Articoli

, , , , , , , , , , ,

QUANTO COSTANO REALMENTE I SERVIZI ONLINE? L’APPARENTE GRATUITÀ DEI SERVIZI ONLINE DEL WEB 2.0 FRA PRIVACY. I PROFILI DI INTERFERENZA FRA GDPR E CODICE DEL CONSUMO. IL CASO APPLE E GOOGLE

di Giacomo Conti

Nell’era del Web 2.0 è più che mai attuale la massima secondo la quale: “Se non paghi un prodotto, allora il prodotto sei tu”.

Tutti noi utilizziamo i servizi della società dell’informazione quali, ad esempio, Google, Facebook, Amazon, Netflix. Giganti tecnologici come Apple sviluppano, inoltre, le proprie piattaforme commerciali App Store, iTunes Store e Apple Books.

Mentre alcuni servizi prevedono un sistema di fruizione attraverso il pagamento di un canone, altri servizi operano in maniera più subdola e, dietro un’apparente gratuità, chiedono in realtà come corrispettivo i nostri dati personali che vengono forniti da consumatori, molto spesso, inconsapevoli.

I dati dei consumatori vengono, infatti, monetizzati e ceduti a terzi oppure utilizzati direttamente dal fornitore del servizio attraverso un’attività promozionale per aumentare la vendita dei propri prodotti e/o di quelli di terzi. Questo, a prescindere dal fatto che si paghi o meno per il servizio.

Dopo avere tracciato un quadro generale sulla complessa relazione fra piattaforme online, consumatori (Platform2Consumer) e utenti commerciali (Platoform2Business) e dopo avere il modello economico di queste piattaforme, l’intervento ha lo scopo di mettere in relazione i profili di interferenza fra protezione fra il diritto alla protezione del dato la protezione del consumatore.

Nella seconda parte verranno poi approfondite i procedimenti dell’Autorità Garante della Concorrenza e del Mercato nei confronti di Google Ireland Ltd. e di Apple Distribution International Ltd dove entrambe le piattaforme sono state sanzionate per 10 milioni di euro ossia per il massimo edittale secondo la normativa vigente.  L’Antitrust ha, infatti, accertato per ogni società due violazioni del Codice del Consumo, una per carenze informative e un’altra per pratiche aggressive legate all’acquisizione e all’utilizzo dei dati dei consumatori a fini commerciali.

 

 

 

Per il testo integrale dei provvedimenti dell’AGCM:  v. https://www.agcm.it/media/comunicati-stampa/2021/11/PS11147-PS11150Platform2bus

 

In allegato le slide dell’intervento al convegno e-privacy XXXI – ««Privacy tra attivismo e scienza» – prima giornata – pomeriggio

220929 SLIDE CONTI EPRIVACY

/da
, , ,

UN CONSENSO PER UNO E UNO PER TUTTI. UNA CORRETTA APPLICAZIONE DEL PRINCIPIO DI IRRESPONSABILIZZAZIONE.

di Giacomo Conti

 

Il consenso è solo una fra le basi giuridiche che il GDPR prevede come condizione di liceità del trattamento. Esso non è, tuttavia, né la principale né, tantomeno, è indispensabile per legittimare ogni trattamento operato dall’organizzazione aziendale.

Se è vero che il vecchio Codice della privacy dava al consenso una particolare importanza al consenso, nel nuovo impianto normativo il consenso è solo una delle basi giuridiche e, a ben vedere, anche la più difficile da gestire.

In primo luogo, il consenso deve esprimersi una libera manifestazione di volontà, specifica informata e inequivocabile e presuppone che venga fornita all’interessato un’informativa resa con modalità idonee.

Un consenso non può essere generico, ma è un’operazione delicata che presuppone un’analisi specifica dei trattamenti realizzati. Raccogliere consenso è, pertanto, un’operazione ben più gravosa che non limitarsi a rendere idonea informativa all’interessato.

Il consenso, infatti, non è un atto del titolare, ma un atto di volontà dell’interessato che deve essere raccolto e adeguatamente documentato dal Titolare tenuto conto del contesto in cui si articola del trattamento.

La raccolta del consenso non è, pertanto, in alcun modo sostitutivo dell’obbligo di trasparenza e di informativa, ma è un obbligo ulteriore che deve essere adeguatamente gestito da parte del titolare del trattamento e che non può prescindere da una corretta informativa.

Basare un trattamento sul consenso espone, pertanto, il titolare al rischio che l’interessato, liberamente e in qualsiasi momento, possa revocarlo facendo venire meno la base di legittimità del trattamento.

Particolarmente rischioso è, quindi, basare il trattamento sul consenso se questo è necessario per eseguire una misura contrattuale oppure risponde a esigenze di legittimo interesse del titolare come, ad esempio, la conservazione dei dati nei propri archivi.

In queste ipotesi, nel caso in cui l’interessato revocasse il proprio consenso al trattamento, l’organizzazione avrebbe il non trascurabile problema di individuare una nuova base giuridica per continuare a trattare i dati dell’interessato con la conseguenza che ogni dato trattato rischierebbe, in ogni caso, di essere inutilizzabile.

Emerge, pertanto, come il consenso più che panacea per risolvere ogni mal di GDPR, dovrebbe essere, al contrario, richiesto solamente dopo un’analisi approfondita della base giuridica del trattamento ed essere utilizzato in via residuale dove il trattamento non sia giustificato dall’esecuzione di misure contrattuali o precontrattuali o non si fondi su un legittimo interesse del titolare.

/da