Il controllo dell'interessato e la strategia europea sui dati

__________OSSERVATORIO SULLE FONTI__________ IL CONTROLLO DELL’INTERESSATO E LA STRATEGIA EUROPEA SUI DATI* DIANORA POLETTI** Sommario 1. Il diritto al controllo del data subject nel quadro attuale. – 2. Lo scenario europeo e la trasformazione digitale. – 3. Il controllo dell’interessato e il Data Governance Act. – 4. Il controllo dell’interessato e il Data Act. – 5. Il recupero del diritto al controllo attraverso strumenti tecnologici. - 6. Muoversi nella complessità. Abstract The paper analyzes the destiny of the data subject's fundamental right to control in a context that has deeply changed since the enactment of Reg. 2016/679, in which Europe has laid the pillars of the European Data Strategy, focusing on data sharing and information reuse. The effectiveness of this right is severely challenged by an ecosystem in which the constant circulation of data among different operators makes the data subject lose the ability to detect those who are really are performing the processing activity. Within this framework, the purpose of the scholar is to analyze the ways in which the most recent European regulatory interventions (the Data Governance Act and the Data Act) mean to guarantee this right, and to investigate the use of technologies - artificial intelligence included - in support of its exercise. Suggerimento di citazione D. POLETTI, Il controllo dell’interessato e la strategia europea sui dati, in Osservatorio sulle fonti, n. 2/2023. Disponibile in: http://www.osservatoriosullefonti.it * Contributo realizzato nell’ambito del Progetto PRIN 2017 “Self- and Co-regulation for Emerging Technologies: Towards a Technological Rule of Law” (SE.CO.R.E TECH), Unità di Pisa. ** Consigliera della Corte di Cassazione, già Professoressa ordinaria di Diritto Privato nell’Università di Pisa. Contatto: [email protected] © 2007-2023 Osservatoriosullefonti.it – Anno XVI - Fascicolo 2/2023 Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 Rivista inclusa nella classe A delle Riviste scientifiche di Area 12 – Direttore Prof. Paolo Caretti ISSN 2038-5633 368 CONTROLLO DELL’INTERESSATO E STRATEGIA EUROPEA SUI DATI 1. Il diritto al controllo del data subject nel quadro attuale Il diritto al controllo sui propri dati non costituisce soltanto un diritto fondamentale dell’interessato (il data subject, nel linguaggio del reg. UE 2016/679), principio-cardine che ha segnato il passaggio dalla statica tutela della privacy, costruita sui poteri di esclusione altrui dalla propria sfera privata, alla dinamica protezione dei dati personali, ma si traduce in un potere di controllo sui detentori delle informazioni1. Riflettere sull’effettività di questo diritto nella “data society”2 attuale, in cui i detentori delle informazioni non sono più – o solo – i pubblici poteri, ma i nuovi “poteri privati”3 rappresentati dalle very large platforms, significa riflettere sul senso del concetto di cittadinanza digitale, sui fondamenti propri della economia data-driven, sul mutato rapporto tra dimensione privata e sfera pubblica, prendendo atto del nuovo volto assunto dalla protezione dei dati personali. In primo luogo è variato l’humus della produzione dei dati. Da tempo superata è la configurazione di un rapporto circolare tra data subject e data controller che riguarda dati forniti “una volta tanto” e, per così dire, affidati dal primo al secondo. La connessione dei dispositivi in rete propria dell’Internet of Things rende ogni persona fisica produttore continuo di dati e inserisce le sue informazioni in flussi, nei quali i dati personali si mescolano ad altri dati (non personali, anonimi, ma anche dati misti, dati grezzi, dati inferiti, dati estratti e lavorati con le tecniche di data analisi), dando luogo a complessi reticoli di dati che richiedono l’interoperabilità dei sistemi, la quale a sua volta si coniuga con lo strumento del GDPR più proiettato al futuro: il diritto alla portabilità. L’effettività del diritto al controllo è poi messa in forte crisi da un ecosistema nel quale l’informativa si inserisce all’interno di policies complesse e oscure, unilateralmente predisposte per disciplinare anche il servizio prestato, il consenso continua a perdere la sua efficacia, essendosi rivelato presto un’arma spuntata sia per l’indifferenza con cui lo stesso è rilasciato sia per la sostanziale non negoziabilità del trattamento dei dati, la circolazione successiva dei dati (dal primo titolare ad altri operatori) fa perdere all’interessato la possibilità di conoscere quali soggetti stiano compiendo attività di trattamento. S. RODOTÀ, Tecnologie e diritti, Bologna, 1995, 19 ss. F. FAINI, Data society. Governo dei dati e tutela dei diritti nell'era digitale, Milano, 2019. 3 P. STANZIONE (a cura di), I “poteri privati” delle piattaforme e le nuove frontiere della privacy, Torino, 2022; e sia consentito il rinvio a D. POLETTI, A proposito di fonti nell’“ecosistema digitale”, in F. RICCI (a cura di), Principi, clausole generali, argomentazione e fonti del diritto, Milano, 2018, 348. In argomento, in prospettiva civilistica più generale, P. SIRENA, A. ZOPPINI (a cura di), I poteri privati e il diritto della regolazione, RomaTre-Press, 2018. 1 2 © Osservatoriosullefonti.it, fasc. 2/2023 369 DIANORA POLETTI Ma, soprattutto, l’indirizzo politico espresso in questo torno di anni dall’Unione Europea ha collocato in un nuovo retroterra il fondamentale diritto alla protezione dei dati e dunque anche il suo braccio operativo del diritto al controllo. Ogni tentativo di muovere alcune considerazioni sul tema non può quindi prescindere dalla comprensione dello scenario complesso in cui si inseriscono oggi i diritti dell’interessato, come tracciato dai recenti interventi dell’Unione Europa, la cui politica segue percorsi molto nitidi ed espressamente dichiarati, che sottendono almeno due ordini di ragioni. La prima ragione è quella di fare crescere l’economia data driven dettando regole uniformi, posto che l'incertezza giuridica legata alla frammentarietà del quadro normativo rappresenta un ostacolo all'accesso e alla possibilità di sfruttamento dei dati, che dovrebbe favorire soprattutto lo sviluppo delle piccole e medie imprese europee operanti nel settore. La seconda ragione è quella di realizzare una governance generale “made in EU”, atta a contrastare sia il modello mercantile nordamericano sia il modello governativo cinese. La costruzione di un Digital Single Market basato sul rispetto dei diritti fondamentali e dei valori della cultura europea (è questa la scommessa in essere) renderà lo spazio digitale europeo più sicuro e più attrattivo nei confronti di investitori di altre parti del pianeta, spinti dalla possibilità di operare in un mercato protetto e più affidabile per tutti i cittadini. Non è un caso che di recente l’Unione abbia ritenuto importante procedere ad adottare la Dichiarazione europea sui diritti e i principi digitali4, chiaro atto politico di valorizzazione e difesa dei valori personalistici, solidaristici ed inclusivi, per rivendicare la sua primazia sul piano normativo, dopo che il dilagare della pandemia ha rivelato un impressionante divario tecnologico con le altre potenze globali. 2. Lo scenario europeo e la trasformazione digitale Proprio in forza di queste linee politiche, dal finire dello scorso decennio nell’Unione Europea l’attenzione alla disciplina dei dati nell’ambito dell’economia digitale ha subìto un deciso mutamento. Mentre negli anni precedenti, sulla base di una normativa storicamente assestata, generata dalla direttiva-madre 95/46/CE, l’attenzione alla regolazione dei dati è stata tutta incentrata sulla protezione dei dati personali come diritto fondamentale della persona, tanto che il reg. 2018/1807 ha disciplinato la libera circolazione dei dati non personali definendoli in negativo, per esclusione da quelli personali, con la spinta alla trasformazione digitale l’Unione Europea ha cominciato a 4 P. DE PASQUALE, Verso una Carta dei diritti digitali (fondamentali) dell’Unione Europea?, in Il diritto dell’Unione Europea, 2022, 1 ss. © Osservatoriosullefonti.it, fasc. 2/2023 370 CONTROLLO DELL’INTERESSATO E STRATEGIA EUROPEA SUI DATI considerare la regolazione dei dati, intesi come “qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva” (art. 2.1 reg. 2022/868, c.d. Data Governance Act) quale strumento per consolidare il suo ruolo e soprattutto per tornare a competere su scala mondiale con gli ecosistemi oggi dominanti. Nella comunicazione al Parlamento del 19 febbraio 2020 («Strategia europea per i dati»), la Commissione ha descritto la sua visione di uno spazio comune europeo di dati: “… un autentico mercato unico di dati, aperto ai dati provenienti da tutto il mondo, nel quale sia i dati personali sia quelli non personali, compresi i dati commerciali sensibili, siano sicuri e le imprese abbiano facilmente accesso a una quantità pressoché infinita di dati industriali di elevata qualità, che stimolino la crescita e creino valore”. Il fondamentale passo per la costruzione di questo “autentico mercato” postula l’impiego di regole relative alla libera circolazione di questi dati, al loro riuso e alla loro condivisione, che devono conciliarsi con il quadro regolatorio relativo ai diritti fondamentali, primi fra i quali quello alla protezione dei dati personali; con la tutela dei consumatori e di quanti utilizzano i servizi della società digitale rispetto all’uso dei dati che essi concorrono a generare attraverso la loro attività in rete; con regole che assicurino un ordinato svolgimento del mercato, indirizzando l’attività degli operatori in esso presenti5. Questo mercato ha infatti i suoi attori. Il Digital Services Act mira a fare entrare (o a fare sopravvivere) in esso le piccole e medie imprese del settore6, creando le condizioni, attraverso una serie di obblighi posti in capo ai gatekeepers che sostanzialmente ne governano l’accesso, per un mercato europeo più armonizzato, tramite il contrasto agli abusi delle Big Platforms, nell’intento di rendere così l’Unione europea il faro globale nella regolazione del web rispetto ai poteri americano e cinese, allo stesso modo di quanto è accaduto per i dati personali. Contemporaneamente, sul più specifico versante della disciplina dei dati, si affolla il parterre di quelli che potrebbero essere definiti i soggetti del trattamento: nel reg. UE 2022/868 sono comparsi gli intermediari dei dati7, i “data holders" (titolari dei dati), ossia le persone giuridiche o le persona fisiche diverse dal data subject che, conformemente al diritto dell'Unione o nazionale applicabile, hanno il diritto (o l’obbligo) di concedere l'accesso a de5 Sulla tematica v. ora A. MORACE PINELLI (a cura di), La circolazione dei dati personali: persona, contratto, mercato, Pisa, 2023. 6 Secondo le stime della Commissione, in Europa esistono 10.000 piattaforme, delle quali il 90% sono piccole e medie imprese. 7 Sul tema, di fronte alla primitiva formulazione della proposta di DGA, F. BRAVO, Intermediari di dati e servizi di Data Sharing dal GDPR al DGA, in Contratto e Impresa/Europa, 2021, 199 ss. © Osservatoriosullefonti.it, fasc. 2/2023 371 DIANORA POLETTI terminati dati personali o dati non personali o di condividerli con i “data users” (utenti dei dati), ossia le persone fisiche o giuridiche che hanno “accesso legittimo a determinati dati personali o non personali e che ha(nno) diritto, anche a norma del regolamento (UE) 2016/679 in caso di dati personali, a utilizzare tali dati a fini commerciali o non commerciali”. L’ingresso dell’interessato nel mercato dei dati, come fornitore di parte della materia prima, lo trasforma in interessato-consumatore, con i diritti connessi, mentre le imprese che operano al suo interno devono sottostare ai requisiti di trasparenza propri di una corretta concorrenza, che intende evitare gli abusi di posizione dominante: la normativa sulla protezione dei dati si intreccia in questo modo con la disciplina consumeristica e con la disciplina sulle pratiche commerciali sleali, dando luogo ad una prospettiva di tutela multilivello o a un approccio integrato8. Posto che l’esigenza è quella di fare crescere l’economia digitale e di approntare “a Europe fit for the digital age”, le parole d’ordine sono di conseguenza cambiate: se l’art.1.3 del GDPR già poneva la protezione dei dati a confronto con l’esigenza della loro circolazione, l’accento si fa più marcato su quest’ultima e soprattutto si definisce il modello del riuso e della condivisione, sia tra soggetti pubblici, sia tra imprese e tra imprese e consumatori9. Tutte queste situazioni incidono inevitabilmente sull’esercizio del controllo dell’interessato. Può dunque essere utile un’indagine che verifichi se e come questo fondamentale diritto sia preso in considerazione dai recenti atti legislativi dell’Unione, per verificare ciò che resta del diritto al controllo nella società della sorveglianza e nello sfruttamento intensivo dei dati con le tecniche di data analytics. 3. Il controllo dell’interessato e il Data Governance Act Il reg. UE 2022/868, che disciplina l’accesso ai dati del settore pubblico e introduce meccanismi di incentivazione alla condivisione dei dati detenuti da L’esigenza di “garantire ‘tutele multilivello’ che possano amplificare il livello di garanzia delle persone fisiche, anche quando un diritto personalissimo sia ‘sfruttato’ a fini commerciali, indipendentemente dalla volontà dell'interessato-utente-consumatore” è stata evidenziata dal Consiglio di Stato con la decisione del 29.03.2021, n. 2631 (in Diritto di Internet, 2021, 547, con commento critico di G. SCORZA, Facebook non è gratis?). Per l’espressione “approccio integrato” v. D. POLETTI, The regulatory framework for current thecnological challenges: some methodological considerations, in G. FINOCCHIARO, L. BALESTRA, M. TIMOTEO (a cura di), Major Legal Trends in the Digital Economy. The Approach of the EU, the US and China, Bologna, 2022, 243. 9 G. RESTA, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, in G. RESTA-V. ZENO ZENCOVICH, Governance of /trough Big Data, RomaTre Press, 2023, 607-608, compara il nuovo modello europeo all’originario modello “unipolare”, che ha visto in posizione culturalmente egemone il compendio normativo concernente il trattamento dei dati personali e con un ruolo minore le discipline relative, ad esempio, al riutilizzo delle informazioni nel settore pubblico o alla proprietà intellettuale. 8 © Osservatoriosullefonti.it, fasc. 2/2023 372 CONTROLLO DELL’INTERESSATO E STRATEGIA EUROPEA SUI DATI soggetti privati, costituisce uno dei pilastri fondamentali del sistema europeo di governo dei dati. Tralasciando in questa sede le norme del regolamento dedicate al riuso dei dati dei soggetti pubblici, tra gli obiettivi dichiarati dallo stesso si rinviene un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati, posto che lo stesso si propone di disciplinare l’attività degli intermediari dei dati, ossia dei fornitori dei servizi di condivisione dei dati personali, il cui ruolo viene considerato essenziale dall’UE. In particolare, il capo III del regolamento comprende nel suo ambito di applicazione proprio i fornitori di servizi di intermediazione tra un numero indefinito di persone interessate e un numero indefinito di potenziali utenti dei dati. Il target regolativo prescelto sembra essere proprio quello dei ‘data marketplaces’, ossia i fornitori di servizi di intermediazione il cui obiettivo principale è la creazione di un rapporto commerciale, giuridico e potenzialmente anche tecnico tra i due lati del mercato e la prestazione di assistenza ad entrambe le parti nelle reciproche transazioni di asset di dati. Il DGA intende dunque regolare l’attività dei data holders e dei data users introducendo meccanismi di controllo, come un sistema di notifica obbligatorio all’autorità competente nazionale e una serie di obblighi e requisiti posti in capo ai fornitori di servizi di condivisione di dati, volti a scongiurare un uso improprio dei dati trattati e a delineare il loro ruolo neutrale rispetto ai dati scambiati tra gli utenti e la loro posizione indipendente tanto dai “titolari dei dati” quanto dagli “utenti” degli stessi, realizzando una separazione anche strutturale del modello organizzativo dell’attività di impresa. Trapela però dal regolamento anche un orizzonte differente, che appare di sicuro rilievo per il controllo dell’interessato, perché agli intermediari dei dati è attribuito pure il compito di supportare gli interessati nell’esercizio dei loro diritti in relazione ai dati personali. Una categoria specifica di fornitori di servizi di intermediazione dei dati comprende proprio i fornitori che offrono i loro servizi agli interessati. Tali fornitori di servizi di intermediazione dei dati mirano a rafforzare la capacità di agire degli interessati e, in particolare, il controllo dei singoli individui in merito ai dati che li riguardano attraverso attività di tipo consulenziale. Questo è evidente nel punto del regolamento in cui si prevede che i fornitori di servizi di intermediazione possano assumere anche la veste di cooperative di dati, le quali dovrebbero mirare a rafforzare la posizione dei singoli individui affinché compiano scelte informate prima di acconsentire all'utilizzo dei dati personali. Si legge nel regolamento, con una accentuazione rispetto alla versione ultima della proposta, che l’attività delle cooperative si dirige ad aiutare i propri membri nell'esercizio dei loro diritti in relazione a determinati dati, anche per quanto riguarda il compimento di scelte informate prima di © Osservatoriosullefonti.it, fasc. 2/2023 373 DIANORA POLETTI acconsentire al trattamento dei dati, di procedere a uno scambio di opinioni sulle finalità e sulle condizioni del trattamento dei dati che rappresenterebbero al meglio gli interessi dei propri membri in relazione ai loro dati, o di negoziare i termini e le condizioni per il trattamento dei dati per conto dei membri prima di concedere l'autorizzazione al trattamento dei dati non personali o prima che essi diano il loro consenso al trattamento dei dati personali. Le nuove norme rimediano alla constatata debolezza dell’interessato nell’esercizio del suo diritto al controllo (ma anche della piccola impresa in relazione ai dati che la riguardano), che abbisogna di essere supportato (o anche sostituito in questa attività) da soggetti che perseguono finalità non egoistiche. Non vi è dubbio che a questi intermediari possa essere attribuita la gestione dei diritti dell’interessato riconosciuti dal GDPR, dal diritto di accesso alla rettifica, alla cancellazione, alla limitazione del trattamento e alla portabilità dei dati, che si dichiarano “non rinunziabili”. Emerge con decisione, di fronte al data subject sempre più solo davanti agli operatori del mercato dei dati, la prospettiva dell’esercizio delegabile dei diritti e la configurazione di un rapporto gestorio e fiduciario tutto da costruire (ben oltre la figura del mandatario già noto per la gestione l’eredità digitale previsto dall’art. 2 terdecies del codice della privacy). Si deve ricordare al riguardo l’art. 80 del GDPR, secondo la quale la tutela dei diritti dell’interessato può essere reclamata da un ente legittimato, pure in assenza di un mandato a tal fine, ma anche l’art. 13 della prima legge italiana in materia (la l. n. 675/1996), che già prevedeva (con una scelta poi lasciata impropriamente cadere negli aggiustamenti successivi) che, nell´esercizio dei diritti (incluso quello, strumentale agli altri, del controllo) l´interessato potesse conferire, per iscritto, delega o procura a persone fisiche o ad associazioni10. 4. Il controllo dell’interessato e il Data Act Il Data Act (presentato nel febbraio 2022 e anch’esso approvato dal Parlamento a marzo scorso) completerà la strategia europea per i dati, rendendo disponibile per l'uso un maggior quantitativo di dati e stabilendo norme su chi può utilizzarli e accedervi e per quali scopi in tutti i settori economici dell'Unione: la legge europea sui dati si propone infatti di regolare i diritti e gli obblighi relativi ai dati generati dall’uso dei prodotti connessi e dei servizi correlati, applicandosi sia ai dati personali sia a quelli non personali. Nel mercato dei dati rientreranno così i maggiori fornitori di questa mercanzia: i produttori di dispositivi connessi e i fornitori di servizi correlati. Il data subject – almeno così pare, ad una prima lettura del testo – è beneficiario di una serie di obblighi che vengono posti in capo ai data holders. 10 Interessanti rilievi, in proposito, in Resta, op. cit., 625. © Osservatoriosullefonti.it, fasc. 2/2023 374 CONTROLLO DELL’INTERESSATO E STRATEGIA EUROPEA SUI DATI Quando vengono trattati dati personali, il data holder è considerato un responsabile del trattamento e deve fornire informazioni sui dati che saranno generati quando si utilizza il prodotto o il servizio compresa la natura, il volume dei dati e a chi e come l'utente può richiedere che questi dati siano condivisi con una terza parte. Il data subject può anche coincidere con il “data user”, considerando che nella nozione di data user è compresa la persona fisica che possiede, noleggia o prende in leasing un prodotto o riceve un servizio (come per esempio la persona fisica utilizzatore di smart assistant o di prodotti domotici). Nel contesto del governo della congerie di dati derivanti dai prodotti connessi, il controllo dell’interessato è supportato dalle informazioni che fino ad oggi mancavano: quali siano questi dati, chi li utilizza e come l’utente può accedervi. Si prova così a colmare il profondo gap informativo dell’interessato spesso all’oscuro del trattamento - di fronte ad un prodotto o a più prodotti connessi e interoperabili. È però chiaro che la circolazione del dato nel Data Act (nel quale – è opportuno rimarcarlo – i dati personali sono solo uno spicchio del regolato e nel quale è nitida la vocazione commerciale) è una questione che riguarda prevalentemente i data holders e i data recipients, cioè coloro che svolgono attività imprenditoriale o commerciale; dunque, chi ha la capacità di rendere disponibili i dati (specie non personali) e coloro cui i dati sono destinati, ai fini di sfruttamento. Il data subject viene in considerazione, in buona sostanza, come “agente legittimante” dell’ulteriore circolazione delle informazioni, scegliendo anche i terzi ai quali i “titolari dei dati” sono tenuti a mettere a disposizione i dati. Per evitare effetti distorsivi della concorrenza, il Digital Markets Act esclude dal novero dei terzi le very large platforms, il cui requisito dimensionale è quello di avere più di 45 milioni di utenti mensili11, mentre il capo IV del Data Act si propone di tutelare le micro, piccole e medie imprese che puntano alla creazione di modelli di business fondati sui dati dalle clausole vessatorie “unfair” unilateralmente imposte dai data holders e mira a prevenire gli abusi degli intermediari, garantendo che gli accordi contrattuali sull'accesso ai dati e sul relativo utilizzo non traggano vantaggio da squilibri del potere negoziale esistente tra le parti contraenti. 11 Il 25 aprile 2023 la Commissione europea ha adottato due decisioni che designano 17 società come piattaforme online di grandi dimensioni (VLOP) e due società come motori di ricerca online di grandi dimensioni (VLOSE) ai sensi del DSA. Le VLOP e i VLOE sono soggetti a rigorosi obblighi aggiuntivi di due diligence. Le piattaforme e i motori di ricerca designati devono soddisfare i requisiti entro quattro mesi dalla notifica (DSA: art. 92). © Osservatoriosullefonti.it, fasc. 2/2023 375 DIANORA POLETTI 5. Il controllo attraverso strumenti tecnologici Nella ricerca di strumenti che possano recuperare l’effettività del diritto al controllo l’interprete è spinto a considerare anche vie diverse, che considerino un uso delle stesse tecnologie funzionale allo scopo, ad imitazione dei Digital Rights Management Systems e delle misure tecnologiche di protezione impiegate per la tutela della proprietà intellettuale nella rete. Prospettando anche il riuso di strumenti nati con finalità altre, può essere, questo, il caso della blockchain. Superata la fase iniziale di analisi della difficile convivenza della blockchain con il GDPR (citando alla rinfusa, gli attriti erano ravvisati nel rispetto del principio di minimizzazione del trattamento e della limitazione della conservazione dei dati, nel problema del loro trasferimento transfrontaliero, nell’esercizio dei diritti dell’interessato, posta la difficoltà di individuare il titolare del trattamento), le più mature riflessioni sul tema si sono dirette a immaginare soluzioni in grado di riconciliare quello che appariva incompatibile: un GDPR “titolarecentrico”, dunque accentrato e uno strumento che ha il suo perno nella decentralizzazione. L’Europa da tempo ha chiesto agli sviluppatori di costruire le blockchain in modo da perseguire gli obiettivi e i principi posti a fondamento del GDPR. Ne è testimonianza il documento pubblicato dall’Osservatorio europeo sulla Blockchain in merito ai rapporti con il GDPR del 2018, laddove venivano identificati alcuni principi-guida per risolvere le apparenti tensioni legate all’impiego di siffatta tecnologia rispetto alle regole in materia di protezione dei dati personali e si incoraggiava un utilizzo di registri distribuiti non come mezzo di conservazione di dati ma come strumento di memorizzazione di prove immutabili dell’esistenza di certi dati e si puntava a sfruttare al massimo il potenziale delle tecniche di crittografia, offuscamento e aggregazione dei dati al fine di renderli anonimi, prospettando ad esempio la memorizzazione dei dati personali off-chain o tecniche atte ad evitare la reidentificazione dei soggetti a cui i dati si riferiscono. Senza potere addentrarsi in tecnicismi sui modi in cui si può comunque consentire di non mettere in chiaro l’informazione personale sulla blockchain, si può rimarcare che questa tecnologia favorisce in re ipsa l’integrità e la sicurezza dei dati, garantendo la correlata resistenza ad eventuali attacchi esterni, per il fatto che conserva la memoria storica delle transazioni in modo immutabile e garantisce a ciascun partecipante una copia di ciascuna operazione. © Osservatoriosullefonti.it, fasc. 2/2023 376 CONTROLLO DELL’INTERESSATO E STRATEGIA EUROPEA SUI DATI Le tecnologie di registri distribuiti potrebbero allora essere ripensate come arnesi impiegabili dall’interessato per il recupero del controllo sui propri dati12. Proprio nella prospettata governance europea dei dati, anche in forza della possibile “riconciliazione” con il GDPR, la blockchain emerge con la veste di strumento utilizzabile non solo dalle imprese per rafforzare la loro presenza nel mercato digitale, ma anche dai data subjects per mantenere il diritto al controllo sui propri dati, nel caso di successivi passaggi ad altro titolare del trattamento. Questa potenzialità della blockchain è dichiarata dalla Risoluzione del Parlamento europeo sulla blockchain e i registri distribuiti del 2018, che si pone come primo obiettivo il fatto che le tecnologie DLT e blockchain possono costituire uno strumento che rafforza l’autonomia dei cittadini dando loro l’opportunità di controllare i propri dati e decidere quali condividere nel registro, nonché la capacità di scegliere chi possa sfruttare tali dati. Questo utilizzo è confermato dalla comunicazione ‘Una strategia europea per i dati’, secondo la quale «nuove tecnologie digitali decentralizzate, quali la blockchain, offrono sia alle persone sia alle imprese un’ulteriore opportunità di gestire i flussi e l’utilizzo dei dati sulla base di una libera scelta individuale e dell'autodeterminazione». Nel mercato sono da qualche tempo in essere esperimenti e applicazioni nelle quali la blockchain è utilizzata con questi obiettivi (attribuire all’interessato il controllo sulla direzione dei flussi di dati che genera e la scelta dei soggetti con i quali condividere gli stessi). Tale possibilità emerge espressamente dalla strategia europea per i dati, che richiama gli inviti formulati dal movimento MyData e da altri soggetti a fornire alle persone fisiche i mezzi per decidere di volta in volta in dettaglio come sono utilizzati i loro dati. Tra tali mezzi figurano strumenti per la gestione del consenso, app per la gestione delle informazioni personali, ma anche «soluzioni completamente decentrate basate sulla blockchain». Mutuando da esperienze applicative già in atto nel nostro Paese, i flussi di dati provenienti dai sensori e oggetti intelligenti potrebbero essere scambiati utilizzando mercati online di dati che consentono all’interessato di mantenere il controllo sui propri dati, attraverso gli smart contracts. Ambienti tecnologici così congegnati possono riattribuire nuova pregnanza proprio al consenso e rafforzare l’efficacia della sua revoca. In ogni momento, infatti, l’interessato (che è a conoscenza di chi utilizza i suoi dati) può Il tema è già stato affrontato da chi scrive in La blockchain tra controllo e “commercializzazione” dei dati personali, in E. NAVARRETTA, L. RICCI, A. VALLINI (a cura di), Il potere della tecnica e la funzione del diritto: un’analisi interdisciplinare di Blockchain, Torino, 2021, 161. 12 © Osservatoriosullefonti.it, fasc. 2/2023 377 DIANORA POLETTI revocare il consenso, sempre tramite lo smart contract che provvederà a “chiudere” il flusso dei dati. Un design di questo tipo – che combina blockchain e smart contracts - può realizzare obiettivi di data sharing in maniera decisamente più controllata (e anche GDPR-compliant) di quanto accade comunemente. Soluzioni come queste – magari poste in essere tramite i nuovi intermediari dei dati del DGA - potrebbero realizzare una sorta di “consumer empowerment” e fare partecipare al processo, come soggetto attivo, lo stesso interessato, consentendogli un recupero del diritto al controllo nei mercati “secondari” dei dati che lo riguardano. 6. Muoversi nella complessità Una breve riflessione conclusiva può appuntarsi su: una difficoltà già nota; un rischio trasformato in opportunità; l’ulteriore crescita della complessità. La difficoltà già nota è quella di regolare la terza via. Tra una chiusura ormai improponibile dei dati e l’apertura generalizzata auspicata da Thomas Ramge e Viktor Majer Schönberger nel libro “Fuori i dati! rompere i monopoli per rilanciare il progresso” si è posta una terza via che fa leva sulla dichiarata “voluntary” – ma anche “mandatory” – “sharing of data by individuals and businesses”. Fino a poco tempo fa la circolazione dei dati personali e ancor più la loro commercializzazione era considerata come un fattore di rischio per la libertà e i diritti dell’interessato. Al modello della data protection l’Europa ha aggiunto in tempi brevi il modello della data sharing. A conciliare i due modelli si pone la dichiarazione, da parte di tutti i provvedimenti attuativi della Strategia Europea sui dati, dell’intangibilità del GDPR, anche quando i dati personali siano “indissolubilmente legati” a quelli non personali13. Resta tuttavia una certa tensione interna tra un modello in cui l’esigenza trainante è quella del controllo e un modello la cui istanza è quella della apertura e della condivisione14. Il terzo profilo riguarda la continua crescita – normativa e tecnologica – della complessità della materia. Di questa complessità è permeato anche il tema del controllo dell’interessato, il quale, nell’economia dei dati, diventa 13 L’art. 8 par. 3 del reg. (UE) 2018/1807 demanda alla Commissione la pubblicazione di orientamenti sull’interazione tra il NPDR e il reg. (UE) 2016/679 (GDPR) “in particolare per quanto concerne gli insiemi di dati composti sia da dati personali che da dati non personali”. Nei casi in cui le parti di dati personali e non personali siano “indissolubilmente legate” (ossia qualora la separazione non sia tecnicamente possibile, ovvero economicamente svantaggiosa) occorre applicare il GDPR, anche qualora i dati personali siano presenti in minima parte. 14 Ritiene che i provvedimenti propri della strategia sui dati costituiranno un vero e proprio “stress-test” per il GDPR, G. CERINA FERRONI, Luci e ombre della Data Strategy europea, in Agenda Digitale, 12.05.2022. © Osservatoriosullefonti.it, fasc. 2/2023 378 CONTROLLO DELL’INTERESSATO E STRATEGIA EUROPEA SUI DATI sempre più difficile da esercitarsi (con il linguaggio europeo, sempre meno effettivo) e quindi deve essere diversamente ricostruito, perché ha bisogno di sostegni esterni. Diventa così un controllo delegabile, supportato, intermediato, incorporato nella tecnica, che si pone al centro di nuovi rapporti contrattuali (quello che lega l’interessato all’intermediario) che fuoriescono dall’originaria relazione dell’interessato con il titolare, può assumere persino una dimensione di esercizio collettivo quando l’interessato si affida, per così dire, ai nuovi servizi di intermediazione dei dati. Spetterà al lavorio dell’interprete dipanare al meglio tutti i grumi di problematicità che lo circondano e ripensare a un efficiente uso di strumenti per consentire al data subject, all’interno di una rete complessa di operatori e di rapporti negoziali dal sapore chiaramente mercantile, di non perdere il diritto di “inseguire” il dato che lo riguarda. © Osservatoriosullefonti.it, fasc. 2/2023