Digital Markets Act (DMA): di che cosa si tratta?

Apple deve consentire ai suoi iPhone di accedere ad altri App Store, Meta deve permettere a WhatsApp di comunicare con altre app di chat. Queste trasformazioni derivano dagli obblighi previsti per le grandi aziende del settore tecnologico. Alla base di tutto c’è il Digital Markets Act (DMA) dell’Unione Europea, adottato dal Parlamento europeo il 5 luglio 2022 ed entrato in vigore a novembre 2022. Il regolamento contiene una serie di regole rivolte alle aziende di tecnologia particolarmente grandi e influenti, i cosiddetti «gatekeeper» (in italiano «controllori di accesso»).

L’UE ha dato a queste aziende un termine ultimo entro il quale dovranno adeguarsi ai nuovi regolamenti per alcuni dei loro prodotti e servizi, i cosiddetti «servizi di piattaforma di base». Questo termine è il 6 marzo 2024. Se entro questa data i requisiti non saranno stati soddisfatti, le aziende in questione subiranno sanzioni.

Qual è l’idea alla base del Digital Markets Act?

Nel mondo digitale ci sono aziende così grandi e con quote di mercato talmente ampie da potere esercitare una grande influenza sul settore semplicemente grazie alle loro dimensioni e alla loro importanza. Influenza sullo sviluppo del mercato, sulle innovazioni, ma anche sulla normativa, ad esempio in materia di protezione dei dati o di concorrenza.

A causa di questa enorme influenza, le aziende crescono quasi senza dover fare nulla. Tutto questo a scapito delle aziende concorrenti più piccole. Visto che queste faticano a tenere il passo, le grandi aziende hanno sempre meno concorrenza. A questo punto anche tu, come consumatrice o consumatore, ne subisci conseguenze, perché hai meno scelta a livello di dispositivi o servizi e quindi devi pagare il prezzo e accettare le condizioni fissate dalle grandi aziende.

È proprio in questo scenario che si inserisce il Digital Markets Act, il cui obiettivo è garantire un funzionamento equo del mercato. Le aziende non devono abusare della propria posizione sul mercato e devono trattare in modo responsabile i dati della propria utenza, ovvero proteggerne la privacy. Il Digital Markets Act è stato sviluppato per dare un assetto giuridico a questa istanza, ovvero per creare una sorta di legge sui cartelli rivolta alle aziende del settore digitale.

Dove è regolamentato esattamente il Digital Markets Act?

Il nome completo dell’ordinanza, comunemente nota come DMA è il seguente:

«Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio, del 14 settembre 2022, relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (regolamento sui mercati digitali)».

Il regolamento si basa sul «Trattato sul funzionamento dell’Unione europea», in particolare sul «Titolo VII: Norme comuni sulla concorrenza, sulla fiscalità e sul ravvicinamento delle legislazioni» (da pagina 42 del PDF scaricabile dal link) e lo estende in alcuni scenari.

Spiegazione dei termini più importanti

Di seguito trovi un riepilogo dei punti principali del DMA. Ovvero, quali aziende sono interessate dal provvedimento, quali dei loro servizi dovranno modificare e in che misura questi cambiamenti ti riguardano. Se ti interessa avere informazioni più dettagliate, puoi reperirle in tutte le lingue ufficiali dell’Unione Europea nel cosiddetto EUR-Lex, il portale di consultazione della normativa dell’UE. Qui trovi il documento in italiano.

Chi sono i gatekeeper?

I gatekeeper sono le aziende di tecnologia particolarmente grandi. Ma non tutte le grandi aziende di tecnologia sono automaticamente dei gatekeeper. Secondo il capo II, art. 3 del DMA, un’impresa è designata come gatekeeper se:

• ha un impatto significativo sul mercato interno;
• fornisce un servizio di piattaforma di base che costituisce un punto di accesso (gateway) importante affinché gli utenti commerciali raggiungano gli utenti finali; e
• detiene una posizione consolidata e duratura, nell’ambito delle proprie attività, o è prevedibile che acquisisca siffatta posizione nel prossimo futuro. Periodicamente, e almeno ogni tre anni, la Commissione verifica se i gatekeeper continuano a soddisfare i requisiti stabiliti dall’articolo 3, paragrafo 1.

Finora, l’elenco dei gatekeeper designati dall’UE comprende sei aziende, ma se ne potrebbero aggiungere altre. Al momento sono le seguenti:

• Alphabet (società madre di Google)
• Amazon
• Apple
• ByteDance (società madre di TikTok)
• Meta (società madre di Facebook, Instagram, WhatsApp e Threads)
• Microsoft

Queste sono le aziende che, al momento, sono sottoposte alla normativa e i cui prodotti e servizi devono rispettare determinati obblighi.

Che cos’è un «servizio di piattaforma di base»?

Alcuni di questi obblighi riguardano l’azienda nel suo complesso, altri concernono soltanto alcune sue parti o singoli servizi o prodotti. In relazione all’ultimo punto, si parla di un cosiddetto «servizio di piattaforma di base».

Il regolamento definisce «servizio di piattaforma di base» una serie di servizi digitali. Tra questi vi rientrano i motori di ricerca, i browser, i social network e molto altro. A oggi, l’UE ha definito 22 servizi dei sei gatekeeper citati come «servizi di piattaforma di base».

Google

• Motore di ricerca e servizi pubblicitari: Google
• Piattaforma di condivisione video: YouTube
• Browser: Chrome
• Sistema operativo: Android
• Piattaforma di intermediazione: Google Maps, Google Play, Google Shopping

Meta

• Servizi di comunicazione: Facebook Messenger, WhatsApp
• Servizi pubblicitari: Meta
• Social network: Facebook, Instagram
• Piattaforma di intermediazione: Meta Marketplace

Apple

• Browser: Safari
• Sistema operativo: iOS
• Piattaforma di intermediazione: iOS App Store

Microsoft

• Sistemi operativi: Windows

• Social network: LinkedIn

• ByteDance

• Social network: TikTok

Amazon

• Servizi pubblicitari: Amazon
• Piattaforma di intermediazione: Amazon Marketplace

Ulteriori servizi potranno essere aggiunti a questo elenco se, in seguito a un riesame da parte dell’UE, dovesse risultare che un servizio si qualifica come «servizio di piattaforma di base». Il DMA specifica nel capo IV, art. 19 quando è possibile e necessario svolgere questo riesame. Trovi eccezioni a questa regola nel capo III, artt. 9 e 10 del DMA.

Quali sono gli obblighi dei gatekeeper?

Gli obblighi di un gatekeeper sono regolati in modo dinamico nel DMA al capo III, dall’articolo 5 in poi. Ciò significa che alcuni obblighi possono essere aggiunti o anche rimossi.

Gli obblighi principali sono:

Interoperabilità e non discriminazione

Secondo il capo III, art. 7 del DMA, i gatekeeper devono garantire che i propri servizi e le proprie piattaforme siano interoperabili con quelli di fornitori terzi. La definizione di Treccani di interoperabilità è «Capacità di due o più sistemi, reti, mezzi, applicazioni o componenti, di scambiare informazioni tra loro e di essere poi in grado di utilizzarle». In questo contesto, ciò significa che i servizi di fornitori diversi si possono collegare e possono comunicare tra loro senza che gli utenti debbano fare nulla. Spesso questo si riferisce all’accesso ai dati o al loro trasferimento. Con queste disposizioni, l’UE intende favorire la concorrenza e impedire che i gatekeeper usufruiscano di vantaggi eccessivi.

Un esempio concreto: il gatekeeper Meta deve garantire che tu, tramite il suo servizio di piattaforma di base WhatsApp, possa inviare messaggi agli utenti che utilizzano la chat Signal, se anche Signal è interessata a questa interoperabilità. Infatti, Signal non fa parte di alcuna azienda identificata come gatekeeper, pertanto non ha l’obbligo di essere interoperabile. Dal momento che Signal ha più volte criticato pubblicamente la sicurezza dei dati di WhatsApp, non è affatto certo che questo scenario si verifichi.

Nel frattempo, l’«obbligo di non discriminazione» mira a garantire che i gatekeeper trattino in modo equo tutte le aziende e gli utenti, senza favorire i propri prodotti o quelli dei partner diretti.

Esempio concreto: se cerchi un servizio di posta elettronica su Google, nei risultati di ricerca Google non è più autorizzata a dare priorità a Gmail come impostazione predefinita.

Portabilità e accesso ai dati

Il DMA stabilisce che un gatekeeper debba fornire a un utente finale o a un suo rappresentante autorizzato «un accesso efficace, di elevata qualità, continuo e in tempo reale a dati... che sono forniti o generati nel contesto dell’uso dei pertinenti servizi di piattaforma di base o dei servizi forniti contestualmente» nel capo III, art. 6, paragrafo 10 del DMA. Inoltre, deve essere garantita «l’effettiva portabilità dei dati». Ciò significa che un gatekeeper non ti può complicare inutilmente lo «spostamento» dei tuoi dati da un servizio a un altro se, ad esempio, vuoi sostituire il servizio del gatekeeper con un altro.

Un esempio concreto: hai sempre usato Chrome come browser predefinito, ma ora vuoi passare a Opera. Google deve permetterti di scaricare l’intero contenuto (cronologia delle ricerche, impostazioni dei cookie, cronologia del browser e così via) in un formato utilizzabile e di ricaricarlo nuovamente in Opera. Questo per consentirti di usufruire di un’esperienza utente senza soluzione di continuità.

Trasparenza e profilazione

L’articolo 5, paragrafo 2 del DMA stabilisce le modalità con cui un gatekeeper può raccogliere i dati, cosa può e, soprattutto, cosa non può farne. Si tratta delle regole usate per la cosiddetta «profilatura» dell’utenza. Queste regole includono i seguenti punti essenziali:

• Il gatekeeper non può trattare i dati personali provenienti da servizi di terzi che a loro volta sono clienti del gatekeeper.
• Non può combinare i dati personali provenienti da diversi servizi della sua piattaforma centrale.
• Non ti fa accedere ad altri servizi del suo portafoglio ai quali non hai effettuato un'iscrizione di tua volontà.

A meno che tu non abbia acconsentito espressamente, ai sensi del Regolamento 2016/679 articolo 4, paragrafo 11 e articolo 7. Ci sono tuttavia delle regole di trasparenza che ti spiego nel prossimo paragrafo.

Esempi concreti:

• Se Zalando attiva un annuncio pubblicitario su Instagram e tu ci clicchi sopra, Instagram (ovvero Meta) non può utilizzare i dati che hai fornito a Zalando per i suoi servizi pubblicitari.
• Meta non può combinare i dati raccolti tramite WhatsApp e Instagram (ad esempio per avere più informazioni su di te) o utilizzarli, ad esempio, per inserzioni pubblicitarie.
• Meta non può creare per te un account Facebook se hai effettuato l'iscrizione solo a Instagram.

La trasparenza riguarda il fatto che il gatekeeper ha sempre bisogno della tua autorizzazione per raccogliere ed elaborare i tuoi dati. Inoltre, deve sempre darti informazioni su come raccoglie i dati, perché e per quanto tempo. Oltre a questo, hai anche la possibilità di rifiutare o revocare successivamente l’autorizzazione. La legge obbliga poi i gatekeeper a ottenere il tuo consenso in un modo che sia facilmente comprensibile. Quindi Facebook non può più chiederti di leggere un papiro di trenta pagine in «legalese» in cui puoi solo cliccare su «sì» o «no». Sono vietati anche i cosiddetti «dark pattern», in italiano «percorsi oscuri». Si tratta, ad esempio, di quelle schermate in cui il pulsante per dare l’autorizzazione è enorme e coloratissimo e quello per rifiutarla è nascosto in fondo alla pagina, grigio e con scritte minuscole.

Cosa succede se le aziende non adempiono a questi obblighi?

Nel capo V, articolo 30, l’Unione Europea ha stabilito varie modalità per sanzionare le aziende che trasgrediscono. Una di queste sono le ammende, che possono essere anche molto salate: una sanzione di questo tipo può arrivare fino al 10 percento del fatturato globale dell’azienda. E la percentuale può salire fino al 20 percento, se l’azienda viola ripetutamente i regolamenti.

Se una società è ritenuta colpevole di «inosservanza sistematica» (capo V, articolo 29), può essere dovuta una penalità di mora fino al 5 percento del fatturato medio giornaliero (capo V, articolo 31 del DMA). In alternativa, l’UE può decidere di adottare delle «misure correttive». Si tratta di particolari precauzioni o anche sanzioni che hanno lo scopo di garantire che l’azienda interessata si adegui (nuovamente) alle disposizioni di legge. Tuttavia, è necessario svolgere un’indagine di mercato (capo IV, articolo 16 del DMA) per determinare se vi sia una «inosservanza sistematica».

Quali effetti avrà il DMA sulla Svizzera?

Il DMA è stato varato dal Consiglio europeo e dal Parlamento europeo. Da un punto di vista strettamente legale, non ha alcun effetto né su di te né sulle aziende in Svizzera. Questo vuol dire che le aziende non sono tenute a rispettare le regole del DMA in Svizzera. L’8 marzo 2023 la Consigliera nazionale Min Li Marti (PS/ZH) ha presentato una mozione in cui chiede che la Svizzera apporti delle modifiche legislative sostanzialmente simili a quelle del DMA.

Tuttavia, il Consiglio nazionale non ha ancora deciso se accettare e discutere la mozione. Il Consiglio federale, invece, ha già emesso un parere e raccomanda di respingere la mozione. La motivazione alla base di questa raccomandazione è che, in linea di principio, gli obiettivi principali del DMA sarebbero già attuati dalla legislazione vigente, soprattutto la normativa sui cartelli, ad esempio con lo «strumento della posizione dominante relativa» (Legge sui cartelli, SR 252, art. 7). Inoltre, è possibile prevedere delle misure cautelative in singoli casi.

Spetta ora al Consiglio nazionale decidere se accogliere o meno la mozione. In caso affermativo, ha due anni di tempo per la deliberazione. Se la mozione sarà approvata, dovrà passare al Consiglio di stato per la deliberazione.

Per sapere come andrà a finire realmente, dovrai aspettare un po’. Senz’altro anche qui in Svizzera noteremo alcuni cambiamenti. È probabile, ad esempio, che anche la popolazione svizzera avrà la possibilità di scaricare da un servizio tutti i suoi dati personali archiviati. Cosa che comunque è già possibile, almeno in parte. Difficile, invece, che assisteremo ad altri cambiamenti, ad esempio gli App Store alternativi di Apple. Apple fa solo lo stretto indispensabile per ottemperare a questa legge. Anche in questo caso, è probabile che si adegui solo quando sarà costretta a farlo. Solo con il tempo sapremo come tutto questo si concretizzerà nei dettagli.