il caso del servizio denominato «Weople», offerto dalla società milanese Hoda srl, propone oggi, in Italia, di offrire servizi di infomediation legati al diritto di portabilità ex art. 20 e servizio salvadanaio –, sollevando l’attenzione del Garante per la protezione dei dati personali che ha prontamente chiesto all’EDPB (European Data Protection Board) una disamina congiunta per una soluzione europea alle questioni giuridiche, di grande impatto per i diritti e le libertà degli interessati, che tale modello comporta. Come si evince dal sito Internet relativo al servizio Weople (https://weople.space), l’idea di fondo, declamata nella homepage, è quella di costituire «La prima Banca per investire e recuperare valore dai tuoi dati, proteggerli e agire i tuoi diritti di privacy. Gratis e senza sforzo». Il servizio si basa, innanzitutto, sul «caveau personale», definita nell’app Weople come «cassetta di sicurezza», ove i singoli interessati possono depositare i propri dati personali già trattati da altri provider, quali ad esempio «i dati relativi agli account social, i dati delle spese effettuate con le carte fedeltà personali, i dati delle spese online tramite gli account ecommerce, i dati posseduti da Google e Apple, per esempio Con l’attivazione dell’account Weople, in altre parole, l’interessato delega il provider a richiedere una copia dei dati personali ai diversi altri provider, concentrando nel “caveau” tutte le numerose informazioni di carattere personale già trattate da altri fornitori, da Facebook ad Amazon, da WhatsApp a Gmail e Google Search, da iCloud a Dropbox, e così via. Il servizio si basa, sotto il profilo giuridico, sull’esercizio del diritto alla portabilità dei dati, previsto dall’art. 20 del Reg. (UE) n. 679/2016, che consente agli interessati non solo di richiedere per sé la disponibilità dei propri dati personali, in formato elettronico e strutturato, di uso comune e leggibile da dispositivo automatico, ai titolari del trattamento a cui l’interessato li abbia forniti, ma anche di trasferire tali dati ad altro titolare del trattamento o, addirittura, di ottenere dal primo titolare la trasmissione di tali dati direttamente all’altro titolare del trattamento, se tecnicamente fattibile, anche qualora si tratti di soggetti che svolgono attività concorrenziali tra loro. Invero la norma del regolamento europeo – l’art. 20, par. 2, del GDPR – non richiede che il titolare del trattamento destinatario della trasmissione dei dati sia un soggetto che svolga un’attività analoga al primo o che i dati debbano essere trattati per le medesime finalità. Valgono a tal riguardo i principi generali. Rispetto al dettato normativo, qui la richiesta di portabilità prevista in Weople giungerebbe direttamente dal secondo titolare, destinatario della trasmissione diretta, che agirebbe per conto dell’interessato, nella dichiarata prospettiva di valorizzarne i dati personali, con il suo consenso, ottenendo da fornitori terzi delle entrate in denaro e altri vantaggi. Il servizio Weople prevede infatti, in primo luogo, la monetizzazione dei dati personali attraverso la funzionalità «Salvadanaio personali». Stando alla descrizione presente sul sito Internet di lancio del servizio, «In questo salvadanaio Weople verserà quanto le aziende pagheranno per mandarti una pubblicità e/o un’offerta di prodotti o servizi personalizzati. Il valore in Euro ti verrà messo a disposizione tramite sistemi di pagamento digitali e potrai usarlo come vorrai». Sono poi previsti ulteriori benefici, come le “offerte personalizzate”, che i fornitori terzi potranno veicolare agli interessati tramite il servizio Weople, e le “vincite ad estrazione”. Il servizio prevede poi anche funzioni di gestione dei diritti dell’interessato, come il diritto di rettifica o di revoca del consenso verso gli altri titolari del trattamento o gli altri diritti dell’interessato previsti dal regolamento europeo. Nella pagina del sito Internet relativa alle funzionalità del servizio Weople si trova scritto, infatti, che «Weople si offre di aiutarti a esercitare i tuoi diritti, veicolando le tue richieste presso aziende verso cui deciderai di agire e avvisandoti quando la richiesta sarà andata a buon fine (…)», con l’avvertenza che non sarà sempre facile ed immediato l’esercizio di tali diritti: «Nonostante la legge a favore delle persone, il sistema si dovrà adattare e Weople avrà un compito non facile, almeno in una prima fase: sarà un percorso, Weople dovrà spingere, ridurre le resistenze, invocare la legge e trovare le strade migliori per fare arrivare sistematicamente i tuoi dati nel tuo conto ed esercitare i diritti come da richiesto. Ecco una ragione in più per essere tanti e avere così un maggiore potere di pressione, per farci sentire e avere davvero la possibilità di far rispettare i nostri diritti». A dire il vero, come preannunciato, le prime resistenze sono venute proprio dal Garante per la protezione dei dati personali, che ha aperto un’istruttoria sulle modalità di trattamento relative al servizio Weople, interessando anche l’European Data Protection Board (EDPB), a garanzia dei diritti e delle libertà dell’interessato. Nella citata lettera di trasmissione della richiesta di parere in tema di commercializzazione dei dati personali e diritto della portabilità, indirizzata dal Presidente del Garante per la privacy al Presidente dell’EDPB (doc web n. 9126725 del 1° agosto 2019), viene testualmente precisato che «(…) si tratta di una questione molto rilevante che, pur venuta in evidenza in Italia, impone una riflessione generale che non può essere rimessa alle singole autorità di protezione dati. Il caso riguarda l’applicazione del diritto alla portabilità dei dati: un’impresa italiana si è infatti proposta come intermediaria nel rapporto fra titolari ed interessati chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso importanti soggetti imprenditoriali, in particolare nel settore della grande distribuzione al fine di riunirle all’interno di una propria banca dati da sottoporre ad enrichment. Il tema è dunque legato alla “commerciabilità” dei dati, con l’ulteriore complicazione dell’esercizio per delega del diritto ed il conseguente non remoto rischio di possibili duplicazioni delle banche dati oggetto di portabilità (…)». Su tale questione il Garante ha anche diramato, in pari data, un Comunicato stampa (doc web n. 9126709 del 1° agosto 2019), intitolato «Dati in cambio di soldi: il Garante privacy porta la questione in Europa. Sotto la lente dell’Autorità la app “Weople”», con cui evidenzia le proprie perplessità, nonché l’allarmismo generato – si noti bene – non tanto dagli stessi interessati, ma dalle numerose imprese che, nella loro qualità di titolari del trattamento, hanno ricevuto le richieste di trasferimento dei dati in favore della società fornitrice del servizio Weople. Si comprende bene, dunque, l’impatto che tale modello di business ha sulle dinamiche concorrenziali ed è proprio da questa esperienza che sembra essere germinata la strategia europea basata sull’intermediazione dei dati e sul servizio di data sharing, considerato nel Data Governance Act. Ed infatti nel predetto comunicato stampa, dopo aver premesso che «Con una lettera a firma del Presidente Antonello Soro, l’Autorità Garante per la privacy ha posto all’attenzione del Comitato europeo per la protezione dei dati personali (EDPB) la questione relativa a “Weople”, l’app che promette ai propri iscritti una remunerazione in cambio della cessione dei loro dati personali (…)», si legge che «A partire dai primi mesi del 2019 sono state diverse le segnalazioni giunte all’Autorità da parte di imprese della grande distribuzione che lamentavano di aver ricevuto da parte di “Weople” numerosissime richieste di trasferire alla piattaforma dati personali e di consumo registrati nelle carte di fedeltà. L’impresa italiana, che gestisce la app e offre servizi di vario genere (offerte commerciali, analisti statistiche e di mercato), si propone infatti come intermediaria nel rapporto tra aziende e utenti chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso grandi imprese allo scopo di riunirle all’interno della propria banca dati. L’attenzione del Garante si è concentrata, in particolare, sulla corretta applicazione, da parte della società, del cosiddetto diritto alla “portabilità dei dati” introdotto dal nuovo Regolamento europeo, con l’ulteriore complicazione determinata dall’esercitare tale diritto mediante una delega e con il conseguente rischio di possibili duplicazioni delle banche dati oggetto di portabilità. L’altro aspetto segnalato dal Garante nella lettera riguarda il delicato tema della “commerciabilità” dei dati, causata dall’attribuzione di un vero e proprio controvalore al dato personale. Su entrambe le questioni, il Garante ha dunque chiesto al Comitato, che riunisce tutte le Autorità Garanti dell’Unione, di pronunciarsi (…)». Quanto al coinvolgimento dell’EDPB, il Comunicato del Garante rimarca che l’«attività di “Weople” (…) può produrre effetti in più di uno Stato dell’Unione in ragione delle richieste di portabilità che potranno essere avanzate e delle questioni relative alla “valorizzazione economica dei dati personali ed alla natura ‘pro-concorrenziale’ del diritto alla portabilità”. Per questi motivi, pur essendo emerso in Italia, il caso della app impone (…) una riflessione generale che è più opportuno condividere con le altre Autorità di protezione dati. Il Garante attenderà dunque il parere dell’EDPB per concludere l’istruttoria avviata sulla app. Nel frattempo, i soggetti privati che riceveranno le richieste di portabilità dei dati da parte di “Weople” dovranno operare nel rispetto del principio di accountability stabilito dal Regolamento Ue e valutare se ottemperare alle richieste o motivare un eventuale rifiuto».
Estratto da il saggio di Fabio Bravo – Intermediazione di dati personali e servizi di data sharing dal GDPR al Data Governance Act
