Il primo agosto 2019 il Garante della Privacy Italiano ha dato notizia di aver investito l’European Data Protection Board (EDPB) del caso Weople. L’EDPB, che riunisce i Garanti Privacy degli Stati Membri ed il Garante Europeo e, a partire dall’entrata in vigore del GDPR nel 25 maggio 2018, ha il ruolo di garantire una interpretazione uniforme del GDPR ed emana orientamenti e decisioni vincolanti su controversie aventi impatto transfrontaliero.
Secondo il Garante Soro il caso Weople rientra tra quei casi aventi rilevanza transfrontaliera in quanto concerne un caso di remunerazione in cambio dei dati personali e pone due rilevanti quesiti sulla commerciabilità dei dati personali (inclusa l’attribuzione di un valore economico) e sui diritti alla portabilità dei dati personali dei soggetti interessati. “L’attività di Weople, scrive il Garante, può produrre effetti in più di uno Stato dell’Unione in ragione delle richieste di portabilità che potranno essere avanzate e delle questioni relative alla valorizzazione economica dei dati personali ed alla natura ‘pro-concorrenziale’ del diritto alla portabilità”.
Il Garante attenderà dunque il parere dell’EDPB per concludere l’istruttoria avviata sulla app a seguito di “numerose segnalazioni da inizio anno da parte di imprese della grande distribuzione che lamentavano di aver ricevuto da parte di “Weople” numerosissime richieste di trasferire alla piattaforma dati personali e di consumo registrati nelle carte di fedeltà”.
Il fondatore e amministratore delegato di Weaple, Silvio Siliprandi aveva presentato la missione della propria azienda in una intervista con la rivista Business Insider Italia https://it.businessinsider.com/weople-lapp-italiana-che-sfida-facebook-e-google-per-restituire-i-dati-digitali-agli-utenti-e-farli-guadagnare/
Il modello di business proposto in realtà muove da una idea non originale ma che non ha sinora funzionato, ovvero quella di remunerare economicamente il soggetto interessato per l’utilizzo dei propri dati, in genere una volta sottoposti a procedure di anonimizzazione o pseudonimizzazione. In realtà Weople, da quanto risulta dalla intervista con Business Insider, vorrebbe fare di più, proponendosi in sostanza come rappresentante e garante dei diritti alla portabilità dei soggetti interessati. Allo stesso tempo Weople vorrebbe diventare un aggregatore di dati e utilizzare i dati dei propri utenti per analisi e fornitura di servizi di data analytics verso aziende terze. A tal proposito il fondatore rassicura che “tutte le informazioni (resterebbero) anonime, le mescoliamo e cerchiamo di renderle appetibili sul mercato senza rivelare l’identità di nessuno”.
In sostanza il modello proposto da Weople andrebbe ad incidere su due profili giuridici distinti nella circolazione dei dati. Il primo profilo è quello della applicazione delle norme sulla protezione dei dati personali, visto che si propone di assumere il ruolo di piattaforma attraverso cui gli utenti esercitano il proprio diritto alla portabilità dei dati. Il secondo profilo è quello della remunerazione economica per l’utilizzo dei dati effettuato dalla piattaforma stessa e terze parti.
Il secondo profilo è quello che mi interessa analizzare in questa sede visto che Weople avrebbe un ruolo di agente simile alla SIAE per quanto concerne i diritti d’autore. L’interesse deriva dal fatto che è ancora in discussione in sede Europea l’inserimento di nuove forme di protezione giuridica per le attività che rientrano nei cicli di sfruttamento dei dati e per le banche dati, e tra queste si sono considerati modelli vicini a quelli della proprietà intellettuale. Si pone il sostanza il problema di retribuire ogni soggetto che partecipa al ciclo di utilizzo dei dati a seconda del contributo apportato al fine di rendere i dati economicamente rilevanti.
Da tempo si è evidenziata infatti una istanza redistribuiva di tale valore economico che premi, non solo chi sviluppa strumenti di data analytics o chi conserva i dati (come Facebook) ma altresì gli utenti che cedono i propri dati, tutto ciò in aggiunta alle tutele del GDPR. D’altro canto come ho evidenziato in un altro articolo, la vera redistribuzione a cui si dovrebbe ambire è quella della conoscenza. https://marialuisamanis.nova100.ilsole24ore.com/2018/02/13/data-justice-teorie-di-giustizia-sociale-per-lera-dei-big-data/
Non ha infatti molto senso premiare un utente con pochi euro per la cessione dei propri dati se poi questi dati sono usati per attività di profilazione che violano le sue libertà fondamentali, come quelle di decidere liberamente in merito ai propri consumi o di formare autonomamente una propria opinione in merito a questioni politiche che influenzano il suo voto. Il Caso di Cambridge Analytica insegna tantissimo in questa direzione e sarà approfondito in un prossimo articolo.
Dovremmo quindi stare attenti a chi promette remunerazione per la cessione dei dati a discapito di una applicazione rigorosa del GDPR, visto che le regole del GDPR proteggono libertà fondamentali dell’individuo e prevedono l’obiettivo della trasparenza nel riutilizzo dei dati. E tale principio di trasparenza si può considerare esteso anche allo sfruttamento di dati anonimizzati, visto che il Regolamento Europeo offre una interpretazione molto restrittiva dei casi in cui i dati possono realmente considerarsi anonimi.
Se pensiamo al caso più famoso di tutti, ovvero Facebook, vediamo come la piattaforma implementi nel rapporto negoziale con il proprio utente una forma minimalista di principio redistributivo della conoscenza accumulata grazie ai dati degli utenti. Infatti sebbene Facebook manchi di piena trasparenza sulle attività di profilazione e contratti stipulati per attività di data analytics con aziende come Datasift o Cambridge Analytica, d’altro canto permette all’utente che decide di aprire una pagina sulla propria piattaforma di fare campagne di advertising a poche decine di euro identificando utenti che hanno interessi correlati a quella pagina. Ugualmente è concessa l’interrogazione delle API dei server a certe condizioni. Per cui la conoscenza accumulata da Facebook è a certe condizioni e con certi limiti resa disponibile anche gratuitamente agli utenti.
Il modello Weople cerca di utilizzare le nuove regole sulla portabilità del GDPR in un certo senso a proprio vantaggio, in quanto è interessata a creare massa critica e fornire servizi di data analytics per aziende terze non diversamente da quanto fanno società come l’inglese DataSift. Non è però chiaro se il modello implementato apporterebbe benefici in termini di trasparenza e tutela per gli utenti.
Diritti d’autore e Termini di Utilizzo.Tutti i diritti sono riservati | Autore: Maria Luisa Manis |Data di Pubblicazione: 13/08/2019. L’utilizzazione del presente Articolo è consentita solo per le finalità e nei limiti previsti dall’Articolo 70 della L.663/1941 e a condizione che si rispetti la modalità di citazione in APA style per le citazioni di blog-post come fonti di ricerca scientifica. Nel caso di utilizzazione nell’ambito di un web-blog è possibile menzionare solo l’iniziale del nome, cognome dell’autore, anno, il titolo dell’articolo e link dell’articolo; nel caso di condivisione del link dell’articolo sui social media è possibile menzionare solo l’iniziale del nome e cognome dell’autore. Qualsiasi utilizzazione al di fuori dei limiti di cui all’Articolo 70 della L.663/1941 è vietato.Una volta pubblicato l’articolo non sarà oggetto di modifiche successive, salvo correzione di eventuali errori di battitura. Eventuali aggiornamenti sostanziali saranno espressamente menzionati nella stessa pagina dell’articolo. Si garantisce l’accessibilità permanente; in caso di rimozione del blog, l’articolo sarà reso disponibile in altra repository che ne garantisca il libero accesso. Il presente articolo non equivale ad una consulenza professionale sul tema trattato.