

In che modo le restrizioni sulla combinazione dei dati per la profilazione influiscono sulle aziende che utilizzano i servizi di piattaforma di base?

Le aziende non possono combinare i dati provenienti da piattaforme diverse, anche se si tratta di servizi di terze parti, ai fini della profilazione senza il consenso esplicito degli utenti per questo tipo specifico di condivisione dei dati.

Ciò significa che devono disporre di sistemi per garantire che i dati degli utenti raccolti da piattaforme diverse rimangano separati. In sostanza, il DMA impone un approccio più trasparente e separato alla gestione dei dati per tutte le parti coinvolte.

Quest’ultimo punto è particolarmente importante alla luce dei requisiti del DMA in tema di interoperabilità. I gatekeeper devono consentire agli utenti di passare da un servizio all’altro e di accedere e trasferire facilmente i propri dati, oltre a garantire la compatibilità e l’integrazione con altre piattaforme o altri servizi. Le aziende e gli inserzionisti che hanno accesso ai dati di più piattaforme non possono combinare questi dati per la profilazione senza un valido consenso da parte degli utenti.

Rischi associati alla non conformità al Digital Markets Act

Il Digital Markets Act regolamenta i gatekeeper e non prevede sanzioni amministrative per altre aziende in caso di inadempienza. Tuttavia, esistono potenziali ripercussioni per le aziende che non gestiscono i dati degli utenti in base ai requisiti del DMA.

La mancata conformità può limitare o impedire l’accesso ai servizi di piattaforma di base, che sono spesso canali essenziali per connettere le aziende con i potenziali clienti e incrementare le vendite e i ricavi pubblicitari. Le aziende possono perdere l’accesso ai propri dati e al proprio pubblico, con conseguente perdita di ricavi.

Un aspetto diverso, ma altrettanto preoccupante, è il danno reputazionale. Il mancato rispetto delle regole per la protezione dei dati previste dal DMA può compromettere la fiducia dei clienti, determinando una riduzione dei tassi di conversione, un aumento del tasso di abbandono e perdite in termini di ricavi.

In che modo le aziende si preparano al Digital Markets Act

Comprendere il Digital Markets Act e il suo impatto sulle operazioni e sui servizi può aiutare le aziende ad assegnare le risorse necessarie, sia in termini di personale che di budget, per raggiungere e mantenere la conformità. In questo modo, le aziende possono creare solide basi per la sicurezza legale e incrementare la fiducia dei clienti.

Per adeguarsi al Digital Markets Act, le aziende devono garantire che la raccolta del consenso degli utenti e la segnalazione delle loro preferenze su siti web o app siano conformi al GDPR e alla direttiva ePrivacy.

Uso di una piattaforma di gestione del consenso per ottenere il consenso valido degli utenti

Per ottenere il consenso valido degli utenti è necessario innanzitutto avere un’informativa sulla privacy chiara e facilmente accessibile che spieghi quali dati verranno raccolti, come verranno utilizzati e chi può accedervi.

I banner di consenso per i cookie devono avere un linguaggio semplice che comunichi quali dati vengono raccolti e per quale scopo. Questi banner devono essere progettati per ottenere il consenso esplicito liberamente concesso senza ricorrere a manipolazione o linguaggio ingannevole.

Le aziende che cercano un approccio semplificato alla gestione di questi requisiti di consenso possono utilizzare una piattaforma di gestione del consenso (CMP), come la CMP di Usercentrics. Usercentrics è un partner CMP che supporta la modalità di consenso Google e la piattaforma di gestione del consenso aiuta le aziende a raccogliere e documentare il consenso valido degli utenti per soddisfare i requisiti normativi. Ciò aiuta le aziende a raggiungere la conformità legale, a evitare sanzioni e a mantenere la fiducia dei clienti man mano che crescono. La CMP di Usercentrics si integra con molti sistemi di gestione dei contenuti popolari e garantisce una configurazione più semplice.

Vuoi configurare o utilizzare una CMP per prepararti al Digital Markets Act? Inizia la prova gratuita di 30 giorni della CMP di Usercentrics.

Audit periodici sulla privacy dei dati e controlli di conformità

Un programma sistematico per gli audit interni può fungere da rete di sicurezza per monitorare la conformità man mano che il DMA e altre normative in materia evolvono. Questi audit devono concentrarsi sulle valutazioni dell’impatto sulla protezione dei dati (DPIA) per valutare le specifiche di elaborazione, archiviazione e condivisione dei dati degli utenti ai sensi del Digital Markets Act.

Altrettanto importante è la valutazione delle pratiche di partner e fornitori esterni. Se gestiscono dati provenienti dalle piattaforme di un’azienda, le policy di trattamento dei dati devono essere in linea con le normative. Eventuali mancanze possono avere ripercussioni sulle relazioni commerciali e potenziali conseguenze legali. Molte leggi sulla privacy dei dati richiedono contratti con terze parti che si occupano di trattamento dei dati per delineare le responsabilità in termini di accesso, protezione e utilizzo.

Passaggio al marketing basato sul consenso

Le aziende devono riesaminare le proprie strategie di marketing per adeguarsi alle rigorose linee guida imposte dal Digital Markets Act in materia di profilazione degli utenti e restrizioni sul retargeting. Anziché affidarsi al targeting basato sui dati combinati degli utenti, le aziende dovrebbero adottare il marketing basato sul consenso ed esplorare altre strategie, tra cui la pubblicità contestuale.

Il passaggio dal targeting specifico per l’utente al targeting contestuale si allinea meglio al requisito di consenso esplicito per l’utilizzo dei dati del DMA. Inoltre, offre alle aziende la possibilità di mantenere strategie pubblicitarie efficaci senza compromettere la fiducia degli utenti. Il marketing basato sul consenso protegge la privacy degli utenti e offre un’interazione più trasparente tra l’azienda e il consumatore, determinando relazioni potenzialmente più solide e affidabili con il marchio.

Approccio efficace alla gestione dei dati

Le aziende che raccolgono i dati degli utenti su più piattaforme dovrebbero dare priorità a strategie di gestione dei dati che proteggono la privacy e che sono conformi alle varie normative. Ogni fase del ciclo di vita dei dati (raccolta, archiviazione, utilizzo, eliminazione) deve essere analizzata per garantire che i dati personali siano protetti e non vengano condivisi con terze parti non necessarie o con altre persone o aziende non autorizzate. Le aziende devono inoltre assicurarsi che i dati provenienti da piattaforme diverse non vengano combinati per la profilazione e la pubblicità mirata.

Comunicazione del valore dell’allineamento ai Digital Markets Act all’interno dell’azienda

Far comprendere a tutti la necessità di conformarsi al DMA è un modo efficace per rendere il processo parte integrante delle operazioni quotidiane e ridurre il rischio di contravvenire ai requisiti.

I team a contatto con il pubblico, come marketing, vendite e customer success, che condividono messaggi unificati sull’allineamento al DMA rafforzano l’impegno dell’azienda nei confronti della privacy degli utenti, delle pratiche etiche e della conformità legale.

A tal fine, i team interni necessitano di una formazione completa per capire come conformarsi al Digital Markets Act e di argomentazioni specifiche per le riunioni con i clienti e le presentazioni di vendita.

Come rendere il tuo sito web conforme al Digital Markets Act (DMA)

La conformità alle normative sulla protezione dei dati riguarda la maggior parte delle aziende con una presenza online. Ma anche anni dopo la sua implementazione nel 2018, il 97% dei siti web dell’UE non soddisfa i requisiti sulla privacy del GDPR.

Con l’entrata in vigore del Digital Markets Act (DMA) nel marzo 2024, per chi svolge attività nell’Unione europea, nello Spazio economico europeo, o ha clienti che risiedono in queste aree geografiche, diventa ancora più importante allineare il sito web ai requisiti di questo regolamento.

In questo articolo vengono forniti suggerimenti pratici e istruzioni dettagliate per garantire la conformità del tuo sito web al DMA, soprattutto quando si tratta di raccogliere e segnalare un consenso valido.

Passaggio 1: Implementazione di una piattaforma di gestione del consenso (CMP)

Uno dei requisiti chiave del Digital Markets Act (DMA) è l’ottenimento e la gestione del consenso degli utenti per le attività di trattamento dei dati. Per garantire la conformità, è necessario integrare una solida piattaforma di gestione del consenso (CMP) nel sito web.

Usercentrics è la migliore piattaforma di gestione del consenso (CMP) web che offre una perfetta integrazione con i sistemi di gestione dei contenuti web (CMS) più diffusi e altre piattaforme di creazione di siti web.

Per integrare Usercentrics nel tuo sito web, attieniti alla procedura seguente:

1. Registrati per creare un account Usercentrics e usufruisci di una prova gratuita di 30 giorni.
2. Genera lo script CMP e il testo dell’informativa sulla privacy personalizzati per il tuo sito web.
3. Incolla lo script CMP di Usercentrics nel codice sorgente del sito web. L’area designata dipende dal CMS utilizzato.
4. Salva le modifiche e pubblica il sito web.

L’integrazione della CMP di Usercentrics consente di gestire facilmente le preferenze di consenso degli utenti, fornire informazioni trasparenti sulle attività di elaborazione dei dati e ottenere e mantenere la conformità alle normative GDPR, ePrivacy e DMA.

Passaggio 2: Personalizzazione del banner di consenso dei cookie

Per migliorare l’esperienza utente e rispettare i requisiti del DMA, è importante personalizzare il banner di consenso dei cookie sul sito web.

Usercentrics offre opzioni di personalizzazione complete per adattare la piattaforma al design e al branding del tuo sito web e ottimizzare l’interfaccia utente e la messaggistica. Per personalizzare il banner di consenso dei cookie, attieniti alla procedura seguente:

1. Accedi all’account Usercentrics e vai alle impostazioni di personalizzazione.
2. Personalizza l’aspetto del banner, inclusi colori, caratteri e layout.
3. Aggiungi un messaggio chiaro e conciso che spieghi lo scopo dei cookie e delle attività di elaborazione dei dati.
4. Specifica i diversi tipi di cookie utilizzati sul tuo sito web e i rispettivi scopi.
5. Assicurati che Google Consent Mode sia attiva per ottimizzare i tuoi tassi di adesione e ottenere informazioni sulla conversione degli annunci su Google. Nella CMP di Usercentrics, questa modalità è attiva per impostazione predefinita.
6. Abilita i controlli necessari per consentire agli utenti di gestire facilmente le proprie preferenze di consenso.

Fornendo un banner informativo e di facile utilizzo per il consenso dei cookie, puoi dimostrare il tuo impegno verso la privacy degli utenti e la conformità alla legge sulla privacy del DMA.

Passaggio 3: Ottimizzazione dell’esperienza utente per la gestione del consenso

La gestione del consenso deve essere un processo semplice e intuitivo per i visitatori del tuo sito web. Ecco alcuni suggerimenti per ottimizzare l’esperienza utente (UX) per la gestione del consenso:

• Inserisci il banner di consenso dei cookie in una posizione ben visibile sul sito web. Tuttavia, tieni presente che non puoi bloccare o impedire ai visitatori di accedere ai contenuti del sito a meno che non forniscano il consenso, in quanto il consenso deve essere volontario e azioni di questo tipo sono vietate da una serie di leggi sulla privacy dei dati.
• Utilizza un linguaggio chiaro e conciso per spiegare lo scopo e le implicazioni delle attività di trattamento dei dati.
• Fornisci controlli granulari per consentire agli utenti di scegliere le proprie preferenze di consenso, ad esempio consentire o negare specifici tipi di cookie.
• Implementa un’interfaccia intuitiva che consenta agli utenti di modificare le proprie preferenze di consenso in qualsiasi momento. Assicurati che le opzioni “accetta” e “nega” siano accessibili allo stesso modo.
• Rivedi e aggiorna regolarmente l’informativa sulla privacy per assicurarti che rifletta accuratamente le tue pratiche di trattamento dei dati. A tale scopo puoi utilizzare il generatore di informative sulla privacy di Usercentrics.

Assegnando la priorità alla UX nella gestione dei consensi, puoi promuovere la fiducia degli utenti e incoraggiarli a interagire con il tuo sito web nel rispetto del DMA.

Passaggio 4: Monitoraggio e audit della conformità al Digital Markets Act

La conformità al DMA è un processo continuo che richiede monitoraggio e audit continui. Di seguito sono riportate alcune best practice per garantire la conformità continua:

• Effettua audit periodici per garantire che il tuo sito web rifletta accuratamente le attività di trattamento dei dati attualmente svolte.
• Rivedi e aggiorna regolarmente le impostazioni di gestione del consenso in base ai cambiamenti delle normative o alle pratiche di trattamento dei dati.
• Mantieni registri sicuri e dettagliati del consenso dell’utente e, se richiesto, preparati a fornire una prova di conformità.
• Ricevi sempre informazioni su eventuali aggiornamenti o linee guida da parte delle autorità normative in merito al DMA, ad altre leggi pertinenti e alla gestione del consenso.

Monitorando e verificando proattivamente le tue attività di conformità, puoi risolvere tempestivamente eventuali problemi e dimostrare il tuo impegno nella protezione dei dati.

Suggerimenti finali per i proprietari di siti web: come ottenere la conformità al Digital Markets Act

Garantire la conformità al DMA è essenziale per i proprietari e il personale di gestione dei siti web, i team di marketing e altri ancora, indipendentemente dal tipo di sito web o piattaforma CMS utilizzato.

Seguendo i suggerimenti pratici e le istruzioni passo-passo descritti in questo articolo, puoi garantire che la gestione del consenso del tuo sito web sia allineata alla conformità del DMA.

Ricordati di sfruttare la CMP di Usercentrics per un’integrazione perfetta e una gestione efficiente dei consensi. Assumi un atteggiamento proattivo e assegna la priorità alla privacy degli utenti per creare fiducia con il pubblico, rispettando al contempo il DMA.

Se non disponi di un team legale interno che ti guidi nel percorso verso la conformità al DMA, richiedi una consulenza legale specializzata. La rete globale di partner di Usercentrics è un buon punto di partenza per iniziare a cercare i servizi legali e i partner di consulenza giusti per il tuo progetto digitale.

Con la sua Modalità di consenso, Google ha fornito alle aziende una soluzione per personalizzare il comportamento dei tag Google relativi agli annunci pubblicitari e ai cookie di analisi in base allo stato del consenso degli utenti.

Come funziona Google Consent Mode?

Associando l’API di Consent Mode alla piattaforma per la gestione del consenso (CMP) Usercentrics, gli inserzionisti possono indicare se l’utente ha fornito il consenso all’uso dei cookie relativi agli annunci pubblicitari e/o a diverse forme di pubblicità.

I tag Google supportati rispetteranno questo segnale e regoleranno di conseguenza il loro comportamento utilizzando i cookie solo se è stato concesso il consenso per gli scopi specifici.

Comportamento dei tag basato sul consenso

Quali servizi Google supportano la Modalità di consenso?

Qui di seguito puoi trovare gli strumenti e i servizi Google che attualmente supportano Consent Mode. Dal momento che l’elenco è soggetto a cambiamenti nel corso del tempo, è importante esaminare regolarmente l’infrastruttura del sito web, gli strumenti di marketing e le operazioni di elaborazione dei dati per garantire che tutte le funzioni e le attività inerenti alla conformità alla privacy dei dati siano aggiornate.

✔ Google Analytics
✔ Google Analytics 4
✔ Google Ads (remarketing e monitoraggio delle conversioni con Google Ads)
✔ Floodlight
✔ Conversion Linker

La documentazione di supporto di Google fornisce ulteriori informazioni sulla Modalità di consenso per siti web e app.

Google supporta anche il framework IAB TCF v2.2 con i suoi sistemi pubblicitari. Consent Mode è pensata per essere usata dagli inserzionisti che non implementano una piattaforma di gestione del consenso integrata e compatibile con il TCF v2.2. Usercentrics CMP è una piattaforma CMP certificata da Google, un requisito necessario per la pubblicazione di annunci tramite i servizi Google in UE, SEE e Regno Unito.

Google Consent Mode e Usercentrics CMP: un esempio di implementazione

L’implementazione di Google Consent Mode nella soluzione CMP di Usercentrics come alternativa al blocco preventivo richiede solo due passaggi:

• Passaggio 1: Aggiungere righe di codice sopra il tag del sito globale o il container di Google Tag Manager (GTM).
• Passaggio 2: Utilizzare gli eventi di Usercentrics CMP per segnalare lo stato del consenso tramite l’API di Consent Mode (opzionale).

Per ulteriori informazioni, consulta la documentazione completa su Google Consent Mode di Usercentrics.

Conclusioni e futuro di Google Consent Mode

Con il varo di un numero sempre maggiore di normative a tutela della privacy dei dati in tutto il mondo e la crescente consapevolezza dei diritti che i consumatori possono esercitare sui propri dati, nonché dell’utilizzo stesso di questi, le soluzioni smart per il consenso diventeranno sempre più importanti.

Google continua a progettare, sviluppare e integrare prodotti e servizi per permettere la conformità alla privacy e la gestione dei consensi. Le aziende che utilizzano i prodotti per la pubblicità, l’analisi dei dati e molto altro devono assicurarsi di rivedere regolarmente le proprie operazioni e di verificare che le loro implementazioni siano aggiornate. Ciò contribuirà a garantire la costante conformità della privacy alle normative, a raccogliere i dati di cui le aziende hanno bisogno per le operazioni di marketing e a creare fiducia e coinvolgimento per gli utenti.

Le dinamiche aziendali digitali stanno diventando sempre più complesse, con le grandi società tecnologiche che sfruttano un notevole potere di mercato e che sollevano preoccupazioni sulla concorrenza leale e sulla privacy degli utenti. Per affrontare queste problematiche, sia la Germania che l’Unione europea hanno introdotto una legislazione che disciplina i mercati digitali.

In Germania, il Gesetz gegen Wettbewerbsbeschränkungen (GWB), noto anche come German Competition Act in inglese, è in vigore da oltre mezzo secolo, sebbene sia stato modificato molte volte, da ultimo nel luglio 2023. Più recentemente, la Commissione europea ha promulgato il Digital Markets Act (DMA) come parte dei suoi sforzi per creare un ecosistema digitale equo e competitivo. Il DMA stato approvato nel 2022.

Introduzione alla legge tedesca sulla concorrenza (GWB)

Il German Competition Act, noto anche come GWB o “Legge tedesca contro le restrizioni della concorrenza”, è un quadro giuridico completo che mira a prevenire comportamenti anticoncorrenziali e ad assicurare una concorrenza commerciale leale in Germania. Questa legge è entrata in vigore dagli anni ’50 ed è stata sottoposta a 11 modifiche per adattarsi all’evoluzione del panorama commerciale, in particolare quella di prodotti e servizi digitali. Il GWB copre vari aspetti delle leggi sulla concorrenza, tra cui fusioni e acquisizioni, abuso di potere di mercato e accordi di cartello.

Obiettivi della Legge tedesca sulla concorrenza

Gli obiettivi principali del “German Competition Act” sono la promozione della concorrenza leale, la protezione degli interessi dei consumatori e la prevenzione dell’abuso di potere di mercato da parte delle aziende dominanti. Mira a creare un terreno di gioco equo per le aziende e prevenire pratiche anticompetitive che potrebbero danneggiare i consumatori o ostacolare l’innovazione. La legge tedesca sulla concorrenza sleale cerca inoltre di garantire che le aziende rispettino le regole della concorrenza e incorrano in sanzioni in caso di violazioni.

Disposizioni principali del GWB

La Legge tedesca sulla concorrenza contiene diverse disposizioni che regolano vari aspetti delle leggi sulla concorrenza, che si concentrano sul controllo della predominanza del mercato.

Controllo delle fusioni

Il GWB fornisce un quadro di riferimento per il controllo e la regolamentazione di fusioni e acquisizioni al fine di prevenire un eccessivo consolidamento e la creazione di posizioni di mercato dominanti che potrebbero danneggiare la concorrenza. Le società sono tenute a comunicare alle autorità competenti le proposte di fusioni o acquisizioni al di sopra di determinate soglie, al fine di sottoporsi a un processo di revisione.

Abuso del potere di mercato

La legge tedesca sulla concorrenza sleale vieta alle aziende di abusare di posizioni di mercato dominanti per ostacolare la concorrenza. La legge vieta pratiche quali prezzi predatori, rifiuto di trattare, vendite abbinate e aggregate e comportamenti discriminatori. La legge fornisce inoltre linee guida su ciò che costituisce un abuso del potere di mercato e sulle conseguenze per le aziende colpevoli di tali pratiche.

Accordi di cartello

La GWB vieta gli accordi di cartello, ovvero accordi tra concorrenti per fissare prezzi, ripartire i mercati o limitare la produzione. Tali accordi sono considerati anticoncorrenziali e dannosi per la concorrenza sul mercato. Il GWB impone multe e altre sanzioni alle aziende coinvolte in attività di cartello.

Introduzione al Digital Markets Act (DMA)

Il Digital Markets Act (DMA) è un quadro normativo introdotto dalla Commissione europea per affrontare le sfide poste dal dominio delle grandi piattaforme digitali e promuovere una concorrenza leale nel settore digitale. Rientra negli sforzi più ampi dell’UE volti a regolamentare i mercati digitali e a proteggere gli interessi dei consumatori. Il DMA si rivolge specificamente alle aziende che hanno un impatto significativo sul mercato e fungono da gatekeeper, controllando l’accesso ai servizi digitali, al pubblico e ai dati da esse generati.

Obiettivi del Digital Markets Act

Gli obiettivi principali del Digital Markets Act sono garantire una concorrenza leale, proteggere i diritti e la privacy dei consumatori e promuovere l’innovazione nel settore digitale. La legge ha lo scopo di regolamentare il comportamento delle grandi piattaforme digitali e impedire che le stesse si impegnino in pratiche anticoncorrenziali. La legge DMA si prefigge inoltre di responsabilizzare gli utenti migliorando il loro controllo sui propri dati personali e garantendo la trasparenza in merito alle pratiche aziendali e al trattamento dei dati.

Disposizioni principali del Digital Markets Act

Il Digital Markets Act contiene diverse disposizioni che mirano a regolamentare il comportamento delle società gatekeeper e promuovere una concorrenza leale.

Definizione di gatekeeper

Il DMA definisce gatekeeper le società che hanno un impatto significativo sul mercato e fungono da intermediari tra le aziende e i consumatori. La Commissione europea ha definito i criteri per stabilire se una società si qualifica come “gatekeeper”, tra cui fattori quali la quota di mercato, la base di utenti e il controllo sull’accesso ai servizi digitali.

Obblighi per i gatekeeper

Il DMA impone obblighi specifici ai gatekeeper per garantire una concorrenza leale, promuovere l’innovazione e la possibilità di scegliere e proteggere i diritti dei consumatori. Tali obblighi includono l’accesso ai loro servizi a condizioni eque e non discriminatorie, consentire l’interoperabilità con servizi di terzi e garantire la trasparenza delle loro pratiche. I gatekeeper sono inoltre tenuti a condividere i dati con aziende e utenti su richiesta.

Rimedi e sanzioni

Il Digital Markets Act prevede rimedi e sanzioni in caso di mancata conformità alle sue disposizioni. Esso conferisce alle autorità normative la facoltà di imporre multe e altre sanzioni ai gatekeeper che violano il DMA. La Legge consente inoltre rimedi strutturali o comportamentali, come cessioni, per affrontare le pratiche anticoncorrenziali.

Somiglianze e differenze tra la GWB tedesca e il Digital Markets Act

Considerazioni finali sul GWB e sul DMA

La legge tedesca sulla concorrenza e la Legge sui mercati digitali sono entrambe misure normative significative volte a garantire una concorrenza leale e a far fronte alle preoccupazioni nell’economia digitale.

La gestione del consenso è fondamentale in entrambi le leggi per proteggere la privacy degli utenti, promuovere la trasparenza e consentire agli utenti di avere il controllo sui propri dati personali.

Le recenti notizie riguardanti l’accettazione da parte di Google di riformare le proprie pratiche di trattamento dei dati dopo l’intervento antitrust tedesco sottolineano la crescente importanza di integrare la gestione dei consensi nelle pratiche aziendali e, più nello specifico, nelle operazioni di marketing, alla luce delle leggi sulla privacy dei dati. In questo modo, stiamo creando un ecosistema digitale fiorente che rispetta i diritti degli utenti e favorisce una sana concorrenza.

La gestione del consenso è un fattore fondamentale per il marketing digitale e il Digital Markets Act (DMA) lo rende ancora più importante per i marchi e le organizzazioni.

Ai sensi del Regolamento generale sulla protezione dei dati (GDPR), il proprietario del sito web o l’operatore aziendale è responsabile delle modalità di raccolta e del trattamento dei dati personali degli utenti. Tuttavia, il DMA trasferisce queste responsabilità alle grandi aziende tecnologiche, designate come gatekeeper dalla Commissione Europea, per promuovere la concorrenza leale e salvaguardare la privacy degli utenti.

I gatekeeper soggetti al Digital Markets Act devono ottenere il consenso esplicito per la raccolta e l’utilizzo dei dati personali dei cittadini europei sui loro servizi di piattaforma di base (CPS), per operazioni quali pubblicità, ricerca, ecc.

La mancata conformità agli obblighi del DMA può comportare multe esorbitanti fino al 10% del fatturato totale globale annuo dell’azienda per i gatekeeper o fino al 20% per violazioni ripetute.

Per evitare queste sanzioni, le aziende possono imporre ulteriori requisiti ai propri clienti e partner (consumatori e aziende di terze parti) per i dati basati sul consenso, al fine di continuare a utilizzare i propri servizi. Molte aziende si affidano a piattaforme di gatekeeper per accedere a un vasto pubblico e a una base clienti enorme, ai dati e, per estensione, per generare ricavi.

In questo articolo analizziamo perché la gestione del consenso conforme è fondamentale ai sensi del DMA.

In cosa consiste la gestione del consenso

Innanzitutto, è importante rispondere alla domanda fondamentale: Che cos’è la gestione del consenso?

La gestione del consenso è il fondamento della protezione dei dati e della conformità alla privacy. Comprende tutto ciò che accade, dal momento in cui un’azienda richiede il consenso di un utente a raccogliere e utilizzare i propri dati, a quando tali informazioni di consenso vengono archiviate o utilizzate per segnalare la ricezione del consenso agli strumenti di marketing, ai partner (come i gatekeeper) o alle autorità per la protezione dei dati dell’azienda.

La gestione del consenso permette alle aziende di ottenere, archiviare e gestire il consenso degli utenti in modo sicuro e conforme, idealmente in modo flessibile per tutte le normative sulla privacy dei dati applicabili alle operazioni aziendali.

Con l’entrata in vigore del Digital Markets Act, disporre di una solida piattaforma di gestione del consenso è essenziale per le aziende, per dimostrare la conformità DMA ai gatekeeper ed evitare sanzioni e danni alla reputazione del marchio.

Perché la gestione del consenso è essenziale ai sensi del Digital Markets Act (DMA)

1. Conformità a pratiche prescritte di utilizzo dei dati

Il Digital Markets Act sottolinea pratiche di utilizzo dei dati eque e trasparenti. Queste richiedono alle aziende di ottenere il consenso esplicito da parte degli utenti prima di raccogliere o utilizzare i loro dati personali.

La gestione del consenso aiuta a garantire che l’azienda sia conforme alle normative sulla privacy come il GDPR e il DMA ed evita sanzioni e perdita della fiducia da parte degli utenti (per le aziende, nel caso del GDPR, e per i gatekeeper per quanto riguarda il DMA).

2. Diritti dell’utente e privacy dei dati

Il Digital Markets Act mira a proteggere ulteriormente la privacy dei dati dei consumatori e a fornire maggiori diritti e possibilità di scelta agli utenti.

La gestione del consenso permette agli utenti di avere il controllo sui propri dati personali in modo da poter scegliere quali cookie e altre tecnologie di monitoraggio accettare, nonché modificare le impostazioni della privacy in futuro.

3. Condizioni di concorrenza più eque

Il Digital Markets Act punta a creare condizioni di concorrenza più eque per le organizzazioni più piccole, regolando grandi piattaforme online o “gatekeeper”. La legge mira a promuovere pratiche aziendali più eque, una maggiore trasparenza nelle operazioni e incentiva l’innovazione e la concorrenza.

La gestione del consenso aiuta le organizzazioni più piccole a soddisfare gli obblighi richiesti e a continuare a competere nei mercati digitali.

4. Credibilità e fiducia

Le piattaforme di gestione del consenso forniscono agli utenti informazioni dettagliate sul modo in cui le aziende gestiscono i dati degli utenti, su come viene monitorato il comportamento online degli utenti, sulle finalità del monitoraggio e sui relativi dati raccolti. Le scelte di consenso degli utenti si basano sull’essere informati.

Dando priorità alla conformità e alla trasparenza, è possibile stabilire credibilità e fiducia nei confronti del pubblico.

Usercentrics: la migliore piattaforma di gestione del consenso (CMP) per essere pronti al Digital Markets Act

Usercentrics è la soluzione leader di piattaforme di gestione del consenso degli utenti (CMP) e Gestione del consenso delle app mobili, a cui si affidano utenti e settori di tutto il mondo. Vantiamo un tasso di fidelizzazione dei clienti superiore al 99% e oltre 900.000 siti web in oltre 180 paesi utilizzano ogni giorno Usercentrics. Oltre 61.000.000 consensi giornalieri vengono elaborati attraverso la nostra piattaforma.

Le soluzioni di consenso per le app e il web di Usercentrics semplificano il processo di raccolta dei consensi, contribuendo a garantire la conformità al DMA e ad altre leggi sulla protezione dei dati.

Oltre a ottenere il massimo livello di protezione dei dati, con Usercentrics puoi:

• personalizzare i banner di consenso per il tuo branding
• adattare le richieste di consenso in base a normative specifiche e attività di trattamento dei dati
• creare un audit trail in caso di audit o reclami sulla protezione dei dati
• offrire maggiore controllo sui dati personali e il consenso ai tuoi utenti di siti web e app
• mantenere un approccio trasparente e incentrato sull’utente rispetto alla privacy dei dati

Raggiungere la conformità alla privacy del Digital Markets Act per creare fiducia negli utenti

Con l’implementazione della CMP di Usercentrics per prepararti al DMA, puoi dimostrare l’impegno della tua organizzazione rispetto alla privacy e protezione dei dati. Usercentrics fornisce una documentazione completa che consente di gestire i requisiti di privacy DMA, oltre agli obblighi di altre normative.

Ciò non solo consente di raggiungere e mantenere la conformità alla privacy, ma contribuisce anche a creare fiducia tra gli utenti, che si sentono più sicuri di condividere i propri dati con un marchio sensibile alla loro privacy, nella consapevolezza del rispetto del loro consenso nell’ecosistema digitale.

Conclusione e fasi successive con il Digital Markets Act

Ci troviamo nell’epoca delle normative sulla privacy dei dati. Leggi come il DMA possono addirittura essere considerate come una seconda generazione di pensiero e normative per proteggere e gestire i dati personali e il consenso, permettendo allo stesso tempo la crescita e l’innovazione dell’ecosistema digitale.

“La possibilità di dare priorità alla conformità e alla trasparenza della privacy determinerà i vincitori e i perdenti nel mercato online globale. Hai la possibilità di proteggere e rafforzare la tua reputazione e creare fiducia nei tuoi clienti, ottenendo la conformità e perseguendo le best practice in materia di privacy. L’alternativa è rischiare di essere offuscati da chi si è mosso prima in materia di privacy nel tuo settore, che potrebbe trarre un vantaggio competitivo”.

Celestine Bahr, International data privacy expert e Director Legal, Compliance & Data Privacy presso Usercentrics

Con Usercentrics come piattaforma di gestione del consenso, puoi semplificare il processo, ottenere la conformità e creare un approccio incentrato sull’utente alla privacy dei dati.

Negli ultimi anni le autorità dell’Unione europea hanno temuto la concentrazione dei poteri e la mancanza di concorrenza nel mercato digitale. Questo ha reso sempre più pressante l’introduzione di normative al fine di garantire una maggiore equità e promuovere concorrenza e innovazione. Una di queste normative si è quindi concretizzata nel Digital Markets Act (DMA). Questa legge stabilisce le regole per le piattaforme digitali che agiscono come gatekeeper. In questo articolo esamineremo l’evoluzione del DMA, dal momento in cui l’atto si è trasformato in legge al momento in cui è entrato in vigore, per poi analizzare i passi successivi nella sua implementazione.

Il primo passo nell’evoluzione del DMA: la nascita del Digital Markets Act (DMA)

Il percorso evolutivo del DMA è iniziato con il riconoscimento da parte della Commissione europea (CE) della necessità di affrontare le sfide poste dalle piattaforme digitali predominanti, proprietà di aziende designate come “gatekeeper”. Nel dicembre 2020, la CE ha pubblicato una proposta di regolamentazione volta a promuovere mercati più equi nel settore digitale. Questa legislazione si sarebbe poi trasformata nel DMA. L’obiettivo della proposta era stabilire un quadro completo per la regolamentazione del comportamento delle aziende “gatekeeper”, e delle piattaforme molto influenti da loro gestite, garantendo un campo d’azione più equo a tutte le attività professionali e promuovendo l’innovazione e il benessere dei consumatori.

Il DMA è stato introdotto insieme al Digital Services Act (DSA) nel pacchetto DSA. La proposta del DMA ha ricevuto una notevole attenzione e ha seguito un accurato processo legislativo. Ha visto consultazioni, discussioni e trattative con vari stakeholder, tra cui stati membri dell’UE, Parlamento europeo e rappresentanti di settore.

Approvazione e adozione del DMA

Dopo un ampio processo di delibera, il DMA ha ricevuto l’approvazione sia dal Parlamento europeo che dal Consiglio dell’Unione europea. Nel luglio 2022, il Parlamento europeo, in seduta plenaria, ha votato a favore del DMA con una maggioranza schiacciante. Il Consiglio ha inoltre approvato il testo, a conferma dell’accordo tra gli stati membri.

Quando è entrato in vigore il Digital Markets Act?

Il testo finale del DMA è stato pubblicato sulla Gazzetta ufficiale dell’Unione europea il 12 ottobre 2022 ed è entrato ufficialmente in vigore il 1° novembre 2022. Questo evento ha segnato una pietra miliare nella regolamentazione dei mercati digitali e nella creazione di un nuovo quadro normativo per i gatekeeper.

Nel maggio 2023, la maggior parte delle norme contenute nel DMA è diventata applicabile. Il 6 settembre 2023, la Commissione europea ha poi designato le sei aziende “gatekeeper” che devono conformarsi al Digital Markets Act. I gatekeeper sono: Meta, Alphabet, Amazon, ByteDance, Apple, Microsoft. In futuro anche altre aziende potrebbero rientrare in questa designazione.

L’evoluzione del DMA nel prossimo futuro

L’evoluzione del DMA si estende anche al prossimo futuro con importanti traguardi in vista. I gatekeeper hanno sei mesi di tempo dalla data della loro designazione per adempiere ai nuovi obblighi (non oltre il 6 marzo 2024). Entro questa scadenza, i gatekeeper dovranno:

• rispettare i doveri e le restrizioni di cui agli Articoli 5, 6 e 7, come indicato nell’Articolo 3 (10);
• fornire una relazione dettagliata che illustri le misure adottate per garantire la conformità, vedi Articolo 11;
• presentare un audit davanti alla CE che delinei le tecniche utilizzate per la profilazione dei clienti, in conformità all’Articolo 15.

Dopo un’indagine di mercato di 18 mesi, avviata in maniera indipendente dalla Commissione europea o su richiesta di almeno tre stati membri, la CE è tenuta a presentare un resoconto. Tale relazione potrebbe quindi tradursi nelle seguenti azioni:

• proposta di una modifica legislativa per introdurre nuove disposizioni del Digital Services Act (DMA) o obblighi aggiuntivi;
• proposta di un atto delegato per l’inclusione di obblighi supplementari nell’ambito del quadro esistente delineato negli Articoli 12 e 19 del DMA;
• richiesta di una consultazione obbligatoria con esperti del Consiglio e del Parlamento.

La Commissione europea è inoltre tenuta, entro il 3 maggio 2026, a rivedere la normativa e a riferire al Parlamento, al Consiglio e al Comitato economico e sociale europeo in merito a eventuali modifiche da apportare.

Come prepararsi per il DMA?

Per le aziende è fondamentale prepararsi in vista della conformità ai requisiti del DMA, in quanto ciò influirà fortemente sul loro futuro nel mercato digitale europeo. Per prepararsi al DMA ti consigliamo quindi di attenerti alla seguente procedura:

1. Analizza e comprendi innanzitutto i dati raccolti dalla tua azienda, come viene svolta questa attività, come vengono utilizzati e condivisi i dati e, soprattutto, con chi vengono condivisi. Rivedi le policy interne relative alla gestione dei dati degli utenti, all’ottenimento del consenso da parte di questi ultimi e all’utilizzo dei dati stessi, inclusi eventuali accordi di condivisione dei dati con terze parti.

2. Assicurati che il tuo sito web o la tua app siano dotati degli strumenti necessari per assicurare la privacy, che richiedano il consenso dell’utente in modo conforme e che mantengano aggiornata un’informativa sulla privacy completa e di facile comprensione.

3. Prendi in considerazione l’implementazione di una soluzione per la conformità alle normative in materia di privacy in linea con i requisiti del DMA, come la piattaforma di gestione del consenso (CMP) di Usercentrics o l‘SDK per app mobili.

La piattaforma CMP di Usercentrics viene aggiornata e automatizzata regolarmente per garantire la conformità a tutti i requisiti del DMA. Aiuta inoltre le organizzazioni ad aderire al regolamento generale sulla protezione dei dati (GDPR), la normativa principale in materia di protezione dei dati all’interno dell’Unione europea. Questa soluzione ti consente di:

• raccogliere in modo sicuro e conforme il consenso degli utenti;
• rispettare la privacy e i dati personali degli utenti;
• analizzare le preferenze di consenso per migliorare i tassi di adesione.

Non perderti i futuri aggiornamenti del DMA e gli sviluppi correlati iscrivendoti alla newsletter di Usercentrics.

Seguendo questi passaggi, la tua azienda potrà essere adeguatamente preparata a soddisfare i requisiti del DMA e i cambiamenti del mercato digitale europeo.

Esclusione di responsabilità:

Usercentrics non fornisce consulenza legale e le informazioni sono fornite esclusivamente a scopo educativo. Si consiglia sempre di rivolgersi a consulenti legali o esperti di privacy qualificati per questioni e operazioni relative alla privacy e alla protezione dei dati.

L’Unione europea (UE) dispone di alcune tra le leggi sulla privacy dei dati più severe al mondo, il Regolamento generale sulla protezione dei dati (GDPR) e la Direttiva ePrivacy, che sono già in vigore. Tuttavia, la proposta di Regolamento ePrivacy comporterà alcune modifiche alla protezione dei dati e al consenso ai cookie e amplierà la portata delle organizzazioni interessate.

Andiamo a vedere quali sono i requisiti dell’ePrivacy e cosa significano questi cambiamenti per la protezione dei dati.

1. Che cos’è l’ePrivacy?

La dicitura “ePrivacy” comprende sia la Direttiva ePrivacy (Direttiva 2002/58/CE) sia la proposta di Regolamento ePrivacy, che mirano a garantire la privacy e la protezione nelle comunicazioni elettroniche nell’ambito dell’UE. È progettata per integrarsi con il GDPR.

2. Che cos’è la Direttiva ePrivacy?

La Direttiva ePrivacy dell’UE (nota anche come “legge sui cookie”), promulgata nel 2002 e aggiornata nel 2009, tratta le questioni relative alla privacy nelle comunicazioni elettroniche. Impone la riservatezza delle comunicazioni sulle reti pubbliche, richiede il consenso dell’utente per i cookie, definisce le linee guida per la sicurezza dei servizi di comunicazione elettronica e regola le pratiche di direct marketing. I banner di consenso per i cookie hanno acquisito maggiore importanza dopo l’entrata in vigore della Direttiva ePrivacy, in quanto rappresentano un modo pratico per raccogliere il consenso esplicito degli utenti.

Questa direttiva deve essere incorporata nelle leggi nazionali degli Stati membri dell’UE, e di conseguenza viene applicata in modo diverso in tutta l’Unione europea.

A novembre 2023, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato nuove linee guida che ampliano l’ambito delle tecnologie coperte dalla direttiva.

3. Quali sono le modifiche proposte alla Direttiva ePrivacy?

L’articolo 5, paragrafo 3, della Direttiva ePrivacy stabilisce che prima che un’azienda o un sito web possa archiviare o ricevere informazioni dal dispositivo di un utente (come un computer o uno smartphone), deve ottenerne il consenso preventivo.

Con le Linee guida 2/2023 sull’ambito tecnico dell’articolo 5, paragrafo 3, della Direttiva ePrivacy, l’EDPB estende l’applicazione della direttiva all’archiviazione o all’accesso alle informazioni sul dispositivo dell’utente. L’EDPB adotta una lettura ampia di ciò che costituisce un’apparecchiatura terminale e della natura delle informazioni, suggerendo che molti metodi di tracciamento digitale richiederanno un consenso preventivo esplicito, a meno che non siano necessari per fornire un servizio richiesto.

Le linee guida riguardano specificamente l’uso di diverse tecnologie di tracciamento moderne, che sono diventate prevalenti nel marketing digitale e nel monitoraggio online.

Tracciamento di URL e pixel

I pixel di tracciamento sono immagini minuscole incorporate nei siti web o nelle e-mail che si collegano a un server. Quando si apre un’e-mail o si visita una pagina web che contiene un tracking pixel, si permette al server di registrare l’azione e acquisire dettagli, come l’ora in cui è stata aperta l’e-mail, l’indirizzo IP del destinatario e il tipo di dispositivo utilizzato. I link di tracciamento degli URL connessi ai siti web aiutano a identificare la provenienza dei visitatori.

Elaborazione locale

Talvolta, i siti web utilizzano API per accedere alle informazioni memorizzate sul dispositivo di un utente, ad esempio i dati di posizione. In base a queste linee guida, se le informazioni elaborate vengono rese disponibili in rete, ciò viene considerato accesso alle informazioni memorizzate.

Tracciamento basato solo su IP

Alcune tecnologie si basano solo sulla raccolta dell’indirizzo IP per il tracciamento degli utenti. Se l’indirizzo IP proviene dall’apparecchiatura terminale dell’utente, si applica l’articolo 5, paragrafo 3, della Direttiva ePrivacy.

Report IoT (Internet of Things)

Secondo le linee guida, è necessario il consenso dell’utente per la raccolta e l’elaborazione dei dati da parte di dispositivi connessi direttamente o indirettamente a Internet. Questo vale per i dispositivi intelligenti come i frigoriferi o i fitness tracker, sia che inviino dati direttamente sia che li trasmettano attraverso un altro dispositivo come uno smartphone.

Identificatore univoco

Gli identificatori univoci sono codici speciali che vengono applicati ai dati online di un utente per indicarne l’appartenenza. Spesso provengono da dati personali persistenti o da informazioni personali che non cambiano molto nel corso del tempo, come indirizzi e-mail, nomi utente, ID account o data di nascita. Vengono utilizzati per riconoscere gli utenti di diversi siti web o app. Quando un sito web indica al browser di un utente di inviare questi dati, accede alle informazioni sul dispositivo e richiama l’articolo 5, paragrafo 3.

4. Tutti i cookie richiedono il consenso ai sensi della Direttiva ePrivacy?

No, ai sensi della Direttiva ePrivacy, i cookie “strettamente necessari” per l’erogazione di un servizio esplicitamente richiesto dall’utente non richiedono il consenso. Questi cookie sono essenziali per il funzionamento di base del sito web o per fornire il servizio richiesto direttamente dall’utente. Alcuni esempi includono:

• cookie utilizzati per mantenere lo stato delle attività di un utente su un sito web durante una sessione di navigazione, ad esempio per mantenere lo stato di accesso;
• cookie utilizzati per supportare le funzioni di sicurezza e per aiutare a identificare e prevenire i rischi per la sicurezza;
• cookie che ricordano le informazioni immesse dall’utente, come nome utente, lingua o area geografica, per offrire un’esperienza più personalizzata.

Sebbene questi cookie siano esenti dall’obbligo di consenso, si è comunque tenuti a informare gli utenti dell’utilizzo di tali cookie, spesso attraverso un’informativa sulla privacy o una policy sui cookie.

5. Che cos’è il nuovo Regolamento ePrivacy?

Il Regolamento ePrivacy è un quadro giuridico proposto dall’UE che intende aggiornare e sostituire la Direttiva ePrivacy esistente. L’obiettivo principale del Regolamento ePrivacy è quello di migliorare la protezione della privacy nelle comunicazioni elettroniche, estendendola oltre i tradizionali provider di telecomunicazioni per includere nuovi servizi come le applicazioni di messaggistica istantanea, i servizi VoIP e la posta elettronica. Include testo, immagini, discorsi, video e metadati.

A differenza delle direttive, che richiedono la trasposizione nelle leggi nazionali, i regolamenti sono applicabili direttamente, vale a dire che, una volta entrate in vigore, garantiscono l’uniformità in tutta l’UE. Il Regolamento ePrivacy è progettato per allinearsi strettamente al GDPR, garantendo un approccio coerente e unificato alla protezione dei dati e alla privacy in tutta l’UE.

6. A chi si applica il Regolamento ePrivacy?

Il Regolamento ePrivacy mira a estendere la protezione della privacy a una più ampia gamma di comunicazioni elettroniche, al di là degli operatori di telecomunicazioni tradizionali. Si applicherà a qualsiasi azienda che elabora dati in relazione a qualsiasi forma di servizio di comunicazione online, che utilizza tecnologie di tracciamento online o che si occupa di direct marketing elettronico, incluse sia le persone fisiche che quelle giuridiche coinvolte nella comunicazione elettronica.

Esempi di soggetti a cui si applica la normativa sono:

• proprietari di siti web;
• proprietari di app che utilizzano la comunicazione elettronica come componente;
• persone fisiche o giuridiche che inviano comunicazioni di direct marketing;
• società di telecomunicazioni;
• provider di servizi di messaggistica (WhatsApp, Facebook e Skype);
• provider di accesso a internet (ad es. un negozio o un bar che fornisce accesso Wi-Fi aperto).

La normativa si applica anche alle comunicazioni M2M (machine to machine, cfr. Internet of Things).

Come per il GDPR, l’ambito territoriale della normativa si estende al di fuori dell’UE. Si applicherà ai dati degli utenti finali situati nell’UE, anche se la raccolta e/o l’elaborazione dei dati avviene al di fuori dell’UE o da parte di fornitori esterni all’UE.

7. Quali azioni vieta il Regolamento ePrivacy?

Il Regolamento ePrivacy stabilisce diversi divieti specifici per proteggere i diritti alla privacy degli utenti:

• qualsiasi intercettazione, archiviazione, monitoraggio, scansione o sorveglianza di altro tipo dei dati di comunicazione elettronica da parte di soggetti diversi dagli utenti finali (se non espressamente permesso dalla normativa);
• utilizzo di tecnologie di tracciamento per scopi non tecnici senza l’ottenimento del consenso esplicito;
• accesso alle informazioni memorizzate nell’apparecchiatura terminale dell’utente senza il suo consenso;
• invio di comunicazioni elettroniche non richieste o spam, compresi i messaggi di posta elettronica, i messaggi di testo e i sistemi di chiamata automatica non richiesti;
• elaborazione dei metadati derivanti da comunicazioni elettroniche (come i dati sulla posizione, i tempi di chiamata e le informazioni sui destinatari) senza il consenso dell’utente o altre basi giuridiche.

8. Quali saranno le novità del Regolamento ePrivacy?

Il Regolamento ePrivacy non è ancora in vigore e sarà soggetto a modifiche prima che venga approvato come normativa vincolante. Le principali aree di interesse nella proposta di Regolamento ePrivacy includono:

Comunicazioni elettroniche

Il regolamento amplia l’ambito della direttiva attuale per includere le moderne forme di comunicazione, compresi i servizi di messaggistica sulle piattaforme di social media (WhatsApp, Facebook Messenger) e i provider VoIP, con l’obiettivo di una copertura completa dei metodi di comunicazione digitale.

Cookie wall

Un cookie wall è un meccanismo mediante il quale i siti web rifiutano l’accesso agli utenti, a meno che questi non accettino i cookie. La proposta di Regolamento ePrivacy non vieta completamente i cookie wall, permettendoli anzi a determinate condizioni. Nello specifico, un sito web può chiedere agli utenti di accettare i cookie se offre anche un’opzione simile che non richiede il consenso ai cookie. La chiave è fornire agli utenti una scelta chiara, assicurando loro un mezzo alternativo per accedere ai servizi senza essere costretti ad accettare i cookie.

Riservatezza

I provider di qualsiasi servizio di comunicazione elettronica, come Gmail, Skype, Facebook Messenger e WhatsApp, saranno tenuti a fornire standard di sicurezza dei dati più elevati per garantire la riservatezza dei dati di comunicazione. Dovranno proteggere tutti i dati di comunicazione attraverso le migliori tecniche disponibili.

Metadati

La normativa protegge anche i metadati delle comunicazioni elettroniche. Esempi di metadati includono:

• ora e data della comunicazione;
• durata della comunicazione;
• posizione del mittente e del destinatario al momento della comunicazione;
• tipo di comunicazione: chiamata vocale, videochiamata, messaggio di testo, e-mail, ecc.;
• informazioni sui dispositivi utilizzati per la comunicazione, inclusi i tipi e gli identificatori degli stessi;
• dettagli relativi alla rete utilizzata per la comunicazione, come identificatori di rete Wi-Fi o cellulare e potenza del segnale.

L’intercettazione dei metadati può avvenire solo in conformità alla normativa.

Direttiva e Regolamento

Esiste una differenza significativa tra le direttive UE, come la legge sui cookie dell’UE del 2002, e le normative, come la proposta di Regolamento ePrivacy. Mentre una direttiva deve essere attuata da diversi Paesi a livello nazionale, una regolamento diventa immediatamente vincolante per legge nei Paesi dell’UE.

Le direttive vengono attuate con lievi differenze da un Paese all’altro, mentre le normative hanno esattamente lo stesso contenuto in tutti i Paesi dell’UE. Il fatto che le leggi sull’ePrivacy diventino ora un regolamento dimostra il continuo impegno dell’UE per una protezione dei dati completa in tutta l’Unione.

Marketing non richiesto

Gli addetti al marketing non potranno inviare e-mail, messaggi di testo o qualsiasi altra forma di comunicazione senza previa autorizzazione da parte degli utenti, il che porterà a una riduzione dello spam.

9. Come si colloca il Regolamento ePrivacy rispetto al GDPR?

Il GDPR e il Regolamento ePrivacy presentano diverse analogie:

• hanno in comune le stesse multe elevate per la non conformità;
• entrambi puntano ad allineare le leggi sulla privacy dei dati in tutta l’UE;
• entrambi si applicano al trattamento dei dati di soggetti residenti nel territorio dell’UE, indipendentemente dal fatto che i responsabili del trattamento si trovino o meno all’interno dell’UE;
• sono entrambi normative UE.

Esistono tuttavia alcune differenze sostanziali tra le due normative, illustrate nella tabella seguente.

10. Quando entra in vigore il Regolamento ePrivacy?

Inizialmente il Regolamento ePrivacy doveva entrare in vigore insieme al GDPR il 25 maggio 2018, ma non è stato ancora adottato. Il Consiglio dell’UE ha pubblicato una bozza, finalizzata il 10 febbraio 2021, che è ora in fase di negoziazione tra il Consiglio e il Parlamento europeo. Se la bozza viene approvata, il regolamento diventerà legge in tutti i 27 stati membri dell’UE.

Una volta approvata la bozza, seguirà un periodo di due anni prima che la normativa venga applicata. In questo modo si avrà il tempo di apportare le modifiche necessarie e raggiungere la conformità aziendale.

11. Perché e come le aziende devono prepararsi al Regolamento ePrivacy?

Multe

Le sanzioni previste dal GDPR sono sostanziali e le stesse multe si applicheranno per la mancata conformità al Regolamento ePrivacy: fino a 20 milioni di euro o al 4% del fatturato globale annuo dell’esercizio finanziario precedente, a seconda di quale sia il valore più alto.

Quando il Regolamento ePrivacy entrerà in vigore, si applicherà immediatamente ai responsabili del trattamento delle comunicazioni elettroniche in tutta l’UE. Le aziende devono assicurarsi di essere conformi prima di tale data.

Preparazione al Regolamento ePrivacy

Il Regolamento ePrivacy non sostituirà il GDPR; al contrario, le due normative sono destinate a coesistere e integrarsi tra loro. Non è vero che il Regolamento ePrivacy cambierà totalmente le regole sulla privacy e che le aziende ora conformi al GDPR dovranno ricominciare da capo. Il Regolamento ePrivacy non farà altro che ampliare le leggi sulla privacy dell’UE. Anche dopo la sua entrata in vigore, le aziende saranno tenute a rispettare sia il GDPR che il Regolamento ePrivacy o rischieranno di incorrere in sanzioni.

Inoltre, è probabile che il consenso sia sempre più utilizzato come base giuridica per il trattamento dei dati dopo l’entrata in vigore del Regolamento ePrivacy e che questo utilizzi la definizione di consenso del GDPR. Disporre di un metodo conforme al GDPR per ottenere il consenso è già un ottimo modo per prepararsi al Regolamento ePrivacy.

Usercentrics tiene traccia degli sviluppi normativi per garantire che i nostri prodotti siano aggiornati con gli standard più recenti. Le aziende possono utilizzare la nostra piattaforma di gestione del consenso (CMP) in modo da raggiungere la conformità a GDPR ed ePrivacy e prepararsi per future leggi sulla privacy dei dati, come il Regolamento ePrivacy.

Ulteriori informazioni:

• Gennaio 2017: È stato pubblicato il testo della bozza del Regolamento ePrivacy
• Settembre 2017: Il Consiglio europeo ha pubblicato le proposte di modifica
• Febbraio 2021: Il Consiglio europeo ha pubblicato il mandato per i negoziati con il Parlamento europeo

Usercentrics GmbH non fornisce consulenza legale. I contenuti del presente articolo non devono essere interpretati come legalmente vincolanti. L’articolo rappresenta l’opinione di Usercentrics.

Nel 2023 sono state approvate numerose nuove normative sulla privacy mentre altre, approvate in precedenza, sono entrate in vigore. Per altre ancora assisteremo a questo passaggio nel 2024 o ne vedremo l’applicazione. Inoltre, cosa ancora più importante, i requisiti normativi per le grandi aziende tecnologiche causeranno notevoli effetti a cascata sulla privacy dei dati delle terze parti che si affidano alle loro piattaforme e ai loro servizi per ottenere pubblico, dati e ricavi.

L’intelligenza artificiale sarà sicuramente più regolamentata e l’attenzione posta su di essa ha anche contribuito ad aumentare ulteriormente la consapevolezza dei consumatori riguardo l’accesso e l’utilizzo dei loro dati. Alcuni cambiamenti, derivanti dall’entrata in vigore delle suddette normative e requisiti aziendali, apporteranno anche graditi miglioramenti al panorama dei consumatori, offrendo maggiore trasparenza, concorrenza, innovazione e possibilità di scelta per gli stessi.

Analizziamo alcune delle novità che potranno essere introdotte nel settore della privacy dei dati nel 2024.

Cosa ci aspetta nel 2024 in materia di normative sulla privacy dei dati e per le aziende

Alcune delle leggi approvate negli Stati Uniti nel 2023 entreranno in vigore nel 2024, aumentando in modo sostanziale il numero di stati americani che dispongono di normative sulla privacy dei dati, con i relativi requisiti per le aziende che trattano dati personali.

Si prevede che nel 2024 verranno finalizzate numerose importanti normative sulla privacy dei dati in tutto il mondo, che offriranno maggiori tutele a un numero crescente di persone e ne prevederanno altre in ambiti quali l’Unione Europea (UE).

Anche le tecnologie che promuovono e ottimizzano la privacy (tecnologie per il miglioramento della privacy, anche dette PET) saranno probabilmente al centro dell’attenzione, e la politica sulla privacy dei dati del tuo sito web sarà di importanza cruciale per creare fiducia tra gli utenti, promuovere la trasparenza e conformarsi alle responsabilità sociali aziendali.

Una volta entrate in vigore le nuove normative, come ad esempio il DMA (Digital Markets Act), è probabile che assisteremo a cambiamenti rapidi e significativi nelle attività delle grandi aziende tecnologiche e delle aziende più piccole che si affidano a tali piattaforme. Le misure di sicurezza in materia di privacy dei dati si accingono a tutelare una parte più ampia della popolazione mondiale rispetto al passato. Si tratterà davvero del 75% della popolazione entro fine anno, come previsto da Gartner?

Privacy dei dati negli Stati Uniti

Otto stati americani hanno approvato una normativa sulla privacy dei dati nel 2023, e le relative leggi, in cinque di essi, entreranno in vigore nel 2024:

• Montana Consumer Data Privacy Act (MTCDPA)
• Florida Digital Bill of Rights (FDBR)
• Texas Data Privacy and Security Act (TDPSA)
• Oregon Consumer Privacy Act (OCPA)
• Delaware Personal Data Privacy Act (DPDPA)

14 dei 50 stati americani dispongono ora di normative sulla privacy dei dati anche se, nel 2023, 40 di essi hanno presentato proposte di legge in materia (molti lo avevano già fatto in precedenza). Si prevede che nel 2024 arriverà, sulle scrivanie dei governatori, un numero ancora maggiore di leggi sulla privacy dei dati.

Negli Stati Uniti i progressi nella legislazione federale sulla privacy dei dati sono ancora lenti o in stallo. Tuttavia, innovazioni come l’intelligenza artificiale generativa e le applicazioni da essa derivanti, stanno attirando molta attenzione anche sul fronte della privacy dei dati, per cui è possibile che argomenti marginali come questo possano fornire una motivazione più forte per una legge federale più ampia sulla privacy dei dati negli Stati Uniti.

Privacy dei dati in Canada

Il disegno di legge C-27 stabilisce il Digital Charter Implementation Act, 2022,, che introdurrebbe un nuovo quadro di applicazione per disciplinare l’accesso e l’uso delle informazioni personali nel settore privato. Il disegno di legge è attualmente al vaglio della commissione e potrebbe essere approvato nel 2024. Tale normativa prevede l’entrata in vigore del Consumer Privacy Protection Act (CPPA) in sostituzione del regolamento PIPEDA, in vigore da oltre 20 anni.

Il Digital Charter Implementation Act includerebbe anche il Personal Information and Data Protection Tribunal Act, che istituirebbe un tribunale amministrativo per riesaminare alcune decisioni del garante della privacy canadese e imporrebbe sanzioni per le violazioni del CPPA.

Tale normativa contribuirebbe inoltre a legiferare sull’espansione dell’influenza e delle applicazioni dell’intelligenza artificiale grazie all’Artificial Intelligence and Data Act (AIDA), che aiuterebbe a regolamentare l’uso e gli scambi nel campo dei sistemi basati sull’intelligenza artificiale sfruttando un approccio basato sull’analisi dei rischi. Qualsiasi nuova normativa o regolamentazione in materia di intelligenza artificiale dovrà focalizzarsi sulla privacy dei dati, in particolare per i consumatori.

Privacy dei dati in Australia

A livello federale, l’Australia si avvale del Privacy Act dal 1988 (con ulteriori leggi statali e territoriali). L’ultima modifica è stata apportata nel 2022, ma si attende una revisione da tempo. Il Privacy Act Review Report, composto da 116 articoli, è stato pubblicato nel febbraio 2023 e si prevede che alcune violazioni di dati di alto profilo, avvenute negli ultimi anni, probabilmente aumenteranno la pressione mediatica al fine di migliorare la privacy e la protezioni dei dati per i cittadini australiani. Si attendono maggiori cambiamenti nel 2024.

Regolamento ePrivacy nell’UE

Nell’Unione europea, la direttiva ePrivacy (ePD) è attiva dal 2018, da quando è in vigore il Regolamento generale sulla protezione dei dati (GDPR). Il Regolamento ePrivacy (ePR), che abrogherebbe la direttiva ePD, ha tuttavia tardato ad arrivare. Negli ultimi anni l’UE ha approvato altre leggi con articoli correlati alla privacy dei dati, tra cui il DMA, mentre la legge sull’intelligenza artificiale sarà probabilmente approvata all’inizio del 2024.

Il Regolamento ePrivacy stabilirebbe, tra l’altro, norme più chiare sull’uso dei cookie e discoplinerebbe i nuovi servizi di comunicazione elettronica non regolati dalla direttiva ePrivacy, come WhatsApp o Facebook Messenger. Tuttavia, sulla base del periodo di transizione previsto di 24 mesi, qualora venisse finalizzato nel 2024, non sarebbe del tutto in vigore fino al 2026.

Regolamentazione sull’intelligenza artificiale (IA)

La normativa dell’Unione europea sull’IA, la prima del suo genere, dovrebbe essere finalizzata all’inizio del 2024. Oltre a fornire nuove norme, linee guida e divieti sullo sviluppo e l’applicazione dell’intelligenza artificiale nell’UE, è probabile che avrà un’influenza significativa su leggi simili in altri paesi, proprio come è successo per l’entrata in vigore del GDPR.

Nell’ottobre del 2023, anche il presidente degli Stati Uniti, Biden, ha firmato un provvedimento esecutivo per aumentare la sicurezza dell’intelligenza artificiale. Tale provvedimento contribuirà sicuramente a generare ulteriori sviluppi in questo settore.

Pacchetto Digital Services Act

Nel nostro riepilogo del 2023 abbiamo parlato del pacchetto Digital Services Act e delle sue due leggi, il Digital Services Act (DSA) e il Digital Markets Act (DMA). Alcuni requisiti della normativa erano già in vigore nel 2023, ma la loro applicazione è prevista per l’inizio del 2024.

Le leggi di questo pacchetto richiedono la conformità da parte di determinate grandi aziende tecnologiche e comporteranno la necessità di esercitare pressioni in termini di conformità anche su clienti e partner di terze parti, fattore che potrebbe avere un effetto molto maggiore sulla conformità in materia di privacy, soprattutto per le organizzazioni più piccole, in particolare nell’UE, rispetto a quanto fatto finora da normative come il GDPR. Il requisito di Google per l’uso di una piattaforma certificata di gestione del consenso che supporti il TCF 2.2 e il Consent Mode, ad esempio.

A partire dal 2024 si prevedono cambiamenti sostanziali che influenzeranno le opzioni a disposizione dei consumatori, le operazioni aziendali e la competitività nei mercati digitali, tra cui l’adozione delle piattaforme CMP al fine di garantire la conformità in materia di privacy e fornitura dei consensi.

Il futuro è con il “pay or ok”?

In seguito alle continue sfide legate alla privacy dei dati nell’UE e in risposta al DMA, in base al quale è stata designata come “gatekeeper”, la società madre di Facebook e Instagram, Meta, ha annunciato i piani per un nuovo modello di abbonamento per gli utenti che accedono a Facebook e Instagram, soprannominato “pay or ok”, ovvero paghi o accetti le condizioni, per dirlo in parole povere.

Nell’UE, nello SEE e in Svizzera, gli utenti di Facebook e Instagram potranno sottoscrivere un abbonamento mensile a pagamento per queste piattaforme e non ricevere pubblicità. Gli utenti che decidono di non pagare riceveranno annunci pubblicitari e i loro dati personali verranno raccolti e utilizzati, ad esempio per la personalizzazione degli annunci.

Tuttavia, a fine 2023, numerose organizzazioni, tra cui l’Organizzazione europea dei consumatori, hanno presentato un reclamo contro Meta in merito a tale offerta in abbonamento, sostenendo che si tratta di una proposta sleale e di un altro tentativo di aggirare le norme europee. Prevediamo che questo caso avrà ulteriori sviluppi nel 2024 e che verrà seguito con attenzione da altre grandi aziende tecnologiche.

Conclusioni e come adottare la privacy dei dati

Probabilmente la parola chiave migliore per descrivere cosa aspettarsi nel 2024 in materia di privacy dei dati è “accelerazione”. Nel 2023 sono state lanciate numerose iniziative che continueranno a essere attuate o che influenzeranno la nuova legislazione, i requisiti aziendali, le tecnologie e le aspettative dei consumatori.

La privacy dei dati sta diventando un aspetto cruciale per le operazioni aziendali e per la protezione della reputazione del marchio e dei ricavi. Le aziende si stanno rendendo conto non solo dei rischi di non conformità, ma anche delle opportunità offerte dalla protezione dei dati e dal rispetto della privacy degli utenti. Nel 2024, ad esempio, la privacy dei dati nel settore della telefonia mobile continuerà quasi sicuramente ad essere un argomento scottante.

In alcune aree geografiche, le aziende devono rispettare più normative, il che è impegnativo, soprattutto per le PMI che dispongono di risorse limitate. Ma questa è la nuova normalità e non è così spaventosa come sembra. Usercentrics è qui per aiutarti e le nostre soluzioni sono progettate per essere semplici, affidabili e soprattutto scalabili in base alla crescita della tua azienda, ai cambiamenti del tuo stack tecnologico e agli sviluppi normativi.

Usercentrics non fornisce consulenza legale e le informazioni sono fornite esclusivamente a scopo educativo. Si consiglia sempre di rivolgersi a consulenti legali o esperti di privacy qualificati per questioni e operazioni relative alla privacy e alla protezione dei dati.