Il Digital Markets Act: qual è la situazione ad oggi?

Il 24/3/2022 il Parlamento europeo ha pubblicato un comunicato stampa nel quale si legge (la traduzione è nostra):

Giovedì sera, i negoziatori del Parlamento e del Consiglio hanno concordato nuove regole UE per limitare il potere di mercato delle grandi piattaforme online.

Il Digital Markets Act (DMA) metterà in lista nera alcune pratiche utilizzate dalle grandi piattaforme che agiscono come “gatekeepers” e permetterà alla Commissione di condurre indagini di mercato e sanzionare i comportamenti non conformi.

Il testo provvisoriamente concordato dai negoziatori del Parlamento e del Consiglio si rivolge alle grandi aziende che forniscono i cosiddetti “servizi di piattaforma di base” più inclini a pratiche commerciali sleali, come i social network o i motori di ricerca, con una capitalizzazione di mercato di almeno 75 miliardi di euro o un fatturato annuo di 7,5 miliardi. Per essere designate come “gatekeepers”, queste aziende devono anche fornire alcuni servizi come browser, messenger o social media, che hanno almeno 45 milioni di utenti finali mensili nell’UE. e 10 000 utenti business annuali.

Durante un trilogo di quasi 8 ore (colloqui a tre tra Parlamento, Consiglio e Commissione), i legislatori dell’UE hanno concordato che i più grandi servizi di messaggistica (come Whatsapp, Facebook Messenger o iMessage) dovranno aprirsi e interoperare con le piattaforme di messaggistica più piccole, se lo richiedono. Gli utenti delle piccole o grandi piattaforme sarebbero quindi in grado di scambiare messaggi, inviare file o fare videochiamate attraverso le app di messaggistica, dando loro più scelta. Per quanto riguarda l’obbligo di interoperabilità per le reti sociali, i colegislatori hanno convenuto che tali disposizioni di interoperabilità saranno valutate in futuro.

Il Parlamento ha anche assicurato che la combinazione di dati personali per la pubblicità mirata sarà consentita solo con il consenso esplicito del gatekeeper. Sono anche riusciti a includere un requisito per consentire agli utenti di scegliere liberamente il loro browser, assistenti virtuali o motori di ricerca.

Se un gatekeeper non rispetta le regole, la Commissione può imporre multe fino al 10% del suo fatturato mondiale totale nell’anno finanziario precedente, e il 20% in caso di infrazioni ripetute. In caso di infrazioni sistematiche, la Commissione può vietare loro di acquisire altre società per un certo tempo.


Dal testo di questo comunicato stampa, quinidi, in sintesi emerge che:

  1. c’è stato un trilogo (negoziato) tra Parlamento europeo, Consiglio e Commissione europea;
  2. la versione “negoziata” contiene modifiche al testo che fornisce la definizione di “gatekeepers”;
  3. la versione “negoziata” contiene modifiche al testo che identifica i “gatekeepers” (capitalizzazione di mercato di almeno 75 miliardi di euro o un fatturato annuo di 7,5 miliardi);
  4. obbligo per i “gatekeepers” di rendere le loro piattaforme di messaggistica (come Whatsapp, Facebook Messenger o iMessage) interoperabili con quelle più piccole;
  5. la pubblicità mirata (targeted advertising) sarà possibile solo con il consenso dei “gatekeepers”;
  6. sanzioni per i “gatekeepers” che non rispettano le regole.

I sistemi di messaggistica nel DMA e la privacy

Il dato incontrovertibile della esistenza di grandi player fornitori di servizi di messaggistica istantanea è ufficialmente acquisito a livello europeo, soprattutto quando si tratta di soggetti che hanno la principale sede legale fuori dall’Europa.

In effetti, il comunicato stampa su menzionato fa espressamente riferimento a Whatsapp, Facebook Messenger e iMessage (precisando che i primi due fanno capo al medesimo gruppo Facebook/Meta, mentre l’ultimo è di Apple). Tra le app di messaggistica istantanea più note sono grandi esclusi Signal, Telegram, Threma, evidentemente in quanto non riconducibili a “gatekeepers” che hanno i requisiti indicati (capitalizzazione di mercato di almeno 75 miliardi di euro o un fatturato annuo di 7,5 miliardi).

Da quanto emerge dal comunicato stampa sembrerebbe che l’Europa mentre sia consapevole dell’esistenza di questi grandi player e fornitori di servizi di messaggistica, non lo sia altrettanto sulla natura tecnica degli stessi che sono considerati centralizzati.

L’attenzione dell’Europa, nell’ambito del DMA, è più proiettata verso la componente di “mercato” e digital economy piuttosto che (anche) riguardo ai profili relativi alla protezione dei dati personali. Infatti, come abbiamo più volte ribadito, un sistema di messaggistica centralizzato non sembra conforme al Considerando(7) del GDPR ove si afferma “È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”. Il tutto, senza considerare altre valutazioni circa il rispetto dei principi contenuti nello stesso GDPR, tra i quali menzioniamo quelli di cui all’articolo 5 (Principi applicabili al trattamento di dati personali) nonché quello della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita secondo l’art. 25.

Tra i soggetti che probabilmente e da quanto ci risulta non sono qualificabili come “gatekeepers” c’è Matrix (The Matrix.org Foundation C.I.C. o The Matrix.org Foundation).

Matrix, di cui abbiamo già parlato, ha sviluppato un uno standard aperto per la comunicazione interoperabile, decentralizzata e in tempo reale su IP.

Sul DMA, Matrix ha pubblicato un articolo dal titolo “Interoperability without sacrificing privacy: Matrix and the DMA” rappresentando, in sostanza, che con il loro protocollo è possibile garantire - sempre che i “gatekeepers” mettano a disposizione le API - l’interoperabilità in totale sicurezza e nel rispetto della privacy.

Nel condividere pienamente quanto scritto da Matrix con le soluzioni proposte, tuttavia, riteniamo che - a livello legislativo - sia necessario avviare una attenta riflessione su come tecnicamente si possa garantire e realizzare l’interoperabilità anche da parte di altri soggetti diversi dalla stessa Matrix.

Il rischio potrebbe essere quello di non essere in grado di garantire pienamente la crittografia E2EE con conseguente pregiudizio per la privacy e della conformità con il GDPR, posto che lo stesso GDPR enuncia all’articolo 3 l’ambito di applicazione territoriale e cioè le condizioni per l’applicabilità del Regolamento UE 2016/679 ai trattamenti effettuati nell’Unione.

In sostanza, non va trascurato l’intero contesto relativo alla protezione dei dati personali ad esclusivo favore delle esigenze di mercato e della digital economy, nel turbine di consolidare una posizione forte dell’Europa in ambito digitale.

Restiamo comunque in attesa della versione finale come annunciato nel comunicato stampa.