Sintesi del parere preliminare del Garante europeo della protezione dei dati su: vita privata e competitività nell'era dei megadati

Sintesi del parere preliminare del Garante europeo della protezione dei dati su: vitaprivata e competitività nell'era dei megadati

(Pubblicatosulla GUUE n. C225 del 16.7.2014)

SINTESI

Gli approccidell'UE alla protezione dei dati, alla concorrenza e alla tutela deiconsumatori condividono obbiettivi comuni, compreso il contributo allacrescita, all'innovazione e al benessere dei singoli consumatori. In praticaperò la collaborazione tra i decisori politici in questi ambiti èlimitata.

I servizi onlineconducono l'enorme crescita verso l'economia digitale. Molti di essi sonocommercializzati come servizi ´gratuitiª ma di fatto richiedono un pagamentosotto forma di informazioni personali da parte dei clienti. È giunto iltempo di avviare un'indagine sui costi e i benefici di tali scambi sia per iconsumatori che per le imprese.

Un dialogopiù intenso tra autorità di regolamentazione ed esperti oltre iconfini politici può contribuire all'attuazione di norme in materia diconcorrenza e tutela dei consumatori, oltre a incentivare il mercato deiservizi volti a garantire una maggiore tutela della vita privata.

1. Introduzione

1. L'economiadigitale comporta molti vantaggi per i consumatori e i cittadini. I servizionline offrono un'opportunità senza precedenti in termini di rapportisociali, innovazione ed efficienza della soluzione dei problemi. Nel contempo,gli utenti di questi servizi divulgano un gran numero di informazioni su sestessi. Il volume e la varietà di dati generati non possono esseregestiti con le tradizionali tecnologie di analisi ed estrazione di dati;attualmente, però, il controllo di queste informazioni è semprepiù possibile grazie allo sviluppo noto con il termine ´megadatiª⁽¹⁾.L'estrazione di valori dai megadati è divenuta una significativa fonte dipotere per i principali attori dei mercati interni. Non tutti i megadati sonopersonali ma per molte offerte online presentate o ritenute ´gratuiteª leinformazioni personali agiscono come una sorta di moneta indispensabile utilizzataper il pagamento di questi servizi. Pertanto, accanto ai benefici, questi mercatiin crescita comportano rischi specifici per il benessere dei consumatori,nonché per i diritti alla vita privata e per la protezione dei dati.

2. Iprincipi e le norme dell'UE in materia di protezione dei dati, concorrenza etutela dei consumatori sono stati concepiti per promuovere un mercato internofiorente e per proteggere il singolo. Una maggiore convergenzanell'applicazione di queste politiche potrebbe contribuire a rispondere allesfide poste dall'economia dei megadati. Ad oggi però le politiche hannomostrato una tendenza di sviluppo parallelo con scarsa interazione su argomentidi interesse comune⁽²⁾.Finora, inoltre, i decisori politici e le autorità di regolamentazionedell'UE hanno generalmente concentrato la loro attenzione su mercati perprodotti e servizi commercializzati in cambio di denaro. Poiché iconsumatori e le imprese si adattano ai costanti cambiamenti tecnologicie li incentivano, i decisori politici e le autorità di regolamentazionehanno l'obbligo di seguire questo andamento, come si evince dal recente impegnopolitico al ´completamentoª del ´mercato unico digitaleª⁽³⁾.

Il GEPDpromuove una ´cultura della protezione dei datiª nelle istituzioni e negliorganismi dell'UE dove i principi sulla protezione dei dati si concretizzano intutti gli ambiti pertinenti della politica e del diritto⁽⁴⁾.Nell'intento di contribuire al raggiungimento di questo obiettivo, il presenteparere preliminare mira a promuovere il dialogo tra esperti e professionisti,comprese le istituzioni dell'UE e le autorità di regolamentazionenazionali dai settori della concorrenza, della tutela dei consumatori e dellaprotezione dei dati. Il Garante rifletterà quindi sulle opinioni e sulleidee derivanti da questo esercizio in un secondo parere e includerà raccomandazionidi azione.

Il capitolo 2di questo parere si apre con una descrizione sommaria delle tendenzenell'economia digitale e del ruolo dei dati personali nell'era dei megadati. Ilcapitolo 3 affronta gli aspetti pertinenti delle norme dell'UE sulla protezionedei dati, la concorrenza e la tutela dei consumatori. Il capitolo 4 illustraun'analisi delle interrelazioni tra i tre ambiti politici:

∑ le modalità in cui il controllodelle informazioni personali contribuisce al potere di mercato nell'economiadigitale e le implicazioni per la protezione dei dati,

∑ i rischi per il consumatore posti dalleconcentrazioni e dall'abuso di posizione dominante sul mercato quando leimprese trattano ingenti quantità di dati personali, e

∑ le strategie per incoraggiare lacrescita di un mercato dinamico di servizi volti a garantire una maggioretutela della vita privata ⁽⁵⁾rafforzando la scelta informata dei consumatori.

5. Si sottolinea anche l'importanza diunivocità in termini di riflessione, attuazione e cooperazione tra leautorità di vigilanza a livello internazionale, unionale e nazionale ⁽⁶⁾.

In conclusione, il capitolo 5 volge losguardo verso possibili risposte politiche e invita la Commissione, leautorità di vigilanza nazionali, gruppi di sostegno e professionistigiuridici ad avviare una discussione più ampia e approfondita sul tema inquestione. All'inizio di ogni sezione compaiono elenchi puntati e rimandiintesi a guidare il lettore negli argomenti chiave e nelle correlazioni tra itre ambiti di diritto dell'UE. Una sintesi di tali interfacce viene illustratanell'allegato al presente documento.

5. Conclusione: necessità di ulterioriindagini e discussioni

Il mercatoonline è caratterizzato da una rapida espansione... e interessa semprepiù tutti gli aspetti dell'attività commerciale. Una grandepriorità consisterà nel garantire l'efficace funzionamento dellaconcorrenza in questi mercati... la raccolta, il trattamento e l'uso di datirelativi alle transazioni dei clienti a scopo commerciale sono in aumento... esi prospettano sempre più come importante fonte di vantaggi in termini diconcorrenza [che potrebbe costituire] una crescente causa di svantaggio per iconsumatori.

[Citazionetratta dal discorso di David Currie, presidente dell'autorità britannicaper la concorrenza e il mercato, del 7 novembre 2013 (Beesley Lectures)].

85. Ilpresente parere preliminare ha esaminato e considerato le possibili convergenzee tensioni tra tre ambiti del diritto dell'UE, sullo sfondo della rapidaevoluzione dei megadati. Benché la vita privata e la protezione deidati personali costituiscano interessi di tipo pubblico e diritti fondamentaliriconosciuti nei trattati, l'assenza di interazione nell'elaborazione dipolitiche in materia di concorrenza, tutela dei consumatori e protezione deidati può aver ridotto sia l'efficacia dell'attuazione di norme sullaconcorrenza, sia l'incentivo allo sviluppo di servizi volti a garantireuna maggiore tutela della vita privata e a ridurre al minimo i potenziali danniper i consumatori. Nell'economia digitale le informazioni personalirappresentano un significativo bene immateriale nella creazione di valore,nonché una moneta da utilizzare nello scambio di servizi online. Questocomporta implicazioni potenzialmente notevoli per l'interpretazione di concettichiave che includono trasparenza, posizione dominante sul mercato, nonchébenessere e danno dei consumatori.

86. Unarisposta esauriente a queste sfide richiede più tempo in termini diindagine, riflessione e discussione, ma potrebbe includere tutti o alcuni deiseguenti aspetti:

∑ maggiore consapevolezza traconsumatori, fornitori di servizi e autorità di regolamentazione circagli sviluppi tecnologici attuali e futuri dei mercati rilevanti nell'economiadigitale, nonché le implicazioni per la concorrenza, il benessere deiconsumatori, la scelta e l'innovazione per quanto concerne i servizi volti agarantire una maggiore tutela della vita privata,

∑ guida efficace sull'applicazione dinorme in materia di vita privata, concorrenza e tutela dei consumatoriper i servizi online, in particolare per i servizi sponsorizzati come ´gratuitiª,che considera le opinioni di clienti e concorrenti e le prove riguardantile preferenze e le preoccupazioni dei clienti,

∑ cooperazione tra le autoritànelle attività d'indagine e attuazione, ad esempio nell'identificazionedi scenari e possibili regole per misurare il potere di mercatonell'economia digitale, nonché consultazione sulle indagini nei singolicasi, e

∑ un riesame della legislazione sullaconcorrenza per i mercati digitali del XXI secolo, comprese le sue interfaccecon altre aree del diritto e le possibilità di un'interazione proficuacon altre autorità pertinenti.

Leinformazioni personali hanno favorito e sostenuto la crescita dell'economiadigitale; i frutti derivanti dovrebbero essere condivisi in modo più equodai singoli consumatori. In questo le autorità per la concorrenza ela protezione dei dati riconoscono sempre più una sfida cruciale nellacostruzione di fiducia e responsabilità in tutta l'economia digitale. Laprotezione dei dati rappresenta un'opportunità unica per fornire aisingoli gli strumenti per proteggere se stessi e per aumentare l'efficacia diattuazione delle norme in materia di concorrenza e tutela dei consumatori.

La fasesuccessiva analizza la possibilità di un coordinamento più strettotra le autorità di regolamentazione per il raggiungimento di questiobiettivi. Detto coordinamento non dovrebbe limitarsi all'Europa ma dovrebbepiuttosto riflettere la portata globale delle società nell'economia digitale.Il GEPD auspica di facilitare questa discussione.

Fatto aBruxelles, il 26 marzo 2014

PeterHUSTINX

Garanteeuropeo della protezione dei dati

NOTE

(1) Come si legge nelparere 03/2013 del gruppo di lavoro ´articolo 29ª sulla limitazione dellefinalità, pag. 35 ´Article 29 Working Party Opinion 03/2013 on purposelimitationª, il termine megadati si riferisce a enormi insiemi di datidigitali tenuti da società, governi e altre organizzazioni di grandidimensioni, successivamente analizzati in modo estensivo attraverso algoritmiinformatici (´refers to gigantic digital datasets held by corporations,governments and other large organisations, which are then extensively analysedusing computer algorithmsª). Secondo una definizione alternativa, contenutanel documento del McKinsey Global Institute, ´Big data: The next frontierfor innovation, competition, and productivityª, giugno 2011, detto termineindica insiemi di dati la cui dimensione supera la capacità di tipicistrumenti software di banche dati di acquisire, archiviare, gestire eanalizzare (´datasets whose size is beyond the ability of typical databasesoftware tools to capture, store, manage, and analyseª). Nel presenteparere preliminare il termine ´megadatiª viene impiegato come abbreviazionedella combinazione di ampia raccolta di dati personali e analisi di insiemi didati fortemente ampi e variegati.

(2) Il presente parerepreliminare sviluppa i temi delineati dal GEPD in occasione di un seminario tenutosia Bruxelles il 13 giugno 2013https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Speeches/2013/13-06-13_Speech_CB_Brussels_EN.pdf. Discussioni simili hanno avuto luogo nel2010 durante la 32aconferenza internazionale deicommissari in materia di protezione dei dati e della vita privata organizzata aGerusalemme. Inoltre, nel novembre 2012, il vicepresidente dellaCommissione Joaquin Almunia ha tenuto un discorso sulla concorrenza e la vitaprivata nei mercati dei dati (Competition and privacy in markets of data)(http://europa.eu/rapid/press-release_SPEECH-12-860_en.htm). Nel febbraio 2013,durante la 4aconferenza internazionale di Concurrencessulle nuove frontiere dell'antitrust (´New Frontiers of Antitrustª),il direttore generale della DG Giustizia della Commissione Françoise LeBail, in seguito a una discussione di una tavola rotonda dal tema datipersonali e possibile contrasto futuro tra normativa sulla concorrenza e vitaprivata (´Personal data: Will competition law collide with privacy?ª),ha espresso l'esigenza di considerare maggiormente l'interazione tra ildiritto alla protezione dei dati e la normativa sulla concorrenza. L'interventodel direttore generale, dal titolo ´Protection de la vie privée et desdonnées personnelles: l'Europe à l'avant-gardeª, èpubblicato in Concurrences Revue des droits de la concurrence:Competition Law Journal: Demain la concurrence New Frontiers of AntitrustColloque 1 Concurrences, n. 2-2013. Un dibattito simile è in corsonegli Stati Uniti, specialmente dopo la decisione della Federal TradeCommission (Commissione federale per il commercio) sulla fusione diDoubleClick di Google (cfr. nota 76) e il parere dissenziente dell'alloracommissario Jones Harbour http://www.ftc.gov/sites/default/files/documents/public_statements/statement-matter-google/doubleclick/071220harbour_0.pdf;per un aggiornamento sull'analisi di Harbour cfr. il suo saggio dal titolo ´Laprospettiva transatlantica: protezione dei dati e normativa sulla concorrenzaª(´The Transatlantic Perspective: Data Protection and Competition Lawª),in Data Protection Anno 2014: How to Restore Trust? eds. Hijmans, H. eKranenborg, H., 2014, pagg. 225-234.

(2) Nell'ottobre 2013 ilConsiglio europeo si è impegnato a ´completare il mercato unico digitaleªentro il 2015 includendo ´adeguate condizioni quadro per un mercato unicodei Megadati e del cloud computingª, sviluppando pubblica amministrazioneelettronica, sanità elettronica, fatturazione elettronica eapprovvigionamento elettronico, accelerando l'identificazione elettronica e iservizi fiduciari, la fatturazione elettronica e i servizi di pagamento,nonché sostenendo la portabilità di contenuti e dati;http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/it/ec/139222.pdf. Il GEPD ha formulato un pareresul programma politico ombrello dell'UE relativo all'Agenda digitale europea;https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2013/13-04-08_Digital_Agenda_EN.pdf.

(3) 2014:versounlivellodieccellenzainmateriadiprotezionedeidati(´Strategy2013-2014: Towardsexcellence in data protectionª);

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Strategy/13-01-22_Strategy_EN.pdf. Oltre ai pareri regolarmente formulati in risposta aproposte legislative o a documenti politici adottati dalla Commissione oppureda altre istituzioni o altri organismi, ai sensi dell'articolo 28, paragrafo 2,del regolamento (CE) n. 45/2001, e assolvendo il proprio compito di fornirealle istituzioni e agli organismi dell'Unione nonché agli interessatipareri su tutte le questioni relative al trattamento dei dati personali, anorma dell'articolo 41, paragrafo 2, secondo comma, del suddetto regolamento,il GEPD può decidere di emettere un parere di propria iniziativa percontribuire ai dibattiti connessi agli sviluppi giuridici e sociali che possonoavere effetti significativi sulla protezione dei dati personali. Cfr., adesempio, il parere del GEPD sulla relazione tra il cloud computing e il quadro giuridico sulla protezione dei dati (Sintesi del parere del Garante europeodella protezione dei dati sulla comunicazione della Commissione´Sfruttare il potenziale del cloud computing in Europaª), (GU C 253 del3.9.2013, pag.1). Il Garante può esprimere simili pareri in altri ambitidi interesse.

(4) Nella comunicazione sulla promozione della protezione deidati mediante tecnologie di rafforzamento della tutela della vita privata(PET), COM(2007) 228 definitivo, la Commissione ha definito le tecnologie dirafforzamento della tutela della vita privata come ´un sistema coerente dimisure nel settore delle TCI che tutela la privacy sopprimendo o riducendo idati personali ovvero evitando un qualunque trattamento innecessario e/oindesiderato dei dati personali, preservando al contempo la funzionalitàdel sistema di informazioneª. Nel presente documento l'espressione´servizi volti a garantire una maggiore tutela della vita privataª vieneutilizzata in riferimento ai servizi per i clienti ideati alla luce diquesta tecnologia.

(5) Questo include il collegamentocon e tra il Global Privacy Enforcement Network (rete globale per laprotezione della vita privata), l'International Competition Network (reteinternazionale della concorrenza), nonché una maggiore collaborazione trale autorità dell'UE e la Commissione federale statunitense per ilcommercio.

(6) Questo include ilcollegamento con e tra il Global Privacy Enforcement Network (reteglobale per la protezione della vita privata), l'InternationalCompetition Network (rete internazionale della concorrenza), nonchéuna maggiore collaborazione tra le autorità dell'UE e la Commissione federale statunitense per il commercio.

ALLEGATO

Protezione dei dati, concorrenza e tutela deiconsumatori nell'UE. Riepilogo comparativo

Protezione dei dati	Normativa sulla concorrenza	Tutela dei consumatori
— CDF, articoli 7 e 8 — TFUE, articolo 16	— TFUE, articoli da 101 a 106	— CDF, articolo 38 — TFUE, articoli 12 e 169
— Direttiva 95/46/CE — Regolamento (CE) n. 45/2001 — Direttiva 2002/58/CE — Regolamento generale sulle protezione dei dati – RGPD (in corso di negoziazione)	— Regolamento n. 1/2003 (modernizzazione) — Regolamento n. 139/2004 (concentrazioni)	∑ Direttiva 93/13/CEE (clausole abusive nei contratti) ∑ Direttiva 98/6/CE (indicazione dei prezzi) ∑ Direttiva 2005/29/CE del Parlamento europeo e del Consiglio (pratiche commerciali sleali) ∑ Direttiva 2006/114/CE (pubblicità ingannevole) ∑ Regolamento n. 2006/2004 (cooperazione tra le autorità) ∑ Direttiva 2011/83/UE (diritti dei consumatori)
— Tutti i responsabili del trattamento stabiliti nell'UE o che utilizzano strumenti situati nell'UE. Disposizioni che si adattano al tipo e al volume di dati trattati. — (Da ampliare ai sensi del RGPD per comprendere ogni responsabile del trattamento che offre prodotti o servizi agli interessati residenti nell'UE o monitora il loro comportamento)	∑ Ogni attività economica che ´possa pregiudicare il commercio tra Stati membriª. ∑ Le imprese dominanti hanno la ´responsabilità specialeª di evitare distorsioni della concorrenza.	— Tutti i prodotti e servizi forniti o usufruiti nel mercato interno.

Quadrogiuridico

Dirittoderivato pertinente

Interfaccenell'economia digitale

— Valori fondamentali dell'UE e missione economica
— Norme per contribuire al buon funzionamento del mercato interno.
— Norme per garantire la protezione dei singoli consumatori

Ambito diapplicazione

—Impatto dell'attività economica concernente il mercato interno suisoggetti stabiliti nell'Unione europea

Protezione dei dati	Normativa sulla concorrenza	Tutela dei consumatori
— Finalità compatibili per il trattamento dei dati	— Definizione di mercato rilevante e sostituibilità dei prodotti e servizi
— Diritto all'informazione e diritto di accesso ai dati in modo intelligibile — Consenso libero, specifico, informato e inequivocabile — Diritto alla portabilità dei dati	∑ Vendite abbinate e aggregate di servizi ∑ Prevenzione della concorrenza attraverso il rifiuto di fornire un servizio essenziale	— Informazioni chiare e comprensibili su prezzi e prodotti
— Minimizzazione dei dati — Riservatezza e sicurezza del trattamento	∑ Nozione di benessere dei consumatori ∑ Determinazione del prezzo dei servizi basata sullo sfruttamento ∑ Teoria del danno ai consumatori nelle concentrazioni ∑ Deroghe alle norme sugli aiuti di Stato	— Nozione di ´buona fedeª nei contratti — Divieto di indicazioni ingannevoli su prodotti e servizi

Interfaccenell'economia digitale

Controllo deidati e mercati rilevanti

—Definizione di mercati rilevanti alimentati da dati personali

—Misurare il potere del mercato digitale

—Interpretazione comune del valore dei dati personali

—Proprietà dei dati attraverso l'esercizio della portabilità deglistessi

— Laprotezione dei dati come fattore di benessere dei consumatori

— Uso dimezzi di ricorso che promuovono la tutela della vita privata nelle decisioniin materia di concorrenza

—Creazione di condizioni favorevoli affinché i concorrenti collaborino perlo sviluppo di servizi volti a garantire una maggiore tutela della vita privata

Trasparenza escelta

Prevenzionedei danni

Protezione dei dati

Normativa sulla concorrenza

Tutela dei consumatori

— Autorità nazionali indipendenti
— Cooperazione in tutta l'UE attraverso il gruppo dell'articolo 29 e il meccanismo di coerenza (in corso di negoziazione)
— Diritto a un ricorso giurisdizionale per la violazione dei diritti
— Diritto al risarcimento del danno
— Sanzioni amministrative come percentuale del fatturato annuo di una società (in corso di negoziazione)

∑ Attuazione delle norme tramite le autorità nazionali per la concorrenza
e la Commissione per l'UE

∑ Cooperazione delle autorità attraverso la Rete europea della concorrenza

∑ Sanzioni per la violazione di accordi anticoncorrenziali fino al 10% del fatturato totale

∑ Assenza di armonizzazione dei diritti al ricorso giurisdizionale per i consumatori

— Esclusivamente autorità nazionali
— Ogni anno la rete CPC individua priorità di attuazione comuni con controlli di conformità e progetti specifici di settore coordinati
— Assenza di un approccio comune dell'UE sull'accertamento di violazioni della normativa sulla tutela dei consumatori, salvo in caso di ´infrazioni intracomunitarieª
— Rari casi in cui le autorità garantiscono un risarcimento per le violazioni della normativa sulla tutela dei consumatori

Vigilanza,attuazione delle norme, sanzioni e rimedi

Interfaccenell'economia digitale

—Dialogo e cooperazione nei casi di sovrapposizione di preoccupazioni in materiadi concorrenza, benessere dei consumatori e protezione dei dati.

Acronimi:

CDF: Carta dei diritti fondamentali dell'Unione europea TFUE: trattato sul funzionamento dell'Unione europea