Acord pentru afacerile online: transferul de date UE-SUA. Amenzi de miliarde euro pentru giganții internetului, prin DMA

Problema transferului de date dintre Uniunea Europeană și Statele Unite, care afectează afacerile online, precum Google sau Facebook, este mai aproape de soluționare: Comisia Europeană și Guvernul SUA au anunțat că au ajuns la un acord de principiu pentru un nou Cadru transatlantic de protecție a datelor (Trans-Atlantic Data Privacy Framework), care va favoriza transferul de date UE-SUA. De asemenea, legiuitorii UE au ajuns la un acord privind Digital Markets Act (DMA), un important proiect de regulament european care stabilește condiții de protecție a datelor pe internet, venind și cu amenzi de zeci de miliarde de euro pentru giganții IT, dacă încalcă legea.

Acordul DMA și contextul său

Negociatorii Parlamentului European și ai statelor membre UE (Consiliul UE) au ajuns la un acord de principiu pentru regulamentul european privind piețele digitale - Digital Markets Act (DMA), o reușită a Președinției franceze a Consiliului UE. Mai departe, regulamentul trebuie adoptat de Parlamentul European și de Consiliul UE, iar apoi publicat în Jurnalul oficial al Uniunii Europene. Actul normativ va intra în vigoare după 6 luni de la publicare, cu efect în toate statele membre UE, inclusiv România.

Proiectul va aduce o reglementare importantă în funcționarea unor servicii online, cum sunt de exemplu Facebook și celelalte rețele sociale ale companiei Meta sau Google Analytics, folosit de magazinele online și alte site-uri (mai ales firme mici și mijlocii) din România și alte state UE pentru a-și măsura traficul și a-și seta strategiile de vânzări și marketing.

Din cauza lipsei unui cadru legal clar de transfer transatlantic de date, compania lui Mark Zuckerberg a evocat și posibilitatea întreruperii Facebook, Instagram și a altor servicii deținute de compania Meta în Uniunea Europeană. Însă așa cum arată, proiectul de act normativ pare să amenințe mai mult platformele americane prezente în Europa.

Toată nebunia transferului de date a început în 2020, când Curtea de Justiție a Uniunii Europene a dat o decizie împotriva mecanismului Data Protection Shield, care reglementa transferul de date UE-SUA.

În 15 decembrie 2020, Comisia Europeană a emis o nouă propunere de regulament european: Digital Markets Act. De atunci, Parlamentul European și Consiliul UE (miniștrii statelor  membre) s-au tot contrazis cum să aprobe noua lege. În tot acest timp, marile platforme online, dar și startup-urile de tehnologie din Europa și SUA au așteptat o decizie clară, să pună capăt incertitudinii din jurul afacerilor lor.

Acordul de principiu al legiuitorilor UE a fost anunțat, joi seara, de Consiliul Uniunii Europene.

Ce prevede propunerea de DMA agreată de Consiliu și PE

Principala prevedere a proiectului de lege agreat de europarlamentari cu statele UE se referă la așa-numiții gatekeepers (santinele). Acesta este statutul atribuit marilor platforme online, ca Google (Alphabet) sau Facebook (Meta), statut care vine cu o serie întreagă de obligații și amenințarea unor amenzi uriașe, în caz de abateri grave.

Pentru a avea aceste obligații de gatekeeper, o platformă online ar trebui să întrunească o serie de caracteristici:

1. are cifra de afaceri în UE de cel puțin 7,5 miliarde de euro în ultimii 3 ani sau are o valoare de piață de cel puțin 75 de miliarde de euro,
2. are cel puțin 45 de milioane de utilizatori finali pe lună , precum și minimum 10.000 de utilizatori business stabiliți în UE,
3. controlează unu sau mai multe servicii online în cel puțin 3 state membre UE. Aceste servicii pot fi marketplace-uri, magazine de aplicații (app stores), motoare de căutare, rețele sociale, servicii cloud, servicii de publicitate, asistenți vocali, browsere de navigare pe internet etc.

Aceste platforme mari, considerate „santinele” ale  datelor de pe net, trebuie:

1. să se asigure că utilizatorii se pot dezabona de la serviciile principale ale platformei în condiții similare cu abonarea,
2. în cazul sistemelor de operare, să nu seteze ca implicit (default) softurile cele mai importante, cum ar fi browserele, astfel încât utilizatorii să poată alege liber ce browser să folosească și toți furnizorii să aibă acces la acel sistem de operare,
3. să asigure interoperabilitatea funcționalităților de bază ale serviciilor lor de mesagerie,
4. să permită dezvoltatorilor de aplicații terți acces echitabil la funcționalitățile suplimentare ale smartphone-urilor,
5. să ofere comercianților acces la date de performanță în marketing și advertising pe platforma respectivă,
6. să informeze Comisia Europeană când efectuează fuziuni sau achiziții de companii.

Aceste platforme online mari NU vor avea voie:

1. să își plaseze propriile produse sau servicii mai sus decât cele ale altora (self-preferencing),
2. să refolosească datele private colectate în timpul furnizării unui serviciu în scopurile altui serviciu,
3. să stabilească condiții inechitabile pentru utilizatorii business,
4. să pre-instaleze anumite aplicații,
5. să oblige dezvoltatorii de aplicații terți să folosească anumite servicii (de exemplu, sisteme de plată online sau furnizori de servicii de autentificare IdP) pentru a fi afișați în magazinele de aplicații.

Amenzi de zeci de miliarde de euro

Giganții internetului vor fi suspuși riscului unor amenzi imense dacă vor încălca aceste reguli. Pentru o încălcare gravă a regulamentului, o platformă-gatekeepr va risca o amendă de până la 10% din cifra de afaceri la nivel global. Pentru abateri repetate, amenda poate fi și de 20% din cifra de afaceri.

Dacă ne gândim că Meta Platforms (Facebook, Instagram și restul) are venituri anuale de peste 100 miliarde de dolari, iar Alphabet (Google, YouTube și altele) a ajuns la venituri anuale de peste 250 de miliarde de dolari, atunci amenzile pe care aceste companii le riscă în Europa sunt de ordinul zecilor de miliarde de dolari/euro.

Pentru a se conforma acestor cerințe, marile platforme online vor fi nevoite să și cheltuiască foarte mulți bani. Aceste companii dispun de resurse financiare și își vor permite să plătească avocați și ingineri care să pună la punct sisteme conforme regulamentului.

Dar ce se întâmplă cu startup-urile de tehnologie, care nu dispun de bani să se păzească de amenzile UE? Propunerea de regulament convenită de Parlamentul European și Consiliul UE prevede că microîntreprinderile și firmele mici și mijlocii (IMM) vor fi exceptate de la obligațiile de gatekeepers. Totuși, regulamentul va prevedea anumite obligații pentru ceea ce se va numi „emerging gatekeeper”, adică o companie emergentă în business-ul de pe internet.

Cine va aplica viitorul regulament european DMA

Comisia Europeană este instituția care va aplica Digital Markets Act pe tot cuprinsul Uniunii Europene. Executivul comunitar va face investigații și va decide sancțiuni în caz de abateri.

Pe lângă Comisie vor fi înființate un comitet consultativ „(advisory committee) și un grup la nivel înalt (high-level group), care vor asista executivul european în aplicarea regulamentului DMA.

Acordul SUA-UE privind transferul de date

Vineri, Comisia Europeană și Guvernul SUA au anunțat că au ajuns și ei la un acord de principiu pentru un nou Cadru transatlantic de protecție a datelor (Trans-Atlantic Data Privacy Framework), care va favoriza transferul de date UE-SUA și va aborda, totodată, îngrijorările ridicate de Curtea de Justiție a UE din dosarul Schrems II, prin decizia din iulie 2020.

„Noul cadru marchează un angajament fără precedent din partea SUA de a implementa reforme care vor consolida protecția vieții private și a libertăților civile aplicabile”, în activitățile americane de informații în scopuri de securitate națională (SIGINT).

Astfel, SUA vor oferi noi garanții că activotățile sale de supraveghere a datelor „sunt necesare și proporționale în urmărirea obiectivelor de securitate națională”.

De asemenea, autoritățile americane vor operaționaliza un mecanism de remediere a problemelor care pot apărea în activitățile sale de supraveghere a datelor în scopuri de securitate națională.

Niul cadru transatlantic va facilita mai departe  cooperarea SUA-UE inclusiv prin Consiliul de Comerț și Tehnologie (Trade and Technology Council) precum și în cadrul forurilor multilaterale, cum ar fi Organizația pentru Cooperare Economică și Dezvoltare (OECD).

Mai departe, SUA și UE vor adopta legi interne care să pună în practică noul acord transatlantic, adică ceea ce Uniunea Europeană face deja prin propunerea de regulament convenită între Parlamentul European și Consiliul UE.

Negocierile acordului au fost conduse de comisarul european pentru justiție, Didier Reynders, din partea UE, și, respectiv, de secretarul pentru comerț Gina Raimondo, din partea SUA.