Lo scorso mese di luglio, il Parlamento europeo ha adottato il Digital Services Act (DSA) e il Digital Markets Act (DMA). Sebbene siano stati approvati come un unico pacchetto legislativo, si tratta due leggi distinte. Il DSA crea nuovi obblighi di moderazione dei contenuti e di trasparenza sulle modalità di raccolta e utilizzo dei dati da parte delle piattaforme online. La DMA, invece, è una legge anticoncorrenza pensata per limitare quelle che sono definite ‘gatekeeper platform’, quali Google, Amazon e Meta, e prevede l’obbligo di ottenere il consenso degli utenti interessati prima di combinare i dati personali raccolti per indirizzare l’addressable advertising.
In soldoni, il filo conduttore delle norme è che sia la DSA sia la DMA pretendono che le Big Tech siano maggiormente responsabili di ciò che accade sulle loro piattaforme. La multa per la mancata conformità è ancora più salata rispetto al GDPR, che poteva comportare sanzioni fino al 4% del fatturato annuo globale. Le aziende rischiano multe fino al 6% delle revenue totali per le violazioni del DSA e fino al 10% per il DMA. L’entrata in vigore del DMA è prevista per la fine dell’anno, mentre il DSA entrerà pienamente in vigore entro il 2024.
Il DSA impone una moderazione dei contenuti più rigorosa, obbliga a fornire alcune informazioni sugli annunci a pagamento e vieta completamente gli annunci mirati ai minori di 18 anni per quasi tutte le piattaforme online. (Ma la responsabilità maggiore ricade sulle piattaforme che hanno il 10% della popolazione dell’UE tra i loro utenti).
Gli Stati membri dell’UE avranno inoltre accesso al funzionamento interno degli algoritmi di recomendation delle piattaforme, aprendo i loro ‘black box‘. La trasparenza algoritmica sarà anche rivolta all’utente: le piattaforme dovranno spiegare brevemente in base a quali motivi determinati annunci sono stati indirizzati ai singoli utenti. Ciò significa, ad esempio, permettere agli utenti di vedere annunci non basati sulla ‘profilazione’ o di scorrere i loro feed social in base all’ordine cronologico e non a quello algoritmico.
Le piattaforme devono anche pubblicare un rapporto biennale sui loro sforzi di moderazione dei contenuti.
Inoltre, la DSA vieta espressamente l’uso di ‘dark pattern’ o di un linguaggio che porti gli utenti ad accettare inavvertitamente di condividere i propri dati. Insieme al divieto di indirizzare gli annunci ai bambini, l’esplicito divieto di utilizzare dark pattern rende il DSA un forte strumento per l’enforcement della privacy dei dati, ha sottolineato alla stampa britannica Elle Todd, avvocato e partner dello studio londinese Reed Smith LLP.
“Il DSA è molto incentrato sull’UX: si tratta di cambiare le interfacce e le modalità di interazione dei consumatori con le piattaforme online”, ha spiegato l’avvocato. “Le persone vedranno un impatto molto maggiore su base quotidiana, come consumatori di tutti i giorni, dalla DSA rispetto alla DMA”.
La DMA si applica infatti a un sottoinsieme molto più ristretto di aziende, in particolare quelle con 45 milioni di utenti attivi mensili e/o con un fatturato annuo di almeno 7,5 miliardi di euro. Amazon, Google, Meta, Apple e Microsoft rientrano in questa categoria.
Mentre il DSA si concentra maggiormente sulla protezione dei diritti dei singoli utenti, il DMA conferisce ai regolatori europei un potere senza precedenti per reprimere le pratiche commerciali anticoncorrenziali e sleali, anche per quanto riguarda le modalità di raccolta e utilizzo dei dati da parte delle grandi piattaforme di Big Tech.
Il DMA vieta alle piattaforme di integrare dati senza consenso esplicito, e di privilegiare i propri prodotti e servizi. A Google, ad esempio, verrebbe impedito di combinare i dati dei suoi servizi per mostrare annunci mirati senza consenso, mentre sarebbe illegale per Amazon utilizzare i dati di venditori terzi per strutturare le proprie offerte di prodotti in concorrenza.
Una volta entrati in vigore, il DSA e il DMA saranno applicati da diversi organi di controllo. La Commissione europea è il principale responsabile dell’applicazione del DMA, mentre gli Stati membri dell’UE dovranno coordinare i propri organi di governo per l’applicazione del DSA. Entrambe le leggi sono in gran parte coerenti con le crescenti richieste internazionali di leggi sulla privacy dei dati, in particolare quando si tratta di proteggere i bambini online e di limitare la raccolta di dati senza un adeguato consenso.
La DSA e la DMA sono entrambe leggi europee, ma il sentiment espresso al loro interno è molto probabile che arrivi (più prima che poi) anche negli Stati Uniti; per non parlare del fatto che quasi tutte le aziende gatekeeper a cui si rivolge il DMA hanno sede negli Stati Uniti e che le aziende statunitensi dovranno conformarsi sia al DSA che al DMA se vogliono fare affari in Europa. Il DSA e il DMA, inoltre, hanno requisiti di consenso che si sovrappongono alle norme sul GDPR, il che significa che le piattaforme che non si adeguano ora potranno essere colpite da più violazioni contemporaneamente.
In genere le piattaforme applicano le modifiche all’interfaccia utente a livello globale perché è meno complicato da implementare. Se le aziende, tuttavia, decideranno di applicare le direttive europee sulla privacy agli utenti americani prima di essere obbligate a farlo sarà comunque una ‘loro’ decisione. Ma la situazione non consente alternative, a meno di non voler applicare il ‘decoupling’, oltre che alla Cina, anche attraverso l’Atlantico.
