Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

gdpr

Diritto alla portabilità: quanto valgono i nostri dati sfruttati dalle piattaforme digitali

Il diritto alla portabilità dei dati come regolato nel GDPR assume un ruolo di primaria importanza nell’ottica della strategia del mercato unico digitale (di dati personali e non personali) nell’Ue. Vediamo cosa stabilisce il Regolamento Ue, perché assume una importanza fondamentale nell’era del B2B2C e le criticità

25 Ott 2019
Barbara Calderini

Legal Specialist - Data Protection Officier


Il nuovo diritto alla portabilità dei dati, definito nell’art 20  e nel Considerando 68 del GDPR e inteso nel duplice intento di promozione della libera trasferibilità dei dati personali al fine di favorire la concorrenza dei servizi digitali e l’interoperabilità delle piattaforme, e come strumento di maggiore potere di controllo degli interessati sui “propri” dati si inserisce nel contesto del nuovo modello economico della sharing economy e va letto nella sua importanza anche alla luce dell’insufficiente consapevolezza che accomuna gli individui sulla portata dell’acquisizione e circolazione dei contenuti e sul valore dei dati personali.

Il nuovo modello economico B2B2C

Nella Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato Economico e Sociale Europeo e al Comitato delle Regioni, su “Un’agenda europea per l’economia collaborativa” del 2 giugno 2016, ben si delineano i contorni di quei modelli imprenditoriali «in cui le attività sono facilitate da piattaforme di collaborazione che creano un mercato aperto per l’uso temporaneo di beni o servizi spesso forniti da privati» e altrettanto chiaramente si identificano i soggetti protagonisti dell’attuale sharing economy, ossia:

  • i prestatori di servizi, solitamente soggetti privati che condividono beni, risorse, tempo e/o competenze ma anche soggetti professionali (e quindi «prestatori di servizi professionali») che si avvalgono della piattaforma per massimizzare la loro attività;
  • gli utenti, che ponendosi come polo alternativo nel rapporto con i prestatori usufruiscono dei beni e servizi da questi messi a disposizione;
  • le piattaforme on line che mettono in comunicazione prestatori e utenti e che agevolano le transazioni tra di essi e, per questo, definite anche «piattaforme di collaborazione».
  • infine, il c.d. prosumer, un soggetto a metà strada tra il consumatore e il professionista, ossia quel consumatore che è anche produttore di beni e servizi, i c.d. User Generated Content, ossia contenuti prodotti dall’utente. La figura del prosumer è una tra le maggiori sfide che l’economia collaborativa pone al diritto.

Questo nuovo modello economico, che l’industria chiama B2B2C, è centrale nelle attuali dinamiche sociali. Nell’economia delle informazioni in rete in cui i dati sono posti al centro del sistema economico e sociale, gli individui generano continuamente enormi quantità di informazioni e contenuti, spesso senza obiettivi commerciali. Tuttavia i contenuti generati, tramite meccanismi di analisi entrano ben presto a far parte di particolari processi di business funzionando come una “valuta” il cui valore viene determinato attraverso almeno quattro fasi:

  • raccolta e accesso
  • archiviazione e aggregazione
  • analisi e distribuzione
  • utilizzo di set di dati personali

A chi appartengono i (nostri) dati?

Enormi quantità di dati dunque: ma “appartengono” a qualcuno? Poiché dalla fattispecie di appartenenza di un bene dipende l’utilità – peraltro giuridicamente tutelata – che se ne può trarre, allora i dati “appartengono” a chi li genera? O forse al titolare e responsabile della struttura che li registra ed archivia? Meglio, a chi li elabora e ne ha la disponibilità? Oppure, stante che il valore non è nei dati in sé, bensì discende dai trattamenti sugli stessi (specie data analysis), questi appartengono a chi dispone degli algoritmi e dei programmi idonei per apprenderne i risultati misurabili in termini di valore commerciale?

Quel che è certo è che i servizi di social networking come Facebook o AirBnb e BlaBlaCar, ma anche Google e Amazon, sono forniti gratuitamente non per “animus donandi” ma perché, rispondendo a precisi modelli di business, possono essere “monetizzati” in altri modi: a fronte della condivisione di informazioni personali vengono ad esempio rese compensazioni monetarie sotto forma di sconti, accesso a trattamenti preferenziali, servizi personalizzati. Tutto ciò senza che i correlati “costi di invasione e di profilazione” siano percepiti da alcuno con sufficiente consapevolezza quanto all’effettiva incidenza sulle propensioni e abitudini proprie.

In altri termini le piattaforme, uno dei maggiori protagonisti della sharing economy, fungono da catalizzatori, accattivandosi la fiducia non sempre ben riposta degli individui, per consentire alle parti economiche confluite nel loro sistema di realizzare guadagni dal commercio o da altre interazioni riducendo le spese di transazione per incontrarsi ed interagire nel mercato secondario delle terze parti. Pochi gatekeeper in posizione apicale rispetto al mercato risultano, quindi, in grado di tracciare e correlare le abitudini di miliardi di consumatori attraverso piattaforme, servizi online e siti internet. Ovvero una nuova forma di capitalismo di sorveglianza gestita da un oligopolio di cui sono protagoniste alcune imprese private che, tramite la rilevazione delle preferenze e degli interessi di miliardi di persone, hanno reso la raccolta e lo sfruttamento dei dati il core-business delle loro attività. E’ immediato che uno scenario del genere si ponga all’attenzione delle Istituzioni e delle Autorità a livello di protezione dei dati personali ma anche di politiche antitrust e fiscali.

«Lo scopo della portabilità dei dati è quello di aprire il mercato e mettere in gioco delle alternative. Google e Facebook sono pensati come monopolisti dei loro settori tecnologici specifici, i motori di ricerca e i social network, ma in realtà hanno conseguenze enormi su altri settori, come la pubblicità. Gli effetti distorsivi sulla concorrenza dell’azione di questi giganti non sono ancora percepiti abbastanza. E uno dei motivi che consentono loro di avere tanto potere sul mondo della pubblicità è proprio il possesso esclusivo di dati personali. L’attuazione della portabilità dei dati potrebbe rimettere in gioco altri soggetti. Ma il processo comporterà un tempo relativamente lungo di adattamento: l’interoperabilità dei dati è più facile dove già esiste concorrenza, come nel settore delle banche, ma è più difficile dove prevale il lock-in dei giganti, come nei motori di ricerca o nei social network». – Antonello Soro Presidente del Collegio Garante Privacy.

L’evoluzione del concetto generale di privacy e dei nuovi diritti che ad esso si accompagnano, dalla portabilità, all’oblio, è evidentemente legata alla trasformazione della tecnologia e dell’informazione.

Allo stesso modo, l’insufficiente consapevolezza che accomuna gli individui sulla portata dell’acquisizione e circolazione dei contenuti che li riguardano è una delle inevitabili conseguenze dell’asimmetria informativa dovuta al progresso tecnologico, dove troppo facilmente la reale entità della raccolta come dell’utilizzo dei dati personali risulta invisibile agli occhi dell’utente.

Privacy policy, spesso solo uno specchietto per le allodole

Sebbene la vicenda Cambridge Analityca abbia costituito una prima valida occasione per apprendere come i colossi del web traggono parte delle proprie fortune dalla “compravendita” dei dati personali, tuttavia, in Europa, ad un anno dall’aggiornamento del quadro di protezione dei trattamenti dei dati personali, la Commissione non ha mancato di evidenziare come troppe “politiche sulla privacy” siano ancora troppo difficili da leggere se non addirittura di mera facciata. Una sorta di specchietto per le allodole; una forma di “privacy by cool” solo apparentemente rassicurante e fuorviante.

Come noto, la fiducia degli individui è il fattore indispensabile nell’ottica dello sviluppo digitale perseguito anche nel GDPR ma, purtroppo, la stessa si sta rivelando non troppo difficile da ottenere a tutto vantaggio di quelle organizzazioni portatrici dei crescenti interessi economici. L’era dell’informazione digitale ed il business sviluppatosi intorno ad essa hanno innegabilmente rivelato come le aziende interessate a tali mercati mettano a punto alcuni processi comportamentali e psicologici finalizzati abilmente a promuovere la disclosure dei dati personali da parte degli individui a discapito dei principi di trasparenza e correttezza. Al contrario la promozione della fiducia dovrebbe cominciare proprio con la necessaria comprensione e padronanza delle impostazioni sulla privacy: essere consapevoli è effettivamente una precondizione necessaria per poter esercitare i propri diritti e rendere ogni individuo incline a proteggere il diritto fondamentale alla sicurezza e trasparenza dei trattamenti dei dati che lo definiscono e identificano.

Il controllo dei dati nei mercati secondari

Tutto ciò impone che l’attuale portata del diritto alla privacy non possa non contemplare il controllo edotto e consapevole sui potenziali usi dei dati personali specie all’interno dei mercati secondari. Ed è in tal senso che il diritto alla portabilità dei dati assume un rilievo di assoluta importanza. Questo può essere applicato in due particolari circostanze:

  • quando la base legale per l’elaborazione delle informazioni è il consenso o l’esecuzione di un contratto;
  • quando l’elaborazione avviene con mezzi automatizzati.

In tali casi l’interessato ha il diritto di ricevere i dati personali che lo riguardano e che ha fornito ad un titolare o responsabile del trattamento, in un formato strutturato, comunemente usato e leggibile da una macchina e ha altresì il diritto di trasmettere tali dati ad un altro operatore senza alcun impedimento e ove tecnicamente fattibile da parte del primo titolare.

Seguono poi le condizioni di bilanciamento:

  • l’esercizio del diritto di portabilità lascia impregiudicato l’articolo 17 GDPR ovvero il diritto alla cancellazione (all’oblio);
  • non si applica al processo necessario per l’esecuzione di un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui il controller;
  • e non deve pregiudicare i diritti e le libertà altrui.

Diritto alla portabilità e Gdpr, le criticità dell’art. 20

Nella sua versione finale l’art 20 GDPR porta con sé un certo numero di punti critici. In primo luogo l’oggetto del diritto. Questo si riferisce espressamente ai dati personali che riguardano l’individuo e che egli ha fornito al titolare o responsabile del trattamento; nella proposta originaria della Commissione il diritto alla portabilità dei dati si riferiva invece a tutti i “dati in corso di elaborazione”. A seconda, quindi, che l’espressione “dati forniti” venga interpretata in senso restrittivo (limitando la sfera ai soli dati esplicitamente ricevuti dall’individuo) piuttosto che estensivo in linea con il Considerando 68 (e forse anche preferito dal WP29) e dunque includendo nella nozione di dati forniti anche quelli “forniti passivamente” o osservati e dedotti (in genere, si tratta di dati comportamentali, che sono stati raccolti osservando il comportamento dei soggetti interessati, ad esempio dati grezzi elaborati da contatori intelligenti, registri delle attività, cronologia di un sito Web ecc.) – le conseguenze sono notevoli e di importanza critica. Optare per una delle due interpretazioni, tuttavia, pur essendo determinante non ha ancora visto le Autorità prendere una decisione su quali dovrebbero essere i limiti della portabilità dei dati. Lo stesso WP 29 è stato criticato dalla Commissione europea.

Dalle possibili applicazioni estensive o restrittive del diritto alla portabilità dipenderanno i delicati sviluppi del contesto digitale attuale compreso il complesso ambito dei dati inferiti e dei dati non personali e con implicazioni che, coinvolgendo direttamente il più ampio diritto alla privacy, si rifletteranno in altrettanti diritti tra cui il diritto al libero sviluppo della personalità umana e il diritto all’uguaglianza.

Non di meno gli scenari cambieranno profondamente a seconda della preferenza attribuita ai due diversi approcci in relazione al tema delle interferenze tra diritto alla portabilità, diritto di accesso e diritto di cancellazione (o di oblio). In particolare con riferimento al diritto alla cancellazione, il diritto dell’art 20 può contribuire allo sviluppo di risvolti diametralmente opposti: può cioè aumentare la concorrenza tra i servizi digitali qualora i due diritti non venissero simultaneamente ed automaticamente esercitati o viceversa favorire il primo passo verso una sorta di “appartenenza” di default dei dati personali agli interessati con tutto ciò che ne consegue. Per essere più chiari, poiché l’articolo 20 del GDPR non pregiudica l’articolo 17 (diritto di cancellazione) ed il Considerando 68 spiega che il diritto alla portabilità dei dati “dovrebbe, non implicare la cancellazione di dati personali relativi all’interessato forniti dal medesimo per l’esecuzione di un contratto nella misura in cui e per tutto il tempo in cui i medesimi dati personali fossero necessari per l’esecuzione di quel contratto”, allora il diritto alla portabilità rappresenta un terreno i cui potenziali riflessi nel sistema economico e sociale sono notevoli e di certo immediatamente intuibili agli addetti del settore.

Comportando al tempo stesso una sfida al tradizionale sistema della concorrenza e dei diritti di controllo delle persone sui propri dati, sia un’opportunità in fatto di interoperabilità dei sistemi, il diritto alla portabilità impatta sugli individui come sull’economia dei dati e sulle organizzazioni. E per queste ultime, gli sforzi di natura tecnica richiesti potrebbero risultare, in realtà, meno complicati di quanto si possa pensare quanto alle problematiche inerenti il corretto adempimento conseguente all’esercizio del diritto.

Il Considerando 68 del GDPR, in tema di interoperabilità, afferma infatti che i titolari e i responsabili del trattamento dei dati personali “dovrebbero essere incoraggiati a sviluppare formati inter-operabili che consentano la portabilità dei dati” con ciò evidenziando chiaramente un approccio incentivante e non impositivo. Allo stesso modo, inoltre, nel Considerando 68 è precisato che le persone interessate “dovrebbero avere il diritto di trasmettere i dati personali direttamente da un titolare ad un altro” solo “laddove tecnicamente fattibile” senza, pertanto, che sia aprioristicamente imposto alcun obbligo di raggiungere un sistema di interoperabilità in futuro. Se un responsabile del trattamento dichiara che un trasferimento non è fattibile allora deve provarlo, se invece semplicemente non riesce a farlo, allora la portabilità deve essere incentivata.

Un ulteriore punto critico della formulazione riportata dall’art 20 GDPR riguarda il significato esatto dei termini “strutturato“, “comunemente usato” e “formato leggibile dalla macchina“. Nel probabile intento di rimanere tecnologicamente neutrale, il GDPR non contiene una specifica in merito. Poiché il formato giusto è un pre-requisito per la portabilità e dallo stesso dipenderà l’efficienza del diritto stesso, file generici come PDF o zip, non appaiono confacenti alle finalità perseguite. Il WP 29 menziona esplicitamente due formati che tuttavia non sono anch’essi esenti da limiti e richiedono API aggiuntive per accedere a certe informazioni: CSV e XML. Per essere “strutturati”, inoltre, i dati dovrebbero avere una struttura specifica, ad esempio essere memorizzati in un database o in file specifici come i file JSON o CSV. Il formato dei dati deve essere “comunemente usato” oltre che inter-operabile (Cons. 68). Per quanto ovvio l’interpretazione di “comunemente usato” ed inter-operabile si differenzia da industria ad industria e da sistema informativo a sistema informativo: il WP29 raccomanda di utilizzare formati aperti.

The Data Transfer Project

E’ importante ricordare come Microsoft, Google, Twitter e Facebook, già nel 2017, pensarono ad un progetto, a dire la verità poco conosciuto, basato sull’idea di uno standard comune per la trasmissibilità dei dati nell’industria tecnologica chiamato The Data Transfer Project (DTP) che si proponeva la creazione di una piattaforma di portabilità dei dati open-source e service-to-service in modo tale che ogni utente del web potesse spostare facilmente i propri dati tra i fornitori di servizi online ogni volta che lo desiderasse. L’iniziativa consiste in un programma capace di adattare i formati proprietari con i quali sono raccolti e conservati i dati in ciascun servizio, per “tradurli” in un formato compatibile con le altre che partecipano al progetto: il metodo individuato dalle quattro aziende promotrici mira alla creazione di un software che, sfruttando le Api (application programming interface, in italiano interfaccia di programmazione di un’applicazione) di ciascuna piattaforma, converte i dati in modo da renderli compatibili con gli altri.

Il codice sorgente del software, che costituisce la base del Data Transfer Project, è disponibile sulla piattaforma per la condivisione di software libero GitHub, acquisita da Microsoft. Ed è proprio quest’ultima che, nel suo articolo di presentazione, invita altre compagnie e servizi web a partecipare al progetto, definendolo “centrale per l’innovazione e la competizione del cloud”. Quanto alla sicurezza informatica, gli ingegneri del progetto hanno previsto che il trasferimento dei dati possa avvenire in modo criptato, così da proteggere le informazioni in transito da eventuali attacchi informatici.

In Europa, “ISA² Azione 2016.07 SEMIC: la promozione dell’interoperabilità semantica tra gli Stati membri dell’UE” , con particolare riferimento alle pubbliche amministrazioni, ha sviluppato uno studio piuttosto interessante che esamina come l’uso e l’applicazione di “modelli di dati semplificati, riutilizzabili ed estensibili che catturano le caratteristiche fondamentali di un’entità di dati in modo neutro rispetto al contesto e neutrali alla sintassi” definiti Vocabolari Core o di Base, possa fungere da esempio per consentire la portabilità dei dati da un punto di vista tecnico e fornire mezzi per trasmettere i dati personali in un formato inter-operabile.

Conclusioni

Alessandro Acquisti (in The Economics of Personal Data and the Economics of Privacy) usa la metafora della sottoscrizione “dell’assegno in bianco” per descrivere il momento in cui l’individuo decide di cedere le proprie informazioni personali. In una società sempre più affamata di dati, per anticipare bisogni e desideri, chi raccoglie, ordina, archivia e vende informazioni possiede un’ambita moneta di scambio. I data broker lo sanno bene; consumatori ed utenti invece non hanno la minima idea di quale possa essere il prezzo dei dati che condividono.

Negli Stati Uniti, il senatore Mark Warner della Virginia ha annunciato una proposta per costringere le aziende tecnologiche a comunicare agli utenti il valore dei loro dati. In California, dove il California Consumer Privacy Act, ha già incluso nelle sue disposizioni la portabilità come sottoprodotto del diritto di accesso, il governatore Gavin Newsom si fa portavoce di una sorta di “Data Dividend” a favore degli individui che consentono l’accesso alle loro informazioni in modo che possano “condividere la ricchezza creata dai loro dati”.

Il concetto di portabilità è giunto alla ribalta anche a Singapore con il recente annuncio del Ministro per le comunicazioni e le informazioni S Iswaran al Mobile World Congress, secondo il quale il requisito di portabilità dovrà essere integrato nella legge sulla protezione dei dati personali quale incentivo alla trasparenza della raccolta delle informazioni.

Negli ultimi tempi sono nate “startup incubatori di dati” che intendono far entrare gli utenti nel grande business dei big data, tramite servizi che remunerano ogni dato ceduto alle piattaforme online. Una sfida ambiziosa e direi ancor più pericolosa specie se associata al livello di consapevolezza degli utenti circa la reale portata del diritto alla portabilità ex art 20 GDPR e dei loro diritti in genere. In breve, si scaricano le specifiche app, alcune basate su registri di blockchain, si indicano i propri profili social e si valutano le offerte commerciali da parte delle società interessate ai dati personali. Una volta accettata l’offerta economica, la società acquirente promette di pagare l’utente.

In Italia un’applicazione lanciata a fine 2018 da un noto imprenditore ambisce a diventare una vera e propria “banca dei dati” una sorta di caveau dove convogliare le informazioni degli interessati in modo anonimo per poi investirle sul mercato. Tutto ciò, a detta dei fondatori, con un approccio etico.

Lavoriamo sull’iperpersonalizzazione per aumentare l’ingaggio dell’utente”Jose Yanez, vicepresidente regionale per il cloud marketing di SalesForce.

Certamente l’ossessione per la descrizione del cliente risponde all’evoluzione degli attuali modelli di business. Un interessante rapporto dell’ International Data Corporation (IDC), mostra come nel corso del 2018 il mondo abbia generato 33 zettabyte di dati; fino a 4,4 zettabyte appena cinque anni prima. La maggior parte di questi viene archiviata solo per pochi millisecondi prima di essere eliminata; tuttavia, circa 3,7 zettabyte di dati generati dalle persone, ovvero una media di circa 117 gigabyte di dati per utente di Internet, vengono archiviati ogni anno. Il 25 percento di questo viene memorizzato da Google; un altro 1 percento da Facebook. Queste informazioni, combinate con le attuali analisi economiche, generano quasi un quarto di trilione di dollari in valore economico ogni anno.

In Europa, stando alle stime consultabili, l’intera data economy potrebbe raggiungere l’anno prossimo 739 miliardi di euro: il 4% del prodotto interno lordo europeo.

A conclusione di un’analisi che non può che essere solo preliminare e destinata ad essere integrata quale work in progress, non si può non ribadire quanto il Diritto alla portabilità dei dati come regolato nel GDPR, insieme all’interpretazione data dal WP 29 e agli altri “porting rights”, assuma un ruolo di primaria importanza nell’ottica della strategia del mercato unico digitale (di dati personali e non personali) nell’Unione europea.

Non mancano le criticità: dai problemi di privacy e libera concorrenza, alla necessità di stabilire anche la portabilità di dati non personali; dalla necessità di stabilire la portabilità anche per gli utenti professionali che non sono persone fisiche, alla necessità di proteggere i diritti del responsabile del trattamento e il suo investimento quando i dati non sono semplicemente raccolti ma anche rielaborati; dal rischio di agevolare regimi di capitalismo di sorveglianza e diminuzione della concorrenza con una regolamentazione forte e non scalabile, alla necessità di prestare attenzione alle soluzioni tecniche disponibili per assicurare metodi di applicazione praticabili, in particolare considerando le esigenze degli operatori più piccoli. La tecnologia in sé non è intrinsecamente buona o cattiva – può essere sfruttata bene o male da persone buone o cattive, da persone consapevoli o ignare. Le Autorità avranno in tutto ciò un ruolo chiave.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4