DSA – DMA : deux piliers de la stratégie numérique européenne.

DSA – DMA: due pilastri della strategia digitale europea.

Osservatorio Legale n. 46 – Aprile 2022

DSA – DMA: due pilastri della strategia digitale europeaDalla conclusione dell'accordo politico nella notte tra il 22 e il 23 aprile, il DSA (Digital Services Act) è stato oggetto di numerosi commenti nel mondo digitale.

Questa normativa sui servizi digitali è infatti, insieme alla normativa sui mercati digitali (Digital Markets Act), il cuore del sistema europeo presentato dalla Commissione Europea il 15 dicembre 2020.

L'obiettivo di questa strategia è creare condizioni di parità e rendere le piattaforme online più responsabili dei contenuti che pubblicano.

In particolare, la DSA mira a rendere l'ambiente digitale più trasparente e sicuro definendo le responsabilità dei fornitori di servizi digitali.

Integrerà la direttiva europea sul commercio elettronico e altri testi come il regolamento "platform to business", nonché disposizioni settoriali specifiche che regolano, ad esempio, la moderazione dei discorsi d'odio online, del terrorismo, della discriminazione o del diritto d'autore.

Il DSA si applicherà a piattaforme quali motori di ricerca, social media o piattaforme di e-commerce. 

Questo testo è stato oggetto di numerosi dibattiti e pressioni, sia da parte della società civile, che ne rivendicava un ambito di applicazione sufficientemente ampio, sia da parte degli attori dell'economia digitale, le cui richieste andavano nella direzione opposta.

In particolare, si è posta la questione della portata della regolamentazione dei "dark pattern" e di altri meccanismi volti a influenzare il comportamento dei visitatori (vedere la nostra lettera n. 45).

L'accordo politico raggiunto sembra trovare un equilibrio tra il controllo di un'economia di piattaforma ipercentralizzata da un lato e il rispetto dei diritti fondamentali, della libertà di espressione e della non discriminazione degli individui dall'altro.

In particolare, sono degni di nota i seguenti elementi:

  • Un meccanismo di ricorso dovrebbe consentire alle persone che hanno individuato contenuti potenzialmente illegali di ottenere una risposta dall'host, secondo una procedura trasparente e senza trasformare quest'ultimo in ausiliari della polizia.
  • La pubblicità mirata sarà limitata e non saranno utilizzati dati sensibili degli utenti.
  • Saranno vietati anche i dark pattern: l'inclusione dei cookie in questo divieto è incerta.
  • Un meccanismo di risposta alle crisi, introdotto nel contesto della guerra in Ucraina, consente alla Commissione di dichiarare lo stato di emergenza digitale in consultazione con le autorità di regolamentazione nazionali.

Si noti che queste misure si applicano alle piattaforme e pertanto lasciano invariata la situazione per quanto riguarda i siti web in generale.

Questi restano comunque soggetti alle disposizioni del GDPR e della direttiva europea sulle comunicazioni elettroniche.

Il DMA integra la strategia digitale prendendo di mira specificamente i "controllori di accesso" nei mercati digitali, o "gatekeeper". che hanno una forte posizione economica nell'Unione Europea e che collegano un'ampia base di utenti a un gran numero di aziende.

Il 25 marzo è stato raggiunto anche un accordo politico su questo testo, che ha chiarito l'ambito di applicazione del DMA: il concetto comprende i mercati digitali, gli app store, i motori di ricerca, i social network, i servizi cloud, i servizi pubblicitari, gli assistenti vocali e i browser web.

L'obiettivo del DMA è garantire che queste piattaforme si comportino correttamente online.

Ad esempio, dovranno garantire l'interoperabilità delle funzionalità di base dei loro servizi di messaggistica istantanea.

Inoltre, non potranno più:

  • Promuovere i propri prodotti o servizi a scapito di quelli altrui (autoreferenzialità)
  • Riutilizzare i dati privati raccolti durante un servizio per gli scopi di un altro servizio
  • Stabilire condizioni ingiuste per gli utenti professionali
  • Preinstallare determinate applicazioni software
  • Richiedere agli sviluppatori di app di utilizzare determinati servizi (ad esempio, sistemi di pagamento o provider di identità) da elencare negli app store

Tuttavia, vale la pena sottolineare le preoccupazioni espresse da allora da oltre 40 rappresentanti del settore della concorrenza e della protezione dei dati: nella settimana del 21 aprile hanno pubblicato una lettera in cui spiegano i loro timori riguardo a un testo troppo vago, che consentirebbe alle aziende interessate di combinare tutti i dati in loro possesso utilizzando un unico consenso, mentre il GDPR richiede una base giuridica per ogni tipo di trattamento effettuato.

Il DMA, come il DSA, non è ancora definitivo: deve essere approvato in seduta plenaria dal Parlamento europeo prima di essere adottato.

Nel frattempo, e vista la posta in gioco, l'Europa non perde tempo: pare che stia pianificando di aprire un ufficio a San Francisco per interagire con i giganti della tecnologia della Silicon Valley, le stesse aziende che saranno sottoposte a rigidi controlli in base alle nuove norme digitali.

E anche

Francia:

  • Uno studio pubblicato a metà aprile dalla scuola di giornalismo Sciences Po indica che 184 siti della pubblica amministrazione francese utilizzano Google Analytics, nonostante le implicazioni evidenziate dalla CNIL e dalle sue controparti in merito ai trasferimenti verso gli Stati Uniti.

Tra questi siti rientrano quelli del Consiglio di Stato, della dogana e della presidenza.

  • La CNIL pubblica risorse sull'intelligenza artificiale per diversi pubblici : per i professionisti, un promemoria dei principi, delle posizioni della CNIL e una guida all'autovalutazione; per il grande pubblico, risorse per comprendere meglio la questione; infine, per gli specialisti, informazioni e studi riguardanti le problematiche e lo stato dell'arte.
  • All'inizio di aprile, la CNIL ha modificato le sue procedure repressive e ha creato una procedura semplificata per i casi meno complessi: nessuna riunione del collegio o sessione pubblica, salvo richiesta dell'organizzazione interessata.

Le sanzioni che possono essere imposte in questo contesto sono limitate: avvertimenti, multe fino a 20.000 euro e un'ingiunzione con una penale limitata a 100 euro per ogni giorno di ritardo.

Tali sanzioni non vengono rese pubbliche.

  • Il 15 aprile 2022, il comitato ristretto della CNIL ha emesso un Multa da 1,5 milioni di euro a Dedalus Biologie per le falle di sicurezza che hanno portato alla fuga di dati medici di quasi 500.000 persone.

Durante le operazioni di migrazione del software sono state individuate carenze di sicurezza tecniche e organizzative.

Europa:

La Commissione europea ha lanciato il suo proposta per uno spazio europeo dei dati sanitari (EHDS).

La proposta mira sia a facilitare l'accesso dei cittadini ai propri dati sanitari in formato elettronico sia a condividerli con altri professionisti sanitari all'interno dell'UE, consentendo nel contempo l'accesso a tali dati, a condizioni rigorose, a ricercatori, innovatori, istituzioni pubbliche o aziende.

Ogni Stato membro dovrà designare un'autorità sanitaria digitale che parteciperà a un'infrastruttura digitale transfrontaliera (MyHealth@EU).

Comitato europeo per la protezione dei dati (EDPB)

  • Il 6 aprile 2022, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato una dichiarazione sul progetto di quadro transatlantico sulla protezione dei dati.

Questa dichiarazione fa seguito all'accordo di principio tra la Commissione europea e gli Stati Uniti annunciato il 25 marzo 2022.

Il Comitato europeo per la protezione dei dati sottolinea che il presente annuncio non costituisce un quadro giuridico su cui gli esportatori di dati possono basare i loro trasferimenti.

Devono continuare ad attuare le azioni necessarie per conformarsi, in particolare, alla sentenza Schrems II della Corte di giustizia dell'Unione europea.

  • Il Comitato europeo per la protezione dei dati (EDPB) ha inoltre pubblicato il 28 aprile una posizione comune riguardante la cooperazione tra le autorità di protezione dei dati in materia di controllo conformità al GDPR.

Il documento conferma la volontà delle autorità di protezione dei dati di rafforzare la loro cooperazione individuando questioni transfrontaliere di importanza strategica, promuovendo indagini congiunte, scambi di informazioni e migliorando alcune norme procedurali.

Garante europeo della protezione dei dati (GEPD)

IL Garante europeo della protezione dei dati (GEPD) organizza una conferenza a Bruxelles il 16 e 17 giugno incentrata sulla conformità al GDPR nel mondo digitale.

CPDP

Da segnalare anche la conferenza accademica annuale CPDP (Computer, Privacy e Protezione dei Dati), posticipata quest'anno al 23-25 maggio. Il programma è strutturato attorno al tema “L’era delle macchine intelligenti”.

Parlamento europeo

Il 19 aprile, il Commissione d'inchiesta Pegasus Il Parlamento europeo ha iniziato i suoi lavori.

La commissione ha dodici mesi di tempo per preparare il suo rapporto sullo spyware utilizzato da diversi governi per spiare numerose personalità pubbliche, politici, giornalisti e attivisti.

Corte di giustizia dell'Unione europea

Due tappe importanti della Corte di giustizia dell'Unione europea sono stati pubblicati il mese scorso:

  • Il 5 aprile la Corte ha confermato la propria giurisprudenza secondo cui i dati delle comunicazioni elettroniche (compresi i dati relativi all'ubicazione) non possono essere conservati in modo generale e indiscriminato per combattere reati gravi.
  • Il 28 aprile la Corte ha riconosciuto esplicitamente che le associazioni di tutela dei consumatori possono intentare azioni rappresentative contro le violazioni della protezione dei dati personali, indipendentemente dall'effettiva violazione del diritto alla protezione dei dati dell'interessato e in assenza di un mandato in tal senso.

L'Autorità spagnola per la protezione dei dati ha imposto una sanzione di 1.500 euro a chi ha installato una telecamera di videosorveglianza rivolta verso la pubblica via e nei pressi di abitazioni private, senza un cartello informativo e in violazione degli articoli 5(1)(c) e 13 del GDPR.

L'autorità olandese per la protezione dei dati ha multato il Ministero degli Affari Esteri per 565.000 euro per misure di sicurezza insufficienti e mancanza di informazioni adeguate per le persone interessate nel contesto delle domande di visto.

L'autorità ungherese per la protezione dei dati ha multato una banca di 670.000 euro per l'uso illegale dell'intelligenza artificiale.La banca ha effettuato analisi automatiche delle registrazioni audio del suo servizio clienti.

L'autorità danese per la protezione dei dati ha multato Danske Bank per 1.345.000 euro per non aver rispettato le procedure di conservazione e cancellazione dei dati. in oltre 400 sistemi informatici che coinvolgono diversi milioni di persone. Il caso è anche oggetto di un'indagine della polizia.

In Belgio, l'autorità per la protezione dei dati ha imposto una multa di 200.000 euro all'aeroporto di Bruxelles Zaventem e di 100.000 euro all'aeroporto di Bruxelles Sud Charleroi. per i controlli della temperatura dei passeggeri effettuati nell'ambito della lotta contro il COVID-19 senza una valida base giuridica.

Internazionale:

Ci sono preoccupazioni circa le capacità di ascolto e registrazione degli smart speaker.

Uno studio accademico pubblicato alla fine di aprile descrive in dettaglio l'utilizzo da parte di Amazon dei dati raccolti da Alexa per scopi pubblicitari mirati e la valutazione di questi dati, che vengono rivenduti a un prezzo trenta volte superiore rispetto ad altri dati.

A metà aprile, il Commissario irlandese per i diritti umani ha espresso le stesse riserve al Ministro della Giustizia, questa volta riguardo al riutilizzo di questi dati nel contesto delle indagini di polizia.

Il 21 aprile, il Segretario di Stato americano Gina M. Raimondo ha rilasciato una dichiarazione sulla creazione del “Global CBPR Forum”.

Questo forum ha lo scopo di facilitare il trasferimento di dati personali e attività commerciali tra Stati Uniti, Canada, Giappone, Repubblica di Corea, Filippine, Singapore e Taiwan.

Si noti che le CBPR (Cross Border Privacy Rules) esistono da circa dieci anni e le aziende certificate si trovano principalmente negli Stati Uniti.

L'OCSE intende sviluppare un quadro per l'accesso affidabile dei governi ai dati del settore privato.

Questo tema è una delle priorità dell'organizzazione internazionale per il 2022, insieme alla localizzazione dei dati e ai trasferimenti internazionali di dati personali.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT