Parliamo del baratto di dati personali. Il Presidente Soro condivide le preoccupazioni con i Colleghi europei. Il rischio è di “guardare il dito”

Ormai i più conosceranno la missiva inviata dal Presidente Soro al Presidente dell’EDPB (il Comitato europeo per la protezione dei dati, composto da rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo) a cui l’Autorità Garante italiana ha chiesto un parere volto a definire l’istruttoria già avviata sulla piattaforma Weople.

L’Applicazione in questione, da quanto si apprende dalla navigazione del sito internet, permetterebbe agli utenti di raccogliere in un unico “caveau” i propri dati personali -“dispersi” in giro per la rete fisica e virtuale- e monetizzarli grazie al mercato.

Per arrivare a ciò il sistema si articola in due fasi:

  • l’acquisizione dei dati e;
  • il loro successivo trasferimento a terzi, per attività di marketing.  

Per quanto attiene alla prima fase -inerente appunto all’acquisizione dei dati in possesso dei vari titolari- questa può essere effettuata sia dall’interessato che dalla piattaforma. In quest’ultimo caso l’utente dovrà rilasciare una delega per agire in suo nome e conto.

Del pari anche la successiva attività di trasferimento dei dati -a favore di terzi- avverrà in base alla assoluta discrezionalità dell’utente.  Questo potrà infatti scegliere se partecipare alle campagne pubblicitarie o far inserire i propri dati anonimizzati all’interno di database aziendali.

Dal meccanismo, ove correttamente inteso dallo scrivente, si svilupperebbero le problematiche evidenziate dal Garante, ovvero:

  • portabilità dei dati a mezzo delega conferita a terzi e;
  • “commerciabilità” dei dati, prevedendo per l’interessato/utente un ritorno economico.

La prima si ritiene essere una questione di natura prettamente giuridica e pertanto il supporto non può che derivare dall’analisi della disciplina di settore.

Tuttavia, nulla è specificato dal Regolamento (UE) 2016/679 e dal D.Lgs. n. 196/2003, per come novellato dal D.Lgs. n. 101/2018. Il testo del Regolamento parla, infatti, di “rappresentanza degli interessati” solamente in caso di violazione dei suoi diritti, ammettendo la possibilità di dare mandato a un organismo, a un’organizzazione o a un’associazione per esercitare, per suo conto, i mezzi di ricorso di cui agli arti. 77, 78, 79 e 82.

In altri termini l’esercizio dei diritti (artt. 15-22) rimarrebbe al di fuori della predetta possibilità di rappresentanza poiché, di fatto, antecedente ai mezzi di ricorso. Con il ricorso e il reclamo si manifestano eventuali presunte violazioni, mentre nella fase dell’esercizio dei diritti l’asserita violazione non sarebbe ancora avvenuta.

Ciononostante si deve ricordare la previsione, seppur oggi abrogata, di cui all’art. 9 del previgente Codice della privacy che prevedeva, in maniera espressa, la possibilità di conferire delega o procura a persone fisiche, enti, associazioni od organismi proprio per far valere i diritti di cui all’art. 7 (accesso ai dati personali).

Peraltro, sul punto, non risultano essere presenti nell’ordinamento nazionale vincoli alla delegabilità dei diritti in questione. Diversi articolati normativi, pur non facendo alcun riferimento all’istituto della delega/rappresentanza, ne accettano l’utilizzo, uno fra tutti, peraltro anche molto aderente alla materia di cui si tratta, è la L. n. 241/1990 per l’accesso ai documenti amministrativi.    

Non si comprende, dunque, il riferimento del Garante la cui “attenzione si è concentrata, in particolare, sulla corretta applicazione, da parte della società, del cosiddetto diritto alla “portabilità dei dati” introdotto dal nuovo Regolamento europeo, con l’ulteriore complicazione determinata dall’esercitare tale diritto mediante una delega e con il conseguente rischio di possibili duplicazioni delle banche dati oggetto di portabilità”.

Peraltro, proprio leggendo le “Linee guida sul diritto alla portabilità dei dati” redatte nel 2017 dal Gruppo di lavoro articolo 29 per la protezione dei dati si apprende, tra le altre, che:

  • il diritto alla portabilità configura per gli interessati la possibilità non soltanto di ottenere e riutilizzare i dati forniti a un titolare del trattamento, bensì anche di trasmettere questi dati a un diverso fornitore di servizi (appartenente allo stesso o a un diverso settore di attività). L’aspettativa è che, oltre ad ampliare il margine di controllo dei consumatori impedendo forme di “lock-in” tecnologico, il diritto alla portabilità dei dati promuova l’innovazione e la condivisione di dati personali fra titolari del trattamento in piena sicurezza e sotto il controllo dell’interessato;
  • i titolari che danno seguito a richieste di portabilità nei termini di cui all’articolo 20 non sono responsabili del trattamento effettuato dal singolo interessato o da un’altra società che riceva i dati in questione. 
  • il soggetto “ricevente” assume il ruolo di titolare nei riguardi dei dati personali in questione ed è tenuto all’osservanza dei principi fissati nell’articolo 5 del RGPD. Ne deriva che il “nuovo” titolare ricevente deve specificare con chiarezza le finalità di ogni nuovo trattamento prima che sia formulata la richiesta di trasmissione diretta dei dati portabili, conformemente con i requisiti di trasparenza fissati all’articolo 12 del regolamento. 

La portabilità, invero, non comporta la cancellazione dei dati del primo fornitore/titolare e il co. 3 dell’art. 20 pare chiaro sul punto prevedendo “l’esercizio del diritto di cui al paragrafo 1 -portabilità- lascia impregiudicato l’articolo 17– diritto alla cancellazione”. Dunque, vi sarebbe comunque una duplicazione della banca dati.

Per quanto invece attiene alla commerciabilità dei dati si condividono le preoccupazione espresse, tuttavia si ritiene che ci sia un ritardo sulla tematica di un decennio circa. I social network o altre piattaforme di comunicazione, ad esempio, hanno “commercializzato” i nostri dati permettendoci l’utilizzo di un prodotto/piattaforma senza costi apparenti ma certamente indiretti.

Tra l’altro, in chiusura, non lontano dai confini nazionali è previsto un corrispettivo in cambio della propria salute per testare farmaci.

Non resta che attendere gli sviluppi della vicenda.

Per approfondimenti si può consultare il seguente link.

Segui e condividi i nostri contenuti anche sui social network...