Il nuovo Digital Markets Act (DMA) è sempre più vicino. Come confermato dalla vicepresidente della Commissione europea e commissario europeo alla concorrenza, Margrethe Vestager, il nuovo regolamento entrerà in vigore nella primavera del 2023.
Il conto alla rovescia per le big tech è iniziato: una volta ufficializzato il testo, infatti, il DMA sarà applicabile trascorsi sei mesi dalla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea.
Il Regolamento rappresenta, solo in ordine cronologico, l’ultimo atto di una strategia europea più ampia che mira – insieme alle altre componenti normative in materia – a rendere il settore digitale più equo e competitivo.
Digital Markets Act, così l’Europa limita il potere delle big tech
Gli obiettivi del Digital Markets Act (DMA)
Sulla scia del recente regolamento Platform-to-business (P2B), il DMA impone alle piattaforme digitali di grandi dimensioni – che fungono da punti di accesso per i servizi offerti online – obblighi di trasparenza e di equità.
Norme comuni in tutto il mercato unico consentono, infatti, di promuovere l’innovazione, la crescita e la competitività delle aziende, nonché di facilitare l’espansione delle piattaforme più piccole, delle PMI e delle start-up, che disporranno così di un quadro normativo unico e chiaro a livello europeo.
Sempre più di frequente, infatti, le big tech agiscono come gateway (o punti di accesso) o gatekeeper (ossia controllori dell’accesso), detenendo le chiavi di accesso alla rete per gli operatori commerciali che intendono fornire i propri servizi online. Per mantenere questa posizione di dominio, però, le big tech impongono agli operatori commerciali che si approcciano al mercato digitale l’utilizzo delle proprie piattaforme per poter a loro volta offrire i propri servizi, costituendo così barriere difficili da superare. In poche parole, senza l’utilizzo di tali piattaforme, l’utente finale non può accedere e utilizzare determinati servizi di altri utenti commerciali, impendendo nel contempo agli utenti commerciali di operare liberamente nella rete.
Tali piattaforme, quindi, assumono il ruolo sempre più importante di intermediari per la maggior parte delle transazioni tra utenti commerciali e utenti finali, radicandosi come elementi essenziali dell’attuale economia digitale. Data la loro posizione, i gateway e i gatekeeper impattano largamente i mercati digitali nei quali sono radicati e ne controllano di fatto l’accesso, creando tra loro e gli utenti commerciali una forte dipendenza che sfocia talvolta in comportamenti sleali.
I servizi digitali “mediati” da questi gateway e gatekeeper, infatti, comprendono un’ampia gamma di attività che fanno ormai parte della nostra quotidianità digitale e includono, tra gli altri, i mercati virtuali, i servizi di social network, i motori di ricerca online, i sistemi operativi o i negozi di applicazioni software. Sebbene tali servizi amplino la scelta degli utenti finali, migliorando l’efficienza e la competitività del settore digitale, poche grandi piattaforme detengono posizioni di monopolio nel settore.
E proprio per questa ragione, l’obiettivo principale del nuovo DMA è quello di impedire l’abuso, da parte dei grandi gatekeeper, della loro posizione dominante a scapito delle imprese (economicamente dipendenti) che desiderano accedere ai consumatori online. Il DMA, infatti, mira a ridurre gli squilibri economici tra gli operatori commerciali e le big tech, nonché ad eliminare le pratiche commerciali sleali da parte di tali gatekeeper e gli effetti negativi che ne conseguono per gli operatori commerciali.
A chi si applica il Digital Markets Act?
Sebbene alcuni dei fenomeni che il DMA mira ad eliminare possano riscontrarsi in una certa misura anche in altri settori e mercati, l’ambito di applicazione del nuovo regolamento è limitato al settore digitale, seppur con effetti anche oltreoceano. Infatti, come già accaduto con il Regolamento generale sulla protezione dei dati (GDPR), il DMA si applica ai cosiddetti “servizi di piattaforma di base” (esclusi i servizi relativi alle reti di comunicazione elettronica) forniti o offerti da gatekeeper a utenti commerciali e utenti finali stabiliti o situati nell’Unione Europea, a prescindere dal luogo di stabilimento o di residenza dei gatekeeper e dalla normativa altrimenti applicabile alla fornitura del servizio.
Chi sono i gatekeeper
I gatekeeper sono definiti come “i fornitori di servizi di piattaforma di base” (i cosiddetti “core platform services”) che, per essere soggetti al DMA, devono operare in almeno tre Stati membri dell’Unione Europea.
In particolare, tra i servizi di piattaforma di base figurano quelli di uso comune e quotidiano, quali:
- i servizi di intermediazione online, quali, ad esempio, i marketplace, gli store di applicazioni software e i servizi di intermediazione online in settori come la mobilità, i trasporti o l’energia;
- i motori di ricerca online;
- i social network;
- le piattaforme per la condivisione di contenuti digitali;
- i servizi di comunicazione elettronica interpersonale indipendente dal numero;
- i sistemi operativi;
- i servizi di cloud computing;
- i servizi di pubblicità, comprese le reti pubblicitarie, gli scambi di pubblicità e qualsiasi altro servizio di intermediazione pubblicitaria, qualora siano collegati a uno o più degli altri servizi di piattaforma di base sopra menzionati.
Nel mondo virtuale, quindi, i gatekeeper sono tradizionalmente riconosciuti come gli “intermediari” tra chi accede ad Internet (gli utenti finali) e chi offre contenuti e servizi nella rete (operatori commerciali). In generale, i gatekeeper sono i soggetti che esercitano il controllo dell’informazione che, nella rete, passa attraverso una porta di accesso (o gate).
Tale controllo può esercitarsi in vari modi: nel rendere disponibile o meno una notizia (ad esempio, su una testata giornalistica online), nella cancellazione di una informazione (tramite la rimozione di un post ritenuto sconveniente), nelle attività esercitate da soggetti che forniscono l’accesso fisico alla rete (ISP), ma soprattutto, vista la complessità attuale del cyberspazio, nel consentire all’utente di rintracciare un’informazione o un servizio che altrimenti non sarebbe raggiungibile. Proprio grazie a questa posizione di controllo, i gatekeeper – nonché le big tech che li gestiscono – acquisiscono un potere di mercato sempre più importante.
Tuttavia, il fatto che un servizio digitale si configuri come servizio di piattaforma di base non implica necessariamente che il suo fornitore sia un gatekeeper. In particolare, si classificano come gatekeeper i soli fornitori di piattaforme di base che:
- hanno un impatto significativo sul mercato interno, qualora abbiano raggiunto un fatturato annuo nell’Unione Europea di almeno 7,5 miliardi di euro o la loro capitalizzazione di mercato sia pari ad almeno 75 miliardi di euro;
- hanno il controllo di uno o più importanti punti di accesso degli utenti, nel caso in cui contino mensilmente almeno 45 milioni di utenti finali e 10.000 utenti commerciali stabiliti nell’Unione Europea; e
- detengono una posizione consolidata e duratura, ossia hanno avuto un impatto significativo sul mercato interno e il controllo dei punti di accesso degli utenti per tre anni consecutivi. Tuttavia, al fine di evitare che start-up o newco sfuggano ai controlli del DMA, è prevista anche una categoria di “gatekeeper emergenti”, che consente alla Commissione Europea di imporre determinati obblighi alle imprese con una posizione concorrenziale assodata ma ancora non consolidata.
Infine, per garantire che le norme previste nel regolamento siano proporzionate, le PMI sono esonerate, salvo casi eccezionali, dalla qualifica di gatekeeper.
Chi qualifica il fornitore come gatekeeper?
Ma chi qualifica il fornitore come gatekeeper? È la Commissione Europea stessa a designare il fornitore come gatekeeper soggetto, pertanto, agli obblighi di cui al DMA ogniqualvolta che il fornitore di una piattaforma di base raggiunge le soglie sopra menzionate. La qualifica da parte della Commissione Europea può avvenire sia su notifica volontaria del fornitore, sia in autonomia da parte della Commissione stessa. La mancata notifica da parte di un fornitore di servizi di piattaforma di base, infatti, non impedisce alla Commissione Europea di designare in qualsiasi momento tali fornitori come gatekeeper in base ad informazioni di cui la stessa Commissione Europea sia venuta a conoscenza.
Infatti, la qualifica di gatekeeper può essere attribuita dalla Commissione Europea sulla base di indicatori quantitativi appropriati che fungano da presunzioni inconfutabili, oppure alla luce di una valutazione qualitativa effettuata caso per caso e supportata da un’adeguata indagine di mercato. In particolare, nel valutare la natura di gatekeeper di un fornitore di servizi di piattaforma di base, la Commissione Europea tiene conto – tra gli altri fattori – delle dimensioni, compresi fatturato e capitalizzazione di mercato, delle attività e della posizione del fornitore, nonché del numero di utenti commerciali che dipendono dal servizio di piattaforma di base e il numero di utenti finali raggiunti dalla piattaforma stessa.
In particolare, il DMA obbliga i gatekeeper a notificare la propria posizione, insieme alle soglie superate, alla Commissione Europea entro 2 mesi dall’inizio della sua applicabilità. La Commissione Europea, invece, avrà a disposizione 45 giorni lavorativi per adottare una decisione in merito all’opportunità di designare il fornitore di una piattaforma di base come gatekeeper.
Tuttavia, se un fornitore designato dalla Commissione Europea riesce a dimostrare di non possedere le caratteristiche per essere qualificato gatekeeper (e, quindi, di non essere soggetto al DMA), questo può contestare tale designazione mediante una procedura specifica direttamente indirizzata alla Commissione Europea che valuterà – nel termine di 5 mesi della richiesta – le argomentazioni del fornitore adottando una decisione definitiva in merito.
I DOs e i DON’Ts del nuovo regolamento
Il DMA stabilisce una serie di obblighi che i gatekeeper dovranno rispettare per garantire mercati digitali equi e aperti, consentendo così agli operatori commerciali di contendersi i mercati digitali a parità di armi.
In particolare, i gatekeeper dovranno:
- permettere agli utenti commerciali di promuovere i propri prodotti e servizi anche al di fuori della piattaforma di base utilizzata;
- consentire agli utenti finali di disinstallare applicazioni preinstallate o di cambiare impostazioni preimpostate sui sistemi operativi, assistenti virtuali o browser del dispositivo al fine di non indurre gli utenti finali ad utilizzare solo i prodotti e i servizi del gatekeeper stesso;
- garantire agli utenti la possibilità di recedere dall’abbonamento ai servizi di piattaforma di base facilmente;
- garantire l’interoperabilità della piattaforma di base con sistemi e servizi di terze parti e permettere agli utenti finali di installare tali sistemi e applicazioni di terze parti sui propri dispostivi; nonché
- consentire agli utenti commerciali che pubblicizzano e offrono i propri prodotti e servizi tramite la piattaforma di accedere ai dati sull’utilizzo della piattaforma e dei servizi da parte degli utenti finali al fine di verificare l’andamento della pubblicità effettuata sulla piattaforma.
Viceversa, i gatekeeper non potranno più:
- classificare sulla piattaforma i propri prodotti o servizi in modo più favorevole rispetto a quelli di altri operatori commerciali, auto-agevolandosi;
- combinare i dati sull’utilizzo di un servizio da parte degli utenti finali al fine di riutilizzarli per fornire un servizio diverso;
- stabilire condizioni inique per gli utenti commerciali che operano sulla piattaforma di base, impedendo a tali utenti di offrire gli stessi prodotti presenti sulla piattaforma di base altrove e a prezzi e condizioni diverse da quelle del gatekeeper;
- pre-installare sul dispositivo dell’utente finale determinate applicazioni software o, comunque, imporre tali applicazioni software di default insieme al sistema operativo del dispositivo;
- imporre agli sviluppatori di applicazioni di utilizzare determinati servizi (ad esempio, uno specifico sistema di pagamento o gestore di identità) per poter offrire i propri prodotti negli app store;
- monitorare la navigazione degli utenti finali una volta che questi siano usciti dalla piattaforma di base al fine di proporre annunci pubblicitari targettizzati sulla base delle preferenze degli utenti finali, senza aver raccolto l’effettivo consenso degli utenti stessi.
Da quanto può desumersi dagli obblighi previsti nel DMA, il nuovo regolamento funge da corollario per le disposizioni precedenti in materia di trattamento e protezione dei dati personali. Infatti, il DMA impone nuovi obblighi di trasparenza per poter profilare gli utenti online, inserendo ulteriori limiti nelle attività di matching dei dati. Il legislatore europeo chiarisce, infatti, che spetta ai gatekeeper garantire che l’osservanza degli obblighi previsti dal DMA avvenga nel pieno rispetto di altre normative dell’Unione Europea, incluse quelle a protezione dei dati personali e sulla tutela dei consumatori.
Quali sono le sanzioni in caso di violazioni del DMA?
In caso di violazione delle disposizioni del DMA, i gatekeeper rischiano una sanzione fino al 10% del loro fatturato totale annuo a livello mondiale. In caso di recidiva, però, la sanzione può essere aumentata fino al 20% del fatturato globale annuo. Inoltre, ove la violazione avvenga almeno tre volte nell’arco di otto anni, la Commissione Europea può decidere di avviare un’indagine di mercato e, se necessario, imporre ai gatekeeper rimedi di natura comportamentale o strutturale.
L’unica autorità preposta all’applicazione del regolamento è la Commissione Europea, ma alle autorità nazionali garanti della concorrenza è affidato il potere di avviare indagini su possibili infrazioni e trasmettere i loro risultati alla Commissione Europea al fine di irrogare una sanzione al gatekeeper indagato.
Ad ogni modo, il legislatore europeo ha pensato anche ad eventuali rimedi per gli utenti che subiscano i comportamenti dannosi dei gatekeeper. Eventuali violazioni della normativa da parte dei gatekeeper, infatti, potranno comunque essere fatte valere dagli utenti nei tribunali nazionali qualora da tali condotte illecite ne fosse derivato un danno diretto agli utenti stessi (che potranno, pertanto, richiedere anche il risarcimento per il danno patito).