Dati personaliServizi online: la tutela della concorrenza deve fare i conti (anche) con il Gdpr

Il Gruppo europeo di protezione dati (Edpb) ha emesso delle linee guida dedicate ai servizi online. La tutela della concorrenza deve fare i conti con il Gdpr, e il Gdpr deve fare i conti con la concorrenza di mercato

È passato quasi un anno dall’entrata in vigore del Gdpr, il nuovo regolamento europeo sulla protezione dei dati. il 19 maggio è scaduto il periodo di tolleranza e inizieranno le ispezioni della Guardia di Finanza per verificarne la messa in pratica. Ma i cambiamenti avviati dalla riforma non sono pochi, toccano diversi settori e potranno aprire a novità importanti, soprattutto nel mercato dei servizi online. Sempre di più la tutela della concorrenza e dei consumatori, infatti, risultano strettamente intrecciati con la tutela dei dati personali.

Per armonizzare i vari intrecci e permettere una sana dose di concorrenza, l’Edpb (il gruppo europeo per la protezione dei dati) ha diramato non a caso delle apposite linee guida. Lo scopo è quello di adeguare le diverse leggi sui settori che, contestualmente al protocollo di protezione dei dati, incidono sul rapporto tra l’erogazione di un servizio digitale e i dati personali dell’utente che ne usufruisce.

Punto cardine delle linee guida stilate dall’Edpb è che il contratto fra utente e fornitore stipulato per l’utilizzo di un servizio e il trattamento dei dati personali costituisce la base di legittimazione per l’utilizzo delle informazioni stesse, a patto che le finalità determinate e specifiche per cui si utilizzano i dati siano conformi al Gdpr. In sostanza, i dati dell’utente che sono oggetto di trattamento possono essere solo quelli strettamente connessi all’esecuzione del contratto.

Un concetto quasi ovvio, ma che si è voluto riaffermare in quanto impatta sui diritti dell’interessato e si estende, potenzialmente, a tutto il mercato dei servizi digitali: dalle attività di profilazione a quelle di marketing indiretto. Tuttavia, le linee guida dell’Edpb non devono essere interpretate in modo totalmente restrittivo. È possibile, per esempio, che i dati forniti dall’utente vengano utilizzati dal titolare del trattamento che per attività di Data Analysis o quelle connesse a Intelligenza Artificiale e IoT. Come è possibile che un utente possa dare la sua disponibilità a un trattamento diverso a quello del contratto iniziale.

Il contratto fra utente e fornitore stipulato per il trattamento dei dati personali costituisce la base di legittimazione per l’utilizzo delle informazioni, a patto che le finalità siano conformi al Gdpr

L’importante è che l’utente ne sia informato tempestivamente e il titolare rientri all’interno di una base di legittimazione adeguata (consenso, interesse legittimo, obbligo di legge) e in linea con il Gdpr. Tutto ciò, da un punto di vista della concorrenza digitale, si traduce in una maggiore attenzione sulla stipula dei contratti di servizio. Secondo l’Edpb, se non si rispettano il Gdpr e le altre leggi che disciplinano il settore, un contratto può essere invalido rispetto alle regole del settore (cosa che di per sé non rende illegittimi i trattamenti di dati svolti fino al momento del sorgere della invalidità) oppure causare un trattamento illegittimo di dati fin dall’inizio (pur nell’ambito di un contratto valido a livello di settore).

Sulla base di questi principi, lo scorso febbraio l’Antitrust tedesca ha bloccato l’attività di raccolta dati di Facebook, obbligandolo a procedere solo con l’ok degli iscritti, sostenendo che le violazioni del Gdpr sono di fatto una manifestazione del suo potere di mercato. Accusando anche di posizione dominante il social network, che ha subito presentato ricorso. Se tutti ora dovranno rispettare le linee guida, la geografia dei Big del Tech potrebbe mutare e fare spazio a delle new entry? Difficile rispondere a questa domanda.

L’impatto in Italia di queste linee guida è ancora da verificare. Ma sono già disponibili alcuni dati. Secondo una ricerca dell’ Information Security & Privacy della School of Management del Politecnico di Milano, a febbraio 2019 solo il 23% delle aziende italiane si è adeguato al Gdpr, il 59% ha progetti in corso, l’88% un budget dedicato.

Dopo il 19 maggio, sotto la lente di ingrandimento, in ambito privato, ci saranno istituti di credito, cliniche e chi segue attività di profilazione; in ambito pubblico, il Sistema Pubblico di Identità Digitale e le grande banche dati verranno passati in rassegna. Per chi dovesse essere trovato fuori regola, ci sono due gruppi di sanzioni a cui si va incontro (entrambe di tipo pecuniario) e una serie di altre conseguenze come la limitazione, la sospensione o il blocco del trattamento dei dati; il risarcimento di eventuali danni agli utenti; eventuali sanzioni penali; danni reputazionali all’affidabilità dell’azienda.

X