In data 02/07/2019 sono state rese pubbliche, da Autorità Garante della Concorrenza e del Mercato (“AGCM”), Garante per la protezione dei dati personali (“Garante Privacy”) e Autorità per le Garanzie nelle Comunicazioni (“AGCOM”), le linee guida di cooperazione e le raccomandazioni di policy sullo sviluppo dell’economia digitale e il fenomeno dei Big Data[1] (“Linee Guida”[2]). Si tratta di un documento estremamente interessante, sotto diversi punti di vista.
In primo luogo, le Linee Guida sono frutto di una Indagine Conoscitiva sui Big Data (“Indagine Conoscitiva”) avviata il 30.05.2017 da Garante Privacy, AGCM e AGCOM[3], ma non devono essere considerate come il suo “atto finale”: a breve sarà infatti reso disponibile un documento finale che raccoglierà i rapporti finali elaborati da ciascuna delle Autorità coinvolte[4] [5].
Ciò che rende le Linee Guida interessanti, infatti, è proprio il fatto che le Autorità hanno ritenuto opportuno anticipare, almeno in parte, le conclusioni delle analisi svolte, con la pubblicazione di un documento che identificasse delle raccomandazioni destinate non tanto (e non solo) agli operatori economici coinvolti, quanto ai legislatori, al fine di indirizzare le future, necessarie regolamentazioni. Ma sul merito delle Linee Guida torneremo a breve.
Un ulteriore aspetto che caratterizza le Linee Guida è l’approccio seguito dalle Autorità nell’ambito dell’Indagine Conoscitiva. Pur essendosi già verificate fattispecie di collaborazione bilaterale (un esempio su tutti: la cooperazione AGCOM – AGCM sulla banda larga, datata nel 2014), la cooperazione tra le tre distinte Autorità si rende necessaria su un argomento particolarmente complesso, delicato e multidisciplinare, come il fenomeno Big Data e più in generale la c.d. data driven economy. E’ peraltro interessante anche la struttura seguita dalle tre Autorità nella elaborazione delle Linee Guida: alcuni degli spunti di riflessione / indicazioni ivi contenuti sono caratterizzati da una trattazione per lo più inerente una specifica tematica (data protection, tutela del pluralismo o tutela della concorrenza e dei consumatori), mentre in numerosi altri passaggi sono apprezzabili un’impostazione condivisa e, soprattutto, lo sforzo di raggiungere posizioni comuni, che tengono conto dei diversi aspetti del fenomeno Big Data, indipendentemente dalle aree di competenza di ciascuna Autorità.
L’intervento “tripartito” si è reso necessario per una pluralità di fattori, da associare alla natura stessa del fenomeno Big Data e alle sue implicazioni. Innanzitutto, la complessità della materia: non è concretamente possibile “isolare” il fenomeno Big Data alla sola data protection, alla sola tutela del pluralismo informativo, o alle sole dinamiche concorrenziali (o relative alla tutela del consumatore). Si tratta di un fenomeno estremamente complesso, da identificare come uno dei fattori trainanti di nuova rivoluzione industriale in atto (ci si riferisce, non a caso, a “Industry 4.0”), che già ora sta radicalmente modificando i tradizionali capisaldi dell’economia di mercato: se si parla sempre più frequentemente di “data driven economy”, è chiaro che il fenomeno Big Data assume una rilevanza fondamentale non in poche specifiche industries, ma su interi sistemi-paese (e non solo). Non si deve dimenticare, inoltre, che il fenomeno Big Data esprime i suoi effetti non solo a livello micro / macroeconomico, ma anche – anzi, soprattutto – a livello politico e sociale: in una prospettiva socio-economica fondata sullo sfruttamento e sulla elaborazione di enormi quantitativi di dati personali e di informazioni aggregate (es. analytics) da queste derivanti, l’individuo/consumatore deve essere posto al riparo da condotte “predatorie” (o addirittura discriminatorie) degli operatori di mercato, e da elaborazioni delle informazioni che lo riguardano al fine di indirizzare le sue opinioni e convinzioni (anche politiche).
Entrando nel merito delle Linee Guida, queste si sviluppano attraverso 11 raccomandazioni (“Raccomandazioni”) rivolte, come detto, eminentemente a legislatori e regolatori, e solo di riflesso (anche) agli operatori di mercato. In quest’ottica, particolare rilevanza assume la Raccomandazione 1, di carattere “programmatico”, rivolta a Governo e Parlamento nell’ottica della promozione di “un appropriato quadro normativo che affronti la questione della piena ed effettiva trasparenza nell’uso delle informazioni personali (nei confronti dei singoli e della collettività)”. Nel dettaglio, vengono brevemente considerate le disposizioni normative rilevanti in ambito privacy, concorrenza e comunicazioni, giungendo alla conclusione che sarebbe necessario un intervento di natura sostanziale soprattutto in materia di pluralismo informativo, considerato che la normativa è ancora oggi diretta a regolamentare un quadro più tradizionale, che non tiene in considerazione le peculiarità (e le possibili distorsioni) dell’economia digitale[6].
La Raccomandazione 2 è invece centrata sulla tematica della collaborazione a livello internazionale, in considerazione della natura – per definizione – transnazionale del fenomeno Big Data e più in generale della data driven economy. Sul punto, si elencano le (già numerose) forme di cooperazione internazionale che a vario titolo vedono impegnate le tre diverse Autorità.
Rilevante, non tanto per il suo estrinseco contenuto quanto per l’argomento trattato, è la Raccomandazione 3: si parla di Big Data e Pubblica Amministrazione. Il fenomeno Big Data, infatti, può interessare anche “trattamento da parte di soggetti pubblici nel perseguimento di finalità istituzionali” (cfr. Raccomandazione 3)[7]. Ma al di là del sintetico approfondimento fornito, ancora più interessante è proprio la rubrica della Raccomandazione 3, che rivela l’esigenza di una “policy unica e trasparente circa l’estrazione, l’accessibilità e l’utilizzo dei dati pubblici al fine della determinazione di politiche pubbliche”. Le Autorità – in questo caso, in realtà, pare evidente l’impronta del Garante Privacy – con questa sintetica raccomandazione rilevano la portata non solo privatistica del fenomeno.
La Raccomandazione 4 affronta il delicato tema della asimmetria informativa, sotto due diversi punti di vista. E’ innanzitutto necessario ridurre l’asimmetria informativa tra operatori digitali e soggetti interessati / consumatori: viene in particolare auspicata l’adozione di “misure volte a rendere maggiormente consapevoli i consumatori nel momento in cui forniscono il consenso al trattamento dei loro dati personali”. In secondo luogo, si affronta anche la tematica – rilevante soprattutto con riferimento ad aspetti concorrenziali – della asimmetria informativa tra grandi piattaforme digitali e altri operatori che si avvalgono di queste. Sul punto, emergono due esigenze: (i) l’adozione di misure volte ad aumentare la trasparenza dei criteri di elaborazione dei dati e (ii) soprattutto, si auspica “l’ingresso di nuovi intermediari di dati che, su mandato degli utenti e nel rispetto della normativa a tutela della privacy, possano interfacciarsi con le grandi piattaforme globali con un accresciuto potere negoziale”: le Autorità, in questo caso, suggeriscono interventi regolatori addirittura volti a favorire le condizioni per la nascita di nuovi operatori di mercato (seguendo una tecnica tipica della legislazione antitrust) che, rappresentando una pluralità di soggetti, riescano ad acquisire un maggiore potere negoziale dei singoli rappresentati.
La Raccomandazione 5 è rilevante, oltre che dal punto di vista contenutistico, anche sotto il profilo metodologico. Nel merito, è specificamente improntata su aspetti privacy, ed esprime due esigenze: da un lato, è necessario accertarsi della natura personale o non personale dei dati trattati (al fine di comprendere le disposizioni normative applicabili[8]), dall’altro gli operatori dell’economia digitale dovrebbero essere chiamati a valutare se una persona fisica possa essere “ragionevolmente identificata” (sic) mediante l’utilizzo (e l’incrocio) di una molteplicità di dati anonimi. Sotto l’aspetto metodologico, la Raccomandazione in commento è rilevante dal momento che per la prima volta nel documento ci si rivolge non solo a legislatori e regolatori, ma anche agli operatori del mercato[9].
Nella Raccomandazione 6 si esprime, invece, la necessità di adottare nuovi strumenti per la tutela del pluralismo informativo on-line: la tematica risulta particolarmente delicata, e – alla luce di recenti episodi di cronaca – una regolamentazione pare quanto mai necessaria, dal momento che una insufficiente disciplina può portare (e in certi casi ha già portato) a fenomeni distorsivi sia della concorrenza sul mercato, sia della libera determinazione dei destinatari di informazioni veicolate, anche con riferimento a tematiche di natura politica e sociale. La Raccomandazione in commento, intuitivamente, ha un’impronta prevalente di AGCOM, la quale specifica anche l’approccio da questa adottato negli ultimi anni unitamente ad altre autorità (i.e., la Commissione Europea), volto a favorire pratiche di co-regolamentazione a auto-regolazione al fine di responsabilizzare le piattaforme tecnologiche con l’adozione di appositi codici di condotta (ad esempio, con riferimento alle pratiche di rimozione di fake news e/o hatespeech). Si evidenzia anche, tuttavia, che l’efficacia di tale approccio risulta notevolmente limitata dall’assenza di strumenti ispettivi e di verifica, volti a garantire l’effettivo rispetto degli impegni assunti in sede di auto-regolazione dai vari operatori. Ci si rivolge pertanto al legislatore, auspicando l’adozione di strumenti che assicurino “alle autorità indipendenti preposte alla tutela del pluralismo, poteri di audit e di inspection circa la profilazione algoritmica ai fini della selezione delle informazioni e dei contenuti, nonché in relazione agli esiti dell’applicazione delle policy e delle regole che le piattaforme digitali globali si sono date in tema di rimozione di informazioni false o di hatespeech”.
La Raccomandazione 7, invece, è più marcatamente volta alla tutela della concorrenza sul mercato e degli interessi del consumatore (l’impronta, quindi, è di AGCM), con alcune interessanti riflessioni di carattere programmatico. Dal punto di vista concorrenziale, si prende atto della necessità di trovare un equilibrio tra “il rischio di scoraggiare i processi innovativi e il rischio di under-enforcement” e di ripensare la definizione di “mercato rilevante”, in modo da considerare elementi ulteriori rispetto a quelli tradizionali. Con riferimento alle attività da svolgere in tema di tutela del consumatore, si specifica invece che le mutate dinamiche di mercato rendono necessario estendere la prospettiva delle valutazioni, passando dai tradizionali parametri legati a prezzi e quantità, a fattori ulteriori, legati ad esempio alla qualità, all’innovazione e all’equità dei servizi forniti. Inoltre si esprime la necessità di adottare strumenti volti, quantomeno nell’ambito delle piattaforme digitali globali, ad aumentare la trasparenza delle informazioni sulla profilazione dell’utente, e introdurre procedure di opt-in sul grado di profilazione da prescegliere.
Anche la Raccomandazione 8 palesa una impronta tipicamente concorrenziale, dal momento che è indirizzata al fenomeno delle concentrazioni di imprese, auspicando una riforma della normativa attualmente vigente in materia, nel senso di (i) consentire all’Autorità di valutare anche operazioni che si attestino al di sotto delle soglie richieste per la comunicazione preventiva, ma che potrebbero comunque essere rilevanti per la restrizione di fenomeni concorrenziali e (ii) di introdurre uno “standard qualitativo più adatto alle sfide dell’economia digitale”.
La Raccomandazione 9 conferma, invece, la volontà di porre in essere forme di cooperazione tra le varie Autorità coinvolte: si esprime l’esigenza di estendere il diritto alla portabilità dei dati personali[10], prescindendo dal mero ambito privacy, e prevendendo un approccio “multidisciplinare” alla portabilità di dati e informazioni, in modo da favorire “lo sviluppo della competizione nei vari ambiti di valorizzazione economica del dato e, di conseguenza, una più efficace tutela del consumatore-utente”: l’obbiettivo ultimo, in sostanza, dovrebbe essere il conseguimento di una piena ed effettiva interoperabilità delle piattaforme tecnologiche.
Estremamente rilevante, soprattutto per le potenziali ricadute di tipo procedurale, è la Raccomandazione 10, che pone a modello i poteri di acquisizione di informazione e sanzionatori riconosciuti dal GDPR alle autorità competenti (tra cui, in Italia, il Garante Privacy), e auspica una riforma in tal senso delle disposizioni normative che regolano gli analoghi poteri di AGCOM e AGCM: si esige, in pratica, un sensibile aumento dei massimi edittali per le sanzioni irrogabili in caso di violazioni della normativa in tema di pluralismo informativo e tutela del consumatore, oltre ad un rafforzamento dei poteri ispettivi e di acquisizione delle informazioni per AGCOM e AGCM. La circostanza che il GDPR sia stato espressamente citato come modello da seguire, consente di ipotizzare che, soprattutto in ambito sanzionatorio, l’auspicio delle Autorità sia di avere una riforma dell’attuale normativa in modo da applicare i medesimi principi sanzionatori del GDPR (ove i massimi edittali possono essere anche proporzionali ai fatturati di impresa o di gruppo).
La Raccomandazione 11, infine, è eminentemente programmatica, riferendosi a propositi di reiterazione della collaborazione tra le tre Autorità in numerosi ulteriori ambiti interessati dal fenomeno Big Data e più in generale dalla data driven economy. Tali ambiti di cooperazione futura, si noti, prescindono anche dalle tradizionali materie di competenza di ciascuna Autorità: inter alia, ci si pone come obiettivo la rimozione di “ingiustificati vantaggi sotto il profilo fiscale e delle relazioni industriali di cui beneficiano i principali protagonisti della rivoluzione digitale”.
Il coordinamento tra le Autorità si dovrà sviluppare anche nel senso di introdurre forme di collaborazione reciproca, mediante, ad esempio, obblighi di accesso a dati per il perseguimento di scopi di una specifica Autorità (ciò soprattutto in tema di tutela della concorrenza, con ipotesi di introduzione di obblighi, in capo agli operatori interessati, di fornire l’accesso a dati e informazioni, ove ciò sia ritenuto rilevante per salvaguardare la concorrenza sul mercato), e attività di analisi congiunta di particolari dinamiche e asset del mercato digitale (ci si riferisce soprattutto ad una auspicata collaborazione tra AGCOM e Garante Privacy con riferimento alla valutazione delle previsioni del nuovo codice europeo delle comunicazioni elettroniche – Direttiva 2018/1972/UE – in riferimento alle dinamiche che consentono la disponibilità di contenuti a fronte non di remunerazione monetaria, ma di accesso a dati personali). Viene soprattutto ipotizzato un diritto / obbligo di accesso ai dati rilevanti nell’ambito del fenomeno Big Data, e la loro replicabilità, non solo in favore delle Autorità, ma anche di terzi preposti alla rilevazione dell’audience digitale, “al fine di garantire lo sviluppo pro-concorrenziale dei mercati della pubblicità online – e del cosiddetto programmatic advertising basato sulla profilazione algoritmica degli utenti – e di assicurare un’equa ripartizione delle risorse idonea a promuovere un’offerta informativa e di qualità”.
L’Indagine Conoscitiva brevemente commentata, come visto, presenta numerosi spunti di interesse e riflessione, sotto diversi punti di vista. Da una lettura attenta del documento, infatti, è possibile comprendere anche le esigenze di ogni singola Autorità e le problematiche riscontrate nei tentativi di regolamentare fenomeni complessi, multidisciplinari e sovranazionali come il fenomeno Big Data e in generale l’economia digitale, nonché i limiti della legislazione attualmente vigente e le conseguenti difficoltà di enforcement. Il documento, soprattutto, è interessante anche per l’introduzione di una nuova concezione della collaborazione e cooperazione tra le Autorità, le cui competenze vengono finalmente identificate come “complementari” e non concorrenti o addirittura antitetiche: è pertanto possibile ipotizzare l’avvio di una stagione di proficua collaborazione tra le Autorità, finalizzata alla emanazione di misure e provvedimenti che consentano di approcciare le sfide dell’economia digitale fondata sullo sfruttamento di enormi quantitativi di dati con un approccio olistico, e non (più) settorializzato.
[1] Pare utile, prima di entrare nel merito delle considerazioni, spiegare sinteticamente a cosa ci si riferisce per “Big Data”. Si tratta, di fatto, di enormi quantitativi di dati e informazioni provenienti dai più disparati ambiti dell’esperienza umana (dalle abitudini di consumo a quelle di trasporto / movimento, dalla vita domestica alle preferenze di natura politica / sessuale / religiosa ecc.); tali dati e informazioni sono estrapolati, trattati, elaborati e aggregati tra loro, fino ad ottenere informazioni attendibili (e in alcuni casi anche predittive) che possono essere spese in vari settori: industria, commercio, salute pubblica, sanità privata, sicurezza nazionale, ecc. Lo sviluppo del fenomeno Big Data è stato reso possibile dai progressi che hanno investito negli ultimi lustri le tecnologie dell’informazione, che hanno consentito un progresso sempre maggiore delle attività di business intelligence e di data science.
[2] Il testo è stato pubblicato da questa Rivista ed è disponibile al link seguente http://www.dirittobancario.it/news/antitrust-e-concorrenza/big-data-pubblicate-le-linee-guida-e-le-raccomandazioni-di-policy-di-agcom-agcm-e-garante-privacy
[3] Al link seguente la delibera AGCOM di avvio dell’indagine https://www.agcom.it/documents/10179/7677581/Delibera+217-17-CONS/df59e087-8151-4874-a724-46f621d9ca38?version=1.3
[4] Le Linee Guida oggi in commento, per completezza, rappresentano il secondo “provvedimento intermedio” della Indagine Conoscitiva: già a giugno 2018 sono stati pubblicati un “Big Data Interim Report” di AGCOM (consultabile al link https://www.agcom.it/documents/10179/10875949/Studio-Ricerca+08-06-2018/c72b5230-354d-444f-9e3f-5467ca450714?version=1.0) e un ulteriore rapporto intermedio pubblicato dalla AGCM, relativo ai risultati di un’indagine campionaria sulla propensione degli utenti di servizi online a fornire il consenso al trattamento di propri dati personali a fronte dell’erogazione dei servizi richiesti (consultabile al link https://www.agcm.it/dotcmsDOC/allegati-news/IC53%20-%20Survey%20primi%20risultati.pdf).
[5] Le Linee Guida, inoltre, concludono auspicando la sottoscrizione, tra le tre Autorità, di un memorandum of understanding che disciplini “strette forme di collaborazione negli interventi che interessano i mercati digitali”.
[6] Cfr. Raccomandazione 1: “(…) “l’attuale assetto istituzionale è sostanzialmente adeguato a tutelare i diritti fondamentali, e in particolare il diritto alla protezione dei dati personali, e la concorrenza. Più complesso appare il tema della protezione del pluralismo informativo nella moderna società digitale, in ragione di nuove dinamiche che, diversamente dagli approcci tradizionali al pluralismo, volti a disciplinare forme di accesso dal lato dell’offerta ai media tradizionali, sembrano riguardare, invece, i comportamenti degli utenti dal lato della domanda, in un quadro di overload informativo e di limitata trasparenza circa l’origine delle informazioni e la loro natura editoriale, nonché circa gli effetti della profilazione sulla selezione dei contenuti proposti dagli utenti (…)”.
[7] Si afferma, in particolare, che (cfr. Raccomandazione 3) “anche tali soggetti [NdR: i soggetti pubblici] (…) devono assicurarsi che il ricorso alle tecniche Big Data (…) avvenga nel rispetto delle discipline di protezione dei dati personali”.
[8] Anche la materia dei dati non personali, infatti, è disciplinata da una apposita fonte comunitaria, il Regolamento 2018/1807/UE, applicabile a far data dal 28/05/2019.
[9] In realtà, ci si rivolge sempre a legislatori e regolatori, affinché adottino provvedimenti idonei a sviluppare il contenuto della Raccomandazione. Questa, però, potrebbe essere adempiuta motu proprio anche direttamente dagli operatori di settore, senza particolari interventi legislativi o regolamentari.
[10] Tale diritto è disciplinato dall’articolo 20 del GDPR, e consente al soggetto interessato, in sostanza, di ottenere dal titolare del trattamento, in formato leggibile e strutturato i dati personali che lo riguardano. Il diritto alla portabilità può essere esercitato anche con indicazione di trasmettere i dati ad un ulteriore titolare del trattamento.