Blog costituzionale

Nell’ombra

Le recenti inchieste di Netzpolitik e dell'emittente pubblica tedesca Bayerischer Rundfunk sulla società Datarade hanno fatto luce su una parte dell'economia digitale che finora ha operato principalmente in background: il commercio di dati. Gli attori principali in questo settore sono i broker di dati, il cui modello di business consiste nel commerciare dati (non) personali. Lo scambio di dati è una componente multimiliardaria dell’economia digitale globale e non è un fenomeno nuovo. Tuttavia, i suoi problemi fondamentali sono recentemente, e giustamente, venuti alla ribalta. Il modello di business della maggior parte dei data broker mina la protezione dei dati, la privacy e l’autonomia degli individui e crea problemi strutturali ed etici per le società democratiche. Questo articolo delinea le implicazioni legali del commercio di dati nel contesto del GDPR, del DSA e della legge sull’AI.

Giocatori chiave

In generale, il data trading si riferisce allo scambio commerciale di dati personali e non personali con denaro, beni o prodotti. I data broker sono aziende che guadagnano i loro ricavi principali fornendo dati, in particolare sugli individui, con queste informazioni provenienti principalmente da entità diverse dagli interessati stessi. I data broker ottengono dati da una varietà di fonti: li acquistano da altri trader, li estraggono essi stessi utilizzando web crawler o li ricavano da informazioni disponibili al pubblico. Le vendite successive rappresentano utilizzi secondari dei dati e non coinvolgono gli interessati. Poiché i consumatori sono interessati ma non direttamente coinvolti, molte persone non sono a conoscenza dell’esistenza dei data broker. Aziende rinomate come Google o Meta non rientrano nella definizione principale di broker di dati. Sebbene anche i motori di ricerca e i social network vendano dati, nella maggior parte dei casi li raccolgono direttamente dai propri utenti. Al contrario, i broker di dati operano in modo più indiretto rispetto agli intermediari; non hanno utenti stessi, ma clienti che acquistano dati invece di generarli.

Tuttavia, la comprensione precedentemente chiara dei broker di dati (come i broker di indirizzi come i servizi postali nazionali ) sta diventando sempre più complessa. Molte aziende oggi non si limitano a scambiare dati, ma offrono anche una serie di altri servizi. Ad esempio, Experian, uno dei broker di dati e agenzie di credito più noti , fornisce anche " soluzioni Big Data ". La continua domanda di nuovi dati è in aumento a causa della proliferazione di tecnologie ad alta intensità di dati come i Large Language Models (LLM). Di conseguenza, si specula già sul futuro del mercato dello scambio di dati una volta esaurite le fonti di dati effettivamente pubblici.

L'ecosistema dei dati

I broker di dati operano all’intersezione di varie parti interessate e attori all’interno dell’ecosistema dei dati, fungendo da intermediari in gran parte invisibili. Gli stessi broker sono generalmente indifferenti a chi utilizza i dati che vendono o per quali scopi, come vendere i dati raccolti per scopi di marketing alle agenzie di credito che li utilizzano per il credit scoring.

Il commercio dei dati è un settore fiorente dell’economia digitale globale e solo una varietà della continua dataficazione di tutti gli aspetti della vita. Di conseguenza, i data broker sono profondamente radicati nelle strutture dell’economia globale dei dati, che fa molto affidamento sul monitoraggio online nel contesto delle tecnologie di comunicazione digitale . Indipendentemente dal fatto che i dati siano legalmente classificati come proprietà, non si può negare che i dati funzionino come una risorsa economica significativa. Tutte le aziende private digitali di successo a livello globale si impegnano in un’estrazione aggressiva dei dati dai propri utenti. Soprattutto il modello di business dei social network gestiti a livello centrale si basa sul finanziamento tramite la pubblicità online. Come ha giustamente riconosciuto la Corte di giustizia , il contenuto specifico delle app e dei siti web è di secondaria importanza; l'obiettivo principale è mantenere gli utenti impegnati sulla piattaforma il più a lungo possibile per estrarre e generare dati personali. Questo obiettivo è ulteriormente ottimizzato attraverso le offerte in tempo reale , in cui gli inserzionisti partecipano ad aste automatizzate per avere l'opportunità di indirizzare annunci specifici a utenti Internet.

Problemi di scambio di dati

Nonostante i flussi di dati e i modelli di business opachi e difficili da tracciare, le transazioni giuridicamente ed eticamente problematiche sono diventate pubbliche più volte. Ad esempio, una società statunitense con legami con il governo ha venduto dati sulla posizione provenienti da aree circostanti le cliniche per aborti ; la società LiveRamp ha creato un "registro privato della popolazione" basato su categorie come "depressione" e "cancro al seno" ; Datastream ha offerto ai giornalisti 3,6 miliardi di punti dati sulla posizione dalla Germania, gratuitamente e come incentivo per sottoscrivere un abbonamento.

Lo scambio di dati catalizza soprattutto la massiccia asimmetria del potere informativo nella sfera digitale: da un lato alcune aziende sono in grado di accumulare grandi quantità di dati e di utilizzarli esclusivamente per i propri scopi economici. I consumatori, d’altro canto, non possono utilizzare i propri dati a fini commerciali in modo comparabile, né la stragrande maggioranza sa chi vende i propri dati e per quali scopi. Il commercio di dati non regolamentato aggrava questi problemi attraverso catene di transazioni opache che oscurano le responsabilità, minano la limitazione dello scopo dei dati e mettono a repentaglio la sicurezza dei dati .

Il rischio di abusi derivanti dalla concentrazione di set di dati estremamente grandi su intere popolazioni nelle mani di singoli attori – siano essi statali o privati ​​– è evidente. In combinazione con l’analisi predittiva, ogni dettaglio può essere utilizzato per raggruppare gli individui e assegnare loro caratteristiche che potrebbero non conoscere nemmeno . Che queste inferenze siano accurate o meno, si traducono in una significativa perdita di controllo sulla rappresentazione di sé e in una violazione dell’autonomia individuale. Le pratiche discriminatorie sono ben documentate e la diffusione mirata della disinformazione a gruppi selezionati di persone avvelena il discorso pubblico . Inoltre, la discussione sulla minaccia alla sicurezza nazionale è in aumento. Non sorprende che queste vaste quantità di dati consentano previsioni e deduzioni su quasi tutti gli individui, compresi i dipendenti di governi, agenzie di intelligence o altre autorità statali rilevanti per la sicurezza.

La normativa sulla protezione dei dati e il suo deficit di applicazione

Sulla base di ciò che sappiamo sulle pratiche di molti data broker, gran parte di ciò che è pratica comune oggi sembra essere semplicemente illegale. Ciò vale in particolare per il consenso, le basi giuridiche per il trattamento dei dati e la limitazione delle finalità. Inoltre, è altamente discutibile anche la compatibilità con i principi fondamentali del diritto sulla protezione dei dati, come la minimizzazione dei dati.

Al trattamento dei dati personali si applica il GDPR. Anche la "trasmissione" di dati, come nel caso dell'inchiesta Datarade, costituisce un trattamento di dati giuridicamente rilevante. Ai sensi del GDPR, per dato personale si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile . Nella stragrande maggioranza dei casi, i data broker trattano dati personali poiché sono particolarmente preziosi per scopi di profilazione, pubblicità e previsione. Per quanto riguarda la classificazione come dati personali ai sensi dell’articolo 4, paragrafo 1, del GDPR, non importa se le attribuzioni, come l’assegnazione a una determinata fascia di età, l’orientamento sessuale o la predisposizione a determinate malattie, siano fattualmente corrette o meno.

I dati relativi all'ubicazione di milioni di persone trasmessi nell'ambito dell'indagine Datarade sono dati personali ai sensi dell'articolo 4 n. 1 del GDPR, che recita: "una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, […]." (come confermato anche nella sentenza TC-String della Corte di giustizia europea, causa C-604/22 ). Di conseguenza, l’indagine ha anche dimostrato che gli individui potevano essere identificati in base ai loro schemi di movimento.

Il GDPR richiede una base giuridica per ogni trattamento di dati personali, l’articolo 6, paragrafo 1. Questa base giuridica, così come eventuali ulteriori requisiti ai sensi dell’articolo 9, paragrafo 2, del GDPR per il trattamento di categorie particolari di dati personali, è discutibile in molti casi di scambio di dati. La responsabilità di fornire prove e giustificazioni spetta al rispettivo intermediario dei dati ai sensi dell'articolo 5, paragrafo 2, del GDPR.

Nella pratica il consenso come base giuridica per il commercio dei dati ai sensi dell’articolo 6, paragrafo 1, lettera a), e dell’articolo 7 RGPD non viene ottenuto, poiché gli interessati coinvolti non partecipano alle transazioni. Il consenso prestato al titolare del trattamento che raccoglie i dati direttamente dagli interessati, quali gestori del sito web, non si estende all'ulteriore vendita illimitata di tali dati a terzi non identificabili al momento della raccolta (per questioni fondamentali relative al consenso nel contesto online, vedere qui ).

Di conseguenza, la restante base giuridica è l’interesse legittimo ai sensi dell’articolo 6, paragrafo 1, lettera f), del GDPR. Secondo tale disposizione il trattamento deve essere necessario per tutelare gli interessi legittimi del titolare del trattamento e gli interessi dell’interessato non devono prevalere su questi. Il necessario bilanciamento degli interessi deve considerare, tra le altre cose, l’interesse economico nel trattamento, le ragionevoli aspettative dell’interessato e i principi della protezione dei dati.

La struttura normativa del GDPR e la giurisprudenza della Corte di giustizia europea contraddicono il presupposto secondo cui gli interessati non sono protetti semplicemente perché nel mondo online si verificano onnipresenti violazioni della protezione dei dati. Piuttosto, gli interessati non devono aspettarsi che i loro dati, raccolti altrove, vengano rivenduti a un numero ingestibile di terzi per scopi sconosciuti. Sebbene i dati resi pubblici dagli interessati stessi siano meno tutelati , in particolare i profili e le deduzioni ricavati non sono stati resi pubblici dagli interessati stessi. Ciò porta al problema generale del GDPR e dell’IA, poiché diventa praticamente impossibile distinguere tra categorie speciali di dati personali ai sensi dell’articolo 9, paragrafo 1, del GDPR quando i modelli predittivi possono ricavare attribuzioni di qualsiasi tipo da dati non sensibili (articolo 9(1) GDPR si riferisce a "rivelatore").

Allo stesso modo, le pratiche di scambio di dati sollevano serie preoccupazioni riguardo al principio di limitazione delle finalità di cui all’articolo 5, paragrafo 1, lettera b), del GDPR, che è di fatto compromesso dalla vendita ripetuta o dall’ulteriore trattamento dei dati . Per quanto riguarda l'address trading, diverse autorità tedesche per la protezione dei dati sembrano essere del parere che non possa più essere giustificato sulla base di interessi legittimi. L’estrema opacità del settore dei broker di dati, combinata con le questioni strutturali della legge sulla protezione dei dati con tecnologie basate sui dati , porta a notevoli problemi di applicazione, poiché si sa troppo poco sugli attori coinvolti, sui flussi e sulle relazioni commerciali.

Il divario normativo dei mercati dei dati

Il caso Datarade non è solo politicamente delicato dal punto di vista tedesco perché l'azienda ha ricevuto investimenti dal "High-Tech Gründerfonds", finanziato per oltre il 50% dal Ministero federale per l'economia e l'azione per il clima , ma rivela anche un lacuna normativa che va oltre i deficit di applicazione delle violazioni del GDPR. La società interessata Datarade afferma di non elaborare direttamente i dati scambiati, ma di agire solo come intermediario tra due parti che desiderano effettuare una transazione di scambio di dati. Di conseguenza, le sue azioni non rientrano nell’ambito di applicazione del GDPR. Pertanto, Datarade funziona come un mercato di dati in cui è possibile avviare transazioni e, come molte altre piattaforme, non è ritenuta responsabile per il contenuto specifico. Ciò evidenzia, da un lato, la necessità di regolamentare le infrastrutture e non solo le singole attività di trattamento dei dati e, dall’altro, le sfide legate all’attuazione concreta di tale regolamentazione. Fornire mercati è legittimo ed è inerente alla natura degli intermediari il fatto che non possano controllare ogni singolo contenuto o transazione. Tuttavia, vi è una generale mancanza di obblighi fondamentali per i mercati dei dati per affrontare violazioni legali evidenti o strutturali.

Una domanda interessante è se i mercati dei dati ricadono sotto la legge sui servizi digitali (DSA) e sono quindi soggetti a determinati obblighi per gli intermediari. Indipendentemente dal fatto che le piattaforme di scambio di dati possano essere considerate servizi di intermediazione ai sensi dell’articolo 3, lettera g), della DSA, gli obblighi della DSA mirano principalmente alla moderazione dei contenuti per proteggere i consumatori, piuttosto che alla mediazione delle transazioni nelle relazioni B2B. Inoltre, non esiste alcun obbligo generale di monitorare i contenuti illegali ai sensi dell’articolo 8 della DSA.

Non sorprende che la legge sull'AI non affronti la questione dello scambio di dati, ma regola invece i sistemi di IA solo dal momento dell'ingresso nel mercato (ad eccezione delle disposizioni sugli sandbox di regolamentazione dell'IA di cui all'articolo 57 e segg.) e non dall'acquisizione dei i dati di allenamento necessari in anticipo. Tuttavia, è importante notare che la legge sull’AI definisce nell’allegato III i contesti di utilizzo ad alto rischio, che hanno lo scopo di prevenire rischi di discriminazione, come il credit scoring o l’assegnazione di servizi pubblici. Tuttavia, i requisiti di qualità per i risultati dei sistemi di IA non risolvono le questioni a monte dello scambio di dati riguardanti la privacy e la protezione dei dati

Il modo californiano?

In California, la " Legge sulla registrazione dei broker di dati " impone ampi obblighi ai broker di dati. I data broker sono definiti come "un'azienda che raccoglie e vende consapevolmente a terzi le informazioni personali di un consumatore con il quale l'azienda non ha un rapporto diretto". Queste aziende devono registrarsi presso la California Privacy Protection Agency ed è stato introdotto un meccanismo unico che consente ai consumatori di richiedere la cancellazione di tutti i propri dati personali con un'unica richiesta.

L’obbligo di registrazione per i data broker è il primo passo verso la creazione di informazioni e trasparenza sufficienti, che a loro volta facilitano l’applicazione della normativa nella fase successiva. Chiarirebbe anche le questioni di delineazione. Dal punto di vista del consumatore, l'applicazione è notevolmente semplificata dal meccanismo a sportello unico, sollevandolo dal gravoso compito di far rispettare i diritti individuali ai sensi del GDPR, che può essere particolarmente impegnativo a causa della mancanza di consapevolezza e di apatia razionale.

Conclusione

Nel contesto di Datarade si chiede ora una maggiore regolamentazione del mercato dei dati. Questo approccio sembra promettente, ma è anche molto complesso da implementare. Oltre alla creazione di nuove leggi, è necessaria la volontà politica di investire maggiori risorse nelle strutture di controllo (vedi l’Autorità irlandese per la protezione dei dati). Il dibattito giuridico e politico ha anche una dimensione discorsivo-analitica: le pressioni senza precedenti che circondano l’AI Act hanno chiaramente dimostrato che le tecnologie digitali ad alta intensità di dati continuano a essere equiparate in modo troppo acritico all’innovazione, un’innovazione che dovrebbe guidare il progresso, la prosperità. e crescita, e senza il quale le democrazie occidentali sono percepite come a rischio di rimanere indietro. Tuttavia, non si tratta semplicemente di sviluppi tecnici a vantaggio della società nel suo complesso, ma piuttosto di spostamenti di potere socio-tecnici che sono intrinsecamente legati ai modelli di business degli attori coinvolti. Nessun legittimo interesse economico giustifica l’immenso potere dei dati concentrato nelle mani di poche aziende globali che sfuggono strutturalmente al controllo normativo. La narrazione di una società dei dati completamente digitalizzata è definita da alcune tecnologie, come l’intelligenza artificiale generativa, e dagli attori dietro di esse, portando a una dipendenza quasi globale dai prodotti e dalle infrastrutture delle singole aziende, come ha dimostrato il fiasco di CrowdStrike poche settimane fa . È quindi necessario un dibattito critico e informato anche riguardo allo scambio di dati, concentrandosi su come progettare un’economia dei dati che bilanci gli interessi privati ​​e pubblici, democratici e comunitari.


Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/datatrade-eu-gdpr-privacy/ in data Wed, 14 Aug 2024 13:43:28 +0000.