Data broker, chi sono e come evitano di violare la privacy

Ultimamente si inizia a sentire parlare anche in Italia di “data broker”. Ma che fanno esattamente e quali rischi comporta la loro attività per i diritti e le libertà delle persone fisiche?

I data broker (o, come pure definiti negli USA, “information broker” o “information reseller”), recuperano informazioni on line da fonti pubbliche, le aggregano, le interpretano e le analizzano per poi venderle sul mercato, costituendo parte integrante dell’economia dei Big Data.

Questa attività, laddove consista nel reperire informazioni economiche e finanziarie relative ad una determinata società, al mercato in cui opera ed a società che svolgono attività analoghe, per produrre studi di settore, non sembra presentare criticità per la riservatezza delle persone.

Il discorso cambia però quando le informazioni raccolte – da una varietà di fonti “pubblicamente disponibili” (come, ad esempio, il Catasto, l’Agenzia Entrate, il Pubblico Registro automobilistico, il Registro delle Imprese, i Social Networks, etc.) – non si riferiscono a società, ma a persone fisiche (in particolare, consumatori); quando si tratta cioè di dati personali, che vengono aggregati, arricchiti e organizzati in “profili”, per essere venduti a imprese che intendono realizzare campagne pubblicitarie mirate e/o offrire servizi personalizzati.

Tale ultima tipologia di attività, come messo in rilevo anche negli USA dalla Federal Trade Commission[1], può essere anche molto invasiva consentendo di raggruppare gli individui in base all’etnia, al reddito, lo stile di vita, gli hobby, gli interessi e persino le condizioni di salute e dedurne gli interessi, il tutto all’insaputa degli individui stessi,che sono quasi sempre inconsapevoli dell’esistenza di tali organizzazioni e della circostanza che le stesse raccolgono e usano i loro dati.

Ma quid iuris nel nostro ordinamento?

Si potrebbe sostenere che il data brokering non comporti problematiche sotto il profilo della disciplina di protezione dei dati personali in quanto i dati personali trattati sono “pubblici”, o perché si tratta di dati che le PA rendono pubblicamente conoscibili nell’adempimento degli obblighi di trasparenza sulle stesse gravanti[2] o in quanto si tratta di dati resi tali direttamente dagli «interessati», ad esempio pubblicandoli sui Social Network.

Le cose non stanno però in questi termini. Il fatto che tali dati siano liberamente conoscibili non significa che siano anche liberamente riutilizzabili da chiunque e per qualsiasi scopo. Il «riutilizzo» dei dati, invece, in attuazione del «principio di finalità» di cui all’art. 11, lett. b), del d.lgs. 196/2003 (“Codice Privacy”), non può essere consentito «in termini incompatibili» con gli scopi originari per i quali gli stessi sono resi accessibili pubblicamente. L’Autorità Garante per la protezione dei dati personali[3], infatti, ha precisato che è ad esempio illecito riutilizzare a fini di marketing o di propaganda elettorale i recapiti e gli indirizzi di posta elettronica del personale della PA oggetto di pubblicazione obbligatoria, in quanto tale ulteriore trattamento deve ritenersi incompatibile con le originarie finalità di trasparenza per le quali i dati sono resi pubblicamente disponibili. Lo scopo perseguito dalle disposizioni che impongono la pubblicazione dei dati di tale personale, infatti, è quello di aiutare i consociati a individuare i soggetti e i recapiti da contattare per presentare istanze o ottenere informazioni; di conseguenza, tali soggetti non potrebbero “ragionevolmente prevedere” che i loro dati possano essere utilizzati per scopi non collegati alle proprie attività lavorative[4].

Il Garante era già pervenuto alla stessa conclusione[5] per quanto concerne i dati pubblicati online dagli stessi interessati, precisando ad esempio, che, sempre in ossequio al «principio di finalità», gli indirizzi di posta elettronica resi conoscibili attraverso siti web non sono liberamente utilizzabili per qualsiasi fine (ed in particolare, per l’invio di e-mail aventi contenuto commerciale o pubblicitario), ma possono essere utilizzati solo per le finalità per le quali gli stessi vi sono stati pubblicati.

La necessità di rispettare, anche se i dati sono pubblicamente conoscibili, il principio di «limitazione della finalità», subordinando il trattamento al consenso degli interessati laddove la finalità ulteriore risulti «incompatibile» con quella per la quale i dati personali sono stati ab origine raccolti[6], è espressamente prevista anche dalla nuova normativa europea sul trattamento dei dati personali, il Regolamento (UE) 2016/679 del 27 aprile 2016, che abroga la precedente direttiva 95/46/CE, da cui deriva il nostro Codice Privacy, e sarà applicabile in tutti gli Stati Membri UE a decorrere dal 25 maggio 2018 (noto con l’acronimo inglese “GDPR”)[7].

Nel caso del data brokering infatti non sembra possibile basare il trattamento sull’«interesse legittimo» del Titolare[8]. Difatti, affinché ciò sia possibile, l’interesse del Titolare, sia pur legittimo, deve anche prevalere, ai sensi dell’art. 6.1, lett. f) del GDPR, sugli interessi o sui diritti e le libertà fondamentali dell’interessato. Come precisato dal Gruppo dei Garanti europei nell’“Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC”, il fatto che il Titolare abbia il legittimo interesse di conoscere le preferenze dei suoi clienti in modo da poter personalizzare le proprie offerte o realizzare pubblicità mirata, non implica che possa anche monitorare ingiustificatamente le loro attività on-line o off-line, combinare grandi quantità di dati, e creare – e, tramite l’intermediazione di data brokers, anche commercializzare – complessi profili delle personalità e delle preferenze dei clienti stessi, senza che questi ultimi ne siano consapevoli, basandosi, come «condizione di legittimità» del trattamento, sull’interesse legittimo. In tal caso, comportando tale attività di profilazione una rilevante intrusione nella “privacy” degli interessati, gli interessi e i diritti di questi ultimi devono considerarsi prevalenti sull’interesse del titolare e il trattamento, per poter essere legittimo, deve fondarsi sul consenso informato degli interessati[9].

A tale proposito non si può però non tener conto che le caratteristiche peculiari dell’attività in oggetto rendono estremamente difficile fornire un’adeguata informativa agli interessati, che chiarisca le finalità del trattamento (per il semplice fatto che queste non sono già note al momento dell’acquisizione dei dati), e, quindi, che, laddove necessario, quest’ultimi prestino un consenso al trattamento dei loro dati specifico, consapevole e valido. Una delle caratteristiche dei Big Data, infatti, è la circostanza che gli stessi vengono raccolti senza che siano chiari a priori i loro molteplici utilizzi[10]. A tale proposito, sia il Gruppo dei Garanti Europei[11] che il Garante Europeo della protezione dei dati (European Data Protection Supervisor)[12] hanno però affermato con forza che non vi sarebbe alcuna ragione per ritenere che i principi fondamentali in tema di data protection non siano più validi e appropriati per il trattamento massivo di dati, pur ammettendo che debbano essere applicati in modo più moderno, flessibile e creativo, oltre che completati con nuovi concetti sviluppati negli anni (ed ora espressamente previsti nel GDPR), come l’accountability, la privacy by design e la Data Protection Impact Assessment (nota anche con l’acronimo “DPIA”) , offrendo modi innovativi per informare gli interessati e consentire loro il controllo sui propri dati.

Il data broker che tratti dati personali – potendo il relativo trattamento, effettuato tramite l’uso di nuove tecnologie, presentare un rischio elevato per i diritti e le libertà delle persone fisiche – dovrebbe quindi effettuare una DPIA[13], valutando la necessità e la proporzionalità del trattamento in relazione alle finalità perseguite, il rischio di impatti negativi sulle libertà e i diritti degli interessati e l’idoneità delle garanzie, meccanismi e misure tecniche e organizzative previste per mitigare tali rischi ai sensi dell’art. 35 del GDPR. All’esito di questa valutazione di impatto potrà quindi decidere in autonomia se iniziare il trattamento, avendo adottato le misure idonee a mitigare sufficientemente il rischio ovvero, qualora sia presente un alto rischio residuo per le attività di trattamento, consultare preventivamente l’autorità di controllo competente, la quale dovrà pronunciarsi in merito al trattamento in questione (indicando eventuali misure ulteriori da implementare oppure, nei casi più estremi, vietare il trattamento).

[1] Che, a seguito di un’indagine sulle pratiche commerciali di 9 big player del settore, ha emesso a maggio 2014 un copioso rapporto, ‘Data Brokers: A Call for Transparency and Accountability‘, in cui ha evidenziato le criticità dell’attività dei data broker dal punto di vista “privacy”, sollecitando il Congresso ad intervenire per porre rimedio alla mancanza di trasparenza e di scelta per i consumatori (nonché alla difficoltà di questi ultimi di esercitare controllo sulle proprie informazioni), emanando una legge che consenta loro di conoscere l’esistenza e l’attività dei data broker (come un portale internet centralizzato) e le fonti dei dati, nonché di avere accesso alle proprie informazioni possedute da tali organizzazioni. Da segnalare che l’appello della FTC sembra essere stato recentemente raccolto dal senatore Edward J. Markey che lo scorso 14 settembre ha presentato una proposta di legge volta, fra l’altro, a richiedere ai broker di dati di stabilire procedure per assicurare l’accuratezza delle informazioni personali raccolte.

[2] ai sensi del Decreto legislativo 14 marzo 2013, n. 33, “Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni” (di solito conosciuto come “decreto trasparenza” o “decreto sulla trasparenza amministrativa”).

[3] Nelle “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati” (doc. web. n. 3134436], emanate dall’Autorità il 15 maggio 2014, a seguito dell’entrata in vigore del d. lgs n. 33/2013.

[4] Analogamente, i dati personali provenienti dal Pubblico registro automobilistico (P.R.A.), per quanto pubblici (possono essere si utilizzati per inviare comunicazioni di particolare interesse per gli utenti, ivi comprese quelle concernenti l’imminente scadenza delle revisioni auto, nonché i moduli relativi ad attività di ricerca economico-sociale o statistica, ai sensi dell’art. 24, co. 1, lett. c) del Codice Privacy, ma) non possono essere utilizzati, senza il consenso degli interessati, per scopi direttamente commerciali o pubblicitari, in quanto del tutto avulsi dall’interesse pubblico cui è ispirato il sistema e, quindi, “non compatibili” con gli scopi che hanno determinato l’originaria raccolta dei dati (così, l’Autorità, nel provvedimento 11 marzo 2010, “Pubblico registro automobilistico e privacy, doc web. 1709295.).

[5] Già nel provvedimento generale sullo spamming del 29 maggio 2003, doc. web n. 29840.

[6] La necessità del consenso per il trattamento dei dati “for tracking and profiling for purposes of direct marketing, behavioural advertisement, data-brokering, location-based advertising or tracking-based digital market research” era stata espressamente segnalata dal Gruppo dei Garanti europei, “Article 29 Data Protection Working Party”, nell’“Opinion 03/2013 on purpose limitation”.

[7]  Si vedano l’art. 6.4 e il considerando 50 del GDPR, che precisa: “Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. […..] Per accertare se la finalità di un ulteriore trattamento sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento dovrebbe, dopo aver soddisfatto tutti i requisiti per la liceità del trattamento originario, tener conto tra l’altro di ogni nesso tra tali finalità e le finalità dell’ulteriore trattamento previsto, del contesto in cui i dati personali sono stati raccolti, in particolare le ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento con riguardo al loro ulteriore utilizzo; della natura dei dati personali; delle conseguenze dell’ulteriore trattamento previsto per gli interessati; e dell’esistenza di garanzie adeguate sia nel trattamento originario sia nell’ulteriore trattamento previsto”.

[8] L’interesse legittimo è una delle sei basi giuridiche che legittimano il trattamento di dati personali ai sensi dell’art. 6, co. 1 del GDPR.

[9] Considerazioni analoghe sono state effettuate dal nostro Garante in un recente Provvedimento del 24 novembre 2016, “Piattaforma web per l’elaborazione di profili reputazionali”, in cui ha affrontato il tema dell’impiego dei Big Data nell’ambito di una piattaforma reputazionale su web, che prevedeva l’assegnazione, tramite un sofisticato algoritmo, di un punteggio preciso (cd. rating reputazionale) ai soggetti censiti, così da consentire ai clienti di questi ultimi di poterne verificare la credibilità. Il Garante, pur ritenendo “legittima, in linea di principio, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socio-economici”, ha considerato che il “rating” elaborato dal sistema rischierebbe di “ripercuotersi pesantemente sulla vita (anche privata) degli individui censiti, influenzandone scelte e prospettive e condizionando la loro stessa ammissione a (o esclusione da) specifiche prestazioni, servizi o benefici”; di conseguenza, i dati personali dei soggetti non iscritti alla piattaforma, “ove anche tratti da documenti liberamente conoscibili, verrebbero comunque elaborati da quest’ultima per ottenere valutazioni reputazionali autonome, originali e del tutto distinte dalle informazioni originariamente acquisite; ragion per cui il loro lecito trattamento potrebbe avvenire solo sulla base del “libero” consenso degli interessati, ovvero di altro idoneo presupposto alternativo (artt. 23 e 24 del Codice) [ndr., come il «legittimo interesse»], allo stato non ravvisabile”. L’Autorità ha ritenuto che la costituzione di siffatta piattaforma (e il connesso trattamento di dati personali), in ragione delle sue peculiari caratteristiche, tali da incidere sulla stessa dignità degli interessati (per la delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati, nonché dei presupposti e delle modalità di trattamento prospettata), comportasse “rilevanti problematiche sotto il profilo della disciplina di protezione dei dati personali …”. La valutazione dell’algoritmo che determinerebbe i rating (la cui efficacia non è dimostrata, a causa dell’assenza di criteri riconosciuti a livello nazionale o internazionale, sulla base dei quali poter misurare la reputazione degli individui in modo realmente oggettivo, affidabile e imparziale) potrebbe infatti fondarsi su atti, documenti o certificati viziati ex ante da falsità ideologica o da mero errore, con il rischio di creare profili inesatti e non rispondenti alla reale rappresentazione e, quindi, all’identità personale, intesa anche quale immagine sociale delle persone e, pertanto, di darne una qualificazione o rappresentazione non veritiera o addirittura denigratoria

[10] cosa che ha portato alcuni commentatori a ritenere che la liceità del trattamento dei dati personali nel caso dei Big Data sarebbe inficiata ab origine; altri, in senso del tutto opposto, che tale fenomeno sia in grado di mettere in crisi gli istituti tradizionali di informativa e consenso.

[11] Nella “Dichiarazione sull’impatto dello sviluppo dei Big Data sulla protezione delle persone rispetto al trattamento automatizzato dei loro dati personali nell’Unione Europea” del 16 settembre 2014.

[12] Nell’Opinion 7/2015 dal titolo “Meeting the challenges of big data. A call for transparency, user control, data protection by design and accountability”.

[13] effettuando ragionamenti e valutazioni analoghi a quelle svolte dal Garante nel Provvedimento sopra citato nota¹¹, del 24 novembre 2016.