Audizione del Presidente del Garante per la protezione dei dati personali, Antonello Soro, nell´ambito dell´esame della proposta di legge A. C. 3564 recante "Disciplina delle piattaforme digitali per la condivisione di beni e servizi e disposizioni per la promozione dell´economia della condivisione"

presso le Commissioni permanenti riunite Trasporti, poste e telecomunicazioni e Attività produttive commercio e turismo, Camera dei Deputati (12 luglio 2016)

(testo dell´intervento)

1. Il contesto di riferimento

Ringrazio le Commissioni per l´opportunità offertami di svolgere alcune riflessioni a proposito della sharing economy e dei problemi aperti da questa nuova e rilevante forma di organizzazione del mercato.

La proposta di legge A.C. 3564 – che si compone di 12 articoli – introduce, per la prima volta in Italia, una disciplina generale della materia con l´obiettivo di regolamentare le piattaforme digitali nonché disciplinare i rapporti tra i gestori della piattaforme e gli utilizzatori.

In questa cornice si inserisce peraltro la recentissima Comunicazione della Commissione "Un´agenda europea per l´economia collaborativa" del giugno 2016 che, nell´invitare gli Stati membri ad evitare approcci normativi divergenti sul tema, ribadisce per le piattaforme digitali l´obbligo di conformarsi all´attuale quadro giuridico applicabile in materia di protezione dei dati (come vedremo il riferimento è al  nuovo Regolamento  n. 2016/679).

L´economia della condivisione promuove nuove forme di consumo tra gli utenti – più convenienti di quelle tradizionali – e ridisegna interi segmenti di mercato, dai servizi di car sharing a quelli di locazione immobiliare, allo scambio di beni o competenze.

La tecnologia digitale rappresenta il fattore "abilitante" che dilata le potenzialità dell´economia della condivisione.

Questi nuovi modelli di business, si fondano, in via quasi esclusiva, sullo scambio di dati resi accessibili e disponibili dagli stessi utenti.

Si tratta di considerazioni di carattere generale che investono l´economia digitale in tutte le sue forme: dai modelli di consumo condivisi, all´internet delle cose, dai big data al Cloud computing.

L´ingente disponibilità ed accessibilità ai nostri dati, che possono essere raccolti, scambiati e analizzati  con continuità e, spesso, senza alcun intervento attivo o consapevole delle persone, rappresenta l´elemento portante della società digitale.

E le informazioni relative agli individui rappresentano oggi il bene economico principale per le imprese.

Ma nella società digitale, i dati corrispondono alle nostre persone, noi siamo i nostri dati e da questa considerazione bisogna partire per ricercare efficaci forme di tutela e per valutare le iniziative (compresa quella oggetto della presente analisi) volte a regolamentare fenomeni così complessi.

Se da un lato la tecnologia offre infatti nuove potenzialità di sviluppo, una raccolta "incontrollata" dei nostri dati ne aumenta in modo esponenziale la vulnerabilità.

L´emergere di questi nuovi modelli economici incide sui mercati tradizionali creando asimmetrie che rendono necessari interventi finalizzati ad eliminare, in primo luogo, le pratiche anticoncorrenziali ed a rendere trasparenti le condizioni che sono alla base dei servizi.

In questa prospettiva si colloca la proposta di legge in esame.

E´ previsto che presso l´Antitrust venga istituito (art. 3, c.2) un "Registro elettronico nazionale delle piattaforme digitali dell´economia della condivisione" a cui le aziende dovranno iscriversi, quale presupposto per lo svolgimento dell´attività da parte dei gestori.

Questi ultimi dovranno inoltre dotarsi di un documento di politica aziendale (art.4) che illustri le condizioni contrattuali tra la piattaforma digitale e gli utenti, che sarà sottoposto al parere vincolante ed all´approvazione dell´Antitrust.

L´Antitrust, inoltre, potrà prevedere, per le imprese che vogliano essere iscritte al registro, l´obbligo di stipulare adeguate polizze assicurative, per una maggiore tutela degli utenti.

La proposta di legge affida inoltre alla stessa Autorità poteri sanzionatori.

Si evince che la proposta di legge si concentra, principalmente, su di un "regime autorizzatorio" finalizzato a creare un assetto che tuteli la concorrenza e renda trasparenti le condizioni contrattuali tra gestori delle piattaforme digitali ed utenti.

E tuttavia occorre un supplemento di riflessione  che, oltre  ai profili attinenti l´equità fiscale, la leale concorrenza e la tutela tradizionale dei consumatori (appunto le finalità richiamate dall´art. 1 c.2),  si preoccupi anche della trasparenza dei dati raccolti, delle modalità con le quali sono gestiti, dei luoghi in cui possono essere conservati, dei tempi di conservazione, delle attività di profilazione che su di essi possono essere svolte, nonché delle misure di sicurezza adottate dalle piattaforme digitali.

Una compiuta regolamentazione non può prescindere da questi ulteriori elementi.

Le politiche di tutela del mercato digitale richiedono una forte integrazione con quelle di protezione dei dati.

I collaborazione con le altre  Autorità europee abbiamo maturato una seria esperienza nel prevedere specifiche garanzie e tutele per gli interessati.

Mi limito qui a richiamare, a titolo puramente esemplificativo, l´attività svolta sulle app mobili,  sul Cloud computing, sui social network, i provvedimenti relativi al Sistema Pubblico per la gestione dell´Identità Digitale,  alle piattaforme che abilitano servizi di pagamento elettronico e servizi per la mobilità,  oltre a quelli più impegnativi nei confronti di Google, Microsoft e Facebook.

Nell´ambito dei diversi interventi abbiamo bilanciato le esigenze delle imprese a sfruttare le nuove potenzialità offerte dalla tecnologia con il rispetto di specifiche misure di sicurezza quali le tecniche di anonimizzazione, la raccolta e l´utilizzo di dati aggregati, l´adozione di tecniche sicure di trasmissione tra i diversi dispositivi (o piattaforme), l´impostazione di ragionevoli tempi di conservazione ovvero di sistemi automatici di cancellazione, la necessità di individuare dove sono collocate le infrastrutture che conservano i dati (specie se archiviati nelle "nuvole" con il Cloud).

Del resto mai come oggi la protezione dei dati rappresenta una risposta all´avanzare di una tecnologia incontrollata e il presupposto essenziale per garantire anche e soprattutto la sicurezza dei sistemi e dei dati.

Ciò è tanto più vero con il nuovo Regolamento europeo in materia di protezione dei dati personali (pubblicato lo scorso 4 Maggio), che sarà applicato a partire dal  maggio 2018, avendo concesso agli Stati membri due anni di tempo per adeguare, ove necessario, i propri ordinamenti e garantire l´allineamento fra le disposizioni nazionali esistenti (ove mantenute) e le nuove direttamente applicabili.

2. Il  nuovo quadro normativo europeo rispetto al quale deve essere valutata la proposta di legge in esame.

L´obiettivo delle disposizioni contenute nel nuovo Regolamento - imprescindibili quando si parla di piattaforme digitali – è quello di responsabilizzare i titolari spingendoli verso l´adozione di modelli organizzativi e tecnologici (di gestione e di controllo dei dati) sicuri.

I concetti di privacy by design, privacy by default, – che puntano ad arrivare a un modello di sicurezza e di protezione dei dati perfettamente integrato fin dalla progettazione rispetto alle tecnologie abilitanti –sono condizioni ineludibili affinché anche lo sviluppo dell´economia condivisa avvenga in un quadro rispettoso dei dati e, di conseguenza, delle persone.

Sarebbe allora opportuno che questi elementi fossero previsti – oltre al documento di politica aziendale - dalla proposta in esame quale ulteriore condizione per consentire alle piattaforme digitali di operare nel nostro mercato.

Si tratta peraltro di requisiti che dovranno essere rispettati anche dalle imprese straniere che intendano comunque offrire beni e servizi a cittadini europei.

Un aspetto – questo dell´extraterritorialità delle norme richiamate – particolarmente rilevante anche nel contesto dell´economia della condivisione dove accanto a piccole start up italiane si registrano grandi colossi tra i quali almeno 11 piattaforme straniere operano in Italia senza avere alcun ufficio.

L´economia digitale è per sua natura aterritoriale e la protezione dei dati può essere la chiave attraverso cui governare i processi in atto ed il nuovo Regolamento ha di fatto esteso la capacità delle Autorità di protezione dei dati ad intervenire per regolamentare l´attività e le tecnologie utilizzate anche da imprese extra UE.

Il nesso tra economia e protezione dei dati non è del resto stato mai così evidente soprattutto laddove si considerino i rapporti commerciali tra Europa e Stati Uniti che riguardano, in primo luogo, proprio i trasferimenti di dati legati al mondo digitale.

Rapporti compromessi dalla vicenda del Datagate a seguito della quale la Corte di giustizia ha dichiarato invalido il Safe Harbour strumento che per lungo tempo aveva regolato il trasferimento dei dati tra le sue sponde dell´Atlantico. Il nuovo accordo del Privacy shield, sul quale esprimeremo un parere conclusivo nelle prossime settimane,  va comunque nella direzione di stabilire rapporti più equilibrati.

Dalle considerazioni svolte, emerge con chiarezza come gli aspetti che attengono alla "vigilanza delle piattaforme digitali" e delle corrette politiche di gestione e di scambio delle informazioni che su di esse transitano è qualcosa di estremamente complesso che investe in maniera strutturale la protezione dei dati, in termini di affidabilità delle attività che si svolgono on-line, e di sicurezza dei sistemi utilizzati affinché siano impedite violazioni o accessi illegittimi ai dati stessi.

Per questo l´uniforme applicazione delle regole di protezione dei dati a tutti gli operatori, indipendentemente dalla scelta di stabilimento, è anche un prerequisito essenziale per la creazione di un vero mercato concorrenziale.

E´ pertanto opportuno che la proposta di legge in esame introduca e definisca il ruolo del Garante con particolare riferimento proprio ai compiti di vigilanza e controllo non solo rispetto alle modalità con le quali vengono trattati i dati personali nell´ambito delle piattaforme digitali, ma anche sugli aspetti connessi alle misure – incluse quelle tecniche - da queste adottate per garantire l´effettiva sicurezza dei dati e dei sistemi utilizzati.

3. Nello specifico della proposta di legge

La protezione dei dati richiederebbe dunque un approccio più ampio rispetto a quello previsto dall´art. 7 della proposta la cui rubricazione "Tutela della riservatezza" peraltro non appare tale da ricomprendere in modo adeguato gli aspetti sopra evidenziati.

Come già detto, inoltre, i profili relativi alla protezione dei dati della proposta di legge in esame devono necessariamente essere valutati anche alla luce del nuovo contesto normativo di riferimento europeo.

E proprio in questa ottica, suscita qualche perplessità la previsione della definizione – contenuta nell´art. 7, c. 1 -  di "dato utente" come "il dato personale di cui sia stato acquisito il consenso ai sensi del D.Lgs. n.196/2003 e il dato prodotto e ottenuto dall´integrazione digitale di oggetti" che sembrerebbe riferirsi più al fenomeno del cosiddetto Internet delle cose.

Per la verità ciò che rileva nella disciplina è essenzialmente se un dato è o non è "personale".

La volontà di evitare modifiche alla definizione di dato personale al fine di mantenerla il più "neutra" possibile prevedendo specificazioni solo in casi eccezionali e limitati quali, ad esempio, i dati biometrici e genetici, è emersa in sede di approvazione del Regolamento ed esprime una posizione comune delle Autorità anche nell´ambito del Working Party art. 29 (Gruppo di lavoro che riunisce in sede europea le Autorità di protezione dei dati di tutti gli Stati membri).

Il dato personale dunque appare come una categoria già sufficientemente ampia suscettibile, peraltro, di interpretazioni estensive che ne permettono comunque di ricomprendere tutte le possibili evoluzioni tecnologiche (i Considerando del Regolamento qualificano chiaramente come "dati personali" anche quelli di localizzazione, identificazione on-line e di altri fattori specifici tipo gli indirizzi IP).

Una ulteriore e nuova definizione di dato personale – rispetto alle ipotesi già contemplate– apparirebbe peraltro in contrasto con l´obiettivo principale perseguito dal Regolamento di assicurare una efficace armonizzazione tra gli Stati membri delle norme in tema di protezione dei dati.

E sarebbe fonte di delicati problemi anche per la concorrenza, con possibili profili di compatibilità dal punto di vista della tutela del mercato interno UE.

L´art. 7, c. 2, presenta alcune criticità nella parte in cui prevede la possibilità per il gestore della piattaforma digitale di "cedere a terzi dati utenti del cui trattamento è titolare".

E´ previsto che ciò possa avvenire a condizione che vengano comunicate agli utenti, entro un congruo termine antecedente alla cessione, le modalità e i tempi della cessione per consentire a questi ultimi (nel testo della proposta di legge si parla probabilmente con un refuso di "titolari"), di effettuare, con un solo comando o rispondendo a una comunicazione elettronica, l´eliminazione dei dati che lo riguardano.

Al Garante viene attribuito il compito di definire un´informativa "semplificata" oltre al termine per la comunicazione e le modalità per l´eliminazione dei dati.

La cessione dei dati (da un titolare ad un terzo) è un´ipotesi rigidamente disciplinata dal Codice (art. 16) e prevista nel solo ed esclusivo caso di cessazione del trattamento a condizione che i dati siano destinati ad un trattamento compatibile agli scopi per i quali sono stati originariamente raccolti, ovvero siano finalizzati a scopi storici statistici o scientifici.

Questa disposizione, per la cui violazione è prevista l´illiceità oltre ad una sanzione amministrativa, è volta ad impedire ogni forma di commercializzazione dei dati raccolti.

Anche il nuovo Regolamento non contempla alcuna ipotesi di cessione dei dati.

La protezione dei dati, del resto, si qualifica come  diritto fondamentale della persona espressamente sancito dalla Carta di Nizza, riconosciuto dal Trattato di Lisbona e, in quanto tale, non può certamente essere oggetto di alcuna mercificazione.

Alla luce delle brevi considerazioni svolte, si ritiene opportuno che tale previsione venga espunta dal testo della proposta.

Diverse valutazioni devono essere svolte nel caso in cui, invece, si intenda disciplinare l´ipotesi di "comunicazione" dei dati prevista dal Codice ma nel rispetto di precise garanzie, quali, in particolare, la compatibilità delle finalità, un consenso informato e preventivo, la non sistematicità della comunicazione, l´individuazione chiara e puntuale dei soggetti destinatari della stessa (che devono appartenere peraltro alle medesime categorie "merceologiche" del soggetto che comunica i dati).

L´art 7 al c.3 lett a) prevede che le piattaforme digitali devono garantire a ogni utente "uno strumento online di verifica, modifica, obliterazione, cancellazione e prelievo dei propri dati utente con granularità singolare ovvero raggruppati per categorie omogenee o in forma complessiva" oltre alla "possibilità di cancellare definitivamente, con una sola operazione, tutti i dati memorizzati all´interno del profilo dell´utente".

Al di là di alcuni chiarimenti che appaiono necessari con particolare riguardo al concetto di "obliterazione e prelievo dei propri dati",  le finalità perseguite sembrano rinviare sostanzialmente a quanto già previsto dall´art. 7 del Codice privacy in tema di diritti riconosciuti all´interessato tra i quali, appunto, si richiamano quelli di accesso, opposizione, cancellazione dei dati, rettifica.

Sul punto occorre inoltre considerare il cosiddetto "diritto alla portabilità" dei dati introdotto dal nuovo Regolamento – oggetto peraltro di approfondimento anche in sede di Working party art. 29 - che dovrà necessariamente essere valutato e considerato anche in questa sede.

L´art.7, c. 4 contiene il divieto ad "analizzare automaticamente i contenuti dei documenti, privati o condivisi anche in remoto, e dei messaggi scambiati dagli utenti, nonché dei dati utente".

Sul punto si suggerisce una formulazione più chiara della disposizione con particolare riferimento al concetto di "analisi automatica" nonché alla precisazione di cosa si intenda per "operazioni esplicitamente e spontaneamente richieste dagli utenti" che appaiono sottratte al divieto generale.

Se l´obiettivo della norma è quello generale di vietare l´attività di profilazione da parte dei gestori delle piattaforme digitali – obiettivo di per sé condivisibile - è necessario puntualizzare che il Codice privacy comunque già disciplina forme e modi per limitare la predetta attività e fare in modo che la stessa – laddove consentita - si svolga nel rispetto delle disciplina in materia di protezione dei dati.

Le aziende, del resto, puntano a raccogliere e conoscere il modo e le abitudini di utilizzo di un determinato servizio anche per migliorarne la qualità, per meglio rispondere alle esigenze degli utenti o per valutarne l´affidabilità.

Altro tema delicato è quello delle registrazioni univoche degli utenti affidate dall´art. 4, c. 4,  ai gestori per consentire i pagamenti elettronici – unica modalità di transazione in denaro prevista.

I gestori sono chiamati a trattare dati delicati (tra gli altri generalità, dati anagrafici, codici fiscali e residenza) per attribuire una "identità certa" all´utente.

Concludendo: i rischi di vulnerabilità dei sistemi e la possibile sottrazione di dati così importanti strettamente connessi alla diretta identificabilità degli utenti non possono essere sottovalutati: perché in gioco c´è la vulnerabilità della società digitale e quindi delle nostre persone.