• Privacy - Tecnologie dell'informazione e della comunicazione (ICT)

31 luglio 2019

Big Data. L’AGCM, l’AGCOM e il Garante per la Protezione dei Dati Personali presentano delle Linee

di Roberto A. Jacchia e Sara Capruzzi

Il 10 luglio 2019 l’Autorità Garante della Concorrenza e del Mercato (AGCM), l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) e il Garante per la Protezione dei Dati Personali hanno pubblicato le “Linee guida e raccomandazioni di policy” per i Big Data1.

Il documento è il risultato dell’indagine conoscitiva avviata dalle tre Autorità nel maggio 2017 riguardante le criticità concorrenziali connesse ai Big Data e la definizione di un quadro di regole atto a promuovere e tutelare la concorrenza dei mercati digitali, la promozione del pluralismo nell’ecosistema digitale, la protezione dei dati personali e la tutela del consumatore.

Per Big Data si intendono grandi quantità di tipi diversi di dati prodotti ad alta velocità da più fonti, che richiedono processori e algoritmi di elaborazione e analisi nuovi e più potenti, che sono caratterizzati dalle cosiddette “3 V”, ossia velocità, varietà e volume. In altre parole, si differenziano dagli altri dati per la quantità, la rapidità di analisi effettuata in tempo reale e per la continua evoluzione.

I Big Data rappresentano un notevole patrimonio informativo e rivestono un ruolo strategico per le imprese e in generale per il mercato, in quanto concorrono a migliorare la qualità dei servizi, esplorare e sfruttare nuove opportunità di business e fornire servizi specifici e personalizzati per i clienti, come ad esempio le pubblicità fondate sul cosiddetto "targeting comportamentale", ossia annunci online basati sui profili degli utenti, generati osservando le loro abitudini di navigazione. Tuttavia, la raccolta di tali dati può dare vita a specifici rischi per la tutela della riservatezza delle persone e per il diritto alla protezione dei dati personali, visto che in molti casi risulta possibile "re-identificare" un individuo attraverso informazioni apparentemente anonime.

Sotto il profilo concorrenziale, inoltre, i Big Data possono tradursi in barriere all’entrata e fenomeni di iper-trasparenza dei mercati con possibili impatti avversi sul loro funzionamento. L’accesso a grandi volumi o grandi varietà di dati è importante per garantire la competitività delle imprese sul mercato; pertanto, la loro raccolta può comportare barriere all'ingresso quando i nuovi entranti non possono raccoglierli o acquistarne l'accesso, in termini di volume o di varietà o tempo, allo stesso modo degli attori già operanti nel mercato. 

La crescente raccolta e l'utilizzo dei dati digitali tendono anche a produrre una maggiore trasparenza dei mercati online, con rilevanti conseguenze. Da un lato, infatti, essa va a vantaggio dei consumatori, che potranno confrontare sempre più facilmente i prezzi e le caratteristiche dei prodotti e dei servizi in concorrenza tra loro; in alcuni casi, inoltre, la maggiore trasparenza potrà anche agevolare l'ingresso nel mercato di nuovi concorrenti, che disporranno di maggiori informazioni sulla domanda dei consumatori e sulle condizioni dei mercati. Dall’altro, invece, le maggiori informazioni derivanti dall'aumento dei volumi e della velocità di raccolta dei dati, in particolare relativi ai prezzi dei beni e dei servizi dei concorrenti, potrebbero essere utilizzate in modo da limitare la concorrenza, rafforzando od agevolando le pratiche di collusione (tacita o esplicita).

Infine, l’accesso e la raccolta dei Big Data può dare vita anche ad altre condotte potenzialmente anticompetitive. Per ottenere un migliore accesso ai dati, ad esempio, un’impresa potrebbe acquisirne un’altra che già ne possiede un ampio set, o fondersi con questa solamente a tale fine, così eliminando un player del mercato. Inoltre, le imprese potrebbero anche rifiutare o impedire ai concorrenti di accedere a dati critici, tramite accordi discriminatori, selettivi, o altrimenti escludenti.

La decisione di avviare un’indagine conoscitiva congiunta deriva dalla consapevolezza che le caratteristiche dell’economia digitale sono spesso tali, per cui gli obiettivi di policy delle tre Autorità tendono inevitabilmente ad intrecciarsi e non sempre sono agevolmente distinguibili. Laddove i rapporti non univoci tra concorrenza, privacy e pluralismo richiedono un coordinamento stretto, il confronto costante tra le diverse Autorità di garanzia si rende necessario anche al fine di riconoscere e riconciliare possibili trade-off tra strumenti e obiettivi diversi.

Nel corso dell’Indagine sono state svolte circa quaranta audizioni da parte delle diverse Autorità, nel cui ambito sono stati interpellati i principali operatori dell’economia dei dati, delle telecomunicazioni, dei settori finanziari e dell’editoria, nonché esperti ed accademici. Sono state altresì inviate richieste di informazioni ai grandi operatori digitali e sono pervenuti numerosi contributi. Inoltre, le diverse Autorità hanno potuto beneficiare delle informazioni acquisite nel corso di precedenti procedimenti collegati allo sfruttamento economico dei dati e al ruolo della profilazione algoritmica nei mercati della pubblicità online e delle piattaforme di video sharing, motori di ricerca e marketplace.

Le linee guida di cooperazione sul tema, nonché le raccomandazioni di policy condivise dalle tre Autorità, richiedono in primo luogo al Governo e al Parlamento di interrogarsi sulla necessità di promuovere un nuovo quadro normativo che affronti la questione della piena ed effettiva trasparenza nell’uso delle informazioni personali. L’utilizzo intensivo dei Big Data dà infatti origine a rischi concorrenziali, nella protezione dei dati personali e nel pluralismo informativo. In particolare, la disponibilità in capo ai grandi operatori digitali, attivi su scala globale, di enormi volumi e varietà di dati e della capacità di analizzarli ed elaborarli ha dato luogo a inedite forme di sfruttamento economico del dato, che interessa anche i diritti fondamentali e la stessa tenuta dei sistemi democratici.

Le Autorità hanno rilevato che l’attuale assetto istituzionale, pur adeguato a tutelare taluni valori e diritti fondamentali, in particolare il diritto alla protezione dei dati personali e la concorrenza, potrebbe non rivelarsi idoneo a proteggere il pluralismo informativo nella società digitale, caratterizzata da comportamenti degli utenti dal lato della domanda, in un contesto di overload informativo e di limitata trasparenza circa l’origine delle informazioni e la loro natura. A causa del dinamismo e della complessità tecnica che caratterizzano tali questioni, le Autorità ritengono che al Governo e al Parlamento incomba la responsabilità di assicurare lo sviluppo equilibrato dell’economia digitale nel rispetto dei diritti e delle libertà fondamentali e della piena ed effettiva trasparenza e liceità dell’uso dei dati personali.

Secondo le tre Autorità, è inoltre necessario rafforzare la cooperazione internazionale su progetti di policy per il governo dei Big Data. La crescente interdipendenza dei mercati e dei sistemi economici fa sì che le questioni sollevate dall’economia dei dati assumano sempre più spesso carattere sovranazionale e, pertanto, risulta necessario un coordinamento fra le autorità della concorrenza europee. A livello europeo, l’AGCM è parte della Rete Europea della Concorrenza (European Competition Network, ECN), che riunisce la Commissione Europea e le Autorità antitrust degli Stati Membri. Nell’ambito dell’ECN è stato costituito un gruppo di lavoro, denominato “ECN Digital Markets”, in cui le Autorità europee si confrontano sulle attività in corso in merito all’applicazione delle regole di concorrenza agli operatori digitali. La costituzione di tale gruppo di lavoro mira a promuovere la cooperazione e a favorire la corretta allocazione delle risorse istruttorie.

Il dialogo transfrontaliero europeo non è soltanto legato a temi di concorrenza ma vi è anche un coordinamento interdisciplinare. Infatti, l’AGCM partecipa alla Digital Clearing House2, istituita su iniziativa dello European Data Protection Supervisor (EDPS) per valutare le implicazioni dei Big Data sotto il profilo della tutela del consumatore, della concorrenza e della protezione dei dati personali. In ambito extra europeo, la cooperazione multilaterale tra autorità antitrust viene attuata in tre sedi principali: l’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE), l’International Competition Network (ICN)3 e il United Nations Conference on Trade and Development (UNCTAD)4.

Per quanto riguarda invece il trattamento transfrontaliero dei dati personali posto in essere mediante tecniche di Big Data, trova piena applicazione il modello di cooperazione rafforzata tra le autorità nazionali competenti previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR)5. Modalità ulteriori di cooperazione tra le autorità di protezione dei dati possono altresì avere luogo, su scala globale, nell’ambito del Global Privacy Enforcement Network (GPEN)6.

Sotto il profilo regolamentare, infine, l’AGCOM partecipa attivamente all’Organismo dei regolatori europei delle comunicazioni elettroniche (Body of European Regulators for Electronic Communications, BEREC)7 sulla Economia dei dati (Data Economy), con politiche finalizzate a riconoscere l’impatto della economia dei dati sui mercati delle comunicazioni elettroniche, quale ruolo possano avere i servizi di comunicazione elettronica per lo sviluppo della economia dei dati ed, infine, in quale misura le autorità nazionali di regolazione possano beneficiare dell’economia dei dati nelle loro attività istituzionali.

Poiché l’utilizzo dei Big Data interessa trattamenti ulteriori rispetto a quelli effettuati mediante le reti di comunicazioni elettronica e nel settore privato, estendendosi ai trattamenti da parte di soggetti pubblici nel perseguimento di finalità istituzionali, le Autorità hanno considerato altresì necessaria la promozione di una policy unice e trasparente circa l’estrazione, l’accessibilità e l’utilizzo dei dati pubblici. Anche tali soggetti pubblici, infatti, devono assicurarsi che il ricorso ai Big Data avvenga nel rispetto della protezione dei dati personali.

Un ulteriore obiettivo fondamentale di policy è costituito dalla riduzione delle asimmetrie informative tra gli utenti e gli operatori digitali nella fase di raccolta dei dati. A tal fine, risulta fondamentale informare gli utenti non solo sugli usi dei dati ceduti, ma anche sulla effettiva necessità della cessione in merito al funzionamento del servizio offerto. Nonostante l’applicazione della normativa sulla protezione dei dati personali e la strumentazione propria della tutela del consumatore possano contribuire alla riduzione di tali asimmetrie, garantendo che gli utenti ricevano un’adeguata, puntuale e immediata informazione circa le finalità della raccolta e dell’utilizzo dei loro dati e siano posti nella condizione di esercitare le proprie scelte di consumo, le Autorità ritengono opportune ulteriori misure volte a rendere maggiormente consapevoli i consumatori nel momento in cui forniscono il consenso al trattamento.

Un’ulteriore raccomandazione delle Autorità consiste nel miglioramento delle metodiche di accertamento della natura personale o meno dei dati trattati, così da identificare la corretta cornice normativa di riferimento. Inoltre, i titolari del trattamento che intendono far uso di Big Data dovrebbero preventivamente valutare se una persona possa essere ragionevolmente identificata a partire dalle serie di dati “anonimizzati” utilizzate nel corso dell’analisi, in ragione delle operazioni di trattamento effettuate e dei dataset impiegati.

Le Autorità hanno consigliato inoltre l’introduzione di  nuovi strumenti per la promozione del pluralismo online, la trasparenza nella selezione dei contenuti nonché la consapevolezza degli utenti circa i contenuti e le informazioni ricevute online. A tal riguardo, negli anni recenti sia la Commissione Europea sia l’AGCOM hanno avviato dei percorsi di autoregolazione e di co-regolazione che coinvolgono tutte le componenti della società, ed in particolare, le piattaforme tecnologiche. A livello europeo, ad esempio, nel dicembre 2018 la Commissione ha adottato un Piano d’azione contro la disinformazione9 allo scopo di rafforzare la cooperazione tra Stati Membri ed istituzioni europee, al fine di contrastare la crescente disinformazione che caratterizza il web. A livello nazionale, invece, l’AGCOM ha recentemente approvato el dicembre 2018 la Commissione ha adottato un Piano d’azione contro la disinformazione8 allo scopo di rafforzare il Regolamento recante disposizioni in materia di rispetto della dignità umana, del principio di non discriminazione e del contrasto all’hate speech9.

Sotto il profilo dell’enforcement antitrust, l’AGCM presterà una particolare attenzione alle condotte delle piattaforme digitali che possono determinare effetti restrittivi della concorrenza, estendendo l’utilizzo degli strumenti propri del diritto antitrust alla valutazione di obiettivi relativi alla qualità dei servizi, all’innovazione e all’equità, per perseguire l’obiettivo ultimo del benessere del consumatore.

Le Autorità hanno altresì osservato che, con la diffusione dei Big Data, assume crescente rilevanza il controllo delle concentrazioni, ritenendo necessarie delle riforme, a livello nazionale e internazionale, che consentano alle autorità di concorrenza di valutare pienamente anche quelle operazioni sotto le attuali soglie prescritte per la comunicazione preventiva, ma che potrebbero risultare idonee a restringere immediatamente la concorrenza potenziale10.

Una ulteriore raccomandazione delle Autorità consiste nell’agevolare la portabilità e la mobilità di dati tra diverse piattaforme, tramite l’adozione di standard aperti e interoperabili, anche oltre quanto già previsto dal diritto alla portabilità di cui all’articolo 20 del GDPR11. Nello specifico, viene raccomandata una disciplina della portabilità dei dati che favorisca lo sviluppo della competizione nei vari ambiti di valorizzazione economica del dato e, di conseguenza, una più efficace tutela del consumatore-utente.

Viene suggerito inoltre di prevedere un aumento del massimo edittale per le sanzioni al fine di garantire un efficace effetto deterrente a tutela del consumatore, tenuto conto delle grandi dimensioni di molti operatori dell’economia digitale, nonché di rafforzare i poteri di acquisizione delle informazioni da parte di AGCM ed AGCOM, anche al di fuori dei procedimenti istruttori formali (indagini conoscitive, attività pre-istruttoria), ed anche prevedendo la possibilità di irrogare sanzioni amministrative in caso di rifiuto o ritardo nel fornire le informazioni richieste od in presenza di informazioni ingannevoli od omissive.

Infine, le Autorità hanno rilevato che un’efficace politica pubblica per i Big Data e l’economia digitale richiede non solo strumenti di enforcement, ma anche un’adeguata attività di advocacy permanente ad opera delle tre Autorità, al fine di rafforzare lo sviluppo dell’innovazione favorita dalla digitalizzazione, la competitività del sistema economico ed il benessere dei consumatori, di definire un level playing field attraverso misure volte alla rimozione di vantaggi fiscali di cui beneficiano le grandi piattaforme, e di accrescere la consapevolezza della collettività sia dei benefici che dei rischi derivanti dalla digitalizzazione dell’economia.

Le sfide poste dallo sviluppo dell’economia digitale e dai Big Data richiedono una valorizzazione delle sinergie esistenti tra strumentazione ex ante ed ex post, a tutela della privacy, della concorrenza, del consumatore e del pluralismo. L’AGCM, l’AGCOM e il Garante per la Protezione dei Dati Personali, nell’esercizio delle competenze loro assegnate, hanno sottolineato che si impegneranno ad attuare strette forme di collaborazione negli interventi che interessano i mercati digitali, anche attraverso la sottoscrizione di un Memorandum of Understanding.


Avv. Roberto A. Jacchia - Dott.ssa Sara Capruzzi - Studio Legale De Berti Jacchia Franchini Forlani

Fonte: dejalexonbrexit.eu
 


1 AGCM, AGCOM, Garante per la Protezione dei Dati Personali, Big Data. Indagine conoscitiva congiunta. Linee guida e raccomandazioni di policy.

2 L’iniziativa Digital Clearing House, lanciata dall’EDPS, mira a creare una piattaforma che faciliti la cooperazione, il dialogo e lo scambio di idee e migliori pratiche tra autorità di regolamentazione, responsabili politici, ricercatori e altre parti interessate. La sua missione principale è quella di ottenere una protezione migliore e più coerente delle persone in un'epoca di Big Data e intelligenza artificiale. .

3 Si tratta della Rete Internazionale della Concorrenza, il cui scopo è quello di facilitare la cooperazione tra le Autorità di diritto della concorrenza a livello globale.

4 L’UNCTAD è l’organo delle Nazioni Unite operante nei settori del commercio, sviluppo, finanza, tecnologia, imprenditoria e sviluppo sostenibile, che promuove il processo di integrazione dei Paesi in via di sviluppo nell'economia mondiale.

5 Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati) (GUUE L 119 del 04.05.2016).

6 Il GPEN è stato creato a seguito di una Raccomandazione dell’OCSE del 2007 sulla cooperazione transfrontaliera per il rispetto delle leggi sulla protezione dei dati, al fine di promuovere la cooperazione transfrontaliera tra le Autorità di protezione dei dati.

7 Il BEREC è stato istituito dal Regolamento (UE) 2018/1971 del Parlamento Europeo e del Consiglio, dell’11 dicembre 2018, che istituisce l’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC) e l’Agenzia di sostegno al BEREC (Ufficio BEREC), modifica il Regolamento (UE) 2015/2120 e abroga il Regolamento (CE) n. 1211/2009 (GUUE L 321 del 17.12.2018).

8 JOIN(2018) 36 final.

9 Delibera n. 157/19/CONS.

10 Come le acquisizioni da parte dei grandi operatori digitali di start-up particolarmente innovative anche soprannominate “killer acquisitions”.

11 L’articolo 20 del GDPR, rubricato “Diritto alla portabilità dei dati”, dispone quanto segue: “... 1. L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

a) il trattamento si basi sul consenso ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e

b) il trattamento sia effettuato con mezzi automatizzati.

2. Nell'esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.

3. L'esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l'articolo 17. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse

pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.

4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui...”.