RIFLESSIONI SULLA NATURA DI ESSENTIAL FACILITIES DEI DATI PERSONALI
A cura di Giovanni Crea
L’esperienza dell’offerta di servizi attraverso internet (comprese le app) ha messo in luce come il loro consumo venga inevitabilmente codificato in dati (es., google maps) e come tali dati siano oggetto di trattamenti effettuati per finalità sia ‘tecniche’ – legate, cioè, alla fornitura e fruizione del servizio – sia di interesse economico del titolare del trattamento.
Con riguardo a quest’ultimo profilo, la disponibilità di grandi masse di dati (big data) rende possibile costruire profili degli utenti-interessati su cui ritagliare i propri servizi ovvero – spostandoci sul versante della raccolta pubblicitaria – per vendere spazi pubblicitari agli inserzionisti consentendo a questi di proporre a livello individuale i loro prodotti e servizi.
I mercati dei servizi internet, dunque, sono data intensive, e le posizioni dominanti che in essi si formano trovano nei dati personali una lèva essenziale [1] la cui replicabilità non è scontata in quanto riguardano i clienti dei provider e che gli stessi provider tendono a non diffondere per ragioni di vantaggio competitivo [2].
Questa prospettiva apre all’ipotesi della natura di essential facilities dei dati personali raccolti nei mercati di internet; profilo che, secondo la dottrina antitrust, è un elemento qualificante della posizione dominante, e la cui inibizione a potenziali concorrenti, da parte dei titolari, prefigura un abuso di tale posizione vietato dall’art. 102 TFUE.
Nel caso Google-Hoda [3], in cui ricorre l’ipotesi di ostacoli, da parte del motore di ricerca, alla portabilità dei dati – e dunque, in definitiva, all’accesso/trasferimento a favore di Hoda – l’Agcm sottolinea la valenza pro-concorrenziale di tale istituto, lasciando intendere come tali dati possano essere inquadrati nella categoria delle “risorse essenziali”.
Se i dati personali, descrittivi delle abitudini di consumo di beni e servizi forniti da un’impresa, fossero facilmente replicabili, la violazione dell’art. 20 del GDPR rileverebbe per il solo profilo di mancato esercizio di un diritto degli interessati e non anche per gli aspetti antitrust.
[1] Cfr. Agcm, Provvedimento n. 28051, Big Data, in Boll., n. 9/2020, 13 ss.
[2] Cfr. Agcm, Provvedimento n. 19140, Sfruttamento di informazioni commerciali privilegiate, in Boll., n. 47/2008, 5 ss.
[3] Cfr. Agcm, Provvedimento n. 30215, Google-ostacoli alla portabilità dei dati, in Boll., n. 27/2022, 83 ss.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
Giovanni Crea
Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.
Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” presso Master Universitari e Corsi specialistici.
Cookie: cosa sono, a cosa servono e quando è utile stare attenti
di Giuliana Cristiano
Il garante per la protezione dei dati personali definisce i cookie come “stringhe di testo che i siti web visitati dagli utenti (cd. Publisher, o “prime parti”) ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno del dispositivo terminale dell’utente medesimo, perché siano poi ritrasmessi agli stessi siti alla visita successiva”[1], in altre parole i cookie sono uno strumento molto utile perché hanno come scopo principale quello di migliorare la navigazione dell’utente[2] e di aiutare le aziende, in particolare quelle operanti nel settore commerciale, a studiare le caratteristiche di quanti cliccano sulle pagine web di interesse, in modo da potergli mostrare ciò che più si avvicina alle loro preferenze e al loro stile di vita.
In questi termini però il concetto di cookie potrebbe apparire banale, ma non lo è affatto, dunque bisogna fare una precisazione: per il caso appena esposto, di solito si parla di “cookie di profilazione” che servano quindi principalmente a fini pubblicitari. Sostanzialmente la loro funzione è evidente quando, dopo aver cercato su Google ”voli per l’India”, per le ore successive ovunque (sui social, su altri siti, ecc…) iniziano a comparire spot di compagnie aeree, talvolta mai sentite prima, che mostrano il prezzo più vantaggioso per la tratta Napoli – Bombay.
A questi si aggiungono i “cookie analitici” che invece vengono utilizzati principalmente a scopo di analisi statistica per comprendere ad esempio quante volte una persona in particolare ha usufruito di un servizio, oppure che tipo di persona di solito consulta un determinato tipo di informazioni.
I cookie inoltre possono essere utili per l’esecuzione di autenticazioni informatiche, per la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, per memorizzazione delle preferenze, o per agevolare la fruizione dei contenuti on line, ad esempio, per ricordare le informazioni per la compilazione di un modulo online, il numero della carta di credito, l’indirizzo di casa a cui inviare una spedizione e così via, per tutti questi è fondamentale che il sito richieda l’autorizzazione al trattamento dei dati tramite un’apposita sezione. Tale richiesta invece non è necessaria per i cosiddetti “cookie tecnici” che hanno lo scopo di permettere all’utente di usufruire di un particolare servizio espressamente richiesto senza utilizzare i dati raccolti per secondi fini, tant’è vero che, non di rado, sono già istallati dal web creator.
I cookie tecnici, a differenza di quelli descritti precedentemente, non soltanto semplificano alcune procedure, ma le rendono anche più sicure: un esempio di utilizzo sono le operazioni sul proprio conto bancario online (il pagamento di abbonamenti o bollette, l’invio di bonifici o anche semplicemente la visualizzazione dei movimenti di denaro in entrata e in uscita), in questo caso i cookie servono soprattutto per l’identificazione dell’utente e quindi per evitare truffe e attività illecite[3].
Sin qui sembra che tutto sommato la natura del cookie non sia così malvagia, e infatti non lo è, anzi, può essere davvero un’agevolazione nella navigazione quotidiana, ma non bisogna essere superficiali. Accettare indistintamente tutti i cookie (sfido chiunque ad ammettere di non averlo fatto almeno una volta) potrebbe agevolare gli hacker ad intercettare e rubare dati sensibili con ripercussioni significative sull’utente. Quante volte è capitato per esempio di ritrovarsi iscritti a siti a cui non avete mai fatto la registrazione consapevolmente? Quante volte invece vi siete trovati sommersi da mail spam con oggetto al quanto poco credibile del tipo: “Sei il milionesimo utente oggi, ti regaliamo 3000 euro, clicca qui”? Appurato che difficilmente qualcuno regali soldi per il puro piacere di farlo, e intimato di non cliccare mai “qui” con questo presupposti, gli unici responsabili di queste mail o iscrizioni siamo noi utenti finali.
Per concludere, tenuto conto che spesso non accettare i cookie limita notevolmente la navigazione sul sito di interesse, la soluzione è quella di fare una pulizia periodica della cache attraverso le impostazioni del browser (Chrome, Firefox, Edge ecc…) e istallare un antivirus che prevenga, o quantomeno argini, il rischio di violazione dei dati personali.
[1] https://www.garanteprivacy.it/faq/cookie
[2] https://www.pandasecurity.com/it/mediacenter/mobile-news/cookie-pericolosi/
[3] https://www.garanteprivacy.it/faq/cookie
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
Giuliana Cristiano
Tirocinante psicologa presso Selefor srl
Violazioni di dati personali, tra rischi e investimenti
A cura di Redazione Selefor CReFIS
La penetrazione delle tecnologie digitali nelle attività di famiglie, imprese e pubbliche amministrazioni implica la codifica di tali attività in dati che vengono elaborati per il perseguimento delle rispettive finalità. In questa prospettiva, i processi di funzionamento di un paese integrano trattamenti di grandi quantità di risorse informative, in tal modo delineando un nuovo modello socioeconomico di cui vengono esaltate, principalmente dagli economisti, l’efficacia e l’efficienza.
D’altro canto, la crescente dipendenza dalle tecnologie e dalle rappresentazioni informative che queste producono ha ampliato le occasioni di violazione per cui le organizzazioni e le persone sono esposte a rischi riguardanti diritti, libertà e legittimi interessi. Incidenti come quello che ha coinvolto la Regione Lazio nell’agosto 2021 sono chiari esempi di come una violazione della sicurezza informatica – nel caso specifico una indisponibilità di servizi e dati – possa produrre ricadute sugli interessati. Nel caso specifico l’indisponibilità ha riguardato dati relativi alle prenotazioni per la somministrazione dei vaccini con conseguenti disagi per le persone interessate rappresentati, tra gli altri, dall’inevitabile rinvio della somministrazione e del rilascio della relativa certificazione.
Questo e altri casi mettono in luce anche il mancato adeguamento delle organizzazioni alle norme previste dal regolamento europeo relativo alla protezione dei dati personali che contemplano, tra gli altri obblighi, l’adozione di misure tecnologiche e organizzative idonee a prevenire le minacce che possano determinare, ad esempio, la loro distruzione, perdita o divulgazione non autorizzata e, se del caso, anche misure correttive per porre rimedio alle violazioni che si sono comunque verificate.
I soggetti pubblici e privati sono pertanto chiamati a organizzarsi e ad investire nella sicurezza dei trattamenti di dati personali. Ma sono proprio gli investimenti a rappresentare la nota dolente delle politiche di sicurezza, specie nelle realtà di piccole dimensioni dove tali investimenti trovano poco spazio sia per ragioni di limitata disponibilità di risorse economiche sia perché i manager tendono a considerarli solo un un flusso di cassa in uscita senza una prospettiva di rendimento. Prospettiva che, invece, esiste ed è rappresentata dai “costi evitati” e da altri “benefici intangibili” (accessori, supplementari) che, nel medio-lungo periodo, sono superiori agli investimenti in sicurezza richiesti. Tuttavia, per comprendere il ritorno derivante dagli investimenti in sicurezza (return on security investment) c’è bisogno di formazione continua, comunicazione, sensibilizzazione, affinché la sicurezza e la protezione dei dati personali possano trovare spazio nella cultura organizzativa, andando oltre le norme giuridiche.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
