Utilizzo dei Big Data: protezione e trattamento dei dati personali

Lo sviluppo di sistemi di raccolta e di storage di dati sempre più efficienti ha favorito la nascita dell’economia dell’informazione, in cui determinati soggetti specializzati hanno adottato modelli di business basati sullo scambio di informazioni e dati[1].

In questa nuova forma di economia si assiste ad un fenomeno di concentrazione del potere di mercato in capo a determinati operatori dotati di grandi quote di mercato e, pertanto, vi è il concreto rischio di creazione di barriere di ingresso per altri operatori che volessero accedere al mercato (foreclosure effect).

In particolare, il fenomeno dei Big Data sta assumendo dimensioni importanti grazie alla diffusa tendenza dei titolari delle maggiori digital platforms a estendere la propria attività di impresa in settori economici diversi da quello digitale e ad utilizzarvi i data set detenuti.

Più nel dettaglio, per Big Data si intendono «ingenti quantità di dati disponibili all’interno del nuovo ecosistema digitale, prodotti ad alta velocità e provenienti da una moltitudine di fonti, la cui gestione richiede potenti processori e algoritmi»[2]. Pertanto, i Big Data provengono dalle data sources, entità che elaborano il dato e lo immettono all’interno del mercato come accade per le altre risorse; una volta, poi, che i dati sono prodotti, qualsiasi soggetto che abbia accesso alle predette fonti può procedere alla loro acquisizione.

A ben vedere, ciò che risulta essere degno di particolare attenzione è la diffusa attitudine, da parte dei singoli utenti, a concedere i propri dati personali al fine di fruire di servizi digitali e di contenuti di vario genere; a ciò si aggiunga la tendenza degli operatori specializzati che raccolgono ed elaborano le informazioni con la finalità di acquisire il proprio business model.

In tale contesto si iscrive il dibattito sulla contrattualizzazione dei dati personali che vede contrapposte due differenti tesi; la prima, che prevede il consenso al trattamento dei dati come esimente da responsabilità e l’altra che presume una manifestazione di volontà negoziale che compendia in sé sia la funzione di strumento di controllo sui dati che quella di elemento essenziale di un contratto[3].

L’ultima delle due tesi trova conferma all’interno delle previsioni normative della direttiva europea relativa ai contratti digitali (2019/770 del 20 maggio 2019), che all’art. 3, par. 1, assimila i contratti attraverso i quali un operatore si impegna a fornire un servizio digitale dietro il corrispettivo di un prezzo e i contratti con i quali lo stesso operatore economico si impegna a fornire un contenuto o un servizio digitale al soggetto fornitore dei propri dati personali.

Inoltre, se si considera che il dato personale è estrinsecazione dell’identità personale e della personalità dell’individuo, di conseguenza, si può affermare che il diritto alla protezione dei dati venga considerato come assoluto, indisponibile, non prescrittibile e non suscettibile di commercializzazione e rientra tra i diritti fondamentali della persona, come previsto all’art. 8 della CEDU, all’art. 8 della Carta dei diritti fondamentali dell’Unione europea e, infine, all’art. 16 TFUE[4].

Sotto altro profilo, è necessario approfondire la definizione di consenso e di caratteristiche dello stesso; in particolare, l’articolo 4, al n. 11) del regolamento 2016/679/UE ha definito il consenso come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

Il primo requisito esplicitato nella definizione attiene alla libertà, in effetti, il consenso può essere valido soltanto se l’interessato operi concretamente una scelta senza correre il rischio di raggiri, intimidazioni o coercizioni.

Il secondo riguarda la specificità del consenso, che deve riferirsi a una situazione ben definita e concreta in cui si prevede un trattamento dei dati.

Il terzo requisito riguarda la necessaria informazione, la dichiarazione richiesta per il rilascio del consenso deve essere presentata in forma comprensibile e facilmente accessibile, tramite l’utilizzo di un linguaggio semplice e chiaro.

Il consenso dovrebbe, inoltre, applicarsi indistintamente a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Infine, vi è il requisito dell’inequivocabilità del consenso con il quale si intende la necessità di non ambiguità del consenso stesso.

Inoltre, all’art. 5, paragrafo 1, lett. b) del GDPR è sancito il divieto di trattamento dei dati per finalità incompatibili e differenti rispetto a quelle per le quali erano stati originariamente raccolti; infatti ai sensi del dettato normativo in questione, i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»)». Ciò viene addirittura confermato alla lettera c dell’art. 5 sopramenzionato che, riguardo ai dati raccolti prevede che questi debbano essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)».

Per quanto concerne, infine, l’aspetto della tutela risarcitoria derivante da illecito trattamento dei dati personali[5], il General Data Protection Regulation (n. 2016/679), all’art. 82 indica come sia riconosciuto il diritto di ottenere il risarcimento del danno patrimoniale e non patrimoniale subito a causa della violazione del regolamento stesso.

In conclusione, la tendenza dell’ordinamento europeo è nel senso di creare dei confini al trattamento dei dati, onde renderlo il più possibile informato e libero. Tuttavia, restano probabilmente dei problemi, che l’approccio attuale non riesce a superare.

Pertanto, considerando le continue sfide che le innovazioni tecnologiche presentano, appare necessario raggiungere un livello di tutela sempre maggiore dei dati personali per evitare abusi e violazioni di un diritto alla protezione dei dati personali.

[1] RIFKIN, L’era dell’accesso, La rivoluzione della new economy, Mondadori, 2000.

[2] Definizione elaborata nello studio su L’economia dei dati. Tendenze di mercato e prospettive di policy, Roma, gennaio 2018, condotto dalla IT Media Consulting in collaborazione con l’Università Bocconi.

[3] A tal proposito, si veda DE FRANCESCHI, Il “pagamento” mediante dati personali, in I dati personali nel diritto europeo, a cura di CUFFARO, D’ORAZIO, RICCIUTO, Torino, 2019, 1384.

[4] Ex multis, RODOTÀ, Il diritto di avere diritti, Roma-Bari, 2012, 397 ss.; Id., Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in Riv. crit. dir. priv., 1997, 583.

[5] Ex multis, CAMARDI, Note critiche in tema di danno da illecito trattamento dei dati personali, in Jus civile, 2020, 3, 786 e ss; MANTELERO, Responsabilità e rischio nel Regolamento UE 2016/679, in Nuov. leggi civ. comm., 2017, 1, 144 e ss..