Big Data nell’ecosistema digitale italiano: considerazioni del Garante per la protezione dei dati personali - L’opacità dei trattamenti con tecniche Big Data e il principio di trasparenza proprio delle discipline di protezione dei dati

Se generalizzata è la denuncia circa la (tendenziale) opacità dei trattamenti in esame riconoscendosi anche in questa materia i limiti delle tradizionali privacy policy, è bene ricordare, denunciati per primi proprio dalle autorità di protezione dei dati personali, è proprio a tale opacità che dovrà rispondersi valorizzando (ed inverando) anzitutto il principio di accountability –che si ritiene caratterizzare il RGPD, atteso che l’assenza di informazioni con riguardo alle caratteristiche principali dei trattamenti di dati personali contrasta con uno degli assi portanti delle discipline di protezione dei dati: quello della trasparenza.

Peraltro, per trattare ulteriormente i dati personali per una finalità diversa –comunque non incompatibile con quella per cui essi sono stati raccolti (e abbiamo visto che frequentemente ciò può accadere rispetto ai Big Data) –il RGPD prevede un rigido quadro di garanzie (artt. 6, par. 4 e 23 del RGPD) in base alle quali, laddove non vi sia il consenso dell’interessato (in ambito privato) o un atto legislativo che costituisca una misura necessaria e proporzionata di una “società democratica” per la salvaguardia di alcuni rilevanti interessi pubblici (in ambito pubblico), il titolare del trattamento deve rispettare una serie di precise garanzie. In particolare, nella prospettiva della piena informazione sono espressamente orientati gli artt. 13, par. 3 e 14, par. 4, del RGPD, secondo i quali il titolare del trattamento, qualora intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato le informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente.

E del resto (quantomeno) l’informazione –da rendersi “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori” (art. 12, par. 1, del RGPD) –è l’elemento chiave per rispettare la dignità dell’interessato (oltre che gli interessi dei consumatori) in relazione all’utilizzo dei propri dati: a qualità effettiva della stessa e le modalità procedimentali utilizzate rappresenteranno, specie nel contesto dei Big Data, i termini di riferimento per misurare l’osservanza ai principidi correttezza e trasparenza (art. 5, par. 1, lett. a), del RGPD). Del resto la disciplina di protezione dei dati non richiede, neanche in relazione ai Big Data, che vengano rappresentati all’interessato le modalità di trattamento dei dati (vale a dire i dettagli tecnici mediante i quali le operazioni di trattamento sono effettuate), quanto piuttosto le finalità che sono in concreto perseguite.

Nel peculiare contesto qui considerato merita sottolineare tra le informazioni da rendersi all’interessato quelle concernenti gli eventuali “legittimi interessi perseguiti dal titolare del trattamento o da terzi” qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), del RGPD (fattispecie più volte evocata nel corso delle audizioni). I legittimi interessi, affinché il trattamento possa ritenersi lecito sulla base di tale presupposto giuridico, non devono peraltro prevalere sugli interessi, i diritti e le libertà delle persone che richiedono la protezione dei dati personali, sulla base di un test comparativo in cui l’impatto sugli interessati va rigorosamente valutato.

Del pari, aspetto esso pure rilevante con riguardo ai Big Data, all’interessato va altresì rappresentata l’eventuale “esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, [vanno fornite] informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato”.

Né tali obblighi informativi rappresentano inutili ed onerosi adempimenti burocratici, adducendo la circostanza (di fatto) che i più non scorrono le cd. privacy policy. Bisogna ribaltare l’idea che gli obblighi informativi rappresentino un red carpet: non lo sono. Da un lato perché informative insoddisfacenti possono per ciò solo integrare una violazione della disciplina di protezione dei dati personali (e spesso sono sintomo di trattamentiche, proprio in quanto non esplicitati, possono presentare profili di criticità); dall’altro, perché le privacy policysono lo strumento principe destinato a “fotografare” il trattamento che verrà posto in essere e, sulla scorta delle informazioni fornite, l’interessato (o il consumatore, se si vuole) non è lasciato solo e impotente: ha lo strumento del reclamo alle autorità di controllo che, nell’esercizio della propria missione istituzionale, potranno supplire alla oggettiva situazione di subalternità dei singoli. Esse, proprio muovendo dall’informativa resa agli interessati, potranno infatti trarre spunto ed elementi utili per accertare la complessiva liceità del trattamento.

Le informazioni rese agli interessati, del resto, vanno ad integrare esse stesse una componente “concorrenziale” rispetto al trattamento posto in essere dai singoli titolari del trattamento, ben potendo orientare (nell’ipotesi in cui il trattamento acceda ad un’offerta di beni o servizi) le scelte di quanti vedono le informazioni a sé riferite coinvolte nel trattamento (così dando attuazione al diritto all’autodeterminazione informativa), non diversamente dalle informazioni contenute sulle etichette e dai documenti informativi che i consumatori consultano prima di procedere all’acquisto di beni di consumo.

L’informazione rappresenta del resto il pre-requisito per un validoconsenso al trattamento dei dati (che, per l’appunto, si vuole informato), ove lo stesso sia necessario. Consenso al trattamento, va qui ribadito, che non comporta alcuna “cessione” di dati personali, neanche quando acceda alla fruizione di servizi “gratuiti”; il diritto alla protezione dei dati personali, infatti, consiste anzitutto nel potere dell’interessato di controllare l’uso che dei dati personali a sé riferiti viene fatto in relazione alle finalità per le quali i dati sono (legittimamente) trattati. Anche in relazione ai Big Data, deve allora ribadirsi che la prospettiva della commodification dei dati personali non trova spazi nella cornice normativa eurounitaria: e non solo muovendo dall’assunto (che pure da più parti si vorrebbe svalutare) dellanatura di diritto fondamentale del diritto alla protezione dei dati personali, ma perché puntuali indici normativi escludono la logica puramente appropriativa in relazione allo statuto giuridico dei dati personali. In questa prospettiva depongono infatti la libera revocabilità del consenso da parte dell’interessato al trattamento dei dati che lo riguardano, così come i diritti riconosciuti all’interessato, ivi compreso (come pure correttamente evidenziato nel corso delle audizioni) il nuovo diritto alla portabilità dei dati: situazioni giuridiche che, complessivamente prese, vanno a comporre il diritto alla protezione dei dati personali.

E considerazioni non diverse possono trarsi da quanto espressamente contenuto nel considerando 24 della Direttiva (UE) 2019/770 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali, come pure in ragione della dichiarata prevalenza dei principi espressi nel RGPD rispetto alla menzionata direttiva 2019/770 (cfr. artt. 3, par.8; 16, par. 2).

Questi indici normativi hanno trovato espressione anche nell’importante pronuncia della Corte di giustizia (Grande Sezione) la quale, in occasione del riconoscimento del cd. diritto all’oblio (sentenza del 13 maggio 2014 nella causa C-131/12, Google Spain), ha affermato che “i diritti fondamentali [nel caso di specie, proprio il diritto alla protezione dei dati personali] prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico a trovare l’informazione suddetta in occasione di una ricerca concernente il nome di questa persona” (par. 97).

Se da tempo il tema dei Big Data è stato posto all’attenzione dell’opinione pubblica nell’ambito dell’attività di comunicazione istituzionale del Garante, come pure nel corso di conferenze dedicate al tema, si registrano altresì alcune fattispecie nelle quali l’Autorità si è soffermata con propri provvedimenti sulla tematica qui considerata. Salvo tornare sul tema dell’anonimizzazione dei dati, può qui già menzionarsi il Parere reso sul PSN 2014-2016 (aggiornamento 2015-2016), relativo all'elaborazione, in via sperimentale e a fini statistici, di informazioni di telefonia mobile con ulteriori microdati amministrativie statistici provenienti dal Psn: ciò al fine di effettuare una stima dei flussi di mobilità intercomunali a livello aggregato e non individuale. A conferma quindi che un gioco a somma positiva tra protezione dei dati e Big Data è certo realizzabile, merita qui rilevare che in tale circostanza il Garante ha reputato idonee le assicurazioni fornite in ordine alla circostanza che presso il gestore telefonico i dati fossero raccolti in forma anonima.

Fonte: Rapporto 2020 AGCOM, AGCM E GARANTE sui Big Data