Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GIURISPRUDENZA E MERCATI

Portabilità dati dei social network, un diritto difficile: i nodi normativi

Il nuovo diritto introdotto dal Gdpr punta a bilanciare privacy e concorrenza regolando la libera circolazione dei dati. Ma la normativa lascia ancora in campo una serie di smagliature. Spetterà alle authority la corretta interpretazione scongiurando un’ulteriore concentrazione di mercato nelle mani dei big player

08 Ago 2019
Arianna Ciracò

Avvocato, Privacy&GDPR Expert, DPO


Portabilità dei dati, un diritto che può favorire la concorrenza. Si tratta di una norma a carattere innovativo introdotta dalla Regolamento UE 2016/679 (Gdpr) all’art.20. Ha valenza trasversale: mira a tutelare i dati personali ma è al contempo astrattamente idonea a favorirne la libera circolazione, con potenziali effetti anti lock-in.

Tuttavia, esistono una serie di criticità: molto dipenderà dall’applicazione che ne verrà fatta e dal ruolo svolto dalle Autorità di controllo.

La portabilità dei dati è stata salutata come «la novità di maggior rilievo dell’intero complesso di diritti riconosciuti dal Regolamento, e può essere intesa come il diritto a spostare senza vincoli, e in modo integrale, complessi di informazioni strutturate acquisendoli o facendoli circolare direttamente tra titolari[1].

La norma risponde all’esigenza di assicurare e favorire la libera circolazione dei dati a carattere personale, sul presupposto che il fenomeno sia inarrestabile nell’odierna società digitale.

La libera circolazione, infatti, insieme alla protezione dei dati personali è un pilastro fondante dell’intera disciplina approntata dal Gdpr: già nei primi considerando è chiaramente affermato che la rapida evoluzione tecnologica e le sfide della globalizzazione sono elementi con cui il diritto alla protezione dei dati deve confrontarsi. In tale ottica, il legislatore europeo ha sentito l’esigenza di adottare una disciplina, quella del regolamento 2016/679, che si prefigge lo scopo di operare un raccordo tra protezione e libera circolazione dei dati. E ciò che può garantire un simile collegamento è la possibilità per le persone fisiche di esercitare un potere di controllo sui propri dati personali, che si realizza anche nel diritto degli stessi di esercitare la portabilità.

Tuttavia, lo strumento normativo in commento, atteso il carattere innovativo, pone gli interpreti nella consapevolezza che l’esplicazione del diritto ed il suo ordinario atteggiarsi sul piano applicativo saranno aspetti “da scoprire”.

Diritto alla portabilità dei dati: cosa prevede la norma

Il meccanismo operativo introdotto dalla norma in questione consente all’interessato di ricevere i dati, da lui stesso precedentemente forniti ad un titolare del trattamento, ovvero di ottenerne il trasferimento diretto ad altro titolare, salve alcune limitazioni e specificazioni di carattere tecnico. Attraverso l’esercizio del diritto in commento, l’interessato può ricevere dal titolare, in un formato strutturato, di uso comune e leggibile da dispositivi automatici, i dati personali che lo riguardano; egli ha altresì il diritto di trasmettere tali dati ad altro titolare, senza impedimenti. Ciò purché la base giuridica del trattamento sia il consenso o il contratto e sempreché i dati siano trattati con mezzi automatizzati.

Dunque, l’interessato può effettuare una prima scelta: ricevere i dati dal titolare per conservarli – eventualmente per scopi personali o per trasferirli ad un altro titolare – oppure (art.20 par.2) ottenere la trasmissione diretta da un titolare ad un altro. In questo caso la norma non conferisce però all’interessato un diritto soggettivo, poiché subordina tale facoltà alla fattibilità tecnica.

Nelle linee guida del Working Party[2] è presente un’analisi puntuale della disposizione, interpretata in chiave evolutiva. Il gruppo di lavoro individua la ratio della portabilità nella necessità di riequilibrare il rapporto tra gli interessati ed i titolari, attraverso l’affermazione di un diritto che consenta ai primi di controllare l’operato di questi ultimi, facilitando la circolazione, la copia o la trasmissione dei dati da un ambiente informatico all’altro.

In quest’ottica la portabilità viene considerata anche un fattore promotore della concorrenza, poiché favorisce il trasferimento di dati personali. Tuttavia, occorre sempre ricordare che l’art. 20, in quanto norma privacy, deve essere compresa ed interpretata alla luce dei principi e dei criteri propri della disciplina di tale settore.

Diritto alla portabilità: ecco quando non si può esercitare

Il diritto in parola è esercitabile, in primo luogo, con riferimento esclusivo ai trattamenti effettuati con mezzi automatizzati. Inoltre, è consentito nelle ipotesi in cui l’interessato abbia fornito i dati personali sulla base del proprio consenso (ex artt.6, par.1, lett. a) o 9, par.2, lett.a) oppure se il trattamento sia stato necessario per l’esecuzione di un contratto (art. 6, par.1, lett. b). Quindi non esiste un diritto generale alla portabilità, che non può essere esercitata ad esempio (art.20 par.3) qualora il trattamento sia necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare. Tale limitazione è il frutto del bilanciamento tra l’interesse individuale e quello generale, il primo dei quali è destinato a cedere di fronte a ragioni di tutela di rango superiore.

Allo stesso modo, la portabilità non può essere esercitata laddove il trattamento sia basato sul legittimo interesse. Tuttavia, il WP29 nell’ opinion 6/2014[3] sostiene che la portabilità possa costituire una garanzia supplementare, capace di limitare l’indebito impatto sull’interessato per i casi in cui il trattamento sia basato sull’interesse legittimo. Questo depone nel senso di ritenere che la portabilità, seppur non riconosciuta come un diritto in certi ambiti, costituisca sempre una buona prassi che i titolari dovrebbero osservare quanto più possibile.

La norma chiude con il paragrafo 4 prevedendo che l’esercizio di tale diritto sia impedito laddove ciò leda i diritti e le libertà altrui. Questi i limiti negativi, ma qual è l’ambito di applicazione del diritto in commento?

Portabilità, gli ambiti di applicazione

Ferme le esclusioni precedentemente espresse, a delineare il perimetro di operatività dell’istituto contribuisce decisamente l’interpretazione che viene attribuita alle espressioni di “dati che riguardano l’interessato” e “dati che sono forniti dall’interessato”. Indubbiamente, quando la disposizione si riferisce ai dati che riguardano l’interessato, essa intende segnalare che debba trattarsi di dati personali a questo relativi. Pertanto, è possibile escludere preliminarmente i dati che non hanno carattere personale o i dati anonimi.

Ma è ben possibile che tra i dati oggetto di portabilità vi siano anche informazioni di terzi, si pensi ai tabulati telefonici o alle e-mail che contengono informazioni ulteriori non riferibili all’interessato. In relazione a tale aspetto viene subito in rilievo il sopra citato paragrafo 4, che costituisce un limite all’operatività della norma, poiché l’esercizio della portabilità non deve ledere i diritti e le libertà altrui.

Al fine di conciliare l’esigenza dell’interessato e quella di soggetti estranei al rapporto, vengono in soccorso i principi generali che governano la materia, quali quelli di liceità, finalità, pertinenza, non eccedenza: è chiaro che il titolare potrà legittimamente trasferire all’interessato anche dati di terze persone contenuti, ad esempio, nella casella di posta elettronica, purché il destinatario li detenga senza farne un nuovo o diverso utilizzo rispetto a quello per il quale li aveva legittimamente acquisiti.

Laddove, invece, l’interessato opti per il trasferimento da titolare a titolare, il ricevente dovrà fare una valutazione verificando se sia possibile rinvenire una base giuridica per il trattamento dei dati di terzi, diversamente dovrà eliminarli. Onde ridurre i rischi che si verifichino lesioni per i diritti e le libertà di soggetti estranei al rapporto, i Garanti europei sostengono che sarebbe “opportuno che tutti i titolari – sia coloro che “inviano” sia coloro che “ricevono” i dati – rendano disponibili strumenti per consentire agli interessati di scegliere i dati che desiderano trasmettere e ricevere escludendo (se del caso) i dati di altri interessati[4]”.

Ma cosa deve intendersi, invece, per dati “forniti” dall’interessato? Se oggetto di portabilità fossero solo i dati consapevolmente e volontariamente forniti nel corso dell’esecuzione di un rapporto contrattuale, ovvero in occasione della compilazione di un modulo di raccolta del consenso, la norma avrebbe ben poco di innovativo, soprattutto se confrontata con il diritto di accesso, il cui ambito di applicazione è significativamente più ampio.

Anche i dati di navigazione sono “portabili”

Sotto questo profilo la riflessione maggiormente strutturata è stata condotta ancora una volta dal WP29 che fornisce una interpretazione estensiva della norma includendo sia i dati conferiti consapevolmente ed attivamente dall’interessato che i dati osservati, quali risultato delle attività compiute e dei comportamenti tenuti dall’interessato durante la fruizione di un servizio o l’utilizzo di un determinato strumento o prodotto. A titolo esemplificativo, nella categoria dei “dati osservati” possono rientrare la cronologia di navigazione, i dati di traffico, di ubicazione geografica o di frequenza cardiaca ricavata da dispositivi di fitness o sanitari.

E’ chiaro che accedere a tale interpretazione consente una estensione sensibile dell’ambito applicativo della norma, abilitando l’interessato a ricevere – ovvero ad ottenere il trasferimento ad altro titolare – una mole significativa di dati personali che, senz’altro, sono idonei a rivelare molti tratti della personalità (gusti, inclinazioni, preferenze).

I soli dati esclusi, secondo questa impostazione, sarebbero quelli inferenziali e derivati: creati dal titolare, elaborati ed analizzati da questi sulla base dei dati forniti dall’interessato. Le linee guida offrono in proposito una serie di esempi chiarificatori del discrimine tra i dati oggetto di portabilità e quelli esclusi. Questi secondi sarebbero, ad esempio, i risultati prodotti da un algoritmo partendo dal comportamento tenuto dall’interessato – considerati dati generati da un fornitore di servizi – o le valutazioni o punteggi sull’affidabilità creditizia, trattandosi in questo caso di valutazioni elaborate dal titolare attraverso l’osservazione del comportamento dell’utente.

Come anche dovrebbero considerarsi esclusi i dati personali creati dal titolare, attraverso la categorizzazione o la profilazione degli utenti.

Formato dei dati e interoperabilità dei sistemi

La questione dell’interoperabilità rappresenta lo snodo centrale del diritto in commento. Come sopra esposto, la possibilità di ottenere la trasmissione diretta da un titolare ad un altro incontra il limite della fattibilità tecnica. Tale condizione è inscindibilmente connessa al tema del formato dei dati ed al concetto di interoperabilità.

La disposizione prescrive che l’interessato debba ricevere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, senza però fornire specificazioni di carattere tecnico. Ma, nel considerando 68[5], che funge da approfondimento e chiave interpretativa del diritto in commento, il legislatore europeo affianca alle condizioni richieste circa il formato dei dati anche l’elemento della interoperabilità. Il fatto che tale concetto compaia solo nel considerando e non all’interno della previsione normativa conduce gli interpreti ad interrogarsi sul se le caratteristiche indicate dalla norma debbano essere integrate da tale ultimo requisito.

Il WP29 conduce su tale punto un’approfondita analisi partendo dal concetto stesso di interoperabilità (del quale in ambito europeo è adottata una precisa definizione[6]), e chiarisce che le caratteristiche tecniche dei dati devono essere intese nel senso di facilitare l’interoperabilità del formato dei dati messi a disposizione dal titolare. In tal senso si tratta di specificazioni dello strumento da utilizzare, mentre l’interoperabilità è l’obiettivo finale[7]. Tuttavia, sempre il considerando precisa che il diritto degli interessati non dovrebbe comportare l’obbligo per i titolari di adottare sistemi che siano anche compatibili, quindi l’interoperabilità non può imporre oneri aggiuntivi per i titolari ma è evidente che una standardizzazione dei formati potrebbe senz’altro agevolare tale meccanismo.

Da qui si comprende il limite della fattibilità tecnica cui il trasferimento diretto è subordinato.

E’ però necessario ricordare che il Regolamento, oltre che tutelare e garantire la protezione dei dati, ne assicura la libera circolazione e che l’art.20 rappresenta una norma che, più di altre, ha una valenza pro-concorrenza e può contrastare il fenomeno anche noto come vendor lock-in[8], pertanto il considerando 68 deve essere letto nel senso di incoraggiare la interoperabilità dei formati quale strumento di promozione della portabilità dei dati.

Sul punto è opportuno tenere in considerazione che il riferimento al requisito della interoperabilità era contenuto nel testo dei lavori preparatori al Gdpr, ove era conferita alla Commissione Europea la delega di specificare il formato elettronico, le norme tecniche e le procedure per la trasmissione dei dati. La decisione di non inserire la citata disposizione nella versione finale del Regolamento è stata probabilmente presa al fine di evitare che un tale grado di dettaglio potesse costituire una necessaria ingerenza in un ambito lasciato alla libertà del mercato.

In ogni caso, l’art.70 paragrafo 1, lett. e)[9] del Gdpr potrebbe essere lo strumento normativo attraverso il quale realizzare un processo di standardizzazione dei formati. Anche sotto tale profilo, tuttavia, per poter comprendere a pieno la portata della norma sarà necessario verificare come essa verrà concretamente applicata.

Gdpr e normativa a tutela della concorrenza

La portabilità in generale, esulando per un attimo dalla normativa privacy, può essere definita come quel meccanismo che consente ad un utilizzatore di cambiare fornitore, senza subire pregiudizi od oneri eccessivi. In difetto di portabilità la concorrenza si verificherebbe soltanto al momento in cui l’utilizzatore opera la scelta iniziale e non nel corso del rapporto. Tale strumento, pertanto, è astrattamente idoneo a realizzare un abbattimento degli switching costs, di per sé capaci di generare un lock-in di un dato mercato; si comprende, quindi, come la portabilità assolva a numerose funzioni: facilitare l’accesso ai mercati, abbattere i costi di transazione e ridurre gli effetti di concentrazioni capaci di minacciare un dato contesto. Tuttavia, affinché ciò si verifichi è importante che i sistemi dei fornitori siano interoperabili. Laddove l’adozione di tali sistemi non avvenga volontariamente, essa ben può costituire un obbligo regolatorio ex ante.

Ciò con il Gdpr è stato in parte realizzato attraverso il riferimento alla interoperabilità inserito nel considerando 68, ma non si può tacere che se il requisito fosse rimasto nel corpo dell’art.20, esso avrebbe avuto una portata prescrittiva. Per tale ragione la potenzialità della portabilità introdotta nella normativa privacy dipenderà dallo sviluppo che la disposizione avrà nella prassi applicativa e dalle scelte operate dal mercato.

Il rischio dell’assenza di un riferimento normativo, che funga da specificazione circa le caratteristiche tecnologiche dei sistemi è, in primo luogo, quello di limitare il trasferimento diretto dei dati tra titolari, i quali potrebbero opporre il limite della fattibilità tecnica.

Ma, l’importanza dell’interoperabilità è evidente anche qualora l’interessato eserciti il diritto di ricevere i dati per poi trasmetterli ad altro titolare, ai sensi del paragrafo 1. In questo caso la norma conferisce un vero e proprio diritto soggettivo che deve essere garantito senza che il primo titolare possa addurre impedimenti. Ma, se il ricevente non potrà utilizzare le informazioni ricevute per limiti tecnologici, lo spirito pro-concorrenza della norma sarà comunque sacrificato.

Più forza ai social network con la portabilità?

Inoltre, la portabilità potrebbe divenire lo strumento attraverso il quale i grandi player del mercato digitale potrebbero aumentare la propria posizione di forza. Basti pensare, infatti, a quanto semplice sarebbe per un social network con milioni di utenti e capacità economiche enormi, approntare una interfaccia nella quale consentire all’interessato di esercitare il diritto alla portabilità, acquisendo dati da altri titolari che svolgono, ad esempio, servizi bancari o assicurativi. Oppure, ci si può immaginare che l’utente sia incentivato a trasferire alla piattaforma digitale dati relativi alla salute, magari scaricandoli dai sempre più diffusi wearable.

Del resto, la disposizione in commento non prescrive che la portabilità possa essere esercitata solo tra titolari che rendono servizi analoghi. E’ evidente che in tali casi dovranno trovare applicazione i principi generali previsti dal regolamento, in primo luogo quello di finalità e di liceità. Il nuovo titolare dovrà individuare la base giuridica del trattamento dei dati acquisiti, ma è facile immaginare che il consenso dell’utente potrebbe assurgere a condizione di liceità ed essere facilmente acquisito. In questo modo si verrebbero a creare dei profili dei singoli interessati pressoché completi, dal valore economico enorme.

Conclusioni

Da quanto sin qui esposto emergono chiaramente le potenzialità del diritto alla portabilità e le ragioni per cui esso è stato inserito all’interno del Gdpr: i dati personali circolano nella società digitale in modo continuo e massivo e l’interessato deve poter esercitare un controllo su di essi. L’incentivazione alla circolazione delle informazioni può facilitare ed agevolare la concorrenza e, dunque, contrastare le concentrazioni. In tal senso l’art.20 è una disposizione innovativa che si prefigge l’obiettivo di prevenire le distorsioni del mercato, operando ex ante in una logica proattiva. Ma vi sono alcune indubbie criticità.

Al momento siamo solo agli albori della piena applicabilità della disposizione. Sarà necessario osservarne l’evoluzione al fine di verificare quali declinazioni ed implicazioni essa assumerà. Ciò che è certo è che le legislazioni in materia di protezione dei dati personali, di concorrenza e di tutela dei consumatori dovranno essere interpretate ed applicate dalle rispettive Autorità di controllo in modo sinergico ed integrato.

Il fine ultimo rimane quello di scongiurare che i grandi player del mercato digitale possano avvalersi del diritto in commento per concentrare verso di sé maggiori quote di mercato e tipologie di servizi, accrescendo ulteriormente la loro potenza economica a scapito dei diritti e delle libertà fondamentali.

NOTE

  1. PELINO E, in Il Regolamento privacy europeo a cura di Luca Bolognini, Milano, Giuffrè editore, 2016, 249
  2. Gruppo di lavoro ex Articolo 29 ha emanato sul punto le linee guida n. 242/16
  3. Working Party articolo 29, n. 217/14, “Parere n.6/14 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’art.7 della direttiva 95/46/CE”, adottato il 9 Aprile 2014
  4. Cfr. Linee guida 242/2016.
  5. Cfr. Considerando 68: “Per rafforzare ulteriormente il controllo sui propri dati è opportuno anche che l’interessato abbia il diritto, qualora i dati personali siano trattati con mezzi automatizzati, di ricevere in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile i dati personali che lo riguardano che abbia fornito a un titolare del trattamento e di trasmetterli a un altro titolare del trattamento. È opportuno incoraggiare i titolari del trattamento a sviluppare formati interoperabili che consentano la portabilità dei dati. Tale diritto dovrebbe applicarsi qualora l’interessato abbia fornito i dati personali sulla base del proprio consenso o se il trattamento è necessario per l’esecuzione di un contratto. Non dovrebbe applicarsi qualora il trattamento si basi su un fondamento giuridico diverso dal consenso o contratto. Per sua stessa natura, tale diritto non dovrebbe essere esercitato nei confronti dei titolari del trattamento che trattano dati personali nell’esercizio delle loro funzioni pubbliche. Non dovrebbe pertanto applicarsi quando il trattamento dei dati personali è necessario per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili. Qualora un certo insieme di dati personali riguardi più di un interessato, il diritto di ricevere i dati personali non dovrebbe pregiudicare i diritti e le libertà degli altri interessati in ottemperanza del presente regolamento. Inoltre tale diritto non dovrebbe pregiudicare il diritto dell’interessato di ottenere la cancellazione dei dati personali e le limitazioni di tale diritto di cui al presente regolamento e non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto. Ove tecnicamente fattibile, l’interessato dovrebbe avere il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro”.
  6. Art.2 della decisione 922/2009/CE del Parlamento e del Consiglio europeo del 16.09.09: “la capacità di organizzazioni diverse e disparate di interagire in vista di obiettivi comuni concordati e reciprocamente vantaggiosi, ricorrendo alla condivisione di conoscenze e informazioni tra le organizzazioni, per mezzo di processi aziendali che su di esse si basano, tramite scambio di dati tra i rispettivi sistemi TIC”.
  7. Wp29, op.ult.cit, 19
  8. Questo concetto è affermato da E. PELINO, in op. cit., 249 e viene definito come “la dipendenza forzata da un determinato fornitore di servizi”.
  9. La norma recita: Par. 1“Il comitato [europeo per la protezione dei dati] garantisce l’applicazione coerente del presente regolamento. A tal fine il comitato, di propria iniziativa o, se del caso, su richiesta della Commissioni, in particolare: [lett. e)] esamina, di propria iniziativa o su richiesta di uno dei suoi membri o della commissione, qualsiasi questione relativa all’applicazione del presente regolamento e pubblica linee guida, raccomandazioni e migliori prassi al fine di promuovere l’applicazione coerente del presente regolamento”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4