Il Garante Europeo EDPS ha pubblicato due opinioni sulle proposte di Legge sui Servizi e sui Mercati digitali.

Il Garante Europeo EDPS ha pubblicato due opinioni sulle proposte di Legge sui Servizi e sui Mercati digitali.

Il 10 febbraio 2021, il Garante europeo della protezione dei dati (“EDPS“) ha pubblicato due pareri sulle proposte della Commissione europea per una legge sui servizi digitali (“DSA“) e una legge sui mercati digitali (“DMA“). I DSA e DMA proposti fanno parte di una serie di misure annunciate nella Strategia europea per i dati del 2020 e hanno due obiettivi principali: (1) creare uno spazio digitale più sicuro in cui siano protetti i diritti fondamentali di tutti gli utenti dei servizi digitali e (2) stabilire condizioni di parità per promuovere l’innovazione, la crescita e la competitività nel mercato unico europeo e nel mondo.

Il DSA

Il DSA introduce nuove regole e responsabilità per i fornitori di servizi di intermediazione online (inclusi servizi di hosting, piattaforme online e infrastruttura di rete). Il DSA, tra le altre cose, stabilisce:

  • Requisiti di trasparenza della pubblicità online migliorata per le piattaforme online;
  • L’obbligo di mettere in atto meccanismi di notifica e azione per combattere i contenuti illegali online;
  • Nuovi obblighi in materia di tracciabilità degli utenti professionali nei mercati online per combattere la vendita di merci illegali;
  • Norme specifiche per piattaforme online di grandi dimensioni volte a prevenire la diffusione di contenuti illegali e danni alla società;
  • Requisiti relativi alle garanzie che devono essere fornite agli utenti, come la possibilità di contestare le decisioni di moderazione dei contenuti delle piattaforme;
  • Un quadro per i dati delle piattaforme chiave da rendere accessibile ai ricercatori a fini di audit e valutazione del rischio; e
  • Obbligo per gli intermediari online stabiliti al di fuori dell’UE di nominare un rappresentante legale.

Gli Stati membri dell’UE avranno un ruolo primario nella supervisione del DSA e dovranno nominare un coordinatore dei servizi digitali che sarà responsabile di garantire la conformità con il DSA. Per quanto riguarda l’applicazione, il DSA introduce multe fino al 6% del fatturato globale dei fornitori di servizi di intermediazione online.

Il parere dell’EDPS sul DSA

L’EDPS accoglie con favore la proposta di DSA, ma raccomanda misure aggiuntive per proteggere meglio le persone, in particolare per quanto riguarda la moderazione dei contenuti, il targeting online e i sistemi di raccomandazione utilizzati dalle piattaforme online (compresi i social media e i marketplace).

Le principali raccomandazioni dell’EDPB includono:

  • La moderazione dei contenuti deve essere in linea con la legge e la profilazione a fini di moderazione dei contenuti dovrebbe essere vietata a meno che il fornitore di servizi online non possa dimostrare che è strettamente necessario affrontare i rischi sistemici esplicitamente identificati nel DSA. L’EDPS invita inoltre i legislatori a specificare ulteriormente le informazioni che devono essere fornite alle persone, in particolare quando si utilizzano mezzi automatizzati per la moderazione dei contenuti.
  • Tenendo conto del numero di rischi associati alla pubblicità mirata online, l’EDPS invita i legislatori a stabilire norme aggiuntive oltre alla trasparenza, tra cui (1) l’introduzione graduale di un divieto della pubblicità mirata online basata su un monitoraggio pervasivo e limitazioni relative al tipi di dati che possono essere trattati a tal fine; (2) i tipi di dati o criteri in base ai quali gli annunci possono essere offerti o mirati; e (3) i tipi di dati che possono essere divulgati a inserzionisti o terzi che consentono o facilitano la pubblicità mirata.
  • Sistemi di raccomandazione (ad esempio, “sistemi completamente o parzialmente automatizzati utilizzati da una piattaforma online per suggerire nella sua interfaccia online informazioni specifiche ai destinatari del servizio, anche a seguito di una ricerca avviata dal destinatario o in altro modo che determina l’ordine relativo o rilievo delle informazioni visualizzate “) non dovrebbe, per impostazione predefinita, essere basata sulla profilazione. L’EDPS raccomanda inoltre di informare chiaramente gli utenti on line sull’uso di un sistema di raccomandazione e di implementare controlli lato utente che consentano alle persone di scegliere tra le opzioni disponibili (ad esempio eliminare qualsiasi profilo utilizzato per curare i contenuti che vedono) in modo intuitivo.
  • Introduzione di requisiti minimi di interoperabilità per piattaforme online molto grandi e promozione dello sviluppo di standard tecnici a livello dell’UE.
  • Una base giuridica chiara e una cooperazione strutturata per garantire la complementarità tra le autorità competenti responsabili del controllo del rispetto dei DSA (comprese le autorità per la protezione dei dati, la tutela dei consumatori e la concorrenza).

Il DMA

Il DMA introduce nuove regole per alcuni servizi delle piattaforme principali che agiscono come “gatekeeper” (inclusi motori di ricerca, social network, servizi di messaggistica, sistemi operativi e servizi di intermediazione online) nel settore digitale e mira a impedire che impongano condizioni inique a imprese e consumatori e per garantire l’apertura di importanti servizi digitali.

Esistono tre criteri cumulativi principali da tenere in considerazione per determinare se un’organizzazione rientra nell’ambito di applicazione del DMA. Questi criteri si riferiscono a (1) la dimensione dell’organizzazione; (2) se controlla un importante gateway per gli utenti aziendali verso il consumatore finale; e (3) se ha una posizione radicata e durevole nel mercato. Le organizzazioni che si qualificano come gatekeeper ai sensi del DMA dovranno implementare in modo proattivo determinate azioni, come:

  • Consentire a terzi di interagire con i propri servizi;
  • Fornire agli inserzionisti strumenti di misurazione delle prestazioni che consentano loro di rispettare i propri obblighi di verifica indipendenti;
  • Fornire agli utenti aziendali l’accesso ai dati generati dalle loro attività sulla piattaforma del gatekeeper; e
  • Consentire agli utenti aziendali di promuovere le proprie offerte e concludere contratti con i propri clienti al di fuori della piattaforma del gatekeeper.

Il DMA richiederà inoltre ai gatekeeper di astenersi dall’impegnarsi in comportamenti sleali, come:

  • Impedire agli utenti di disinstallare software o app preinstallati;
  • Utilizzo dei dati ottenuti dagli utenti aziendali per competere con questi utenti aziendali; e
  • Impedire agli utenti di accedere a servizi che potrebbero essere stati acquisiti al di fuori della piattaforma del gatekeeper.

Le violazioni delle regole imposte dal DMA saranno sanzionate con multe fino al 10% del fatturato annuo totale mondiale dell’organizzazione e penalità periodiche fino al 5% del fatturato annuo mondiale totale dell’organizzazione. Ulteriori rimedi possono essere imposti anche in caso di violazioni sistematiche. Per garantire la conformità con il DMA, la Commissione europea avrà il potere di condurre indagini di mercato.

Il parere dell’EDPS sulla DMA

L’EDPS accoglie con favore la proposta di DMA e insiste sull’importanza di dare agli utenti un migliore controllo sui propri dati. L’EDPS sottolinea inoltre l’importanza di una maggiore interoperabilità per contrastare il lock-in degli utenti e creare opportunità per i servizi per offrire una migliore protezione dei dati. L’EDPS formula inoltre raccomandazioni specifiche per contribuire a garantire che il DMA integri efficacemente il GDPR.

Le principali raccomandazioni dell’EDPS includono:

  • Specificare che i gatekeeper devono fornire agli utenti finali una soluzione facile da usare e accessibile per la gestione del consenso;
  • Chiarire la portata dell’obbligo di portabilità dei dati previsto nella proposta di DMA. In particolare, la disposizione sulla portabilità dei dati dovrebbe essere rivista per garantire la coerenza con la definizione di dati personali del GDPR;
  • Si dovrebbe prestare maggiore attenzione alla necessità di test di anonimizzazione e reidentificazione efficaci durante la condivisione di dati di query, clic e visualizzazione in relazione alle ricerche gratuite e a pagamento generate dagli utenti finali sui motori di ricerca online;
  • Introdurre requisiti minimi di interoperabilità per i gatekeeper e promuovere lo sviluppo di standard tecnici a livello dell’UE; e
  • Chiarendo che il comitato consultivo sui mercati digitali includerà rappresentanti del comitato europeo per la protezione dei dati e, più in generale, chiedendo una cooperazione istituzionalizzata e strutturata tra le autorità competenti responsabili della supervisione del rispetto del DMA.