Aceasta este cea de-a doua parte a analizei despre DMA(prima poate fi găsită AICI). Roxana Daskălu, Avocat Senior și Vladimir Griga, Asociat, din cadrul casei de avocatură bpv GRIGORESCU ȘTEFĂNICĂ, cu vastă experiență în domeniul tehnologiei, vor explora ce trebuie și ce nu trebuie să facă principalele platforme digitale în cadrul DMA, vor examina sancțiunile pe care le primesc în caz de nerespectare a acestuia, vor analiza rolul Comisiei Europene și vor evalua instrumentele accesibile utilizatorilor.

Pentru a avea o imagine completă, nu uitați să consultați prima parte a acestui articol, în care am explicat scopul și impactul DMA, am oferit o prezentare cronologică a evenimentelor din ultimul an și am descris criteriile de dobândire a statutului de controlor de acces (gatekeeper), precizând, de asemenea, serviciile de platformă esențiale (core platform services). Rămâneți cu noi pentru a treia și ultima parte a acestui articol, în care vom prezenta principalii beneficiari ai DMA și vom explora interconexiunile dintre DMA, DSA și alte acte legislative europene.

Obligații și interdicții pentru controlorii de acces

După cum am menționat anterior în prima parte a articolului nostru, DMA urmărește să restabilească echilibrul pe piețele digitale prin impunerea unei serii de interdicții și obligații pentru principalii furnizori de servicii de platformă esențiale („SPE”) care au exercitat o influență semnificativă în mediul online în ultimii 10 ani, acționând drept „controlori de acces” digitali ai pieței unice.

Una dintre obligațiile impuse controlorilor de acces este prevăzută la articolul 15 din DMA, care le impune acestora să prezinte descrieri cu privire la activitățile creare de profiluri ale consumatorilor. O astfel de obligație relevă angajamentul Comisiei de a proteja persoanele fizice în ceea ce privește prelucrarea datelor lor cu caracter personal. Controlorii de acces desemnați la 6 septembrie 2023 trebuie să îndeplinească această obligație până la 7 martie 2024. În acest sens, Comisia a publicat, la 12 decembrie 2023, modelul de raportare privind tehnicile de creare de profiluri ale consumatorilor și auditul independent al acestor raportări. În plus, controlorii de acces vor fi, de asemenea, obligați să pună la dispoziția publicului o prezentare generală a auditului, precum și să actualizeze cel puțin o dată pe an descrierea oricăror tehnici de creare de profiluri ale consumatorilor.

Dar cel mai important este că articolele 5 și 6 din DMA stabilesc o serie de obligații și interdicții în sarcina controlorilor de acces. Pe de o parte, aceștia vor trebui să adopte în mod activ comportamente specifice menite să favorizeze o mai mare deschidere și competitivitate pe piață. Pe de altă parte, controlorii de acces trebuie să se abțină de la participarea la anumite practici neloiale, având în vedere perspectivele deja identificate în piață, în special cele derivate din cazurile de concurență din trecut.

Mai jos sunt prezentate câteva exemple de obligații aplicabile controlorilor de acces:

  • Promovare: să permită utilizatorilor comerciali, cu titlu gratuit, să comunice și să promoveze oferte către utilizatorii finali și să încheie contracte cu acești utilizatori finali în afara platformei controlorului de acces;
  • Accesul la informații: să le ofere clienților de publicitate și editorilor, la cererea acestora și cu titlu gratuit, acces la instrumentele de măsurare a performanței ale controlorului de acces și la datele necesare pentru ca clienții de publicitate și editorii să efectueze propria verificare independentă a spațiului publicitar, inclusiv la date agregate și neagregate;
  • Transparență privind prețurile plătite pentru publicitatea online: să pună la dispoziție zilnic, cu titlu gratuit, clienților de publicitate și editorilor informații cu privire la fiecare anunț publicitar publicat de clientul de publicitate / afișat în spațiul publicitar al editorului (e.g., prețul și comisioanele plătite de către clientul de publicitate, remunerația primită de editor, indicatorii pe baza cărora se calculează fiecare preț, comision și remunerație);
  • Dezinstalare ușoară: să permită utilizatorilor finali să dezinstaleze cu ușurință aplicațiile preinstalate sau să oprească instalarea aplicațiilor în mod implicit, precum și să ofere posibilitatea de a alege;
  • Autonomizarea utilizatorilor: să permită utilizatorilor finali să instaleze aplicații sau magazine de aplicații ale terților, care utilizează sau interoperează cu sistemul de operare al controlorului de acces;
  • Accesul la datele comerciale: să ofere utilizatorilor comerciali, la cererea acestora, cu titlu gratuit, acces și posibilitatea de utilizare efectivă, de înaltă calitate, continuă și în timp real a datelor agregate și neagregate (inclusiv a datelor cu caracter personal), furnizate sau generate de activitățile lor pe platforma controlorului de acces;
  • Dezabonarea fără efort: să permită utilizatorilor finali să treacă fără probleme de la o aplicație la alta și să se dezaboneze de la diferite aplicații și servicii care sunt accesate prin intermediul SPE-urilor controlorului de acces (inclusiv alegerea diferitelor servicii de acces la internet);
  • Interoperabilitate: să permită furnizorilor de servicii și furnizorilor de hardware să se conecteze cu ușurință și să utilizeze aceleași componente disponibile în cadrul serviciilor proprii ale controlorilor de acces. În plus, controlorii de acces trebuie să acorde, cu titlu gratuit, utilizatorilor comerciali și furnizorilor alternativi de servicii, acces și interoperabilitate cu sistemul de operare, componentelor hardware și software utilizate de controlorii de acces, indiferent dacă aceste componente fac parte din sistemul de operare.

Există, de asemenea, mai multe exemple de interdicții, impuse controlorilor de acces, printre care se numără următoarele:
- Interzicerea fuzionării datelor: cu excepția cazului în care utilizatorului final i s-a prezentat această opțiune specifică și acesta și-a dat consimțământul în sensul Regulamentului (UE) 2016/679 („GDPR”) , controlorii de acces nu au voie să:

  • să prelucreze datele cu caracter personal ale utilizatorilor finali care recurg la serviciile unor terți, în scopul furnizării de servicii de publicitate online;
  • să combine datele cu caracter personal provenite de la SPE cu date cu caracter personal provenite de la alte servicii furnizate de către controlorul de acces sau de către terți;
  • să utilizeze încrucișat date cu caracter personal între SPE și alte servicii furnizate separat de controlorul de acces (inclusiv alte SPE), precum și vice versa;
  • să conecteze utilizatorii finali la alte servicii ale controlorului de acces pentru a combina datele cu caracter personal;

- Fără clauză de paritate: controlorii de acces nu trebuie să restricționeze posibilitatea ca utilizatorii comerciali să ofere aceleași produse sau servicii clienților lor la prețuri/condiții diferite pe alte platforme sau pe site-urile lor web;
- Fără constrângeri: controlorii de acces nu trebuie să le impună utilizatorilor comerciali sau utilizatorilor finali să se aboneze sau să se înregistreze la orice alt SPE aparținând controlorului de acces ca o condiție pentru furnizarea serviciului;
- Regula de neconcurență: controlorii de acces nu trebuie să utilizeze, în concurență cu utilizatorii comerciali, date ale utilizatorilor comerciali care nu sunt disponibile publicului (inclusiv date generate sau furnizate de clienții acestor utilizatori comerciali), pentru a preveni posibilitatea ca acești controlori de acces să beneficieze în mod neloial de pe urma rolului lor dublu, și anume (a) de întreprindere care furnizează SPE, respectiv (b) de concurent al altor utilizatori comerciali care furnizează servicii/produse similare acelorași utilizatori finali;
- Fără auto-referențiere: controlorii de acces nu trebuie să acorde un tratament mai favorabil, în ceea ce privește ierarhizarea, precum și indexarea și web crawling-ul aferente, serviciilor și produselor pe care controlorul de acces le oferă el însuși în comparație cu serviciile/produsele similare ale unui terț.

Punerea în aplicare

Comisia este singurul organism de aplicare al DMA, spre deosebire de cadrul legislativ al UE în materie de concurență, care este, în general, gestionat de autoritățile naționale de concurență din fiecare stat membru. Astfel, Comisia este entitatea desemnată să monitorizeze punerea în aplicare efectivă și respectarea de către controlorii de acces a tuturor acestor obligații. În acest sens, DMA prevede că un controlor de acces trebuie să păstreze toate documentele considerate relevante pentru a evalua punerea în aplicare și respectarea acestor obligații și a deciziilor Comisiei.

În temeiul DMA, Comisia are competențe similare cu cele ale unei autorități naționale de concurență în temeiul dispozițiilor legale locale în materie de concurență, cum ar fi competența de a deschide o investigație de piață, de a solicita informații, de a desfășura interviuri și de a lua declarații, de a efectua inspecții, de a dispune măsuri provizorii în caz de urgență cauzată de riscul unor prejudicii grave și ireparabile pentru utilizatorii comerciali sau utilizatorii finali ai controlorilor de acces, precum și de a aplica amenzi și a impune sancțiuni. De asemenea, Comisia are obligația de a prezenta Parlamentului European și Consiliului UE un raport anual privind punerea în aplicare al DMA și progresele realizate în direcția îndeplinirii obiectivelor acestuia.

Comisia poate deschide o investigație de piață în următoarele scopuri:

  • (i) să identifice controlorii de acces;
  • (ii) pentru a identifica dacă și alte servicii din sectorul digital ar trebui adăugate la lista SPE-urilor care intră în domeniul de aplicare al DMA sau dacă apar noi practici cu efecte negative similare;
  • (iii) pentru a examina dacă un controlor de acces își încalcă în mod sistematic obligațiile care îi revin în temeiul DMA.

În cazul în care controlorii de acces nu respectă DMA în mod corespunzător, aceștia pot fi sancționați cu amenzi de maximum 10% din cifra de afaceri totală la nivel mondial din exercițiul financiar precedent și de până la 20% pentru încălcări repetate. În plus, CE are, de asemenea, competența de a institui penalități cu titlu cominatoriu care să nu depășească 5% din cifra de afaceri zilnică medie la nivel mondial din exercițiul financiar precedent, pe zi, și de a impune măsuri corective pentru încălcarea în mod sistematic a obligațiilor, cum ar fi măsuri corective comportamentale sau structurale. De exemplu, Comisia poate interzice controlorului de acces să devină parte la o concentrare în ceea ce privește SPC-urile respective pentru o perioadă limitată de timp.

Competența Comisiei de a aplica amenzi sau penalități cu titlu cominatoriu este supusă unui termen de prescripție de 5 ani.

Nu în ultimul rând, anul trecut, Comisia a adoptat un regulament care pune în aplicare DMA, care detaliază normele de desfășurare a anumitor proceduri de către Comisie.

Cooperarea dintre Comisie și Consiliul Concurenței

DMA subliniază rolul semnificativ al cooperării și coordonării dintre Comisie și autoritățile naționale de concurență pentru a asigura o aplicare coerentă și eficientă a normelor DMA. De exemplu, DMA prevede că statele membre au posibilitatea de a abilita autoritățile naționale de concurență să efectueze investigații cu privire la o eventuală nerespectare de către controlorii de acces a anumitor obligații prevăzute de DMA.

Prin urmare, în România, Legea concurenței nr. 21/1996 („Legea concurenței”) a fost modificată recent prin Ordonanța de urgență a Guvernului nr. 108/2023, care a intrat în vigoare la 6 decembrie 2023, iar Consiliul Concurenței a dobândit mai multe responsabilități, cum ar fi competența de a efectua o investigație pentru posibile încălcări, pe teritoriul României, ale articolelor 5-7 din DMA și de a raporta Comisiei concluziile investigației, pentru a sprijini Comisia în rolul său de autoritate unică de aplicare a legii. În plus, Legea concurenței, recent modificată, prevede că Consiliul Concurenței are posibilitatea de a iniția o investigație, din oficiu, cu informarea prealabilă a Comisiei, cu privire la posibila încălcare a articolelor 5-7 din DMA de către un controlor de acces pe teritoriul României.

Despăgubiri private și acțiuni colective

Chiar dacă în cadrul DMA nu există nicio referire expresă la asigurarea respectării normelor la nivel privat, din principiile și obiectivele pe care le urmărește rezultă că utilizatorii comerciali și utilizatorii finali au posibilitatea de a introduce acțiuni în despăgubire sau în încetare în fața instanțelor naționale pentru a obține despăgubiri pentru încălcarea drepturilor lor recunoscute implicit la articolele 5-7 din DMA. Comisia a confirmat o astfel de interpretare, precizând că respectarea DMA „poate fi asigurată direct de instanțele naționale”.
Cu toate acestea, nu avem în prezent un cadru juridic reglementat în acest sens, deoarece DMA nu face nicio referire la Directiva 2014/104/UE, cunoscută sub numele de Directiva privind despăgubirile.

În prezent, în România, Directiva privind despăgubirile a fost transpusă prin Ordonanța de Urgență a Guvernului 170/2020, care la acest moment nu a fost modificată pentru a fi aplicabilă utilizatorilor care solicită despăgubiri în fața instanțelor naționale pentru comportamentul ilegal al unui controlor de acces. Aceasta înseamnă că, pentru moment, utilizatorul care a fost prejudiciat prin comportamentul ilegal al unui controlor de acces poate introduce o acțiune în despăgubiri în temeiul legislației civile generale. Totuși, rămâne de văzut cum va reglementa mai departe această situație legiuitorul național.

DMA prevede, de asemenea, dreptul consumatorilor de a-și valorifica drepturile în legătură cu obligațiile impuse controlorilor de acces prin acțiuni în reprezentare, în conformitate cu Directiva (UE) privind acțiunile în reprezentare 2020/1828. Această directivă europeană a fost transpusă recent în legislația națională prin Legea nr. 414/2023 privind desfășurarea acțiunilor în reprezentare pentru protecția intereselor colective ale consumatorilor, care a intrat în vigoare la 23 decembrie 2023 („Legea 414/2023”).

Anexa la Legea 414/2023, care conține o listă cu domeniile reglementate de acte normative naționale și europene care pot da dreptul consumatorilor de a introduce o acțiune colectivă în fața instanțelor naționale, include, de asemenea, DMA. Acțiunile colective au, pentru prima dată, un cadru de reglementare specific în România, Legea 414/2023 încorporând în mare măsură mecanismele propuse de Directiva (UE) 2020/1828.