Con la risoluzione del 5 luglio 2022 il Parlamento europeo ha definitivamente approvato il testo del Digital Markets Act volto a regolare in maniera più definita la competizione sui mercati digitali prevedendo regole precise per i cosiddetti gatekeeper, ossia i grandi soggetti che erogano servizi di piattaforme online.
La portata del provvedimento, però, sarà anche più ampia di quella originalmente proposta dalla Commissione Europea, in quanto in sede parlamentare sono stati apportati numerosi emendamenti. A questo punto, dopo il recepimento del testo anche da parte del Consiglio UE, lo stesso potrà essere oggetto di pubblicazione nella Gazzetta Ufficiale europea, salvo che la Commissione non intenda sostituire o modificare la proposta con necessità di un ulteriore esame da parte del Parlamento.
Prende forma la strategia europea sui dati, ecco l’importanza di DSA e DMA
In pratica, pertanto, il provvedimento è oramai giunto al termine del suo iter legislativo e con molta probabilità sarà pubblicato nell’ultimo quadrimestre del 2022.
È possibile, quindi, esaminare le novità più rilevanti rispetto a quanto alle previsioni che erano originariamente contenute nella proposta della Commissione (la COM(2020)0842).
DMA: scopo e ambito di applicazione
Preliminarmente appare opportuno ricordare che il DMA è un provvedimento che intende disciplinare la concorrenza e la tutela dei consumatori nell’ambito dei mercati digitali.
Ciò significa che il provvedimento vuole prevenire condotte abusive da parte dei soggetti che operano in posizione dominante su tali mercati, ricorrendo ad istituti già ampiamente conosciuti nell’ambito del diritto antitrust ed introducendo anche nuovi obblighi e presupposti specifici, caratterizzati dall’elevato livello tecnologico del mercato di riferimento.
Il provvedimento fa tesoro delle esperienze fino ad oggi affrontate dalla Commissione Europea, che in più procedimenti ha potuto vagliare la correttezza della condotta di soggetti quali Apple, Google, Facebook, sia in relazione ad operazioni di concentrazione (come nell’acquisizione di Whatsapp da parte di Facebook) sia relativamente a particolari piattaforme in cui tali soggetti hanno una posizione di assoluta predominanza (si pensi agli store Apple e Google per le app degli smartphones).
Web browser e assistenti virtuali nell’elenco dei servizi sottoposti a regole stringenti
L’ambito di applicazione riguarda in generale tutti i mercati digitali, ma viene individuato un elenco di “servizi centrali di piattaforma” sottoposti a più stringenti regolamentazione.
Tra le modifiche più rilevanti rispetto il testo originario è proprio l’inserimento all’interno di tale elenco di ulteriori servizi, quali i “web browsers” e gli assistenti virtuali, mentre in generale sono state inclusi nei servizi online anche quelli di pagamento e di identificazione degli utenti.
Tali ultimi riguardano quei servizi di identificazione che sono forniti insieme o con il supporto di un servizio centrale di piattaforma al fine di abilitare l’identificazione dell’utente. Si tratta, in sintesi dei sistemi di “social login” ampiamente utilizzati quali strumenti di autenticazione federati a diversi siti e servizi online, i quali spesso consentono di incrociare i dati degli utenti sui vari sistemi e servizi a cui accedono.
Con l’ampliamento dei servizi che ricadono nell’ambito dell’applicazione del provvedimento il Parlamento europeo ha quindi voluto estenderne la portata, includendo anche quei servizi che potremmo definire accessori rispetto alla piattaforma, ma che comunque creano posizioni di vantaggio, in termini di dati acquisiti, per i soggetti che li erogano.
Le modifiche ai criteri quantitativi per qualificare un soggetto come “gatekeeper”
Alcune precisazioni sono state apportate anche rispetto ai criteri quantitativi per qualificare un soggetto come “gatekeeper”. Innanzitutto, è specificato che il fatturano superiore a 7,5 miliardi di euro deve essere relativo a quello realizzato in Unione Europea e deve essere realizzato per ciascuno dei tre anni di riferimento. Inoltre, la piattaforma gestita dall’impresa che supera tali soglie deve gestire la stessa piattaforma in almeno tre Paesi membri. Ciò significa che in caso di localizzazione della piattaforma diversa per ciascun Paese membro non risulterebbe integrato tale requisito e l’impresa non sarebbe soggetta all’applicazione delle regole del DMA.
Anche in relazione al calcolo degli utenti necessari per poter definire un soggetto quale gatekeeper la soluzione è stata quella di introdurre la metodologia in un apposito allegato dell’atto. Alla Commissione Europea, vengono conferiti dei poteri più ampli rispetto la versione originaria, tra cui quello di aggiornare le metodologie e gli indicatori per il calcolo quantitativo delle soglie dei gatekeeper nonché di adottare una serie di provvedimenti volti all’attuazione del provvedimento (già previsti in gran parte nella versione originaria).
I comportamenti vietati
Il Parlamento europeo è intervenuto anche in relazione alla definizione dei comportamenti vietati. È rilevante evidenziare che trattandosi di comportamenti afferenti all’utilizzo dei dati degli utenti i rapporti tra DMA e GDPR sono molto stretti. In particolare, la norma richiede che per poter compiere determinati operazioni sui dati (profilazione per pubblici online, scambio tra piattaforme diverse, combinazione di dati da fonti diverse, autenticazione dell’utente) è necessario il consenso degli utenti che deve avere le caratteristiche stabilite dall’art. 7 GDPR. Inoltre, la nuova formulazione chiarisce che la richiesta di consenso non può essere reiterata per lo stesso motivo se non una volta ogni anno, ferma rimanendo la possibilità di effettuare quei trattamenti le cui basi giuridiche sono rinvenibili nell’art. 6, comma 1, lett. c), d) ed e).
Non sfuggirà ai lettori il mancato richiamo della lett. f) con conseguente inutilizzabilità per tali scopi da parte dei gatekeeper della base giuridica del legittimo interesse (ciò anche a conferma dei recenti provvedimenti adottati dalle Autorità di controllo nei confronti del cambio di policy di Tik Tok).
TikTok, grave minaccia sulla nostra privacy: bene lo stop del Garante
Rilevante innovazione nell’ambito dell’individuazione dei comportamenti vietati è l’introduzione anche del divieto di imporre un web browser o un sistema di pagamento specifico (anche per gli acquisti “in app”) a coloro che utilizzano la piattaforma. L’introduzione di tale previsione, contenuta in poche righe dell’art. 5, è diretta ad incidere in maniera rilevante sulla gestione degli app store che, come è noto, attualmente vincolano gli utenti ad utilizzare determinati sistemi proprietari dei gatekeepr per effettuare acquisti all’interno delle app scaricate mediante gli stessi.
Oltre alla previsione di divieti sono stati introdotti nuovi obblighi di informazione verso i soggetti che utilizzano le piattaforme per svolgere attività di advertising, al fine di garantire una maggior trasparenza sui costi degli annunci e sulle metriche applicate agli stessi (nonché sui risultati ottenuti).
Sistemi operativi ed interoperabilità
Ulteriori emendamenti sono stati introdotti dal Parlamento al fine di garantire una maggior “apertura” dei sistemi operativi e dei software utilizzati.
Il tema ricorda la famosa vicenda di Microsoft e del browser preinstallato sul suo sistema operativa, stavolta però portata a livello di piattaforma.
In particolare, le nuove previsioni stabiliscono che le piattaforme ed i sistemi operativi (come quelli installati sugli smartphone) devono consentire tecnicamente – fatta salva l’esigenza di assicurare i livelli necessari di sicurezza informatica – l’installazione e l’utilizzo di software di terze parti, anche come software di archivio, consentendo anche che tali software possano richiedere agli utenti di decidere quale applicazione impostare come di default.
Inoltre, qualora il gatekeeper produca anche hardware deve garantire l’effettiva interoperabilità dei suoi software, sistemi operativi e piattaforme con l’hardware prodotto da terzi produttori, ciò anche in riferimento a prodotti indossabili.
Servizi di comunicazione
Il Parlamento europeo è intervenuto in maniera consistente anche sui servizi di comunicazione indipendenti da numerazione (le app di messagistica).
L’intero art. 7 del provvedimento è stato riscritto prevedendo una serie di obblighi per i gatekeeper che erogano tali servizi volto a garantire una progressiva interoperabilità degli stessi.
Tale obiettivo viene raggiunto innanzitutto assicurando un’interoperabilità di base, per i servizi tipici di tali strumenti (messaggi di testo, messaggi vocali, invio di immagini, video e altri file) per poi stabilire determinate scadenze che l’impresa che eroga il servizio deve rispettare al fine di estendere l’interoperabilità anche ad altre funzioni (come l’invio di messaggi in gruppi, chiamate vocali o video end-to-end e in gruppo).
Ovviamente all’utente rimane la libertà di scegliere quando attivare i servizi in interoperabilità offerti dal servizio di comunicazione.
Il rafforzamento dei poteri della Commissione
Il testo emendato amplia i poteri di controllo da parte della Commissione UE, dettagliando cosa può essere richiesto in sede di ispezione ed imponendo allo Stato membro un obbligo di assistenza e supporto verso in favore dei soggetti che effettuano l’attività ispettiva nonché meccanismi per richiedere eventuali autorizzazioni da parte dei giudici qualora richieste per lo svolgimento dell’attività.
Il provvedimento emendato istituisce anche l’obbligo da parte del gatekeeper di istituire una funzione interna di compliance che deve avere l’autorità per poter monitorare l’adempimento da parte dell’impresa delle previsioni del testo regolamentare, con riporto diretto al management della stessa.
Infine, è prevista la costituzione in seno alla Commissione Europea di un gruppo di lavoro di alti esperti con un ruolo consultivo in relazione all’applicazione del regolamento nonché relativamente alla coerenza delle previsioni dello stesso con quelle di altre disposizioni europee.
Conclusioni
Dopo due anni di iter legislativo sembra che oramai il Digital Markets Act sia finalmente giunto al suo testo finale sul quale il Consiglio UE ha già espresso il proprio parere favorevole.
Gli emendamenti da ultimi proposti dal Parlamento europeo, che sono stati sopra analizzati, hanno adeguato l’originario testo rispetto alle questioni che sono emerse in questo ultimo biennio, soprattutto con riferimento alle vicende che hanno visto alcune aziende additare i gestori degli app store per condotte monopolistiche (si pensi alle vicende Spotify o Fortnite).
Alcune modifiche, soprattutto sui servizi di messaggistica senza numerazione, sembrano voler rimediare a precedenti non proprio lungimiranti adottati dalla Commissione Europea (l’acquisizione di WhatsApp da parte di Facebook con la promessa di “non integrare” le piattaforme) sui quali probabilmente ci si è resi conto come sia difficile, in ambito tecnologico, assicurarsi che non vengano poste in essere condotte distorsive della concorrenza.
D’altra parte, il DMA prende atto di quello che fino a pochi anni fa si era ignorato: operazioni di concentrazione o acquisizioni che insistono su mercati diversi, ma possono comunque determinare posizioni dominanti dall’aggregazione dei dati che il soggetto acquisisce tramite l’operazione.