Privacy e libero mercato digitale
a cura di Luca Bolognini
Questo è un libro dedicato alla convergenza tra regolazioni nel mercato data-driven e al bilanciamento tra diritti alla privacy e alla protezione dei dati personali e altri interessi, diritti e libertà .
Partiamo da una constatazione: ogni processo — in qualsiasi settore pubblico o privato — è guidato dalle informazioni e percorre rotte elettroniche; molto di ciò che muove le relazioni civili, sociali ed economiche, intersoggettive e inter-oggettive, ormai, è trasformato in dati immateriali e ritradotto in elementi materiali, e viceversa. Parafrasando la vulgata biblica, si potrebbe dire: memento, homo, quia data es, et in data reverteris.
Più tutto si è datificato, più la macro-disciplina privacy è divenuta base e premessa giuridica di liceità e legittimità dell’agire imprenditoriale, professionale, istituzionale ma anche esclusivamente personale, e si è mostrata rilevante per altre materie: pensiamo alle regolazioni della concorrenza e del mercato, del pluralismo dell’informazione e delle comunicazioni; ma anche a quelle finanziarie e assicurative o al mondo della cybersecurity, degli standard internazionali e dei meccanismi di certificazione nei campi più vari. Nessuna disciplina regolatoria può, a questo punto, fare a meno di considerare il rispetto dei dati personali e della privacy degli individui, nelle proprie valutazioni di merito. Ed è vero anche il contrario.
Tra i protagonisti delle 18 “storie giuridiche†qui affrontate, incontrerete istituzioni analogiche che inseguono soluzioni digitali spiazzanti; cose connesse che fanno leva su registri distribuiti per tracciare e valorizzare le transazioni inter-oggettive; partenariati pubblico-privati per servizi smart ai cittadini; differenti approcci legislativi europei, statunitensi e anglosassoni per la difesa di utenti e consumatori, come singoli o come classe, dallo spam e da pratiche scorrette di trattamento dei dati; prosumer ibridi, tra vita privata e lavoro autonomo o subordinato; certificazioni di nuova generazione; libera circolazione dei dati e alleanze strategiche fra PMI locali e Big Tech globali; cartelloni digitali che osservano, ascoltano, misurano e profilano chi li guarda o ci passa accanto fisicamente; monete virtuali o dati monetizzati nell’exchange commerce; sistemi di Intelligenza Artificiale regolati come farmaci.
Questo non intende essere, in definitiva, un volume per soli privacysti: è, anzi, un libro per innovatori del diritto ed esploratori d’inedite correnti regolatorie.
INDICE
IntroduzionediLucaBolognini.............................. XIII Gliautori............................................ XV
1. Gli impatti della normativa in materia di protezione dei dati perso-
nali sulla libera iniziativa economica e sulle libertà di scelta indivi-
duali ........................................... 1 di Diego Fulco
1. NecessitàesuccessidelGDPR ....................... 1
2. La dialettica fra due libertà sottostante al GDPR e la valenza politica
dellescelteditutela .............................. 2
3. La valutazione ex post sull’impatto delle norme europee, fra di-
chiarazionid’intentierealtà ......................... 4
4. Il riesame del GDPR svolto dalla Commissione nel 2020: un appun-
tamentomancato ............................... 5
5. La carenza del riesame ex post come vizio di fondo, che non
riguardasoloilGDPR ............................. 9
6. La prima valutazione dell’EPDB sull’applicazione pratica delle sue
lineeguida .................................... 10
7. IlveroparadigmadiregolazionedelGDPR . . . . . . . . . . . . . . . 12
8. Il rapporto fra l’attuale approccio basato sulla conformità e le
libertàingioco ................................. 13
9. Il rapporto fra l’attuale sistema sanzionatorio e le libertà in gioco . 16
2. Profili antitrust del consenso non libero al trattamento di dati per- sonali........................................... 19 di Giovanni Crea
1. Introduzione ................................... 19
2. Il modello multi-versante e il valore economico dei dati personali . 20
3. Le posizioni dominanti nell’era della digital and data economy. . . 21
4. Profilidiabusodiposizionedominante. . . . . . . . . . . . . . . . . . 22
4.1. Il caso Facebook-Germania (6 febbraio 2019, B6-22/16) . . . 24 5. Conclusioni.................................... 25
V
VI
Indice
3. Responsabilità civile: ipotesi applicative della class action alla pro- tezionedeidatipersonali ............................. 27 di Enrico Pelino
1. Lo scenario: ragioni e opportunità della class action in materia di protezionedeidatipersonali ........................ 27
2. Il referente è la classe, ulteriormente divisibile in sottoclassi . . . . 29
3. Definirel’omogeneità ............................. 31
4. Tutti gli ambiti del diritto sono realmente riducibili all’azione di classe?....................................... 34
5. Gravità della lesione e serietà del danno: termini monolitici o modulabili?.................................... 36
6. Il rapporto tra azione generale di classe e art. 80 GDPR . . . . . . . 39
7. Ilproblemaprocessuale............................ 40
4. Accordi strategici di mercato: contitolarità del trattamento e libera iniziativaimprenditoriale.............................. 43 di Luca Bolognini e Selina Zipponi
1. Lacontitolaritàdeltrattamento....................... 43
2. Il bicchiere mezzo vuoto: la contitolarità come ostacolo alla libera
iniziativa economica? Una riflessione sul social media targeting . . 49
3. Il bicchiere mezzo pieno: la contitolarità come espressione di libera iniziativa economica limitatamente sindacabile dall’autorità di pro-
tezionedeidatipersonali........................... 53
5. Partenariati pubblico-privati per servizi intelligenti resi a cittadini- utenti,mediantesfruttamentodirisorse-dati ............... 57
di Luca Bolognini e Tommaso Bonetti
1. Il partenariato pubblico-privato: profili generali . . . . . . . . . . . . 57
2. Partenariato pubblico-privato e servizi intelligenti per cittadini-
utenti:nodiproblematiciequestioniaperte . . . . . . . . . . . . . . 60
3. Aspetti relativi alla protezione e valorizzazione dei dati personali
nell’ambito di PPP e servizi intelligenti per cittadini-utenti . . . . . 61
4. Ruoli soggettivi privacy nei partenariati pubblico-privati
data-driven.................................... 63
5. Le possibili basi giuridiche del trattamento di dati personali nei
partenariatidata-driven............................ 64
6. Quali scenari di utilizzabilità e valorizzazione dei dati raccolti dai
partner?...................................... 68
7. Necessità di modernizzazione e sviluppo, opportunità di una “ca-
binamistadimonitoraggioegaranziaâ€.................. 71
6. Il prosumer nella economia collaborativa: soggetti attivo-passivi nel trattamento di dati personali, tra produzione, lavoro e consumo . . . 73 di Marco Emanuele Carpenelli
1. Introduzione ................................... 73
2. L’economia collaborativa: una dialettica triangolare ......... 74
2.1. L’economia collaborativa come peer economy ......... 74
2.1.1. Segue. In particolare: il prosumer . . . . ......... 75
2.1.2. Segue. In particolare: le piattaforme digitali di inter- mediazione........................... 76
2.2. L’economia collaborativa come sharing economy e gig eco- nomy.................................... 78
3. Un quadro normativo ancora tendenzialmente refrattario . . . . . . 79 3.1. Ilprosumernellasharingeconomy ................ 79 3.2. Ilprosumernellagigeconomy ................... 82
4. L’applicabilità della normativa in materia di protezione dei dati personali ..................................... 83
4.1. Le dinamiche del trattamento negli scenari della peer eco-
nomy: il ruolo privacy delle piattaforme digitali di interme-
diazione.................................. 84
4.2. Segue.Iruoliprivacydelprosumer................. 85
4.3. Segue. Il ruolo privacy degli altri utenti delle piattaforme . . 87
5. Alcuneconsiderazioniconclusive ..................... 87
7. Il superamento del Privacy Shield e la (libera?) circolazione commer- cialedeidatifuoridallaUE ............................ 89 di Luigi Montuori
1. Introduzione ................................... 89
2. DalSafeHarboralPrivacyShield ..................... 91
3. Le clausole contrattuali standard e gli altri strumenti dell’art. 46 del
GDPR........................................ 94
4. IlpianodiconformitàalGDPR ....................... 96
5. Raccomandazioni 01/2020 sulle misure che integrano gli strumenti
di trasferimento per garantire il rispetto del livello di protezione dei
datipersonalidell’UE ............................. 99
6. Le Raccomandazioni 2/2020 sulle Garanzie essenziali europee per
lemisuredisorveglianza ........................... 102
7. Lederogheexart.49GDPR ......................... 103
8. Conclusioni.................................... 103
Indice
VII
VIII
Indice
8. Obiettivi e criticità della riforma del registro delle opposizioni . . . . 107 di Luana Patti
1. Ilregistrodelleopposizioni.Leorigini .................. 107
2. Il registro delle opposizioni. Tante modifiche e un sistema ancora
incompiuto .................................... 110
2.1. L’estensione del Registro alle comunicazioni promozionali
mediantepostacartacea ....................... 112
2.2. Le modifiche introdotte dalla l. 11 gennaio 2018, n. 5 . . . . 112
2.2.1. Estensione del Registro alle utenze non iscritte negli elenchipubblici ........................ 113
2.2.2. L’azzeramentodituttiiconsensi . . . . . . . . . . . . . 114
2.2.3. La responsabilità solidale fra committente e call cen-
ter ................................ 115
2.2.4. L’obbligo di presentazione della linea chiamante e delprefissounivoco ..................... 116
2.3. Effetti della riforma sul piano giuridico ed economico . . . . 117
3. Unsolomercato,diversidiritti,tantiinteressi . . . . . . . . . . . . . 121
4. Conclusioni e ipotesi per immaginare il prossimo futuro . . . . . . . 124
9. La consumerizzazione della privacy tra California Consumer Privacy ActeGDPR....................................... 127 di Ilenia Maria Alagna e Niccolò Centofanti
1. Ilconcettodiconsumerizzazione...................... 127
2. IlconcettodiprivacynegliUSA....................... 131
3. Il concetto di consumerizzazione nel California Consumer Privacy
Act ......................................... 132 3.1. Ambitodiapplicazione ........................ 134 3.2. Dirittideiconsumatori ........................ 135
4. La(difficile)convergenzatraGDPReCCPA . . . . . . . . . . . . . . . 137
10. L’exchange commerce. La Direttiva (UE) 2019/770 . . . . . . . . . . . . 139
di Antonio Landi
1. Introduzione ................................... 139
2. Struttura della Direttiva 2019/770 e novità introdotte . . . . . . . .. 141
3. Corrispettivo in dati: approccio morale vs approccio negoziale .. 144
4. Indiziafavoredell’approccionegoziale . . . . . . . . . . . . . . . .. 149
5. Analisi degli orientamenti delle varie Autorità competenti in mate-
ria.......................................... 152
6. Modellicontrattualiapplicabili ....................... 156
7. Conclusioni.................................... 157
11. La rilevanza della disciplina in materia di protezione e valorizzazione deidatipersonalinelFinTech .......................... 161 di Massimiliano Nicotra
1. FinTech ed evoluzione della regolamentazione europea . . . . . . . 161
2. La protezione dei dati personali nei servizi FinTech: in particolare
servizi di pagamento, blockchain e Decentralized Finance . . . . . 165
2.1. Open banking, PSD2 e protezione dei dati personali . . . . . 166
2.1.1. Segue. Le Linee guida 6/2020 dello European Data
Protection Board sull’interazione tra la seconda di-
rettivasuiservizidipagamentoeilGDPR . . . . . . . 169
2.1.2. Considerazioniconclusive ................. 177
2.2. Servizi FinTech decentralizzati e protezione dei dati perso-
nali ..................................... 178
2.2.1. Applicabilità del Regolamento (UE) n. 679/2016 alla tecnologiablockchain .................... 181
2.2.2. Un tentativo di ricostruzione della disciplina del trat- tamento dei dati personali su blockchain permis- sionless nel FinTech ed in particolare nei servizi DeFi . 186
2.2.3. Considerazioniconclusive ................. 190
12. Il settore assicurativo tra sfruttamento dei dati personali e regola- zione ........................................... 193
di Alberto Bettiol e Vito Michele Pavese
1. Premessa ..................................... 193
2. Valutazione del rischio assicurato, analisi delle richieste ed esi-
genze assicurative e profilazione dell’interessato . . . . . . . . . . . 194
3. La disciplina della promozione di prodotti assicurativi tra prote- zione dei dati personali e regole in materia di distribuzione assicu-
rativa........................................ 196
4. La base giuridica del trattamento di categorie particolari di dati
inerenti alla salute nel contesto del rapporto assicurativo . . . . . . 198
5. L’applicazione del Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità
e puntualità nei pagamenti nel contesto assicurativo . . . . . . . . . 201
6. Considerazioniconclusive .......................... 203
13. Codici di condotta, legittimo interesse al trattamento dei dati per- sonaliedinamicheconcorrenziali........................ 205 di Alberto Bettiol
1. I codici di condotta ai sensi del Regolamento UE n. 679/2016 . . . 205
IX
Indice
X
Indice
2. Il Codice di condotta per il trattamento di dati personali in materia diinformazionicommerciali ......................... 206
3. Il Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti .................................... 209
4. Il legittimo interesse nei due casi italiani di codici di condotta . . . 211
5. Conclusioni.................................... 213
14. La certificazione ai sensi del GDPR: standard per l’affidabilità del mercatodatadriven................................. 217 di Riccardo Giannetti
1. 2. 3. 4. 5. 6. 7.
8. 9. 10.
Premessa ..................................... 217 Competenze degli Organismi di Certificazione . . . . . . . . . . . . . 218 Accreditamentoecertificazionevolontaria . . . . . . . . . . . . . . . 220 LacertificazionenelGDPR .......................... 222 Certificazioninelperimetrodell’art.42GDPR . . . . . . . . . . . . . 224 Standard ISO e attuali incompatibilità per il GDPR . . . . . . . . . . 225 Importanza dello studio Università di Tilburg (Commissione Euro-
pea) sui meccanismi di certificazione giaÌ€ in scopo GDPR . . . . . . 227 I “criteri e schemi di certificazioneâ€: chi li sviluppa e chi li rilascia . 228 L’auditnelGDPR,normetecnicheemetodologie . . . . . . . . . . . 230 Formazioneerequisitidegliauditor .................... 235
15. Internet delle cose e mercato: sicurezza e affidabilità delle transa- zioni,ilcasodelprotocolloIOTA ........................ 239 di Francesco Capparelli
1. Definizione dell’Internet of Things (Internet delle Cose) . . . . . . . 239
2. Normativespecificheperl’utilizzodell’IoT . . . . . . . . . . . . . . . . 240
3. IoTeliberomercato,ilcasoIOTA ..................... 242
4. L’intermediazioneeisuoicosti....................... 243
5. IOTA come protocollo open source per il mercato IoT . . . . . . . . 245
6. SicurezzadelTangleelimitidellablockchain .............. 247
7. TransazionisuIOTA .............................. 248
16. Audience measuring technologies: la misurazione nell’era del digi-
tale ............................................ 251 di Giulio Messori e Marco Emanuele Carpenelli
1. Introduzione. Online vs. offline: l’egemonia del Digital Analytics . 251
2. L’ascesa delle audience measuring technologies . . . . . . . . . . . . 252
3. Scopodell’elaborato.............................. 253
4. AlcuniesempidiAMT............................. 254
4.1. Sistemi di analisi-acquisizione di immagini o flussi video (Digital-out-of-HomeoDooH) ................... 254
4.2. Sistemi di acquisizione dati tramite cella telefonica . . . . . . 255
4.3. Le pronunce delle autorità di controllo sulle tecnologie AMT . 255
5. Consenso vs. interesse legittimo: il grado di autodeterminazione informativadell’uomo ............................. 258
6. Considerazioniconclusive .......................... 262
17. Data valley e il dialogo tra PMI e Big Tech per lo sviluppo di nuovi servizismart...................................... 265 di Carlo Rossi Chauvenet e Silvia Martinelli
1. Smart product, piattaforme e servizi integrati: nuovi servizi e nuove formediproduzioneecreazionedivalore................ 265
2. Condivisione e integrazione: le nuove forme organizzative e il ruolo delsystemintegrator ............................. 267
3. Il dialogo “legale†tra PMI e Big Tech: il caso Data Valley . . . . . . 270
4. L’evoluzionedelprogettoeprossimipassi . . . . . . . . . . . . . . . 274
18. Intelligenza artificiale: approccio regolatorio “simil-farmaceutico†all’immissione in commercio di soluzioni algoritmiche avanzate . . . 275 di Luca Bolognini e Sara Pecoraro
1. Unvolanoperl’economia .......................... 275
2. Il progetto europeo e nazionale in materia di intelligenza artificia-
le .......................................... 276
3. Sette raccomandazioni per un approccio “simil-farmaceutico†al-
l’immissione nel mercato di sistemi di artificial intelligence . . . . . 280