Lo scorso aprile, il Parlamento europeo ha approvato il Data Governance Act (DGA), il primo pillar della strategia digitale europea. Si tratta del primo regolamento sui dati (non solo personali) che ha ricevuto semaforo verde nel contesto della strategia sui dati dell’UE finalizzata a creare uno spazio digitale europeo per la loro condivisione. Il DGA verrà messo a confronto con il Data Act (DA).
La strategia europea in tema di dati ha l’obiettivo di permettere all’UE di dominare in una società data driven, fondata sui dati.
La realizzazione di un mercato unico dei dati permetterà a questi ultimi la libera circolazione nell’ambito dell’UE e in tutti i settori, a beneficio delle aziende, dei ricercatori e delle pubbliche amministrazioni.
Di recente è entrata nel vivo la normativa europea in materia di servizi digitali. Il pacchetto normativo relativo alla legge sui servizi digitali riguarda DSA e DMA.
Il Digital Markets Act (DMA) rappresenta il nuovo regolamento europeo sui mercati digitali, approvato dal Parlamento Europeo il 5 luglio 2022 insieme al Digital Services Act (DSA).
Il DSA è il regolamento sui servizi digitali. Le due leggi, DSA e DMA, vanno a comporre insieme il Digital Services Package, che entrerà in vigore fra alcuni mesi.
Il mercato unico dei dati nella Ue
L’UE sta creando un mercato unico per i dati al cui interno questi potranno circolare in maniera trans-settoriale, a beneficio di tutti. Inoltre garantirà il pieno rispetto delle norme europee (tutela della privacy, protezione dei dati e diritto alla concorrenza).
Le norme riferite all’accesso ai dati e al loro uso saranno “eque, pratiche e chiare”, secondo Anna Cataleta, Partner senior di Partners4Innovation (P4I).
Gli utenti godranno infine del pieno controllo dei propri dati; così l’UE diventerà una Data economy, un’economia sicura e dinamica, basata sui dati.
Data Governance Act (DGA): ambiti, obblighi e a chi si applica
Il Data Governance Act ha tre capisaldi:
- riuso di dati protetti detenuti da enti pubblici;
- intermediazione dei dati (data sharing);
- altruismo dei dati.
All’art. 1, il Data Governance Act stabilisce le condizioni per il riuso in Ue di dati (personali e non personali) protetti, detenuti da enti pubblici. Delinea inoltre un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati.
Tratteggia anche un quadro per la registrazione delle entità che raccolgono e trattano i dati (personali e non personali) messi a disposizione dagli interessati per finalità altruistiche.
Offrono un quadro per l’istituzione di un comitato europeo per l’innovazione in tema di dati a sostegno della Commissione europea.
I dati protetti per motivi di riservatezza commerciale, statistica, protezione di diritti di proprietà intellettuale di terzi, protezione dei dati personali nella misura in cui tali dati non rientrano nell’ambito di applicazione della direttiva (UE) 2019/1024 (art. 1, p).
A chi si applica il DGA
Il DGA si applica a enti pubblici, a chi detiene di dati protetti che possono concederne il riutilizzo; fornitori del servizio di intermediazione di dati (c.d. intermediari di dati); organizzazioni per l’altruismo dei dati riconosciute in Ue ovvero entità che raccolgono e mettono a disposizione i dati volontariamente offerti da individui o da imprese per finalità di benessere collettivo.
A chi non si applica il DGA
Il Data Governance Act non si applica ai dati detenuti da: imprese pubbliche; emittenti di servizio pubblico e loro controllate e altri enti che operano nel servizio pubblico radiotelevisivo; istituzioni culturali e istituti di istruzione, quali biblioteche, archivi e musei, orchestre, opere liriche, balletti e teatri, e da istituti di istruzione, in quanto “le opere e gli altri documenti in loro possesso sono prevalentemente coperti da diritti di proprietà intellettuale di terzi”; enti del settore pubblico protetti per motivi di pubblica sicurezza, difesa o sicurezza nazionale.
DGA, l’evento organizzato dall’Osservatorio Big Data & Business Analytics
Il 7 novembre 2023, l’Osservatorio Big Data & Business Analytics ha organizzato un convegno durante il quale sarà presentata la Ricerca annuale 2023. L’evento gratuito, fruibile anche in streaming, avrà carattere di aggiornamento sulla maturità nella valorizzazione dei dati delle aziende italiane, tra i temi trattati ci saranno anche le tematiche legate alla Data economy (European Data Strategy, Data Sharing tra imprese e tra attori pubblici e privati).
DSA e DMA: il pacchetto normativo europeo
La legge sui servizi digitali (DSA) e la legge sui mercati digitali (DMA) rappresentano i due capisaldi di una regolamentazione digitale nel rispetto dei valori europei.
Gli obiettivi fondamentali di DSA e DMA sono rispettivamente due: la creazione di uno spazio digitale più sicuro, prevedibile e affidabile, dove siano assicurati i diritti fondamentali degli utenti (DSA); determinare un equilibrio concorrenziale fra le aziende operanti nel campo digitale e permetterne il loro sano sviluppo (DMA).
Il DSA punta dunque ad aumentare e armonizzare le responsabilità delle piattaforme digitali e dei fornitori di servizi d’informazione, potenziando anche il controllo sulle politiche di contenuto delle piattaforme nell’UE. In caso di violazione delle disposizioni del DSA, le sanzioni previste arrivano fino al 6% del fatturato annuo mondiale del fornitore di servizi intermediari interessato nell’esercizio finanziario precedente (art. 52 DSA).
Il DMA parte da regole per garantire l’equità e la contendibilità dei mercati digitali. In caso di violazione del DMA l’importo delle multe non supera il 10% del fatturato totale del gatekeeper realizzato a livello mondiale nel corso del precedente esercizio finanziario (art. 30 DMA).
Digital Services Act (DSA): a chi si applica e obiettivi
Il DSA vuole agevolare il corretto funzionamento del mercato interno dei servizi intermediari grazie a norme armonizzate verso le piattaforme digitali, comprese le Big Tech). E grazie a maggiori responsabilità sulla pubblicazione di contenuti online. Il principio è che ciò che è vietato offline deve essere illegale anche online),
tenendo insieme l’innovazione e la protezione dei diritti fondamentali degli utenti (art. 1 DSA).
Gli obiettivi del DSA consistono nel fornire uno spazio online più sicuro per utenti e aziende digitali attraverso norme nuove, uniformi e trasparenti.
Occorre inoltre delineare chiari e trasparenti profili di responsabilità per le piattaforme digitali. Bisogna affrontare i fenomeni negativi dell’evoluzione digitale: fake news o disinformazione, hate speech, eCommerce di beni illegali o contraffatti sul web eccetera.
A chi presta servizi intermediari che offrono questi servizi a destinatari stabiliti/residenti in Unione europea, a prescindere dal luogo di stabilimento dei prestatori di tali servizi (art. 2 DSA).
La definizione di servizio intermediario si riferisce invece all’art. 3 (lettera g) del DSA: servizio di semplice trasporto («mere conduit»); memorizzazione temporanea delle informazioni («caching»); memorizzazione delle informazioni («hosting»).
I prestatori di servizi intermediari
I prestatori di servizi intermediari sono provider di accesso a Internet (per esempio Telecom, Vodafone, Infostrada, Fastweb, Eolo), centri di registrazione di nomi a dominio; fornitori di servizi cloud (per esempio Google Cloud, Amazon Web Service), di web hosting (vedi WordPress) e di video hosting (per esempio Youtube, Vimeo); marketplace online (come Amazon), app store (come Google Play Store); social media (come TikTok); piattaforme online di dimensioni molto grandi (Very Large Online Platforms, VLOPs) o motori di ricerca di dimensioni molto grandi (Very Large Search Engines, VLSEs) ovvero piattaforme con più del 10% dei destinatari dei servizi stabiliti/ubicati in Ue (circa 45 milioni di consumatori in Ue). Come la Commissione europea ex art. 33 par. 4 DSA.
Gli obblighi
Gli obblighi imposti dal DSA a questi soggetti si suddividono in base ai diversi obiettivi perseguiti: più trasparenza; meccanismi efficaci di contrasto dei reati; spazio digitale più sicuro per gli utenti.
Digital Markets Act (DMA): obiettivi e a chi si applica
Il Digital Markets Act (DMA) introduce norme armonizzate al fine di assicurare parità di condizioni a tutte le aziende operanti nel digitale in presenza di gatekeeper. Attraverso il contrasto alle pratiche sleali e all’abuso di posizione dominante da parte delle Big Tech sui mercati digitali.
Mercati che devono essere competitivi ed equi (art. 1 DMA). Ecco come: con il divieto delle pratiche sleali delle piattaforme online che detengono la quota maggiore del mercato; permettendo agli utenti commerciali la possibilità di ampliare la possibilità di scelta; fornendo ai consumatori servizi migliori a prezzi più equi; stabilendo diritti e obblighi chiari alle piattaforme online di grandi dimensioni; favorendo l’innovazione e un ambiente di piattaforma online più equo per le startup tecnologiche.
A chi si applica
Il DMA si applica ai servizi di piattaforma di base forniti o offerti dai gatekeeper a utenti commerciali stabiliti nell’Unione o a utenti finali stabiliti o ubicat nell’Unione, indipendentemente dal luogo di stabilimento o di residenza dei gatekeeper e dalla normativa altrimenti applicabile alla fornitura del servizio (art. 1, par. 2 DMA).
Il DMA si applica dunque ai gatekeeper che offrono servizi di piattaforma di base a destinatari stabiliti/situati in Ue.
I gatekeeper
I gatekeeper hanno un impatto rilevante sul mercato interno: forniscono un servizio di piattaforma di base che è un punto di accesso (gateway) importante, per consentire agli utenti commerciali di raggiungere gli utenti finali; detiene posizione consolidata e duratura nell’ambito delle proprie attività o si prevede che acquisisca tale posizione in futuro.
Ai sensi dell’art. 3 par. 2 DMA, si ipotizza che un’azienda possa soddisfare i requisiti di cui all’art. 3 par. 1 (criteri qualitativi) se negli ultimi tre anni ha raggiunto un fatturato annuo nell’Unione europea di almeno 7,5 miliardi di euro in ciascuno dei 3 esercizi finanziari o che la sua capitalizzazione di mercato media sia pari ad almeno 75 miliardi di euro nell’ultimo esercizio finanziario; offre un servizio di piattaforma di base che, nell’ultimo esercizio finanziario, conti almeno 45 milioni di utenti finali attivi su base mensile e almeno 10mila utenti commerciali attivi su base annua stabiliti in UE; se le soglie sono raggiunte in ognuno degli ultimi tre esercizi finanziari.
Per esempio Facebook non può combinare i dati personali ottenuti dal suo servizio di social network con quelli ottenuti da altri suoi servizi, come Facebook Dating o Facebook Marketplace, senza il consenso dei suoi utenti finali.