chiarimenti edpb edps

DMA, come rispettare la privacy nella profilazione



Indirizzo copiato

Il Digital Markets Act da un punto di vista tecnico-giuridico è un prodotto molto originale: una regolamentazione preventiva rispetto a temi antitrust che disciplina anche il trattamento dati. Data la centralità di quest’ultimo aspetto, anche lo European Data Protection Board e lo European Data Protection Supervisor hanno espresso le loro osservazioni

Pubblicato il 30 ott 2023

Fabia Cairoli

Data and Privacy, Legal Counsel

Cecilia Canova

Associate, Dentons Europe Studio Legale Tributario



dsa agcom piattaforme

Il Digital Markets Act (DMA) è uno dei nuovi pilastri introdotti dal legislatore europeo per regolamentare le nuove sfide nel contesto digitale. Insieme al Digital Services Act (DSA), costituisce un tassello fondamentale per affrontare tematiche su cui, evidentemente, il Regolamento (EU) 2016/679 (GDPR) non è risultato sufficientemente risolutivo.

L’intento del DMA è di regolamentare i mercati digitali, essenzialmente preservando la concorrenza. La sua anima antitrust si colloca però in un settore dominato dalla regolamentazione dei dati, di cui GDPR e normativa ePrivacy sono le regolamentazioni cardine. Ecco, quindi, che la sua natura “ibrida” lo rende, da un punto di vista tecnico-giuridico, un prodotto molto originale: è un atto di regolamentazione preventiva rispetto a temi antitrust che disciplina anche il trattamento dei dati.

La profilazione nel DMA: gli obblighi informativi dei gatekeeper

L’art. 15 DMA stabilisce alcuni obblighi di audit per i cosiddetti gatekeeper (i.e. soggetti che forniscono servizi di “piattaforma di base” – ovverosia servizi che fungono da tramite con gli utenti finali – che siano stati designati quali soggetti obbligati all’applicazione del DMA). In particolare, si impone a tali soggetti di presentare (entro sei mesi dalla loro designazione) una “descrizione sottoposta a audit indipendente delle tecniche di profilazione dei consumatori applicate dal gatekeeper ai suoi servizi di piattaforma di base elencati nella decisione di designazione a norma dell’articolo 3, paragrafo 9, o nell’ambito di tali servizi”. Tale descrizione – da sottoporre alla valutazione dello European Data Protection Board (EDPB) – deve essere mantenuta aggiornata con cadenza almeno annuale e ne deve essere messa a disposizione del pubblico una sua panoramica.

A fine luglio, la Commissione europea ha aperto la consultazione pubblica sul modello da presentare ai sensi dell’art. 15 DMA (di seguito, “modello di notifica”). Data la centralità del trattamento dei dati personali, anche l’EDPB e lo European Data Protection Supervisor (EDPS) hanno sottoposto le loro osservazioni.

Il loro contributo è ricco di spunti: di seguito, proviamo ad affrontare i tre aspetti più interessanti.

Edpb e Edps su DMA, tre aspetti chiave: tra tutela della concorrenza e privacy

Il punto di partenza non può che essere il contenuto stesso del modello di notifica: un documento molto dettagliato che imporrà ai gatekeeper di descrivere in modo puntuale le proprie tecniche di profilazione. Tale descrizione, contenuta alla sezione 2 del modello di notifica, solleva alcune considerazioni rispetto agli obblighi già imposti dal GDPR.

  • Tra gli elementi che si dovranno fornire nel modello di notifica, “the specific purpose(s) pursued by the profiling technique(s) and for which they are used” sembra un rafforzamento dell’obbligo – già previsto dal GDPR con riferimento ai dati personali – di descrivere le finalità di trattamento.

Come sottolineano EDPB ed EDPS, non basta, quindi, richiamare genericamente la valutazione di determinati aspetti personali relativi al consumatore, per analizzarne o prevederne alcuni aspetti. Al contrario, il DMA impone ai gatekeeper di precisare sia le finalità sia gli usi di tale profilazione: lo stesso considerando 72 del DMA precisa “the purpose for which the profile is prepared and eventually used”.

Tra gli “usi”, ci si domanda se debba annoverarsi anche l’eventuale cessione delle informazioni ottenute dalla profilazione nonché, in generale, i “trattamenti successivi” di cui all’art. 6(4) GDPR.

  • Un altro aspetto interessante è relativo al rapporto tra le basi giuridiche previste dall’art. 6 GDPR e i vincoli imposti dall’art. 5 DMA, che vieta essenzialmente ai gatekeeper incroci di informazioni raccolte nell’ambito dei propri servizi di intermediazione (salvo determinati presupposti – ne avevamo accennato in un precedente contributo accessibile qui).

Sul punto, l’EDPB e l’EDPS richiedono però dei chiarimenti: si suggerisce di modificare il modello di notifica per includere un riferimento anche al trattamento dei dati sensibili e ai trattamenti automatizzati ex art. 22 GDPR.

Dunque, le precisazioni richieste ai gatekeeper forniranno uno spaccato interessante sulle valutazioni che portano questi operatori a svolgere determinate forme di profilazione.

  • Inoltre, nel modello di notifica si precisa la necessità di distinguere tra i dati raccolti e quelli derivati; si tratta di una delle prime distinzioni di questi insiemi di informazioni, che mira a differenziare le informazioni “sicure” (poiché rese dall’utente) da quelle “supposte” (perché risultato di un’elaborazione). Obbligare i gatekeeper a operare questa distinzione potrebbe anche portare le Autorità privacy a estenderla anche ad altri operatori, con un effetto molto interessante sotto il profilo della trasparenza.

Dal contenuto del modello di notifica emerge come i gatekeeper siano chiamati a fornire – con sforzi sicuramente notevoli – un dettaglio sempre maggiore in merito alle caratteristiche delle profilazioni in atto. Altrettanto evidente, ne consegue, è che si entra in una nuova era rispetto alla conoscenza delle tecniche di profilazione, per lungo tempo non note al grande pubblico.

La valutazione d’impatto

Secondo aspetto interessante che emerge, e che rafforza ulteriormente il collegamento tra il DMA e il GDPR, è che le informazioni desunte dai report presentati ai sensi dell’art. 15 DMA sono impiegate – come sottolineato dall’EDPB e dall’EDPS – anche “ai fini del GDPR”. Lo stesso modello di notifica riprende in vari punti adempimenti propri del GDPR: tra questi, il riferimento, ad esempio, al fatto che sia stata o meno condotta una valutazione di impatto ex art. 35 GDPR e quale ne sia stato l’esito.

A tal proposito, il considerando 72 del DMA precisa che “è opportuno che i gatekeeper forniscano quanto meno una descrizione sottoposta a audit indipendente della base su cui è realizzata la profilazione, indicando anche se si avvalgono dei dati personali e dei dati derivati dall’attività dell’utente in linea con il regolamento (UE) 2016/679, il trattamento applicato, lo scopo per il quale è preparato e in ultima analisi utilizzato il profilo, la durata della profilazione, l’impatto di tale profilazione sui servizi del gatekeeper e i provvedimenti adottati per consentire effettivamente agli utenti finali di essere a conoscenza dell’uso pertinente di tale profilazione, nonché i provvedimenti finalizzati a chiedere il loro consenso o a offrire loro la possibilità di negare o revocare il consenso”.

Ne derivano maggiore trasparenza e accountability: non è dunque peregrino aspettarsi che le Autorità privacy interverranno sempre di più per verificare la corrispondenza delle informazioni rese dalle aziende (in questo caso, i gatekeeper) nella dichiarazione ai sensi dell’art. 15 DMA con quel che viene rappresentato nell’informativa privacy. Questo approccio “unitario” non è peraltro frutto del DMA, bensì una richiesta per tutte le aziende: operare in modo trasversale rispetto alle disposizioni delle normative.

Possibili conflitti di interesse in relazione alle funzioni privacy

Infine, un’altra precisazione interessante è contenuta nella sezione 2.1 del modello di notifica, che dispone: “Please provide the name of each member of your organisation or external expert which contributed to the drafting of the submitted description of the consumer profiling techniques”. L’EDPB e l’EDPS suggeriscono che siano precisati anche “funzione e ruolo” dei soggetti che contribuiscono all’elaborazione del modello di notifica, al fine di verificare, ed evitare, conflitti di interesse. Si legge, in particolare, che “it would be important for gatekeepers to not only provide the Commission with the name of each person involved in the drafting of the submitted description of the consumer profiling techniques, but also with information about the function and role of such persons. That information could allow the Commission to detect or further investigate potential conflicts of interest or duties among persons who contributed to the drafting of the audited description”. Questa precisazione solleva un dubbio di fondo: dato che il contenuto della notifica ex art. 15 DMA viene anche condiviso con l’EDPB, ci si domanda se l’intento non sia quello di fornire alle Autorità privacy un canale di informazione privilegiato rispetto al coinvolgimento di funzioni aziendali nell’elaborazione delle tecniche di profilazione, che potrebbe anche portare a individuare conflitti di interesse in relazione alle funzioni privacy (in primis, quella del Responsabile della protezione dei dati, che è notoriamente a rischio di conflitto di interesse, laddove svolga anche altri incarichi in azienda).

Conclusioni

I chiarimenti offerti da EDPB-EDPS testimoniano, ancora una volta, che il mercato digitale è impattato da un vero e proprio cambio di mentalità: non è più possibile affrontare le implicazioni relative a tale settore in modo diversificato. È necessario che vi sia un approccio coerente, nell’adempiere alle richieste del legislatore, con una visione d’insieme unitaria. Uno sforzo di riorganizzazione interna per tali operatori (i gatekeeper, se si guarda al DMA; ma lo stesso dicasi per altri operatori rispetto alle numerose normative di recente introduzione) ma anche uno sforzo per i professionisti che si occupano di queste materie.

* L’articolo fornisce osservazioni critiche da parte delle autrici, che costituiscono opinioni personali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2