fbpx
Napoli e Omignano-Scalo
+39 081 19750217
commerciale@selefor.it

LA DISCIPLINA DEI COOKIE E LA LEGGENDA DEL LEGITTIMO INTERESSE

A cura di Giovanni Crea

Il provvedimento d’urgenza adottato dal Garante per la protezione dei dati personali lo scorso 7 luglio 2022 nei riguardi della piattaforma Tik Tok ha definitivamente chiarito l’inadeguatezza della base giuridica del legittimo interesse per i trattamenti di dati personali effettuati durante la navigazione in internet e individuati nella archiviazione di informazioni, o l’accesso a informazioni già archiviate, nell’apparecchiatura terminale di un abbonato o utente”.

Questa fattispecie di trattamenti (archiviazione di dati o accesso a dati archiviati), svolti attraverso l’impiego di tecnologie denominate ‘marcatori’ (cookies), è assoggettata al quadro normativo ‘speciale’ rappresentato dalla direttiva c.d. e-privacy, segnatamente l’art. 5.3 e, in diritto interno, dall’art. 122, d.lgs. 196/2003.

Con riguardo ai profili applicativi, vale la pena richiamare le Linee guida del Garante relative all’utilizzo dei cookie e “altri strumenti di tracciamento” in cui l’autorità, riferendosi alla categoria più generale degli ‘identificatori’, oltre i cookies distingue gli identificatori passivi (es., fingerprinting) che consentono di effettuare trattamenti analoghi a quelli sopra tratteggiati.

Le basi giuridiche che legittimano i trattamenti effettuati attraverso i predetti strumenti vanno pertanto ricercate all’interno del quadro ‘speciale’ che, come è immediato verificare, non contempla il legittimo interesse ai sensi del Regolamento (UE) 2016/679 (Gdpr).

La lex specialis prevede il consenso dell’interessato, a meno che i trattamenti siano indispensabili per effettuare trasmissioni di comunicazioni (più precisamente, instradare informazioni su una rete di comunicazione elettronica) finalizzate alla gestione operativa del sito del provider o per la fornitura di un servizio richiesto dall’utente.

Il consenso, dunque, copre tutti i trattamenti le cui finalità sono diverse dalla gestione del sito o dalla prestazione di un servizio, compresi i trattamenti svolti ai fini dell’invio di pubblicità personalizzata.

Per completezza argomentativa, va anche precisato che la base giuridica rappresentata dalla “necessità di gestione operativa del sito” non è ascrivibile a un legittimo interesse nel senso del Gdpr per il semplice motivo che il quadro speciale non prevede, per i relativi trattamenti, alcun test di bilanciamento.

In chiusura, va peraltro osservato che l’istruttoria svolta dal Garante ha fatto emergere come, anche nell’ipotesi in cui le eccezioni al consenso previste dalla direttiva e-privacy fossero riconducibili alla base giuridica del legittimo interesse ai sensi dell’art. 6.1.f), gdpr, il provider ne abbia fatto un uso comunque 'disinvolto'.

  • In primo luogo, perché non ha fornito - se non in modo astratto e insufficiente - elementi concreti che potessero dimostrare l’esecuzione del test di bilanciamento (in particolare, seguendo le indicazioni fornite dalla Corte di giustizia UE nella sentenza Rīgas satiksme).
  • In secondo luogo, perché la scelta del fondamento giuridico è apparsa espressione di un criterio di convenienza piuttosto che un presupposto aderente alla realtà del trattamento, tenuto conto che in occasione di un precedente intervento del Garante la piattaforma aveva dichiarato l’applicazione del consenso per la somministrazione di pubblicità personalizzata ai maggiori di anni 16.

[1] Cfr. Gpdp, Provv. n. 248/2022, in Registro dei provvedimenti, https://garanteprivacy.it/ web/guest/home/docweb/-/docweb-display/docweb/9788429

[2] direttiva 2002/58/CE come modificata dalla direttiva 2009/136/CE, in GUCE, L 337, 18.12.2009, p. 13.

[3] Cfr. Gpdp, Provv. n. 231/2021, in Registro dei provvedimenti e G.U. n. 163 del 9 luglio 2021.

[4] Cfr. Corte di giustizia Ue, causa C‑13/16, Rīgas satiksme, in Raccolta generale, 4 maggio 2017.

Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!

Giovanni Crea

Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.

Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” presso Master Universitari e Corsi specialistici.

 

RIFLESSIONI SULLA NATURA DI ESSENTIAL FACILITIES DEI DATI PERSONALI

A cura di Giovanni Crea

L’esperienza dell’offerta di servizi attraverso internet (comprese le app) ha messo in luce come il loro consumo venga inevitabilmente codificato in dati (es., google maps) e come tali dati siano oggetto di trattamenti effettuati per finalità sia ‘tecniche’ – legate, cioè, alla fornitura e fruizione del servizio – sia di interesse economico del titolare del trattamento.

Con riguardo a quest’ultimo profilo, la disponibilità di grandi masse di dati (big data) rende possibile costruire profili degli utenti-interessati su cui ritagliare i propri servizi ovvero – spostandoci sul versante della raccolta pubblicitaria – per vendere spazi pubblicitari agli inserzionisti consentendo a questi di proporre a livello individuale i loro prodotti e servizi.

I mercati dei servizi internet, dunque, sono data intensive, e le posizioni dominanti che in essi si formano trovano nei dati personali una lèva essenziale [1] la cui replicabilità non è scontata in quanto riguardano i clienti dei provider e che gli stessi provider tendono a non diffondere per ragioni di vantaggio competitivo [2].

Questa prospettiva apre all’ipotesi della natura di essential facilities dei dati personali raccolti nei mercati di internet; profilo che, secondo la dottrina antitrust, è un elemento qualificante della posizione dominante, e la cui inibizione a potenziali concorrenti, da parte dei titolari, prefigura un abuso di tale posizione vietato dall’art. 102 TFUE.

Nel caso Google-Hoda [3], in cui ricorre l’ipotesi di ostacoli, da parte del motore di ricerca, alla portabilità dei dati – e dunque, in definitiva, all’accesso/trasferimento a favore di Hoda – l’Agcm sottolinea la valenza pro-concorrenziale di tale istituto, lasciando intendere come tali dati possano essere inquadrati nella categoria delle “risorse essenziali”.

Se i dati personali, descrittivi delle abitudini di consumo di beni e servizi forniti da un’impresa, fossero facilmente replicabili, la violazione dell’art. 20 del GDPR rileverebbe per il solo profilo di mancato esercizio di un diritto degli interessati e non anche per gli aspetti antitrust.

 


[1] Cfr. Agcm, Provvedimento n. 28051, Big Data, in Boll., n. 9/2020, 13 ss.

[2] Cfr. Agcm, Provvedimento n. 19140, Sfruttamento di informazioni commerciali privilegiate, in Boll., n. 47/2008, 5 ss.

[3] Cfr. Agcm, Provvedimento n. 30215, Google-ostacoli alla portabilità dei dati, in Boll., n. 27/2022, 83 ss.

 

Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!

Giovanni Crea

Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.
Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” 
presso Master Universitari e Corsi specialistici.

 

 

ARTICOLO THE CURRENCIES: LA BLOCKCHAIN

di Alessandro Di Capua

Che cos’è una blockchain?

Una blockchain è un database o libro mastro distribuito e condiviso tra i nodi di una rete di computer. In quanto database, una blockchain memorizza tutte le informazioni in formato digitale. Le blockchain sono note soprattutto per il loro ruolo cruciale nelle criptovalute, come Bitcoin, al fine di mantenere un registro sicuro e decentralizzato delle transazioni. La Blockchain garantisce la sicurezza di un database di dati senza la necessità di una terza parte.

Differenze con un semplice Database

Una differenza fondamentale tra un tipico database e una blockchain è il modo in cui sono memorizzati i dati. Una blockchain raccoglie le informazioni in gruppi, noti come blocchi, che non sono altro che un insieme di informazioni. I blocchi hanno una certa capacità di memorizzazione e, una volta riempiti, vengono chiusi e collegati al blocco precedentemente riempito, formando una catena di blocchi da qui il nome BLOCKCHAIN. Tutte le nuove informazioni che seguono il blocco appena aggiunto vengono inserite in un nuovo blocco, una volta riempito, viene aggiunto alla catena e così via.

Un database di solito struttura i suoi dati in tabelle, mentre una blockchain, come dice il nome stesso, struttura i suoi dati in blocchi che sono collegati tra loro. Questa struttura di dati rende dunque irreversibile la cronologia dei dati quando è implementata in modo decentralizzato. Quando un blocco viene riempito, viene fissato nella catena e diventa quindi un pezzo immutabile di questa linea temporale. A ogni blocco della catena viene infatti assegnato un timestamp, un codice che attesta il momento esatto in cui viene aggiunto alla catena.

Dunque come funziona la blockchain

  • Ogni transazione viene registrata come un “blocco” di dati. 

Queste transazioni mostrano il movimento di un bene che può essere tangibile (un prodotto) o intangibile (digitale). Il blocco di dati può registrare diverse informazioni: chi, cosa, quando, dove, quanto e persino le condizioni, come la temperatura di una spedizione di prodotti alimentari…

  • Ogni blocco è collegato a quelli precedenti e successivi.

Questi blocchi formano una catena di dati quando un bene si sposta da un luogo all’altro o cambia proprietà. I blocchi confermano l’ora esatta e la sequenza delle transazioni e si collegano tra loro in modo sicuro per impedire che un blocco venga alterato o che un blocco venga inserito tra due blocchi esistenti.

  • Come detto le transazioni sono bloccate insieme in una catena irreversibile:

Ogni blocco aggiuntivo rafforza la verifica del blocco precedente e quindi dell’intera blockchain. Ciò rende la blockchain inattaccabile, offrendo la forza chiave dell’immutabilità. In questo modo si elimina la possibilità di manomissione da parte di malintenzionati e si crea un registro delle transazioni di cui l’utente e gli altri membri della rete possono fidarsi.

Tipologie di BlockChain:

  1. Reti blockchain pubbliche: Una blockchain pubblica è quella a cui chiunque può aderire e partecipare, come ad esempio Bitcoin. Gli svantaggi possono essere la notevole potenza di calcolo richiesta, la scarsa o nulla privacy delle transazioni e la scarsa sicurezza. Si tratta di considerazioni importanti per i casi di utilizzo della blockchain in ambito aziendale.
  2. Reti blockchain private:Una rete blockchain privata, simile a una rete blockchain pubblica, è una rete peer-to-peer decentralizzata. Tuttavia, un’organizzazione governa la rete, controllando chi può partecipare. A seconda del caso d’uso, questo può aumentare significativamente la sicurezza tra i partecipanti. Una blockchain privata può essere gestita dietro un firewall aziendale e persino ospitata in sede.
  3. Blockchain consortili: Più organizzazioni possono condividere le responsabilità di gestire una blockchain. Queste organizzazioni preselezionate determinano chi può inviare transazioni o accedere ai dati. Una blockchain consortile è ideale per le aziende quando tutti i partecipanti devono essere autorizzati e hanno una responsabilità condivisa per la blockchain.

Perché la blockchain è importante: Qualsiasi business si basa sui dati per cui quanto più velocemente vengono ricevuti e quanto più sono accurati, tanto meglio è. La blockchain è ideale per questo utilizzo perché rende visibili questi dati nell’immediato e in modo completamente trasparente, dato che sono memorizzate su un libro mastro immutabile a cui possono accedere solo i membri della rete autorizzati. Una rete blockchain può tracciare ordini, pagamenti, conti, produzioni e molto altro. E poiché i membri hanno davanti un’unica blockchain, è possibile vedere tutti i dettagli di una transazione da cima a fondo, offrendo maggiore fiducia all’azienda, ai dipendenti e ai clienti stessi.

 

Servizi di intermediazione dei dati e altruismo dei dati: come la Commissione Europea permette la condivisione dei dati

Articolo a cura di Redazione Selefor CReFIS

Il servizio di intermediazione dei dati è stato introdotto con il data governance act che lo definisce come “un servizio che mira a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall’altro, anche al fine dell’esercizio dei diritti degli interessati in relazione ai dati personali[1].

Va innanzitutto precisato che la figura dell’interessato è quella indirettamente definita dal Regolamento (UE) 2016/679 (GDPR), vale a dire la persona fisica, identificata o identificabile, i cui dati sono oggetto di utilizzo. Il titolare dei dati è, invece, una persona giuridica (compresi gli enti pubblici e le organizzazioni internazionali), o una persona fisica diversa dall’interessato rispetto agli specifici dati in questione che, conformemente al diritto dell’Unione o nazionale applicabile, ha il diritto di concedere l’accesso a determinati dati personali o non personali o di condividerli. Infine, l’utente dei dati è la persona fisica o giuridica che ha accesso legittimo a determinati dati personali o non personali che ha diritto – anche a norma del regolamento (UE) 2016/679 in caso di dati personali – a utilizzare tali dati a fini commerciali o non commerciali.

Il servizio di intermediazione dei dati è di fondamentale importanza in quanto permette di procedere ad uno scambio di dati sicuro e protetto. Per le aziende in particolare è previsto l’utilizzo di piattaforme digitali create ad hoc per la condivisione volontaria in modo da facilitare l’adempimento agli obblighi di condivisione previsti dalla legge. D’altro canto, il servizio permette agli utenti di accedere alle informazioni di cui hanno bisogno in un ambiente totalmente controllato che stimoli e produca fiducia tra loro e le aziende interessate.

Il data governance act prevede che gli enti che svolgeranno l’attività di intermediazione dei dati, dovranno essere iscritti in un apposito registro, gestito dalla Commissione europea, consultabile da tutti gli utenti. Inoltre, avranno un logo di identificazione che permetterà a tutti di riconoscerli in quanto fornitori.

I fornitori non possono utilizzare i dati per propri scopi, ad esempio a scopo di lucro, ma sono autorizzati esclusivamente a metterli a disposizione dell’utenza. Ciononostante, possono imporre delle tariffe per l’erogazione del servizio stesso che siano però commisurate alla richiesta dell’utente e che coprano le effettive spese.

I fornitori dei servizi hanno l’obbligo di creare delle procedure per evitare e prevenire attività illecite con i dati e di avvertire gli interessati nel caso i loro dati siano stati trasferiti senza consenso ad utenti non legittimati. Inoltre, sono obbligati a conservare in una memoria storica tutti gli accessi ai dati. Hanno però la facoltà di includere ulteriori servizi nella propria offerta che facilitino la transizione dei dati, ma solo dopo l’approvazione da parte dell’interessato o del titolare dei dati.

Altruismo dei dati

Appare di particolare interesse l’incentivazione a creare una rete solidale di condivisione di dati attraverso strumenti sviluppati appositamente per mettere in connessione più realtà organizzative che potranno dunque mettere a disposizione i propri dati per il bene comune, come le attività di ricerca scientifica per migliorare il benessere psicofisico della popolazione, per monitorare il cambiamento climatico e per apportare cambiamenti significativi alla società.

Le organizzazioni che decidono di far parte di questo sistema avranno un logo che permetterà di identificarle e dovranno quindi essere registrate su un apposito elenco in modo da poter essere rintracciabili da chi volesse usufruire del servizio. Affinché un ente possa essere iscritto al servizio di altruismo dei dati è necessario che svolga tale attività, sia una persona giuridica costituita a norma del diritto nazionale per conseguire obiettivi di interesse generale, operi senza scopo di lucro, e deve svolgere questa attività mediante una struttura funzionalmente separata e diversa dalle altre attività[2].

La condivisione dei dati controllata e sicura, che abbia essa una matrice altruistica o meno, è da considerarsi un ottimo strumento per il progresso della società sia pure nel rispetto dei diritti delle persone e dei legittimi interessi delle aziende che ne fanno parte.


[1]Cfr. REGOLAMENTO (UE) 2022/868 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati)https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32022R0868&from=EN#d1e2656-1-1, art. 2, 11)

[2]REGOLAMENTO (UE) 2022/868 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati)https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32022R0868&from=EN#d1e2656-1-1

 

Redazione Selefor CReFIS

Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!

Il riutilizzo dei dati detenuti da enti pubblici: le disposizioni della Commissione Europea

Articolo a cura di Redazione Selefor CReFIS

Il primo dei quattro macro-temi trattati e regolamentati dal Data governance act[1]è “il riutilizzo di determinate categorie di dati protetti, detenuti da enti pubblici”.

Innanzitutto, è opportuno richiamare alcune definizioni:

  • I “dati” sono una qualsiasi rappresentazione digitale e raccolta di atti, fatti o informazioni in ogni forma di registrazione (audiovisiva, sonora o visiva);
  • Per “riutilizzo” invece si intende l’uso da parte di persone fisiche o giuridiche di dati già in possesso da enti pubblici. Questi dati potranno quindi essere usati nuovamente per fini commerciali e non commerciali, dunque, per scopi diversi da quelli per cui erano stati raccolti in origine, ma non potranno essere scambiati tra enti pubblici in quanto in questo caso potranno essere scambiati solo per ottemperare ai compiti di servizio pubblico.

Va preliminarmente specificato che il riutilizzo dei dati non è possibile per tutte le categorie; si applica infatti a dati protetti per motivi di riservatezza commerciale, riservatezza statistica, oppure a dati protetti per preservare la proprietà intellettuale e a tutti quei dati che non rientrano già nell’ambito di applicazione della direttiva 2019/1024[2].

Diversamente i dati detenuti dalle imprese pubbliche, i dati detenuti dalle emittenti di servizio pubblico e dalle società da esse controllate, i dati detenuti da enti culturali e di istruzione, quelli protetti per la pubblica sicurezza e così via, non possono essere riutilizzati.

Il regolamento in materia di riutilizzo dei dati vieta ogni forma di accordo di esclusiva tra enti sul riutilizzo dei dati, salvo l’eventualità in cui vi sia la necessità per la fornitura di un servizio che altrimenti non potrebbe essere erogato. Anche in questo caso però ci saranno delle limitazioni temporali, infatti gli accordi di esclusiva dovranno avere durata massima di 12 mesi.

Ma quali sono le condizioni per il riutilizzo?

In questo caso entra in gioco lo “sportello unico” che deve essere creato appositamente da ognuno degli Stati membri designando un ente o una struttura già esistente per svolgere questo incarico in modo da rendere tutte le procedure e le informazioni facilmente reperibili e disponibili a chiunque voglia usufruire del servizio. Lo sportello può anche essere collegato a sportelli settoriali, regionali o locali ed è possibile renderlo automatizzato purché vi sia però un sostegno adeguato da parte delle autorità competenti. Lo sportello unico, tra l’altro, potrà anche istituire un canale ad hoc specifico e semplificato per le PMI e per le startup che richiedono il riutilizzo dei dati. La Commissione dal canto suo creerà un unico registro elettronico consultabile presso gli sportelli unici nazionali, inoltre metterà a disposizione tutte le informazioni necessarie per l’acquisizione dei dati da riutilizzare. Le richieste di utilizzo possono essere evase entro 2 mesi, ma nel caso di richieste particolarmente complesse è possibile prorogare la consegna di 30 giorni, ovviamente il tutto dovrà essere comunicato per tempo al richiedente.

Le condizioni di riutilizzo dei dati devono essere trasparenti, non discriminatorie, oggettivamente giustificate e proporzionate alla natura delle categorie di dati e alle finalità di riutilizzo. Inoltre, gli enti pubblici che mettono a disposizioni i propri dati devono garantire che siano stati anonimizzati, nel caso si tratti di dati personali; oppure trattati con uno dei metodi di controllo della divulgazione in modo da preservarne segreti commerciali o contenuti protetti da proprietà intellettuale. Altresì potranno accedere ai dati in modo sicuro e controllato o da remoto o in una struttura fisica.

Il riutilizzo dei dati non deve essere sfruttato dagli enti pubblici a scopo di lucro, ma questi possono imporre tariffe per il servizio erogato. Le tariffe devono essere trasparenti, non discriminatorie, proporzionate e oggettivamente giustificate, e non devono limitare la concorrenza; inoltre dovrebbero agevolarne l’uso alle startup, alle PMI e agli enti che utilizzano i dati per motivi di studio e di ricerca; in questi casi quindi si può decidere di offrire il servizio con una tariffa ridotta o a titolo gratuito e sarà necessario stilare un registro degli enti che possono usufruire di questo vantaggio economico.


[1]REGOLAMENTO (UE) 2022/868 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati)https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32022R0868&from=EN#d1e2656-1-1

[2]Direttiva (UE) 2019/1024 del Parlamento europeo e del Consiglio, del 20 giugno 2019, relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32019L1024

Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!

Redazione Selefor CReFIS