La direzione che da molti anni ha preso il mondo del digitale – dove l’uso dei dati personali da parte delle aziende è diventato sempre più strategico – stimola lo svolgimento di alcune riflessioni in merito alle attività che, in vario modo, consistono nel trarre profitto dai dati personali e alle sfide e alle opportunità connesse all’evoluzione della normativa rilevante in materia, europea e italiana.
Indice degli argomenti
I concetti di data valorization e di data monetization
Si è assistito, in tempi recenti, a un incremento molto forte dello sfruttamento dei dati personali, che le imprese sono sempre più inclini a considerare come un asset strategico per generare conoscenza e valore.
Il concetto di data valorization si riferisce al processo che consiste nello sfruttare i dati per creare valore all’interno di un’organizzazione, senza necessariamente convertirli in profitto diretto.
Alcuni esempi includono l’ottimizzazione delle attività aziendali, l’efficientamento dei processi e la riduzione dei costi mediante analisi statistiche, l’innovazione di prodotti e servizi.
La data monetization va oltre la semplice valorizzazione dei dati e consiste nella trasformazione dei dati in ricavi diretti per l’azienda oppure, per gli individui, nella fruizione di contenuti o servizi digitali usando i dati come corrispettivo.
Questo processo può avvenire, tra l’altro, mediante la vendita di dati, l’offerta di servizi targhettizati o altre iniziative commerciali centrate sui dati.
È in connessione a questo secondo concetto che assume maggiore significato l’equazione “dato = moneta”.
Privacy e data protection come diritti fondamentali (ma non assoluti)
Secondo la Carta dei diritti fondamentali dell’Unione Europea (articoli 7 e 8), la “Carta di Nizza”, ogni persona ha diritto al rispetto della propria vita privata e alla protezione dei dati di carattere personale che la riguardano.
Anche il Trattato sul funzionamento dell’UE (articolo 16) stabilisce il medesimo diritto alla data protection.
Grazie al GDPR, è stata introdotta una disciplina completa in materia, fissando le regole per un trattamento lecito e sicuro dei dati che sono diventate un riferimento a livello mondiale. Avendo la Carta di Nizza lo stesso valore giuridico dei Trattati europei, questa ha rango di diritto primario ed esprime peraltro principi fondamentali, al pari della Costituzione.
Ricordare la collocazione nelle fonti giuridiche dei diritti alla cosiddetta “privacy” e alla protezione dei dati personali è d’obbligo, a scopo introduttivo, quando ci si appresta a svolgere alcune considerazioni sul tema dell’estrazione di valore dai dati.
Sempre a livello di introduzione, vale la pena sottolineare che mentre i dati personali possono circolare liberamente (dentro e fuori dall’UE, in presenza delle necessarie garanzie) ed essere oggetto di uno sfruttamento economico (nel rispetto delle norme di riferimento), i diritti collegati a questa sfera non sono cedibili né rinunciabili.
Infine, è lo stesso GDPR, al considerando 4, a far menzione del fatto che il diritto alla protezione dei dati personali non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale. Va quindi contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Fra questi, per quanto qui di interesse, assume rilevanza sostanziale la libertà di iniziativa economica privata, che si esprime in forme sempre nuove, considerando anche l’evoluzione della tecnologia. Ogni valutazione di ampio respiro non potrà pertanto prescindere anche da questo necessario bilanciamento tra diversi diritti e libertà.
Regole normative attuali per ricavare profitto dai dati personali
Guardando, in prima battuta, al quadro normativo attuale, le regole per trarre profitto dai dati delle persone sono piuttosto limitate in termini quantitativi e sono fondate su un principio: di base, occorre una manifestazione positiva da parte dell’interessato, che può essere espressa validamente solo in un contesto di trasparenza informativa.
Il consenso deve essere fornito prima che inizi il trattamento (cd. opt-in); solo in alcuni casi, anche in funzione del tipo di mezzo utilizzato per le comunicazioni o del rapporto che intercorre tra il titolare e l’interessato (che, ad esempio, potrebbe essere già un cliente), è ammesso fare riferimento al cd. opt-out, che si sostanzia, di fatto, nel diritto di opporsi al trattamento.
È ancora il consenso, infatti, la base giuridica a cui occorre fare riferimento prioritariamente – fatte salve le eccezioni accennate previste per legge o situazioni particolari, da valutare caso per caso – per poter inviare lecitamente comunicazioni commerciali o messaggi promozionali customizzati in base alle preferenze delle persone (marketing profilato).
Del pari, è richiesto il consenso per l’invio dei dati personali a terzi affinché siano questi ad effettuare le loro comunicazioni di marketing (il fenomeno della cessione di banche dati di soggetti “consensati”).
Anche nel web si applicano le medesime regole: guardando all’uso dei cookie e degli altri strumenti di tracciamento, è richiesto a chi di questi si voglia avvantaggiare, traendone anche profitto, di rendere chiaro agli utenti la natura degli strumenti e di ottenere un consenso espresso al loro utilizzo, sufficientemente granulare, in base alle diverse categorie e relative finalità (es. analitiche, di profilazione ecc.).
Ogni iniziativa volta a promuovere beni o servizi, in ambienti fisici o digitali, per essere lecita non potrà essere svincolata anche da queste regole base (a cui se ne aggiungono anche altre, contenute in ulteriori fonti, come le linee guida delle Autorità privacy).
I diversi tentativi che sono stati fatti, recentemente, di bypassare il requisito del consenso, in particolare in ambienti digitali, sono stati quasi sempre sanzionati o, comunque, limitati dalle Autorità di controllo: si pensi al tentativo di fare ricorso alla base giuridica del legittimo interesse per i cookies, che ha avuto larghissima diffusione per un certo periodo e che ancora trova un certo spazio.
Le recenti novità introdotte nel Codice del consumo
A livello nazionale si è assistito, recentemente, ad alcune modifiche normative legate all’uso dei dati quale corrispettivo. Tra queste vi sono quelle introdotte in Italia dalle Direttive 2019/770 e “Omnibus”.
Le nuove norme a tutela dei consumatori prevedono che le disposizioni del Codice del Consumo si estendono anche alle ipotesi in cui il consumatore fornisce i propri dati personali in cambio della fruizione di un contenuto/servizio digitale. Diversi diritti dei consumatori (ad esempio, quello a ricevere adeguate informazioni precontrattuali) sono applicabili anche ai casi in cui gli utenti accedono a servizi apparentemente gratuiti, ma che prevedono invece la raccolta di dati per scopi commerciali.
L’articolo 135-octies del Codice del Consumo, inoltre, prevede espressamente il caso in cui il consumatore paga con i propri dati personali per ottenere servizi e contenuti digitali. In tali situazioni, vengono estese diverse garanzie, come la messa in conformità del contenuto/servizio digitale, ove necessario. Queste novità sono particolarmente significative, in quanto vengono riconosciute all’interessato azioni nei confronti delle aziende sulla base di diritti collegati ai dati che – fino ad ora, in base alla disciplina privacy – avevano un riconoscimento slegato da fattispecie commerciali.
Paywall e cookie wall: la linea delle Autorità competenti
Di recente, è aumentato considerevolmente l’uso di meccanismi di cookie wall e paywall da parte di società in diversi settori. Si tratta di meccanismi che tendono, rispettivamente, a vincolare l’utente a esprimere il proprio consenso ad essere tracciato o profilato tramite cookies o altri strumenti per poter usufruire del contenuto del sito (il c.d. cookie wall) e a fornire il consenso allo sfruttamento di proprie informazioni in alternativa alla sottoscrizione di un abbonamento (il c.d. paywall).
Sia lo European Data Protection Board (EPDB), nelle Linee Guida 05/2020 sul consenso, che l’Information Commissioner’s Office inglese (ICO) hanno rimarcato l’importanza che riveste il consenso in questi scenari. L’espressione della volontà dell’interessato potrebbe non essere ritenuta valida in presenza di condizionamenti che limitano la libertà di scelta. L’accesso ai servizi, in linea di principio, non deve essere subordinato al consenso dell’utente.
In proposito l’Autorità di controllo austriaca ha affermato che il sistema di paywall è una soluzione accettabile solo ove esistano alternative tra l’abbonamento in questione (che, comunque, non deve avere un prezzo eccessivo) e almeno un servizio analogo offerto da un soggetto terzo.
La CNIL francese ha precisato che si debba valutare caso per caso la liceità del trattamento in tali situazioni, identificando alcuni criteri per valutare, tra cui i seguenti:
- il cookie wall è ammesso qualora l’utente possa accedere attraverso un ulteriore sito, anche di un soggetto terzo, a servizi/contenuti alternativi;
- il paywall è consentito se il corrispettivo per la sottoscrizione dell’abbonamento è equo e conforme ai prezzi di mercato.
L’Autorità spagnola ha sottolineato che gli strumenti in oggetto possono considerarsi validi qualora l’utente venga correttamente informato e, contemporaneamente, sia messo in condizione di optare per una soluzione che non prevede la comunicazione dei dati (come la sottoscrizione di un abbonamento).
Anche la Conferenza delle Autorità indipendenti tedesche per la protezione dei dati si è espressa sul punto, considerando lecito il paywall solo laddove vengano rispettate alcune condizioni specifiche, tra cui la sussistenza dei requisiti di legge del consenso e il fatto che il costo dell’abbonamento risulti in linea con i prezzi del mercato.
Il Garante per la protezione dei dati personali, nel 2022, ha avviato una serie di controlli nei confronti di testate giornalistiche online, per verificare la conformità di queste soluzioni alla normativa in materia di protezione dei dati personali. L’esito di questa iniziativa ad oggi non è ancora noto.
L’orientamento dei Giudici
Con la sentenza n. 17278/2018 la Corte di Cassazione aveva sostanzialmente anticipato quanto in seguito affermato dalle Autorità di controllo europee, avendo ritenuto che in Italia non vi sia alcuna norma che vieti la cessione di dati personali al fine di poter usufruire di un servizio, purché il consenso sia considerato legittimo, ossia in linea con la normativa di riferimento. Non viene quindi esclusa a priori la liceità dei predetti strumenti.
Anche la recente giurisprudenza amministrativa ha qualificato i dati personali degli utenti come “corrispettivo” per consentire l’accesso ai servizi digitali. In un caso riguardante Facebook è stato infatti rilevato che la società avesse utilizzato i dati degli utenti per finalità remunerative in cambio della fornitura dei servizi di social network, patrimonializzando i dati personali e rendendoli una ulteriore fonte di guadagno, soggetta, pertanto, al pagamento dell’IVA.
Sulla base degli stessi presupposti, risulta che alcune procure abbiano cominciato anche a svolgere indagini relative a possibili fattispecie di evasione fiscale connesse ai guadagni derivanti dalla raccolta dei dati degli utenti mediante l’iscrizione a servizi online.
L’evoluzione del framework normativo sul digitale
Il quadro normativo sul digitale è in profonda evoluzione e offre interessanti spunti di riflessione anche in quest’ottica. Il piano strategico sulla digital transformation lanciato dalla Commissione Europea, da realizzarsi nel corso del cd. decennio digitale (entro il 2030), persegue, tra l’altro, l’obiettivo di garantire la sovranità digitale dell’UE, in particolare mediante infrastrutture digitali sicure e accessibili che permettano di trattare in modo efficiente grandi volumi di dati e che consentano altri sviluppi tecnologici.
Impossibile non notare che il framework legale che si sta delineando in Europa abbia quale denominatore comune proprio il dato. Diverse norme riguardano direttamente gli operatori che patrimonializzano i dati, introducendo anche obblighi a tutela degli interessati.
Il Digital Service Act (“DSA”), entrato in vigore il 16 novembre 2022 e pienamente applicabile a partire dal febbraio 2024 (salvo alcune disposizioni efficaci già da fine 2022), crea un quadro normativo multidisciplinare per i servizi digitali, mirando a garantire un elevato livello di protezione dei consumatori e a promuovere un’equa concorrenza tra aziende nel medesimo settore.
Fra le misure volte a consentire all’utente di essere libero di compiere le proprie scelte in modo consapevole, il DSA esclude il ricorso ai cd. dark patterns.
In alcune ipotesi, paywall e cookie wall possono presentare delle configurazioni rientranti in questo tipo di tecniche che condizionano le scelte dell’utente. L’art. 46 di questo Regolamento include anche un riferimento espresso alla monetizzazione dei dati utilizzati per la pubblicità online. L’intenzione del legislatore, in questo caso, è di incoraggiare la predisposizione di codici di condotta che contengono “informazioni significative sulla monetizzazione dei dati”.
Il Digital Markets Act (“DMA”), entrato anch’esso in vigore a fine 2022, include diverse limitazioni nei confronti dei “gatekeeper”, ossia le imprese che forniscono servizi di piattaforma di base. Il Regolamento, per quanto qui di maggiore interesse, prevede anche regole relative a servizi pubblicitari, trasparenza, interoperabilità, correttezza. Introduce altresì severe limitazioni alla profilazione (in particolare rispetto all’uso di dati sensibili e alla targhettizzazione dei minori).
Tra le previsioni del Data Governance Act (“DGA”), entrato in vigore il 23 giugno 2022 e applicabile da settembre 2023, vi è ad esempio il divieto – per il fornitore di servizi di intermediazione dei dati – di utilizzare i dati per i quali fornisce i suoi servizi per scopi differenti dalla messa a disposizione delle informazioni agli utenti. In questa situazione viene quindi posto un “paletto” rispetto allo sfruttamento incondizionato dell’asset.
La proposta di Regolamento relativa all’armonizzazione dell’accesso equo ai dati e all’uso dei suddetti, conosciuto come Data Act, è stata adottata dalla Commissione il 23 febbraio 2022. Al momento è nelle fasi finali del suo iter approvativo.
In tale Regolamento, che intende aumentare la quantità di dati disponibili sia per le aziende che per le pubbliche amministrazioni, si legge che “(…) la proliferazione di prodotti connessi all’internet delle cose ha aumentato il volume e il valore potenziale dei dati per i consumatori, le imprese e la società”. La possibilità di rendere maggiormente fruibile e interoperabile un ingente numero di dati naturalmente ha impatti anche economici.
È interessante altresì notare che il nuovo regolamento Markets in Crypto Assets (“MiCA”), che avrà efficacia a partire da metà 2024 e mira a disciplinare le cripto-attività, prevede espressamente che il dato personale possa essere considerato una moneta di scambio, dal momento che viene qualificato come una controprestazione per l’ottenimento di cripto-asset.
Le sfide legate all’uso dei dati da parte dell’IA
L’uso dell’Intelligenza Artificiale (IA) per potenziare le attività di business è già oggi molto diffuso, in quasi tutti i settori. Si prevede, tuttavia, una vera e propria esplosione di questa tecnologia nei prossimi anni, considerate le enormi potenzialità e le innumerevoli applicazioni.
In ottica privacy, i punti di attenzione e gli interrogativi sono ancora molti, considerando che gli algoritmi sono in grado di produrre l’output atteso solo se alimentati e allenati a base di dati. Il vuoto normativo che ha caratterizzato, fino ad ora, l’uso di questa tecnologia ha determinato la nascita di soluzioni di IA nella maggior parte dei casi molto carenti sotto il profilo delle garanzie per gli interessati (sia gli utenti delle applicazioni che la generalità delle persone i cui dati vengano utilizzati per lo sviluppo dell’IA).
Nel contesto dell’IA, i concetti in discussione possono assumere rilevanza come segue.
Le aziende che stanno conseguendo enormi vantaggi proponendo soluzioni di AI generativa di successo (perlopiù BigTech americane) hanno sviluppato le stesse lavorando su quantità immense di dati, raccolte perlopiù tramite il cd. data scraping, una “pesca a strascico” di informazioni sul web.
Gli algoritmi, poi, sono soggetti a processi di allenamento e autoapprendimento (si parla infatti di machine learning), che si basano anche sui dati immessi dagli utenti: altre informazioni che alimentano il sistema e che contribuiscono al suo potenziamento. Senza i dati, i sistemi di GenAI che milioni di utenti in tutto il mondo hanno iniziato a usare in modo massivo, anche a scopo professionale, non sarebbero in grado di produrre i risultati sorprendenti che offrono.
Si può quindi osservare che, tramite i sistemi di AI, i dati vengono senz’altro sfruttati per creare valore all’interno di un’organizzazione – in particolare per lo sviluppo della “soluzione AI” – e poi trasformati in profitto (la maggior parte dei servizi che offrono soluzioni basate su AI sono infatti a pagamento).
Portando il ragionamento un po’ più avanti, non è da escludere, in ipotesi, uno scenario in cui il fornitore di un sistema di AI possa offrire agli utenti due opzioni alternative. La prima, che prevede l’iscrizione al servizio a pagamento (con esclusione dell’uso dei dati dell’utente ai fini dell’allenamento degli algoritmi). La seconda invece gratuita, in cui il corrispettivo è rappresentato dai dati immessi dall’utente nel sistema (senza possibilità di opt-out). Una simile impostazione riproporrebbe gli schemi del pay/cookie wall, la cui ammissibilità è soggetta a specifiche limitazioni ed è comunque ancora al vaglio di diverse Autorità.
Considerazioni conclusive
Il dato ha assunto da tempo un ruolo centrale per lo sviluppo e il potenziamento di qualsiasi iniziativa. È stato ormai accettato dall’ordinamento italiano il ricorso al dato personale quale possibile corrispettivo per la fruizione di un contenuto o di un servizio digitale.
Le regole attuali previste a livello europeo per la salvaguardia dei diritti alla privacy e alla protezione dei dati pongono alcuni limiti a un uso delle informazioni personali eccessivamente invasivo rispetto alla sfera privata, ma queste salvaguardie non sono di tipo assoluto e devono essere bilanciate con altri diritti e interessi.
In ambito digitale si assiste sempre di più all’adozione di soluzioni volte a conseguire vantaggi e profitti basati sullo sfruttamento dei dati. Queste attività avvengono in certi casi lecitamente, in altri in palese violazione di regole chiare (sono all’ordine del giorno le sanzioni connesse ad attività di marketing e profilazione effettuate in assenza dei necessari requisiti), in altri casi ancora inserendosi in alcune aree grigie (in questa categoria possono rientrare anche le citate soluzioni di pay/cookie wall). In questo contesto, le potenzialità dell’AI possono aprire scenari nuovi e dai risvolti complessi.
La normativa europea di recente approvazione o in via di definizione, pensata per il contesto digitale di questo decennio, da un lato incorpora le inevitabili aperture alla data valorization/monetization: diversamente, la posizione delle Istituzioni sarebbe stata in contrasto con quella degli operatori economici e non al passo con i trend economici e tecnologici.
Dall’altro lato, però, richiama le regole sancite dal GDPR e fissa alcuni limiti allo sfruttamento delle informazioni che identificano le persone, in un’ottica di tutela del mercato e dei consumatori.
È ancora presto per avere una visione d’insieme rispetto all’impatto del nuovo framework su questi aspetti, poiché il set di norme è molto vasto e, nonostante sia parzialmente interconnesso, non sempre è adeguatamente coordinato. Inoltre, la velocità dei fenomeni digitali talvolta impone riflessioni ex post. Le considerazioni collegate ai profili presi qui in considerazione devono quindi tenere conto necessariamente dell’evoluzione degli scenari nel tempo.
Rimane però un punto fermo quando si discute di diritto e tecnologia in Europa ed è la visione antropocentrica e umanistica che, in linea di massima, guida l’operato delle Istituzioni nell’elaborazione delle leggi (vedi, da ultimo, anche l’AI Act), dei Giudici, delle Autorità e, in molti casi, anche delle Imprese.
In tale ottica, il nostro dibattito su questi temi si differenzia sostanzialmente da quello che si svolge negli Stati Uniti e in altre parti del mondo.
