Prende forma la strategia europea sui dati, ecco l’importanza di DSA e DMA

Il parlamento UE ha approvato la nuova legge sui servizi digitali (DSA) e la nuova legge sui mercati digitali (DMA), in tempi piuttosto rapidi, e ora manca solo il passaggio al Consiglio dell’Unione.

Utile ricordare che tali atti legislativi costituiscono parte integrante della Strategia europea in materia di dati^[1] e sono stati presentati per la prima volta dalla Commissione europea il 15 dicembre del 2020, sotto forma di Proposte di Regolamenti Ue: nello specifico, Proposta di Regolamento COM(2020)825 sul mercato unico dei servizi digitali che modifica la direttiva 2000/31/CE sull’e-commerce e Proposta di Regolamento COM(2020)842 relativo a mercati equi e contendibili nel settore digitale.

Data economy “made in Europe”, ecco la strategia per il rilancio

L’importanza del DSA e DMA

Il testo del DSA è stato approvato con 539 favorevoli, 54 contrari e 30 astensioni, mentre il testo del DMA con 588 sì, 11 contrari e 31 astenuti. Il commissario europeo per il mercato interno e i servizi, Thierry Breton, ha commentato l’approvazione definitiva con le seguenti parole: “10 anni fa si è assistito alla creazione del fenomeno delle banche ‘troppo grandi per fallire’. Ora, con DSA e DMA […] stiamo finalmente costruendo un mercato digitale unico, il più importante del mondo libero. Le stesse regole si applicheranno, ovunque nell’UE, ai nostri 450 milioni di cittadini, offrendo a tutti uno spazio digitale più sicuro e più equo”. Anche la vicepresidente della Commissione UE per il Digitale, Margrethe Vestager, ha commentato la notizia con entusiasmo: “Il Parlamento europeo ha adottato […] una regolamentazione forte e ambiziosa delle piattaforme online. La legge sui servizi digitali consente di tutelare i diritti degli utenti online. La legge sui mercati digitali crea mercati online equi e aperti. Ad esempio, i discorsi d’odio illegali possono essere affrontati anche online. E i prodotti acquistati online devono essere sicuri. Le grandi piattaforme dovranno astenersi dal promuovere i propri interessi, condividere i propri dati con altre aziende, attivare più app store. Perché dalle dimensioni derivano le responsabilità: come grande piattaforma, ci sono cose che si devono fare e cose che non si possono fare”.

We have a deal on #DMA! Last trilogue with @Europarl_EN and @EUCouncil ended with a good, strong agreement.
Tune into our press conference tomorrow 8:45 😊 pic.twitter.com/krHHsOqG8u

— Margrethe Vestager (@vestager) March 24, 2022

L’approvazione dei testi di DSA e DMA, in prima lettura e da parte del Parlamento europeo, fa seguito all’accordo politico raggiunto dai legislatori Ue sulla legge sui mercati digitali il 24 marzo e sulla legge sui servizi digitali il 23 aprile di quest’anno.

Le novità in arrivo con DSA e DMA

Le leggi sui servizi digitali e sui mercati digitali costituiscono, insieme, il pacchetto normativo relativo alla legge sui servizi digitali e si pongono come obiettivi:

• creare uno spazio digitale più sicuro dove siano garantiti i diritti fondamentali degli utenti e ​
• stabilire un equilibrio concorrenziale tra le imprese del settore digitale e consentire il loro sano sviluppo.

Il tutto attraverso l’accrescimento e l’armonizzazione delle responsabilità delle piattaforme online e dei fornitori di servizi d’informazione, rafforzando anche il controllo sulle politiche di contenuto delle piattaforme nell’UE e l’introduzione di regole per assicurare l’equità e la contendibilità dei mercati digitali, in ottica di svecchiamento del quadro normativo UE in materia di servizi digitali, fermo alla direttiva 2000/31/CE sull’e-commerce.

DSA: ciò che è illegale offline deve esserlo anche online

La legge sui servizi digitali sancisce il principio secondo cui ciò che è illegale offline deve esserlo anche online e mira a proteggere lo spazio digitale dalla diffusione di beni, contenuti e servizi illegali e a garantire il rispetto dei diritti fondamentali degli utenti.

Più nello specifico, gli obiettivi del DSA sono:

• meglio regolamentare la rete e offrire uno spazio online più sicuro per utenti e imprese digitali;​
• garantire a livello mondiale nuovi standard normativi, in un contesto di frequente disinformazione causato da fenomeni come guerre, emergenze sanitarie e via dicendo;​
• definire chiari profili di responsabilità per le piattaforme online;​
• affrontare gli odierni fenomeni derivanti dall’evoluzione digitale che possono rivelarsi pericolosi per gli utenti (disinformazione, hate speech, commercio beni illegali sul web etc.) e per la società tutta.

I principali destinatari della legge sui servizi digitali sono i seguenti:

• marketplace online;​
• social networks;​
• piattaforme di content sharing (piattaforme per la condivisione dei contenuti); ​
• app stores etc.​

Gli obblighi imposti dal DSA nei confronti di destinatari di cui sopra sono delineati in modo da essere proporzionati alla natura e alla portata del loro impatto sul mercato digitale: le piattaforme o i motori di ricerca di dimensioni molto grandi sono pertanto soggetti a obblighi più rigorosi, a seconda del numero di utenti che utilizzano i loro servizi.​

In caso di mancata conformità alle disposizioni del DSA, verranno irrogate multe fino al 6% del fatturato globale.

Le novità più importanti in arrivo con il DSA sono le seguenti:

• accesso da parte della Commissione europea e gli Stati membri agli algoritmi delle grandi piattaforme digitali (responsabilità algoritmica);​
• rimozione rapida dei contenuti illegali online, compresi prodotti e servizi, con la creazione di una procedura di “notifica e azione” (art. 14 DSA) più chiara, tramite la quale gli utenti possono segnalare i contenuti illegali e le piattaforme digitali agiscono rapidamente per rimuoverli in virtù della procedura disposta dall’art. 8 DSA;​
• protezione dei diritti fondamentali online, prevedendo garanzie più forti per assicurare che tali notifiche siano utilizzate in modo non arbitrario e non discriminatorio e nel rispetto dei diritti fondamentali, tra cui la libertà di espressione e la protezione dei dati;​
• creazione di mercati online più responsabili per assicurare agli utenti l’acquisto di prodotti o servizi sicuri e leciti, rafforzando i controlli sull’affidabilità delle informazioni fornite dai commercianti, nonché assicurarsi della loro identità (secondo il principio “Know Your Business Customer”), così da evitare che contenuti illegali appaiano sulle proprie piattaforme, anche attraverso controlli casuali;​
• maggiore protezione per le vittime di violenza informatica, soprattutto per quanto riguarda la condivisione di materiale sessuale non consensuale^[2], soggetto a rimozione immediata;
• nuovi obblighi di trasparenza per le piattaforme per permettere agli utenti di essere meglio informati su come vengono raccomandati i contenuti digitali e per poter scegliere almeno un’opzione non basata sulla profilazione;​
• controllo maggiore in mano agli utenti sul modo in cui vengono usati i loro dati per la creazione della pubblicità online;
• divieto di pubblicità mirata quando si tratta di dati sensibili (ad esempio orientamento sessuale, religione, etnia etc. disciplinati dall’art. 9 GDPR);​
• maggiore protezione dei minori, con il divieto di pubblicità mirata nei loro confronti (profilazione);​
• divieto di manipolazione delle scelte degli utenti attraverso i dark patterns: scelte di design che danno maggiore risalto a una particolare opzione per indurre l’utente verso una determinata scelta;
• diritto degli utenti di chiedere un risarcimento per qualsiasi danno o perdita subita a causa di violazioni delle norme del DSA da parte delle piattaforme;
• obbligo per le piattaforme digitali di grandi dimensioni di valutare e mitigare i rischi sistemici e sottoporsi a verifiche indipendenti annuali;
• attivazione di un meccanismo di emergenza da parte della Commissione europea qualora si verificasse una crisi (ad esempio, una minaccia alla sicurezza pubblica o alla salute). La Commissione potrà richiedere alle piattaforme digitali di grandi dimensioni di limitare qualsiasi rischio imminente nel proprio spazio. Queste azioni specifiche saranno limitate a tre mesi.

DMA: nuovi limiti per le Big Tech

Il Digital Markets Act si pone in una realtà in cui il progresso tecnologico ha creato una situazione in cui vi sono poche e grosse piattaforme digitali che hanno assunto il ruolo di controllori dell’accesso al mercato digitale e che agiscono come rule-markers privati, stabilendo le proprie regole nel mercato. Tali soggetti sono identificati con il nome di gatekeepers (o very large online platforms, VLOPs) e, ai sensi del DMA, sono le piattaforme che presentano le seguenti caratteristiche:

• piattaforme che abbiano raggiunto, negli ultimi tre anni, un fatturato annuo nell’UE di almeno 7,5 miliardi di euro o con capitalizzazione di mercato pari ad almeno 75 miliardi di euro;​
• piattaforme che annoverino almeno 45 milioni di utenti finali su base mensile e almeno 10.000 utenti commerciali stabiliti nell’UE;​
• piattaforme che controllino uno o più servizi di piattaforma di base (“core platform services”)^[3] in almeno tre Stati membri.

Ai sensi dell’art. 2 del Digital Markets Act, esso si applica ai servizi di piattaforma di base forniti o offerti dai gatekeepers a utenti commerciali o a utenti finali stabiliti o situati nell’Unione, a prescindere dal luogo di stabilimento o di residenza dei gatekeepers e dalla normativa altrimenti applicabile alla fornitura del servizio.

Il DMA ha l’obiettivo di garantire condizioni di parità a tutte le imprese digitali, indipendentemente dalle loro dimensioni, contrastare le pratiche commerciali scorrette e l’abuso di posizione dominante da parte delle Big Tech sul mercato digitale. In altre parole, il DMA cerca di dare luce a un mercato digitale competitivo ed equo. In che modo?​

• vietando le pratiche sleali delle piattaforme online che controllano il mercato;​
• riconoscendo agli utenti commerciali l’opportunità di offrire ai consumatori maggiori possibilità di scelta;​
• fornendo ai consumatori servizi migliori a prezzi più equi;​
• imponendo diritti e obblighi chiari alle piattaforme online di grandi dimensioni;​
• promuovendo l’innovazione e un ambiente online più equo per le start-up tecnologiche.

Quindi, i gatekeepers non potranno:

• promuovere in maniera eccessiva i propri prodotti;
• offrire ai consumatori solo il proprio metodo di pagamento;
• riutilizzare i dati privati raccolti per un servizio ai fini di un altro servizio;​
• stabilire condizioni inique per gli utenti commerciali;​
• preinstallare determinate applicazioni software;​
• imporre limitazioni agli utenti commerciali delle piattaforme.

Invece, i gatekeepers dovranno:​

• garantire che terzi possano interagire con alcuni dei servizi del gatekeeper;​
• offrire maggiori possibilità di scelta, come la scelta di un determinato software sul sistema operativo di un utente;​
• rafforzare il diritto degli utenti di disdire l’abbonamento ai servizi di piattaforma di base (evitando, cioè, di rendere più difficoltoso disdire l’abbonamento rispetto che effettuarlo);​
• fornire informazioni sul numero di utenti che visitano le loro piattaforme per determinare se la piattaforma può essere identificata come gatekeeper;​
• consentire agli utenti di accedere ai dati che generano nel quadro dell’utilizzo della piattaforma del gatekeeper;​
• fornire alle imprese che fanno pubblicità sulla loro piattaforma le informazioni e gli strumenti necessari per consentire loro di procedere a una verifica indipendente della loro pubblicità;
• consentire agli utenti commerciali di promuovere la loro offerta e concludere contratti con clienti al di fuori della piattaforma del gatekeeper.

Nel caso in cui un gatekeeper violi le norme del DMA, rischia un’ammenda fino al 10% del suo fatturato mondiale e in caso di recidiva potrà essere irrogata un’ammenda fino al 20% del fatturato mondiale. Sempre in caso di inosservanza sistematica, la Commissione europea può avviare un’indagine di mercato e, se necessario, imporre rimedi di natura comportamentale o strutturale.

È importante ricordare che la Commissione europea riveste un ruolo fondamentale, dal momento che essa ha il potere esclusivo di vigilare sulle piattaforme e sui motori di ricerca molto grandi. Infine, per permettere che i gatekeepers abbiano una chiara comprensione delle norme che devono rispettare, la Commissione può decidere di avviare un dialogo normativo. Saranno quindi istituiti un comitato consultivo e un gruppo di alto livello per assistere e facilitare il lavoro della Commissione, in tal senso.

Prossimi passi

A seguito dell’approvazione definitiva di DSA e DMA, entrambi i testi devono ora essere formalmente adottati dal Consiglio dell’Unione europea. Dopo la firma, la legge sui servizi digitali (DSA) e la legge sui mercati digitali (DMA) saranno pubblicate nella Gazzetta ufficiale dell’Ue (GUUE). Entrambi gli atti entreranno in vigore 20 giorni dopo la loro pubblicazione in GUUE. Il DSA sarà applicabile 15 mesi dopo la sua entrata in vigore, mentre Il DMA 6 mesi dopo. I gatekeepers avranno a disposizione un massimo di 6 mesi dalla loro designazione per conformarsi ai nuovi obblighi^[5].

Note

1. La Strategia europea in materia di dati mira a rendere l’Ue leader di una società basata sui dati (data driven society) ↑
2. Fattispecie disciplinata dall’art. 10 della legge 69 del 19 luglio 2019, la quale ha introdotto, nel Codice penale, l’art. 612-ter che vieta la diffusione illecita di immagini o di video sessualmente espliciti ↑
3. Per servizi di piattaforma base si intendono i servizi di intermediazione online (mercati, negozi di applicazioni software), i motori di ricerca online, i servizi di social network, i servizi cloud, i servizi pubblicitari. ↑