Meta ancora sul banco degli indagati europei: questa volta lo ha sancito la Commissione Europea, non un’autorità di controllo data protection. Non si tratta solo di GDPR: si sta stagliando progressivamente l’ombra del Digital Markets Act (Regolamento UE 2022/1925), entrato in applicazione completa a marzo scorso, sulle attività dei più grossi player del digitale.
Non solo le “usuali” problematiche privacy bensì una morsa di stringenti e sempre più severe accuse portate avanti dalla Commissione Europea, in ottica di tutela dei consumatori e della concorrenza. Intersecate con la disciplina privacy.
Lo si evince dalla recente notizia che la Commissione – dopo aver aperto in marzo una serie di indagini verso alcuni dei noti dominatori del mercato digitale (Apple, Meta, l’Alphabet di Google) – ha concluso le proprie considerazioni preliminari sul business model “pay or consent” praticato da Meta, ritenendolo in violazione della normativa DMA.
Si tratta di argomenti in parte già noti in ambito privacy, visto che attagliano la questione dei c.d. paywall, lo scambio praticato da sempre più siti web tra consenso degli utenti (alla loro profilazione marketing) e fruizione di servizi o attività (es. accesso a pagine web altrimenti oscurate).
Rimandiamo ad altra sede gli approfondimenti di spettanza privacy, ricordando che non si contano più provvedimenti e linee guida sul tema (dall’EDPB alle singole autorità come quella irlandese, ove ha sede europea Meta).
Cronologicamente va tenuta in conto, in particolare, la mega-sanzione comminata a Meta nel gennaio 2023 da parte dell’autorità irlandese DPC proprio riguardante la pubblicità profilata dei propri social. Così come è rilevante la decisione del 2023 della Corte di Giustizia, nel caso C‑252/21 detto “Bundeskartellamt” avverso Meta e che aveva già aperto la strada a una “tripartizione” dei consensi utente.
Qui ci occuperemo della tela normativa del DMA e l’invocata sua frizione con la prassi “pay or consent” di Meta.
Per completezza, annotiamo che sussistono altre indagini avviate dalla Commissione verso altri gatekeeper e focalizzate su altre pratiche, menzioniamo le principali: per Alphabet/Google e Apple, si tratta dei propri app store (si limiterebbe la possibilità per i developer di app di operare e indirizzare i consumatori al di fuori dell’app store del gatekeeper); sempre per Apple, si tratterebbe di vincoli eccessivi presenti nel sistema operativo iOS (facilità di disinstallare app, modifica di preimpostazioni ecc.).
Non mancheranno sviluppi su questi e altri fronti, il DMA è solo agli inizi della sua corsa su strada.
Indice degli argomenti
DMA in due parole: gatekeeper e obiettivi della disciplina
Accenniamo solo velocemente ai presupposti di base per contestualizzare la vicenda. Il DMA è la nuova normativa europea che sta facendo parlare di sé nel mondo tech, mirando a mettere un freno al potere dei colossi digitali, i cosiddetti “gatekeeper”.
Ma chi sono questi gatekeeper? Giganti come Alphabert/Google, Amazon, Facebook, Apple, ByteDance, Microsoft e da ultimo Booking. Sono quelle aziende – con certi requisiti dimensionali e di attività – che controllano l’accesso a tanti e tali servizi fondamentali nel mondo digitale, un po’ come i guardiani (appunto, “gatekeeper”) di una strada o una piazza a passaggio quasi obbligato, nella società corrente.
Il problema alla base della normativa è che questi giganti sono diventati così potenti da poter dettare le regole del gioco in maniera non del tutto “leale” – quanto a mercato e concorrenza – ben potendo favorire i propri servizi, raccogliere enormi quantità di dati e rendere difficile per le aziende più piccole competere. È come se il guardiano del passaggio decidesse chi può entrare e a quali condizioni, favorendo sempre i suoi sodali e sé stesso.
Entra in gioco il DMA: l’obiettivo è creare un campo da gioco più equo, imponendo regole più severe ai gatekeeper. Per esempio, devono permettere agli utenti di disinstallare facilmente le app preinstallate, non possono favorire i propri servizi nelle ricerche, devono essere più trasparenti sull’uso dei dati, ecc.
In sostanza, il DMA vuole dare più scelta agli utenti/consumatori e più opportunità alle aziende più piccole. È un tentativo ambizioso di riequilibrare il potere nel mondo digitale, rimodellandone il mercato come più aperto e competitivo. Thierry Breton (Commissario per il Mercato Interno UE) ha affermato che il DMA “è stato adottato per restituire agli utenti il potere di decidere come vengano utilizzati i loro dati e garantire che le imprese innovative possano competere su un piano di parità con i giganti tecnologici per quanto riguarda l’accesso ai dati”.
Per altri dettagli più tecnici sul testo del DMA ci si permette di rimandare, per esempio, a un recente volume edito da Giuffrè Francis Lefebvre, “Digital Services Act e Digital Markets Act”, proprio su tale normativa.
Il ruolo della Commissione UE nel DMA e le temibili sanzioni
La Commissione Europea è il braccio operativo del DMA: è a sua volta il designato “gatekeeper”, se così possiamo dire, del DMA – cioè di regolazione del mercato in fin dei conti.
La Commissione ha infatti una prima responsabilità di identificare i gatekeeper. Una volta identificati, la Commissione ne monitora attentamente il comportamento e, se sospetta violazioni del DMA, può avviare indagini. Ha il potere di richiedere informazioni, condurre ispezioni e persino accedere agli algoritmi delle aziende.
Non si ferma qui: se ravvisa violazioni, può imporre sanzioni. E non parliamo di cifre simboliche: le sanzioni possono arrivare fino al 10% del fatturato globale dell’azienda. Nel caso di Meta, la sanzione massima potrebbe arrivare a cifre oltre i 10 miliardi di euro.
In caso di recidiva, tali ammende possono arrivare fino al 20%. E nell’eventualità di violazioni sistematiche si possono imporre rimedi aggiuntivi: l’obbligo per un gatekeeper di vendere un’impresa o parti di essa, il divieto di acquisire altri servizi connessi all’inosservanza sistemica ecc.
Cosa dice il DMA sul punto conteso
I gatekeeper non cederanno facilmente il loro potere di mercato, come sopra descritto, ma il DMA ne segna un punto di svolta: la Commissione sta affermando chiaramente che è ora di cambiare le regole del gioco digitale. Il caso di Meta in parola ne è un plastico esempio.
Partiamo dal testo del DMA con cui dobbiamo necessariamente familiarizzare, almeno un minimo, per comprendere l’azione della Commissione. Si tratta del complesso e composito art. 5 DMA, norma chiave per gli obblighi dei gatekeeper, di cui riprendiamo quanto ci serve:
“2. Il gatekeeper:
[…]
b) non combina dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi di piattaforma di base o da eventuali ulteriori servizi forniti dal gatekeeper o con dati personali provenienti da servizi di terzi;
c) non utilizza in modo incrociato dati personali provenienti dal pertinente servizio di piattaforma di base in altri servizi forniti separatamente dal gatekeeper, compresi altri servizi di piattaforma di base, e viceversa;
[…]
a meno che sia stata presentata all’utente finale la scelta specifica e quest’ultimo abbia dato il proprio consenso ai sensi dell’articolo 4, punto 11), e dell’articolo 7 del regolamento (UE) 2016/679”.
La Commissione muove i suoi rilievi a Meta in quanto – nello specifico del modello “pay or consent” – non avrebbe richiesto validamente un consenso agli utenti (requisito peraltro dettato dal GDPR) per la finalità di combinare o incrociare i dati personali su diversi servizi della piattaforma (per evidenti fini di profilazione marketing).
Meta però richiede un consenso siffatto (o almeno che pare coprire queste attività) dal 2023, quindi dove si appunta la critica della Commissione? Nella scelta binaria imposta al consumatore (“paga un canone o fatti profilare”) mancherebbe una terza alternativa (a parte non accedere, ovviamente) – ovvero quella di un accesso ai servizi social con l’uso di meno dati personali (sì per fini marketing ma senza arrivare alla profilazione, tramite incrocio o combinazione dei dati così ottenuti).
I considerando del DMA chiariscono il punto di vista
Per capire meglio il senso delle contestazioni della Commissione, è fondamentale leggere gli articoli del DMA in combinato disposto con i relativi considerando, ovvero il 36 e il 37.
Nel considerando 36 si afferma che i gatekeeper raccolgono dati personali degli utenti (un numero significativamente maggiore rispetto ad altre imprese) in svariati modi, sia direttamente che tramite terze parti. Questo conferisce loro vantaggi competitivi nell’accumulo di dati e crea barriere all’ingresso per altre imprese. I vantaggi derivano anche dalla combinazione e dall’uso incrociato dei dati tra diversi servizi.
Ecco perché – per garantire equità e contendibilità dei mercati digitali – i gatekeeper dovrebbero permettere agli utenti di scegliere liberamente (cioè attraverso un valido, libero consenso, come caratterizzato dal GDPR) se accettare queste pratiche di trattamento dati, offrendo un’alternativa meno “personalizzata” (come la profilazione) ma equivalente, senza condizionare l’uso del servizio o di alcune funzionalità al consenso dell’utente.
Il considerando 37 rincara la dose e precisa ancor meglio: l’idea di fondo è che gli utenti devono avere una scelta reale e non penalizzante. Se un utente decidesse di non dare il consenso, dovrebbe ricevere un servizio di qualità simile, magari meno personalizzato, ma non inferiore. Il processo di concedere o negare il consenso deve essere semplice e chiaro, senza trucchi o manipolazioni a livello di interfacce (vedi il tema dark pattern e similia).
Quindi, i gatekeeper dovrebbero spiegare in modo trasparente che rifiutare il consenso può portare a un’esperienza meno “su misura” ma che le funzionalità di base del servizio non cambieranno. Un punto importante (e critico per l’attuale business model) è che i gatekeeper non possono essere troppo insistenti: non gli è permesso chiedere il consenso più di una volta all’anno per lo stesso scopo, se l’utente ha già rifiutato.
Infine, il considerando del DMA sottolinea che queste regole si aggiungono a quelle del GDPR, non le sostituiscono. Quindi, tutti i diritti degli utenti previsti dal GDPR rimangono pienamente validi e applicabili, così come quelli pertinenti a un consenso libero e valido. Su questo punto, si può confrontare il citato approfondimento svolto dall’EDPB di recente (a sua volta richiamante i gatekeeper e il DMA), nella sua “Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms Adopted on 17 April 2024”.
Conclusioni
Meta si trova ora in una situazione delicata, con l’orologio che ticchetta inesorabilmente: l’azienda di Zuckerberg ha davanti a sé una finestra di 12 mesi per difendersi – un anno intero che potrebbe sembrare lungo ma nel mondo delle big tech è un lampo –, esaminando con la lente d’ingrandimento ogni documento del fascicolo della Commissione Europea.
Non si tratta di una semplice formalità. Meta dovrà presentare le proprie argomentazioni difensive alla Commissione, un compito che richiederà una strategia ben ponderata.
Cosa succede se, nonostante ciò, la Commissione dovesse rimanere ferma sulle sue posizioni?
Meta potrebbe trovarsi obbligata a rivoluzionare il suo modello pubblicitario. Non stiamo parlando di piccoli aggiustamenti, potrebbe dover ripensare completamente il modo in cui raccoglie e utilizza i dati degli utenti per la pubblicità mirata.
La parallela e analoga stretta operata dalle autorità di controllo privacy vanno nella stessa direzione, mettendo in luce quanto possa essere serio l’impatto potenziale del DMA.
La palla ora è nel campo di Meta, l’azienda dovrà dimostrare che il suo modello attuale non viola le nuove regole europee – oppure prepararsi a un cambiamento epocale.
In ogni caso, questo confronto tra Meta e l’UE potrebbe segnare un punto di svolta nella regolamentazione dei giganti digitali, con ripercussioni che andranno presumibilmente ben oltre i confini europei.
