Per comprendere chi è il titolare del trattamento ai sensi del Regolamento (UE) 2016/679 e come viene percepito il suo ruolo nell’industria 4.0, è utile guardare oltre le definizioni e conoscere invece il “sentiment” delle aziende.
Ripercorrendo il mantra di questi ultimi anni che definisce i dati personali come il petrolio del nuovo millennio, l’impresa tende ad avere una visione proprietaria dei dati personali; ma questa si scontra con i nuovi diritti di portabilità e oblio che rinforzano le tutela degli interessati, in una visione del legislatore europeo che vuole portare ogni persona a governare i propri dati personali.
Indice degli argomenti
Il titolare del trattamento: l’equivoco del nome
In vero, già la traduzione italiana del termine “controller”, ovvero il controllore dei dati, in “titolare del trattamento”, ha contribuito a creare l’equivoco della visione proprietaria dei dati personali “dell’imprenditore”.
Il titolare del trattamento è una figura già prevista nelle definizioni della previgente Direttiva 95/46/CE ed è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
Tale definizione è, peraltro, affine a quella offerta dalla Convenzione n. 108 di Strasburgo del 1981, la quale è stata, ed è tutt’ora, l’unico strumento giuridicamente vincolante a livello internazionale rispetto al trattamento automatizzato dei dati personali, potendo ad essa aderire anche Stati non membri del Consiglio d’Europa.
Nella sostanza il “controller” è quel soggetto che dà le indicazioni fondamentali sul trattamento dei dati. Non è, quindi necessariamente colui che opera sui dati, ma è colui che nel valutare la finalità dei trattamenti prende le decisioni determinanti, decidendo le finalità principali e quelle correlate, indicando inoltre le modalità di gestione del trattamento dei dati personali.
A differenza del responsabile del trattamento, il “processor”, che tratta i dati personali solo per conto del titolare del trattamento ed è in sostanza un terzo esterno all’azienda.
Il titolare del trattamento nell’industria 4.0: il valore dei dati
Quanto più un’impresa riesce ad estrarre valore economico dai dati grezzi, grazie a connessioni dirette o indirette tramite altri dati, quanto più è in grado di capitalizzare il valore delle proprie strategie di marketing, arrivando a presumere gusti, desideri e azioni dei propri clienti effettivi o potenziali.
Il titolare, in sostanza, grazie alle nuove tecnologie, pur essendo un custode dei dati personali di soggetti interessati, con l’obbligo di utilizzarli per fini specifici, ovvero i fini richiesti dall’interessato e/o dalla legge o dall’interesse pubblico, avendo tra le mani un importante valore, si sente il proprietario delle informazioni.
Ma in realtà, anche quando i soggetti interessati hanno concesso il loro consenso ai fini di profilazione e/o marketing, i diritti legati ai predetti consensi non entrano mai definitivamente nel patrimonio dell’impresa titolare, poiché sono sempre revocabili.
Quanto sopra, costituisce pertanto una delle diverse facce della complessità del trattamento dei dati personali, il quale sfugge a categorie nette, anche perché il vero proprietario del dato è la persona fisica, la quale grazie all’utilizzo delle informazioni che terzi acquisiscono su di lei, può divenire centro di imputazione di campagne di marketing mirate e/o di altre valutazioni o decisioni dirette verso la propria persona.
Tali campagne possono, tra l’altro, spingere gli interessati “consumatori” ad avvertire desideri o bisogni non necessari, ma indotti, con particolare riguardo ai giovani consumatori così vulnerabili verso le spinte pubblicitarie.
Va inoltre rilevato che il dato di una persona fisica, si pensi ad esempio alla sua immagine, costituisce parte della sua propria identità, che si completa con le sue proprie informazioni e con le immagini che queste ultime offrono di essa agli altri.
Gli algoritmi predittivi nel marketing al fine della profilazione
Come conoscono tutti gli addetti ai lavori, ai sensi dell’art. 4 n. 4) del GDPR, per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
In ambito commerciale, la profilazione dell’utente è il mezzo che consente la fornitura di servizi personalizzati oppure l’invio di pubblicità comportamentale.
Dalla lettura del Regolamento 2016/679, emerge il disfavore del legislatore verso la profilazione, soprattutto nel caso in cui quest’ultima possa provocare effetti giuridici nei confronti dei soggetti interessati.
Difatti, possono esistere diversi tipi di profilazione, ovvero quelli utili al consumatore, creati per venire incontro alle sue proprie esigenze e quelli che diversamente possono comportare varie forme di penalizzazioni verso l’utenza: dal rifiuto della concessione di un prestito, all’aumento del costo di una assicurazione sanitaria e così via.
Andrebbe pertanto sviluppato dall’industria il concetto, che si sta recentemente affermando, di privacy come responsabilità sociale (in questo senso Paolo Balboni Privacy Day maggio 2019, Pisa).
Va ribadito che il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea (art. 8), per quanto da contemperare con altri diritti fondamentali, in ossequio al principio di proporzionalità, mentre il trattamento di dati personali, con particolare riguardo allo sfruttamento ai fini commerciali, non è un diritto assoluto ma relativo.
Qualsiasi trattamento deve, quindi, essere svolto in maniera lecita e secondo correttezza, i dati devono essere raccolti e trattati per scopi determinati, espliciti e legittimi, e utilizzati in termini compatibili con tali scopi.
Tutti i predetti oneri ricadono sul titolare e pro quota sulle figure da quest’ultimo espressamente designate e istruite all’interno della propria organizzazione al trattamento ovvero sui responsabili e/o i sub responsabili.
Titolare del trattamento: la difesa della proprietà intellettuale
Un altro ulteriore aspetto connesso alla visione proprietaria dei dati personali riguarda gli investimenti e le opere di ingegno che l’imprenditore ha adottato in merito ai sistemi di gestione dei dati personali e non.
Difatti, il tema è duplice: poiché se da un lato va garantita la privacy degli interessati, dall’altro andranno garantiti i diritti di riservatezza e di proprietà intellettuale dell’imprenditore di eventuali suoi partner che condividono con lui informazioni, campioni e progetti.
Anche quando, ai sensi dell’art. 20 del regolamento (UE) 2016/679, venga esercitato da un soggetto interessato il diritto alla portabilità dei dati personali, ovvero il diritto a ricevere in un formato strutturato, di uso comune e leggibile i dati personali che lo riguardano, ovvero di trasmetterlo ad altro titolare, l’imprenditore avrà diritto a non trasferire le elaborazioni effettuate in ragione dei propri diritti e delle proprie opere di ingegno.
Sul diritto alla portabilità
Come anticipato con il diritto alla portabilità, i dati personali possono anche essere trasmessi da un titolare ad un altro titolare, senza ingiustificato ritardo e senza ostacoli, per consentire il passaggio da un fornitore di servizi ad un altro, così impedendo il formarsi di fenomeni di lock-in (blocco all’interno di un servizio).
Tale diritto ha molto a che fare con principi di antitrust ovvero di evitare abusi di posizione dominante e garantire i diritti del cittadino-consumatore e la libera concorrenza delle imprese.
Tali principi sono oramai affini al diritto alla protezione dei dati poiché servono ad evitare che aziende in posizione dominante possano condizionare comportamenti ed opinioni di persone interessate, non solo ed esclusivamente ai fini commerciali, ma perfino a fini di scelte di vita più profonde ed etico politiche.
Al riguardo merita di essere rilevato un fenomeno, quanto meno curioso: stanno nascendo società che fanno del trattamento dei dati dei consumatori un business, e questa modalità di sollecitare gli interessati a mercificare il rispetto di un diritto della personalità, piegando una normativa evoluta e dal profondo valore etico ad una lettura opportunistica, potrebbe dare adito perfino ad integrare la fattispecie di abuso del diritto (in questo senso Luca Bolognini Privacy Day maggio 2019, Pisa).
Sul diritto alla cancellazione e oblio
Un altro diritto degli interessati che fa sudare sette camicie ai titolari del trattamento è il diritto alla cancellazione dei dati nonché il diritto all’oblio, ovvero il diritto di una persona ad ottenere la deindicizzazione di un link relativo a una notizia che la riguarda quando tale notizia non ha più interesse pubblico.
Si tratta dell’estensione del concetto che i dati possono essere trattati solo per il tempo necessario per soddisfare lo scopo del trattamento.
Il diritto riguarda sia i dati trattati elettronicamente che quelli cartacei. Occorre, quindi, che il titolare e per suo conto i responsabili del trattamento e sub responsabili, ovvero tutta la catena di controllo del dato, debbano predisporre apposite procedure per ottemperare alle richieste.
Anche in quest’ultimo caso si tratta di un onere non proprio agevole per i titolari, soprattutto se devono aggiornare sistemi informatici, i contratti con i fornitori e le procedure per mettersi in linea con quanto previsto dal GDPR.
Il titolare del trattamento: le ragioni delle imprese
Per concludere bisogna con onestà intellettuale rappresentare che la visione proprietaria dei dati personali, pur non essendo propriamente corretta, ha un senso profondo nella visione della impresa “virtuosa” che ha investito nella sicurezza dei propri sistemi informativi, nello sviluppo di opere di ingegno, nella gestione e formazione del personale, nella scelta dei fornitori e via dicendo.
Difatti, la sicurezza dei dati comporta l’obbligo di implementare e mantenere a regime un efficiente sistema di sicurezza, garantito anche attraverso verifiche e audit periodici, che comporta ingenti costi per le aziende.
Sul punto sarebbe utile ragionare sulla possibilità di dedurre le spese fiscalmente, si avrebbe pertanto una misura di sostegno alle imprese, atta a favorire tutte quelle imprese che vogliono investire nell’aggiornamento delle infrastrutture e in una maggiore sicurezza.
Ove mai si prendesse questa strada, a modesto avviso della scrivente, si potrebbe replicare quanto venne previsto per le energie rinnovabili, e l’utilizzo del fotovoltaico, che hanno reso l’Italia all’avanguardia nell’utilizzo di energia green.
