Molte sono le reazioni suscitate dalla decisione con cui l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha avviato un’istruttoria nei confronti di Google LLC, Google Italy S.r.l., Google Ireland Limited e la mother company Alphabet Inc., per presunto abuso di posizione dominante, in relazione alla portabilità dei dati, ai sensi dell’articolo 102 del Trattato sul Funzionamento dell’Unione Europea.
Tralasciando in questo caso i profili antitrust, pur preminenti e centrali, relativi al principio di leale concorrenza nel mercato dei Big Data, si vogliono avanzare alcune riflessioni su alcuni impatti, meno evidenti ma non per questo meno importanti, più strettamente collegati alla normativa sulla protezione dei dati personali, derivanti dal provvedimento dell’AGCM.
Digital Markets Act, così l’Europa limita il potere delle big tech
Portabilità dei dati, cosa dice la normativa
L’istituto della portabilità nasce nel mercato delle telecomunicazioni, per consentire all’utente di variare operatore in ogni momento, senza ostacoli e potendo – appunto – ‘portarsi dietro’ tutti i propri dati rilevanti, per garantire piena continuità dei servizi. Il legislatore europeo l’ha mutuato tale e quale, in sostanza, nel GDPR (Regolamento (UE) 2016/679). Nella versione finale delle ‘Linee guida sul diritto alla portabilità dei dati’, adottata il 5 aprile 2017 dall’Article 29 Working Party (cioè la ‘vecchia’ veste dell’attuale European Data Protection Board), si evidenzia come il diritto alla portabilità, oltre ad ampliare il margine di controllo dei consumatori impedendo forme di ‘lock-in’ tecnologico, sia anche volto a promuovere l’innovazione e la condivisione di dati personali fra titolari del trattamento in piena sicurezza e sotto il controllo dell’interessato.
A questo proposito, il Considerando 68 del GDPR chiarisce, così come le citate Linee Guida, che l’obbligo per i titolari di fornire – corrispondente al diritto per gli interessati di ricevere – i dati in un formato strutturato, di uso comune e leggibile da dispositivi automatici si esplica operativamente, alla fine dei conti, nell’esigenza per le aziende di “sviluppare formati interoperabili che consentano la portabilità dei dati”. I requisiti identificati dal primo comma dell’Art. 20 del GDPR, quindi, costituiscono specificazioni dello strumento che i titolari sono tenuti ad utilizzare, mentre l’interoperabilità rappresenta l’obiettivo finale.
Ora, se è vero che il titolare che ‘cede’ e quello che ‘riceve’, nell’ipotesi di trasmissione diretta, non devono di certo necessariamente operare nello stesso mercato, è altrettanto vero che, nella maggior parte – se non nella quasi totalità – dei casi, ‘portare’ i dati tra operatori attivi in settori non analoghi, o quantomeno collegati o complementari, non avrebbe particolare senso, creando seri e legittimi problemi di interoperabilità tra i players coinvolti (pensiamo alla richiesta fatta da un interessato ad una GDO di trasmettere ad un operatore telefonico tutti i dati raccolti tramite carta fedeltà, oppure quella avanzata nei confronti di un fornitore di servizi di musica in streaming di trasferire i dati ad una piattaforma di recruitment).
Non bisogna scordare, sotto questo punto di vista, che il comma 2 dell’Art. 20 identifica un limite molto importante alla trasmissione diretta, vale a dire la realizzabilità di sistemi interoperabili dal punto di vista tecn(olog)ico. Il che rende evidente l’assenza di un obbligo generale di mezzi, a favore di uno di risultato, a garanzia del buon esito della procedura di trasmissione anche a prescindere dalla piena adattabilità dei sistemi del titolare ricevente. Si dovrà dunque procedere, come sempre sotto il cappello del GDPR, ad una valutazione ad hoc, vale a dire caso per caso, richiesta per richiesta, dovendosi escludere automatismi del tenore “a domanda – rispondo” senza valutazione o scrutinio di legittimità e liceità da parte del titolare cedente. D’altra parte, è lo stesso Considerando 68 del GDPR a sottolineare che “Il diritto dell’interessato di trasmettere o ricevere dati personali che lo riguardano non dovrebbe comportare l’obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili”.
I punti critici della decisione dell’AGCM
Tutte queste fondamentali premesse servono quali chiavi interpretative di quello che, a parere di chi scrive, è il punto più critico, in ottica data protection, della decisione in esame dell’AGCM sul merito della portabilità. In più passaggi della decisione, infatti, si assume che i flussi tra titolari, derivanti dalle richieste di esercizio di questo specifico diritto, possano anche essere automatici, massivi, incondizionati e soprattutto continuativi. Come se stessimo parlando di sistemi integrati da clienti e fornitori di servizi.
Solo che qui non c’è alcun outsourcer affidatario di specifiche attività, quanto piuttosto un soggetto terzo che agisce parallelamente, in veste di intermediario, sia nell’interesse dei propri utenti, consentendo l’esercizio della data portability, sia del proprio, monetizzando i dati a fronte dei servizi offerti – altro tema di capitale importanza nel settore della c.d. data economy ed ancora lungi dall’essere adeguatamente messo a fuoco in Italia e all’estero. Inquadrare i processi relativi alla portabilità nel senso di richiedere l’implementazione di “un protocollo tecnologico che consenta un dialogo e un aggiornamento continuo del flusso dei dati” significherebbe sdoganare illimitate condotte ‘parassitarie’ ad opera dei soggetti intermediari. Tanto da poterli inquadrare, in simili circostanze, come una nuova categoria non di veri e propri nuovi ‘Over The Top’, quanto piuttosto di “Side The Top”, operante in un parallelo dark world ai fini della raccolta e dello sfruttamento di Big Data.
Pretendere un’interoperabilità senza soluzione di continuità, equivarrebbe, d’altra parte, a legittimare operazioni di svuotamento del valore di sistemi tecnologici, programmi di compliance, investimenti tecnologici e, più in generale, sforzi economici da parte dei titolari di volta in volta targettizzati. Viene in mente la favola della cicala e della formica, se non fosse che nel caso in esame quest’ultima rischia di ritrovarsi senza provviste, dovendole cedere per intero, dopo tanta fatica, alla cicala.
Libera iniziativa e concorrenza
Così qualcosa non quadra, sia in punto di equità, se volessimo dare una lettura etica a dinamiche economiche, sia dal punto di vista dell’equilibrio tra diritti – quello alla libera iniziativa economica e quello alla concorrenza – forzatamente contrapposti. La portabilità non serve a questo, ma a promuovere e rafforzare il controllo degli interessati sui propri dati personali, facilitandone la circolazione, da non confondere con la asportazione, peraltro a fini di remunerazione diretta di un diritto personalissimo quale quello alla portabilità riconosciuto dalla normativa sulla libera circolazione e protezione dei dati personali.
È la persona fisica l’unico e solo pivot della normativa privacy, sebbene questi possa farsi aiutare da intermediari all’uopo costituiti e ben venga il mercato di tali intermediari, ma non a spese di quegli operatori che da anni investono nella c.d. privacy costruendo infrastrutture sicure e segregate, come richiesto dal Garante sin dal suo provvedimento sulle carte fedeltà del 2005 ed imposto dal GDPR. Ed è dunque esclusivamente l’interessato a poter beneficiare degli effetti diretti della portabilità. A scanso di equivoci: chi scrive non solo ritiene ammissibili i servizi di intermediazione per l’esercizio dei diritti, ma addirittura auspicati. A condizione però che l’esercizio dei diritti ‘per conto’ degli interessati non diventi la scusa per duplicare abusivamente e furbescamente elenchi e database creati con enormi sforzi da parte dei legittimi titolari.
L’impatto delle regole europee
Non pare assolutamente causale, sotto questo profilo, che l’Art. 11 del Data Governance Act (Regolamento del Parlamento Europeo e del Consiglio relativo alla governance europea dei dati) imponga ai fornitori di servizi di condivisione dei dati – descritti all’Art. 9, par.1 – di non utilizzare i dati per i quali fornisce detti servizi per scopi diversi dalla loro mera messa a disposizione nei confronti degli utenti dei dati (cioè le persone sia fisiche che giuridiche che hanno legittimo accesso a determinati dati per fini commerciali o non commerciali). Nell’ottica del legislatore europeo, dunque, il ruolo di chiunque agisca come ‘intermediario’ deve essere neutro. Scelta che appare non solo ragionevole, ma in qualche modo obbligata, per evitare che chi assuma tale funzione non abusi della stessa per incamerare surrettiziamente una quantità imparagonabile di dati, in spregio di ogni più basilare principio di concorrenza.
Alla luce di queste brevi considerazioni ‘a caldo’ sul provvedimento dell’AGCM, si conferma la complessità operativa e la delicatezza degli effetti pratici della portabilità. In quest’ottica, si auspica che le valutazioni che l’Autorità opererà nei prossimi mesi tengano debitamente conto degli effetti fortemente distorsivi che un utilizzo eccessivo e massivo di questo diritto da parte degli intermediari è in grado di produrre sul mercato dei dati, in ragione di un uso alterato ed ambiguo della propria posizione e dello sfruttamento abusivo di investimenti altrui.
