DMA e DSA, come cambia la disciplina comunitaria sull’e-Commerce
Come l’intero pianeta, a partire dall’inizio del nuovo millennio anche l’Europa ha visto il proprio spazio di mercato profondamente trasformato dall’avvento della platform economy.
Dal semplice “trasloco” online dei circuiti di scambio di beni materiali (e-commerce indiretto) alla più ampia smaterializzazione dei servizi logistici e finanziari (e-commerce diretto), sono infatti moltissimi i cambiamenti avvenuti negli ultimi vent’anni: l’impatto delle tecnologie sui mercati, la diffusione dei sistemi di pagamento elettronici e il commercio digitale nelle sue molteplici articolazioni – B2A, B2B, B2C, C2C – hanno delineato uno scenario complesso e tuttora in costante evoluzione.
I mercati digitali nella normativa europea
Attivandosi in risposta a tali cambiamenti, l’Unione è intervenuta da anni per armonizzare le discipline normative dei diversi Stati membri e imporre principi condivisi a tutela dei consumatori.
Tra le principali fonti possono richiamarsi l’ormai ultraventennale Direttiva sul commercio elettronico (dir. 31/2000, attuata in Italia con il d. lgs. n. 70/2003) e le Direttive n. 770 e 771 del 2019 (rispettivamente dedicate ai “contratti di fornitura di contenuto digitale e di servizi digitali” e ai “contratti di vendita di beni”), nonché naturalmente il GDPR e la Direttiva ePrivacy (Dir. 2002/58) per gli aspetti inerenti al trattamento dei dati personali coinvolti nelle transazioni.
Gli ultimi testi in materia sono il Digital Markets Act, o DMA (Reg. UE 2022/1925) e il Digital Services Act, o DSA (Reg. UE 2022/2065).
Le novità introdotte dal DMA e dal DSA
Proposti nel 2020 allo scopo di aggiornare le regole comunitarie in tema di mercati digitali e favorire l’innovazione nello spazio europeo, ma solo recentemente approvati dal Parlamento UE, i due documenti sono entrati in vigore lo scorso 1° novembre.
Ai fini dell’applicazione del Digital Markets Act la nozione più rilevante è quella di gatekeeper company, che ne rappresenta il principale destinatario.
Per un’impresa tale definizione è desumibile da tre fattori:
- l’impatto esercitato sul mercato comunitario (con un volume di affari di almeno 75 milioni di euro nell’ultimo triennio e un’operatività estesa ad almeno 3 Stati membri);
- la natura delle attività, che devono includere la fornitura di un “core platform service” (in cui rientrano moltissime tipologie di servizi online tra cui intermediazione, ricerca, networking e advertising);
- la sua “durable position” sullo scacchiere commerciale europeo, dimostrabile tramite il volume di utenti gestito negli ultimi 3 anni finanziari.
Le aziende che, in seguito alle necessarie procedure di self-assessment, rispondano a tali criteri dovranno darne comunicazione ed essere assoggettate alle nuove regole, in virtù del loro sempre più rilevante ruolo di mediazione tra fornitori e fruitori di servizi online.
La designazione ufficiale è comunque rimessa al vaglio della Commissione, che a partire dalla primavera 2023 valuterà le submission delle imprese e si pronuncerà entro 45 giorni dalla richiesta.
Un’impresa designata come gatekeeper dovrà far fronte a una serie di nuovi adempimenti, che spaziano dal dovere di garantire l’interoperabilità dei propri servizi ai vincoli sul trattamento dei dati relativi ai clienti; i nuovi obblighi non sostituiscono ma si sommano a quanto già previsto (a garanzia della sicurezza fisica dei prodotti, in materia fiscale ecc.) dalla vigente normativa UE e dai singoli ordinamenti statali.
In caso contrario le aziende rischieranno d’incorrere nelle sanzioni pecuniarie (che in caso di violazioni reiterate possono colpire fino al 20% del fatturato globale) erogabili direttamente dalla Commissione, nonché in ulteriori conseguenze sanzionatorie per mancata compliance alla norma comunitaria nelle giurisdizioni nazionali.
Il Digital Services Act si rivolge invece a tutte le realtà che offrano servizi digitali (come web markets, social networks, app stores, servizi di hosting sul web o su Cloud, piattaforme finalizzate allo sharing di vari tipi di beni o prestazioni o perfino soggetti statali, nei limiti di tali attività).
Anche in questo caso l’applicazione della normativa è subordinata a specifici requisiti economico-dimensionali, per evitare di imporre alle SMEs eccessivi oneri e svantaggiarle ulteriormente rispetto alle grandi aziende che dominano il mercato.
Per chi rientri nel campo di applicazione del DSA si stabiliscono nuovi obblighi di trasparenza, due diligence e cooperazione con le autorità, in particolare su aspetti oggi cruciali come la gestione del rischio o la moderazione dei contenuti, per garantire che il loro operato rispetti i principi comunitari in tema di diritti umani e libera concorrenza d’impresa.
Similmente a quanto stabilito dal DMA, l’eventuale violazione delle prescrizioni potrà avere esito in sanzioni erogate dalle autorità sia interne e sia comunitarie. Una parziale eccezione è rappresentata dai contenuti illeciti riconducibili agli utenti; al riguardo la responsabilità del provider andrà valutata (ed eventualmente sanzionata) caso per caso, anche in ossequio alle diverse leggi nazionali in tema di risarcimento del danno.
Le nuove norme mantengono, invece, l’esenzione di responsabilità per i provider esercenti mere attività “marginali” (quali conduit, caching e hosting) già stabilita dalla citata Direttiva eCommerce del 2000.
Le tempistiche di adeguamento concesse alle aziende
Tanto il DMA quanto il DSA stabiliscono precisi termini di adempimento: il primo stabilisce infatti che una volta riconosciute come gatekeepers le aziende o gli enti così designati abbiano 6 mesi per adeguarsi alla disciplina, mentre il secondo fissa la scadenza al 1° gennaio 2024 (a eccezione delle piattaforme e dei motori di ricerca online di grandi dimensioni, che si vedranno soggetti alla normativa a decorrere da quattro mesi dopo la loro designazione).
Sebbene l’ampiezza e il grado di dettaglio delle previsioni richiedano tempi non brevi e ulteriori passaggi interpretativi per una loro piena attuazione, nell’intento del legislatore comunitario entrambi gli atti intendono rappresentare un ulteriore passo verso un importante obiettivo di lungo periodo: la costruzione di un Mercato Unico Digitale Europeo concepito come spazio di scambio aperto, dinamico, trasparente e sicuro.