Il Digital Markets Act (DMA) è uno dei nuovi pilastri introdotti dal legislatore europeo per regolamentare le nuove sfide nel contesto digitale. Insieme al Digital Services Act (DSA), costituisce un tassello fondamentale per affrontare tematiche su cui, evidentemente, il Regolamento (EU) 2016/679 (GDPR) non è risultato sufficientemente risolutivo.
L’intento del DMA è di regolamentare i mercati digitali, essenzialmente preservando la concorrenza. La sua anima antitrust si colloca però in un settore dominato dalla regolamentazione dei dati, di cui GDPR e normativa ePrivacy sono le regolamentazioni cardine. Ecco, quindi, che la sua natura “ibrida” lo rende, da un punto di vista tecnico-giuridico, un prodotto molto originale: è un atto di regolamentazione preventiva rispetto a temi antitrust che disciplina anche il trattamento dei dati.
La profilazione nel DMA: gli obblighi informativi dei gatekeeper
L’art. 15 DMA stabilisce alcuni obblighi di audit per i cosiddetti gatekeeper (i.e. soggetti che forniscono servizi di “piattaforma di base” – ovverosia servizi che fungono da tramite con gli utenti finali – che siano stati designati quali soggetti obbligati all’applicazione del DMA). In particolare, si impone a tali soggetti di presentare (entro sei mesi dalla loro designazione) una “descrizione sottoposta a audit indipendente delle tecniche di profilazione dei consumatori applicate dal gatekeeper ai suoi servizi di piattaforma di base elencati nella decisione di designazione a norma dell’articolo 3, paragrafo 9, o nell’ambito di tali servizi”. Tale descrizione – da sottoporre alla valutazione dello European Data Protection Board (EDPB) – deve essere mantenuta aggiornata con cadenza almeno annuale e ne deve essere messa a disposizione del pubblico una sua panoramica.
A fine luglio, la Commissione europea ha aperto la consultazione pubblica sul modello da presentare ai sensi dell’art. 15 DMA (di seguito, “modello di notifica”). Data la centralità del trattamento dei dati personali, anche l’EDPB e lo European Data Protection Supervisor (EDPS) hanno sottoposto le loro osservazioni.
Il loro contributo è ricco di spunti: di seguito, proviamo ad affrontare i tre aspetti più interessanti.
Edpb e Edps su DMA, tre aspetti chiave: tra tutela della concorrenza e privacy
Il punto di partenza non può che essere il contenuto stesso del modello di notifica: un documento molto dettagliato che imporrà ai gatekeeper di descrivere in modo puntuale le proprie tecniche di profilazione. Tale descrizione, contenuta alla sezione 2 del modello di notifica, solleva alcune considerazioni rispetto agli obblighi già imposti dal GDPR.
- Tra gli elementi che si dovranno fornire nel modello di notifica, “the specific purpose(s) pursued by the profiling technique(s) and for which they are used” sembra un rafforzamento dell’obbligo – già previsto dal GDPR con riferimento ai dati personali – di descrivere le finalità di trattamento.
Come sottolineano EDPB ed EDPS, non basta, quindi, richiamare genericamente la valutazione di determinati aspetti personali relativi al consumatore, per analizzarne o prevederne alcuni aspetti. Al contrario, il DMA impone ai gatekeeper di precisare sia le finalità sia gli usi di tale profilazione: lo stesso considerando 72 del DMA precisa “the purpose for which the profile is prepared and eventually used”.
Tra gli “usi”, ci si domanda se debba annoverarsi anche l’eventuale cessione delle informazioni ottenute dalla profilazione nonché, in generale, i “trattamenti successivi” di cui all’art. 6(4) GDPR.
- Un altro aspetto interessante è relativo al rapporto tra le basi giuridiche previste dall’art. 6 GDPR e i vincoli imposti dall’art. 5 DMA, che vieta essenzialmente ai gatekeeper incroci di informazioni raccolte nell’ambito dei propri servizi di intermediazione (salvo determinati presupposti – ne avevamo accennato in un precedente contributo accessibile qui).
Sul punto, l’EDPB e l’EDPS richiedono però dei chiarimenti: si suggerisce di modificare il modello di notifica per includere un riferimento anche al trattamento dei dati sensibili e ai trattamenti automatizzati ex art. 22 GDPR.
Dunque, le precisazioni richieste ai gatekeeper forniranno uno spaccato interessante sulle valutazioni che portano questi operatori a svolgere determinate forme di profilazione.
- Inoltre, nel modello di notifica si precisa la necessità di distinguere tra i dati raccolti e quelli derivati; si tratta di una delle prime distinzioni di questi insiemi di informazioni, che mira a differenziare le informazioni “sicure” (poiché rese dall’utente) da quelle “supposte” (perché risultato di un’elaborazione). Obbligare i gatekeeper a operare questa distinzione potrebbe anche portare le Autorità privacy a estenderla anche ad altri operatori, con un effetto molto interessante sotto il profilo della trasparenza.
Dal contenuto del modello di notifica emerge come i gatekeeper siano chiamati a fornire – con sforzi sicuramente notevoli – un dettaglio sempre maggiore in merito alle caratteristiche delle profilazioni in atto. Altrettanto evidente, ne consegue, è che si entra in una nuova era rispetto alla conoscenza delle tecniche di profilazione, per lungo tempo non note al grande pubblico.
La valutazione d’impatto
Secondo aspetto interessante che emerge, e che rafforza ulteriormente il collegamento tra il DMA e il GDPR, è che le informazioni desunte dai report presentati ai sensi dell’art. 15 DMA sono impiegate – come sottolineato dall’EDPB e dall’EDPS – anche “ai fini del GDPR”. Lo stesso modello di notifica riprende in vari punti adempimenti propri del GDPR: tra questi, il riferimento, ad esempio, al fatto che sia stata o meno condotta una valutazione di impatto ex art. 35 GDPR e quale ne sia stato l’esito.
A tal proposito, il considerando 72 del DMA precisa che “è opportuno che i gatekeeper forniscano quanto meno una descrizione sottoposta a audit indipendente della base su cui è realizzata la profilazione, indicando anche se si avvalgono dei dati personali e dei dati derivati dall’attività dell’utente in linea con il regolamento (UE) 2016/679, il trattamento applicato, lo scopo per il quale è preparato e in ultima analisi utilizzato il profilo, la durata della profilazione, l’impatto di tale profilazione sui servizi del gatekeeper e i provvedimenti adottati per consentire effettivamente agli utenti finali di essere a conoscenza dell’uso pertinente di tale profilazione, nonché i provvedimenti finalizzati a chiedere il loro consenso o a offrire loro la possibilità di negare o revocare il consenso”.
Ne derivano maggiore trasparenza e accountability: non è dunque peregrino aspettarsi che le Autorità privacy interverranno sempre di più per verificare la corrispondenza delle informazioni rese dalle aziende (in questo caso, i gatekeeper) nella dichiarazione ai sensi dell’art. 15 DMA con quel che viene rappresentato nell’informativa privacy. Questo approccio “unitario” non è peraltro frutto del DMA, bensì una richiesta per tutte le aziende: operare in modo trasversale rispetto alle disposizioni delle normative.
Possibili conflitti di interesse in relazione alle funzioni privacy
Infine, un’altra precisazione interessante è contenuta nella sezione 2.1 del modello di notifica, che dispone: “Please provide the name of each member of your organisation or external expert which contributed to the drafting of the submitted description of the consumer profiling techniques”. L’EDPB e l’EDPS suggeriscono che siano precisati anche “funzione e ruolo” dei soggetti che contribuiscono all’elaborazione del modello di notifica, al fine di verificare, ed evitare, conflitti di interesse. Si legge, in particolare, che “it would be important for gatekeepers to not only provide the Commission with the name of each person involved in the drafting of the submitted description of the consumer profiling techniques, but also with information about the function and role of such persons. That information could allow the Commission to detect or further investigate potential conflicts of interest or duties among persons who contributed to the drafting of the audited description”. Questa precisazione solleva un dubbio di fondo: dato che il contenuto della notifica ex art. 15 DMA viene anche condiviso con l’EDPB, ci si domanda se l’intento non sia quello di fornire alle Autorità privacy un canale di informazione privilegiato rispetto al coinvolgimento di funzioni aziendali nell’elaborazione delle tecniche di profilazione, che potrebbe anche portare a individuare conflitti di interesse in relazione alle funzioni privacy (in primis, quella del Responsabile della protezione dei dati, che è notoriamente a rischio di conflitto di interesse, laddove svolga anche altri incarichi in azienda).
Conclusioni
I chiarimenti offerti da EDPB-EDPS testimoniano, ancora una volta, che il mercato digitale è impattato da un vero e proprio cambio di mentalità: non è più possibile affrontare le implicazioni relative a tale settore in modo diversificato. È necessario che vi sia un approccio coerente, nell’adempiere alle richieste del legislatore, con una visione d’insieme unitaria. Uno sforzo di riorganizzazione interna per tali operatori (i gatekeeper, se si guarda al DMA; ma lo stesso dicasi per altri operatori rispetto alle numerose normative di recente introduzione) ma anche uno sforzo per i professionisti che si occupano di queste materie.
* L’articolo fornisce osservazioni critiche da parte delle autrici, che costituiscono opinioni personali
