Le Linee guida congiunte della Commissione Europea e del Comitato Europeo per la protezione dei dati personali (EDPB) affrontano l’interazione tra il Regolamento (UE) 2022/1925 relativo a mercati equi e contendibili nel settore digitale (Digital Markets Act, DMA) e il Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR).
Sebbene perseguano scopi distinti – il DMA mira a garantire mercati digitali equi e contendibili affrontando i vantaggi basati sui dati dei gatekeepers, e il GDPR mira a proteggere le persone fisiche rispetto al trattamento dei dati personali – i due quadri normativi sono complementari negli obiettivi e nelle protezioni fornite agli individui. La conformità agli obblighi del GDPR rafforza l’obiettivo del DMA di regolamentare i vantaggi dei gatekeepers derivanti dai dati. Le Linee Guida si concentrano su specifiche disposizioni del DMA che presentano significative sovrapposizioni con le norme sostanziali del GDPR, necessitando di chiarimenti per garantire un’interpretazione e applicazione coerente . I destinatari primari sono i gatekeepers – i.e. le imprese che forniscono servizi di piattaforma di base come designati dal DMA -, i loro utenti commerciali e gli utenti finali. Scelta e Consenso dell’Utente Finale (Articolo 5(2) DMA) L’Articolo 5(2) del DMA stabilisce un divieto per i gatekeepers di effettuare determinate operazioni di trattamento dei dati senza il valido consenso degli utenti finali, come definito dal GDPR. Questa disposizione mira a contrastare la raccolta indiscriminata di dati che ostacola la contendibilità del mercato. I divieti si applicano a quattro specifiche attività di trattamento da parte dei gatekeepers: trattamento di dati personali degli utenti finali che utilizzano servizi di terze parti che si avvalgono dei servizi di piattaforma di base (CPS) del gatekeeper, ai fini della fornitura di servizi di pubblicità online; combinazione di dati personali dal CPS pertinente con dati provenienti da qualsiasi altro CPS o servizio fornito dal gatekeeper, o con dati personali di servizi di terze parti; uso incrociato di dati personali dal CPS pertinente in altri servizi forniti separatamente dal gatekeeper (inclusi altri CPS) e viceversa; accesso (sign in) automatico degli utenti finali ad altri servizi del gatekeeper allo scopo di incrociare dati personali. Per superare tali divieti, sono richieste due condizioni cumulative : il gatekeeper deve aver presentato all’utente finale una scelta specifica tra prestare il proprio consenso o meno al trattamento; l’utente finale deve aver fornito un consenso valido e quindi con i requisiti richiesti ai sensi degli Articoli 4(11) e 7 del GDPR. Scelta Specifica e Servizio Equivalente La scelta specifica impone al gatekeeper di offrire un servizio alternativo meno personalizzato ma equivalente agli utenti che non prestano il consenso alla versione dei servizi con pubblicità personalizzata. Questo servizio alternativo non deve essere di qualità inferiore né presentare funzionalità soppresse, a meno che tale differenza sia una conseguenza diretta dell’impossibilità di trattare i dati in questione. Per garantire l’equivalenza, l’alternativa non deve differire in termini di performance, esperienza e condizioni di accesso (ad esempio, se il servizio con consenso è gratuito, il servizio alternativo dovrebbe avere queste stesse caratteristiche). Trattamenti esclusi dall’Articolo 5(2) DMA L’Articolo 5(2) DMA non pregiudica la possibilità per il gatekeeper di trattare dati senza consenso se è necessario per adempiere a un obbligo legale , proteggere interessi vitali , o eseguire un compito di interesse pubblico o esercizio di pubblici poteri , ai sensi dell’Articolo 6(1), lettere (c), (d) o (e) del GDPR. Inoltre, il consenso non è richiesto per l’uso incrociato di dati personali tra un CPS e servizi del gatekeeper che sono forniti insieme o a supporto l’uno dell’altro (purché i dati siano strettamente necessari per fornire tale funzionalità interconnessa). In tali casi, il trattamento deve comunque basarsi su un’ idonea base giuridica del GDPR, quale l’esecuzione di un contratto ex Articolo 6(1)(b) o interesse legittimo ex Articolo 6(1)(f), purché siano rispettate tutte le condizioni e non prevalgano i diritti e le libertà degli interessati. Portabilità dei Dati dell’Utente Finale (Articolo 6(9) DMA) L’Articolo 6(9) DMA stabilisce il diritto alla portabilità dei dati per gli utenti finali e i terzi da essi autorizzati, ampliandone l’ambito rispetto a quanto stabilito dall’Articolo 20 GDPR. In particolare: si applica ai dati forniti dall’utente finale o generati dalla sua attività nel contesto del CPS, indipendentemente dalla base giuridica del trattamento del GDPR. Questo include anche i c.d. on-device data; i gatekeepers forniscano strumenti gratuiti per facilitare l’esercizio effettivo della portabilità, compreso l’accesso continuo e in tempo reale ai dati; l’obbligo si estende ai dati personali di soggetti diversi dall’utente finale inclusi nel dataset richiesto. I gatekeepers devono fornire strumenti per consentire all’utente di escludere tale condivisione di dati; se la portabilità comporta il trasferimento di dati al di fuori del SEE verso un paese terzo che non è coperto dalla decisione di adeguatezza, il gatekeeper deve ottenere il consenso esplicito e specifico dell’utente finale per il trasferimento, informandolo dei possibili rischi ai sensi dell’Articolo 49(1)(a) del GDPR. Diritto di Accesso ai Dati per gli Utenti Commerciali (Articolo 6(10) DMA) L’Articolo 6(10) DMA impone ai gatekeepers di fornire agli utenti commerciali (e ai terzi da essi autorizzati, che agiscono come responsabili del trattamento per conto dell’utente commerciale) l’ accesso gratuito, efficace, di alta qualità, continuo e in tempo reale ai dati (aggregati e non aggregati) generati dagli utenti commerciali e dagli utenti finali che interagiscono con i loro prodotti/servizi tramite il CPS del gatekeeper. In particolare: l’accesso ai dati personali degli utenti finali è consentito solo se i dati sono direttamente connessi all’uso effettuato dagli utenti finali rispetto ai prodotti o servizi dell’utente commerciale, e solo se gli utenti finali hanno espresso il loro consenso; il gatekeeper ha l’obbligo di fornire i meccanismi necessari per consentire agli utenti commerciali di ottenere tale consenso, in linea con l’Articolo 13(5) DMA. Tali meccanismi (tipicamente tramite un’interfaccia online dedicata sul CPS del gatekeeper) devono garantire che il consenso sia valido ai sensi del GDPR e che il processo non sia più oneroso di quello richiesto dal gatekeeper per i propri servizi; il gatekeeper ha l’obbligo legale (Articolo 6(1)(c) GDPR) di concedere l’accesso una volta ottenuto il consenso, ma non è responsabile della validità del consenso ottenuto dall’utente commerciale. La validità del consenso è responsabilità dell’utente commerciale e supervisionata dalle autorità di protezione dei dati competenti. Distribuzione di Software e Applicazioni (Articolo 6(4) DMA) L’Articolo 6(4) DMA richiede ai gatekeepers che forniscono CPS tramite sistemi operativi di consentire l’installazione e l’uso effettivo di applicazioni o app stores di terze parti. In particolare: il gatekeeper deve garantire che le misure implementate per adempiere all’Articolo 6(4) DMA siano conformi alle leggi applicabili, incluso il GDPR e la Direttiva e-Privacy; i gatekeepers possono adottare misure per garantire l’integrità dell’hardware/sistema operativo e la sicurezza degli utenti finali (es. prevenzione di codice dannoso o gestione granulare degli accessi a informazioni sensibili come la posizione), purché tali misure siano strettamente necessarie, proporzionate e giustificate; i gatekeepers (come fornitori di sistemi operativi) e gli sviluppatori di app sono generalmente considerati titolari autonomi ai sensi del GDPR; il gatekeeper non deve imporre misure contrattuali o tecniche che prescrivano come la terza parte debba conformarsi al GDPR. Accesso a Dati Anonimizzati (Articolo 6(11) DMA) e Interoperabilità dei servizi di comunicazione (Articolo 7 DMA) L’Articolo 6(11) stabilisce l’obbligo per i gatekeepers che gestiscono motori di ricerca online di fornire a imprese terze concorrenti l’accesso ai dati relativi a ranking, query, click e view. I dati che costituiscono dati personali devono essere anonimizzati in maniera effettiva, tenendo conto di tutti i mezzi ragionevolmente probabili che il destinatario o terze parti potrebbero utilizzare per re-identificare l’utente. L’obiettivo è massimizzare la qualità e l’utilità del dato per il ricevente, assicurando al contempo un’anonimizzazione efficace. L’Articolo 7 impone ai gatekeepers che offrono servizi di comunicazione interpersonale indipendenti dal numero (NIICS) di offrire l’interoperabilità ai fornitori di servizi alternativi. L’obbligo di interoperabilità richiede che il gatekeeper raccolga e scambi solo i dati personali strettamente necessari per garantire un’interoperabilità efficace, in piena conformità con il GDPR e nello specifico con principio di minimizzazione dei dati. Il livello di sicurezza, inclusa la E2EE (ove applicabile), fornito agli utenti del gatekeeper deve essere preservato attraverso i servizi interoperabili. Il gatekeeper può adottare misure (strettamente necessarie, proporzionate e giustificate) per garantire che i fornitori terzi non mettano in pericolo l’integrità, la sicurezza e la privacy dei suoi servizi. In conclusione La cooperazione e il coordinamento tra la Commissione (esecutore unico del DMA) e le Autorità di controllo della protezione dei dati personali sono essenziali per garantire un’applicazione coerente, efficace e complementare di entrambe le normative, in linea con il principio di leale cooperazione ex Articolo 4(3) TUE. Tale coordinamento è cruciale per evitare il ne bis in idem. La Commissione può consultare le autorità di controllo privacy (incluso l’EDPB) quando un esame sulla conformità al DMA implica anche la verifica della coerenza con il GDPR, e viceversa. Le Linee Guida mirano a rafforzare la certezza del diritto e l’efficacia delle protezioni per gli utenti finali in un panorama normativo complesso.