Pubblicato il parere dell’EDPS sul Digital Markets Act ed il  Digital Services Act

di  Pietro Maria Mascolo -

Abstract: L’European Data Protection Supervisor (“EDPS”) ha di recente pubblicato le proprie valutazioni in merito alle proposte di regolamento della Commissione Europea concernenti il Digital Services Act (“DSA”) ed il Digital Markets Act (“DMA”) del 15 dicembre 2020. Entrambe le proposte normative in esame si inseriscono nella c.d. “strategia europea per i dati” annunciata nel 2020 e si prefiggono un duplice obiettivo: creare uno spazio digitale sicuro in cui i diritti fondamentali di tutti gli utenti risultino adeguatamente protetti; stabilire condizioni di parità per promuovere l’innovazione, la crescita e la competitività nel mercato unico europeo.

La proposta di Digital Services Act

Per quanto concerne il Digital Services Act, l’EDPS, pur accogliendo favorevolmente la proposta della Commissione, non perde comunque l’occasione per raccomandare l’implementazione di una serie di misure aggiuntive volte a meglio tutelare i diritti dei soggetti sottoposti a trattamento dati (“interessati”), in particolare per quanto riguarda la moderazione dei contenuti online, le attività di targeting e, più in generale, in relazione ai trattamenti che possono aver luogo nell’ambito dei social media e dei marketplace.

In dettaglio, con riferimento alla sussistente necessità di prevedere l’applicazione di una serie di misure volte alla moderazione dei contenuti online e alla ricerca di eventuali condotte illecite poste in essere sulle piattaforme, l’EDPS precisa che tali finalità debbano essere perseguite nel rispetto dei principi di minimizzazione dei dati personali e, in più, compatibilmente con quanto richiesto in materia di privacy by design e privacy by default. Ne deriva, quindi, l’opportunità di incoraggiare gli operatori ad adottare soluzioni di monitoraggio che, ove possibile, escludano il trattamento dei dati personali degli utenti.

Nella medesima ottica, nonché al fine di garantire il principio della certezza del diritto, il DSA dovrebbe specificare in quali circostanze gli sforzi per contrastare eventuali fenomeni illegali possano legittimare il trattamento dei dati personali e, soprattutto, dovrebbe altresì precisarsi al ricorrere di quali circostanze potrebbe legittimarsi l’utilizzo di sistemi automatizzati e/o tecniche di profilazione in relazione alle medesime finalità; utilizzo che, ribadisce l’Autorità, deve essere svolto garantendo il rispetto delle prescrizioni di cui al GDPR in materia di processi decisionali automatizzati che possono incidere sui diritti e le libertà degli interessati, sottolineando, in più, come nel caso di specie risulterebbe coinvolto anche il fondamentale diritto all’espressione.

Per quanto invece attiene al fenomeno della c.d. pubblicità targettizzata, l’EDPS, alla luce dei rischi per gli interessati connessi a tali tipologie di trattamento, invita il legislatore comunitario a spingersi oltre generici obblighi di trasparenza per gli operatori, prevedendo una serie di ulteriori misure quali, a titolo esemplificativo e non esaustivo: i) l’introduzione graduale di un divieto di pubblicità online targettizzata basata sul tracciamento pervasivo; ii) restrizioni sui tipi di dati che possono essere trattati a tal fine; iii) la previsione di determinati criteri legittimanti l’adozione di annunci targettizzati; iv) l’indicazione circa le categorie di dati che possono essere trasferite agli inserzionisti o a soggetti terzi che beneficiano della pubblicità mirata; v) l’obbligo di informare gli interessati se l’annuncio è frutto dell’adozione di un sistema di analisi automatizzato

Concludendo il proprio parere, l’EDPS raccomanda l’individuazione di una base giuridica esplicita ed esaustiva per agevolare la cooperazione e lo scambio di informazioni pertinenti tra le autorità di controllo, ciascuna agendo nell’ambito delle rispettive aree di competenza, così da garantire una cooperazione istituzionalizzata e strutturata che coinvolga le autorità per la protezione dei dati personali, le autorità per la protezione dei consumatori e le autorità per la tutela della concorrenza.

La proposta di Digital Markets Act

Fornendo la propria analisi circa la proposta di DMA, l’EDPS, in primo luogo, auspica che l’uguaglianza dei mercati cui aspira tale atto normativo possa tradursi, altresì, in un’equa tutela sulle operazioni di trattamento dati svolte nell’ambito dello scenario comunitario.

In buona sostanza, l’obiettivo di promuovere mercati digitali competitivi dovrebbe parallelamente comportare la facoltà, per gli utenti, di godere di una più ampia scelta di piattaforme e servizi online da utilizzare e, per l’effetto, di un maggiore e più efficace controllo sui propri dati personali.

A tal fine, l’Autorità suggerisce l’implementazione di misure volte ad assicurare agli interessati soluzioni di facile e rapida accessibilità per la gestione del consenso e per la disinstallazione di applicazioni e software preinstallati.

L’EDPS rappresenta, inoltre, la necessità: i) di un coordinamento tra il concetto di portabilità dei dati (e del relativo obbligo per i titolari di assicurarne l’esercizio a fronte di una richiesta da parte degli interessati) di cui alla proposta in esame e il medesimo “diritto” che trova la propria fonte all’interno del GDPR; ii) di adottare efficaci tecniche di anonimizzazione allorché si condividano i dati di query, click e visualizzazione generati dagli utenti finali sui motori di ricerca online.

Da ultimo, al fine di assicurare l’efficacia della proposta e la corretta collaborazione tra le autorità coinvolte, l’EDPS invita il legislatore comunitario a valutare l’introduzione di requisiti di interoperabilità minima per i grandi “player” online, al fine di promuovere lo sviluppo di standard tecnici a livello europeo che risultino conformi alla normativa europea. Nella medesima ottica, l’Autorità suggerisce che il Digital Markets Advisory Committee possa includere al suo interno rappresentanti dell’EDPS, con l’intento di garantire un’istituzionalizzazione ed una cooperazione strutturata tra le autorità di controllo competenti.

Conclusione

Dalla breve analisi svolta si evince chiaramente come l’EDPS, pur accogliendo favorevolmente entrambe le proposte normative in esame, in forza delle proprie peculiari competenze, abbia inteso rimarcare l’importanza di prevedere, ab origine, misure adeguatamente efficaci per la tutela dei diritti personali dei cittadini comunitari. Qualunque sforzo verso un mercato unico dei dati ed un’efficiente strutturazione dei servizi digitali non può infatti esimersi dalla previsioni di regole coerenti con le prescrizioni del GDPR e, ove possibile, migliorative delle garanzie che tale regolamento si è prefissato di perseguire. Delle regole chiare ed uniformi risulterebbero, infatti, la chiave per un effettivo controllo degli interessati sui propri dati personali che sempre più popolano il mondo digitale.