gdpr

Diritto alla portabilità dei dati: obiettivo, una società digitale più equa

Le piattaforme digitali si diffondono sempre di più con modelli di business basati sui nostri dati e che by default minacciano i nostri diritti. Di contro, il diritto alla portabilità dei dati personali voluto dal gdpr assume un ruolo di rilievo per una svolta. Ma è molto difficile da attuare. Ecco la situazione

16 Dic 2019
Barbara Calderini

Legal Specialist - Data Protection Officer


Il diritto alla portabilità dei dati sancito dal GDPR ha un ruolo rilevante per spostare a favore degli utenti i rapporti di potere che, nella società digitale, ora sono fortemente sbilanciati verso gli interessi delle grandi piattaforme (Google, Facebook in primis).

Ma è un diritto ancora implume. Ben poco attuato – notizia di qualche giorno fa, Facebook comincia a sperimentare la portabilità delle foto verso Google, il tutto a un anno e mezzo dall’entrata in vigore del Gdpr.

A maggior ragione, è un diritto che è importante conoscere.

Piattaforme digitali, cosa dicono le norme

Cominciamo dal concetto di piattaforme digitali. Nella comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni, su “Un’agenda europea per l’economia collaborativa” del 2 giugno 2016, si evidenziano i contorni di quei modelli imprenditoriali “in cui le attività sono facilitate da piattaforme di collaborazione che creano un mercato aperto per l’uso temporaneo di beni o servizi spesso forniti da privati” e altrettanto chiaramente si identificano i soggetti protagonisti dell’attuale “sharing economy”, ossia:

  • le piattaforme on line che mettono in comunicazione prestatori e utenti e che agevolano le transazioni tra di essi e, per questo, definite anche «piattaforme di collaborazione».
  • i prestatori di servizi, solitamente privati, che condividono beni, risorse, tempo e/o competenze ma anche soggetti professionali (e quindi «prestatori di servizi professionali») che si avvalgono della piattaforma per massimizzare la loro attività;
  • gli utenti, che ponendosi come polo alternativo nel rapporto con i prestatori usufruiscono dei beni e servizi da questi messi a disposizione;
  • infine, il c.d. prosumer, un soggetto a metà strada tra il consumatore e il professionista, ossia quel consumatore che è anche produttore di beni e servizi, i c.d. User Generated Content, ossia contenuti prodotti dall’utente. La figura del prosumer è una tra le maggiori sfide che l’economia collaborativa pone al diritto.

In breve, questo che possiamo definire un nuovo modello economico e culturale, è basato sull’utilizzo e sullo scambio di beni e servizi piuttosto che sul loro acquisto. Elemento centrale è la condivisione di beni, messi a disposizione di una moltitudine di soggetti, spostando l’attenzione dall’istituto della proprietà a quello dell’accesso. Di fatto, partendo dal suo nucleo centrale, il termine sharing economy si è esteso sino a divenire una sorta di etichetta generale riassuntiva di più fenomeni coinvolgenti attività di scambio di beni e servizi in senso ampio ed in modo trasversale: dall’acquisto on line di beni ceduti dai privati tramite piattaforme, ai numerosi servizi di trasporto basati sulla condivisione di un’auto o una bicicletta e molto altro ancora. Gli ambiti variano e coinvolgono principalmente il settore delle locazioni a breve termine (Booking o Airbnb ma anche servizi di c.d. CouchSurfing); quello del trasporto di persone; dei servizi tecnici; professionali (per esempio Patreon); e di finanza collaborativa (famosi sono Kickstarter o Indiegogo).

L’espressione sharing economy, citando la comunicazione del 2016, può essere usata per far riferimento ai “modelli imprenditoriali in cui le attività sono facilitate da piattaforme di collaborazione che creano un mercato aperto di beni o servizi spesso forniti da privati”. A voler essere precisi, dunque, la sola condivisione, come anche il mero scambio a titolo gratuito o oneroso di beni, non sembrerebbe attività sufficiente per poter parlare di nuovo modello economico e culturale, alias “sharing economy”, in grado di modificare in modo evidente le dinamiche sociali e attirare così l’attenzione di economisti e giuristi. L’ulteriore elemento è l’utilizzo del Web in generale e delle piattaforme digitali in particolare. Ovvero quel fattore abilitante nuove forme di interazione sociale ed economica. Le piattaforme digitali assumono la valenza di un quid pluris ad effetto disruptive (innovazione) con evidenti ripercussioni in termini anche di meccanismi di concorrenza basati sulla business reputation. In altre parole, la “reputazione digitale” dei soggetti coinvolti nella sharing economy, attraverso il meccanismo dei feedback, acquisisce un suo valore economico che contribuisce alle diffusione delle informazioni.

Il valore dei dati

Dunque, un nuovo modello economico e culturale “data driven”, dove i nuovi paradigmi in grado di determinare il grado successo di una soluzione di business si basano sulle possibilità di accesso alle informazioni; sulla capacità di archiviazione, di aggregazione e di analisi; sull’estensione dell’utilizzo dei data set ottenuti. Ovvero contenuti che entrano ben presto a far parte degli ormai noti processi di business funzionando come una “valuta”. Ma questi “appartengono” a qualcuno? “Appartengono” a chi li genera? O forse al titolare e responsabile della struttura che li registra ed archivia? A chi li elabora e ne ha la disponibilità? Oppure, stante che il valore non è nei dati in sé bensì discende dai trattamenti sugli stessi, appartengono a chi dispone degli algoritmi e dei programmi idonei per apprenderne i risultati misurabili in termini di valore commerciale? Le piattaforme, uno dei maggiori protagonisti della sharing economy, lungi dall’essere mosse per puro e semplice animus donandi fungono da efficienti catalizzatori, mirando alla fiducia degli individui, consentendo alle parti economiche confluite nel loro sistema di realizzare guadagni dal commercio o da altre interazioni. Tutto ciò senza che i correlati “costi di invasione e di profilazione” siano percepiti da alcuno con sufficiente consapevolezza anche in relazione all’effettiva incidenza sulle propensioni e abitudini di ognuno.

Certamente l’ossessione per la descrizione del cliente risponde all’evoluzione degli attuali modelli di business. Un interessante rapporto dell’ International Data Corporation (IDC), mostra come nel corso del 2018 il mondo abbia generato 33 zettabyte di dati; fino a 4,4 zettabyte appena cinque anni prima. La maggior parte di questi viene archiviata solo per pochi millisecondi prima di essere eliminata; tuttavia, circa 3,7 zettabyte di dati generati dalle persone, ovvero una media di circa 117 gigabyte di dati per utente di Internet, vengono archiviati ogni anno. Il 25 percento di questo viene memorizzato da Google; un altro 1 percento da Facebook. Queste informazioni, combinate con le attuali analisi economiche, generano quasi un quarto di trilione di dollari in valore economico ogni anno. In Europa, stando alle stime consultabili, l’intera data economy potrebbe raggiungere l’anno prossimo 739 miliardi di euro: il 4% del prodotto interno lordo europeo.

La necessità di un level playing field

Selezionati gatekeeper in posizione apicale, in grado di tracciare e correlare le abitudini e le convinzioni di miliardi di consumatori. Ovvero una nuova forma di “capitalismo di sorveglianza” gestita da un oligopolio di imprese private che, tramite la rilevazione delle preferenze e degli interessi di miliardi di persone, hanno reso la raccolta e lo sfruttamento dei dati il core-business delle loro attività. È immediato che uno scenario del genere, lacunoso anche dal punto di vista normativo, si ponga all’attenzione delle Istituzioni e delle Autorità ad ogni livello, dalla protezione dei dati personali alle politiche antitrust e fiscali. Una delle principali problematiche è legata al tema della responsabilità delle piattaforme digitali (da considerare come species del genus dell’hosting provider) e alla relativa inclusione o meno nel regime di responsabilità prevista dagli artt. 12 e ss. della direttiva 2000/31/CE c.d. direttiva sul commercio elettronico.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Per calcolare il Prodotto interno lordo (Pil) di una nazione i parametri usati tradizionalmente non bastano: servono anche i dati della nuova economia digitale. Stando ad uno studio realizzato in collaborazione tra Erik Brynjolfsson, economista del MIT ed esperto di intersezioni tra economia e tecnologia, Avinash Collis del National bureau of economic research e Felix Eggers della University of Groningen (Paesi Bassi), l’utente medio, attribuisce ai servizi digitali “gratuiti” un valore ben preciso che ad esempio per Facebook pare essere di 48 dollari al mese. I video streaming di YouTube, 1.173 dollari in un anno. Google 17.530 dollari. Un ulteriore studio di matrice europea evidenzia che un mese di Snapchat può valere 2,17 euro, LinkedIn 1,52 euro, Twitter zero. WhatsApp va per conto suo con 536 euro mensili. Tuttavia, nonostante i benefici apportati dalla sharing economy quale nuovo modello economico, in assenza di regole chiare e capaci di intercettare le nuove dinamiche sociali, il rischio è quello di avallare usi scorretti o distorti delle piattaforme digitali, creando significative criticità che vanno dall’alterazione della concorrenza, all’eliminazione di tutele e rimedi, fino alla generale e progressiva riduzione della fiducia verso tali sistemi. L’attività delle piattaforme digitali “sfrutta” ancora oggi un quadro giuridico globale lacunoso ed inadeguato.

Il diritto alla portabilità dei dati: cos’è, come funziona

In ambito europeo trovo sia particolarmente interessante fermarsi a riflettere sui maggiori punti critici che caratterizzano la portata del nuovo Diritto alla portabilità come definito nell’art 20 GDPR e nel Considerando 68 e le conseguenze in termini di una sua strumentalizzazione nell’economia collabrativa. L’intento perseguito dal legislatore è duplice:

  • promuovere la libera trasferibilità dei dati personali da un titolare ad un altro, con ciò favorendo la concorrenza dei servizi digitali e l’interoperabilità delle piattaforme
  • garantire uno strumento di maggiore potere di controllo degli interessati sui “propri” dati.

L’evoluzione del concetto generale di data protection e dei nuovi diritti che ad esso si accompagnano, dalla portabilità, all’oblio, è evidentemente legata alla trasformazione della tecnologia e dell’informazione. Allo stesso modo, l’insufficiente consapevolezza che accomuna gli individui sulla portata dell’acquisizione e circolazione dei contenuti che li riguardano è una delle inevitabili conseguenze dell’asimmetria informativa dovuta al progresso tecnologico, dove troppo facilmente la reale entità della raccolta come dell’utilizzo dei dati personali risulta invisibile agli occhi dell’utente. Sebbene la vicenda Cambridge Analityca abbia costituito una prima valida occasione per apprendere come i colossi del web traggono parte delle proprie fortune dalla “compravendita” dei dati personali, tuttavia, in Europa e non solo, ad un anno dall’aggiornamento del quadro di protezione dei trattamenti dei dati personali, la conformità si sia essenzialmente tradotta in una una sorta di specchietto per le allodole; una forma di “privacy by cool” solo apparentemente rassicurante e semmai fuorviante.

La fiducia degli individui, intesa sia come fattore indispensabile nell’ottica dello sviluppo digitale, sia come precondizione necessaria per poter esercitare i diritti e rendere ogni individuo incline a proteggerli, viene invece abilmente orientata alle logiche di parte di quelle organizzazioni portatrici dei crescenti interessi economici che sono senza dubbio in grado di mettere a punto determinati processi comportamentali e psicologici finalizzati a favorire la disclosure dei dati personali da parte degli individui al di là dei principi di trasparenza e correttezza. In tutto ciò il diritto alla portabilità dei dati assume un rilievo di assoluta importanza per la sua connaturata indole a prestarsi alle strumentalizzazioni più fantasiose e potenzialmente distorsive e dunque pericolose. Come noto il diritto alla portabilità può essere applicato in due particolari circostanze:

  • quando la base legale per l’elaborazione delle informazioni è il consenso o l’esecuzione di un contratto;
  • quando l’elaborazione avviene con mezzi automatizzati.

In tali casi l’interessato ha il diritto di ricevere i dati personali che lo riguardano e che ha fornito ad un titolare o responsabile del trattamento, in un formato strutturato, comunemente usato e leggibile da una macchina e ha altresì il diritto di trasmettere tali dati ad un altro operatore senza alcun impedimento e ove tecnicamente fattibile da parte del primo titolare. Seguono poi le condizioni di bilanciamento:

  • l’esercizio del diritto di portabilità lascia impregiudicato l’articolo 17 GDPR ovvero il diritto alla cancellazione (all’oblio);
  • non si applica al processo necessario per l’esecuzione di un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui il controller;
  • e non deve pregiudicare i diritti e le libertà altrui.

I punti critici del diritto alla portabilità dei dati

Proprio la versione finale dell’art. 20 GDPR porta con sé un certo numero di punti critici. In primo luogo l’oggetto del diritto: questo si riferisce espressamente ai dati personali che riguardano l’individuo e che egli ha fornito al titolare o responsabile del trattamento (nella proposta originaria della Commissione il diritto alla portabilità dei dati si riferiva invece a tutti i “dati in corso di elaborazione”). Ne deriva che a seconda che l’espressione “dati forniti” venga interpretata in senso restrittivo, limitando la sfera ai soli dati esplicitamente ricevuti dall’individuo, piuttosto che in senso estensivo in linea con il Considerando 68 (e forse anche preferito dal WP29) includendo nella nozione di dati forniti anche quelli “forniti passivamente” o osservati e dedotti (ossia dati comportamentali che sono stati raccolti osservando il comportamento dei soggetti interessati, ad esempio dati grezzi elaborati da contatori intelligenti, registri delle attività, cronologia di un sito web…), allora le conseguenze cambiano in maniera consistente e assumono un’ importanza critica che tuttavia non ha ancora visto le Autorità prendere una decisione su quali dovrebbero essere i limiti della portabilità dei dati.

Va da se che perdurando la mancanza di un quadro regolatorio chiaro e definito, dalle possibili applicazioni estensive o restrittive del diritto alla portabilità dipenderanno i delicati sviluppi del contesto digitale attuale: i dati inferiti per citare uno degli ambiti maggiormente delicati. Le implicazioni di tutto ciò si rifletteranno in altrettanti diritti tra cui il diritto al libero sviluppo della personalità umana e il diritto all’uguaglianza.

Non di meno gli scenari cambieranno profondamente a seconda della preferenza attribuita ai due diversi approcci in relazione al tema delle interferenze tra diritto alla portabilità, diritto di accesso e diritto di cancellazione (o di oblio). In particolare con riferimento al diritto alla cancellazione, il diritto dell’art 20 può contribuire allo sviluppo di risvolti diametralmente opposti: può cioè aumentare la concorrenza tra i servizi digitali qualora i due diritti non venissero simultaneamente ed automaticamente esercitati o viceversa favorire il primo passo verso una sorta di “appartenenza” di default dei dati personali agli interessati con tutto ciò che ne consegue. Per essere più chiari, poiché l’articolo 20 del GDPR non pregiudica l’articolo 17 (diritto di cancellazione) ed il Considerando 68 spiega che il diritto alla portabilità dei dati “dovrebbe, non implicare la cancellazione di dati personali relativi all’interessato forniti dal medesimo per l’esecuzione di un contratto nella misura in cui e per tutto il tempo in cui i medesimi dati personali fossero necessari per l’esecuzione di quel contratto”, allora il diritto alla portabilità rappresenta un terreno i cui potenziali riflessi nel sistema economico e sociale sono notevoli e di certo immediatamente intuibili agli esperti del settore.

Comportando al tempo stesso una sfida al tradizionale sistema della concorrenza e dei diritti di controllo delle persone sui propri dati, sia un’opportunità in fatto di interoperabilità dei sistemi, il diritto alla portabilità impatta sugli individui come sull’economia dei dati e sulle organizzazioni. E per queste ultime, gli sforzi di natura tecnica richiesti potrebbero risultare, in realtà, meno complicati di quanto si possa pensare quanto alle problematiche inerenti il corretto adempimento conseguente all’esercizio del diritto.

Il Considerando 68 del GDPR, in tema di interoperabilità, afferma infatti che i titolari e i responsabili del trattamento dei dati personali “dovrebbero essere incoraggiati a sviluppare formati inter-operabili che consentano la portabilità dei dati” con ciò evidenziando chiaramente un approccio incentivante e non impositivo. Allo stesso modo, inoltre, nel Considerando 68 è precisato che le persone interessate “dovrebbero avere il diritto di trasmettere i dati personali direttamente da un titolare ad un altro” solo “laddove tecnicamente fattibile” senza, pertanto, che sia aprioristicamente imposto alcun obbligo di raggiungere un sistema di interoperabilità in futuro. Se un responsabile del trattamento dichiara che un trasferimento non è fattibile allora deve provarlo, se invece semplicemente non riesce a farlo, allora la portabilità deve essere incentivata.

Il formato dei dati

Un ulteriore punto critico della formulazione riportata dall’art 20 GDPR riguarda il significato esatto dei termini “strutturato”, “comunemente usato” e “formato leggibile dalla macchina”. Nel probabile intento di rimanere tecnologicamente neutrale, il GDPR non ha inteso prevedere una specifica in merito. Ma poiché il formato giusto è un pre-requisito per la portabilità e dallo stesso dipenderà l’efficienza del diritto stesso, va da sé che file generici come PDF o zip, non appaiono confacenti alle finalità perseguite.

Il WP 29 menziona esplicitamente due formati che tuttavia non sono anch’essi esenti da limiti e richiedono API aggiuntive per accedere a certe informazioni: CSV e XML. Per essere “strutturati”, inoltre, i dati dovrebbero avere una struttura specifica, ad esempio essere memorizzati in un database o in file specifici come i file JSON o CSV. Il formato dei dati deve essere inoltre “comunemente usato” oltre che inter-operabile (Cons. 68).Per quanto ovvio l’interpretazione di “comunemente usato” ed inter-operabile si differenzia da industria ad industria e da sistema informativo a sistema informativo: il WP29 raccomanda di utilizzare formati aperti. Utile ricordare come Microsoft, Google, Twitter e Facebook, già nel 2017, pensarono ad un progetto ancora oggi in fase di sviluppo e a dire la verità poco conosciuto, basato sull’idea di uno standard comune per la trasmissibilità dei dati nell’industria tecnologica chiamato The Data Transfer Project (DTP) che si proponeva la creazione di una piattaforma di portabilità dei dati open-source e service-to-service in modo tale che ogni utente del web potesse spostare facilmente i propri dati tra i fornitori di servizi online ogni volta che lo desiderasse. L’iniziativa voleva tradursi in un programma capace di adattare i formati proprietari con i quali vengono raccolti e conservati i dati in ciascun servizio, per poi “tradurli” in un formato compatibile con le altre che partecipano al progetto: il metodo individuato dalle quattro aziende promotrici era volto alla creazione di un software che, sfruttando le Api (application programming interface, in italiano interfaccia di programmazione di un’applicazione) di ciascuna piattaforma, potesse convertire i dati in modo da renderli compatibili con gli altri.

Il codice sorgente del software, che costituisce la base del Data Transfer Project, è ancora oggi disponibile sulla piattaforma per la condivisione di software libero GitHub, acquisita da Microsoft. Ed è proprio quest’ultima che, nel suo articolo di presentazione, invita altre compagnie e servizi web a partecipare al progetto, definendolo “centrale per l’innovazione e la competizione del cloud”. Quanto alla sicurezza informatica, gli ingegneri del progetto hanno previsto che il trasferimento dei dati possa avvenire in modo criptato, così da proteggere le informazioni in transito da eventuali attacchi informatici. In ambito europeo, è interessante citare “ISA² Azione 2016.07 SEMIC: la promozione dell’interoperabilità semantica tra gli Stati membri dell’UE”. Lo studio, rivolto principalmente alle pubbliche amministrazioni, esamina come – l’uso e l’applicazione di “modelli di dati semplificati, riutilizzabili ed estensibili che catturano le caratteristiche fondamentali di un’entità di dati in modo neutro rispetto al contesto e neutrali alla sintassi” definiti Vocabolari Core o di Base – possa fungere da esempio per consentire la portabilità dei dati da un punto di vista tecnico e fornire mezzi per trasmettere i dati personali in un formato inter-operabile.

Conclusioni

Alessandro Acquisti (in The Economics of Personal Data and the Economics of Privacy) usa la metafora della sottoscrizione “dell’assegno in bianco” per descrivere il momento in cui l’individuo decide di cedere le proprie informazioni personali. In una società sempre più affamata di dati, per anticipare bisogni e desideri, chi raccoglie, ordina, archivia e vende informazioni possiede un’ambita moneta di scambio. I data broker lo sanno bene e forse non sono gli unici. Gli individui invece, con le dovute eccezioni, sembrano ancora disinteressarsene (se questo poi sia un bene o un male è un discorso a parte). Come noto, negli ultimi tempi sono nate “start up incubatori di dati” che intendono far entrare gli utenti nel grande business dei big data, tramite servizi che remunerano ogni dato ceduto alle piattaforme online. Un intento ambizioso tanto quanto pericoloso specie se associata al livello di consapevolezza degli utenti circa la reale portata del diritto alla portabilità ex art 20 GDPR e dei loro diritti in genere. In breve, si scaricano le specifiche app, alcune basate su registri di blockchain, si indicano i propri profili social e si valutano le offerte commerciali da parte delle società interessate ai dati personali. Una volta accettata l’offerta economica, la società acquirente promette di pagare l’utente.

In Italia un’applicazione lanciata a fine 2018 da un noto imprenditore ambisce a diventare una vera e propria “banca dei dati” una sorta di caveau dove convogliare le informazioni degli interessati in modo anonimo per poi investirle sul mercato. Tutto ciò, a detta dei fondatori, con un approccio etico che ha incuriosito le Autorità che tuttavia al momento non hanno reso note le loro verifiche. Negli Stati Uniti, il senatore Mark Warner della Virginia ha annunciato una proposta per costringere le aziende tecnologiche a comunicare agli utenti il valore dei loro dati. In California, dove il California Consumer Privacy Act, ha già incluso nelle sue disposizioni la portabilità come sottoprodotto del diritto di accesso, il governatore Gavin Newsom si fa portavoce di una sorta di “Data Dividend” a favore degli individui che consentono l’accesso alle loro informazioni in modo che possano “condividere la ricchezza creata dai loro dati”. Ma il concetto di portabilità è giunto alla ribalta anche a Singapore con il recente annuncio del Ministro per le comunicazioni e le informazioni S.Iswaran al Mobile World Congress, secondo il quale il requisito di portabilità dovrà essere integrato nella legge sulla protezione dei dati personali quale incentivo alla trasparenza della raccolta delle informazioni.

A conclusione di un’analisi che non può che essere solo preliminare e destinata ad essere integrata quale work in progress, non si può non ribadire quanto in ottica di sharing economny, proprio il diritto alla portabilità dei dati come regolato nel GDPR, insieme all’interpretazione data dal WP 29 e agli altri “porting rights”, assuma un ruolo di primaria importanza nell’ottica della strategia del mercato unico digitale (di dati personali e non personali) nell’Unione europea. Le insidie sono dietro ad ogni angolo: dai problemi legati alla data protection come alla libera concorrenza, dalla necessità di stabilire anche la portabilità di dati non personali, alla necessità di stabilire la portabilità anche per gli utenti professionali che non sono persone fisiche, dall’esigenza di proteggere i diritti del responsabile del trattamento e il suo investimento quando i dati non sono semplicemente raccolti ma anche rielaborati, al rischio di agevolare regimi di capitalismo di sorveglianza e diminuzione della concorrenza con una regolamentazione forte e non scalabile. Non ultime le problematiche legate necessità di prestare attenzione alle soluzioni tecniche disponibili per assicurare metodi di applicazione praticabili, in particolare considerando le esigenze degli operatori più piccoli.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 3