DMA: Implicações para a segurança das novas leis anti-trust da UE

Lei dos Mercados Digitais vs Gatekeepers - um acto de equilíbrio

The Digital Market Act (DMA) - a European legislation being discussed in the European Parliament Paul Henri-Spaak building

A actual luta pelo poder entre a UE e as grandes empresas tecnológicas realça a necessidade premente de uma abordagem equilibrada e matizada das políticas regulamentares que tenha em conta os interesses de todas as partes envolvidas, nomeadamente dos consumidores. O Digital Markets Act (DMA) tem como objectivo alcançar este equilíbrio, mas será que vai conseguir?


Alguns dos principais gigantes da tecnologia estão a dominar os mercados digitais em todo o mundo, dificultando a penetração das pequenas empresas no mercado. A UE enfrenta a difícil tarefa de travar o seu monopólio e dar aos cidadãos da UE mais controlo sobre os seus dados através da Lei dos Mercados Digitais (DMA), mas há um senão…

O que é a Lei dos Mercados Digitais?

O Digital Markets Act ou DMA é um conjunto de regulamentos definidos pela Comissão Europeia. Aplica-se aos operadores de negócios digitais na União Europeia que cumprem os critérios que os qualificam como guardiões. O objectivo destes regulamentos é proporcionar um ambiente mais justo para as empresas que dependem destes controladores de acesso para oferecerem os seus serviços no mercado único europeu.

Em termos simples: As grandes empresas tecnológicas consideradas guardiãs devem abrir as suas plataformas a concorrentes mais pequenos para que a concorrência seja mais justa.

A nova legislação destina-se a permitir que as empresas tecnológicas em fase de arranque possam competir e inovar no ambiente das plataformas em linha sem terem de cumprir condições injustas impostas pelas plataformas, que podem limitar o seu desenvolvimento ou diminuir as suas hipóteses de apresentar os seus produtos aos consumidores. Demasiado poder nas mãos de um número reduzido de pessoas pode asfixiar a inovação e restringir a concorrência leal.

Ao mesmo tempo, a Comissão está confiante de que as novas medidas conduzirão a mais e melhores opções para os consumidores, permitindo-lhes um acesso directo aos serviços, preços mais justos e mais oportunidades de mudar de fornecedor se assim o desejarem, em resultado de um ambiente concorrencial mais saudável.

A Comissão pretende alcançar este objectivo, permitindo simultaneamente que os controladores de acesso mantenham todas as suas actuais oportunidades de inovar e oferecer novos serviços. Mas não poderão continuar a utilizar práticas desleais em seu benefício, nem em relação aos utilizadores empresariais nem em relação aos clientes que deles dependem. E, embora a actual fragmentação regulamentar na UE implique frequentemente custos de conformidade acrescidos para as plataformas que operam a nível transfronteiriço, a nova legislação unificada ajudará a resolver também este problema e proporcionará maior segurança jurídica aos guardiões.

O que é a Lei dos Serviços Digitais?

A nova Lei dos Serviços Digitais (DSA) é um conjunto único de regras aplicáveis em toda a UE, com mecanismos que permitem à Comissão Europeia e aos Estados-Membros coordenar as suas acções. O seu principal objectivo é combater a distribuição de bens, conteúdos ou serviços ilegais em linha. Inclui:

  • Medidas para que os utilizadores sinalizem esses conteúdos e para que as plataformas cooperem com “sinalizadores de confiança”.
  • Novas obrigações em matéria de rastreabilidade dos utilizadores empresariais nos mercados em linha
  • Salvaguardas eficazes para os utilizadores, incluindo a possibilidade de contestar as decisões de moderação de conteúdos das plataformas
  • Obrigações para as plataformas de muito grande dimensão, que abrangem mais de 10% da população da UE, de impedir a utilização abusiva dos seus sistemas
  • Melhoria da acessibilidade das plataformas para pessoas com deficiência
  • Proibição de anúncios dirigidos a crianças (ou baseados em características especiais dos utilizadores) nas plataformas em linha
  • Medidas de transparência para as plataformas em linha, incluindo a transparência da publicidade em linha dirigida ao utilizador e a transparência dos algoritmos utilizados para a recomendação. Além disso, as autoridades e os investigadores terão acesso a dados sobre as principais plataformas, a fim de examinar o seu funcionamento.
  • Uma estrutura de supervisão que corresponda à complexidade do espaço em linha. Os Estados-Membros terão o papel principal, apoiados por um novo Conselho Europeu para os Serviços Digitais; no caso das plataformas de muito grande dimensão, a supervisão e a aplicação da lei caberão à Comissão.
  • As pequenas e microempresas estão isentas das obrigações mais onerosas, mas são livres de aplicar as melhores práticas em função da sua vantagem competitiva.
  • As plataformas e outros intermediários não são responsáveis pelo comportamento ilegal dos utilizadores, a menos que tenham conhecimento de actos ilegais e não os eliminem.

EU Parliament image by Marius Oprea on Unsplash EU Parliament image by Marius Oprea on Unsplash

Quem pode ser considerado um controlador de acesso?

A DMA define como guardião uma grande plataforma em linha com uma forte posição económica, um impacto significativo no mercado interno e activa em vários países da UE (independentemente de estar ou não sediada na UE), e que liga uma grande base de utilizadores a um grande número de empresas. Além disso, uma plataforma deste tipo só pode ser considerada um controlador de acesso se também for estável ao longo do tempo, o que significa que cumpriu os critérios anteriores em cada um dos três últimos exercícios financeiros.

Obviamente, os critérios só serão cumpridos por um punhado de plataformas de grande tecnologia que têm um impacto desproporcionado no mercado.

Empresas como a Google / Alphabet Inc., a Apple, a Microsoft, a Amazon e a Meta serão consideradas guardiãs.

Por exemplo, ao abrigo do DMA, a Amazon terá de deixar de favorecer os seus próprios produtos em detrimento dos produtos de fornecedores independentes que a plataforma aloja, e a Google deixará de poder recolher dados de serviços como o Maps e o YouTube e combiná-los com os dados da Pesquisa Google sem o consentimento explícito dos utilizadores.

Qual é o estado actual do DMA?

O DMA entrará em vigor em Maio de 2023. Nos quatro meses seguintes, as empresas que fornecem serviços de plataforma essenciais esclarecerão com a Comissão se se qualificam ou não como controladores de acesso, e as que cumprem os critérios terão mais seis meses a partir da recepção da decisão para garantir a conformidade com as obrigações descritas no DMA. Num esforço para encontrar o equilíbrio certo entre as necessidades concorrentes, a Comissão está a organizar seminários técnicos para obter a opinião das partes interessadas sobre o cumprimento das obrigações dos controladores de acesso.

Se os controladores de acesso não cumprirem o novo regulamento após os 6 meses permitidos, ser-lhes-á aplicada uma coima até 10% do seu volume de negócios anual total a nível mundial ou, em caso de infracções repetidas, até 20%, e podem incorrer em sanções pecuniárias compulsórias até 5% do volume de negócios diário médio. Além disso, em caso de infracções sistemáticas, podem ser impostas outras medidas aos controladores de acesso após uma investigação de mercado, numa base casuística, incluindo medidas estruturais como a alienação de (partes de) uma empresa.

O texto acordado provisoriamente pelos negociadores do Parlamento Europeu e do Conselho visa as grandes empresas que prestam os chamados “serviços de plataforma principais” mais propensos a práticas comerciais desleais, como as redes sociais, os mensageiros, os navegadores ou os motores de busca, com uma capitalização bolsista de, pelo menos, 75 mil milhões de euros ou um volume de negócios europeu de 7,5 mil milhões de euros nos últimos três anos ou uma plataforma principal com 45 milhões de utilizadores europeus.

O que é que as novas regras significam para os controladores de acesso?

Os controladores de acesso terão de

  • permitir que terceiros interajam com os seus próprios serviços “em situações específicas”
  • permitir que os seus utilizadores profissionais acedam aos dados de utilização que geraram na plataforma
  • permitir que os anunciantes e editores da sua plataforma exerçam um maior controlo sobre os seus próprios conteúdos
  • permitir que os seus utilizadores profissionais promovam a sua oferta e celebrem contratos com clientes fora da plataforma do controlador de acesso

Simultaneamente, estes controladores de acesso deixarão de poder favorecer os seus próprios produtos e serviços em detrimento dos oferecidos por vendedores independentes alojados nas suas plataformas, em termos de classificação, ou impedir os utilizadores de desinstalar qualquer aplicação ou software pré-instalado, ou agrupar dados das suas várias divisões e, o que é mais importante do ponto de vista da privacidade, deixarão de poder seguir os utilizadores finais fora da plataforma dos controladores de acesso para fins de publicidade direccionada sem o seu consentimento explícito.

O conjunto completo de regulamentos foi publicado no Jornal Oficial da União Europeia e está disponível em várias línguas.

Flags of the European Union in front of the EU-commission building "Berlaymont" in Brussels, Belgium Flags of the European Union in front of the EU-commission building "Berlaymont" in Brussels, Belgium

Quais são as implicações em termos de segurança?

Embora a maioria dos regulamentos propostos seja uma óptima notícia, há duas medidas propostas que suscitam preocupações em termos de segurança: o requisito de interoperabilidade no DMA e os requisitos de transparência no DSA.

Ainda não é claro quem se qualifica como uma plataforma chave na DSA - plataformas muito grandes? - ou que tipo de dados terão de partilhar. Quanto à interoperabilidade, apesar da ambiguidade implícita na escolha da palavra “em situações específicas”, significa que as aplicações de mensagens como o WhatsApp e o Facebook Messenger terão de ser interoperáveis com serviços como o Signal, permitindo que os seus utilizadores finais troquem mensagens, enviem ficheiros ou façam chamadas. Obviamente, existe uma grande diferença em termos de protocolos de encriptação e políticas de privacidade entre estes serviços, pelo que muitos se perguntam se isto significará comprometer a encriptação de ponta a ponta e o Perfect Forward Secrecy de que os utilizadores do Signal têm usufruído até agora, se optarem por enviar ou receber mensagens ou chamadas entre plataformas. Os co-legisladores concordaram em avaliar no futuro as obrigações de interoperabilidade também para as redes sociais.

Outra consequência não intencional poderá ser forçar as lojas de aplicações dos guardiões a enfraquecerem a verificação dos programadores autorizados a distribuir as suas aplicações através destas plataformas. Mesmo com as actuais normas em vigor, um relatório da Positive Technologies encontrou vulnerabilidades classificadas como de “alto risco” em 38% das aplicações iOS e 43% das aplicações Android. Estas vulnerabilidades representam não só riscos para a privacidade, mas também tornam os utilizadores mais vulneráveis a piratas informáticos maliciosos, quer privados quer estatais.

Há quem expresse a preocupação de que, se for adoptada sem a devida ponderação, a abertura das plataformas digitais e a partilha forçada de dados possam permitir a “entidades malignas” “travar uma guerra cibernética económica ou, pior ainda, militar”. Björn Lundqvist, é um académico de renome na área do direito da concorrência, mas o CEPA é financiado por várias organizações que são alvo do DMA: Amazon Web Services, Google e Microsoft. Mas isso não significa que estas preocupações devam ser ignoradas.

Muitos dos riscos de segurança decorrem da definição de “utilizador comercial” da lei, que é actualmente muito ampla e inclui não só pequenas entidades que tentam fazer crescer o seu negócio através das plataformas principais, mas também empresas ou mesmo governos provenientes de jurisdições hostis, que poderiam utilizar a regra de acesso aos dados para obter dados dos guardiões.

Os piores cenários de utilização da actual versão da DMA incluem a Google ser forçada a partilhar dados de pesquisa europeus com rivais como a Yandex da Rússia ou a Alibaba da China. Os riscos tornam-se ainda maiores se considerarmos todos os dados recolhidos pelo serviço de nuvem da Amazon ou pela Alexa, ou pelos sistemas de automóveis da Apple e do Android. É quase como se tivesse sido uma péssima ideia permitir que qualquer empresa recolhesse e guardasse tantos dados dos utilizadores…

Um primeiro passo para mitigar estes riscos é definir melhor quem pode utilizar a regra de acesso aos dados, para garantir que esta só dá poder aos utilizadores finais e às pequenas empresas. Num mundo ideal, a imposição de restrições ao tipo de dados que os guardiões podem armazenar também reduziria os riscos de segurança se agentes mal-intencionados tivessem acesso a esses dados.

O DMA afirma que a encriptação de ponta a ponta deve ser mantida, mas encontrar uma solução técnica para alcançar a interoperabilidade sem quebrar a encriptação levará tempo (a Meta anunciou que pretende interligar o WhatsApp e o Messenger em Março de 2019, mas ainda não conseguiu fazê-lo) e a Comissão deve ajustar os seus prazos em conformidade, para garantir que isto seja feito correctamente.

Além disso, deve garantir uma forma de os guardiões levantarem objecções legítimas aos pedidos de interoperabilidade que ponham em causa a segurança dos utilizadores, como os pedidos de aplicações de mensagens russas ou chinesas. A versão actual da lei prevê uma isenção por motivos específicos de segurança pública, mas é crucial garantir que essa isenção possa ser aplicada com a rapidez e a flexibilidade necessárias.

E, como aconselha a Electronic Frontier Foundation, o DMA deve proibir explicitamente qualquer serviço de mensagens que “quebre a promessa de encriptação de ponta a ponta por qualquer meio - incluindo a verificação de mensagens na aplicação do lado do cliente ou a adição de participantes ‘fantasma’ às conversas” de poder “exigir interoperabilidade”.

A actual redacção da lei permite que os guardiões tomem medidas “estritamente necessárias e proporcionais” para preservar a segurança. Através da sua série de workshops técnicos, a Comissão pretende obter feedback sobre o texto jurídico actual. Depois de finalizado a nível técnico e verificado por juristas-linguistas, terá de ser aprovado pelo Parlamento e pelo Conselho.

Espera-se que a Comissão encontre o equilíbrio certo entre resistir aos pedidos dos guardiões digitais que apenas pretendem atrasar ou evitar regulamentação que afecte os seus lucros e dar resposta a preocupações de segurança legítimas.