Chi sono i Data Broker e cosa fanno. Rischi per la privacy.

I data broker (o, come pure definiti negli USA, “information broker” o “information reseller”), recuperano informazioni on line da fonti pubbliche, le aggregano, le interpretano e le analizzano per poi venderle sul mercato. Quando questa attività consista nel reperire informazioni economiche e finanziarie relative a società per produrre studi di settore non sembra presentare criticità per la riservatezza delle persone, ma cosa succede quando i dati raccolti riguardano persone fisiche di cui i dati sono reperibili da una varietà di fonti“pubblicamente disponibili” (come, ad esempio, il Catasto, l’Agenzia Entrate, il Pubblico Registro automobilistico, il Registro delle Imprese, etc.)?

Quando si tratta di dati personali, che vengono aggregati, arricchiti e organizzati in “profili”, per essere venduti a imprese che intendono realizzare campagne pubblicitarie mirate e/o offrire servizi personalizzati, l’attività del data broker può essere molto invasiva e comportare enormi rischi in materia di rispetto della privacy dei soggetti interessati. Il fatto che tali dati siano liberamente conoscibili non significa che siano anche liberamente riutilizzabili da chiunque e per qualsiasi scopo. Il «riutilizzo» dei dati, invece, in attuazione del «principio di finalità» di cui all’art. 11, lett. b), del d.lgs. 196/2003 (“Codice Privacy”), non può essere consentito «in termini incompatibili» con gli scopi originari per i quali gli stessi sono resi accessibili pubblicamente. L’Autorità Garante per la protezione dei dati personali, infatti, ha precisato che è ad esempio illecito riutilizzare a fini di marketing o di propaganda elettorale i recapiti e gli indirizzi di posta elettronica del personale della PA oggetto di pubblicazione obbligatoria, in quanto tale ulteriore trattamento deve ritenersi incompatibile con le originarie finalità di trasparenza per le quali i dati sono resi pubblicamente disponibili. Lo scopo perseguito dalle disposizioni che impongono la pubblicazione dei dati di tale personale, infatti, è quello di aiutare i consociati a individuare i soggetti e i recapiti da contattare per presentare istanze o ottenere informazioni; di conseguenza, tali soggetti non potrebbero “ragionevolmente prevedere” che i loro dati possano essere utilizzati per scopi non collegati alle proprie attività lavorative. Il Garante era già pervenuto alla stessa conclusione per quanto concerne i dati pubblicati online dagli stessi interessati, precisando ad esempio, che, sempre in ossequio al «principio di finalità», gli indirizzi di posta elettronica resi conoscibili attraverso siti web non sono liberamente utilizzabili per qualsiasi fine (ed in particolare, per l’invio di e-mail aventi contenuto commerciale o pubblicitario), ma possono essere utilizzati solo per le finalità per le quali gli stessi vi sono stati pubblicati. La necessità di rispettare, anche se i dati sono pubblicamente conoscibili, il principio di «limitazione della finalità», subordinando il trattamento al consenso degli interessati laddove la finalità ulteriore risulti «incompatibile» con quella per la quale i dati personali sono stati ab origine raccolti, è espressamente prevista anche dalla nuova normativa europea sul trattamento dei dati personali, il Regolamento (UE) 2016/679 del 27 aprile 2016, che abroga la precedente direttiva 95/46/CE, da cui deriva il nostro Codice Privacy, e sarà applicabile in tutti gli Stati Membri UE a decorrere dal 25 maggio 2018 (GDPR).

Nel caso del data brokering infatti non sembra possibile basare il trattamento sull’«interesse legittimo» del Titolare. Difatti, affinché ciò sia possibile, l’interesse del Titolare, sia pur legittimo, deve anche prevalere, ai sensi dell’art. 6.1, lett. f) del GDPR, sugli interessi o sui diritti e le libertà fondamentali dell’interessato. Come precisato dal Gruppo dei Garanti europei nell’Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, il fatto che il Titolare abbia il legittimo interesse di conoscere le preferenze dei suoi clienti in modo da poter personalizzare le proprie offerte o realizzare pubblicità mirata, non implica che possa anche monitorare ingiustificatamente le loro attività on-line o off-line, combinare grandi quantità di dati, e creare – e, tramite l’intermediazione di data brokers, anche commercializzare – complessi profili delle personalità e delle preferenze dei clienti stessi, senza che questi ultimi ne siano consapevoli, basandosi, come «condizione di legittimità» del trattamento, sull’interesse legittimo. In tal caso, comportando tale attività di profilazione unarilevante intrusione nella “privacy”degli interessati, gli interessi e i diritti di questi ultimi devono considerarsi prevalenti sull’interesse del titolare e il trattamento, per poter essere legittimo, deve fondarsi sul consenso informato degli interessati. A tale proposito non si può però non tener conto che le caratteristiche peculiari dell’attività in oggetto rendono estremamente difficile fornire un’adeguata informativa agli interessati, che chiarisca le finalità del trattamento (per il semplice fatto che queste non sono già note al momento dell’acquisizione dei dati), e, quindi, che, laddove necessario, quest’ultimi prestino un consenso al trattamento dei loro dati specifico, consapevole e valido. Una delle caratteristiche dei Big Data, infatti, è la circostanza che gli stessi vengono raccolti senza che siano chiari a priori i loro molteplici utilizzi. A tale proposito, sia il Gruppo dei Garanti Europei che il Garante Europeo della protezione dei dati (European Data Protection Supervisor) hanno però affermato con forza che non vi sarebbe alcuna ragione per ritenere che i principi fondamentali in tema di data protection non siano più validi e appropriati per il trattamento massivo di dati, pur ammettendo che debbano essere applicati in modo più moderno, flessibile e creativo, oltre che completati con nuovi concetti sviluppati negli anni (ed ora espressamente previsti nel GDPR), come l’accountability, la privacy by design e la Data Protection Impact Assessment (nota anche con l’acronimo “DPIA”) , offrendo modi innovativi per informare gli interessati e consentire loro il controllo sui propri dati.

Il data broker che tratti dati personali – potendo il relativo trattamento, effettuato tramite l’uso di nuove tecnologie, presentare un rischio elevato per i diritti e le libertà delle persone fisiche – dovrebbe quindi effettuare una DPIA, valutando la necessità e la proporzionalità del trattamento in relazione alle finalità perseguite, il rischio di impatti negativi sulle libertà e i diritti degli interessati e l’idoneità delle garanzie, meccanismi e misure tecniche e organizzative previste per mitigare tali rischi ai sensi dell’art. 35 del GDPR. All’esito di questa valutazione di impatto potrà quindi decidere in autonomia se iniziare il trattamento, avendo adottato le misure idonee a mitigare sufficientemente il rischio ovvero, qualora sia presente un alto rischio residuo per le attività di trattamento, consultare preventivamente l’autorità di controllo competente, la quale dovrà pronunciarsi in merito al trattamento in questione (indicando eventuali misure ulteriori da implementare oppure, nei casi più estremi, vietare il trattamento).

(fonte Agenda Digitale)

Leave your comment