L’European Data Protection Supervisor, il Garante privacy europeo, ha accolto favorevolmente le proposte legislative relative al Digital Services Act e al Digital Markets Act, raccomandando misure aggiuntive per tutelare maggiormente i diritti e le libertà degli interessati, specie in caso di profilazione, pubblicità mirata, moderazione dei contenuti, sistemi di raccomandazione di contenuti utilizzati dalle piattaforme online.
L’EDPS si è espressa riguardo al pacchetto di norme europee, destinato a regolarizzare il mercato unico digitale, in due pareri pubblicati il 10 febbraio.
L’iter di approvazione, infatti, prevede che la Commissione europea richieda il parere consultivo dell’autorità EDPS qualora una proposta legislativa comporti “un impatto sulla protezione dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali[1]”.
Il bilanciamento tra un livello elevato di protezione dei diritti degli utenti, ma anche della sana concorrenza sul mercato, e un contesto favorevole all’innovazione tecnologica sono da sempre l’elemento essenziale della strategia europea per la crescita economica, innovativa e sostenibile.
Solo un corretto bilanciamento degli interessi in gioco può portare significativi benefici e tutele per i consumatori, ma anche per le imprese e per gli stessi gatekeeper, laddove le regole non siano pensate per rallentare o ingessare lo sviluppo, ma al contrario per rimuovere gli ostacoli allo stesso.
Indice degli argomenti
Digital Services Act: cosa dice il Garante privacy europeo
Il Garante europeo per la protezione dei dati (EDPS) ha formulato un parere sulla proposta di regolamento sul mercato unico dei servizi digitali (Digital Services Act o DSA) che modifica la direttiva 2000/31/CE, sostenendo l’obiettivo della Commissione di promuovere un ambiente online trasparente e sicuro, definendo in particolare obblighi e responsabilità delle piattaforme online come i social media e i marketplace.
L’EDPS ha accolto favorevolmente anche il fatto che la proposta mira ad integrare piuttosto che sostituire le tutele già esistenti ai sensi del regolamento (UE) 2016/679[2] e della direttiva 2002/58/CE[3].
Sebbene la proposta includa una serie di misure di attenuazione dei rischi per i diritti e le libertà delle persone fisiche, sono necessarie, a parere dell’Autorità, ulteriori garanzie, in particolare in relazione alla moderazione dei contenuti, alla pubblicità online e ai sistemi di raccomandazione.
Digital Services Act, contenuti e finalità delle nuove regole europee sul commercio elettronico
Per quanto riguarda la moderazione dei contenuti, il Garante europeo, muovendo dalla considerazione di fatto che già esiste un monitoraggio endemico del comportamento degli individui nel contesto delle piattaforme online, ritiene che il DSA debba definire i casi in cui la necessità di combattere il contenuto illegale legittimi l’uso di mezzi automatizzati per l’individuazione e la rimozione di tale contenuto.
La profilazione ai fini della selezione dei contenuti, infatti, dovrebbe essere vietata a meno che il fornitore di servizi online non possa dimostrare che tali misure siano strettamente necessarie per indirizzare i cd. systemic risks, esplicitamente individuati dal DSA.
Per quel che concerne la pubblicità mirata, invece, l’EDPS esorta i legislatori a considerare ulteriori norme che vadano oltre la trasparenza, suggerendo ad esempio di vietare la pubblicità mirata online basata su un monitoraggio pervasivo, di prevedere restrizioni in relazione alle categorie di dati che possono essere trattati a fini di targeting e che possono essere comunicati agli inserzionisti o ad altri soggetti per finalità di marketing di terzi.
Infine, i sistemi di raccomandazione non dovrebbero essere basati sulla profilazione, ma occorre garantire la trasparenza e assicurare che gli utenti mantengano il controllo sulle proprie scelte, evitando che gli stessi siano portati a subire passivamente suggerimenti personalizzati e filtraggio dei contenuti senza esserne pienamente consapevole.
Secondo l’EDPS, infine, è necessario che questa legge incentivi una cooperazione istituzionalizzata e strutturata tra le varie autorità di vigilanza competenti nel contesto del mercato digitale (le autorità di protezione dei dati, le autorità di tutela dei consumatori e le autorità garanti della concorrenza).
Digital Markets Act, l’opinione dell’EDPS
Anche nel parere sul Digital Markets Act l’EPDS, accogliendo con favore la proposta, in quanto mira a promuovere mercati digitali competitivi in modo che gli utenti abbiano una scelta più ampia di piattaforme e servizi online da utilizzare, sottolinea come la tutela della concorrenza, la tutela dei consumatori e la normativa sulla protezione dei dati siano tre settori interconnessi nel contesto dell’economia digitale e in assoluto rapporto di complementarità; pertanto è necessario evitare che una normativa di settore sostituisca o entri in conflitto con l’altra.
L’EDPS evidenzia che le disposizioni della proposta rafforzano e tutelano la concorrenza da un lato e garantiscono il controllo dell’interessato sui propri dati personali dall’altro.
Nel contempo, fornisce tuttavia una serie di raccomandazioni specifiche per far sì che la proposta integri efficacemente il GDPR, aumentando la protezione dei diritti e delle libertà fondamentali delle persone interessate ed evitando frizioni con la normativa data protection.
A questo proposito raccomanda in particolare di specificare che sussiste in capo al gatekeeper l’obbligo di fornire agli utenti finali una soluzione che garantisca una rapida, semplice ed efficace gestione dei consensi prestati, che sia quindi “as user-friendly as possible”.
Antitrust e privacy: tutti i problemi del mercato pubblicitario online
Chiede inoltre di chiarire alcuni concetti e definizioni, come “profiling”, “consent”, “data portability”, al fine di evitare confusioni e incoerenze con quanto già previsto dal GDPR.
Solleva poi l’attenzione sul fatto che i dati relativi a interrogazioni (query), click e visualizzazioni sul web in relazione alle ricerche effettuate dagli utenti costituiscono dati personali. Peraltro, è altamente probabile raccogliere dati di natura particolare, in quanto si può arrivare a costruire un profilo delle preferenze, dello stato (compreso lo stato di salute), degli interessi e delle convinzioni (comprese le convinzioni religiose e politiche) delle persone.
L’EDPS ritiene che il gatekeeper spesso potrebbe non prestare la dovuta attenzione all’effettiva anonimizzazione dei dati personali e che, di conseguenza, la condivisione di tali informazioni comporti un elevato rischio di reidentificazione che potrebbe generare un impatto molto elevato sulla tutela della dimensione privata degli utenti.
Alla luce di quanto sopra, raccomanda di specificare che il gatekeeper deve essere in grado di dimostrare l’effettiva anonimizzazione dei dati personali derivati da query, click e visualizzazione e che siano stati adeguatamente testati contro possibili rischi di reidentificazione.
Inoltre, l’EDPS raccomanda ai legislatori di considerare l’introduzione di requisiti minimi di interoperabilità per i gatekeeper: una maggiore interoperabilità ha il potenziale di facilitare lo sviluppo di un ambiente digitale più aperto e pluralistico, nonché di creare nuove opportunità per lo sviluppo di servizi digitali innovativi.
Digital Service Act e Digital Market Act: lo stato dell’arte
Ricordiamo che il 15 dicembre 2020 la Commissione Europea ha presentato due proposte di legge volte a rendere i mercati digitali più equi e a tutelare gli utenti del web e i loro diritti fondamentali: il Digital Services Act e il Digital Markets Act.
Il mondo digitale, infatti, negli ultimi anni ha subito un repentino cambiamento, sicché la direttiva e-commerce 2000/31/CE dell’8 giugno 2000 non è più risultata idonea a far fronte alle nuove sfide dettate dalla rivoluzione in corso.
Nel tempo, grandi piattaforme per l’e-commerce si sono affermate e i social network hanno assunto un peso sempre maggiore nella vita e nelle attività quotidiane; alcuni colossi del web hanno consolidato la propria posizione dominante, ragion per cui si è sentita l’esigenza di adottare una regolamentazione volta sia a promuovere mercati digitali equi e aperti sia a garantire la tutela dei diritti fondamentali degli utenti, quali, ad esempio, la libertà di parola.
Per far fronte a tali esigenze, il Parlamento europeo, il 20 ottobre 2020, ha adottato due relazioni di iniziativa legislativa e una risoluzione con cui ha richiesto alla Commissione di risolvere le lacune normative relative all’ambiente online e di fornire regole “a prova di futuro” per i servizi digitali, tra cui le piattaforme e i mercati online, nonché un meccanismo vincolante attraverso il quale gli utenti possano segnalare i contenuti illeciti presenti online. “Ciò che è illegale offline lo è anche online” per cui la protezione dei consumatori e la sicurezza degli utenti devono diventare principi guida della normativa sui servizi digitali.
Alla luce di tali indirizzi, la Commissione europea ha quindi fornito due proposte di legge che prima di poter divenire applicabili direttamente in tutto il territorio UE dovranno essere discusse dal Parlamento e dagli Stati membri secondo la procedura legislativa[4] ordinaria.
Dunque, l’adozione del pacchetto legislativo proposto dalla Commissione, e costituito dal Digital Services Act e il Digital Markets Act, potrebbe durare ancora un po’ di tempo.
La riforma in discorso si inserisce in un procedimento ben più ampio, intrapreso con l’adozione del Regolamento UE 2016/679 e finalizzato a disciplinare il mondo digitale, definire obblighi chiari in capo agli intermediari e diritti in capo agli utenti, ricordando e sottolineando il principio di responsabilità che deve regolare tali sistemi.
L’intento delle istituzioni europee è, quindi, quello di perfezionare un pacchetto normativo che, una volta adottato, sia applicabile in tutto il territorio dell’UE.
Obiettivo uno spazio digitale più sicuro
Il Digital Markets Act e il Digital Services Act ambiscono a diventare un punto di riferimento globale per la regolamentazione dei servizi digitali. Nascono con l’obiettivo di creare uno spazio digitale più sicuro e trasparente per tutti gli utenti e garantire condizioni di parità che consentiranno alle imprese digitali innovative di crescere ed espandersi all’interno del mercato unico e competere a livello globale.
È chiaro dunque che, se il primo è rivolto principalmente alle imprese, il secondo coinvolge gli utenti e la protezione dei loro diritti fondamentali, compreso il diritto alla trasparenza informativa.
Oggi le piattaforme possono decidere di eliminare arbitrariamente i contenuti pubblicati dagli utenti, senza informare gli stessi o dare loro la possibilità di opporsi alla rimozione, limitando in tal modo la libertà di manifestazione del pensiero; o ancora, gli utenti spesso non sono consapevoli delle attività di profilazione o di esibizione dei contenuti poste in essere dalle piattaforme.
Con la nuova legge sui servizi digitali saranno garantite precise e trasparenti regole sulla moderazione dei contenuti, assicurati obblighi di trasparenza informativa sulla pubblicità, sugli annunci mirati e sui contenuti consigliati (l’utente dovrebbe avere maggiori informazioni su chi ha sponsorizzato l’annuncio, come e perché è stato individuato come target e ciò si tradurrà probabilmente anche nella disclosure degli algoritmi utilizzati), con l’effettivo diritto degli utenti di rifiutare i suggerimenti di contenuti basati sulla profilazione.
Gli impatti per le imprese
Anche le imprese gioveranno del nuovo pacchetto normativo: i servizi digitali nell’UE devono attualmente far fronte a svariate normative nazionali differenti e non tutte le aziende riescono a far fronte ai costi di conformità che ne derivano.
Con la nuova legge sui servizi digitali, invece, le stesse regole si applicheranno in tutta l’Unione europea; in tal modo i piccoli attori economici avranno la certezza del diritto e saranno altresì esentati dagli obblighi più onerosi, pur rimanendo in capo agli stessi determinate responsabilità e la possibilità di scegliere ugualmente di conformarsi alle best practice per aumentare il vantaggio competitivo.
Le PMI e le start-up, in particolare, potranno trarre innumerevoli vantaggi dalla nuova legge in quanto consentirà alle aziende di avere accesso a maggiori informazioni sulle prestazioni dei loro prodotti o servizi su piattaforme di terze parti e renderà più semplice la loro crescita ed espansione nel mercato digitale.
Ma anche le grandi piattaforme, definite gatekeeper, potranno essere agevolate dalla certezza del diritto e saranno chiamate a rispettare una serie chiaramente definita di divieti e obblighi per evitare di incorrere in pratiche sleali.
L’armonizzazione normativa, peraltro, diminuirà notevolmente i costi di conformità per le grandi piattaforme che operano a livello transfrontaliero e di conseguenza anche per le altre aziende, loro clienti.
I gatekeeper continueranno a offrire servizi innovativi come hanno fatto finora, ma avranno ben chiaro cosa possono e cosa non possono fare; saranno così evitate possibili situazioni e posizioni nel mercato che potrebbero configurare un’ipotesi di comportamento scorretto.
Vedranno inoltre rafforzate e chiarite le condizioni per le esenzioni di responsabilità: le piattaforme e altri intermediari infatti continueranno a non essere responsabili per il comportamento illecito degli utenti a meno che non siano a conoscenza di tali contenuti illeciti e non si adoperino per rimuoverli prontamente.
BIBLIOGRAFIA
European Data Protection Supervisor, Opinion 1/2021 on the Proposal for a Digital Services Act;
European Data Protection Supervisor, Opinion 2/2021 on the Proposal for a Digital Markets Act;
Proposta di Rregolamento del Parlamento europeo e del Consiglio relativo a un mercato unico dei servizi digitali (legge sui servizi digitali);
Proposta di Regolamento del parlamento europeo e del Consiglio relativo a mercati equi e contendibili nel settore digitale (legge sui mercati digitali).
NOTE
- Cfr. articolo 52, paragrafo 3, del regolamento 2018/1725 ↑
- Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, GDPR). ↑
- Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. ↑
- La procedura legislativa consiste, infatti, nell’adozione congiunta di un regolamento, di una direttiva o di una decisione da parte del Parlamento europeo e del Consiglio su proposta della Commissione.Tale procedura, così come dettata dall’art. 294 TFUE, si compone di una serie di step riassumibili nel seguente modo:-la Commissione europea presenta una proposta al Consiglio e al Parlamento europeo;-il Consiglio e il Parlamento europeo possono adottare la proposta legislativa in prima o in seconda lettura;-se, invece, successivamente alla seconda lettura le due istituzioni non riescono ad accordarsi, sarà convocato un comitato di conciliazione;-se il testo approvato dal comitato di conciliazione è accettato sia dal Consiglio sia dal Parlamento europeo, l’atto legislativo è approvato. ↑
