Lo scenario

DSA e DMA approvati: ecco cosa cambia per le piattaforme online

Il DSA, Digital services act, e il DMA, Digital markets act, sono stati approvati dal Parlamento europeo e costituiscono un pacchetto normativo che punta a regolamentare le piattaforme digitali online: vediamo tutti i dettagli delle due leggi e quali sono le misure che ora bisognerà adottare per essere in regola

06 Lug 2022
C
Marina Rita Carbone

Consulente privacy

Nel corso della sessione plenaria del Parlamento Europeo tenutasi il 5 luglio, è stato approvato il pacchetto di norme volto a regolare i servizi digitali, altresì noto come Digital Services Package, composto dal Digital Services Act (DSA) e dal Digital Markets Act (DMA). Il pacchetto di servizi digitali va a definire un primo quadro regolamentare completo da applicarsi a tutte le piattaforme digitali online cui facciamo normalmente affidamento ogni giorno, sia a livello personale che professionale, per la creazione di uno spazio digitale più sicuro ed equo.

Più nel dettaglio, il DMA è stato approvato con 588 voti a favore, 11 contrari e 31 astenuti, mentre il DSA ha ricevuto 539 voti a favore, 54 contrari e 30 astenuti. Le nuove norme saranno applicate dalla Commissione per le maggiori piattaforme online attive nell’UE. La Commissione sta adottando tutte le misure necessarie per essere pronta ad assumere questo ruolo al momento dell’entrata in vigore delle norme.

Commissione UE in prima linea contro gli abusi sui minori, in un delicato bilanciamento con la privacy

DMA e DSA, gli obiettivi

Le due norme, proposte dalla Commissione Europea nel dicembre 2020, hanno lo scopo di creare uno spazio digitale “più sicuro e aperto, fondato sul rispetto dei diritti fondamentali” in tutta l’UE. L’adozione del pacchetto sui servizi digitali in prima lettura da parte del Parlamento europeo fa seguito all’accordo politico raggiunto dal Parlamento Europeo e dagli Stati Membri sulla legge sui mercati digitali il 24 marzo e sulla legge sui servizi digitali il 23 aprile di quest’anno. 

17 novembre, milano
Spalanca le porte all’innovazione digitale! Partecipa a MADE IN DIGItaly

Margrethe Vestager, vicepresidente esecutiva per un’Europa pronta all’era digitale, ha commentato la notizia in una nota ufficiale affermando: “Il Parlamento europeo ha adottato una novità mondiale: una regolamentazione forte e ambiziosa delle piattaforme online. La legge sui servizi digitali consente la protezione dei diritti degli utenti online. La legge sui mercati digitali crea mercati online equi e aperti. Ad esempio, l’incitamento all’odio illegale può anche essere affrontato online. E i prodotti acquistati online devono essere sicuri. Le grandi piattaforme dovranno astenersi dal promuovere i propri interessi, condividere i propri dati con altre aziende, abilitare più app store. Perché con le dimensioni arriva la responsabilità – come una grande piattaforma, ci sono cose che devi fare e cose che non puoi fare”. 

Anche Thierry Breton, Commissario per il Mercato interno, ha dichiaro che “dieci anni fa è stata voltata una pagina sulle banche ‘troppo grandi per fallire’. Ora, con DSA e DMA, stiamo voltando pagina sulle piattaforme troppo grandi per preoccuparsene. Stiamo finalmente costruendo un mercato digitale unico, il più importante nel mondo libero. Le stesse regole prevedibili si applicheranno, ovunque nell’UE, per i nostri 450 milioni di cittadini, offrendo a tutti uno spazio digitale più sicuro e più equo”.

I testi delle due regolamentazioni, successivamente all’adozione del pacchetto sui servizi digitali in prima lettura da parte del Parlamento Europeo, dovranno ora essere formalmente adottati dal Consiglio dell’Unione Europea: successivamente, si provvederà alla pubblicazione delle norme in Gazzetta Ufficiale. Entrambi gli atti, si legge nel comunicato ufficiale reso dalla Commissione Europea, entreranno in vigore 20 giorni dopo la loro pubblicazione nella Gazzetta ufficiale, nell’autunno di quest’anno.

Digital Services Act: i punti fondamentali

Già il 23 aprile era stato trovato un accordo, tra il Parlamento Europeo e gli Stati Membri circa il tenore della proposta di legge sui servizi digitali (o DSA). Scopo della normativa in esame è quella di definire un nuovo standard per la responsabilità delle piattaforme digitali in riferimento alla diffusione di contenuti illegali e dannosi, al fine di fornire maggiori tutele nei confronti degli utenti e dei loro diritti fondamentali. La definizione di un quadro unico e conforme in tutta l’UE consentirà, nelle intenzioni dei legislatori europei, anche alle piattaforme più piccole di espandersi, nel rispetto dei presidi posti dalla normativa.

In linea generale, il DSA prevede per le grandi piattaforme digitali (identificate con l’acronimo VLOPs – very large online platforms) specifici obblighi di moderazione e supervisione, volti ad evitare che le stesse ricoprano il ruolo di “cassa di risonanza” per contenuti illegali e dannosi, come fake news, contenuti di incitamento all’odio, e altro. A tal riguardo, il DSA prevede nuove disposizioni atte a garantire la trasparenza delle piattaforme circa le modalità di funzionamento degli algoritmi che suggeriscono all’utente nuovi contenuti conformi alle preferenze dallo stesso espresse, e introduce degli obblighi di preventiva valutazione del rischio di diffusione di disinformazione e contenuti dannosi.

Le misure del DSA

Oltre a ciò, si prevedono delle procedure di più rapida rimozione dei contenuti illegali e nuovi strumenti per tutelare i diritti fondamentali degli utenti; in particolare, si definisce un meccanismo di c.d. “notice and action” (o avviso e azione), unitamente a strumenti di salvaguardia, atti alla rimozione dei contenuti illegali: una volta ricevuto l’avviso, si prevede che i fornitori di servizi di hosting debbano attuare misure di sicurezza “senza indebito ritardo, tenendo conto del tipo di contenuto illegale che viene notificato e dell’urgenza di agire”.

Più nel dettaglio, il DSA prevede:

  • misure per contrastare la diffusione di beni, servizi o contenuti illegali online, quali: un meccanismo che permetta agli utenti di segnalare detti contenuti in modo semplice e alle piattaforme di cooperare con i cosiddetti “segnalatori attendibili”; obblighi di tracciabilità degli utenti commerciali nei mercati online;
  • nuove misure per responsabilizzare gli utenti e la società civile, tra cui: la possibilità di contestare le decisioni di moderazione dei contenuti delle piattaforme e di richiedere un risarcimento, sia attraverso un meccanismo di controversia extragiudiziale che un ricorso giurisdizionale; fornire ai ricercatori l’accesso ai dati chiave delle piattaforme più grandi ed alle ONG l’accesso ai dati pubblici, per fornire maggiori informazioni sull’evoluzione dei rischi online; nuove misure di trasparenza sugli algoritmi utilizzati per raccomandare contenuti o prodotti agli utenti. Si prevede anche il divieto di utilizzare c.d. dark pattern o pratiche ingannevoli, volti ad indurre gli utenti a compiere determinate scelte e attuare determinati comportamenti in modo fraudolento;
  • misure per valutare e mitigare i rischi, quali: l’obbligo per le VLOPs e i grandi motori di ricerca di intraprendere azioni basate sul rischio, per prevenire l’uso improprio dei loro sistemi, nonché l’obbligo di sottoporsi a audit indipendenti dei sistemi di gestione del rischio adottati;
  • meccanismi di adattamento rapido ed efficiente in risposta ad eventuali crisi che incidono sulla sicurezza pubblica o sulla salute pubblica;
  • nuove garanzie per la tutela dei minori e limiti all’utilizzo dei dati personali sensibili per la pubblicità mirata (ossia il divieto di utilizzare determinati tipo di pubblicità mirata sulle piattaforme online per bambini o specifiche categorie di dati personali, come etnia, opinioni politiche, orientamento sessuale);
  • nuovi obblighi di vigilanza da parte della Commissione sulle VLOPs, con il supporto degli Stati Membri e del nuovo Consiglio Europeo per i servizi digitali.

Detti obblighi si applicheranno a tutti i servizi digitali che forniscono ai consumatori beni, servizi o contenuti, ossia fungono da intermediari. La tipologia e quantità di obblighi muta, tuttavia, in base al ruolo, alla dimensione dell’azienda e all’impatto della stessa sull’ecosistema digitale.

Tra i servizi di intermediazione online destinatari del regolamento rientrano:

  • servizi di intermediazione che offrono infrastrutture di rete: provider di accesso a Internet, servizi di registrazione di nomi di dominio;
  • servizi di hosting come servizi di cloud computing e webhosting;
  • piattaforme online che riuniscono venditori e consumatori come mercati online, app store, piattaforme di economia collaborativa e piattaforme di social media;
  • piattaforme online e motori di ricerca molto grandi (VLOPs), che raggiungono oltre il 10% dei 450 milioni di consumatori nell’UE, che potrebbero parimenti comportare rischi particolari nella diffusione di contenuti illegali e danni sociali.

Specifiche esenzioni sono previste per le micro e le piccole imprese, oltre ad un’esenzione dagli obblighi enunciati per un periodo transitorio di 12 mesi dall’entrata in vigore del regolamento.

Digital Markets Act, cosa dice

Come anticipato, per il Digital Markets Act un accordo tra il Parlamento Europeo e gli Stati Membri era stato trovato già il 24 marzo. Scopo della normativa in esame, contrariamente al Digital Services Act, è quello di definire una serie di regole per i “gatekeeper” digitali ossia per tutte quelle piattaforme che rivestono all’interno del mercato digitale un ruolo strategico di collegamento tra le aziende e i consumatori.

Più nello specifico, i gatekeeper sono identificati come quelle piattaforme online (servizi di intermediazione, di advertising e pubblicità online, motori di ricerca, social media, piattaforme di condivisione video, messaggistica, browser web, assistenti virtuali, sistemi operativi) che soddisfano i seguenti criteri:

  • ha una forte posizione economica, un impatto significativo sul mercato interno ed è attiva in più paesi dell’UE;
  • ha una forte posizione di intermediazione, il che significa che collega una vasta base di utenti a un gran numero di aziende;
  • ha (o sta per avere) una posizione radicata e duratura nel mercato, il che significa che è stabile nel tempo se la società ha soddisfatto i due criteri di cui sopra in ciascuno degli ultimi tre esercizi.

A detti criteri si affiancano specifici criteri quantitativi:

  • fatturato annuo di almeno 7,5 miliardi di euro;
  • capitalizzazione di mercato di almeno 75 miliardi di euro;
  • almeno 45 milioni di utenti finali mensili attivi;
  • almeno 100.000 utenti commerciali con sede in UE;
  • controllo di almeno un’altra piattaforma di servizi.

Disciplinando il mercato digitale, gli utenti commerciali potranno godere di un ambiente maggiormente equo, e le start-up tecnologiche avranno “nuove opportunità per competere e innovare nell’ambiente della piattaforma online senza dover rispettare termini e condizioni sleali che ne limitano lo sviluppo”.

Gli impatti sui consumatori

Anche per i consumatori potrà assistersi ad un miglioramento dei servizi e alla proliferazione di possibilità tra cui scegliere per lo stesso servizio, accedendo ai servizi a condizioni e prezzi potenzialmente più equi. I gatekeeper, precisa la Commissione, “manterranno tutte le opportunità per innovare e offrire nuovi servizi. Semplicemente non sarà loro consentito utilizzare pratiche sleali nei confronti degli utenti aziendali e dei clienti che dipendono da loro per ottenere un vantaggio indebito”.

Ai gatekeeper, identificati sulla base dei citati specifici criteri quantitativi e qualitativi, il DMA chiede il rispetto di una serie di obblighi di “fare” e “non fare”. A titolo esemplificativo, si prevede che i gatekeeper dovranno:

  • consentire a terzi di interagire con i propri servizi in determinate situazioni;
  • consentire agli utenti aziendali di accedere ai dati generati dagli stessi durante l’utilizzo della piattaforma dei gatekeeper medesimi;
  • agli inserzionisti e agli editori dovrà essere garantito l’accesso a tutti i dati relativi ai loro annunci in tempo reale e gratuitamente per assicurarsi di ottenere il miglior rapporto qualità-prezzo;
  • consentire ai propri utenti business di promuovere la propria offerta e concludere contratti con i propri clienti anche al di fuori della piattaforma, a condizioni simili;
  • notiziare la Commissione Europea di acquisizioni e fusioni.

I social media, gli app store e i motori di ricerca, poi, dovranno applicare condizioni contrattuali eque, ragionevoli e non discriminatorie alle società terze che usufruiscono delle proprie piattaforme. Parimenti, i sistemi operativi dovranno consentire l’installazione di app store alternativi, seppur nel rispetto dei dovuti requisiti di sicurezza informatica.

I divieti per le piattaforme

Parimenti, si prevede il divieto per le piattaforme di:

  • favorire i loro servizi e prodotti, costringendo le aziende a utilizzarli o impedendo alle stesse di utilizzare canali alternativi a condizioni più favorevoli;
  • impedire ai consumatori di collegarsi ad aziende al di fuori delle piattaforme del gatekeeper (ossia, ad esempio, impedire l’interoperabilità tra diverse piattaforme di messaggistica istantanea);
  • impedire agli utenti di disinstallare qualsiasi software o app preinstallato, se lo desiderano;
  • tracciare gli utenti finali al di fuori del servizio della piattaforma principale dei gatekeeper ai fini della pubblicità mirata, senza che sia stato concesso un consenso effettivo.

I gatekeeper dovranno, inoltre, garantire l’interoperabilità dei servizi di terzi con il loro hardware e software gratuitamente: allo stesso modo, gli utenti dovranno poter avanzare richieste di portabilità dei dati generati su un dispositivo o un’applicazione in via gratuita.

All’interno del DMA si prevede, inoltre, un’inversione dell’onere della prova: dovrà essere il gatekeeper a dimostrare la conformità al regolamento. Nel caso in cui non sia dimostrata la conformità agli obblighi previsti dal testo normativo, le sanzioni possono arrivare fino al 10% del fatturato annuo globale della società, o al 20% nel caso in cui le violazioni siano ripetute.

Alle sanzioni economiche si possono affiancare sanzioni amministrative, come il divieto di porre in essere acquisizioni.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5