La scelta dell’Europa di non varare un unico corpus juris digitalis organico ed onnicomprensivo, ma tanti atti quante sono le prospettive ed i profili investiti dal fenomeno della digitalizzazione dell’economia si mostrerà efficace? Ecco le sfide da affrontare per competere con le data economy extra-UE
Professore Ordinario di Diritto Costituzionale Italiano e Comparato nel Dipartimento di Scienze Giuridiche dell’Università di Firenze, Vice Presidente del Garante per la protezione dei dati personali
È di tutta evidenza come l’afflato legislativo dell’UE sul digitale prenda atto del grande mutamento del mercato negli ultimi pochi anni: da un’economia che aveva nei dati la sua più preziosa fonte (data-driven economy) siamo passati, quasi senza rendercene conto, ad una data economy in senso proprio, ovvero un’economia in cui il dato è l’oggetto stesso della produzione, delle transazioni, degli investimenti.
La gestione dei dati ha riflessi in punto di diritti, tutele azionabili e corretta formazione del processo democratico.
Il tema è ampiamente dibattuto e ha, ovviamente, a che fare col ruolo centrale delle piattaforme digitali[1].
Il data act europeo preoccupa EDPB e EDPS: ecco i problemi privacy
In termini di mercato, considerando le logiche economiche sottostanti i servizi Internet, più persone usano una piattaforma più cresce il valore della stessa, sino al raggiungimento di una situazione di sostanziale monopolio. In questo contesto, il concetto di ‘catena del valore’, coniato dall’economista Porter in un suo saggio del 1985[2], risulta sempre più attuale in funzione dei nuovi assetti, in cui l’offerta di servizi a prezzo zero si pone in cambio di ricavi e dati pubblicitari.
Analogamente alle tradizionali società di media, le piattaforme riuniscono gruppi distinti di acquirenti: gli utenti, attirati ai servizi offerti, e gli inserzionisti, interessati all’attenzione dei fruitori[3]. Agli spot televisivi si sostituiscono i servizi online progettati per catturare ogni sfumatura delle nostre reazioni in modo da utilizzarle e poi vendere tali dati ad altri. Emblematica la figura del broker che recupera informazioni online, le aggrega, le interpreta e le analizza per poi venderle sul mercato (anche se merita ricordare che la libera accessibilità e conoscibilità dei dati non significa che questi siano pure apertamente riutilizzabili da chiunque e, tanto meno, per qualsiasi scopo[4]).
Recenti scandali hanno evidenziato che sussistono seri rischi di utilizzo improprio dei dati personali dei cittadini per sofisticate attività di profilazione su larga scala e di invio massivo di comunicazioni, o ancora per indirizzare campagne personalizzate (il c.d. micro-targeting) volte a influenzare l’orientamento politico e/o la scelta di voto degli interessati, sulla base degli interessi personali, dei valori, delle abitudini e dello stile di vita dei singoli[5]. Si rende, pertanto, necessario proteggere il processo elettorale da interferenze e turbative esterne: il suindicato rischio risulta ancor più elevato in considerazione delle peculiari condizioni di servizio imposte unilateralmente agli utenti sia dalle piattaforme di comunicazione e social networking, sia nei dispositivi mobili utilizzati. Infatti, tali condizioni, in alcuni casi, prevedono la condivisione indifferenziata (e senza il necessario consenso specifico) di gran parte dei dati personali presenti negli smartphone e nei tablet (quali rubrica, contatti, sms, dati della navigazione internet), o l´accesso del fornitore alla lista dei contatti o alla rubrica presente sul dispositivo mobile e persino la possibile integrazione con molteplici altri servizi.
Nell’ineludibile consapevolezza di questo scenario, l’Unione Europa nel 2020 ha evidenziato il suo scopo di creare un unico apparato di regole applicabile in tutta Europa atte a disciplinare l’economia dei dati e, attraverso di essa, i rischi e gli abusi derivanti dalla posizione dominante delle piattaforme online attualmente presenti in Rete, rendendo la dimensione digitale uno spazio più aperto e sicuro, rispettoso dei valori fondanti la nostra Comunità. In tale ottica, si deve leggere la Strategia europea in materia di dati del febbraio 2020, mediante la quale la Commissione si è impegnata a esplorare la necessità di un’azione legislativa specifica avente a oggetto la creazione di “un autentico mercato unico di dati, aperto ai dati provenienti da tutto il mondo – nel quale sia i dati personali sia quelli non personali, compresi i dati commerciali sensibili, siano sicuri e le imprese abbiano facilmente accesso a una quantità pressoché infinita di dati industriali di elevata qualità, che stimolino la crescita e creino valore”[6].
L’obiettivo della tutela della concorrenza e l’acquis della libera circolazione sono chiaramente ancora oggi la bussola dell’azione della Commissione la quale ci dota di un pacchetto di norme che disciplinano il fenomeno più ampio sotto diversi aspetti, anche se in parte interconnessi: quello delle reti e dei servizi, col Digital Services Act, quello delle piattaforme e della concorrenza, col Digital Market Act, quello della condivisione dei dati personali, e non, fra settore pubblico e privato, col Digital Governance Act, ed infine col Data Act (una sorta di summa, su cui infra), l’accessibilità al valore rappresentato da quei dati.
Serve, dunque, interrogarsi sul significato profondo di questa intensa stagione normativa, sull’impatto che essa avrà sui diritti e le libertà delle persone fisiche europee e residenti in Europa. Nella congerie contingente in cui tutto appare sdrucciolevole abbiamo bisogno di razionalizzazione, di semplificazione, di ottimo drafting, oltre a doverci ricordare in ogni momento quali sono i beni giuridici effettivamente tutelati, patrimonio intangibile e caratterizzante della nostra civiltà. Ecco perché, da giuristi, ci si deve chiedere se la scelta di non varare un unico corpus juris digitalis organico ed onnicomprensivo, ma tanti atti quante sono le prospettive ed i profili investiti dal fenomeno della digitalizzazione dell’economia, sia stata quella più coerente e, soprattutto, efficiente.
Si pongono già, infatti, questioni non banali di perimetrazione di ambiti e di interpretazione armonizzanti e non conflittuali non solo tra le normative in cantiere, ma anche tra queste ultime e quelle già esistenti. Il riferimento d’obbligo è alla disciplina della protezione dei dati personali. Certo, e dichiaratamente, Digital Service Act, Digital Market Act, Digital Governance Act e Data Act lasciano intatti ed impregiudicati i diritti e gli obblighi relativi ai trattamenti di dati personali ai sensi del GDPR. Il Legislatore ha precisato che tutta questa nuova normativa deve essere letta in parallelo al Regolamento europeo sulla protezione dei dati, ma in realtà essa fornisce regole molto più ampie che si applicano a tutti i “dati”[7].
Ciò significa che solo al momento della sua applicazione concreta emergerà con chiarezza – un vero e proprio “stress test” – quanto del GDPR riuscirà effettivamente a resistere. E ciò vale con la massima intensità per la spinta alla condivisione dei dati, fra i quali, inevitabilmente, anche quelli personali.
Quasi pleonastico ribadire che i dati (personali e non) sono una risorsa essenziale per l’innovazione, la crescita economica e il progresso sociale in vari campi: dalla salute all’agricoltura, dall’energia ai sistemi di trasporto intelligenti, dalla finanza alle smart cities. Non una mera commodity, ma il vero motore della crescita economica. Nel contesto di una “nuova” economia dei dati, anche il citato Regolamento UE n. 1807/2018, riguardante la libera circolazione dei dati non personali, riconosce l’importanza dei più recenti sviluppi della tecnologia dell’informazione e della comunicazione[8].
Il ruolo dei dati nell’economia e nella società è crescente in quanto possono essere raccolti a basso costo con l’implementazione di dispositivi connessi e possono essere analizzati in modo più vantaggioso con lo sviluppo di tecniche di intelligenza artificiale. Il valore e gli interessi suscitati dai dati risiedono nelle informazioni e nella conoscenza che possono esserne dedotte. Le scienze dell’informatica utilizzano il concetto di ‘piramide dei dati’ per spiegare la relazione tra dati, informazioni e conoscenza e tale piramide può essere applicata alla catena del valore dei dati come spiegato da Gal e Rubinfeld[9]. Tale catena comprende diversi livelli: (a) al primo stadio, dati personali grezzi e non personali sono raccolti direttamente o acquistati su un mercato di dati secondario; (b) al secondo stadio, i dati sono strutturati e trasformati in informazioni parlanti; (c) terzo, quei dati strutturati sono analizzati da algoritmi e le informazioni sono trasformate in conoscenza, come potrebbe essere una predizione; ed infine (d) l’analisi dei dati strutturati induce un’azione deliberata come, ad esempio il miglioramento dei prodotti o delle offerte.
Entrando più nel dettaglio, gli sforzi e gli investimenti del titolare dei dati aumentano e possono anche essere protetti dai diritti di proprietà intellettuale. Di conseguenza, aumenta l’interesse a tutelare la proprietà e gli incentivi agli investimenti, che rappresentano una parte dell’equilibrio quando si decide di imporre il diritto all’accesso. In pratica, una richiesta di accesso ai dati può avvenire a diversi livelli della catena del valore. Un richiedente accesso può domandarlo relativamente a dati grezzi e quindi eseguire altre operazioni a valle, ovvero strutturare, analizzare e utilizzare i dati. O può anche richiedere l’accesso alla struttura per poi eventualmente raccogliere e analizzare i dati. Il richiedente può anche esercitare l’accesso al set completo (ovvero i dati raccolti, strutturati e analizzati) per poi intraprendere la propria linea di azione.
Dati e big data sono stati definiti in molti modi[10], ma quella proposta dall’OCSE[11] è una delle declinazioni più convincenti: i dati costituiscono un’infrastruttura o risorse infrastrutturali che soddisfano una serie di criteri: a) i dati sono un bene non rivale in quanto possono essere condivisi senza perdere il loro valore, quindi l’accesso ai dati è spesso equiparato alla condivisione dei dati; b) i dati sono un bene capitale in quanto vengono spesso utilizzati come input per lo sviluppo di altri prodotti. Questo è particolarmente vero per l’apprendimento automatico in cui i dati sono la materia prima per l’algoritmo; c) i dati sono un input a finalità generica che può essere utilizzato e riutilizzato per sviluppare prodotti diversi, ad esempio gli stessi dati comportamentali possono essere utilizzati per sviluppare un algoritmo di rilevamento delle frodi o un algoritmo di previsione dei gusti.
La raccolta, la strutturazione o l’analisi dei dati può essere soggetta a barriere di ingresso legali, tecnologiche, economiche. Per la raccolta dei dati, ostacoli giuridici possono essere rinvenuti nella legislazione (in particolare la disciplina sulla protezione dei dati che regola rigorosamente la raccolta dei dati personali), o nei contratti che possono contenere clausole di esclusività che vietano il trasferimento dei dati. Gli ostacoli possono anche essere tecnici, ad esempio quando i dati sono crittografati. Infine, le barriere possono essere economiche quando la raccolta dei dati è strutturata secondo economie di scala e di portata, o effetti di rete. Questo è il caso in pratica poiché molti dati vengono raccolti, in contesti di mercato con molteplici attori, a fronte di servizi “gratuiti” che mostrano, appunto, importanti effetti di rete. Ad esempio, è più semplice e meno costoso per un grande social network come Facebook raccogliere i dati perché in grado di attrarre utenti più facilmente visti gli effetti diretti della rete. Allo stesso modo, è meno costoso per un grande motore di ricerca come Google attrarre più query di ricerca perché possono coinvolgere utenti più facilmente dati gli effetti indiretti della rete. Per quanto riguarda la strutturazione dei dati, ostacoli giuridici possono essere riscontrati nella legislazione a tutela dei diritti di proprietà intellettuale (come banche dati o segreti commerciali) o nei contratti. Le barriere possono anche essere tecniche, ad esempio quando i dati strutturati non sono interoperabili. Infine, i limiti possono essere di carattere economico perché le strutture dei dati spesso presentano importanti effetti di rete in quanto consentono la comunicazione di dati tra diversi attori del mercato attivi a diversi livelli di valore della catena. Per quanto riguarda, infine, l’analisi dei dati, gli ostacoli possono essere giuridici, in particolare le norme sulla privacy che limitano il trattamento dei dati. Le barriere sono spesso economiche perché l’analisi dei Big Data mostra importanti economie di scala e di scopo. Il livello delle economie di scala (il volume dei dati) non è facile da determinare e dipende molto dal tipo di dati e dal tipo di analisi[12]. Economie di scopo (la varietà dei dati) possono essere anche più importanti delle economie di scala, ma sono ugualmente difficili da valutare[13].
Al fine di lasciar esprimere tutto il potenziale dei dati per l’economia, sono in fase di elaborazione meccanismi per creare una più ampia accessibilità e riutilizzo dei dati tra attori privati e pubblici in molte aree delle attività produttive e dei servizi. Si impiega la nozione di “condivisione dei dati” come termine generico in riferimento ai vari modi in cui i dati possono essere scambiati. Ciò include l’accesso (capacità di conoscere ed eventualmente utilizzare i dati, a seconda delle condizioni stabilite dal regime in questione), nonché la portabilità dei dati (capacità di ottenere la copia dei dati o di trasferirli). La direttiva sui dati aperti e l’informazione del settore pubblico[14] disciplina la condivisione dei dati tra Governi e imprese, ma altre dimensioni rilevanti della condivisione dei dati sono quelle relative alle seguenti relazioni: Business-to-Business, Business-to-Consumer e Business-to-Consumer-to-Business (dove, ad esempio, un consumatore richiede la portabilità dei dati che vengono poi condivisi con un altro fornitore).
Il quadro normativo ottimale relativo alla condivisione dei dati dovrebbe massimizzare i vantaggi della condivisione dei dati riducendo al minimo i rischi connessi a siffatto trattamento.
Ciò si basa su una combinazione di numerosi strumenti giuridici, alcuni di natura settoriale (ad esempio negli ambiti finanziario, automobilistico, energetico o agricolo)[15], altri di carattere orizzontale (come la concorrenza, il diritto dei consumatori e la protezione dei dati). Le tre discipline contribuiscono all’integrazione del mercato interno e tutelano il benessere dei consumatori che, spesso – in quanto ‘persone fisiche’- sono anche ‘interessati’ ai sensi della normativa del GDPR. Sebbene vi sia una sovrapposizione di obiettivi, i mezzi con cui tali obiettivi vengono perseguiti differiscono: il diritto della concorrenza cerca di proteggere il benessere dei consumatori ma anche la libertà e l’operatività delle imprese, intervenendo contro i comportamenti anticoncorrenziali; il diritto dei consumatori mira ad assistere i consumatori in quanto parte più debole nelle transazioni di mercato; il diritto alla protezione dei dati personali fornisce agli interessati il controllo sui propri dati ed ha il suo fondamento nell’ineludibile necessità di tutela dei diritti fondamentali.
A causa del loro diverso ambito di protezione, le tre discipline possono completarsi a vicenda, come pure entrare in conflitto nel modo in cui regolano la condivisione dei dati. Per tale ragione risulta assolutamente rilevante che tali strumenti giuridici orizzontali e settoriali siano applicati in modo coerente. Ciò significa, da un lato, che qualsiasi conflitto debba essere attenuato o minimizzato e, dall’altro, che i diversi strumenti orizzontali (antitrust, diritto dei consumatori, o privacy) siano applicati più come complementi che come sostituti, basandosi su norme aperte che lasciano un importante margine di interpretazione alle Autorità di regolazione, le quali dovrebbero interpretare il diritto in modo da ridurre al minimo il conflitto e massimizzare la relativa ratio.
La condivisione dei dati presenta molte opportunità, in particolare per sfruttare i vantaggi dell’analisi dei Big Data, stimolare l’innovazione o garantire parità di condizioni per l’innovazione tra le imprese che dispongono di molti dati e quelle che ne dispongono di meno. Non sono, tuttavia, da sottovalutare i rischi, ad esempio di collusione esplicita o tacita tra imprese, lo sfruttamento dei consumatori, nonché lesioni della privacy, o quello di ridurre gli incentivi dei titolari dei dati a raccogliere, archiviare e analizzare i dati.
Le proposte di Data Act e di Data Governance Act della Commissione sono testi complessi: mentre quest’ultimo crea procedure e strutture per facilitare la condivisione dei dati da parte di aziende, privati e settore pubblico, il Data Act dovrebbe chiarire chi può creare valore dai dati e a quali condizioni[16] ed entrambe le misure andrebbero lette in maniera complementare al GDPR[17]. In via di premessa non si può non leggere nel Data Governance Act e nel Data Act un tentativo di dettare le prime regole in materia di monetizzazione dei dati; speriamo il tentativo risulti coerente coi principi (anzitutto quello del consenso libero e specifico, ma anche quelli di finalità e minimizzazione del trattamento) ormai consolidati del GDPR e, prima ancora, sanciti dall’abrogata fondamentale direttiva 95/46/CE, in materia di protezione dei dati.
Da tempo l’Unione Europea sta cercando di ridisegnare il proprio ruolo nella digital economy, auspicando un rafforzamento della competizione tecnologica europea che favorisca l’istituzione di un mercato unico dei dati. L’obiettivo dichiarato del Data Act è rimuovere le barriere all’accesso ai dati il cui valore attualmente non verrebbe raccolto a causa di una serie di fattori. Le PMI, infatti, spesso non sono in grado di negoziare accordi equilibrati di condivisione dei dati con soggetti del mercato più forti; troppi ostacoli si frappongono al passaggio tra servizi cloud competitivi, affidabili ed all’avanguardia; e su tutto domina una limitata capacità di combinare dati provenienti da diversi settori.
Il Data Act mira, dunque, a chiarire chi può utilizzare e accedere ai dati generati in tutti i settori economici; a stimolare servizi nuovi e innovativi e prezzi più competitivi per i servizi c.d. «aftermarket», nonché per le riparazioni di oggetti connessi. Secondo la Commissione, questa è una normativa che svolgerà un ruolo chiave nella trasformazione digitale[18].
Il progetto di Regolamento chiede che i produttori permettano ai proprietari di dispositivi connessi di vedere quali dati stanno raccogliendo e trasmettendo e che i dati siano condivisi con terze parti. Mira anche a riequilibrare i contratti di condivisione dei dati che le aziende firmano, per assicurarsi che i termini non siano squilibrati a favore delle multinazionali. Vuole che gli enti governativi siano in grado di accedere ai dati detenuti dalle aziende in “circostanze eccezionali”, come nelle emergenze pubbliche (ad esempio inondazioni o incendi). Ed infine è inteso anche a imporre salvaguardie contro il trasferimento illegale di dati: una clausola che potrebbe colpire le aziende statunitensi o altre aziende straniere che cercano di trasferire i dati degli europei fuori dall’UE, in violazione del Regolamento sulla protezione dei dati personali.
Si tratta quindi di una legislazione che, insieme al Digital Governance Act, indurrebbe ad una maggiore condivisione dei dati tra le aziende in Europa, con ciò allentando la presa che, secondo la Commissione, alcune grandi realtà tecnologiche – in larga parte non europee – hanno su alcuni dati commerciali e industriali. Si garantirebbe in tal modo un processo virtuoso di crescente equità, ma anche di democraticità, nell’ambiente digitale, stimolando un mercato dei dati competitivo e rendendo i dati più accessibili per tutti; inoltre, si agevolerebbe l’innovazione basata sui dati, con le connesse chance di utilità varie e crescenti, per molti versi persino imprevedibili ed imponderabili, comunque accettando l’affascinante sfida postaci dalla dimensione digitale. L’Europa vuole insomma aiutare le aziende più piccole a tenere il passo con quelle grandi nella corsa al profitto ricavabile da una marea di dati, personali e non, generati da prodotti connessi alla Rete e/o interconnessi fra loro, che vanno dagli elettrodomestici intelligenti alle smart car[19].
Il Data Act evidenzia quindi come anche i dati non strettamente personali siano una risorsa importantissima per la crescita economica nell’Unione ed in tal senso non mira soltanto a potenziare i diritti del consumatore e dell’interessato, ma anche quelli delle aziende medie e piccole, che non potranno essere obbligate a condividere i propri dati con terzi più grandi e minacciosi, ma potranno, di contro, riceverli. Ciò rende chiaro l’intento del legislatore europeo, il quale vuole far sì che questa normativa non crei un ulteriore gap tra i gatekeeper (target già del Digital Markets Act) e le PMI ma anzi favorisca un accenno di riequilibrio.
Tuttavia, se, da un lato, prevede disposizioni sulla condivisione dei dati, le condizioni di accesso da parte degli enti pubblici, i trasferimenti internazionali di dati, il passaggio al cloud e l’interoperabilità, dall’altro restano ancora da chiarire le procedure di utilizzo e di accesso ai dati da parte del settore pubblico, l’interazione con le altre leggi in vigore, le criticità sollevate tanto dalle PMI, quanto dalle grandi compagnie tecnologiche, che lamentano di essere discriminate dalle misure protezionistiche del Data Act, il quale spingerebbe effettivamente molte aziende che operano in Europa a memorizzare più dati in Europa, con fornitori europei, piuttosto che inviarli all’estero o ricorrere ad aziende extra-UE.
Non mancano di suscitare preoccupazione le disposizioni che ordinano alle imprese di impedire ai Governi non-UE l’accesso a tutti i dati raccolti in Europa, per contrastare la sorveglianza straniera: un onere comunque significativo per le aziende, che dovranno determinare come affrontare le richieste di dati e quali dati sono obbligate a condividere, con evidenti complessità tecnico-giuridiche da affrontare e soprattutto con investimento di risorse ad hoc. È pur vero che il Data Act si concentra sui dati non personali, ma intersecandosi con le disposizioni del GDPR, le sue norme potrebbero creare incertezza giuridica, scoraggiando la condivisione transatlantica di dati.
Anche il Data Governance Act si applica ai “dati” in generale – “qualsiasi rappresentazione digitale di atti, fatti o informazioni…” – e non solo ai dati personali. Questa bozza di Regolamento incoraggia un più ampio riutilizzo dei dati detenuti dagli enti del settore pubblico, compresi i dati personali, utilizzando però ambienti di elaborazione sicuri e tecniche di anonimizzazione, come la c.d. differential privacy o la creazione di dati sintetici. La parte della bozza che tratta di questi temi può favorire un maggiore sviluppo e una guida sull’uso di tali tecniche che possono essere adottate in un settore più ampio, ben oltre l’obiettivo immediato del riutilizzo dei dati del settore pubblico. Col Digital Governance Act è istituito un regime di accreditamento per i c.d. “intermediari di dati”. Si tratta di organizzazioni che stabiliscono accordi commerciali tra titolari e utenti di dati ma che di per sé non aggiungono valore ai dati. Gli intermediari dei dati dovranno soddisfare condizioni di licenza volte a garantirne l’indipendenza e l’impossibilità per loro di riutilizzare direttamente dati e metadati. I requisiti influenzeranno coloro che forniscono digital markets o anche piattaforme di gestione del consenso. Tale disciplina incoraggia il c.d. “altruismo dei dati”, facilitando un accesso più ampio ai dati, in particolare per la ricerca scientifica. Coloro che operano senza fini di lucro per finalità di interesse generale potrebbero così considerare di diventare un’organizzazione riconosciuta e accreditata per la citata finalità solidale.
Anche il Data Governance Act contiene disposizioni mirate alla limitazione dei trasferimenti di dati non personali. Gli intermediari dei dati e i fornitori riconosciuti di altruismo dei dati dovranno valutare di volta in volta se i Paesi terzi offrono protezioni adeguate per i dati non personali e dovranno resistere ai tentativi delle autorità pubbliche dei Paesi terzi di accedere ai dati non personali provenienti dall’UE. Esistono ulteriori restrizioni applicabili a coloro che sono coinvolti nel riutilizzo dei dati del settore pubblico, nonché meccanismi per consentire alla Commissione di riconoscere i Paesi che offrono una protezione adeguata e di adottare clausole contrattuali standard per il trasferimento di dati non personali.
Con il parere congiunto recentemente presentato il Comitato Europeo per la protezione dei dati (EDPB) ed il Garante Europeo per la protezione dei dati (EDPS) hanno inteso richiamare l’attenzione su una serie di preoccupazioni generali in merito alla proposta di Data Act e sollecitare i co-legislatori (Parlamento e Consiglio) a intraprendere un’azione decisiva. EDPB ed EDPS rilevano che la proposta si applicherebbe ad un’ampia gamma di prodotti e servizi, compresi gli oggetti interconnessi (Internet of Things), i dispositivi medici o sanitari e gli assistenti virtuali (Alexa, Siri, Google, etc.). Alcuni di tali prodotti e servizi possono anche trattare categorie particolari di dati personali, come dati relativi alla salute o dati biometrici. Poiché la proposta non esclude esplicitamente nessuna tipologia di dati dal suo ambito di applicazione, i dati che rivelano informazioni altamente sensibili su individui potrebbero diventare oggetto di condivisione e utilizzo dei dati.
Pur accogliendo favorevolmente gli sforzi compiuti (più dichiarati che effettivamente realizzati in concreto) per garantire che la proposta non incida sull’attuale quadro di protezione dei dati, l’EDPB e l’EDPS ritengono che siano necessarie ulteriori salvaguardie per evitare che nella pratica la protezione dei diritti fondamentali alla vita privata e alla protezione dei dati personali risulti significativamente ridotta.
In primo luogo, sono particolarmente necessarie ulteriori garanzie in quanto i diritti di accesso, utilizzo e condivisione dei dati ai sensi della proposta si estenderebbero probabilmente a soggetti diversi dagli interessati, aziende comprese, a seconda del diverso titolo giuridico in base al quale il dispositivo viene utilizzato. In secondo luogo, le Autorità hanno manifestato profonda preoccupazione per le disposizioni della proposta in merito all’obbligo di rendere disponibili i dati agli enti del settore pubblico e alle istituzioni, agenzie o organismi dell’Unione in caso di “necessità eccezionali” (l’eco pandemica è ancora troppo vicina e l’emergenza sanitaria, in vero, sembra avere smarrito il carattere di temporaneità, e così anche l’eccezionalità legittimante la circolazione dei dati, oltre che le gravi restrizioni alle libertà personali). Infine, EDPB ed EDPS temono che il meccanismo di controllo istituito dalla proposta possa portare a una vigilanza frammentata e incoerente.
Per limitare i rischi di un’interpretazione o attuazione della proposta che potrebbero pregiudicare fino a compromettere l’applicazione della normativa vigente in materia di protezione dei dati, EDPB ed EDPS invitano Parlamento e Consiglio a specificare in maniera esplicita che la normativa sulla protezione dei dati “prevale” in caso di contrasto con le disposizioni della Proposta per quanto riguarda il trattamento dei dati personali[20].
In linea di principio, il riuso dovrebbe riguardare dati non riferibili a persone identificate o identificabili (si pensi, ad esempio, a informazioni cartografiche, ambientali, ecc.) o comunque dati aggregati e opportunamente anonimizzati sì da eliminare (o comunque minimizzare) il rischio di reidentificazione degli interessati (rischio non trascurabile, considerata la possibilità di incrociare distinti dataset)[21]. Al fine di promuovere la ‘minimizzazione’ dei dati, i prodotti dovrebbero essere progettati in modo tale che agli interessati sia offerta la possibilità di utilizzare i dispositivi in modo anonimo o nel modo meno intrusivo possibile per la privacy, indipendentemente dal titolo in base al quale usano il dispositivo. I titolari dei dati dovrebbero quindi limitare il più possibile la quantità di dati in uscita dal dispositivo (ad esempio, rendendoli anonimi).
Inoltre, il rafforzamento del diritto alla portabilità dei dati, menzionato nel Considerando 31 come uno degli obiettivi della proposta, richiederebbe, nella misura in cui sono coinvolti dati personali, un effettivo potenziamento della posizione degli interessati (una vera e propria “emancipazione” dal titolare) in modo da conferire loro un maggiore controllo sui propri dati personali. Poiché la definizione di “utente” ai sensi della proposta comprende le persone giuridiche, in caso di esercizio di questo diritto da parte di un’impresa, ciò assume la forma di un obbligo ex lege per il produttore/titolare dei dati di fornire l’accesso ai dati alle imprese e di consentirne lo sfruttamento, piuttosto che il “diritto” degli individui di accedere e “portare” altrove i propri dati personali. Infatti, secondo la nozione di “utente” adottata nel Data Act, le persone fisiche possono esercitare il diritto alla portabilità solo incidentalmente, a seconda del titolo in base al quale utilizzano il prodotto o il servizio connesso (proprietà, noleggio o locazione) piuttosto che in base al loro rapporto diretto con le informazioni relative al proprio uso privato del prodotto o servizio. Pertanto, al fine di ottenere un’effettiva tutela delle persone fisiche in relazione ai loro dati personali, il concetto di ‘utente’ – di cui all’articolo 2, paragrafo 5, della proposta al pari del restante testo – dovrà essere integrato e specificato: (a) aggiungendo nella relativa definizione anche gli “interessati” (data subjects) e (b) differenziando chiaramente le situazioni in cui l’utente è un interessato (persona fisica tutelata dalle disposizioni del GDPR) da quelle in cui l’utente non lo è.
Inoltre, l’EDPB e l’EDPS raccomandano di specificare che, laddove l’utente sia un interessato, i dati personali generati dall’uso di un prodotto o servizio correlato siano messi a disposizione dell’utente solo in conformità con le disposizioni, in particolare, degli articoli 6 e 9 del GDPR, ovvero solo in presenza di un’adeguata base giuridica, differenziata a seconda che si tratti di dati comuni o di dati afferenti alle categorie particolari. Oltre alla condizione che, ove pertinenti, siano soddisfatti i requisiti dell’articolo 5, paragrafo 3, della direttiva 2002/58/CE (c.d. direttiva e-Privacy)[22], ovvero l’assicurazione che l’uso di prodotti e servizi per archiviare informazioni o per avere accesso a informazioni archiviate nell’apparecchio terminale di un utente sia consentito unicamente a condizione che l’utente interessato sia stato informato in modo chiaro e completo, tra l’altro, sugli scopi del trattamento in conformità del GDPR e che gli sia offerta la possibilità di rifiutare tale trattamento. Ciò non impedisce l’eventuale memorizzazione tecnica o l’accesso al solo fine di effettuare o facilitare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell’informazione esplicitamente richiesto dall’utente. Analoghe considerazioni valgono per la messa a disposizione di dati a terzi su richiesta di un utente-impresa (e non interessato-persona fisica).
EDPB ed EDPS sottolineano la necessità di garantire che l’accesso, l’utilizzo e la condivisione dei dati personali da parte di utenti diversi dagli interessati, nonché da parte di terzi e titolari di dati, avvengano nel pieno rispetto di tutte le disposizioni del GDPR , EUDPR (la normativa valevole per le istituzioni dell’UE) e direttiva e-Privacy, compresa la comunicazione agli interessati dell’accesso da parte dei titolari del trattamento ai loro dati personali e l’agevolazione dell’esercizio dei diritti degli interessati da parte dei titolari del trattamento. L’EDPB e l’EDPS hanno inoltre richiamato l’importanza di garantire che qualsiasi “trattamento ulteriore” (riutilizzo) dei dati personali sia conforme in particolare all’articolo 6, paragrafo 4, del GDPR (i.e. gli ulteriori limiti e condizioni introdotte o conservate dagli Stati membri nel diritto interno) e, con particolare riguardo alla possibilità di processi decisionali automatizzati, compresa la profilazione, con i pertinenti e stringenti obblighi previsti dall’articolo 22 GDPR, anche con riguardo al fondamentale presidio dell’intervento umano.
Comitato e Garante europeo hanno anche raccomandato di includere nella proposta chiare limitazioni o restrizioni all’uso dei dati personali generati dall’utilizzo di un prodotto o servizio da parte di qualsiasi entità diversa dagli interessati, in particolare quando i dati in questione possono consentire conclusioni precise da trarre sulla loro vita privata o il trattamento comporterebbe comunque rischi elevati per i diritti e le libertà delle persone interessate. In particolare, viene raccomandata l’introduzione di chiare limitazioni per quanto riguarda l’uso dei dati personali generati dall’utilizzo di un prodotto o servizio a fini di marketing diretto o pubblicità, monitoraggio dei dipendenti, scoring per l’accesso al credito o per determinare l’idoneità ad un’assicurazione sanitaria, per calcolare o modificare i premi assicurativi. Tale raccomandazione lascia impregiudicate, chiaramente, eventuali ulteriori limitazioni che potrebbero risultare opportune, ad esempio, per tutelare le persone vulnerabili, in particolare i minori, o per la natura particolarmente sensibile di alcune categorie di dati (es. dati relativi all’uso di un dispositivo medico o dati biometrici) e, più in generale, per garantire l’applicazione delle tutele offerte dalla normativa dell’Unione in materia di protezione dei dati.
Per quanto riguarda il capo V della proposta, le Autorità europee di protezione dati nutrono profonde preoccupazioni sulla liceità, necessità e proporzionalità dell’obbligo di rendere disponibili i dati agli enti del settore pubblico e alle istituzioni, agenzie o organismi dell’Unione in caso di “necessità eccezionali”. EDPB ed EDPS hanno quindi rammentato ai co-legislatori che qualsiasi limitazione al diritto ai dati personali deve fondarsi su una base giuridica adeguatamente accessibile (trasparente) e prevedibile e formulata con sufficiente precisione per consentire alle persone di comprenderne la portata. Conformemente ai principi di necessità e proporzionalità, anche la base giuridica deve definire la portata e le modalità dell’esercizio dei loro poteri da parte delle autorità competenti ed essere accompagnata da garanzie sufficienti a tutelare le persone da ingerenze arbitrarie.
È stato inoltre osservato come le circostanze che giustificano l’accesso non sono specificate in modo restrittivo e sia quindi assolutamente necessario che il legislatore definisca in modo molto più rigoroso le ipotesi di emergenza o di necessità eccezionale. EDPB ed EDPS ritengono correttamente che determinati organismi del settore pubblico e istituzioni, agenzie e organismi dell’Unione dovrebbero essere esclusi dall’ambito di applicazione del capo V in quanto tale e dovrebbero poter obbligare i titolari dei dati a rendere disponibili i dati solo in conformità dei poteri conferiti dalla normativa di settore.
L’EDPB e l’EDPS hanno anche evidenziato il rischio di difficoltà operative che potrebbero derivare dalla designazione di più di un’Autorità competente responsabile dell’applicazione e dell’esecuzione del Data Act. Il Comitato ed il Garante europeo hanno espresso serie preoccupazioni sul fatto che una simile architettura della governance (più Autorità con competenze concorrenti e responsabilità condivise a seconda del profilo coinvolto: protezione dati, concorrenza, diritto dei consumatori, reti e comunicazioni, etc.) crei incertezza del diritto, e, conseguentemente, complessità e confusione sia per le imprese che per gli interessati, divergenze negli approcci di regolazione in tutta l’Unione, compromettendo così anche la coerenza della vigilanza e dell’applicazione.
EDPB ed EDPS accolgono con favore la designazione (potremmo anche dire il riconoscimento della ‘naturale’ competenza) delle Data protection Authorities quali Istituzioni cui è affidata la competenza di monitorare l’applicazione della proposta per quanto riguarda la protezione dei dati personali; il che è importante per evitare incoerenze e possibili conflitti tra le disposizioni della proposta e le norme del GDPR (oltre che, chiaramente, le derivate normative nazionali, quali il nostro “Codice Privacy”, d.lgs. n. 196/2003[23]), preservando il diritto fondamentale alla protezione dei dati personali sancito dall’articolo 16 del Trattato sul Funzionamento dell’Unione europea (TFUE) e dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea.
L’EDPB e l’EDPS chiedono pertanto ai co-legislatori di designare le Autorità nazionali di controllo della protezione dei dati quali Autorità competenti anche per il coordinamento complessivo ai sensi della presente proposta. Ciò in quanto le Autorità di controllo della protezione dei dati hanno una competenza unica, sia giuridica che tecnica, nella sorveglianza e nella garanzia della conformità dei trattamenti di dati. Inoltre, considerando che il GDPR si applica anche quando dati personali e non personali sono indissolubilmente collegati in uno stesso set, l’EDPB e l’EDPS sono del parere che il ruolo delle Autorità di protezione dei dati dovrebbe in ogni caso prevalere nell’architettura di governance della proposta.
Nell’introduzione del presente contributo ci si è già interrogati sul tipo di struttura della normativa in questione; al riguardo, non si può certo sottovalutare l’utilità che avrebbe probabilmente conseguito un unico corpus iuris, nel quale il legislatore europeo, pur con norme necessariamente generali e astratte, avrebbe potuto (provare a) disegnare un impianto complessivamente coerente e funzionale.
Stante la frammentazione normativa ormai delineatasi, pare opportuno evidenziare come, per cogliere appieno i benefici dell‘innovazione connaturata alla data economy, occorrano figure professionali specializzate e che i Paesi dell’UE dovrebbero impegnare risorse adeguate per formare nuovi e sempre più esperti data scientist e anche per ridurre – pur con le necessarie cautele e con le adeguate misure (v. anzitutto gli artt. 25 e 32 GDPR)- le barriere che ancora ostacolano il flusso di dati tra Paese e Paese.
Più in generale, rivestirà un ruolo decisivo la formazione, teorica e pratica, relativa alla sfera digitale, alle sue possibilità operative e ai connessi rischi, a partire dalle scuole e dai ‘nativi digitali’, che evidentemente possono far leva su opportunità e prospettive di condivisione sconosciute alle generazioni precedenti ma che, al contempo, scontano un utilizzo – quantitativamente smodato e soprattutto scarsamente qualitativo e consapevole – di tecnologie e Reti. Un’adeguata attività formativa è infatti chiaramente essenziale per educare al corretto uso della rete e delle piatteforme e, soprattutto, ad una condivisione – già originariamente (al momento del rilascio di informazioni personali in sede di registrazione ad un servizio o di acquisto di un prodotto) – consapevole, effettivamente voluta ed opportunamente ‘selettiva’, quanto a contenuti e a cerchia dei soggetti legittimati all’accesso (e in ipotesi all’ulteriore condivisione). In un’analoga ottica, sempre più rilevante diventerà il presidio informativo, con riferimento non solo all’aspetto della protezione dei dati ma anche ai termini di servizio/condizioni contrattuali, che necessariamente dovranno dotarsi di un linguaggio descrittivo chiaro, semplice e supportato da tutte le tecnicalità (icone, video, disclaimer) utili per renderlo immediatamente ed esattamente intellegibile. Come noto infatti, ove vi sia una condizione di asimmetria informativa, non può esserci un’effettiva capacità di esercitare il fondamentale diritto all’autodeterminazione, al fine di scelte effettivamente consapevoli ed effettivamente volute.
Solo così potremo provare a realizzare una vera strategia digitale europea che ci consenta di competere con le data economy extra-UE, al contempo rispettando i diritti e le tutele degli interessati e, conseguentemente, il meta-principio della ‘dignità’ della persona umana che permea l’ordinamento europeo, per l’essenziale tramite dei principi di proporzionalità e ragionevolezza, nel complessivo e complicato bilanciamento di tutti i diritti e libertà fondamentali in rilievo nelle varie fattispecie. Nell’ambito delle prassi di condivisione dei dati, occorrerà fare attenzione anche ai temi della web reputation e dell’identità digitale che necessariamente passa anche per la qualità dei dati condivisi (art. 5, par. 1, lett. d), GDPR).
In tale rinnovato e complesso contesto, tanto più risulta necessario ribadire come solo una Autorità di vigilanza e di regolazione, dotata delle necessarie risorse professionali umane e finanziarie – e davvero indipendente da ogni altro apparato ministeriale-governativo – sarà in grado di assolvere al ruolo fondamentale di presidio di garanzia[24]. Occorrerà inoltre che le varie Autorità competenti nei singoli Paesi UE si coordinino per un’azione coerente e soprattutto efficace. Ciò anche per il tramite di istruttorie congiunte, di tipo cartolare o ispettivo, in modo da avere una ‘fotografia’, più completa e nitida possibile, delle problematiche da affrontare e regolare. È peraltro innegabile che nell’operatività quotidiana possano emergere dubbi e difficoltà sul “come” conciliare il rispetto per i diritti individuali e la filosofia dell’open data, ma si deve mirare ad una, possibile quanto necessaria, convivenza virtuosa tra i valori in discussione. Già nel 2014 si diceva che: “In definitiva, la partita che, anche su questo terreno, la modernizzazione della società ci obbliga a giocare, può, operando con retta volontà e un pizzico di ambizione (realisticamente oltre che auspicabilmente) rivelarsi un gioco a somma positiva”[25]. Per dare concretezza a questo approccio bilanciato si rende essenziale l’individuazione – e l’adozione – di modelli organizzativi utili alla valutazione e gestione dei rischi, misure negoziali (licenze d´uso) e strumenti tecnologici per massimizzare i vantaggi dell’economia digitale nel pieno rispetto della dignità e dei diritti fondamentali delle persone. È scelta ineludibile, in particolare, incorporare le scelte normative a tutela dei diritti nelle tecnologie (in una costante ottica di privacy by design e by default), perché si pongano a strumenti “nuovi” di governance della dimensione digitale.
Retail management: come farlo e con quali strumenti, networking e analytics
Connettività e data analytics per il restart del mondo retail
Marketing culturale, cos'è e come promuovere eventi culturali
Cosa significa digital transformation per il settore retail
PNRR turismo, cos’è, gli incentivi e come fare domanda
Digital Health: cos’è e quali applicazioni permettono di indirizzare la sanità verso una nuova normalità
La nuova Sanità col PNRR: digitale e dati sono i pilastri del futuro
Real time data e AI al servizio della sanità
Connettività ed healthcare analytics per la trasformazione della Sanità
Pnrr e Sanità in Italia: novità e spinta del digitale, cosa cambia
I benefici dei progetti PNRR per l’IT della sanità pubblica
Sanità pubblica e digitale, binomio sempre più imprescindibile
Il digitale nella sanità privata a vantaggio del paziente e anche del business
L’intelligenza artificiale al servizio della sanità
Workplace management: cos’è e come gestire efficacemente e in sicurezza l’ufficio
La trasformazione digitale del PNRR e le nuove opportunità per il manifatturiero e per il Machinery in particolare
Il ruolo del manufacturing nella transizione ecologica prevista dal PNRR
PNRR transizione ecologica, le tecnologie smart city per la sostenibilità
Connettività e Real-time analytics per lo sviluppo di nuovi modelli di manufacturing a basso impatto ambientale
Le sfide della Missione 1 del PNRR e il ruolo della cyber security
PNRR agroalimentare: come fare agricoltura sostenibile con IoT e connettività
5G e IOT per la mobilità sostenibile
Dall'ottimizzazione dei consumi alla sostenibilità: come IoT e Cloud cambiano il mondo della Logistica
di Franco Stolfi e Roberto Di Gioacchino
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio. Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.
ICT&Strategy S.r.l. – Gruppo DIGITAL360 - Codice fiscale 05710080960 - P.IVA 05710080960 - © 2022 ICT&Strategy. ALL RIGHTS RESERVED
Clicca sul pulsante per copiare il link RSS negli appunti.
Clicca sul pulsante per copiare il link RSS negli appunti.