home / Archivio / Fascicolo / Alla ricerca di un modello di regolazione per l'economia dei dati Commento al Regolamento (UE) ..

indietro stampa articolo indice fascicolo leggi articolo leggi fascicolo


Alla ricerca di un modello di regolazione per l'economia dei dati Commento al Regolamento (UE) 2016-679

Alessandro Spina

   

» Per l'intero contenuto effettuare il login inizio

Sommario:

1. Introduzione - 2. Il Regolamento (UE) 2016-679 tra riforma e conservazione della normativa sulla protezione dei dati personali - 3. Il nuovo Regolamento e la cornice giuridica dei Big Data - 4. La regolazione e la protezione dei dati personali: convergenze parallele - NOTE


1. Introduzione

Lo scorso 25 maggio è entrata in vigore la nuova normativa europea sulla protezione dei dati personali. Si tratta del Regolamento (UE) 2016/679, chiamato anche il ‘Regolamento Generale sulla Protezione dei Dati’ o GDPR dal suo acronimo inglese. Il Regolamento, che si applicherà in maniera diretta in tutto il territorio dell’Unione a partire dal 25 maggio 2018, abroga in via definitiva l’attuale normativa sui dati personali contenuta nella direttiva 95/46/CE, che è stata trasposta nei vari paesi dell’Unione e in Italia con il Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003). La novella legislativa ha notevoli dimensioni. Il Regolamento si compone di 99 articoli accompagnati da 173 Considerando. Tale considerevole corpus rappresenta il risultato di un complesso iter legislativo, durato più di quattro anni, e che ha avuto un’evoluzione incrementale ed espansiva: l’originaria pro­posta della Commissione presentata nel 2012 aveva come obiettivo quello di aggiornare le regole sulla protezione dei dati personali in Europa, con la riduzione degli oneri amministrativi ma soprattutto con la creazione di un meccanismo unico di compliance o one-stop-shop per le imprese che trattano dati a livello transfrontaliero. Tuttavia, durante gli anni di gestazione della riforma nor­mativa, è emerso con sempre più insistenza la necessità di adattare la disciplina sulla protezione dei dati personali alle nuove forme di interazione sociale online, assicurando da un lato la digital privacy e allo stesso tempo permettendo le applicazioni dell’economia digitale che si basano sullo sfruttamento dei dati personali di utenti e consumatori. L’approvazione delle nuove regole europee in materia di dati personali si è resa dunque funzionale all’adozione di una Digital Agenda da parte delle istituzioni europee, diretta a potenziare il mercato comune digitale. Numerosi in tal senso gli esempi: la diffusione capillare di smartphones e di apps e dei nuovi servizi ad essi connessi; la datification delle nostre vite professionali e sociali attraverso l’emergere dei social networks come piattaforme di comunicazione e accesso alle informazioni commerciali e [continua ..]

» Per l'intero contenuto effettuare il login inizio


2. Il Regolamento (UE) 2016-679 tra riforma e conservazione della normativa sulla protezione dei dati personali

Per far emergere le novità introdotte dal Regolamento, occorre forse partire dalla gran parte di regole che il Regolamento non ha modificato. Un dato abbastanza pacifico sembra essere che non si tratta di un cambiamento rivoluzionario della prospettiva normativa sui dati personali, ma piuttosto di una ampia riforma. Il Regolamento non introduce un approccio alla protezione dei dati personali radicalmente diverso da quello attuale – i principi che reggono le modalità di trattamento dei dati personali sono sostanzialmente conservati [8] nel nuovo Regolamento ed elencati all’Articolo 5: liceità, correttezza e trasparenza; limitazione delle finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza. Le novità introdotte dal Regolamento riguardano invece le norme che definiscono le misure di applicazione concreta di questi principi e sono astrattamente ascrivibili a due categorie: quelle di natura sostanziale, attinenti al cam­po di applicazione del Regolamento, alle modalità di esercizio del diritto alla protezione dei dati personali, e soprattutto agli obblighi per i titolari del trattamento (controllers); e quelli di natura istituzionale/procedurale, quali i poteri e le competenze delle autorità di controllo indipendenti, le sanzioni, ma anche le procedure amministrative della rete di autorità che viene a formare il Comitato Europeo per la Protezione dei Dati (EDPB) e le norme sulla legittimazione ad agire e la rappresentanza degli interessati da parte di associazioni o organismi attivi nella protezione dei dati personali. a) Ampliamento del campo di applicazione e nuovi diritti Riguardo al campo di applicazione territoriale del Regolamento, si stabilisce che esso si applica non solo a tutte le operazioni aventi ad oggetto dati personali realizzate all’interno dell’Unione, ma anche ai trattamenti di dati personali che non si svolgono nel territorio dell’Unione ma nell’ambito di attività da parte di un titolare stabilito nel territorio dell’Unione; e addirittura anche se il titolare del trattamento non è stabilito nell’Unione ma ciò nonostante presta beni e servizi nel territorio dell’Unione o monitora il comportamento di persone fisiche nella misura in cui tale comportamento si svolge nel territorio [continua ..]

» Per l'intero contenuto effettuare il login inizio


3. Il nuovo Regolamento e la cornice giuridica dei Big Data

I processi di trasformazione dell’economia che derivano dall’introduzione delle tecnologie digitali sono notevoli, ben documentati e irreversibili: lo sviluppo della robotica in cui si integrano sistemi di intelligenza artificiale; la connessione ad Internet di oggetti (Internet of Things) al fine di fornire servizi sempre più automatizzati e personalizzati; lo sviluppo di tecnologie digitali di rete come il blockchain, che è alla base della moneta virtuale Bitcoin, infine il vero e proprio tsunami di dati continuamente prodotti attraverso sensori e dispositivi connessi ormai parte della nostra vita quotidiana. Questi sviluppi hanno generato una datification della società in base a cui vengono prodotti in maniera esponenziale dati per alimentare beni e servizi che a loro volta producono dati. Ciò dimostra l’importanza che la normativa sulla protezione dei dati personali rivestirà in tutti gli aspetti in cui queste tecnologie saranno messe al servizio delle persone e dei consumatori. L’esempio più evidente è quello dei Big Data, un fenomeno complesso che sta interessando numerosi settori dell’economia. Big Data è un insieme di applicazioni tecniche volte a estrapolare attraverso algoritmi informazioni su correlazioni significative, dall’enorme quantità di dati raccolti attivamente o passivamente da strumenti digitali. Ad esempio, in un recente studio che analizza le ricerche effettuate sui motori di ricerca di alcuni termini chiave associati ai sintomi connessi ad un certo tipo di tumore pancreatico, i ricercatori sono stati in grado di evidenziare dei patterns di ricerca da parte di utenti ben prima del periodo in cui di solito viene diagnosticato attraverso analisi cliniche quel tipo di malattia [15]; oppure nello studio del comportamento degli utenti di un famoso social network, che, dopo essere stati esposti a diverse tipologie di immagini, hanno mostrato una misurabile propensione a condividere a propria volta notizie o immagini rispettivamente positive o negative in una dinamica del contagio emotivo [16]. Le analisi di Big data servono a generare ipotesi o sviluppare conoscenza sui comportamenti umani, e a profilare in base alle correlazioni, le categorie di persone. Le applicazioni di Big Data indubbiamente offrono enormi [continua ..]

» Per l'intero contenuto effettuare il login inizio


4. La regolazione e la protezione dei dati personali: convergenze parallele

La questione della definizione di un modello di regolazione per il sistema di controllo dei dati personali potrebbe apparire una questione teorica o meramente accademica e invece risulta utile e funzionale a sviluppare una maggiore consapevolezza delle dinamiche, problemi e opportunità rese possibili dalla nuova disciplina. Attraverso la lente della regolazione, tale disciplina potrà indicare probabili modelli e tecniche di regolazione, nonché indicare all’inter­prete e fornire al professionista importanti indicazioni e spunti per la soluzione creativa dei problemi che saranno sollevati dall’applicazione del nuovo Regolamento (UE) n. 679/2016. La tesi sostenuta in questo contributo è che, sulla base dell’analisi delle modifiche introdotte soprattutto in merito al principio di accountability del titolare del trattamento, la riforma della normativa sui dati personali sembra adottare un modello di regolazione che si avvicina a quello dell’enforced self-regulation o della meta-regulation. Questo modello offre una serie di vantaggi quali la proporzionalità e la flessibilità di adattamento delle regole nelle specifiche situazioni, l’impatto minore per la spesa pubblica visto che le gli operatori economici e le aziende sono tenuti a internalizzare i costi dei programmi di compliance e infine la crescita del livello di expertise legata alla creazione di comunità epistemiche di regolazione (si pensi al caso della figura professionale del DPO) [19]. Sono stati però anche analizzati i possibili effetti indesiderati di tale scelta: l’eccessiva proceduralizzazione dei sistemi di controllo, o che un modello creato per aumentare la compliance, sia paradossalmente poco incisivo nello spingere i soggetti regolati ad adottare procedure e meccanismi di controllo, atteso l’approccio fondamentalmente ‘reattivo’ [20] di tale modello. Questo a maggior ragione quando si pensa che nell’economia dei dati si sta assistendo ad un crescente ‘fallimento di mercato’ dovuto all’asi­mmetria informativa tra imprese che sfruttano commercialmente le informazioni personali attraverso complessi algoritmi e i soggetti interessati lasciati a volte a fornire pro forma un frettoloso e superficiale consenso al trattamento, di cui [continua ..]

» Per l'intero contenuto effettuare il login inizio


NOTE

» Per l'intero contenuto effettuare il login inizio