Privacy e dynamic pricing. Se l’algoritmo e-commerce diversifica i prezzi a seconda di chi siamo

Siamo già nell’era del dynamic pricing basato sulla profilazione del consumatore? Osservando alcune pratiche emergenti in ambito e-commerce, parrebbe proprio di sì. A fronte di possibili benefici in termini di efficienza del mercato digitale, occorre valutare fin d’ora le possibili ripercussioni in tema di data protection e di libertà da condizionamenti oligopolistici.

PREMESSA

I continui sviluppi dell’information technology e la logica del profitto suggeriscono ai venditori del mercato digitale che oggi è possibile ottenere nuove e consistenti marginalità adottando decisioni automatizzate basate sulla profilazione degli utenti web. Per far questo, si dovrebbe chiedere alla privacy di scansarsi per far spazio ad un’ampia attività di monitoraggio che consenta di discriminare i prezzi in base alle caratteristiche dell’individuo. Affidando a raffinati algoritmi machine learning l’analisi delle diverse tracce elettroniche disseminate nel cyberspazio, si possono ottenere preziosi indicatori sul benessere economico di una persona, la sua propensione all’acquisto ed altre informazioni in grado di svelare connotazioni e attitudini private utili a formulare offerte sempre più customizzate. Il retailer può così offrire la cosa giusta, al momento più opportuno, al costo che stima maggiormente sostenibile (o comunque invitante) per lo specifico consumer; grazie a tale strategia, il primo ha maggiori chance di convincere il secondo ad acquistare, e il secondo può spuntare un prezzo migliore rispetto al solito.

Potendo apportare, almeno in via di principio, vantaggi a tutte le parti negoziali, se un simile business model dovesse dispiegarsi su larga scala dovremmo teoricamente assistere ad una complessiva ottimizzazione del rapporto tra domanda e offerta: un fenomeno cui, pertanto, dovrebbe riconoscersi una congrua utilità socioeconomica. Tuttavia non può sfuggire che vi siano questioni da vagliare sul piano sia etico che giuridico e, ad avviso di chi scrive, converrebbe che i regulators le affrontassero prima che la pratica si diffonda in ogni dove.

A prescindere da come è costruito, è pacificamente accettabile che ad ognuno di noi sia mostrato un prezzo diverso per il medesimo bene? Ed è giusto che la differenziazione sia basata sul monitoraggio di quello che facciamo online?

Per quei giant tech d’oltreoceano che hanno come asset fondamentale la monetizzazione dei dati personali (Google, Facebook, Amazon, etc.), probabilmente non ci sarebbe nulla di sbagliato in tutto questo perché si tratterebbe di un’evoluzione naturale del loro modo di fare business. E comunque, giusto o sbagliato che sia, occorre prendere atto di una cruda verità: storicamente il rapporto venditore-acquirente non è una democrazia, e tanto meno lo è da quando il rapporto si è trasferito in un digital marketplace globale ed oligoplistico, egemonizzato da pochi in grado di imporre le proprie logiche commerciali a miliardi di persone. Ciononostante, non è detto che lo sviluppo di queste pratiche commerciali abbia vita facile. Specie dopo il caso Facebook/Cambridge Analytica, il pubblico potrebbe mostrare scetticismo riguardo le tecniche di microtargeting volte a influenzare le scelte degli utenti. E, in riferimento ai cittadini UE, questi sistemi dovrebbero fare i conti con le norme a difesa dei consumatori e con le nuove disposizioni in materia di protezione dei dati personali (GDPR e Regolamento ePrivacy).

Quanto segue rappresenta una personale osservazione del complesso universo del dynamic pricing tramite un telescopio che monta ottiche di data protection.

1 – PANORAMICA SUL DYNAMIC PRICING

1.1 – Cos’è il dynamic pricing?

Il dynamic pricing è una strategia microeconomica di vendita basata sulla continua quotazione flessibile delle tariffe: il venditore, in considerazione di determinate variabili, diversifica il prezzo di un medesimo bene o servizio. Ovviamente nel contesto e-commerce, il dynamic pricing non è strutturato “manualmente” ma è gestito da un algoritmo che automatizza il risultato che si desidera sottoporre all’utente.

L’essenza del dynamic pricing consiste nell’offrire al potenziale acquirente il prezzo giusto al momento giusto per ottimizzare le vendite e massimizzare i margini di profitto.

Il tariffario flessibile automatizzato non è certo un novità nel mondo delle vendite online. L’utenza ha ormai familiarità con il fatto che i prezzi sul web possono variare non solo nelle finestre temporali periodicamente ricorrenti (tipicamente durante i saldi, si pensi solo al successo degli ultimi black friday), ma anche fluttuare con continuità nell’arco di un anno, un mese, un giorno, talvolta di un minuto.

Esistono automatismi che strutturano e variano il prezzo in base a specifici fattori, che possono intervenire singolarmente o combinati tra loro. Ne portiamo alcuni esempi:

• Disponibilità real time del bene: ossia l’incontro domanda/offerta strettamente inteso. Nessuno di noi, ad esempio, ignora che il sedile 15F di un aereo potrebbe avere un prezzo minimizzato se lo acquistiamo quando il volo è vuoto mentre potrebbe essere molto elevato quando il posto in questione è l’ultimo rimasto. Ma successivamente – anche se nel settore il concetto di last minute pare ormai un ricordo vintage – può accadere che il prezzo dell’ultimo sedile rimasto crolli negli ultimi minuti di vendita perché un passaggio aereo è un bene super deperibile essendo improduttivo se invenduto al momento del decollo (trattasi di un contesto dove non esistono giacenze di magazzino smerciabili in un secondo momento). Passando ad un altro servizio di trasporto, la tariffazione dinamica di Uber vale solo per gli incrementi di prezzo (surge pricing) e gli utenti ne sono adeguatamente informati: quando c’è un picco di domanda in una determinata zona cittadina, il costo di una corsa può incrementare fino al doppio (e pazienza se si è rilevato che il sistema invoglia gli autisti a dirigersi verso le zone più remunerative lasciando sguarnite quelle a tariffa base. E poco importa se gli autisti fanno log-out congiuntamente dal servizio affinché sembri che ci siano poche auto disponibili, e poi – tempo che il prezzo aumenti – rientrano sulla piattaforma).
• Elemento temporale: un classico, perché la stagionalità e più in genere il fattore temporale incide tradizionalmente sulla domanda di mercato influenzando il prezzo d’offerta. Ad esempio, l’utente medio è pienamente consapevole che i prezzi online di un hotel in una località turistica saranno più elevati durante il weekend o nella settimana centrale di agosto;
• Meteo: in Italia i biglietti degli eventi sono ancora quasi tutti a prezzo fisso. Ma presto potremmo adeguarci a quanto accade, ad esempio, negli USA dove il prezzo di una partita o di uno show all’aperto possono variare a seconda delle previsioni metereologiche, o dove il biglietto di alcuni cinema potrà risultare più caro in una piovosa domenica pomeriggio. Certo, bisogna sempre preconizzare quelle che potrebbero essere le reazioni del pubblico: a cavallo del millennio, gli affezionati della Coca Cola bersagliarono di critiche le vending machine di recente introduzione che alzavano i prezzi nelle giornate più calde, al punto che l’iniziativa fu presto abortita (si badi, Coca Cola è “tornata sul pezzo” progettando una nuova generazione di distributori smart con riconoscimento facciale, intelligenza artificiale e chatbot addetto al customer support);
• Mutamento improvviso dello scenario di mercato: può accadere che un evento inatteso cambi nel pubblico la percezione del valore di un bene e che si debba rivederne repentinamente il prezzo. Questo può, ad esempio, accadere per un prodotto balzato agli onori delle cronache a causa di un grave difetto (si pensi, ad esempio al caso della batteria esplosiva del Samsung Galaxy 7 Note) o perché fortemente sconsigliato da un’autorità (ad esempio, si consideri la “fatwa” emessa dall’intelligence USA contro i dispositivi Huawei sospettati di spiare gli americani per conto di Pechino). E ancora, può urgere un ribassamento d’offerta per un viaggio verso una destinazione colpita da un evento che inquieta il pubblico (cataclisma, rovescio politico, atto terroristico, etc.), così come il timore di una pericolosa pandemia influenzale può far schizzare in alto il prezzo di mascherine protettive (il Codacons ha registrato rialzi online fino al 400% per l’allarme Coronavirus). Questi esempi indicano che in alcuni casi l’algoritmo deve essere prontamente informato dall’uomo. Val la pena ricordare quanto Uber sia stata criticata per non aver adattato o disattivato il surge pricing nelle immediatezze di un attacco terroristico nel cuore di Londra che aveva generato un repentino picco di richieste. Gli iscritti che cercavano un modo per fuggire dalla zona hanno interpretato come puro atto di sciacallaggio il prezzo raddoppiato delle corse;
• Monitoraggio della concorrenza: è normale per un retailer di e-commerce “riprezzare” un bene offerto se l’algoritmo adottato per monitorare le “vetrine” della concorrenza si accorge che i competitor stanno vendendo la medesima cosa a costi differenti. Amazon, ad esempio, lo fa costantemente perché desidera risultare sempre il miglior offerente, ma il mercato è ormai pieno di tool e servizi che consentono ai rivenditori di sorvegliare in tempo reale le mosse altrui suggerendo in automatico gli opportuni aggiustamenti tariffari;
• Monitoraggio del gradimento: alcuni e-shop consentono agli utenti di rilasciare commenti sul prodotto. Sono feedback che consentono di rilevare il gradimento generale (anche nel tempo) e quindi di preconizzare la curva della domanda. Ad esempio, se una Action Cam subacquea lanciata sul mercato in inverno è ben accolta dagli utenti di un sito nei primi 2 mesi di recensioni è probabile che sarà (a parità di costi e numeri di produzione) proposta un prezzo maggiore all’inizio della stagione balneare;
• Segmento geografico: il paese (o macro-area) da dove proviene la richiesta è spesso un fattore. La stessa Action Cam di cui sopra potrà risultare più cara a luglio per gli utenti italiani mentre un prezzo inferiore potrà essere visualizzato per l’acquirente australiano la cui stagionalità è diversa dalla nostra.

Insomma, gli operatori online possono ricorrere a svariate strategie di price intelligence, anche combinando le diverse tecniche disponibili in base alle proprie esigenze di ottimizzazione. I big data, ovviamente, in un contesto del genere possono fare la parte del leone perché offerti in pasto ad un algoritmo machine learning possono elevarne progressivamente le capacità di calcolo, il numero di elementi da considerare e, di conseguenza, aumentarne le performance: rafforzando di continuo le capacità di sviluppare interazioni complesse in base ad una crescente moltitudine di variabili, in ogni momento il prezzo giusto sarà quotato da un’intelligenza sempre più autonoma e in grado di restituire informazioni sempre più precise.

1.2 – La tentazione di personalizzare il prezzo sull’utente

Nessuno dei meccanismi di dynamic pricing cui si è accennato nel paragrafo precedente – e con cui l’homo digitalis ha già una qualche familiarità – sembra considerare le caratteristiche individuali del potenziale acquirente tra le variabili esogene che rendono flessibile il tariffario. Sono business strategy neutre rispetto alla singolarità dell’utente: puntano a massimizzare i margini di profitto e, al contempo, possono talora permettere ai consumatori più attenti (quelli che ne colgono, o a cui è segnalata, la logica di fluttuazione) di accedere a prezzi inferiori alla media e, dunque, di risparmiare. In tali casi si potrebbe affermare che queste strategie hanno un valore socialmente utile, perché consentono sia al venditore che al compratore di conseguire vantaggi senza dover cedere contropartite di alcun genere.

Sintetizzando, esiste un dynamic pricing che ottimizza domanda e offerta lavorando su sofisticati modelli matematici che non contemplano la specificità del singolo individuo.

A nessuno può tuttavia sfuggire che, dal punto di vista del venditore, il modello sarebbe profondamente migliorabile se il set di variabili considerate potesse incorporare la propensione all’acquisto del singolo consumer attingendo automaticamente alle innumerevoli tracce elettroniche che egli rilascia di continuo sul web per rielaborarle altrettanto automaticamente. Nell’era digitale questo è tecnicamente possibile perché gli indicatori utili a ricostruire lo “status” e le inclinazioni del singolo consumatore sono disponibili in Rete, così come non mancano efficienti strumenti di data mining e di analisi evoluta di dati e metadati.

Ma prima di consentire ad un’intelligenza artificiale di svolgere attività – per l’appunto – di intelligence finalizzata alla profilazione individuale e alla quotazione one-to-one, è consigliabile fermarsi a riflettere per valutarne le implicazioni e preconizzare le possibili ricadute.

Val la pena, a tal fine, fare un poco di cronistoria su alcuni casi di tergetizzazione del prezzo basata sugli user data individuali.

1.3 – Differenziazione del prezzo basata su “external data” dell’utente

Nel settembre 2000 un utente di Amazon si accorse che il prezzo di un DVD si era ribassato non appena egli aveva cancellato i cookie dalla cronologia del suo pc. Questo significava che la piattaforma ficcava il naso nelle memorie dei dispositivi utenti per capire se ci si trovasse di fronte ad un visitatore abituale, discriminando in pejus quest’ultimo rispetto al nuovo visitatore cui eran riservate offerte più vantaggiose sul medesimo bene: una strategia per attirare il cliente prospect non propriamente fair e, soprattutto, poco trasparente. Jeff Bezos, dopo aver inizialmente cercato di qualificare l’accaduto come accidentale e legato ad alcuni “test randomici” sulla politica dei prezzi, si scusò pubblicamente per il differential pricing garantendo la restituzione del costo eccedente a coloro che avevano comprato un bene a prezzi discriminati sulla base delle loro precedenti visite su Amazon. Il CEO del colosso di Seattle garantì, inoltre, che “Amazon non differenzierà mai i suoi prezzi in base a criteri demografici” (leggi qui da ABC News).

Nel 2012 emerse (vedi qui sul WSJ) che Staples.com, sito del leader USA della rivendita dei prodotti di cancelleria, differenziava fortemente i prezzi in base alla posizione geografica della richiesta. Una ricerca effettuata da un indirizzo IP attiguo ad un negozio concorrente comportava la visualizzazione di un prezzo inferiore (anche del 10%) rispetto ad una proveniente da una zona neutra o presidiata soltanto da un punto vendita di Staples.

Sempre nel 2012 si scoprì (vedi qui sul Time) che il popolare sito di viaggi Orbtiz.com aumentava i prezzi fino a un +30% per gli utenti Mac che interrogavano il sito. Il sillogismo automatizzato era tanto astuto quanto elementare: il Mac costa generalmente di più rispetto ad altri computer e quindi l’utente Mac è più disponibile a spendere.

Dunque, ci sono automatismi di dynamic pricing che lavorano su dati basici ottenuti dalla semplice interazione con il dispositivo dell’utente. Analizzando cookie tecnici e informazioni desumibili dai protocolli di comunicazione, si possono creare cluster differenziati di consumatori cui riconnettere tariffe ad hoc.

In un articolo su Harvard Business Review del 2017, il pricing strategy consultant Rafi Mohammed (qui il suo sito) aveva raccontato come la medesima query riguardante il medesimo volo possa restituire risultati differenti a seconda del dispositivo utilizzato e della sua geolocalizzazione. L’algortimo di molti flight search engine è istruito per quotare un prezzo più elevato in risposta ad una richiesta proveniente – ad esempio – in orario d’ufficio da un laptop di ultima generazione ubicato in una prosperosa downtown. Viceversa, sarà visualizzato un prezzo inferiore al richiedente che interroga il sistema a tarda notte da un pc fuori produzione, localizzato in periferia e che magari “gira” su un sistema operativo open source.

Rafi Mohammed non si meraviglia di tutto ciò e paragona la strategia automatizzata a quella messa in pratica da decenni da quelli che sono considerati i professori del dynamic pricing in versione “offline”: i rivenditori di auto americani.  Costoro – ben più dei colleghi europei – hanno sempre customizzato i prezzi al momento, dopo aver messo in pratica quella che è la loro vera arte: capire quanto il cliente è disposto a spendere osservando come è vestito, con che mezzo è arrivato in concessionaria, su quali modello cade l’occhio a lui (o alla sua compagna che sarà a sua volta “attenzionata”), interagendo amichevolmente per capire se ha una famiglia numerosa, se fa un lavoro che necessita cura dell’esteriorità, se denota sicurezza di sé o è in qualche modo manipolabile, e così via. In altre parole, tradizionalmente nell’autosalone d’oltreoceano il prezzo è in parte costruito su una rapida analisi di quelli che potremmo definire i “dati esteriori” del potenziale acquirente.

1.4 – Parentesi sul destino dei rivenditori umani e sulla disoccupazione tecnologica

L’interessante parallelismo proposto da Mohammed potrebbe essere esteso ad altri settori. Ad esempio, a quello degli agenti immobiliari che spesso hanno pochi minuti di tempo per “scansionare” il potenziale acquirente e per formulare un’offerta mirata che appaia conveniente pur consentendogli di massimizzare il proprio margine di guadagno. Sono mestieri che però rischiano di scomparire: nella loro versione tradizionale, sia i rivenditori d’auto che gli agenti real estate sono minacciati da tensioni macroeconomiche che richiedono la progressiva eliminazione di certe figure dedite all’intermediazione. Nel giro di qualche anno i consumatori sono divenuti meno disponibili a dialogare e trattare con un professionista della vendita perché, a suon di acquisti online nel day-by-day, si stanno fisiologicamente abituando alle regole dell’e-commerce dove non si deve continuamente “tirare sul prezzo”, dove si accede direttamente alle occasioni del momento e dove i costi di intermediazione sono assenti o non percepibili. I produttori di auto e i proprietari di immobili desiderano, dal canto loro, tagliare i costi legati alla presenza di man in the middle non strettamente necessari.

E’ in qualche modo paradossale che i maestri della “sartorializzazzione” del prezzo siano i primi a rimetterci il posto… proprio ora che la tariffazione personalizzata ha la sua chance per affermarsi su larga scala. Il modello di business sta cambiando e pare ineluttabile che, anche in questi settori, l’opera di “inquadramento” del cliente un tempo affidata all’intuito e alla professionalità di venditori umani sia progressivamente demandata ad algoritmi istruiti per reperire a distanza gli indizi utili alla costruzione del prezzo personalizzato.

Nulla di cui stupirsi, anche per chi – come il sottoscritto – non vanta alcuna competenza in scienze socio-economiche. Il progresso tecnologico ormai tende a trasformare ed “efficientare” quasi tutti i processi, e non guarda in faccia a nessuno: l’automazione che in un secolo ha decimato la manodopera artigianale, agricola ed industriale, da qualche tempo ha messo seriamente nel mirino attività, ruoli e mansioni che, fino a pochi lustri fa, si credeva solo gli umani potessero ricoprire. Nelle metropoli, l’efficienza dell’e-commerce sta spazzando via gran parte di quei negozi (alimentari, librerie, boutique, etc.) che erano a stento sopravvissuti al prepotente avvento della GDO (grande distribuzione organizzata) e dei megastore ed ora punta ad estromettere questi ultimi (in Italia vedasi, tra le altre, le crisi di Trony e Mercatone Uno) perché in prospettiva è il concetto di punto vendita in sé l’elemento della filiera destinato ad esser individuato come eliminabile in quanto scarsamente produttivo: la merce si ordina e si riceve a casa con costi inferiori per venditore e acquirente. E per gli ostinati che vorranno continuare frequentare un negozio fisico (per poter “toccare con mano” i prodotti o semplicemente per passare il tempo), in futuro potrebbero trovare dietro l’angolo di casa esercizi come Amazon Go: niente casse ad attenderli ma occhi elettronici e intelligenza artificiale, si preleva la merce dagli scaffali e si va dritti a casa perché le spese sono addebitate esattamente come un acquisto online. Una soluzione con cui Amazon ottiene un doppio vantaggio: non deve impiegare cassieri e, al contempo, si tracciano i percorsi, i comportamenti e le scelte dei clienti all’interno del negozio accumulando così una mole di informazioni commercialmente preziose sia a livello aggregato che a livello individuale.

Il quadro, in termini occupazionali, può assumere tinte ancor più fosche: si ponga che il Gruppo X, un tempo leader nella rivendita di elettrodomestici ed elettronica in genere, preso atto che il proprio e-shop deve necessariamente diventare il canale primario di vendita, chiuda buona parte dei propri megastore fisici riallocando (non si sa bene come) il grosso del personale a nuove mansioni correlate all’e-commerce. Come farà il Gruppo X a sopravvivere – e quindi a salvaguardare migliaia di posti di lavoro – in un mercato digitale dove si aggirano colossi internazionali che hanno già un enorme vantaggio competitivo e una posizione dominante (guadagnata grazie ad un approccio visionario e rivoluzionario, ponendo tecnologia e innovazione al centro di tutto, sviluppando una logistica impressionante…  e talora, va detto, potendo risparmiare gravami fiscali solitamente riservati a chi opera sul mercato UE)?

Quando si parla di e-commerce, il problema non è riuscire concorrere con i più grandi ma, più semplicemente, restare in vita in un ambiente caratterizzato da formidabili polarizzazioni. Superpotenze del calibro di Amazon (che assorbe il 36% del mercato globale) e Alibaba (gigante cinese che prima o poi potrebbe sbarcare seriamente in Italia con la piattaforma più grande al mondo e oltre mezzo miliardo di utenti iscritti), ad là della loro forza tecnologica ed organizzativa, hanno un ulteriore vantaggio quasi impossibile da colmare: i loro inventari sono enciclopedici, se “acchiappano” il cliente con un prodotto e lo fidelizzano (altra qualità in cui eccellono), si propongono come interlocutore unico per l’e-shopping, gli possono vendere ogni genere di cosa a prezzi spesso ineguagliabili.

Nel mondo occidentale, il valore di Amazon è superiore a quello derivante dalla somma di tutte le restanti attività online di rivendita al dettaglio. Registrando nel tempo tutte le ricerche e gli acquisti effettuati da centinaia di milioni utenti della propria piattaforma, Amazon dispone di una quantità formidabile di informazioni sulle migliori tecniche di vendite al dettaglio, su come strutturare gli annunci pubblicitari, su come creare engagement, su come stimolare o anticipare più possibile la domanda di mercato. È un vantaggio che nessun altro concorrente ha. Ciò che può apparire paradossale è che non sono i miliardi di acquisti fatti dai clienti a generare i veri profitti (mantenendo i prezzi al minimo, i margini sono ridotti e – a differenza degli altri – può anche coprire ampie perdite nel settore). Amazon guadagna grazie alle sottoscrizioni di servizi premium B2C come Amazon Prime (1 americano adulto su 4 paga 99$/anno), alle inserzioni pubblicitarie (11 miliardi USD/anno) e alla vendita di servizi tecnologici per aziende come Amazon Web Services (58% dei guadagni totali, 7.7 miliardi USD nel solo primo trimestre 2019, 40% del mercato cloud computing).

Tra i servizi B2B che generano introiti rilevanti c’è, ovviamente, anche quello che consente a produttori e rivenditori di utilizzare il marketplace di Amazon come proprio e-shop. Chi non riesce ad emergere in ambito e-commerce ha pertanto un’ultima opzione: pagare un canone al colosso di Seattle per poter vendere sulla sua piattaforma, fruendo così di una visibilità imparagonabile. Dunque, tornando all’esempio precedente, il Gruppo X potrebbe sopravvivere grazie al salvagente lanciato dal medesimo transatlantico che l’aveva speronato nell’oceano della vendita al dettaglio. Ma anche qui possono insorgere controindicazioni. S’era ipotizzato che il Gruppo X, una volta costretto a chiudere i punti vendita, avesse poi puntato tutto sull’e-commerce riuscendo – convertendo le loro competenze – a non licenziare migliaia di addetti. Tuttavia, può accadere che il management presto si renda conto che il negozio online non riesce a reggere la concorrenza dei colossi, e allora decida di affidarsi ad Amazon che – oltre a garantire visibilità globale – esegue ad un costo di commissione minimale il grosso del lavoro grazie a servizi preimpostati e già ottimizzati (gestione tariffario, ordini, sistemi antifrode, report e analisi, supporto, pubblicità, spedizioni). A quel punto, molte delle mansioni risulteranno superflue e sarà davvero arduo evitare massici tagli di personale. L’affiliazione porta con sé un altro caveat: è capitato che Amazon si accorgesse del successo ottenuto da un prodotto proposto sul suo marketplace da un rivenditore e che – fatti due rapidi conti – decidesse di internalizzare la vendita, ossia di acquistare il bene direttamente dal produttore per rivenderlo essa stessa ad un prezzo più basso rispetto al rivenditore affiliato. Quest’ultimo, in simili circostanze, non ha che due opzioni: decidere di concorrere con Amazon ribassando il prezzo del bene (minimizzando o azzerando il proprio guadagno) o, come accade il più delle volte, smettere di venderlo.

E dire che Amazon inizialmente era “solo” una libreria online.

Proseguendo in tema di innovazione digitale e occupazione, all’orizzonte c’è di più. La tendenza in atto non riguarda solo i posti di lavoro del mondo della vendita/rivendita al dettaglio. Le nuove soluzioni tecnologiche, e in particolare le applicazioni machine learning, nel giro di pochi anni potrebbero ridurre all’osso il numero di addetti necessari al funzionamento di svariate funzioni aziendali, a prescindere dall’oggetto sociale: contabilità e finance, H.R., gestione fornitori, marketing, customer care, recupero crediti, finanche l’ufficio legale (ad eccezione del contenzioso), non c’è area esente da progetti che prevedono il ricorso all’intelligenza artificiale come forma di surrogazione dell’apporto umano. E’ una prospettiva delineata da diversi studi socio-economici, ma che in alcuni contesti operativi si può già toccare con mano. Ad esempio, il sottoscritto presta da oltre 20 anni una forma di consulenza aziendale specialistica – quella in tema di privacy e protezione dati – che comporta il censimento e l’analisi di tutti i processi, o quasi, di cui si compone (quale che sia) un’attività imprenditoriale: può capitare, magari un anno con l’altro, di tornare da un cliente e di non trovare più un’intera funzione o di scoprirla grandemente ridimensionata. L’azienda non è in crisi e allora viene da chiedere cosa sia successo: il più delle volte mi rispondono che per ragioni di maggior efficienza le attività svolte dalla funzione sono state affidate in outsourcing, ma talora mi riferiscono che sono state semplicemente soppiantate da un software intelligente.

Se davvero, come sembra ineluttabile, in un futuro molto prossimo gli algoritmi fossero in grado di eseguire gran parte delle mansioni amministrative svolte da quadri e impiegati assisteremmo ad un fenomeno dirompente con ulteriori ricadute in termini di occupazione, welfare e disagi sociali di cui la politica mondiale farebbe bene ad occuparsi indefessamente fin d’ora, perché nella data driven economy le cose possono accadere più in fretta di quanto si pensi. In tutto questo, simili riflessioni dovrebbero prima o poi essere estese al comparto pubblico nonostante la pubblica amministrazione, specie quella nostrana, sembra ancora immune da questi processi evolutivi: ma non è detto che, presto o tardi, non arrivi il suo turno.

Ma quella della così detta “disoccupazione tecnologica” è un’altra storia rispetto a quella qui in esame (benché non possono sfuggire i nessi di correlazione). Dunque, chiusa la digressione, rientriamo prontamente nei ranghi del dynamic pricing.

1.5 – Il ricorso ad ulteriori informazioni derivanti dal rapporto diretto con l’utente

Per sviluppare le proprie strategie di dynamic pricing basate sull’utente, alcuni online store analizzano, come detto, le informazioni cui possono automaticamente accedere grazie ai protocolli di comunicazione: quale strumento è utilizzato, quale sistema operativo è in uso, se la richiesta viene da un sito o da un’app, il posizionamento geografico del dispositivo.

Oltre a ciò, l’algoritmo e-commerce potrà tenere conto di altre interazioni realizzatesi e storicizzate nell’ “ecosistema” del venditore. Ad esempio, quali utenti, potremmo aver sottoscritto un loyalty program acconsentendo alla profilazione della cronologia delle ricerche effettuate o degli acquisti conclusi sulla piattaforma commerciale. Esaminando in maniera organizzata queste informazioni “proprietarie”, il retailer conoscerà i nostri gusti e la nostra propensione alla spesa, e ne ricaverà un profilo in base al quale – grazie a tecniche automatizzate di clustering della clientela – potrà elaborare e proporre prezzi tagliati su misura.

Va detto che i web analytics possono consentire di differenziare i prezzi su base individuale anche senza dover ricorrere a programmi di fidelizzazione: se, ad esempio, qualcuno di noi eseguisse su un sito o un metasearch di viaggi una ricerca per un volo per la Polinesia in prima classe per 4 persone con hotel a 5 stelle lusso dal 1 al 29 agosto e annesso noleggio di un Hummer in aeroporto, l’algoritmo non dovrà essere dotato di particolare intelligenza (né dovrà conoscere tutta la storia dei nostri acquisti sul medesimo sito) per capire che vantiamo una determinata posizione socio/economica; semplicemente tenendo memoria della precedente ricerca, il sito potrebbe classificarci come consumatori abbienti e riservarci una quotazione lievemente più alta (rispetto ad altri utenti) per la successiva richiesta (ad esempio, un semplice Linate – Fiumicino a/r in giornata, che peraltro il sistema potrebbe classificare come “trasferta business” con ulteriori conseguenze sul prezzo visualizzato).

Tutto questo non dovrebbe stupirci né procurarci particolare fastidio purché la piattaforma di vendita sia trasparente e ci informi chiaramente sulla logica sottesa al sistema di tariffazione e sui criteri di profilazione. Ed è anche importante che ci indichi se e come possiamo rinunciare ad essere profilati e se un eventuale diniego può avere dirette conseguenze sulla disponibilità o l’efficienza del servizio.

1.6 – Lo sfruttamento di informazioni personali estranee al contesto di vendita

Fin qui, abbiamo elencato strategie di dynamic pricing le cui variabili sono basate su fattori neutri o impersonali (disponibilità del bene, stagionalità, etc.) oppure su informazioni individuali raccolte da fonti in qualche modo prevedibili (dati “esteriori” legati all’interazione con il dispositivo utente, analisi della history utente/venditore).

Qualsiasi iniziativa che preveda l’ulteriore allargamento del perimetro di analisi individuale deve essere vagliata con attenzione. Il timore – più che fondato – è che lo sviluppo impetuoso dell’economia basata sull’informazione digitale spinga gli operatori e-commerce ad adottare modelli di business che prevedono la micro-profilazione del consumatore basata su un’ampia opera di data mining della sua vita online.

Il passo in questione si concretizzerebbe laddove ai venditori fosse consentito di attingere, anziché alle “sole” informazioni derivanti dal rapporto intrattenuto con il consumatore, allo sterminato numero di tracce online rilasciate continuamente dall’utente su tutto il World Wide Web (ad esempio, consentendo la libera installazione di cookie traccianti e tecnologie affini nel dispositivo utente). Accedere ad una miriade di data point di natura e provenienza eterogena rappresenterebbe l’Eden per qualsiasi stratega commerciale armato di un qualche algoritmo capace di dare una logica ad ogni insieme di impronte elettroniche; perché solo così si ha una profilazione davvero completa, continuativa ed affidabile di caratteristiche, abitudini e propensioni individuali. Solo così il prezzo sarà, di minuto in minuto, quello “giusto”.

Se tutto ciò non fosse adeguatamente regolamentato, ci troveremmo davanti a qualcosa ancor più impattante nella vita delle persone rispetto alle attività di microtargeting elettorale emerse dal caso Cambridge Analytica. Significherebbe varcare una soglia di pericolo per addentrarsi in un territorio dove potrebbe mettersi in (ulteriore) discussione la sopravvivenza di principi etici socialmente condivisi e il rispetto delle libertà individuali.

1.7 – Un campanello d’allarme dagli USA

In proposito di quanto appena detto, un caso interessante è emerso non troppo tempo fa negli Stati Uniti con riguardo al comparto dell’aviazione commerciale.

Il leader della minoranza democratica al Senato americano Chuck Schumer ha, ad inizio 2018, chiesto alla Federal Trade Commission (FTC) di indagare sulle modalità di gestione dei prezzi praticati online dalle compagnie aeree.

Il senatore si è detto convinto che le compagnie stiano sviluppando un sistema di quotazione dinamica delle tariffe basato sulla profilazione degli utenti ad ampio raggio: tracciando le informazioni lasciate su Internet dagli interessati, un algoritmo sarebbe in grado di proporre prezzi differenziati in base alla presunta capacità di spesa e alle abitudini online del singolo individuo.

Schumer – come riportato dalla webzine di settore Traverlmarket Report – teme che l’industria aerea stia rivedendo le proprie strategie di revenue management “sniffando” la cronologia delle navigazioni web degli utenti per capire chi sono e quale sia il prezzo ultimo che sono in grado di sopportare. Tutto questo grazie anche, si sostiene, all’implementazione della nuova piattaforma New Distribution Capability (NDC) che l’International Air Transport Association (IATA) sta mettendo a disposizione dei propri membri e che – tra le varie nuove funzionalità – potrebbe permettere alle compagnie di effettuare maggiori correlazioni tra i propri sistemi di e-ticketing ed alcuni set di dati in grado di indicare la propensione agli acquisiti online dei singoli utenti.

Schumer è stato piuttosto aspro nel giudicare le condotte tenute negli ultimi anni dalle compagnie aeree: “Hanno già monetizzato ogni singolo centimetro dell’aereo: sedili più stretti, meno cibo, sovrapprezzi per un collo in più a bordo. E’ triste pensare che i vettori – o chi per essi nell’industria dei trasporti – vogliano spremere altri centesimi dalle tasche dei passeggeri attraverso l’analisi della cronologia dei loro cellulari o computer. Ed è una violazione dei loro diritti”. Schumer chiosa con ironia: “Il prezzo del tuo volo non dovrebbe decollare in base a chi sei”.

L’appello del senatore democratico è stato prontamente sottoscritto dall’associazione americana degli agenti di viaggio (ASTA) che già nel 2014 aveva chiesto l’intervento del Dipartimento dei Trasporti affinché fosse vietato alle compagnie di obbligare gli utenti a compilare form con informazioni personali non strettamente attinenti al volo, pena l’impossibilità di visualizzare le tariffe (il Department aveva accolto la richiesta, stabilendo che l’utente deve poter scegliere di restare in qualche modo anonimo fino al momento dell’acquisto).

La questione meritava di essere qui segnalata non solo perché di per sé sintomatica di una nuova attitudine al monitoraggio degli utenti ma anche perché in qualche modo simbolica, almeno per il tema qui in esame. Le airlines a stelle e strisce sono state, alcuni decenni addietro, le prime entità commerciali in assoluto ad adottare automatismi di dynamic pricing (benché in origine la fluttuazione del prezzo fosse basata solo su stagionalità e disponibilità in tempo reale dei posti disponibili). E probabilmente non è nemmeno casuale che la vicenda contestata dal senatore Schumer sia ambientata negli USA, ossia in un contesto regolamentare tradizionalmente teso a favorire la massima circolazione e fruibilità dell’informazione (anche privata) quale presupposto per la libera iniziativa personale e il libero sviluppo dell’economia senza che – tranne rare eccezioni – la privacy dei cittadini si frapponga a mo’ di ostacolo.

2 – IL QUADRO REGOLAMENTARE EUROPEO SULLA PROTEZIONE DEI DATI

2.1 – L’esigenza di definire con precisione limiti e regole

La questione riguardante la tariffazione dinamica basata su forme automatizzate di profilazione a distanza (più o meno opache o invasive) sembra destinata a diventare centrale. Come vedremo qui di seguito, l’Unione Europea ha predisposto principi in grado di regolamentare questa tematica ma occorre che si innesti a livello globale un serio ed ampio dibattito su:

• la legittimità dei processi decisionali automatizzati che mirano a condizionare le scelte degli internauti sulla base di algoritmi intelligenti che analizzano tracce individuali raccolte da una serie di fonti eterogenee;
• e, in stretta correlazione, quale sia il perimetro digitale legittimamente esplorabile dal micro-targeted dynamic pricing.

Consentire la differenziazione dei prezzi basata su forme occulte o opache di profilazione automatizzata individuale e continuata della vita online degli utenti, significherebbe autorizzare strategie di business in grado (almeno a livello potenziale) di procurare un doppio vulnus ai diritti individuali: grazie alla violazione della privacy dei consumatori si potrebbero attuare pratiche commerciali discriminatorie o comunque ingiustamente diversificate.

2.2 L’approccio proattivo della UE alla protezione dei dati

L’Europa si è data fin dalla metà degli anni ’90 del secolo scorso delle regole comuni ben precise riguardo alla tutela della privacy degli individui. Secondo l’approccio continentale alla materia, raccogliere e processare dati personali significa dover osservare delle regole ed assumersi delle responsabilità davanti alla legge.

Oggi, dopo oltre un ventennio dalla prima vera normazione continentale (la Direttiva 95/46) in tema di tutela dei dati personali, viviamo in un contesto socio-economico altamente digitalizzato dove i dati sono il motore di tutto (o quasi); dalle relazioni economiche a quelle sociali, l’anima del mondo occidentale si sta trasferendo online. Anzi, forse lo ha già fatto.

I cittadini europei possono sperare che, nel percorso migratorio verso territori virtuali inesplorati, non saranno abbandonati ad un far west digitale (ossia ad una landa in cui non ci sarebbe legge certa, dove spadroneggerebbero alcuni potenti latifondisti del web, dove impazzerebbero cyber-banditi che derubano sia i potenti e sia i deboli, dove lo sceriffo timido interviene solo quando si è sopito il fragore degli spari): non è detto che la UE avrà il peso politico necessario vincere una sfida che presenta connotati globali e ragguardevoli elementi di complessità, ma il vecchio continente vuole continuare a procedere nel segno della regolamentazione espressa e del controllo. I diritti e doveri di ciascuno passeranno ancora attraverso la codificazione dei principi di tutela e la sorveglianza del rispetto delle regole.

Per rispondere alle nuove esigenze, la disciplina sulla protezione delle informazioni personali è stata – ed è tuttora – oggetto di un’ampia opera revisione rappresentata dall’emanazione di due nuovi regolamenti, uno sulla protezione dei dati personali in generale (il Regolamento EU 2016/697-GDPR in forza dal 25 maggio 2018) e l’altro sul rispetto della vita privata e dei dati personali nelle comunicazioni elettroniche (regolamento ePrivacy, ancora in via di definizione e sostitutivo della Direttiva 2002/58/CE), entrambi di diretta applicazione in tutti gli Stati membri.

L’approccio proattivo della UE può costituire un driver a livello globale, dando vita ad un “effetto traino”. Lo avevamo ipotizzato tempo addietro (leggi qui in proposito) e la discussione innestatasi negli USA dopo il caso Facebook/Cambridge Analitica sembra confermare l’ipotesi: diversi politici e stakeholder USA spingono per una regolamentazione simile a quella europea, e lo Stato della California che nel 2018 ha emanato un Consumer Privacy Act (in forza dal gennaio 2020) che contiene alcuni principi e tutele paragonabili a quelle del GDPR. D’altronde, con l’entrata in forza del GDPR, gli operatori extra UE che vogliono trattare i dati di 500 milioni di europei devono rispettare le regole stabilite in tema di data protection dal vecchio continente. Ed allora, dal momento che agli utenti UE deve garantirsi un elevato grado di tutela, sarebbe difficile – non solo per Google, Amazon o Facebook – far digerire gli utenti extra UE la palese disparità di trattamento. Se non si procedesse ad omologazione delle politiche di data protection si configurerebbe una sorta di “dynamic privacy” con tutele differenziate a seconda della latitudine, una pratica sostanzialmente discriminatoria che potrebbe ingenerare un putiferio di polemiche e parecchi danni d’immagine agli operatori e-commerce che si rivolgono sia all’utenza continentale che a quella extra UE.

Procediamo dunque a breve elencazione dei principi GDPR che interessano il fenomeno della profilazione finalizzata ad una tariffazione di e-commerce dinamica ed automatizzata.

2.3 – Le regole applicabili al dynamic pricing strutturato su base individuale

Tutto ciò che, nelle diverse pratiche di dynamic pricing, provoca una fluttuazione di prezzo basata su informazioni relative ad una persona fisica identificata od identificabile comporta l’applicazione della normativa sulla protezione dei dati personali.

D’altro canto, la definizione di dato personale resa dal GDPR all’art. 4 è molto amplia: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale ”. Basta che l’algoritmo assuma decisioni in base ad un cookie identificativo o ad un indirizzo IP dell’utente e ci si trova davanti ad un trattamento di dati personali cui si applicano i principi del GDPR.

In riferimento al tema in esame, il più delle volte i dati presi in considerazione saranno molteplici e su di essi saranno eseguite valutazioni automatizzate mirate a costruire il prezzo desiderato. In tal caso, il trattamento consisterà in un’attività di profilazione che il GDPR (art. 4, par.1) definisce come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

La profilazione è costituita da tre elementi:

• deve essere una forma di trattamento automatizzato;
• deve essere effettuata su dati personali;
• il suo obiettivo deve essere quello di valutare aspetti personali relativi a una persona fisica.

Alla profilazione può talora riconnettersi un’ulteriore attività, anch’essa considerata dal GDPR, consistente in un processo decisionale automatizzato. Come evidenziato dal Gruppo di Lavoro Articolo 29 per la Protezione dei Dati (oggi Comitato Europeo per la Protezione Dati – EDPB) nel documento WP251 “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679”, il concetto di processo decisionale automatizzato ha una portata diversa da quella della profilazione, a cui può sovrapporsi parzialmente o da cui può derivare. Il processo decisionale esclusivamente automatizzato consiste nella capacità di prendere decisioni impiegando mezzi tecnologici senza coinvolgimento umano. Le decisioni automatizzate possono essere basate su qualsiasi tipo di dati, ad esempio:

• dati forniti direttamente dall’interessato (come le risposte a un questionario);
• dati osservati riguardo a una persona (come i dati relativi all’ubicazione raccolti tramite un’applicazione);
• dati derivati o desunti, come un profilo della persona che è già stato creato (come un rating sull’affidabilità creditizia dell’individuo).

Le decisioni automatizzate possono essere assunte prescindendo dalla profilazione, la quale a sua volta può svilupparsi senza che vengano prese decisioni automatizzate. Tuttavia, la profilazione e il processo decisionale automatizzato sono attività ben complementari tra loro; assieme, possono fornire soluzioni innovative e rispondenti alle pressanti esigenze di una digital economy perennemente affamata di efficientamento.

In ambito e-commerce, la profilazione finalizzata ad alimentare un dynamic pricing targettizzato ed individualizzato è indubbiamente strumentale ad un processo decisionale automatizzato.

Il Regolamento europeo non fa divieto assoluto di dar luogo a decisioni automatizzate basate su operazioni di profiling (con il GDPR, che piaccia o meno, il Legislatore si è proposto di aggiornare all’era digitale la regolamentazione dell’economia dei dati e non ostacolarla con scelte proibizioniste e anti-storiche). Ma il GDPR ravvisa possibili rischi significativi per i diritti e le libertà degli individui riconnessi a:

• la tendenziale opacità dei processi e meccanismi automatizzati che porta spesso l’individuo, oggetto di profilazione, a non esserne a conoscenza;
• la creazione di prospetti che potrebbero “inscatolare” l’interessato in una categoria condizionando così le sue scelte e, in alcuni casi, portando anche a forme di discriminazione.

Per questo, il titolare del trattamento può attivare processi decisionali automatizzati basati sulla profilazione purché sia in grado di soddisfare tutti i principi del GDPR e disponga di una base legittima per il trattamento.

2.4 – Informazioni chiare agli utenti

Il primo principio del GDPR da tenere in considerazione è quello concernente l’obbligo trasparenza verso l’interessato. E’ un principio cardinale per qualsiasi attività di trattamento, ma assume una rilevanza ancor più marcata in riferimento ai processi decisionali automatizzati scaturenti da un’opera di profilazione. Spesso il processo di profilazione è invisibile all’interessato, così come può esserlo l’automatismo che genera effetti differenziati a seconda di un profilo piuttosto che un altro.

Questo può accadere perché il titolare del trattamento (colpevolmente) ignora che informare l’utente su questi aspetti sia un precetto fondamentale della normativa di privacy: sono ancora innumerevoli le start-up che lanciano siti o applicazioni mobili connotate da feature ad elevato “impatto privacy”, senza che agli utenti sia adeguatamente spiegato cosa accada, come e perché ai loro dati personali.

Non mancano, poi, casi in cui l’opacità delle informazioni rese all’utenza sia frutto di una scelta mirata e consapevole anziché di mera sprovvedutezza. E’ presumibile che alcuni operatori del web non vogliano richiamare l’attenzione degli utenti sul fatto che essi personalizzano i prezzi su base individuale, questo nel timore che la pratica sia percepita come eticamente squalificante o addirittura discriminatoria (non è facile far passare un messaggio del tipo: “Gentile interessato, l’analisi automatizzata dei data point che ti riguardano potrebbe informarci che in un dato momento il tuo profilo denota una maggiore propensione alla spesa rispetto ad altri utenti; per questo potremmo talora proporti prezzi più alti della media”). Ed allora qualcuno potrebbe ritenere opportuno ostacolare la comprensione dei suddetti meccanismi ricorrendo ad un linguaggio generico o ambiguo o oscuro, oppure rendendo faticoso il reperimento delle informazioni.

Ma il GDPR sul punto è indisponibile a compromessi. Il Regolamento dispone in capo al titolare l’obbligo di fornire anticipatamente specifiche informazioni sia qualora i dati siano raccolti presso l’interessato (art.13) sia qualora i dati non siano ottenuti presso terze fonti (art.14). Le caratteristiche salienti del trattamento devono essere rese in modo chiaro, accurato e comprensibile, specie in riferimento alla logica utilizzata e alla finalità perseguita. E, dunque, se un sito o un app sfruttano – ad esempio – un set di cookie identificativi e profilanti al fine di personalizzare un prezzo, l’evenienza andrà distintamente esplicitata così come la finalità specificamente perseguita. Non varranno, in tal senso, le formulazioni generiche in cui spesso ci si imbatte nel web laddove ci informano che i dati saranno utilizzati “per migliorare l’esperienza di navigazione”, o per generiche finalità di marketing o di cybersecurity. E nemmeno potranno dirsi corrette quelle indicazioni che, pur lasciando trasparire una qualche forma personalizzazione, rimangono astutamente approssimative: ad esempio: “raccogliamo i tuoi dati per fornirti servizi migliori e personalizzati”.

Parimenti, potrà considerarsi illecito l’approntamento di informative connotate da verbosità biblica o eccessivamente complicata (ad esempio, smisurato ricorso al “legalese” o riversamento di uno tsunami di tecnicismi sul funzionamento di un algoritmo con apprendimento automatico): non è consentito ricorrere a tali stratagemmi per scoraggiare lettura e/o ostacolare la comprensione dei contenuti.

Chi intende profilare l’utente per finalità di dynamic pricing dovrebbe usare un linguaggio semplice, piatto ed informale per:

• avvisare che i dati personali saranno analizzati ed utilizzati in modo automatizzato per personalizzare i prezzi su base individuale;
• descrivere con semplicità quali informazioni saranno “date in pasto” al sistema e per quanto tempo saranno conservate;
• spiegare la logica con cui le informazioni saranno processate e le sue conseguenze sul prezzo visualizzato. Sarà, in tal senso, importante fornire qualche esempio elementare sui fattori presi in considerazione per il processo decisionale e sulla rispettiva incidenza;
• preavvertire circa l’eventuale condivisione dei dati con terze parti e le relative motivazioni;
• segnalare come rendersi indisponibili alla profilazione e quali siano le conseguenze del diniego iniziale o successivo;
• ricordare all’interessato la legge che gli riconosce importanti diritti sui propri dati e indicare come agevolmente esercitarli.

Non conviene, approcciare l’obbligo di informativa in modo ambiguo se non si vuole rischiare di incorrere in pesanti sanzioni. E, tutto sommato, la logica della piena trasparenza imposta dal GDPR potrebbe rivelarsi una buona leva su cui impostare una nuova communication strategy: i consumatori non gradiscono scoprire che un brand di cui si fidano trama alle loro spalle o adotta pratiche poco chiare. In tutti i sensi, conviene giocare a carte scoperte, anche perché molti utenti stanno imparando a riconoscere rapidamente alcuni elementi distintivi che denotano affidabilità della controparte in tema di data privacy e data protection.

2.5 – Liceità del trattamento

Generalmente affinché un trattamento sia lecito è sufficiente che l’attività sui dati personali poggi su una (o più) delle molteplici legal basis elencate all’art. 6 del GDPR: consenso dell’interessato, obbligo di legge, contratto con l’interessato, salvaguardia di interessi vitali dell’interessato, esecuzione di compiti pubblici, legittimo interesse del titolare o dell’interessato. Ci sono, invece, casi in cui un determinato trattamento è di principio vietato, salvo ricorrano specifici presupposti di liceità. Sarà, questo, il caso dei dati che la normativa ritiene più delicati, come:

• i dati particolari di cui all’art. 9 del GDPR (stato di salute, dati genetici o biometrici, etnia, convinzioni religiose, sindacali, etc.), i quali non possono esser trattati salvo ricorra almeno una delle condizioni previste al par. 2 del medesimo articolo;
• o dei dati relativi a condanne penali e reati di cui all’art. 10, trattabili solo quando ciò sia autorizzato da una norma specifica dell’Ordinamento.

Il GDPR dispone ulteriori divieti generali di trattamento che si attivano – anziché in base al tipo di dati trattati – in relazione a specifiche categorie di interessati meritevoli di maggior tutela (ad esempio, veto di offrire servizi online ai minori ex art. 8) oppure in riferimento ad attività di trattamento ritenute maggiormente critiche in ragione delle particolari conseguenze che possono produrre sugli interessati. Ed è in quest’ultimo contesto logico che il Regolamento incasella i processi decisionali automatizzati derivanti da profilazione, dedicandovi specifica attenzione e disponendo un divieto generale (salvo eccezioni).

L’art. 22, par. 1 del GDPR afferma: “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.”

Il riferimento agli “effetti giuridici” concerne, ovviamente, l’impatto che una decisione automatizzata può produrre sulla sfera giuridica dell’individuo (ad es. penalizzando il diritto di associazione, di voto, di libertà negoziale, di libera circolazione, etc.). Oltre a questo la norma apre anche alle circostanze che “in modo analogo” possono potenzialmente e significativamente influenzare i comportamenti e le scelte degli individui interessati. Orbene, pare indubbio che un sistema di dynamic pricing automatizzato e targettizzato su base individuale sia in grado di produrre effetti condizionanti sull’interessato. Di tale avviso sono anche le citate Linee Guida WP251 laddove – in una esemplificazione contenuta al § IV.B – rilevano che “Anche un processo decisionale automatizzato che si traduce in una fissazione dei prezzi differenziata basata su dati personali o caratteristiche personali potrebbe incidere in maniera significativa (…)”.

L’art. 22 al par. 2 prevede tre eccezioni al divieto generale di un processo decisionale completamente automatizzato che porti effetti nella sfera giuridica dell’individuo. Il trattamento è lecito se:

1. la decisione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
2. la decisione è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento (eccezione che qui non analizzeremo perché è improbabile che una norma ammetta de plano le fattispecie di dynamic pricing di cui al presente scritto);
3. la decisione si basa sul consenso esplicito dell’interessato.

Tra queste eccezioni, il reperimento del consenso informato ed esplicito dall’interessato appare l’opzione più sicura per superare la proibizione e legittimare il trattamento. Dunque, si dovrebbe informare compiutamente l’utente e chiedergli autorizzazione specifica all’esecuzione di trattamenti profilanti per finalità di personalizzazione automatizzata dei prezzi d’offerta. Come sottolineato nel WP251, il titolare del trattamento che intende fare affidamento sul consenso dovrà dimostrare che gli interessati comprendono esattamente a cosa stanno acconsentendo.

Ma – inutile ignorarlo –, in simili contesti, il titolare farebbe volentieri a meno di raccogliere il consenso. Da un lato, si tratta di un aggravio procedurale (bisogna approntare campi informatici, far soffermare e convincerlo l’utente affinché esegua un’azione assertiva, archiviare in modo sicuro tali asserzioni a fini probatori, etc.), dall’altro impone l’esplicitazione di un pratica commerciale che parte dell’utenza potrebbe non gradire. Analogamente a quanto abbiamo già considerato in tema di trasparenza delle informazioni, è indubbio che diversi rivenditori preferirebbero ricorrere a soluzioni di legittimazione che non destino l’attenzione dell’interessato riguardo la logica di targeted pricing che anima il loro modello di business: considerato che la grande maggioranza degli utenti non legge le informative di privacy, se l’utente non è chiamato a “flaggare” la propria disponibilità alla profilazione, può darsi che la particolare modalità attraverso cui sono costruiti i prezzi resti sconosciuta agli interessati.

Stando al par. 2 dell’art. 22 del GDPR, per comprendere se gli è possibile procedere lecitamente in assenza del consenso dell’interessato, al titolare non rimane che valutare se il trattamento in questione sia “necessario alla conclusione o all’esecuzione di un contratto” di cui l’interessato è parte. Qualcuno potrebbe pensare che il concetto di “necessità contrattuale” possa essere inteso in senso ampio e che, dunque, la variazione automatizzata dei prezzi basata sulla profilazione sia qualificabile come parte integrante del rapporto negoziale per il semplice fatto che il venditore ritiene più utile e profittevole adottare questa modalità di tariffazione. Ma sillogismi del genere non sono ammessi. Il termine “necessario” legato alla fattispecie negoziale è da intendersi in senso stretto come da interpretazione ripetutamente confermata da diverse corti nazionali ed europee, fin dagli albori applicativi della pensionata Direttiva 95/46; e di certo non può genericamente sostenersi che i trattamenti finalizzati al personalised pricing siano strettamente indispensabili all’attività principale che rimane la vendita di un bene o servizio. In tema di “necessità contrattuale” della profilazione, la stessa contrarietà è espressa le Linee Guida WP251 secondo cui: “Il titolare del trattamento deve essere in grado di dimostrare che questo tipo di trattamento è necessario, tenendo conto della possibilità di adottare un metodo più rispettoso della vita privata. Se esistono altri mezzi efficaci e meno invasivi per il conseguimento del medesimo obiettivo, allora il trattamento non sarà necessario” (§ 4.C.1). Parimenti, le Linee Guida 2/2019 EDPB concernenti “Servizi online e base giuridica contrattuale ex art. 6.1.b GDPR” giudicano inidonea la base giuridica contrattuale per legittimare le attività di online behavioural adeveritsing (vedasi § 3.3) e quelle di personalizzazione dei contenuti dei servizi online (vedasi § 4.4).

Alla luce di quanto sopra, il consenso specifico del consumatore è il presupposto – in buona sostanza – indefettibile per poter lecitamente adottare politiche tariffarie imperniate su algoritmi di dynamic princing targettizzato.

Lo si ripete: informare correttamente l’interessato e chiedergli il permesso per poter analizzare le sue tracce individuali (in grado di svelare connotati, inclinazioni e abitudini, seppure per prospettargli sconti e benefici) non è solo opera indispensabile ad evitare le pesanti sanzioni del GDPR ma può anche giovare all’immagine dell’azienda, essendo tangibile testimonianza che essa si rapporta con la clientela con la dovuta fairness.

Ciò detto, è bene ricordare che, al di là di ogni valutazioni di opportunità, la raccolta del consenso è comunque obbligatoria quando un sito o un app installi cookie di profilazione installati nel dispositivo dell’utente al fine di ottenere informazioni sul comportamento (eventualità tutt’altro che improbabile in un contesto di e-pricing micro-targettizzato). L’obbligo di ottenere un opt-in informato per queste forme di tracciamento automatizzato è tutt’oggi imposto dalla pur vetusta Direttiva ePrivacy (“Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche”) e, in Italia, dall’art. 122 del D.Lgs. 196/2003 – Codice Privacy. E si badi che il titolare, nel raccogliere adesione all’opera di profilazione, non potrà ricorrere ad astuzie come la “classica” casella pre-spuntata (in tal senso anche la Corte di Giustizia UE con recente sentenza C-673/17 del 1 novembre 2019).

Il consenso sarà obbligatorio anche quando si intenda raccogliere “dati sensibili” – ad esempio, informazioni idonee a rivelare razza, religione, stato di salute, inclinazioni sessuali – per dare luogo a decisioni di tracking and targeted pricing (vedasi combinato disposto di art. 22 e art.9 del GDPR). Infine, giova rammentare che, ai sensi dell’art. 8 del GDPR, in nessun caso tali attività sono lecite con riguardo ai minori di 16 anni, salvo il consenso sia prestato da chi esercita la responsabilità genitoriale (in Italia il divieto concerne i in minori di 14 per effetto comma 1 dell’art. 2-quinquies del novellato Codice Privacy ed introdotto dal D.Lgs. 101/2018).

2.6 – Data protection by Design and by Default

Quand’anche il titolare sia preparato ad affrontare gli obblighi di trasparenza e di corretta individuazione della base giuridica al proprio sistema dynamic princing, egli dovrà conferire efficace attuazione a quanto previsto in tema “data protection by Design and by Default” dall’art. 25 del GDPR:

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Sul punto, sarà opportuno anche seguire le recentissime indicazioni rese dall’EDPB nelle Guidelines 4/2019 on Article 25 Data Protection by Design and by Default.

2.7 – Esecuzione di un DPIA per valutare l’impatto del trattamento

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, il GDPR obbliga i titolari a svolgere una “valutazione di impatto sulla protezione dei dati” (o Data Protection Impact Assessment – DPIA) prima di darvi inizio. Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; e la valutazione di impatto ne è importante testimonianza.

E’ fuor di dubbio che un trattamento di dynamic princing automatizzato e targettizzato debba essere assoggettato a DPIA. L’art. 35 del GDPR al paragrafo 1 prevede: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”. La lettera a) del paragrafo 3 del medesimo articolo dispone come obbligatoria la valutazione d’impatto quando il titolare esegua “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

In tema di valutazione di impatto, il Garante Privacy italiano – avvalendosi dell’apposita facoltà di “customizzazione” prevista dal paragrafo 4 dell’art. 35 del GDPR – ha emanato nel novembre 2018 un provvedimento contenente l’elenco dei trattamenti da assoggettarsi a DPIA (valido per i soli titolari che operano in Italia). Scorrendo le 12 tipologie di trattamento che secondo il Garante richiedono obbligatoriamente l’esecuzione di un DPIA, ve ne sono almeno 4 che – a seconda dei casi specifici, sole o combinate tra loro – potenzialmente potrebbero essere alla base di strategie più o meno invasive di dynamic pricing:

1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere.
3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
4. Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).

Il titolare che voglia profilare gli utenti per vendere beni o servizi tramite sistema dynamic princing automatizzato e targettizzato, dovrà dunque eseguire una DPIA. Questa – a seconda della metodologia di assessememt adottata – potrà avere contenuti più o meno dettagliati ma non potrà mancare di una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, di una valutazione sulla necessità e proporzionalità dei trattamenti in relazione alle finalità, di una valutazione dei rischi per i diritti e le libertà degli interessati, oltre che di una descrizione delle misure di sicurezza applicate (nell’eseguire tutto ciò, sarà importante seguire le indicazioni rese dai Garanti europei nelle apposite Linee Guida WP248).

Se gli esiti di un DPIA evidenziano che le misure tecniche e organizzative individuate nella valutazione d’impatto per mitigare l´impatto del trattamento non sono sufficienti (ossia se il rischio residuale per i diritti e le libertà degli interessati resta elevato), il titolare – in ossequio all’art. 36 GDPR – dovrà consultare l´autorità di controllo che a sua volta stabilirà se l’attività di trattamento è implementabile o meno, eventualmente prescrivendo i correttivi del caso e maggiori tutele per gli interessati.

2.8 – Le ulteriori misure di garanzia

Oltre a quanto citato finora, il titolare che intenda adottare un sistema di dynamic pricing automatizzato e basato sulla profilazione dovrà predisporre ulteriori misure e buone prassi previste dal GDPR (e dal WP 251) a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato. Tra queste, senza pretese di esaustività, si elencano:

• controlli regolari di garanzia della qualità dei sistemi per assicurare che le persone siano trattate in maniera equa e non siano discriminate sulla base di categorie particolari di dati personali o in altro modo;
• verifica degli algoritmi – testare gli algoritmi utilizzati e sviluppati dai sistemi di apprendimento automatico per dimostrare che stanno effettivamente funzionando come previsto e non producono risultati discriminatori, errati o ingiustificati;
• per l’audit indipendente di “terzi” (laddove il processo decisionale basato sulla profilazione abbia un impatto elevato sulle persone fisiche), fornitura all’ispettore di tutte le informazioni necessarie su come funziona l’algoritmo o il sistema di apprendimento automatico;
• per gli algoritmi di terzi, ottenimento di garanzie contrattuali che sono stati effettuati audit e test e che l’algoritmo è conforme alle norme concordate;
• misure specifiche per la minimizzazione dei dati al fine di prevedere periodi di conservazione chiari per i profili e per tutti i dati personali utilizzati durante la creazione o l’applicazione dei profili;
• utilizzo di tecniche di anonimizzazione o pseudonimizzazione nel contesto della profilazione;
• modi per consentire all’interessato di esprimere il proprio punto di vista e contestare la decisione;
• un meccanismo per l’intervento umano in determinati casi, ad esempio fornendo un collegamento a una procedura di ricorso nel momento in cui la decisione automatizzata viene trasmessa all’interessato, con termini concordati per il riesame e la designazione di un punto di contatto per qualsiasi domanda.

Il titolare del trattamento può altresì valutare opzioni quali:

• meccanismi di certificazione per i trattamenti;
• codici di condotta per la verifica dei processi che comportano apprendimento automatico;
• comitati di revisione etica per valutare i potenziali danni e benefici per la società di particolari applicazioni per la profilazione.

2.9 – In attesa del nuovo Regolamento ePrivacy

L’attività di aggiornamento del framework normativo europeo sulla protezione dei dati non si è esaurita con l’entrata in forza del GDPR. Per completare l’opera, manca un importante tassello, che impatta sulla data protection delle comunicazioni elettroniche e, di conseguenza, sull’ambito e-commerce, ivi comprese le attività che dispiegano strategie di dyamic princing grazie all’analisi delle tracce univoche rilasciabili online dagli utenti o altrimenti prelevabili dai loro dispositivi.

Il tassello mancante è rappresentato dal Regolamento ePrivacy che dovrà sostituire la Direttiva ePrivacy 2002/58/CE. Presentato dalla Commissione europea all’inizio del 2017, il Regolamento ePrivacy sarebbe dovuto entrare in vigore in contemporanea al GDPR specificandone i principi in relazione al contesto digitale, ma ad oggi il testo ancora è in discussione (al momento in cui scriviamo, la bozza più recente risale all’ottobre 2019) e il raggiungimento di un compromesso non pare dietro l’angolo. Gli interessi economici in ballo sono altissimi e le relative problematiche non possono essere compiutamente affrontati in questa sede. Sia qui sufficiente considerare che la bozza di regolamentazione affronta temi che condizionano l’operato degli Over The Top come la geolocalizzazione dei dispositivi, la end-to-end encryption, il settaggio preventivo dei cookie via browser, l’estensione delle tutele ai metadati, al brower fingerprinting, alle IoT. L’intento della regolamentazione è quello di costringere il business della comunicazione elettronica ad adottare pratiche più rispettose della vita privata dei consumatori: tra le altre, si dovrà profondamente assorbire il principio GDPR della “data protection by default” proteggendo i dati ed astenendosi dal tracciare/profilare gli utenti (salvo consenso esplicito e con le dovute eccezioni per motivi statistici o di sicurezza e giustizia). E chi non lo farà sarà perseguito e sanzionato secondo i severi parametri del GDPR.

Il 13 marzo 2019 il Comitato Europeo per la Protezione dei Dati (EDPB) ha emesso lo “Statement 3/2019 on the future ePrivacy Regulation” con cui ha sollecitato nuovamente l’adozione del Regolamento ePrivacy. Il Comitato ha invitato i legislatori ad intensificare gli sforzi verso l’adozione di una regolamentazione che è essenziale al completamento del rinnovato quadro normativo europeo sulla protezione dei dati personali. Il Regolamento ePrivacy – avverte l’EDPB – non dovrà in alcun caso abbassare il livello di tutela garantito dalla Direttiva 2002/58/CE e dovrà integrare il GDPR disponendo ulteriori forti garanzie per tutti i tipi di comunicazione elettronica.

Attualmente il GDPR convive ancora con la Direttiva 2002/58/CE e con le leggi nazionali che ne traspongono i principi. In Italia, operano le disposizioni di cui agli artt. da 121 a 132-quater del novellato Codice Privacy che, in relazione a quanto qui di interesse, impongono la raccolta del consenso informato dell’interessato per poter installare cookie traccianti – o rilevatori affini – nel suo terminale e per poter accedere alle informazioni ivi contenute (art.122) nonché per poter rilevarne l’ubicazione geografica (art. 126).

3 – ALTRE NORMATIVE INCIDENTI

3.1 – Le ombre proiettate dalla Direttiva Open Data e Secondary Use

Con riguardo alle altre normative che possono impattare sulla tematica qui di interesse, occorrerà quanto prima valutare i possibili effetti della Direttiva (UE) 2019/1024 relativa all’apertura dei dati e al riutilizzo dell’informazione del settore pubblico (per questo, detta “Direttiva PSI” da Public Sector Information). Dopo la prima emanazione nel 2003 e una significativa revisione del 2013, ora la Direttiva su open data e secondary use è stata aggiornata tenendo conto del mutato scenario tecnologico e socioeconomico nonché dell’avvento del GDPR. La Direttiva 2019/1024 stabilisce norme e modalità pratiche per favorire il riutilizzo, da parte di soggetti sia privati che pubblici, delle informazioni contenute nei documenti posseduti da enti pubblici e imprese pubbliche per fini commerciali o non commerciali diversi dallo scopo iniziale per i quali i documenti sono stati prodotti nell’ambito dei compiti di servizio pubblico o di interesse generale. Negli intenti delle istituzioni europee, la rinnovata regolamentazione dovrebbe giovare alla crescita dell’economia digitale consentendo di:

• incentivare l’innovazione di prodotti e servizi per i consumatori e le imprese grazie ad una maggiore disponibilità di big data di pubblica provenienza;
• ridurre le barriere all’ingresso sul mercato, in particolare per PMI, limitando le eccezioni che consentono agli enti pubblici di addebitare per il riutilizzo dei propri dati più dei costi marginali sostenuti per la loro diffusione;
• aumentare la disponibilità di dati introducendo nuovi tipi di dati pubblici, come i dati detenuti da imprese pubbliche nei settori dei servizi pubblici e dei trasporti e i dati di ricerca risultanti da finanziamenti pubblici;
• minimizzare il rischio di un eccessivo vantaggio informativo per le grandi aziende, impedendo accordi esclusivi tra enti pubblici e soggetti privati sul riutilizzo dei dati e imponendo maggiore trasparenza su ogni accordo in merito;
• incrementare le opportunità commerciali incoraggiando la diffusione di dati dinamici tramite API (Application Programming Interface) e formati condivisi.

Come intuibile, questa normativa può impattare significativamente sulle quelle forme di dynamic pricing che, per rendere al meglio, debbano essere alimentate da ingente mole di dati. Qui interessa notare che la Direttiva chiede il rispetto del Regolamento (UE) 2016/679 da parte di tutti gli attori coinvolti nel secondary use, ma vi alcune note che appaiono dissonanti rispetto alla partitura del GDPR. Asserendo i principi di openess by design e di openess by default (art. 3.2 bis), la Direttiva 2019/1024 – in antitesi rispetto ai principi privacy by design/default stabiliti dal GDPR – impone al settore pubblico degli Stati membri di favorire la messa a disposizione, ove possibile per via elettronica, di dati in formato aperto per agevolarne il libero utilizzo, riutilizzo e condivisione da chiunque e per qualunque finalità (vedasi art. 5 e Considerando n. 16). Il tutto deve avvenire gratuitamente, salva la possibilità di recuperare i costi marginali sostenuti per la produzione, messa a disposizione e divulgazione dei documenti, per l’anonimizzazione dei dati personali e la protezione di informazioni commerciali.

Le pubbliche amministrazioni continentali potranno dunque vendere, terabyte dopo terabyte, copia delle informazioni originate dai cittadini europei. Di contro, qualsiasi azienda (che sia un big player consolidato o una piccola start-up appena costituita) con una modica spesa potrà pertanto chiedere ad un ente di conferirgli copia di interi set di dati per sviluppare/ottimizzare le proprie iniziative imprenditoriali. In tutto questo, chi – vien da dire, ancora una volta – non vede una benché minima remunerazione diretta per l’utilizzo dei suoi dati da parte di terzi, è il cittadino. Al cittadino non viene nemmeno chiesto il consenso affinché i suoi dati confluiscano, benché in modo anonimo, in questo circuito.

Al di là di queste considerazioni, c’è un’ombra che dalla riforma della normativa sul secondary use sembra stagliarsi sul diritto alla privacy del cittadino/consumatore. Siamo certi che non vi siano organizzazioni – a partire dagli Over the Top – in grado di “re-identificare” i dati anonimi ottenuti dalle P.A.?

Proviamo a fare un esempio di fantasia. Immaginiamo il signor Tizio che alle 10.20 del giorno X si appropinqua (consultando Google Maps) all’indirizzo del dipartimento di medicina nucleare dell’ospedale Y dove alle 10.30 ha appuntamento (confermato al suo Gmail ed appuntato su Google Calendar) per sottoporsi a scintigrafia. Ora traferiamoci con l’immaginario qualche settimana più avanti: Google – per proprie finalità di ricerca e sviluppo di intelligenza artificiale e algoritmi machine learning – ha appena acquistato da una ASL i dati relativi a tutti i pazienti (opportunamente de-identificati) che hanno usufruito negli ultimi 3 mesi di prestazioni sanitarie presso le strutture del comprensorio; in quell’ammasso apparentemente intricato di informazioni, c’è un file una che reca l’immagine diagnostica e il referto relativo ad un paziente è stato sottoposto a scintigrafia alle ore 10.30 del giorno x presso il dipartimento di medicina nucleare dell’ospedale Y. A questo punto dell’esempio, Google ha già “incorporato” tracce sufficienti per riuscire a determinare che questi dati sanitari, molto delicati, si riferiscono ad un soggetto ben identificato: in potenza, Google ora sa che Tizio ha un determinato tumore e che con tutta probabilità necessita urgentemente di cure che possono essere dispendiose.

Il dubbio che sorge è chiaro. Quali garanzie impediscono realmente a Google (o a potentati simili) di incrociare le miriadi di data point già in proprio possesso con le informazioni ottenute, quasi gratuitamente, da organismi pubblici? E siamo certi che entità ben meno attrezzate del colosso di Mountain View non possano anch’esse, prima o poi, fruire di tool e algortimi intelligenti che permettano di re-identificare le valanghe di dati elettronici ottenuti per secondary use alimentando così profili attinenti a persone reali cui riconnettere conseguenze mirate (che potrebbero anche, sempre in ipotesi, consistere in proposte commerciali mirate o automatismi di dynamic pricing)?

Crediamo che le istituzioni e le autorità di controllo europee dovranno esplorare ulteriormente il potenziale di impatto della Direttiva 2019/1024 verificando che non si possano creare effetti paradossali in grado di compromettere la centralità del diritto alla protezione dei dati personali. Un centralità che la stessa UE ha faticosamente riaffermato con il GDPR, la normativa assurta a modello ad ogni latitudine e che in pochi anni ha costretto molte big tech a correggere le proprie modalità operative.

3.2 – Esigenze di allineamento con le regole a tutela dei consumatori

Qualora opache, aggressive o intrusive, le pratiche di online dynamic pricing potrebbero essere ritenute scorrette ai sensi della Direttiva 2005/29/CE relativa alle pratiche commerciali sleali. In Italia la repressione delle pratiche commerciali scorrette è affidata all’Autorità Garante della Concorrenza e del Mercato (AGCM) che può comminare multe fino a 5 milioni di euro ai contravventori per violazione del Codice del Consumo.

Negli ultimi anni ci si è resi conto che è necessario garantire una migliore applicazione delle norme dell’UE a tutela dei consumatori e la loro modernizzazione, in particolare alla luce crescente digitalizzazione dei rapporti di consumo. Per questo, nel novembre 2019 l’Unione Europea ha adottato la Direttiva 2019/2161 che modifica quattro direttive esistenti a tutela degli interessi dei consumatori: la direttiva sulle pratiche commerciali sleali (2005/29/CE), la direttiva sui diritti dei consumatori (2011/83/UE), la direttiva sulle clausole abusive nei contratti (93/13/CEE) e la direttiva sull’indicazione dei prezzi (98/6/CE). La riforma rientra nel quadro del piano denominato “New Deal per i consumatori”, avviato dalla Commissione Europea nel 2017, che prevede anche una proposta concernente le azioni collettive risarcitorie dei consumatori (che abrogherà la direttiva 2009/22/CE relativa a provvedimenti inibitori a tutela degli interessi dei consumatori). Gli Stati membri avranno 24 mesi di tempo per adottare le misure necessarie alla sua attuazione nella legislazione nazionale.

La riforma introdotta dalla nuova direttiva prevede, tra le altre cose:

• la tutela dei consumatori rispetto ai servizi digitali “gratuiti”, vale a dire i servizi digitali per i quali i consumatori non pagano denaro ma forniscono dati personali;
• informazioni chiare ai consumatori in caso di riduzione dei prezzi;
• il diritto a rimedi individuali per i consumatori quando vengono danneggiati da pratiche commerciali scorrette, come il marketing aggressivo;
• maggiore trasparenza nelle transazioni online, in particolare per quanto riguarda l’utilizzo di recensioni online, la fissazione personalizzata dei prezzi sulla base di algoritmi o una migliore classificazione dei prodotti dovuta ai “posizionamenti a pagamento”.

Dunque, nei prossimi mesi in Italia e negli altri Stati membri potranno essere emanate nuove regole che tutelino più specificamente i consumatori digitali dall’indebito condizionamento che può esser provocato da sistemi di personalizzazione dei prezzi irrispettose dei principi di trasparenza e lealtà.

La speranza è che, all’atto pratico, si approfitti di questo afflato riformista per conseguire un maggior allineamento tra la normativa sui diritti dei consumatori e quella sulla protezione dei dati personali nel digital single market. Auspici che aveva formulato anche il compianto Giovanni Buttarelli in qualità di Garante Europeo della Protezione dei Dati (EDPS) nel “Parere sul pacchetto legislativo Un New Deal per i consumatori” del 5 ottobre 2018.

L’EDPS aveva evidenziato “la necessità di colmare le lacune nell’attuale acquis dei consumatori al fine di rispondere alla sfida rappresentata dai modelli di business predominanti per i servizi digitali che si basano sulla raccolta e sulla monetizzazione su vasta scala di dati a carattere personale e sulla manipolazione dell’attenzione dei cittadini attraverso contenuti mirati. Si tratta di un’opportunità unica per migliorare il diritto dei consumatori al fine di rimediare alle crescenti disparità e pratiche sleali tra individui e potenti imprese sui mercati digitali”. Il Supervisor raccomandava una cooperazione più sistematica tra le autorità di protezione dei consumatori e di protezione dei dati, ad esempio nell’ambito della Digital Clearinghouse (struttura di coordinamento digitale già esistente come rete volontaria tra le diverse autorità che si occupano di concorrenza, consumatori e protezione dei dati). Tra le questioni da valutare con attenzione, l’EDPS indicava l’esigenza di coordinamento tra la nuova proposta di ricorso collettivo in tema di tutela dei consumatori e quella già prevista dall’art. 80 del GDPR: “la proposta di ricorso collettivo dovrebbe chiarire che le azioni rappresentative in materia di protezione dei dati possono essere intentate solo dinanzi alle autorità amministrative che sono autorità di controllo della protezione dei dati ai sensi dell’articoli 4, paragrafo 21 e dell’articolo 51 del regolamento generale sulla protezione dei dati”.

Quel che oggi pare del tutto evidente – nonché coerente con l’approccio di ampio respiro che ha sempre contraddistinto il pensiero di Buttarelli – è che in futuro occorrerà sempre più esplorare le possibili sinergie tra la protezione dei dati e il diritto inteso alla protezione dei consumatori. Le due “aree” presentano sempre più spesso problematiche di interesse comune e per approntare una tutela completa rispetto ai pericoli multiformi che si annidano nell’evoluzione digitale sarà indispensabile instaurare un confronto continuo e sistematico.

Ovviamente, in un mercato digitale globalizzato, sarebbe opportuno che non fosse la sola UE ad occuparsi delle intersezioni tra diritti di privacy e diritti dei consumatori. Anche qui, qualcosa sembra muoversi. Nell’ottobre 2019 si è tenuta la 41esima Conferenza mondiale delle Autorità per la protezione dei dati (ICDPPC), intitolata “Convergence and connectivity raising global data protection standards in the digital age”, cui sono intervenute oltre 120 Autorità. La Conferenza, oltre ad istituire la Global Privacy Assembly (GPA), un nuovo organismo permanente più visibile e operativo, ha adottato diverse decisioni per definire un programma di lavoro comune inteso a rafforzare la protezione dei dati su scala globale. Tra queste si segnala la “Risoluzione per supportare e facilitare la cooperazione tra Autorità di protezione dati e le competenti autorità per la tutela dei consumatori e della concorrenza, al fine di raggiungere standard di protezione dati chiari e globalmente elevati nell’economia digitale” che amplia lo spettro di azione dei Garanti privacy, pianificando un coordinamento maggiore con altri importanti regolatori del mercato digitale. La Risoluzione affida ad uno specifico gruppo di lavoro (Digital Citizen and Consumer Working Group – DCCWG) il mandato biennale di:

• continuare a esplorare, comprendere e mappare le sovrapposizioni sostanziali tra la legislazione che regola la protezione dei dati delle persone fisiche e quella che regola le leggi sulla concorrenza o sulla tutela dei consumatori, al fine di comprendere meglio gli elementi comuni e identificare strategie condivise;
• sensibilizzare ulteriormente le diverse autorità interessate su quali siano le intersezioni tra privacy, protezione dei consumatori e concorrenza in modo tale che tutti i regulators di settore possano riconoscere i principi sottesi ai differenti quadri normativi considerandoli adeguatamente nella propria sfera di enforcement;
• individuare strategie, strumenti e mezzi di collaborazione che prevedono la cooperazione tra i diversi ambiti di competenza: oltra a collaborare su temi o policy comuni, le autorità dei consumatori o della concorrenza devono poter trovare supporto pronto interpretativo in quelle sulla protezione dei dati, e viceversa.

Le informazioni personali sono (sempre più) parte fondamentale del commercio elettronico, tutte le volte che siamo online veniamo tracciati da un qualche algoritmo che ci vede non tanto come semplici utenti del web ma come consumatori; perché, se non stiamo comprando qualcosa adesso lo faremo di certo tra qualche giorno. Marketing, prevendita, vendita, postvendita: non c’è fase commerciale che non sia interessata a sapere chi siamo, che non vorrebbe sapere quale user experience vorremmo vivere e quale cifra potremmo sostenere. Per questo è davvero improcrastinabile una serrata cooperazione che consideri i punti di tangenza tra privacy e consumer rights.

3.3 – Presenze monopolistiche e concorrenza

L’e-commerce B2C continua ad espandersi a ritmi da capogiro. Secondo uno studio dell’Osservatorio eCommerce B2C-Consorzio Netcomm/School of Management del Politecnico di Milano:

• la Cina passerà da 636 miliardi di euro di vendite online nel 2018 a oltre mille miliardi nel 2023, con una crescita del valore delle vendite online dell’11,3% anno su anno;
• negli Stati Uniti, le vendite online cresceranno del 7,5% anno su anno, passando da 505 miliardi di dollari nel 2018 a 735 miliardi nel 2023;
• in Europa, invece, questa percentuale crescerà di circa il 7%, passando da circa 347 miliardi di euro nel 2018 a quasi 484 miliardi di euro nel 2023.

E l’Italia? Secondo la medesima ricerca, nel 2019 gli acquisti online degli italiani continuano a crescere (+15% rispetto allo scorso anno) e superano i 31,5 miliardi di euro. I prodotti, grazie a una crescita del +21%, sono pari a 18,2 miliardi, mentre i servizi raggiungono online i 13,3 miliardi di euro (+7%). In particolare, il comparto di Informatica ed elettronica si conferma uno dei più performanti, grazie a una crescita del +18% e un valore complessivo di oltre 5 miliardi. Bene anche l’Abbigliamento (+16%, 3,3 mrd). Tra i settori emergenti fanno registrare una decisa crescita Arredamento & Home Living (+26%, 1,7 mrd), Food & Grocery (+39%, quasi 1,6 mrd). Nei servizi, il comparto principale rimane Turismo & Trasporti (+8%, 10,8 mrd). Tutto questo nonostante, rispetto agli altri Paesi europei, l’Italia denoti la percentuale di acquirenti digitali più bassa in assoluto: solo il 44% degli italiani acquista online, contro il 68% della popolazione europea. Anche se stiamo recuperando terreno, nel nostro Paese c’è ancora un tema di digital divide tecnologico e culturale: come osservato dal presidente di Netcomm “Solo il 10% delle imprese italiane vende online proprio per la scarsa capacità di applicare le tecnologie disponibili per espandere il proprio business. Gli e-shopper, che hanno esigenze sempre più puntuali e personalizzate, comprano all’estero proprio perché in Italia non trovano un’offerta che risponda in modo efficiente alla propria domanda”.

L’Osservatorio ha anche notato come “Il retail è una delle industrie in cui l’impatto dell’applicazione dell’intelligenza artificiale potrà essere più interessante e immediato, proprio perché in grado di avvicinare anche gli utenti finali, nelle loro abitudini quotidiane, alle nuove frontiere dell’innovazione. Non a caso, nel mondo del retail sono già state adottate soluzioni di AI per migliorare la relazione con i clienti, come lo sviluppo appena iniziato dell’uso dei chatbot. I processi di automazione legati alla filiera logistica, ma anche al machine learning e alle analisi predittive sono elementi decisivi per la creazione e il rafforzamento di una relazione sempre più personalizzata tra i brand e i clienti. In un contesto economico nazionale e internazionale, dove il fattore determinante nell’arena competitiva delle aziende è la capacità di garantire un’offerta sempre più personalizzata, le innovazioni che porterà l’AI potranno migliorare la comprensione delle aspettative dei clienti, facilitando la personalizzazione e la product recommandation, rendendo più efficienti i servizi pre e post sale e ottimizzando la supply-chain”.

Come noto, il giro d’affari del commercio elettronico, benché popolato da un miriade di operatori, è polarizzato su pochi big player. C’è chi eccelle nel settore in cui è specializzato (ad esempio, Booking e Airbnb nel turismo, Zalando nell’abbigliamento, Foodora e Glovo nel food delivery), ma a spadroneggiare con quote di mercato ben superiori sono i detentori di quei martkeplace che vendono di tutto a centinaia di milioni di persone: in specie, Alibaba (che domina il mercato asiatico), Google e Amazon.

Amazon occupa oltre un terzo del mercato globale ed è il leader indiscusso per gli acquisti online effettuati dai consumatori “occidentali”, italiani compresi. Sul proprio megastore digitale Amazon vende davvero di tutto e lo fa in maniera molto convincente, al punto che per molti consumatori è diventato il provider dell’occorrente per casa, famiglia e lavoro. Molti utenti ormai non comparano nemmeno più i prezzi praticati dagli altri operatori online, danno per scontato che l’offerta di Amazon sia tendenzialmente imbattibile, e comunque preferiscono non affrontare altre user experience rispetto a quella cui sono abituati. A fronte di questo, molti produttori e venditori hanno rinunciato – come abbiamo già osservato al precedente § 1.4 – ad approntare o a mantenere propri e-shop, essendo più efficiente fare affidamento alla piattaforma di Amazon. Ma si sospetta che questi si affidino alle cure di un gigante con attitudini cannibalesche. Il vantaggio primario di Amazon è quello di essere sia marketplace che retailer: se un prodotto venduto sulla piattaforma di Seattle da un terzo ottiene successo, Amazon nel giro di qualche tempo potrebbe decidere di bypassare il rivenditore, acquistando lo stesso bene direttamente dal produttore (offrendolo direttamente lei ad un prezzo inferiore) e oppure proponendone uno quasi identico questa volta con marchio proprio (ad esempio, AmazonBasics).

Le pratiche commerciali della compagnia di Jeff Bezos sono da tempo nel mirino delle autorità antitrust di mezzo mondo. Nel 2019 Federal Trade Commission americana ha aperto un’indagine e sta interrogando diversi piccoli/medi produttori e rivenditori che fruiscono della piattaforma per capire se Amazon attui pratiche commerciali scorrette a detrimento della concorrenza. Stando a quanto finora trapelato, sono molti coloro che dichiarano di realizzare via Amazon il 90% delle vendite, il che significa non avere reali alternative a questo canale: questo si tramuta in un’oggettiva condizione di inferiorità negoziale (o di dipendenza) rispetto ad Amazon che opererebbe in posizione quasi monopsonista (monopsonio è la particolare forma di mercato caratterizzata dalla presenza di un solo acquirente a fronte di una pluralità di venditori). In altre parole, Amazon si è imposta come infrastruttura e-commerce, rendendosi necessaria per gli stessi concorrenti. C’è da capire se Amazon se ne approfitta imponendo ai merchant termini contrattuali sconvenienti (o capestro) o traendo altri indebiti vantaggi.

In Italia, l’AGCOM ha avviato ad aprile 2019 un’indagine di 12 mesi per accertare un presunto abuso di posizione dominante in violazione dell’art. 102 del TFUE. Amazon conferirebbe unicamente ai venditori terzi che aderiscono al servizio di logistica offerto da Amazon stessa (“Logistica di Amazon” o “Fulfillment by Amazon”) vantaggi in termini di visibilità della propria offerta e di miglioramento delle proprie vendite su Amazon.com, rispetto ai venditori che non sono clienti di Logistica di Amazon, restringendo così significativamente la concorrenza nel mercato dei servizi di logistica nell’e-commerce, nonché potenzialmente nel mercato dei servizi d’intermediazione sui marketplace, da ultimo a danno dei consumatori finali.

Nel luglio 2019, la Commissione europea ha avviato una propria investigazione per capire se Amazon usi i dati sulle vendite e le “informazioni sensibili” raccolte dai rivenditori indipendenti che operano sulla piattaforma a proprio vantaggio e con modalità anticoncorrenziali. La Commissaria europea alla concorrenza Margrethe Vestager: “Ho deciso di esaminare molto attentamente le attività di Amazon e il suo duplice ruolo di marketplace e di dettagliante, per valutare la sua conformità con le norme sulla concorrenza della Ue”.

Ci si potrebbe chiedere cosa c’entrano tutte queste problematiche antitrust con il dynamic and personalised pricing. La questione è tutto sommato semplice, basta mettere in fila i tasselli:

• Amazon ha già un’enorme fetta di mercato e, di conseguenza, un’ingente mole di dati su ciascuno delle centinaia di milioni di utenti;
• sempre più retailer non reggono la concorrenza del markeplace di Amazon e sono indotti a spostare i propri sforzi e-commerce proprio sulla stessa piattaforma che li aveva messi in difficoltà (secondo il detto “se non li puoi sconfiggere, unisciti a loro”. E se proprio si trovano in crisi, c’è sempre Amazon Lending, il servizio prestiti per gli affiliati);
• il produttore o venditore sbarcato su Amazon, sempre che non venga cannibalizzato, deve per forza di cose permettere alla piattaforma di acquisire e analizzare tutte le informazioni derivanti da ricerche e transazioni relative ai suoi prodotti. Preziosi dati che un tempo erano “proprietari” del venditore ma che ora devono essere spartiti con il colosso di Seattle (che alla fine tramuterà il cliente fan del prodotto altrui in utente fidelizzato Amazon).

Amazon, dunque, fagocita tonnellate di dati personali sia come marketplace che come retailer, la sua intelligenza artificiale assimila tutto da entrambi i canali d’entrata, tramutando il crescente potere informativo in energia da spendersi in diversi output. Una condizione che in ipotesi le permetterebbe di avviare strategie di dynamic pricing micro-targettizzato da una posizione di dominio assoluto. Secondo Victor Rosenman, CEO e fondatore di Feedvisor, società specializzata in ottimizzazione dei prezzi per produttori e venditori che operano su Amazon, i merchant della piattaforma sono tagliati fuori da questa possibilità: “non possono utilizzare prezzi personalizzati su Amazon, poiché non controllano l’interfaccia e i dati dei clienti”.

Ma Amazon – tralasciando la contestazione risalente al 2000 di cui abbiamo riferito al § 1.3 – utilizza attualmente sistemi di personalizzazione dei prezzi basata sulla profilazione dell’utente? Le opinioni in merito sono contrastanti e pare che nessuno al di fuori di Amazon possa rispondere con certezza a riguardo. In assenza di prove, delineiamo le due ipotesi.

Ipotesi 1: se Amazon, tramite algoritmi intelligenti, variasse i prezzi in base ad informazioni personali dell’utente e lo facesse dalla posizione dominante che ha guadagnato rispetto alla concorrenza, potremmo avere un problema da affrontarsi seriamente. Amazon è il primo riferimento e-commerce per quasi tutti i consumatori digitali USA e UE, Amazon conosce già tanto di ognuno di loro, Amazon – a forza di acquisizioni e irruzioni in nuovi settori – vuole entrare ancor più nelle loro vite e proporsi come provider unico B2C. Amazon si propone come piattaforma televisiva, ha acquisito per 13,7 miliardi di USD la catena di supermercati biologici Whole Foods Market e vuole portarci anche la spesa e prodotti freschi a casa, ha in animo di venderci e recapitarci i farmaci necessari a curare le nostre malattie, desidera fornirci servizi di sorveglianza domestica tramite droni e la possibilità di aprire un conto corrente bancario. In tutto questo, Amazon sta convincendo, a suon di promozioni, i consumatori a mettersi in casa il suo altoparlante Amazon Echo animato dall’intelligenza artificiale della home assistant Alexa che ascolta tutto quello che accade, interagisce con i suoi padroni, riconosce le loro emozioni, impara a conoscere i loro gusti e le loro abitudini: e, tra le altre cose, è in grado di fare acquisiti con un semplice ordine vocale ricevuto dal divano di casa.

Alla luce di quanto sopra, sarebbe davvero agevole per Amazon differenziare il prezzo dinamicamente in base alle informazioni che detiene su ognuno di noi. E lo farebbe da un posizione di assoluto dominio: se la concorrenza non riesce a farsi adeguatamente vedere, l’utente e-commerce percepisce meno alternative e si affida al “provider totale” cui è abituato a rivolgersi per una gamma di bisogni sempre più vasta. Un provider che, avendo a quel punto completamente in pugno il consumatore e conoscendone le attitudini, potrebbe agevolmente condizionarne le scelte ricorrendo ad algoritmi che su base individuale creino bisogni d’acquisto e formulino offerte irrinunciabili.

Ipotesi 2: ipotizziamo invece che Amazon non praticasse strategie di dynamic pricing personalizzato perché vuole agire in totale trasparenza e neutralità verso la clientela e non vuole inimicarsi gli utenti variando i prezzi in base alla loro personalità digitale. In questo caso, potrebbe essere la concorrenza a dover puntare tutto sulla personalizzazione dei prezzi (chiedendo una contropartita di privacy agli utenti) per promettere sconti e riuscire a guadagnare una qualche vantaggio.

In questo paragrafo, abbiamo incentrato la nostra attenzione su Amazon perché leader indiscusso dell’e-commerce. Ma da qualche tempo i fari delle autorità antitrust sono accesi per vari motivi anche sugli altri 3 giganti Over the Top del web: Apple, Google, Facebook. Tra questi, Google è quella che più intende competere sullo stesso terreno di Amazon, sebbene per ora vanti una quota di mercato e-commerce B2C ben inferiore. Google è un retailer che vende propri dispositivi tecnologici (telefoni e tablet, computer, IoT domestici come Google Home o Google Nest, smartwatch) oppure meramente software (applicazioni di vario tipo) e abbonamenti premium a canali digitali (musica, video intrattenimento, etc.). Ma Google ha anche un marketplace (Google Shopping) su cui i terzi possono vendere i loro prodotti sfruttando l’integrazione con il search engine per definizione e le soluzioni a pagamento per aumentare la propria visibilità.

Rispetto ad Amazon, Google non solo vende di meno sulla propria piattaforma, ma è stata superata anche come motore di ricerca per acquisti. Cionondimeno intende competere con Amazon ed ha tutte le armi per farlo. Google non solo gioca la partita come marketplace/retailer ma è anche il primo motore di ricerca al mondo, il browser più utilizzato è suo (Chrome), così come suo è il sistema operativo per dispositivi mobili (Android) maggiormente diffuso e geolocalizzante (Google Maps), così come sua è la piattaforma di condivisione di video sharing che nessun competitor è mai riuscito nemmeno a scalfire (YouTube), Grazie a questo arsenale interattivo e iperconnesso, Google sa quasi tutto di quasi tutti. Per questo, la posizione di Google merita particolare attenzione quanto a potenziale condizionamento del mercato retail e delle scelte d’acquisto di centinaia di milioni di utenti che risultano trasparenti alla sua intelligenza artificiale (e si tenga conto che Google – al pari di Amazon – ha già avviato progetti per fornire agli individui consegna della spesa, servizi sanitari e finanziari, ed ha in animo ulteriori acquisizioni ed espansioni trasversali).

La Commissione UE ha recentemente avviato un’investigazione preliminare nei confronti di Google in ordine alle modalità di raccolta, elaborazione, utilizzo e monetizzazione dei dati personali. Trasparenza, profilazione, algoritmi che automatizzano decisioni saranno di sicuro oggetto dello scrutinio investigativo che vaglierà il tutto alla luce dei principi di rispetto della concorrenza e della privacy. Staremo a vedere.

Negli Stati Uniti, specie tra i Democratici, qualcuno propone di intervenire prima che i colossi di Internet non divengano ubiqui e immanenti nell’economia globale e nella vita delle persone. L’idea è quella di spezzettare le aziende OTT, riducendole a entità più piccole per favorire una concorrenza più equa, soprattutto nei confronti delle startup che non vedono spiragli per entrare nel mercato. Ad esempio, la senatrice Elizabeth Warren, candidata alle primarie per le presidenziali del 2020, ha ripetutamente sostenuto la necessità di smantellare l’extra-power delle OTT e ha proposto scomporre Amazon in entità più piccole, differenziando in modo chiaro il ruolo di retailer da quello di marketplace. Da Seattle hanno ricordato alla senatrice il contributo innovativo e migliorativo reso alla società ed all’economia, con migliaia di posti di lavoro creati e con beni un tempo considerati di lusso ora accessibili ai più. Più recentemente il Commissario Europeo alla Concorrenza Verstager si è detta contraria allo spezzettamento delle OTT, preferendo la strada di una maggiore regolamentazione per evitare che siano i giganti stessi a regolamentarlo: “Una delle cose che mi sono apparse più ovvie fino ad ora e che in questa nuova economia non competi solo per il 20 o il 30 % del mercato, in realtà si compete per tutto il mercato, per dominarlo. A causa di ciò puoi diventare il creatore delle regole, un regolamentatore privato”.

4- CONCLUSIONE

Siamo assistendo ad un trend evolutivo che sta rivoluzionando le nostre vite con un’accelerazione costante ed apparentemente irrefrenabile. Che piaccia o meno, una buona quota delle nostre esistenze sta progressivamente migrando in una dimensione parallela, digitale e senza confini. Abbiamo un nuovo ambiente dove vivere la nostra socialità, alimentare la nostra professionalità, soddisfare le nostra curiosità e più intime inclinazioni, disporre sui nostri patrimoni, organizzare spostamenti, pianificare il tempo libero, curare la salute, e comprare ciò che desideriamo.

La nostra persona si ritrova come sdoppiata in un ecosistema smart e iperconnesso dove ogni movimento elettronico è captato da strumenti che consentono attività di analisi, monitoraggio, profilazione e targeting. Quello che spesso non realizziamo è:

• quanto siano davvero le “bricioline” di personalità che disseminiamo online ogni giorno finendo in qualche modo per perderne il controllo esclusivo;
• come i citati strumenti possano utilizzare questi minuzzoli per customizzare il feedback che ci viene restituito dalla nostra interazione con l’ambiente circostante, fino a modellare la nostra percezione della realtà, fino ad influenzare – a seconda delle circostanze – le nostre opinioni o attitudini di cittadini, elettori, consumatori.

In un simile contesto generale, la tariffazione automatizzata basata sulla profilazione individuale è una soluzione tecnicamente già disponibile per le realtà che animano l’e-commerce. E se è vero che targettizzare significa avere maggiori chance di far breccia nell’anima del consumatore, dobbiamo supporre che per alcuni operatori sia una tentazione davvero difficile da resistere.

La personalizzazione del prezzo online – come anche evidenziato in uno studio dall’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) – ha il potenziale per migliorare l’efficienza allocativa e avvantaggiare i consumatori di fascia bassa. Ma può anche portare a una perdita del benessere complessivo dei consumatori: se queste pratiche sono condotte ricorrendo a mezzi non trasparenti o ingannevoli, c’è anche il rischio che si riduca la fiducia nell’e-commerce e si crei una percezione di ingiustizia che potrebbe disincentivare la partecipazione dei consumatori ai mercati digitali.

La normativa UE sulla protezione dei dati personali prevede meccanismi di responsabilizzazione dei soggetti che vogliono praticare forme individualizzate di dynamic pricing e impone ai venditori l’assunzione di obblighi verso gli interessati, specie in tema di trasparenza e raccolta del consenso espresso. Tuttavia in questo momento storico, anche ipotizzando scenari di piena conformità ai dettami del GDPR, non si può affermare che le norme di data protection siano di per loro sufficienti a regolamentare – correttamente e sotto ogni aspetto – un fenomeno che potrebbe presentare derive degenerative, anche in termini di discriminazione sociale.

Per questo si ritiene che la tematica debba essere affrontata – quanto prima, perché l’innovazione tecnologica non aspetta nessuno – con un approccio multidisciplinare nelle sedi istituzionali europee (e, se possibile, anche coinvolgendo paesi terzi, a partire dalle superpotenze tecnologiche quali USA e Cina). Come abbiamo avuto modo di accennare nei paragrafi precedenti, la questione pone profili complessi non solo in riferimento alla protezione dei dati ma anche con riguardo alla salvaguardia della concorrenza e la tutela dei consumatori. Uno stretto coordinamento tra le autorità responsabili dell’applicazione delle diverse politiche può facilitare una maggiore comprensione di cosa possa significare la diffusione delle pratiche di personalizzazione automatizzata dei prezzi: è necessario unire le competenze per individuare eventuali vantaggi socio-economici per il commercio e i consumatori soppesando, sull’altro piatto della bilancia, i rischi per gli equilibri di mercato e per le libertà e i diritti degli individui. Nella difficile opera di bilanciamento occorrerà anche valutare se la libertà d’impresa è comprimibile in relazione a questo tipo di iniziative.

A modesto avviso di chi scrive, pur assumendo che la profilazione finalizzata alla personalizzazione dei prezzi possa apportare una maggiore efficienza all’e-commerce e benefici economici ai consumatori digitali, sarebbe importante che fosse adeguatamente considerato quale potrebbe essere l’impatto sulla sfera privata degli individui. Questo a prescindere dalla loro diponibilità ad essere profilati per ricevere quotazioni personalizzate, perché la maggioranza delle persone a fronte di un vantaggio prospettato non sempre considera adeguatamente le conseguenze.

Da qualche anno la “questione privacy” è oggetto di crescente attenzione pubblica. Diversamente da qualche anno addietro, oggi ciascuno di noi può avvertire la centralità dei dati personali nella propria vita e l’importanza che essi hanno per le business entity con cui entriamo quotidianamente in contatto.

Siamo diventati utenti di una società digitale che si sostanzia in una data economy, e ognuno di noi è ormai abituato a visualizzare informative, cookie banner e landing page che recitano frasi del tipo “ci teniamo alla tua privacy, per questo abbiamo rivisto le nostre policy”. Parallelamente i media – e, di conseguenza, i normali cittadini – riservano sempre maggiore attenzione alle notizie che riferiscono di gravi violazioni dei dati personali di una moltitudine di persone; tra colossali data breach, caterve di dati venduti o manipolati illecitamente, profilazioni occulte, e quant’altro, ognuno di noi ha in qualche modo preso consapevolezza che rilasciando senza la dovuta attenzione i nostri dati personali a terze parti mettiamo a rischio le nostre informazioni, la nostra vita privata, e – in qualche misura – la nostra indipendenza di giudizio o libertà di scelta.

Ci consideriamo cittadini, ma per il mondo digitale con cui interagiamo – le Over The Top (Goolge, Facebook, Amanzon, etc.) e le altre svariate entità che raccolgono i nostri dati online – siamo soprattutto consumatori.

Orbene, da tempo diversi studi dimostrano come i consumatori:

• si dichiarino sempre più preoccupati per la sorte della propria privacy;
• risultino tuttavia, numeri alla mano, sempre più propensi a conferire i propri dati e ad acconsentire il monitoraggio e la profilazione dei propri data point. Tutto questo senza indagare che ne sarà di loro, pur di accedere un servizio o ottenere un vantaggio.

Uno studio pubblicato nel 2019 dallo IBM’s Institute for Business Value (una sintesi qui su Axios) indicava che:

• l’81% dei consumatori si diceva più preoccupato per la propria privacy rispetto a quanto lo fosse l’anno precedente;
• il 75% sentiva che nel corso dell’anno fosse diminuita la propria fiducia nella capacità delle aziende di trattare correttamente i loro dati;
• l’89% riteneva che le compagnie tecnologiche dovrebbero esser più trasparenti nelle proprie politiche di utilizzo dei dati personali, e l’88% chiedeva massima chiarezza laddove i dati siano trattati da intelligenza artificiale.

Dal medesimo studio, tuttavia, emergeva che:

• solo il 45% dei consumatori era intervenuto per modificare i privacy settings (cookie, impostazioni di social e motori di ricerca, eccetera) eventualmente messi a loro disposizione;
• soltanto il 16% aveva interrotto i rapporti con compagnie colpevoli di utilizzo improprio dei dati;
• il 71% asseriva che la privacy è sacrificabile a fronte dei benefici concessi dalla tecnologia.

Nella maggioranza di noi alberga, dunque, un’intima contraddizione. Dentro di noi il bilanciamento degli interessi in gioco è tendenzialmente favorevole alla tutela della privacy quando il nostro vaglio è puramente teoretico, ma la medesima opera di balancing restituisce risultati di segno opposto quando elaboriamo un processo decisionale concreto. C’è una sorta di scollamento tra il ragionamento di principio e l’atto pratico. Tutto questo prende il nome di privacy paradox.

Si tratta di meccanismi di valutazione soggettiva che si innescano allorché ciascuno di noi è costretto a scegliere tra vantaggio immediato e tangibile versus la prevenzione di un pericolo eventuale e non imminente. Ed è quello l’assetto mentale in cui il concetto di privacy, che fino a poco prima ci sembrava così chiaro nel suo valore, ci appare improvvisamente volatile, vago ed intangibile. Probabilmente questo accade perché in confronto ad un bene o servizio i dati personali sono entità anch’esse volatili e intangibili. E sono cose che possiamo cedere a titolo (apparentemente) gratuito in cambio di un qualche beneficio. E il bello è che le possiamo cedere un numero infinito di volte ad un numero sterminato di operatori online, magari guadagnandoci sempre qualcosina. Infine, nella psicologia del consumatore digitale, anche di quello consapevole, solitamente si insinua un ultimo pensiero “Ma in fondo, cosa ho da perdere? E che mai se ne faranno? I miei dati sono una goccia in un oceano informazionale. E cosa potrà succedere – proprio a me, poi – di così brutto? ”

Insomma, i consumatori continuano a dichiarare di volere maggiore privacy, ma essi stessi non fanno molto per proteggerla. Per questo occorre farsi alcune domande.

Cosa accadrebbe se gran parte dei cittadini (a partire dai meno abbienti) decidessero di cedere sé stessi in cambio di prezzi inferiori alla media? Se, secondo i principi fondamentali dell’Unione Europea, la tutela dei dati personali è da considerarsi un’espressione della personalità dell’individuo soggetta a specifiche ed irrinunciabili forme di protezione, sarebbe socialmente accettabile un mercato che invitasse serialmente alla cessione dei dati (ossia della personalità) in cambio di benefici? Oltre a ciò, sarebbe giusto che al consumatore il cui profilo evidenziasse una maggiore propensione alla spesa, fosse costantemente riservato un prezzo maggiore rispetto a quello che appare più povero o parsimonioso? Sarebbe giusto che chi non fosse disponibile a farsi profilare debba pagare per il medesimo bene un prezzo superiore agli altri o gli sia addirittura precluso l’accesso al negozio online?

L’economia digitale ci invita a considerare i dati personali come una merce di scambio. La UE continua a rifiutare questo approccio, non da ultimo con:

• la Direttiva 2019/770/UE relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali secondo cui “[…] la protezione dei dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce” (vedasi considerando 24),
• le Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects dell’European Data Protection Board secondo cui “[…] personal data cannot be considered as a tradeable commodity. Data subjects can agree to processing of their personal data, but cannot trade away their fundamental rights” (vedasi § 3.3, punto 51).

Diversamente da quanto accade negli ordinamenti cui soggiacciono gli headquarter dei colossi dell’e-commerce, nel framework europeo (a partire dalla Carta dei Diritti Fondamentali) la protezione della privacy costituisce un aspetto della tutela del diritto alla dignità personale, motivo per cui non è agevole “liberalizzare” la cessione del proprio patrimonio informativo. Tuttavia è indubbio che in quest’epoca i dati personali oggi abbiano assunto un valore economico un tempo impensabile ed è altrettanto pacifico che se le aziende traggono vantaggi dal loro sfruttamento è ragionevole che il consumatore si attenda un tornaconto qualora ceda i propri, ivi compresi i vantaggi economici che possono riconnettersi al dynamic pricing basato sulla profilazione. Di contro, dal momento che oggi ogni persona emana un flusso costante di informazioni, la cui produzione, gestione e controllo sfuggono sempre più largamente alla persona interessata, occorre soffermarsi a considerare se l’individuo sia in grado di proteggere sé stesso (in autonomia, con i soli propri mezzi di informazione e tutela) nella vastità di un economia digitale in cui aleggiano inviti e tentazioni che spingono a cedere porzioni sempre più significative della propria sfera personale.

Per questo, la possibilità che l’e-commerce assuma su vasta scala politiche di personalizzazione automatizzata dei prezzi basata sua attività profiling individuale deve essere vagliata dai regulators con un approccio multidisciplinare e con una visione di ampio respiro. E’ un tassello delicato che si aggiunge al già ampio novero delle sfide da affrontarsi per regolamentare in modo adeguato una società profondamente rivoluzionata dall’innovazione digitale.