Il mercato dei dati personali tra libertà d’impresa, concorrenza e neutralità della rete

di Mattia Caiazza

Ogni volta che navighiamo in rete lasciamo delle tracce dei siti che visitiamo, del luogo dal quale ci colleghiamo, delle nostre preferenze e dei nostri gusti. Questo genere di dati assume una rilevanza ancora più personale quando si tratta di informazioni relative ai social network ai quali siamo registrati, rendendo ogni “mi piace”, ogni ricerca effettuata, ogni video guardato o prodotto visionato parte integrante del nostro profilo virtuale.

Ultimamente il problema della diffusione dei dati personali, e la loro condivisione senza che l’utente produttore/proprietario di tali dati ne sia pienamente consapevole, si è trovato sotto i riflettori a causa dello scandalo “Cambridge Analytica – Facebook”.

Senza dilungarsi troppo sull’argomento, un ricercatore dell’Università di Cambridge, Aleksander Kogan, creò un’applicazione (“thisisyourdigitallife”) alla quale ci si poteva registrare tramite Facebook-login, ovvero permettendo all’applicazione di accedere ai dati del profilo del social network fondato da Mark Zuckerberg. Fino al 2014 Facebook permetteva a questo tipo di applicazioni di accedere, oltre che hai dati di colui che si registrava con il login tramite Facebook, anche ai dati di coloro che facevano parte delle sue amicizie, così tramite una sola registrazione l’applicazione otteneva i dati di moltissime altre persone.

Facebook permetteva ciò, con la clausola che i dati non venissero condivisi con terzi, e qui entra in gioco Cambridge Analytica.

Kogan condivise questi dati con la società di consulenza britannica, la quale si occupa di creare profili ed è specializzata nel raccogliere dai social network un’enorme quantità di dati sui loro utenti: più “mi piace” vengono messi, più si commenta, più informazioni vengono condivise e più preciso sarà il profilo creato. Sebbene Facebook vietasse questa pratica, sembra che fosse a conoscenza del fatto che i dati venissero condivisi esternamente, ma non fece nulla per bloccare il procedimento.

I dati collezionati sono anonimi, ma la loro quantità e precisione permettono di identificare facilmente l’individuo a cui appartengono e quindi acquistano valore nell’ottica di creare avvisi pubblicitari e promozionali mirati, oppure a scopi di propaganda politica (e proprio quest’ultima ipotesi è quella per cui Cambridge Analytica ha utilizzato i dati raccolti).

Il valore intrinseco che questi dati acquistano nell’ottica appena esposta ha fatto sì che si sia creato un mercato dei dati personali (mercato esistente da molto prima della vicenda appena esposta), e come tale deve rispondere alle esigenze e regolamentazioni commerciali di qualsiasi altro negozio economico.

Essendo diventati i dati stessi la principale merce di scambio, coloro che si occupano del loro commercio devono considerare in primo luogo la tutela dei dati personali, e come questa rappresenti un fattore che condiziona il perseguimento dell’interesse economico. Alle imprese sono imposti dei costi “normativi” che influenzano in via mediata l’assetto generale del mercato, così I principi di concorrenza e libertà delle imprese devono essere allineate alle caratteristiche intrinseche della rete, soprattutto la sua internazionalità.

Nel 2000 Europa e Stati Uniti hanno concluso un accordo proprio incentrato sul trasferimento di dati a fini commerciali, il così detto Safe Harbor. Questo accordo si è concluso nel 2015 a seguito della sentenza Schrems (un “effetto collaterale” del caso Snowden), la quale ha messo in evidenza come i principi di concorrenza non fossero appieno rispettati.

Si era infatti venuto a creare uno svantaggio per le imprese unicamente europee che si occupano della commercializzazione dei dati personali rispetto alle imprese che invece agivano in ambito sia europeo che americano, come evidenziano le comunicazioni tra la Commissione che si occupava del caso e il Parlamento europeo e il Consiglio[1]. Questo, oltre a porre in svantaggio le imprese sul territorio europeo, andavano ad inficiare anche la protezione dei dati degli utenti, in quanto venivano compromesse le garanzie previste per il trattamento dei dati in Europa.

Questa situazione sembra venir presa direttamente in considerazione dall’art. 44 del GDPR di prossima applicazione: “Qualunque trasferimento di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento verso un paese terzo o un’organizzazione internazionale, compresi trasferimenti successivi di dati personali da un paese terzo o un’organizzazione internazionale verso un altro paese terzo o un’altra organizzazione internazionale, ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento rispettano le condizioni di cui al presente capo, fatte salve le altre disposizioni del presente regolamento. Tutte le disposizioni del presente capo sono applicate al fine di assicurare che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia pregiudicato.”

Come accennato in precedenza, questo mercato deve anche far fronte alla caratteristica proprio della rete, che la distingue da qualsiasi altro mercato, ovvero la sua neutralità. In Italia questo tema è trattato dall’art. 4 del Codice delle comunicazioni elettroniche, al comma 3, lett. h), che fissa tra gli obiettivi della disciplina delle reti e dei servizi di comunicazione elettronica quello di garantire proprio la neutralità tecnologica, vista come «non discriminazione tra particolari tecnologie, non imposizione dell’uso di una particolare tecnologia rispetto alle altre e possibilità di adottare provvedimenti ragionevoli al fine di promuovere taluni servizi indipendentemente dalla tecnologia utilizzata».

Il mercato dei dati personali risulta quindi essere un campo molto complesso, proprio per i beni che tratta e per le caratteristiche che la rete stessa possiede; queste qualità necessitano che vi sia un’adeguata compensazione tra la tutela delle informazioni personali degli utenti e la libertà delle imprese che si occupano della raccolta e della commercializzazione di tali informazioni.

Il prossimo 25 maggio entrerà in vigore il nuovo regolamento generale sulla protezione dei dati che andrà sicuramente ad influenzare anche questo mercato in quanto andrà ad applicarsi anche a imprese ed enti con sede legale fuori dall’Unione Europea che trattano dati personali di residenti in paesi membri e garantendo, almeno sulla carta, una maggiore protezione sia per l’utente sia, appunto, per le imprese.


[1] Comunicazione della Commissione al Parlamento europeo e al Consiglio del 27 novembre 2013, Ripristinare un clima di fiducia negli scambi di dati fra l’UE e gli USA, COM(2013) 846 final, p. 7: «A causa di una mancanza di trasparenza e di carenze nell’attuazione, alcuni membri auto-certificati del regime non ne osservano, in pratica, i principi. Questo ha un impatto negativo sui diritti fondamentali dei cittadini dell’UE, e mette inoltre in svantaggio le imprese europee rispetto alle loro concorrenti americane che operano nell’ambito dello stesso regime ma che in pratica non ne rispettano i principi. Questi squilibri incidono anche sulla maggior parte delle imprese americane che invece applicano correttamente il regime. Approdo sicuro funge inoltre da interfaccia per il trasferimento di dati personali di cittadini dell’UE dall’Unione europea agli Stati Uniti da parte di imprese che sono tenute a consegnare dati ai servizi di intelligence americani nell’ambito dei programmi di raccolta statunitensi. Se le carenze riscontrate non vengono corrette, si crea pertanto uno svantaggio competitivo per le imprese dell’UE e un impatto negativo sul diritto fondamentale alla protezione dei dati dei cittadini dell’Unione».


Autore