L’importanza dell’accordo su DMA e i recenti sviluppi in materia di Trasferimento Dati tra UE e USA
Nei giorni scorsi sono intervenuti importanti sviluppi nello scenario normativo europeo a seguito dell’esito del negoziato sulla Legge sui Mercati Digitali (DMA) e in materia di Trasferimento dei dati personali tra Europa e Stati Uniti. Due normative distinte – la prima impatta sulla regolamentazione e sulla governance del digitale, la seconda riguarda la materia del trattamento dei dati personali – ma che segneranno profondi cambiamenti nelle dinamiche di mercato del settore digitale e che garantiranno maggiori tutele per i consumatori ed i loro dati personali e per le imprese. Esaminiamo brevemente i profili di maggiore attenzione dei due temi.
La Legge sui Mercati digitali.
La Legge sui Mercati Digitali (DMA) è stata presentata dalla Commissione europea nel dicembre 2020 insieme alla Legge sui Servizi Digitali (DSA), si tratta di un pacchetto di norme che costituirà i pilastri della regolamentazione del digitale e della data economy dal momento che le due norme definiranno un quadro normativo europeo adeguato agli sviluppi del mercato unico digitale e delle nuove tecnologie, coerente con i principi e i valori europei e competitivo a livello mondiale e che permetteranno insieme alle altre normative attualmente in discussione in sede europea di attuare la Strategia Digitale dell’Unione Europea.
I due testi normativi, DSA e DMA, pur trattando ambiti differenti, sono strettamente connesse tra loro. Il DSA affronta gli aspetti relativi al funzionamento dei servizi digitali ponendo, tra l’altro, attenzione agli effetti sociali dei servizi stessi; il DMA affronta invece i profili inerenti la concorrenza e le relazioni economiche tra imprese, consumatori-utenti e gatekeepers.
Attualmente sono in corso le fasi finali dei negoziati tra le istituzioni europee (triloghi) che porteranno alla definizione finale dei due testi di legge. In particolare, il 24 marzo 2022 è stato raggiunto un importante accordo politico tra il Parlamento e il Consiglio europeo che indica come tale dossier sia in cima alle priorità delle autorità europee, essendo stato raggiunto dopo circa un anno dalla pubblicazione dei testi, segnando un significativo passo in avanti verso l’attuazione della Strategia Digitale dell’Unione Europea sopracitata.
All’esito dei negoziati, alla luce di quanto si apprende, il testo finale dovrebbe riportare i seguenti elementi:
- Ambito di applicazione. I criteri quantitativi per qualificare i “Gatekeeper” sembrano essere fissati come segue: 75 miliardi di euro di capitalizzazione di mercato; 7,5 miliardi di euro di fatturato annuo nello Spazio economico europeo; 45 milioni di utenti finali mensili nell’UE e 10.000 utenti attivi commerciali annuali. Si attende la versione finale per verificare se la metodologia di calcolo degli utenti finali sia stata aggiornata dopo l’ultimo trilogo come invocato dal mercato..
- Obblighi per i gatekeeper. Le nuove regole per le piattaforme gatekeeper includono restrizioni sulla combinazione di dati personali provenienti da fonti diverse; una serie di obblighi per consentire agli utenti di installare app da piattaforme di terze parti, divieti di raggruppare servizi e un divieto di promozione dei propri servizi che non potranno quindi essere proposti in modo più favorevole nelle classifiche. I gatekeeper dovranno inoltre fornire ai venditori l’accesso ai loro dati sulle prestazioni di marketing o pubblicitarie sulla piattaforma.
- Interoperabilità. Il regolamento si applicherà anche ai servizi di messaggistica come WhatsApp, Facebook Messenger o iMessage, tali servizi dovranno inoltre interagire con piattaforme di messaggistica più piccole, se lo richiedono. Ciò potrebbe dare la possibilità agli utenti di piattaforme, siano esse piccole o grandi, di scambiare messaggi, inviare file o effettuare videochiamate tra app di messaggistica. Per quanto concerne gli obblighi di interoperabilità per i social network, i colegislatori hanno convenuto che tali disposizioni saranno valutate in futuro.
- Pubblicità mirata. Uno dei punti più controversi della legislazione concerne la pubblicità mirata; attualmente sembrerebbe superato il divieto di pubblicità mirata per i minori, tuttavia il confronto su tale aspetto prosegue nel contesto della legge sui servizi digitali (DSA). Il Parlamento ha garantito che la combinazione di dati personali per la pubblicità mirata sarà consentita solo con il consenso esplicito espresso dall’utente al gatekeeper.
- Applicazione. La Commissione procederà ora all’assunzione di nuovo personale per garantire una corretta applicazione delle nuove norme, che dovrebbero diventare applicabili entro il quarto trimestre del 2022.
- Sanzioni. Le violazioni delle norme possono essere multate fino al 10% del fatturato mondiale totale nell’esercizio precedente e fino al 20% in caso di recidiva. In caso di infrazioni sistematiche, la Commissione può vietare alle società di acquisire altre società per un certo periodo di tempo.
Occorre rilevare che permangono alcune perplessità su alcuni punti dibattuti come ad esempio i criteri per qualificare un operatore come gatekeeper.
Nel prosieguo si attende la definizione del testo normativo, verifiche sotto il profilo tecnico e linguistico, successivamente dovrà essere approvato sia dal Parlamento che dal Consiglio; al termine di tale processo il testo sarà pubblicato ed entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’Unione, mentre le norme saranno applicabili dopo sei mesi.
Contestualmente, si attende ora di conoscere l’esito del negoziato sulla Legge sui Servizi Digitali.
Accordo sul Trasferimento transatlantico di dati.
Come anticipato, nei giorni scorsi è stato raggiunto un altro importante traguardo sullo scenario internazionale, atteso da tempo da imprese e utenti, ovvero un punto di accordo per la definizione di una nuova decisione di adeguatezza della Commissione Europea nei confronti degli Stati Uniti in materia di trasferimento di dati personali (Articolo 45 GDPR).
Lo scorso 25 marzo 2022, i funzionari dell’Unione Europea e degli Stati Uniti riuniti a Bruxelles hanno infatti raggiunto un accordo politico di principio che consentirà ora di proseguire nella definizione della norma. Tale intesa interviene dopo oltre due anni dalla sentenza della Corte di Giustizia Europea, nota come “Schrems II”, che nel luglio 2020 aveva invalidato la decisione di adeguatezza relativa all’accordo EU-US “Privacy Shield” – prima ancora, nel 2015, con la Sentenza Schrems I, la Corte aveva invalidato l’accordo “Safe Harbor” – dichiarando le garanzie offerte dagli Stati Uniti non allineate con il GDPR.
Il nuovo accordo di principio potrebbe essere approvato già nei primi giorni del mese di aprile; come anzidetto si tratta di un accordo di principio pertanto alcuni dettagli tecnici devono ancora essere negoziati, tra cui la presentazione di reclami da parte di attori europei in caso di trattamento non conforme svolto negli Stati Uniti. I funzionari americani si sono dimostrati proattivi nel proporre soluzioni, ad esempio proponendo di garantire agli europei un ricorso legale efficace contro la sorveglianza da parte degli Stati Uniti.
Sarà quindi importante attendere di conoscere maggiori dettagli del testo per poter effettuare una valutazione del testo e degli effetti, tuttavia è un segno davvero importante in un momento di profonda incertezza e difficoltà per le imprese nella gestione della conformità dei trattamenti.