Molte disposizioni del Digital Markets Act riguardano pratiche dei fornitori di servizi di piattaforme di base (c.d. gatekeepers) aventi ad oggetto i dati personali. Pertanto, è naturale domandarsi se i diversi obblighi definiti nel DMA siano compatibili con il GDPR e se i gatekeeper possano ottemperare senza problemi ad entrambi i provvedimenti normativi. Sebbene il DMA affermi che esso coesisterà armoniosamente con il GDPR, sorgono comunque interrogativi sull’interazione tra questi due strumenti.
La tutela dei dati personali nel DMA
Alcuni degli obblighi che il Digital Markets Act imporrà ai fornitori di servizi di piattaforme di base riguardano direttamente o indirettamente il trattamento dei dati personali. Tra questi, le disposizioni che più vividamente documentano la rilevanza del DMA in termini di protezione dei dati sono gli artt. 5, paragrafo 2, e 6, paragrafi 9 e 10.
Mentre la prima disposizione impone ai gatekeeper di astenersi dall’utilizzare i dati ottenuti dagli utenti aziendali per scopi pubblicitari e dal combinare o utilizzare tali dati in diversi servizi senza l’espresso consenso dell’interessato, la seconda stabilisce un obbligo di fornire effettivamente agli utenti finali la portabilità dei dati generati sui servizi della piattaforma principale. Si tratta di un diritto più ampio rispetto a quello riconosciuto agli interessati all’interno dell’art. 20 GDPR, in quanto attribuisce all’utente finale un “accesso continuo e in tempo reale” e non limitato solamente ai dati personali. Inoltre, l’art. 6, paragrafo 10, prevede altresì un obbligo per i gatekeeper di fornire a determinati utenti aziendali l’accesso ad alcuni dati, inclusi quelli personali, generati sui servizi della piattaforma principale, previo espresso consenso dell’interessato.
Le principiali differenze rispetto al GDPR: il consenso
Le norme sopra menzionate sollevano però alcune domande sulla relazione tra DMA e GDPR. Alcune di esse riguardano, per esempio, il consenso dell’utente finale, che all’interno del DMA svolge un ruolo centrale in quanto permette ai gatekeeper di impegnarsi in pratiche che altrimenti sarebbero vietate.
Sebbene il DMA non si ponga in contrasto con quanto sancito dal GDPR, sono destinati a sorgere problemi su come i gatekeeper possano ottenere un consenso libero, specifico, informato e inequivocabile. In particolare, in ragione dell’evidente squilibrio di potere tra le grandi piattaforme digitali e gli interessati (o utenti finali), vi sono dubbi sul fatto che questi ultimi possano esprimere un consenso libero, ossia prestato senza il rischio di subire conseguenze negative – quali, ad esempio, l’impossibilità di usufruire dei servizi offerti dai gatekeeper.
Inoltre, la libertà del consenso può altresì essere viziata dalle pratiche di nudging adottate dai guardiani delle piattaforme digitali. A tale proposito, il legislatore comunitario ha cercato di includere esplicite garanzie nel DMA per ridurre lo squilibrio di potere tra i gatekeeper e gli utenti ai quali si richiede il consenso. Tra queste:
-
l’obbligo per i guardiani di offrire un’“alternativa meno personalizzata ma equivalente” del loro servizio agli utenti e di non subordinare “l’uso del servizio della piattaforma principale o di alcune sue funzionalità al consenso dell’utente finale”.
-
l’obbligo, in caso di richiesta del consenso, di presentare in modo proattivo una soluzione user-friendly all’utente finale per fornire, modificare o revocare il consenso in modo esplicito, chiaro e semplice.
-
il divieto di progettare, organizzare o far funzionare le loro interfacce online in un modo che ingannino, manipolino o altrimenti distorcano la capacità degli utenti finali di prestare liberamente il consenso.
Si tratta però di indicazioni di carattere generale che, non essendo supportate da specifiche istruzioni pratiche (es. interfacce grafiche da utilizzare o condizioni minime da garantire nei servizi alternativi offerti agli utenti), rischiano di risultare vane.
Anche nel contesto della condivisione dei dati ai sensi del Digital Markets Act sorgono domande su come il consenso dell’utente finale possa soddisfare i solidi standard del GDPR. Questo soprattutto perché l’obbligo di condivisione di cui all’articolo 6, paragrafo 10, del DMA, può riguardare molteplici dati e attività di trattamento compiute da parte di un gran numero di terzi che cercano di utilizzare tali informazioni per una varietà di scopi commerciali. Affinché gli utenti finali possano effettivamente esprimere un consenso informato e specifico a tale condivisione, dovrebbero essere consapevoli, tra l’altro, di quali dati saranno condivisi con terze parti, consci dell’’identità di tali parti e delle finalità del trattamento.
Un ulteriore problema riguarda infine l’utilizzo del consenso quale base giuridica per la condivisione dei dati e le difficoltà che si potrebbero generare in caso di revoca dello stesso.
… e il diritto alla portabilità
Per quanto riguarda, invece, il diritto alla portabilità dei dati, l’articolo 20, paragrafo 1, del GDPR sancisce il diritto dell’interessato di ricevere i dati personali che lo riguardano e il diritto di trasmettere tali dati ad un altro titolare. L’articolo 6, paragrafo 9, del DMA stabilisce invece l’obbligo dei gatekeeper di fornire agli utenti finali un’effettiva portabilità dei dati. Sulla base del Considerando n. 59 del DMA, sembra che l’obbligo in questione sia composto dagli stessi elementi fondamentali del diritto delineato nel GDPR, ossia il diritto dell’interessato di ricevere i dati personali che lo riguardano e quello di avere i dati trasferiti a terzi. Potrebbe quindi sembrare che questi diritti rappresentino “due facce della stessa medaglia”. In realtà, però, vi sono molteplici differenze tra le due disposizioni. Anzitutto, l’obiettivo perseguito è diametralmente opposto: l’art. 20 GDPR mira a rafforzare il controllo dell’interessato sui suoi dati personali, mentre l’art. 6, paragrafo 9, del DMA è volto a garantire la contendibilità ed equità dei mercati nel settore digitale. Proprio per tale ragione, il diritto alla portabilità ai sensi dell’articolo 6, paragrafo 9, del DMA si estende anche ai dati non personali e non si limita ai soli dati forniti dagli interessati o risultanti dall’osservazione delle loro attività (ad es. dati elaborati da oggetti connessi, cronologia dell’utilizzo del sito web), ma riguarda anche i dati dedotti e derivati, ovvero i dati creati dallo stesso titolare del trattamento (ad esempio, un profilo utente creato attraverso l’analisi di dati grezzi).
È evidente quindi la non piena corrispondenza tra i due diritti. Per tale ragione, è lecito chiedersi se la portabilità dei dati, così come definita nel DMA, rappresenti una lex specialis e quindi prevalga sul GDPR e, nel caso, se richiedere ai gatekeeper di garantire la portabilità di alcune tipologie di dati (ad esempio, quelli prodotti a seguito di investimenti in tempo e tecnologia) rispetti il principio di necessità e proporzionalità.
Come conciliare allora i due testi normativi?
Nel corso della procedura legislativa sono stati ampiamente sollevati avvertimenti sui potenziali conflitti visti finora. Tuttavia, il DMA, a differenza del Digital Services Act (DSA), non contiene una disposizione generale che determina il rapporto con altri atti giuridici al di fuori del diritto della concorrenza e delle telecomunicazioni. Se si legge il DMA e i suoi considerando, è evidente che in molti punti viene sottolineato il suo essere “senza pregiudizio” per il GDPR (Considerando 12, 36 e 37), che i gatekeeper devono continuare a rispettare ai loro obblighi ai sensi della normativa sulla protezione dei dati (Considerando 65) e che il livello di protezione ivi sancito non dovrebbe essere compromesso (Considerando 64). Da ciò si può leggere tra le righe che l’importanza e la validità della legge sulla protezione dei dati non è affatto messa in discussione.
Resta perciò da vedere se, quando diventerà applicabile, il DMA rappresenterà una spinta per l’applicazione del GDPR in questo contesto o se i conflitti tra i due testi normativi porteranno a una maggiore incertezza giuridica, specialmente per gli operatori economici.
Marta Negrati
