Se non fosse stato promulgato il Regolamento europeo (GDPR) sulla protezione dei dati personali delle persone fisiche e di libera circolazione degli stessi, alcuni di noi, probabilmente, non avrebbero la stessa sensibilità sulla materia come, d’altra parte, non accadeva in vigenza del Codice Privacy italiano: sebbene il D.lgs n. 196/2003 fosse tra le leggi più evolute a livello europeo.
La tutela della riservatezza sui dati personali non nasce con il GDPR, ma quale conseguenza dell’obsolescenza normativa scaturita da una evoluzione tecnologica irrefrenabile e senza precedenti. A partire dagli anni 90 del secolo scorso, il contesto socioculturale è radicalmente mutato e con esso sono profondamente cambiate anche le modalità di comunicazione e interazione tra gli individui.
In questo quadro, il patrimonio digitale di una persona fisica, rappresentato da dati personali e da metadati, ha visto esponenzialmente accrescere il proprio valore economicamente quantificabile. I grossi players internazionali interessati alla monetizzazione del dato hanno visto notevoli e, a volte, indiscriminate, occasioni di massimizzazione del profitto conseguente alla globalizzazione della realtà virtuale del web.
È indubbio che le nuove modalità di comunicazione e interazione possano rappresentare un miglioramento in termini socioculturali, ma è altrettanto vero che, a fronte del vantaggio ad esempio in merito alla fruibilità delle informazioni (ad eccezione del fenomeno delle c.d. fake news), il contesto culturale degli utenti digitali ha denotato, purtroppo, una involuzione.
Questi ultimi, il più delle volte, preferiscono scegliere o continuare ad utilizzare servizi e/o App potenzialmente poco sicure, ma estremamente diffuse piuttosto che soffermarsi sulle conseguenze dei rischi collegati alla sicurezza dei loro dati e delle informazioni che tali applicazioni raccolgono e trattano.
In una società data driven, quale quella odierna, ottenere il maggior numero di dati personali di consumatori e utenti significa, grazie alle economie di scala, sopravvivere nella nuova era digitale.
I Social Network Providers rappresentano la cartina tornasole di tale processo evolutivo e a gratuità di tali strumenti è contemperata dalla spendibilità delle informazioni raccolte e concesse direttamente dall’utente al fine di non rimanere escluso dalla comunità digitale.
Cosa promette di fare WEOPLE?
A partire dai primi mesi del 2019, l’Autorità italiana Garante per la protezione dei dati personali ha ricevuto diverse segnalazioni da imprese della grande distribuzione scaturenti dalle numerosissime comunicazioni pervenute da parte di un nuovo player italiano, Weople, App che promette ai propri iscritti una remunerazione in cambio della cessione dei loro dati personali. Il contenuto delle migliaia di e-mail pervenute alle imprese italiane verteva sulla richiesta di trasferire alla piattaforma Weople dati personali e relativi ai consumi effettuati registrati nelle carte fedeltà degli interessati.
Weople, azienda italiana che offre dei premi in danaro in base alla quantità di dati che l’utilizzatore intende conferire alla piattaforma, si è proposta quale intermediario tra Azienda della GDO e gli interessati al fine di ottenere, su delega di questi ultimi, i dati personali custoditi allo scopo di costituire una propria banca dati alternativa.
In questo senso, l’interessato, mediante l’utilizzo dell’applicativo, può delegare Weople ad esercitare il diritto alla portabilità sancito dall’art. 20 GDPR chiedendo l’estrazione di un pacchetto dati, in formato strutturato, di uso comune e leggibile da un dispositivo automatico contenente le seguenti categorie di dati personali: ID card, atti di acquisto comprensivi della descrizione del prodotto, quantità e prezzo, la spesa complessiva ed il luogo e la data di acquisto.
Il pacchetto dati così formato avrebbe dovuto essere trasferito ad altra Società (Hoda di Milano, proprietaria di Weople) la quale, mediante un processo automatizzato e di asserita anonimizzazione, si propone di analizzare ed elaborare i dati dei propri utenti al fine della rivendita, in forma aggregata, di tali risultati per campagne di marketing diretto attraverso la piattaforma.
Weople, pertanto, promettendo di creare un “caveau” con i dati personali degli utenti iscritti alla piattaforma, persegue di fatto due principali finalità: pagamento dell’utente in base alla quantità di dati che questi concede mediante buoni spesa nei più conosciuti portali e-commerce per poi trovare Aziende-Clienti e proporre loro di veicolare, tramite l’App, pacchetti, offerte personalizzate e/o comunicazione ad Utenti che Weople ha dimostrato, grazie ai dati raccolti e trattati, essere potenzialmente interessanti.
Per attuare questo processo, Weople profila in proprio gli utilizzatori dell’applicativo offrendo loro premi in danaro a fronte di proposte di marketing diretto ad opera di terzi, generando vieppiù una propria base di dati da sottoporre ad enrichment ed alternativa a quella di appartenenza dell’utente (Fidelity Card della GDO), di fatto duplicandola.
La creazione della propria base dati ha comportato la predisposizione di un processo che tuttavia ha ingenerato una serie di perplessità negli operatori di settore nonché da parte dell’Autorità Garante.
Weople si propone come intermediario per l’esercizio di un diritto, quello alla portabilità introdotto dal nuovo Regolamento europeo, con la particolarità che l’esercizio avviene mediante delega del soggetto interessato.
Le missive pervenute alle Aziende italiane, le quali provengono da un indirizzo non riconducibile direttamente all’interessato, sono corredate da una delega a Hoda/Weople valida esclusivamente per la richiesta di esercizio dei diritti del GDPR effettuata attraverso Weople nella quale vengono indicati il nome, cognome e data di nascita del soggetto richiedente e firmata elettronicamente.
All’interno del corpo della richiesta di portabilità viene inoltre riportato che l’Azienda ricevente può prendere visione del documento d’identità del delegante mediante accesso ad un sito dedicato utilizzando delle credenziali fornite dall’applicativo.
Questo processo rende di fatto di non immediata e alquanto complicata la necessaria verifica di genuinità della richiesta di portabilità da parte del soggetto interessato a cui appartengono i dati oggetto di richiesta di portabilità, mediante una identificazione univoca del mittente.
L'intervento del garante per la protezione dei dati personali
Ad inizio agosto 2019, il Garante italiano, stante le numerose segnalazioni pervenute, ha inoltrato una lettera al Comitato europeo per la protezione dei dati personali (EDPB) rilevando due questioni principali.
La prima inerente all’esercizio delegato del diritto alla portabilità, con i meccanismi sopra delineati e con il rischio -lo si ripete- di una duplicazione delle banche dati oggetto della portabilità, e la seconda riguardante il delicato tema della “commerciabilità” dei dati, conseguente all’attribuzione di un vero e proprio controvalore monetario al dato personale.
Su entrambe le questioni il Garante ha richiesto una pronuncia all’Organismo Europeo in considerazione del fatto che l’attività di Weople potrebbe produrre effetti in più di uno Stato membro dell’Unione.
In attesa della pronuncia del Garante Europeo, le Aziende italiane che hanno ricevuto le richieste da parte dell’applicativo Weople dovranno, in ottica di accountability, valutare se evadere tali richieste ovvero motivare un eventuale rifiuto.
Indipendentemente dalle modalità, sulle quali si aspetta una pronuncia da parte dell’EDPB affinchè il Garante italiano posso concludere la propria istruttoria, Weople ha sicuramente avuto il merito di essere stata la prima realtà italiana a generare profitto tramite la creazione di una “Banca” per monetizzare i dati personali dei soggetti interessati.
Tuttavia, c’è il rischio che le duplicazioni di banche dati rese possibili dal meccanismo di Weople non siano in linea con la finalità di cui all’art. 20 GDPR: rafforzare il controllo dei dati da parte dell’interessato.