La Commissione europea (la “Commissione”), lo scorso 1° luglio, ha comunicato a Meta le conclusioni preliminari della propria indagine secondo cui il modello pubblicitario “Pay or Consent” non risulta conforme al Regolamento (UE) 2022/1925, noto come Digital Market Act (“DMA”). Tale modello prevede che il titolare del trattamento offra agli interessati due opzioni per accedere ai propri servizi online: acconsentire al trattamento dei propri dati personali per una specifica finalità, oppure pagare una tariffa e ottenere l’accesso al servizio senza che i propri dati siano trattati per tale finalità. Secondo la Commissione, la scelta binaria imposta agli utenti li costringe ad acconsentire alla combinazione dei loro dati personali senza offrire loro la possibilità di fruire di una versione meno personalizzata, ma equivalente, dei social network di Meta. Pertanto, il modello pubblicitario in questione non solo contrasta con i requisiti di consenso valido previsti dal Regolamento (UE) 679/2016 (“GDPR”), come recentemente affermato dal Parere 08/2024 dell’European Data Protection Board (“EDPB”), ma viola anche le disposizioni del DMA (con riguardo ai temi privacy connessi al modello “Pay or Consent” si rimanda ad un nostro precedente contributo, disponibile qui, in inglese). Ma quali sono le conclusioni preliminari a cui è giunta la Commissione e quali potrebbero essere le conseguenze per Meta? Il quadro normativo di riferimento Prima di entrare nel merito delle conclusioni della Commissione, è opportuno inquadrare brevemente la normativa di riferimento. Il DMA è un regolamento europeo volto a creare condizioni di parità nei mercati digitali, promuovendo innovazione, crescita e competitività, sia all’interno del mercato unico europeo sia a livello globale. A tal fine, il DMA stabilisce criteri oggettivi chiaramente definiti per identificare i c.d. gatekeeper. I gatekeeper sono definiti come “fornitori di servizi di piattaforma di base”, ossia quei servizi di uso comune e quotidiano, come servizi di intermediazione online, motori di ricerca, social network, piattaforme di condivisione video, servizi di comunicazione interpersonale indipendente dal numero, sistemi operativi, browser, assistenti virtuali, cloud computing e servizi pubblicitari online. Tuttavia, il fatto che un servizio digitale rientri nella definizione di servizio di piattaforma di base, non implica necessariamente che il suo fornitore sia un gatekeeper. Come previsto dall’art. 3, paragrafi 1 e 2 del DMA, si classificano tali solo quei fornitori di piattaforme di base che: In altri termini, i gatekeeper possono qualificarsi come “intermediari” tra coloro che accedono ad internet (i.e. gli utenti finali) e coloro che offrono contenuti e servizi di rete (i.e. gli operatori commerciali). Essi esercitano il controllo dell’informazione e rappresentano un punto di accesso (gateway) significativo tra imprese e consumatori in relazione ai servizi di piattaforma di base. Ai sensi del DMA, la Commissione ha il potere di designare le piattaforme digitali come “gatekeeper” ogniqualvolta il fornitore raggiunga le soglie sopra menzionate. Ad oggi, la Commissione ha designato sette gatekeeper: Alphabet/Google, Amazon, Meta, Apple, ByteDance, Microsoft e, da ultimo, Booking. Si tratta, quindi, delle più grandi ed influenti aziende digitali, le quali, grazie alla posizione di rilievo che occupano nel mercato, godono di significativi vantaggi competitivi rispetto ai concorrenti di dimensioni minori. Per contrastare tali tendenze, il DMA impone una serie di obblighi e divieti che i gatekeepers devono rispettare, quali, a mero titolo esemplificativo, il divieto – salvo consenso – di trattare i dati personali degli utenti per pubblicità mirata, e l’obbligo di fornire informazioni sul numero di utenti che visitano le loro piattaforme per determinare se la piattaforma stessa può essere identificata come “gatekeeper”. Tra gli obblighi previsti dal DMA, e ai fini che qui interessano, rileva particolarmente quanto previsto dal paragrafo 2 dell’art. 5 del DMA. Tale norma prevede che i gatekeeper debbano ottenere il consenso degli utenti per: La norma aggiunge che, qualora l’utente finale abbia negato o revocato il proprio consenso, il gatekeeper non potrà ripetere la sua richiesta di consenso per la medesima finalità più di una volta nell’arco di un anno. Le contestazioni della Commissione Le conclusioni preliminari della Commissione, si inseriscono nell’ambito del procedimento avviato lo scorso 25 marzo nei confronti di Meta per verificare la conformità dell’offerta binaria del modello “Pay or Consent” all’art. 5, paragrafo 2, del DMA, ai sensi del quale i gatekeeper hanno l’obbligo di ottenere il consenso degli utenti per combinare o utilizzare in modo incrociato i loro dati personali tra i diversi servizi offerti della piattaforma principale. Nello specifico, nel novembre 2023, attraverso tale modello Meta aveva imposto agli utenti europei di Facebook e Instagram di scegliere tra (i) un abbonamento a pagamento, che prevedeva una versione dei social network priva di annunci pubblicitari, o (ii) l’accesso gratuito a una versione con annunci pubblicitari personalizzati. La Commissione, in via preliminare, ha ritenuto che la scelta binaria imposta dal modello “Pay or Consent” non soddisfi i requisiti necessari posti dall’art. 5, paragrafo 2, del DMA, in quanto non permette agli utenti né di optare per un servizio che utilizzi un quantitativo inferiore dei loro dati personali ma che sia comunque equivalente al servizio che prevede gli annunci pubblicitari personalizzati, né di esercitare il loro diritto di acconsentire liberamente alla combinazione dei loro dati personali. La Commissione ha ribadito che, per garantire il rispetto del DMA, gli utenti che non prestano il consenso dovrebbero comunque avere accesso a un servizio equivalente che utilizza un quantitativo inferiore dei loro dati personali, in questo specifico caso ai fini della personalizzazione degli annunci pubblicitari. In linea con quanto affermato dall’EDPB nel Parere 08/2024, mancherebbe, dunque, anche in questo caso una terza alternativa c.d. equivalente, ossia una versione del servizio che non richieda necessariamente il consenso al trattamento dei dati personali. Questa mancanza è contraria ai requisiti posti dal GDPR per considerare valido il consenso e, al contempo, contravviene al DMA. In altri termini, la Commissione ritiene che la scelta binaria del modello “Pay or Consent” non offra una reale alternativa per gli utenti che non prestano il consenso, fallendo così nell’obbiettivo di prevenire l’accumulo di dati personali da parte dei gatekeeper. Le conclusioni preliminari della Commissione trovano fondamento nei Considerando 36 e 37 del DMA. Il Considerando 36 stabilisce che i gatekeeper possono raccogliere i dati personali degli utenti finali sia direttamente sia indirettamente, tramite siti web e applicazioni di terze parti. Questo conferisce loro numerosi vantaggi in termini di accumulo di dati, creando barriere all’ingresso per altri operatori. Per evitare di compromettere la contendibilità dei servizi di piattaforma di base, i gatekeeper dovrebbero consentire agli utenti finali di scegliere liberamente se seguire tali pratiche di trattamento dei dati, offrendo un’alternativa meno personalizzata ma equivalente, senza subordinare l’uso del servizio di piattaforma di base o di alcune sue funzionalità al consenso dell’utente finale. Il Considerando 37 chiarisce ulteriormente che l’alternativa meno personalizzata non dovrebbe essere penalizzante o di qualità inferiore rispetto al servizio offerto a coloro che prestano il consenso. Pertanto, i gatekeeper devono informare l’utente finale che, sebbene la mancanza di consenso determini la fruizione di un’offerta meno personalizzata, il servizio di piattaforma di base rimarrà invariato e nessuna funzionalità sarà rimossa. Infine, il Considerando 37, conclude ribadendo che il DMA lascia impregiudicato il GDPR, confermando che tutte le disposizioni ivi previste rimangono pienamente valide ed applicabili, inclusi i requisiti relativi alla validità del consenso. Le implicazioni del procedimento per Meta A seguito delle conclusioni preliminari della Commissione, Meta ha ora poco meno di un anno per esercitare i propri diritti difensivi prima che il procedimento si concluda definitivamente nel marzo 2025. Le potenziali conseguenze per Meta includono sanzioni finanziarie significative e obblighi di adeguamento dei propri modelli di business per conformarsi alle normative europee. Inoltre, Meta potrebbe essere costretta a modificare le proprie pratiche commerciali per garantire agli utenti un accesso equo e trasparente ai propri servizi, senza costringerli a rinunciare alla protezione dei propri dati personali. Se il parere preliminare della Commissione fosse confermato e l’inosservanza dell’art. 5, paragrafo 2, del DMA venisse accertata, Meta potrebbe essere sanzionata con un’ammenda fino al 10% del suo fatturato mondiale totale (art. 30, paragrafo 1, del DMA). In caso di recidiva, ovvero se un’infrazione identica o simile relativa al medesimo servizio di piattaforma di base venisse constatata negli otto anni precedenti, l’ammenda potrebbe raggiungere fino al 20% del fatturato mondiale totale (art. 30, paragrafo 2 del DMA). Inoltre, in caso di violazioni sistematiche, la Commissione potrebbe imporre rimedi comportamentali o strutturali aggiuntivi, come il divieto di avviare una concentrazione ai sensi dell’art. 3 del Regolamento (UE) 139/2004[1]. Conclusioni L'analisi del modello ”Pay or Consent” alla luce del DMA mette in evidenza come l'intersezione tra normativa privacy e tutela dei consumatori (i.e. gli utenti finali) sia cruciale per la conformità delle pratiche commerciali delle grandi piattaforme digitali. L’EDPB e la Commissione stanno progressivamente limitando l’utilizzo del modello “Pay or Consent”, esigendo un livello di trasparenza sempre maggiore ed evidenziando come tale modello possa negativamente influire sia sulla normativa in materia di protezione dei dati personali che sul DMA, causando, in ogni caso, un pregiudizio per gli interessati/utenti finali. Meta dovrà, pertanto, dimostrare che il modello di business adottato sia conforme alla normativa europea vigente. In caso contrario, il noto gatekeeper sarà obbligato a rivedere le proprie prassi, esplorando nuove modalità di interazione con gli utenti e implementando un’”alternativa equivalente” che rispetti non solo le disposizioni del DMA, ma anche i principi stabiliti dal GDPR. Ciò significa garantire agli utenti una scelta che sia effettivamente libera e non penalizzante, fornendo informazioni chiare e dettagliate. L’utente non deve in alcun modo essere influenzato da condizioni imposte. Qualunque sia l’esito definitivo del procedimento, il confronto tra Meta e la Commissione avrà ripercussioni enormi, impattanti per tutti i gatekeeper e che, potenzialmente, potrebbero estendersi anche oltre i confini europei. [1] Ai sensi di tale Regolamento si ha concentrazione quando avviene una modifica duratura del controllo a seguito (i) della fusione di duo o più imprese (o parti di esse) precedentemente indipendenti, oppure (ii) dell’acquisizione, da parte di una o più persone che già detengono il controllo di almeno un’altra impresa, o da parte di una o più imprese, sia tramite acquisto di partecipazioni nel capitale o di elementi del patrimonio, che tramite contratto o qualsiasi altro mezzo, del controllo diretto o indiretto dell’insieme o di parti di una o più altre imprese.