Articoli

, , , , , , , , , , ,

QUANTO COSTANO REALMENTE I SERVIZI ONLINE? L’APPARENTE GRATUITÀ DEI SERVIZI ONLINE DEL WEB 2.0 FRA PRIVACY. I PROFILI DI INTERFERENZA FRA GDPR E CODICE DEL CONSUMO. IL CASO APPLE E GOOGLE

di Giacomo Conti

Nell’era del Web 2.0 è più che mai attuale la massima secondo la quale: “Se non paghi un prodotto, allora il prodotto sei tu”.

Tutti noi utilizziamo i servizi della società dell’informazione quali, ad esempio, Google, Facebook, Amazon, Netflix. Giganti tecnologici come Apple sviluppano, inoltre, le proprie piattaforme commerciali App Store, iTunes Store e Apple Books.

Mentre alcuni servizi prevedono un sistema di fruizione attraverso il pagamento di un canone, altri servizi operano in maniera più subdola e, dietro un’apparente gratuità, chiedono in realtà come corrispettivo i nostri dati personali che vengono forniti da consumatori, molto spesso, inconsapevoli.

I dati dei consumatori vengono, infatti, monetizzati e ceduti a terzi oppure utilizzati direttamente dal fornitore del servizio attraverso un’attività promozionale per aumentare la vendita dei propri prodotti e/o di quelli di terzi. Questo, a prescindere dal fatto che si paghi o meno per il servizio.

Dopo avere tracciato un quadro generale sulla complessa relazione fra piattaforme online, consumatori (Platform2Consumer) e utenti commerciali (Platoform2Business) e dopo avere il modello economico di queste piattaforme, l’intervento ha lo scopo di mettere in relazione i profili di interferenza fra protezione fra il diritto alla protezione del dato la protezione del consumatore.

Nella seconda parte verranno poi approfondite i procedimenti dell’Autorità Garante della Concorrenza e del Mercato nei confronti di Google Ireland Ltd. e di Apple Distribution International Ltd dove entrambe le piattaforme sono state sanzionate per 10 milioni di euro ossia per il massimo edittale secondo la normativa vigente.  L’Antitrust ha, infatti, accertato per ogni società due violazioni del Codice del Consumo, una per carenze informative e un’altra per pratiche aggressive legate all’acquisizione e all’utilizzo dei dati dei consumatori a fini commerciali.

 

 

 

Per il testo integrale dei provvedimenti dell’AGCM:  v. https://www.agcm.it/media/comunicati-stampa/2021/11/PS11147-PS11150Platform2bus

 

In allegato le slide dell’intervento al convegno e-privacy XXXI – ««Privacy tra attivismo e scienza» – prima giornata – pomeriggio

220929 SLIDE CONTI EPRIVACY

/da
, , ,

LASCIATE OGNI SPERANZA VOI CHE TRATTATE DATI PERSONALI. CHE COSA DEVE REALMENTE TEMERE CHI NON RISPETTA IL GDPR?

di Giacomo Conti

 

Il GDPR è stata una norma, per molti aspetti, molto mal compresa che ha destato una significativa ed ingiustificata paura e incomprensione fra titolari e responsabili del trattamento nonché fra gli stessi consulenti ed operatori del diritto.

Si è assistito, infatti, a prassi poco virtuose – per usare un eufemismo – fra cui spiccano consulenze difensive finalizzate a creare inutili e vuoti scudi di carta e inutile formazione, nonché terrorismo psicologico operato al solo fine di lucrare sulla paura innestata da questa nuova norma. Molti hanno anche sospeso trattamenti pienamente legittimi per paura di improbabili sanzioni.

Questa paura è frutto, principalmente, di una cattiva interpretazione e, soprattutto, del temutissimo art. 83 GDPR il quale stabilisce che le sanzioni derivanti da una violazione della normativa possono raggiungere cifre molto significative che possono ammontare fino a 20 Milioni di Euro oppure al 4% del fatturato mondiale annuo.

Molti hanno interpretato la disposizione nel senso che anche la PMI con un fatturato annuo di qualche milione di Euro che si limita a trattare i dati dei propri dipendenti su scala non elevata potrebbe essere sanzionata per milioni e milioni di Euro in caso di violazione del GDPR e pertanto: “Guai a voi che non vi adeguate!”.

Giusto?” In realtà non può esserci un’interpretazione peggiore della disposizione in esame e, è doveroso precisarlo, una veloce lettura delle Guidelines on Fines dell’EPBD (ai tempi Working Party 29) e una comprensione sommaria del case based aproach alla base dell’applicazione della sanzione avrebbe dovuto condurre chiunque a giungere a differenti conclusioni.

Come si evince da una lettura, sempre superficiale dei considerando al GDPR, emerge come la norma sia espressione di un basilare principio di civiltà e sia nata per garantire la circolazione del dato personale nel rispetto dei diritti fondamentali della persona fisica in una società sempre più tecnologica che si basa sempre di più su uno scambio di dati personali contro servizi.

Tenuto conto di queste coordinate interpretative è autoevidente come non sia la sanzione pecuniaria il principale pericolo che corrono titolari e responsabili di trattamento posto che il GDPR, evidentemente, non è nato per punire imprenditori ed operatori economici che trattano dati personali.

Del resto, è evidente come sia facile per grandi realtà e per operatori OTT accantonare fondi e risorse per fare fronte ad eventuali sanzioni oppure rincarare il prezzo di alcuni dei loro beni o servizi senza subire un grande danno.

Se, da un lato, l’art. 83 GDPR è sopravvalutato; dall’altro, si parla troppo poco dell’art. 58 GDPR e dei poteri conformativi e inibitori di cui sono dotate le Autorità Garanti che possono anche imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.

Una sanzione di questo tipo, al contrario di una sanzione pecuniaria, ha un effetto letteralmente paralizzante sul business e può determinare un vero e proprio fallimento di società e startup che si basano su un trattamento illecito dei dati personali.

Si pensi, ad esempio, ad un’applicazione che raccoglie online dati di natura medica senza chiedere il consenso per il trattamento di dati idonei a rivelare la salute dell’interessato e senza informare adeguatamente gli interessati (magari addirittura omettendo un’informativa in lingua italiana) e senza valutare in alcun modo i rischi per i soggetti coinvolti nel trattamento.

Inutile dire come nessuna sanzione economica potrebbe essere adeguatamente punitiva e come solo un divieto di trattamento, con conseguente chiusura del business, potrebbe tutelare adeguatamente gli interessati. Ugualmente, un eventuale ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale può avere conseguenze disastrose per un’organizzazione aziendale.

Si pensi, in secondo luogo a un grosso gruppo che perde il controllo dei dati dei propri clienti rischia di perdere la fiducia di questi e di vedere pregiudicata la sua immagine e reputazione se i clienti arrivano a percepire che le loro informazioni personali non sono adeguatamente protette.

Un pregiudizio reputazionale e una perdita di clientela, sicuramente, rappresenta un pregiudizio per il business più significativo di una qualunque sanzione pecuniaria.

/da