NEWS

Diritto alla portabilità dei dati e servizi di infomediation

Da quando nel 2006 Clive Humby, data scientist e matematico inglese, coniò la celebre affermazione: “I dati sono il nuovo petrolio” (Data is the new oil), il mercato ha visto svilupparsi vari modelli di commercializzazione dei dati personali fondati su servizi di “infomediation”.

I dati sono il nuovo petrolio, ma serve chiarezza sulla loro monetizzazione

Si tratta di business model nati negli Stati Uniti, dove gli erogatori del servizio (c.d. data companies o “infomediari”) mirano ad acquisire, in favore e per conto degli interessati, grandi quantità di dati personali presso aziende che li hanno raccolti a vario titolo (ad es. un supermercato che gestisce i dati personali acquisiti tramite le fidelity card), al fine di monetizzare questo patrimonio ed ottenere una remunerazione sia per l’interessato che per se stessi.

A dire il vero, la prima forma di data company infomediaria risale agli inizi del secolo scorso, quando la società californiana “Lumeria LLC” offriva alle persone strumenti non solo per proteggere e condividere i propri dati personali agendo in nome e per conto loro, ma anche la possibilità di monetizzare questi dati archiviati in specifici database, attraverso, ad esempio, la creazione di profili aggregati (Big Data) di interesse per i grandi player del settore marketing.

Il modello è approdato anche in Europa con i noti casi “ErnieApp” e “Weople” che sfruttano il diritto alla portabilità dei dati, introdotto dal Regolamento UE 679/2016 (RGPD o GDPR).

Come noto, l’articolo 20 del Regolamento Europeo sulla protezione dei dati (GDPR) consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti.

In questa sede ci occupiamo dell’app “Weople”, creata da una start up italiana, che consente all’interessato di ricevere i dati personali forniti a un titolare, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti.

In pratica, la società chiede ai suoi utenti un mandato per richiedere i dati che altri titolari hanno raccolto su di loro, per poi memorizzarli in un wallet digitale, al fine di valorizzarli attraverso tecniche di aggregazione e anonimizzazione. Da qui si comprende lo slogan “La prima Banca per investire e recuperare valore dai tuoi dati, proteggerli e agire i tuoi diritti di privacy. Gratis e senza sforzo.” In questa banca dati digitale verranno memorizzati, ad esempio, i dati personali degli account social, delle carte fedeltà, delle spese fatte tramite e-commerce, dei dati raccolti da Google, Apple, Micorsoft, Amazon, ecc.

Avv. Marco Soffientini, Data Protection Officer di Federprivacy

(Nella foto: l'Avv. Marco Soffientini, Data Protection Officer di Federprivacy. E' docente al Corso specialistico "Il Privacy Officer nel settore della Videosorveglianza")

Il servizio dà la possibilità all’interessato di guadagnare sull’utilizzo dei propri dati in forma aggregata, incaricando Weople di: "effettuare operazioni di profilazione sui dati che hai depositato nel tuo conto-dati in Weople al fine di inviarti comunicazioni e offerte commerciali personalizzate. Weople parlerà con i clienti potenzialmente interessati all’invio di queste offerte commerciali per convincerli, in base ai dati aggregati, a investire e a farle. Le offerte te le invierà solo Weople e i tuoi dati saranno trattati sempre in forma anonima e aggregata e non saranno mai trasferiti a livello individuale/personale a nessuno di questi clienti. Questa via di investimento dei dati ti permetterà di guadagnare somme di denaro vero (non virtuale), versate dagli inserzionisti e depositate da Weople direttamente nel tuo salvadanaio nell’app; ovviamente, ti consentirà anche, in parallelo, di ricevere offerte personalizzate al meglio possibile". (Fonte https://weople.space/terms)

Come si evince dalla lettura del servizio di Weople, la monetizzazione dei dati avverrà sfruttando la funzionalità dell’app “salvadanaio personale”, nel quale Weople depositerà gli importi pagati dalle aziende per poter inviare offerte commerciali.

Tralasciando ulteriori dettagli sul funzionamento dell’app, di Weople si è occupata l’Autorità Garante della concorrenza e del mercato (Agcm) che ha evidenziato come: “Non risultano emergere, allo stato, elementi di fatto e di diritto sufficienti a giustificare ulteriori accertamenti”.

Ora siamo in attesa di una pronuncia dell’Autorità Garante per la protezione dei dati personali, perché dopo aver ritirato la richiesta di un “Opinion” da parte dell’European Data Protection Board avanzata dal precedente collegio, il nuovo collegio dovrà presto esprimersi.

Come aveva osservato il Garante nella originaria richiesta all’EDPB: “si tratta di una questione molto rilevante che, pur venuta in evidenza in Italia, impone una riflessione generale che non può essere rimessa alle singole autorità di protezione dati. Il caso riguarda l’applicazione del diritto alla portabilità dei dati: un’impresa italiana si è infatti proposta come intermediaria nel rapporto fra titolari ed interessati chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso importanti soggetti imprenditoriali, in particolare nel settore della grande distribuzione al fine di riunirle all’interno di una propria banca dati da sottoporre ad enrichment. Il tema è dunque legato alla “commerciabilità” dei dati, con l’ulteriore complicazione dell’esercizio per delega del diritto ed il conseguente non remoto rischio di possibili duplicazioni delle banche dati oggetto di portabilità” (…) [doc web n. 9126709 del 1° agosto 2019].

In conclusione, non resta che attendere la pronuncia dell’attuale Collegio, tenendo presente che da anni si ripete che il mercato dei dati è il nuovo petrolio. "Ma la differenza è immensa: il petrolio ci faceva muovere, ci riscaldava la casa; chi entra in possesso dei dati personali penetra nelle nostre menti, ci condiziona, predice come ci muoveremo in futuro". (Fonte: Intervista a Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali - doc. web n. 9460335.)

Note Autore

Marco Soffientini Marco Soffientini

Avvocato esperto di protezione dei dati personali, Data Protection Officer di Federprivacy. Autore Ipsoa, docente Unitelma Sapienza, Privacy Officer certificato TÜV Italia, Fellow Istituto Italiano Privacy.  - Twitter: @msoffientini1

Prev Dark Pattern e consenso privacy con le nuove Linee Guida 3/2022
Next Dal Data Protection Officer al manager dei dati: come deve cambiare il ruolo chiave del Gdpr anche nel quadro di un suo costante aggiornamento professionale

Ue, rischio multe per chi non si adegua al Gdpr

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy