Blog costituzionale

Scambio di dati sull’economia sommersa

L'indagine condotta da Netzpolitik e Bayerischer Rundfunk sulla società Datarade ha messo a fuoco una parte dell'economia digitale che prima operava principalmente in background: il commercio di dati. Gli attori centrali sono i commercianti di dati (i cosiddetti data broker), il cui modello di business consiste nel commerciare con dati (non)/personali. Lo scambio di dati rappresenta una parte miliardaria dell’economia digitale globale e non è un fenomeno nuovo, ma recentemente i problemi fondamentali sono stati giustamente messi a fuoco. Il modello di business della maggior parte dei data broker mina le norme sulla protezione dei dati, la privacy e l’autonomia degli individui e crea problemi strutturali ed etici per le società democratiche. L’articolo delinea le implicazioni giuridiche del data trading rispetto al GDPR, alla DSA e all’AI-VO.

Chi sono gli attori coinvolti?

Lo scambio di dati si riferisce generalmente alla fornitura di dati personali e non personali in cambio di un pagamento in denaro o dello scambio di beni e prodotti. I broker di dati sono aziende che generano le loro entrate principali vendendo dati su individui che non li forniscono essi stessi. I data broker ottengono i loro dati da diverse fonti: acquistano da altri trader, estraggono essi stessi questi dati tramite web crawler o fonti accessibili al pubblico. Queste transazioni rappresentano un utilizzo secondario dei dati e avvengono senza gli interessati. Poiché i consumatori sono solo interessati ma non coinvolti, molte persone non hanno alcuna conoscenza dei data broker e dei loro modelli di business. Aziende rinomate come Google o Meta non rientrano quindi nella comprensione principale dei data broker: anche i motori di ricerca e i social network vendono dati, ma li raccolgono direttamente dai loro utenti. I data broker, invece, agiscono in modo più indiretto intermediari e non hanno utenti stessi ma clienti che non generano dati, ma li acquistano.

Tuttavia, la comprensione precedentemente chiara dei broker di dati (come gli broker di indirizzi ) sta diventando sempre più complessa, poiché molte aziende non solo scambiano dati ma offrono anche numerosi altri servizi. Anche la società Experian, uno dei più noti broker di dati e agenzie di informazioni creditizie, offre “ Soluzioni Big Data” . La domanda di dati è in aumento anche a causa della crescente diffusione di tecnologie ad alta intensità di dati come i LLM (Large Language Models). Si specula già sulla direzione in cui si svilupperà il mercato dello scambio di dati una volta esaurite le fonti di dati accessibili al pubblico, almeno di fatto.

Strutture dell'ecosistema dei dati

I broker di dati agiscono nell’interfaccia tra diversi punti di interesse e attori nell’ecosistema dei dati e agiscono quindi come intermediari invisibili. Inoltre, non hanno alcun interesse su chi e per quali scopi vengono utilizzati i dati che vendono e, ad esempio, vendono i dati raccolti per scopi di marketing alle agenzie di segnalazione del credito che li utilizzano per il credit scoring .

Lo scambio di dati come settore commerciale fiorente dell’economia digitale globale è un aspetto della continua dataficazione di tutti gli ambiti della vita. Di conseguenza, i data broker sono indissolubilmente legati alle strutture dell’economia globale dei dati, che fa molto affidamento sul tracciamento online nel contesto dell’uso della tecnologia di comunicazione digitale. Indipendentemente dalla qualificazione giuridica dei dati come proprietà suscettibile di essere posseduta, i dati costituiscono indiscutibilmente un bene economico. Tutte le aziende digitali di successo a livello globale estraggono in modo aggressivo i dati dai propri utenti. Il modello di business dei social network gestiti a livello centrale si basa sul finanziamento tramite pubblicità online , il contenuto specifico delle app e dei siti web è secondario; si tratta di mantenere gli utenti attivi sulla piattaforma il più a lungo possibile per estrarre dati personali e essere in grado di generare. Questo obiettivo è ottimizzato attraverso le offerte in tempo reale, in cui gli inserzionisti fanno offerte in un'asta automatizzata per avere la possibilità di indirizzare un annuncio a uno specifico utente Internet.

Perché lo scambio di dati è problematico?

Nonostante i flussi di dati opachi e i modelli di business difficilmente comprensibili nel dettaglio, le transazioni giuridicamente ed eticamente problematiche sono diventate più volte pubbliche. Ad esempio, una società statunitense in rapporti commerciali con il governo americano ha venduto dati sulla posizione delle cliniche per aborti ; la società LiveRamp ha creato un “registro privato della popolazione” basato su categorie come “depressione, cancro al seno” ; Datastream ha offerto ai giornalisti 3,6 miliardi di dati sulla posizione dalla Germania – gratuitamente e come incentivo per sottoscrivere un abbonamento.

Lo scambio di dati catalizza la massiccia asimmetria del potere informativo nella sfera digitale: le singole aziende sono in grado di accumulare enormi quantità di dati e di utilizzarli per i loro scopi economici. I consumatori, dal canto loro, non possono utilizzare i propri dati a livello commerciale in modo comparabile, né le persone interessate nella maggior parte dei casi sanno chi commercializza i loro dati e per quali scopi. Il commercio non regolamentato di dati alimenta questi problemi attraverso catene di transazioni ingestibili che oscurano le responsabilità, minano gli stanziamenti e mettono in pericolo la sicurezza dei dati .

Il rischio di un uso improprio della concentrazione di quantità estremamente grandi di dati su intere popolazioni da parte di singoli attori – governo o settore privato – è evidente. Combinato con l’analisi predittiva, ogni dettaglio può essere utilizzato per raggruppare le persone e attribuire loro caratteristiche che nemmeno loro conoscono . Indipendentemente dal fatto che queste attribuzioni siano vere o meno, si verifica una massiccia perdita di controllo sull’espressione di sé e una riduzione dell’autonomia individuale. La discriminazione è stata documentata numerose volte e la diffusione mirata di false informazioni a gruppi selezionati di persone avvelena il dibattito sociale. Si parla sempre più spesso anche di una minaccia alla sicurezza nazionale . Non sorprende che gli immensi set di dati consentano previsioni su quasi ogni persona e non escludano dipendenti di governi, servizi segreti o altre autorità statali rilevanti per la sicurezza.

Normativa sulla protezione dei dati e problemi di applicazione

Sulla base di ciò che sappiamo sulle pratiche di molti data broker, gran parte di ciò che sembra essere una pratica comune oggi sembra semplicemente essere illegale. Ciò vale in particolare per quanto riguarda il consenso, le basi di autorizzazione e la limitazione delle finalità. Anche la compatibilità con i principi fondamentali della protezione dei dati, come la minimizzazione dei dati, è altamente discutibile.

Il GDPR è rilevante quando si trattano i dati personali. Anche la “trasmissione” dei dati, come nel caso della ricerca sul commercio di dati, è un trattamento dei dati giuridicamente rilevante. Ai sensi del GDPR, i dati personali esistono quando contengono informazioni su una persona fisica, identificata o identificabile . Nella stragrande maggioranza dei casi, i data broker tratteranno i dati personali perché sono particolarmente interessanti per il successivo utilizzo a fini di profilazione, pubblicità e previsione. Per la classificazione come dati personali ai sensi dell'art. Art. 4 n. 1 GDPR non dipende dal fatto che le attribuzioni, come l'assegnazione a una determinata fascia di età, l'orientamento sessuale o la predisposizione a determinate malattie, siano fattivamente corrette o meno.

I dati relativi all'ubicazione trasmessi nel corso della ricerca Datarade sono dati personali ai sensi dell'articolo 4 n. 1 GDPR, che recita: “Una persona fisica è considerata identificabile se è direttamente o indirettamente collegata a un identificatore come un nome Identificazione numero, dati relativi all'ubicazione […].” (anche per la stringa TC ECJ C-604/22 ). La pratica della ricerca ha anche dimostrato che le persone potevano essere identificate in base ai loro schemi di movimento.

Chiunque tratti dati personali necessita di una base giuridica ai sensi del GDPR. La base di autorizzazione richiesta ai sensi dell'articolo 6 paragrafo 1 GDPR, nonché gli eventuali requisiti aggiuntivi di cui all'articolo 9 paragrafo 2 GDPR, per il trattamento di categorie particolari di dati personali sono discutibili in molti casi di scambio di dati. Il rispettivo intermediario dei dati è responsabile della presentazione e della prova ai sensi dell'articolo 5 par. 2 GDPR.

Il consenso ai sensi dell'articolo 6 paragrafo 1 a), 7 GDPR nella pratica non viene ottenuto perché gli interessati non sono coinvolti nelle transazioni. Il consenso dato ai responsabili che raccolgono dati direttamente dagli interessati, ad es. gestori di siti web, non si estende alla vendita illimitata di questi dati a terzi che al momento non possono ancora essere identificati (anche qui sui problemi fondamentali del consenso). nel contesto online) .

La base giuridica dell'interesse legittimo rimane l'art. 6 par. 1 f) GDPR, che è generalmente rilevante, ad esempio, per la pubblicità diretta, cfr. 47 GDPR. Secondo questo, il trattamento deve essere necessario per salvaguardare gli interessi legittimi del responsabile del trattamento e gli interessi dell’interessato non devono prevalere su di essi. Per il necessario bilanciamento degli interessi è necessario tenere conto dell’interesse economico nel trattamento, delle ragionevoli aspettative dell’interessato e dei principi di protezione dei dati.

Il sistema del GDPR e la giurisprudenza della Corte di giustizia europea non presuppongono che le persone interessate siano semplicemente lasciate senza protezione perché online vengono commesse onnipresenti violazioni della protezione dei dati. Le persone interessate non devono aspettarsi che i loro dati raccolti altrove vengano venduti a un numero ingestibile di terzi per scopi a loro sconosciuti. Ad esempio, i dati resi pubblici dagli stessi interessati godono di una protezione minore; Tuttavia i profili e i gruppi creati non sono stati resi pubblici dalle persone interessate. Ciò porta al problema generale del GDPR e dell’AI, poiché la distinzione tra categorie particolari di dati personali ai sensi dell’art. 9 par. 1 GDPR diventa di fatto impossibile se i modelli predittivi possono ricavare attribuzioni di qualsiasi tipo da dati non sensibili (art. 9 par. 1 GDPR parla di “emergente”).

Ci sono preoccupazioni anche riguardo alla limitazione della finalità, Art. 5 par. 1 b) GDPR, che viene semplicemente compromessa dalle molteplici vendite o dall'ulteriore trattamento dei dati. Per quanto riguarda lo scambio di indirizzi, diversi responsabili della protezione dei dati sono del parere che questo non possa più basarsi su un interesse legittimo. Oltre ai problemi strutturali della legge sulla protezione dei dati con le tecnologie digitali ad alta intensità di dati, la massima mancanza di trasparenza del settore porta anche a enormi problemi di applicazione perché si sa troppo poco sugli attori e sui flussi commerciali coinvolti.

Lacuna normativa nei mercati dei dati?

Il caso Datarade non solo è esplosivo dal punto di vista giuridico perché l'azienda ha ricevuto investimenti dal Gründerfonds High-Tech, che a sua volta è finanziato per oltre il 50% dalla BMWK , ma rivela anche una lacuna nella protezione giuridica che va oltre l'attuazione deficit di violazioni del GDPR. Secondo Datarade non elabora direttamente i dati scambiati, ma agisce solo come intermediario tra due parti che, a loro volta, vogliono concludere una transazione di scambio di dati. Datarade è quindi un mercato di dati in cui è possibile avviare attività commerciali e, come molte altre piattaforme, non è responsabile del contenuto specifico. Ciò evidenzia da un lato la necessità di dare uno sguardo normativo alle infrastrutture e non solo ai singoli trattamenti di dati, dall’altro le difficoltà nella sua effettiva attuazione. L'offerta dei mercati è legittima, è nella natura degli intermediari non poter controllare ogni singolo contenuto o transazione. Tuttavia, mancano obblighi fondamentali per i mercati dei dati di agire contro violazioni legali evidenti o strutturali.

La domanda interessante è se le sedi di scambio di dati rientrano nella legge sui servizi digitali e sono quindi soggette a determinati obblighi per gli intermediari. Indipendentemente dal fatto che i centri di scambio dati vengano utilizzati come servizi intermediari nel senso di. Potrebbe applicarsi l'articolo 3 g) DSA, gli obblighi della DSA sono volti a moderare i contenuti per proteggere i consumatori e meno a mediare transazioni nelle relazioni B2B. Inoltre non esiste un obbligo generale di monitorare i contenuti illegali ai sensi dell’articolo 8 DSA.

Non sorprende che il Regolamento AI non affronti il ​​problema dello scambio di dati, ma regolamenta piuttosto i sistemi di AI dal momento dell’accesso al mercato (ad eccezione della normativa sui laboratori reali di AI, art. 57 ss) e non l’acquisizione dei i dati di allenamento necessari in anticipo. È importante, tuttavia, che il Regolamento AI definisca nell’Allegato III i contesti operativi ad alto rischio volti a prevenire il rischio di discriminazione, ad esempio il credit scoring o l’affidamento di servizi pubblici. Le norme sulla qualità per l’output dei sistemi di intelligenza artificiale non risolvono il problema a monte dello scambio di dati per la privacy e la protezione dei dati.

Necessità di riforme: la California come modello?

In California, la “ Legge sulla registrazione dei data broker ” prevede ampi obblighi per i data broker. I data broker sono definiti come “un’azienda che raccoglie e vende consapevolmente a terzi le informazioni personali di un consumatore con il quale l’azienda non ha un rapporto diretto”. Queste aziende devono registrarsi presso la California Privacy Protection Agency ed è stato adottato un meccanismo unico che consente ai consumatori di cancellare tutti i propri dati personali con una sola richiesta.

Un obbligo di registrazione per gli intermediari di dati è il primo passo verso la creazione di informazioni e trasparenza sufficienti per semplificare l'applicazione in una seconda fase. Inoltre verrebbero chiarite le questioni relative alla demarcazione. Dal punto di vista del consumatore, l'applicazione è notevolmente semplificata da un meccanismo a sportello unico e allevia l'onere di far rispettare i diritti dei singoli interessati ai sensi del GDPR, cosa particolarmente difficile a causa della mancanza di conoscenza.

Critica finale

Nell'ambito di Datarade si invoca ora una regolamentazione più rigorosa del mercato dei dati. Questo sembra promettente, ma è molto complicato da implementare. Oltre alla creazione di nuovi requisiti legali, ciò che serve soprattutto è la volontà politica di investire più risorse nelle strutture ufficiali di controllo (parola chiave: autorità irlandese per la protezione dei dati). Il dibattito politico-giuridico ha anche una componente analitica del discorso: il lobbying senza precedenti attorno all’AI-VO ha chiaramente dimostrato che le tecnologie digitali ad alta intensità di dati continuano ad essere equiparate in modo troppo acritico all’innovazione che dovrebbe contribuire al progresso, alla prosperità e alla crescita e senza che le democrazie occidentali cadano in un arretrato percepito. Tuttavia, questi non sono solo sviluppi tecnici da cui le società generalmente traggono beneficio, ma piuttosto cambiamenti socio-tecnici di potere che sono intrinsecamente intrecciati con i modelli di business degli attori coinvolti. Nessun interesse economico legittimo giustifica l’immenso potere dei dati di una manciata di aziende globali che eludono strutturalmente i requisiti normativi. La narrativa di una società dei dati completamente digitalizzata è definita da alcune tecnologie, come l’intelligenza artificiale generativa, e dagli attori ad esse associati e porta a una dipendenza quasi globale dai prodotti e dalle infrastrutture delle singole aziende, come ha dimostrato il fiasco di CrowdStrike qualche settimana fa . Per quanto riguarda lo scambio di dati, è quindi necessario un dibattito critico e informato su come progettare un’economia dei dati in grado di creare un equilibrio tra interessi privati ​​e pubblici, democratici e comunitari.


Questa è la traduzione automatica di un articolo pubblicato su Verfassungsblog all’URL https://verfassungsblog.de/datenhandel-eu-dsgvo-gdpr-datatrade/ in data Wed, 14 Aug 2024 13:05:37 +0000.