Big Data, utilizzo dei dati personali e concorrenza - Privacy, funzionamento dei mercati e il ruolo della politica pubblica

Le considerazioni di cui sopra suggeriscono l’esistenza di due principali ostacoli al funzionamento di un meccanismo di mercato idoneo a generare un livello di utilizzo dei dati personali “soddisfacente” per gli individui e la società: i) la limitata percezione e consapevolezza da parte dei consumatori in merito alla raccolta e all’utilizzo dei propri dati personali da parte dei fornitori di servizi; ii) il limitato grado di pressione concorrenziale che caratterizza taluni servizi digitali.

In questo scenario, sono diversi gli strumenti di politica pubblica che in linea di principio possono essere utilizzati per perseguire, direttamente e/o indirettamente, l’obiettivo di un’adeguata tutela della privacy nell’ecosistema digitale.

Diritti di proprietà e architetture alternative di gestione dei dati. Una prima questione inerisce alla definizione di possibili diritti di proprietà sui dati. Ad avviso di alcuni economisti, infatti, il riconoscimento in capo all’individuo di un diritto di proprietà sui propri dati costituirebbe il presupposto necessario per consentire l’instaurarsi di dinamiche di mercato.

Una seconda questione è connessa alle architetture centralizzate attualmente utilizzate per la gestione dei dati. Nel corso dell’Indagine conoscitiva, da alcuni intervenienti è emerso cheil modello di piattaforma online affermato si è caratterizzato da una gestione centralizzata dei dati da parte dei titolari delle piattaforme mentre gli utenti, cui i dati si riferiscono, non hanno cognizione di come e dove i dati siano registrati e conoscono le modalità e le finalità del trattamento solo nei limiti di quanto reso noto dai medesimi gestori delle piattaforme. Gli utenti sono estranei al trattamento dei loro dati ed esercitano i diritti che sono loro riconosciuti dalla normativa sulla protezione dei dati personali in maniera mediata, attraverso la piattaforma.

Un modello alternativo potrebbe essere quello in cui ciascun utente controlla i dati che ad esso si riferiscono e decide in autonomia se e in che misura condividerli con le piattaforme che di volta in volta avanzano richiesta in tal senso (“modello decentrato”).

Tuttavia, al di là dell’esistenza di diritti di proprietà sui dati e/o di piattaforme decentralizzate per la loro gestione, lo sviluppo di un mercato per lo scambio di dati personali incontra comunque dei limiti che sono principalmente riconducibili al fatto che l’utente generalmente non è in grado di attribuire un valore economico ai suoi dati personali, e quindi non è in grado di individuarne il relativo “prezzo di cessione”. Ciò viene in particolare rilievo anche tenuto conto della circostanza che il valore dei dati si forma in una sequenza di passaggi di proprietà e di utilizzi che ex ante l’utente non è in grado di prevedere. In questo contesto, appare difficile poter identificare una precisa relazione tra livello di fornitura dei dati ed entità dell’esborso monetario. L’unica valutazione che il consumatore è in grado di fare riguarda l’eventuale presenza di un prezzo implicito –derivante dall’attività di raccolta dei dati da parte del fornitore del servizio primario –e al più un confronto relativo tra i prezzi impliciti che i servizi erogati dai diversi fornitori comportano. Quest’ultima situazione, tuttavia, presuppone che i termini contrattuali dei diversi servizi siano effettivamente confrontabili.

Disciplina di protezione dei dati personali, portabilità e circolazione dei dati. Si è detto che l’acquisizione dei dati è rilevante per le imprese nella misura in cui consente loro di estrarre informazioni che permettono di realizzare un bene/servizio maggiormente competitivo. In questa fase, il rispetto della disciplina in materia di protezione dei dati personali assume un ruolo fondamentale e se, da un lato, rappresenta il presupposto per tutelare adeguatamente i dati personali dell’interessato, dall’altro può rendere più difficoltoso l’accesso ai dati da parte degli operatori che non beneficiano di un rapporto diretto con l’utente. La protezione dei dati da parte dei relativi titolari si scontra infatti con l’esigenza di incentivare la circolazione dei dati stessi e, con essa, la libera concorrenza tra le imprese.

La normativa rilevante prevede siaun quadro generale, individuato nel RGPD, sia regole speciali relative al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (attualmente in corso di aggiornamento).

Pure definendo la cornice entro la quale i dati personali possono essere utilizzati dal titolare del trattamento, la regolamentazione lascia ampi spazi di autonomia per queste ultime, che possono rilevare sia per l’applicazione della normativa a tutela del consumatore che della normativa antitrust.

Tra i diritti più significativi previsti dal RGPD rileva il menzionato diritto alla portabilità dei dati (art. 20), il quale assolve a due scopi: aumentare il controllo dell’interessato sui suoi dati personali e facilitare la trasmissione deidati da un operatore ad un altro. Esso appare senza dubbio un punto di raccordo tra la disciplina di tutela dei dati personali e quella in materia di concorrenza, trattandosi di una situazione giuridica soggettiva –il cui esercizio rimane saldamente nelle mani dell’interessato e la cui violazione può formare oggetto di sindacato avanti all’autorità di protezione dei dati -idonea a produrre anche significativi effetti pro-concorrenziali, in termini sia di circolazione dei dati che di mobilità degli utenti.

A sua volta il diritto alla portabilità dovrebbe contribuire a scongiurare il lock-in tecnologico e ad aumentare la concorrenza tra le imprese che forniscono servizi digitali. Ad esempio, per attrarre consumatori che si servono di un determinato operatore di servizi digitali un concorrente potrebbe offrire servizi di integrazione dei loro dati personali (o di parti di essi) (si pensi ai social network che incorporano i contatti degliutenti tramite l’API di contatto del providerdi posta elettronica).

Sussistono tuttavia diversi ostacoli all’effettivo sviluppo della portabilità, legati in particolare alla scarsa consapevolezza degli utenti circa l’esistenza di tale diritto, ai vincoli alla loro mobilità (dovuti anche alla presenza di esternalità di rete) e ai confini ancora incerti della portabilità, che include soltanto una parte dei dati a disposizione del titolare del trattamento.

La survey condotta ha rilevato che gli utenti, a qualche mese dell’entrata in vigore del RGPD, per la gran parte (91%) non erano a conoscenza dei diritti all’accesso e alla portabilità dei dati. A questo riguardo, affinché la portabilità sia concretamente applicata, è necessario che gli utenti siano adeguatamente informati circa il valore dei propri dati e il loro potenziale utilizzo e, allo stesso tempo, che non “si impigriscano” di fronte alla possibilità di un cambio troppo complesso.

Quanto ai vincoli allo spostamento, gli utenti possono risultare poco propensi a esercitare il diritto alla portabilità e a spostarsi da una piattaforma all’altra in assenza di valide alternative: incentivare gli utenti ad esercitare tale diritto potrebbe rivelarsi particolarmente oneroso per le imprese nuove entranti, che non possono contare su di una base di utenti vasta come quella delle imprese più strutturate e su di un rapporto diretto con gli utenti.

Va infine considerato che l’ambito di applicazione del diritto alla portabilità risulta comunque limitato al dato c.d. fornito e non alle informazioni estratte dal dato. Le Linee guida sul diritto alla portabilità dei dati, adottate dal gruppo di lavoro art. 29 per la protezione dei dati (WP29), hanno chiarito che la nozione di dati “forniti” da un interessato debba riferirsi ai dati forniti consapevolmente e attivamente dall’interessato, ai dati personali osservati sulla base delle attività svolte dagli utenti, come per esempio i dati grezzi generati da un contatore intelligente, la cronologia della navigazione su un sito web o la cronologia delle ricerche effettuate. Restano tuttavia esclusi i dati “generati” dal titolare (utilizzando come input i dati osservati o forniti direttamente), come ad esempio il profilo-utente creato a partire dall’analisi dei dati grezzi.

Di conseguenza, i dati inferenziali e derivati creati dal titolare sulla base dei dati forniti dall’interessato, anche se a lui riferiti o riferibili, quali i risultati prodotti da un algoritmo, esulano dal campo di applicazione del diritto alla portabilità, in quanto spesso frutto di analisi basate su tecniche di data analysische rientrano nel patrimonio informativo del titolare e che possono essere coperte da diritti di proprietà intellettuale.

Questo limite, pur apparentemente chiaro e condivisibile, può in concreto dare luogo a difficoltà applicative, laddove non risulti agevole distinguere tra dati forniti anche indirettamente o involontariamente dall’interessato e dati che sono frutto di un’autonoma elaborazione del loro titolare.

Ulteriore limite specifico all’esercizio del diritto alla portabilità è la sua fattibilità tecnica. L’articolo 20, par. 2, del RGPD obbliga infatti il titolare a trasmettere i dati portabili direttamente a un diverso titolare “se tecnicamente fattibile”. Secondo le linee guida WP29, la fattibilità tecnica della trasmissione da un titolare all’altro dovrà essere valutata caso per caso, tenendo tuttavia presente che ciò che la norma richiede è che i sistemi siano interoperabilie non necessariamente compatibili (cfr. considerando 68 del RGPD). La previsione potrebbe dar luogo a facili strumentalizzazioni e occorre evitare che un rifiuto di adempiere alla richiesta di portabilità sia motivato dalle caratteristiche di un formato non interoperabile o dalle modalità di trattamento adottate del titolare e non piuttosto da effettivi impedimenti tecnici o inadeguatezza del sistema ricevente.

Per evitare che gli utenti possano avvalersi del diritto alla portabilità solo in limitate circostanze, potrebbe essere centrale lo sviluppo di standard comuni di trasferimento dati.

Nell’ambito dell’Indagine alcuni operatori hanno evidenziato come, al fine di favorire la libera circolazione dei dati e lo sviluppo dell’economia digitale, si potrebbe sviluppare un modello con sistemi decentralizzati e alternativi, nei quali gli utenti abbiano il controllo dei dati generati nelle loro diverse attività e possano decidere in maniera autonoma se e come metterli in comune per uno scopo al quale attribuiscono valore. Lo sviluppo di tali sistemi richiede d’altro canto la definizione di adeguati strumenti per l’archiviazione personalizzata dei dati, per l’interazione tra utenti e tra utenti e piattaforme e per la trasmissione dei dati in modalità sicura.

In proposito, sul piano tecnico le Linee Guida individuano due soluzioni distinte: la portabilità dei dati potrebbe, infatti, avvenire attraverso trasmissione diretta dell’intero insieme di dati portabili (o di parte di essi) all’utente, ad esempio tramite download, ovvero consentendo a soggetti terzi di trasmettere i dati direttamente ad altri titolari del trattamento per il tramite di uno strumento automatizzato.

A questo riguardo si rileva che il mercato già offre una varietà di strumenti. Ad esempio, nel 2011 è stato sviluppato Takeout, che permette agli utenti di Google di eseguire il download di tutti i propri dati forniti per usufruire dei servizi di Google (email, foto, calendario, contatti, documenti archiviati in Google Drive, etc.) e di effettuare un upload di tali dati su un’altra piattaforma di proprio gradimento. Questa modalità di portabilità, tuttavia, soffre proprio delle limitazioni più sopra descritte: il suo effettivo funzionamento, infatti, è legato alla proattività dell’utente e alle possibilità di archiviazione (la mole di dati scaricati potrebbe essere, infatti, significativa), nonché alla interoperabilità tra piattaforme (si pensi, ad esempio, ai richiamati possibili conflitti tra diversi formati di file).

Per questo motivo, ponendosi maggiormente nel solco della seconda soluzione descritta supra, il mercato ha iniziato ad offrire sistemi che consentono agli utenti di trasferire i loro dati direttamente da un servizio all’altro anche senza effettuare il download e il successivo upload dei propri dati. Ad esempio, Google, in partenariato con Microsoft, Twitter e Facebook, nel 2018 ha lanciato il c.d. Data Transfer Project, che consiste in un sistema open sourceper la promozione dell’universal data portabilityper permettere agli utenti di esportare dati e importarli su quanti più servizi possibili.

Altri esempi di strumenti di portabilità dei dati attraverso un mezzo automatizzato (generalmente app) vengono, inter alia, dall’Italia, dove sono stati sviluppati sistemi che consentono agli utenti di richiedere a diversi titolari di trattamento l’estrazione dei propri dati personali e di archiviarli in un’area dedicata (ad esempio, Weople). Con l’inserimento dei dati personali nell’area dedicata l’utente riceve una remunerazione, che deriva dai pagamenti che i titolari di trattamento effettuano per avere degli spazi pubblicitari all’interno di dette aree e per la mera lettura delle offerte commerciali da parte degli utenti destinatari (c.d. mercato dell’attenzione). I dati presenti nelle aree dedicate possono essere, peraltro, ulteriormente elaborati tramite un’attività di profilazione. Successivamente i risultati di tali attività verrebbero venduti alle imprese interessate alla loro acquisizione, anche in questo caso per lo svolgimento campagne pubblicitarie e/o offerte commerciali personalizzate, generando per gli utenti ulteriori fonti di remunerazione dell’utilizzo dei dati personali degli utenti medesimi.

Tali iniziative potrebbero fungere da strumento di consumer empowerment potenzialmente in grado di superare in parte le descritte limitazioni derivanti dall’attuale disciplina del diritto alla portabilità dei dati, in termini di contribuzione alla costruzione di una consapevolezza da parte degli utenti circa il valore economico dei loro dati personali, grazie all’ottenimento di una remunerazione per l’utilizzo di tali dati da parte di soggetti terzi.

Una volta chiariti i confini del diritto alla portabilità, se pur con le menzionate incertezze che solo l’esercizio effettivo del diritto potrà aiutare a superare, residuano le ipotesi in cui il titolare del trattamento, che si trovi in posizione di dominanza, sia tenuto a fornire l’accesso ai dati nella sua disponibilità, al di là di quanto previsto dal diritto alla portabilità. Si tratta di casi eccezionali, dove l’eventuale rifiuto del soggetto dominante a fornire l’accesso ai propri dati può assumere un rilievo dal punto di vista del diritto della concorrenza soltanto se i dati in questione costituiscano elementi essenziali per lo svolgimento dell’attività dell’impresa che richiede l’accesso e siano effettivamente unici e non duplicabili. In tali fattispecie, la normativa in materia di tutela dei dati personali può per certi aspetti confliggere con quella a tutela della concorrenza nella misura in cui, per poter consentire l’accesso ai propri dati, il titolare dovrebbe comunque acquisire il consenso dei soggetti interessati.

Dall’indagine condotta è emerso tuttavia come non sia infrequente che gli utenti neghino il consenso al trattamento dei dati: circa un terzo dei rispondenti (33,4%) ha infatti affermato di aver “spesso” negato il consenso. Tale circostanza rappresenta un ulteriore ostacolo alla circolazione dei dati e, conseguentemente, allo sviluppo di servizi in concorrenza.

Fonte: Rapporto 2020 AGCOM, AGCM E GARANTE sui Big Data