In Nuova Zelanda, Il Commissario per la Privacy Michael Webster sta appoggiando un progetto di legge che, se approvato, darà ai cittadini neozelandesi un maggiore controllo delle proprie informazioni, anche personali: il Customer and Product Data Bill, infatti, è un disegno di legge che mira a sostenere lo sviluppo del Consumer Data Right neozelandese.
Esso fa seguito a una consultazione pubblica avvenuta nel 2020, e a una serie di decisioni politiche nel 2021, e nasce dall’esigenza di tutelare il diritto dei clienti-consumatori e delle piccole imprese di richiedere ad entità che detengono i loro dati (“data holders”) di condividere tali informazioni solo con servizi di terze parti opportunamente accreditate (“accredited requestors” o richiedenti accreditati,. ovvero soggetti a “requisiti più rigorosi”.
Indice degli argomenti
Gli obiettivi del Consumer Data Right (CDR)
Quando aziende come banche, società che operano nel settore dell’energia elettrica o società di telefonia mobile ci forniscono servizi, vengono necessariamente creati dati, come cronologie degli accounts, transazioni o records riguardanti l’utilizzo dei servizi stessi: questi dati inevitabilmente contengono, tra le altre, anche informazioni specificatamente personali dei clienti-consumatori.
Nella nostra economia, questo tipo di dato rappresenta un enorme valore e opportunità: pensiamo ad esempio come le informazioni sull’utilizzo di una fornitura elettrica o di telefonia mobile possano essere utilizzate per trovare o proporre un’offerta più conveniente, o come le informazioni bancarie possono essere utilizzate per confermare, o meno, una richiesta di prestito.
Già nel 2001, il Prof. Rodotà scriveva nella sua relazione annuale “Noi siamo le nostre informazioni”, mettendo in evidenza come “le persone sono ormai conosciute da soggetti pubblici e privati quasi esclusivamente attraverso i dati che le riguardano, e che fanno di esse una entità disincarnata.”, concetto poi ripetutamente ripreso dagli esperti del settore e dalle Autorità di protezione dei dati.
La possibilità che gli individui esercitino il controllo sui propri dati è un chiaro e fondamentale obiettivo contenuto anche nel Regolamento Generale sulla Protezione dei Dati (Regolamento EU 2016/679 o GDPR), attraverso l’esercizio dei diritti dell’interessato.
Oggi, però, nella nostra economia sempre più digitale, esercitare tale controllo è estremamente difficile, se non impossibile, come sottolineato anche dal legislatore neozelandese. Il progetto di legge proposto va quindi nella direzione di rafforzare tale controllo, integrando le attuali protezioni esistenti della legge sulla privacy e misure di sicurezza già esistenti, ma nello specifico si pone i seguenti obiettivi:
- permettere ai consumatori e alle piccole imprese di rafforzare il controllo sui propri dati;
- i “data holders” all’interno di un settore designato saranno tenuti a mettere in atto sistemi e processi che consentano la condivisione dei dati dei clienti in un formato standardizzato e leggibile da una macchina tramite APIs, per facilitare il trasferimento di tali dati agli “accredited requestors”;
- alle terze parti che richiederanno l’accesso ai dati sulla base del disegno di legge, gli “accredited requestors”, sarà richiesto di soddisfare vari criteri ai fini dell’accreditamento: dovranno garantire che i loro dirigenti soddisfino standard di “idoneità e onorabilità” (coerenti con quelli previsti dalla legislazione sui servizi finanziari), dovranno dimostrare la messa in atto di specifici requisiti di sicurezza e di potenziali nuovi obblighi assicurativi.
Punti chiave del Customer and Product Data Bill
Il disegno di legge stabilisce un framework generale di alto livello applicabile a tutti i settori economici, che sarà poi integrato da specifiche “designation regulations “, in grado di applicare il CDR a specifici settori, categorie di dati e azioni.
Ad esempio, il disegno di legge prevede di designare Banche e Istituti finanziari come “data holders”, i records delle transazioni come “designated customer data”, i tassi di interesse sui mutui per la casa come “designated product data”, e pagamenti o apertura di nuovi conti correnti come “designated actions”.
La proposta, se approvata, si applicherà ai dati dei clienti, dove con il termine “cliente” si intende qualsiasi persona (sia un individuo che un’azienda) che acquisisce beni o servizi da un “data holder”.
Sebbene non vengano definiti in maniera esaustiva quali siano i dati dei clienti soggetti al CDR, il disegno di legge prevede che i cosiddetti “dati derivati” siano destinati ad essere soggetti alla norma: questo potrebbe rivelarsi una questione controversa, poiché in Australia una simile proposta è stata in passato ampiamente criticata dall’Associazione Bancaria (the Australian Banking Association), poiché, secondo l’associazione, questo approccio potrebbe compromettere la capacità di valutazione degli istituti finanziari, che in genere arricchiscono i dati dei clienti utilizzando propri modelli interni e proprietari.
Analogamente all’Australia, il disegno di legge prevede la presenza di più Regolatori: il Ministero delle Imprese, dell’ Innovazione e del Lavoro (Ministry of Business, Innovation and Employment, MBIE) sarà responsabile della definizione degli standard, delle procedure di accreditamento e dell’applicazione della norma, ma se si verificheranno violazioni riguardanti i dati personali anche il Commissario per la Privacy e il Tribunale per i Diritti Umani avranno compiti sanzionatori e di regolamentazione ai sensi del Privacy Act.
Sono previsti quattro diversi livelli sanzionatori, compresi da un minimo di 50000$, nel caso di violazioni minori, come la mancata conservazione dei registri delle transazioni, fino a un massimo di 5 milioni di dollari, (o a tre volte il valore di qualsiasi guadagno commerciale, o al 10% del fatturato nel periodo in cui si è verificata la violazione se il guadagno commerciale non può essere accertato), nel caso di violazioni gravi, come comportamenti intenzionalmente fraudolenti, ad esempio il fingersi una terza parte accreditata.
Tre sono i principi fondamentali contenuti nel disegno di legge: rispetto (respect) delle decisioni del cliente, quindi spazio all’opt-in e all’opt-out e all’utilizzo del consenso; attenzione (care) ai dati durante lo scambio, dove il governo potrà sì stabilire specifiche tutele e requisiti per lo scambio dei dati in formato elettronico, ma non accederà o conserverà in nessun modo tali dati; fiducia (trust) tra coloro che richiedono l’accesso ai dati, quindi garanzia che le protezioni sulla privacy dei dati rimarranno sempre in vigore, e che solo terze parti di fiducia, con sistemi “fidati” potranno utilizzare il disegno di legge per effettuare richieste di dati.
Il disegno contiene anche al suo interno la proposta di “action initiation”, che consentirà a determinate classi di “accredited requestors” di adottare misure e prendere decisioni per conto del cliente, previo consenso del cliente.
Il Governo ritiene che questo approccio produrrà effetti positivi, perché faciliterà le richieste di nuovi prodotti, servizi, e metodi di pagamento.
Conclusioni
Come ha detto la Presidente della Commissione Ursula von der Leyen, viviamo nella Digital Age, dove l’innovazione tecnologica, basata su un uso vorace di dati, può essere fonte di grandi benefici per l’umanità ma anche mettere a rischio l’essenza stessa di ciò che rende gli uomini liberi e responsabili: la capacità di capire, di avere il controllo dei propri dati e poter usare il libero arbitrio rispetto alle scelte da compiere e ai pericoli da evitare.
Oggi il rischio non è solo la perdita del controllo, ma anche quello di essere soggetti a decisioni che ci possano arrecare dei danni che non saremo in grado né di comprendere né di spiegare.
Come affermato dal governo neozelandese, il disegno di legge ha lo scopo di creare vantaggi e opportunità per l’intera società e di “promuovere nel lungo periodo la concorrenza e l’innovazione a vantaggio dei clienti”.
“La privacy è fondamentale per garantire la fiducia e la sicurezza delle persone quando condividono le loro informazioni personali”, ha aggiunto il commissario Webster.
L’accreditamento a entità “fidata” tende a dare una risposta alla richiesta di trasparenza, che rimane un elemento essenziale, e che oggi costituisce una grande sfida in ogni parte del mondo, in Europa come in Nuova Zelanda, per la quale esistono tante proposte ed idee ma, al momento, nessuna soluzione veramente efficace: anzi, oggi, nella attuale società digitale, sono in molti che ritengono che gli obblighi di informazione presenti nei regolamenti privacy, tra cui anche il GDPR, abbiano “fatto il loro tempo”.
La proposta di legge richiama inoltre l’attenzione sul fatto che saranno necessarie ulteriori misura di tutela sulla privacy sui dati, oltre quelle già previste e in vigore, in particolare relativamente agli standard di sicurezza e alle procedure relative al consenso.
Aspetto interessante riguardo ai consensi è che la proposta prevede la possibilità di specificarne una durata massima, oltre la quale tutti i consensi già prestati scadranno, ed invita i vari stakeholders a fornire suggerimenti e proposte relativamente alla durata in essere di tali consensi.
Lo stesso commissario Webster ha ribadito quanto sia importante la collaborazione di tutti gli stakeholders per aiutare a definire un quadro normativo che tuteli i diritti dei consumatori tenendo conto delle esigenze dei vari settori, e ha incoraggiato tutti gli interessati a inviare commenti e proposte entro il 24 luglio.
Se il disegno di legge sarà approvato, il primo settore ad essere coinvolto sarà quello bancario, seguito probabilmente da quello dell’energia, delle telecomunicazioni, delle assicurazioni e della sanità.
