Data monetization e anonimizzazione: come trasferire i database in sicurezza

Autore: Tommaso Ricci

I dati rappresentano un asset di enorme valore per le aziende che può essere sfruttato per ottenere vantaggi economici e competitivi. Le migliaia di imprese italiane hanno raccolto per anni bagagli di informazioni di vario genere ed hanno a disposizione un vero e proprio tesoretto di “nuovo petrolio” denso di valore. Per poter estrarre tale valore dai dati (personali e non) è necessario strutturare strategie di monetizzazione dei database che prevedano intrinseche soluzioni di privacy by design e by default per cui è opportuno che i professionisti della data protection prendano in considerazione la regolamentazione dell’informazione nella sua dimensione più pura e nelle sue applicazioni più avanzate per permetterne il trasferimento e contemporaneamente per inquadrare nelle strutture giuridiche attuali le banche dati voluminose e variabili al fine di proteggerle.

INDICE DEGLI ARGOMENTI

1. Data Monetization: freni e rimedi

2. I rischi nei trasferimenti di dati e gli strumenti giuridici di protezione disponibili

3. Strumenti contrattuali per la riutilizzazione sicura dei dati: la privacy come fattore abilità te

4. Quale base legale per l’anonimizzazione

1. Data Monetization: freni e rimedi

La ragione dell’enorme valore dei dati risiede nella loro natura non consumabile e nella capacità di acquistare valore ogni qual volta vengono riutilizzati per scopi differenti.

Ad oggi, la Data Monetization – la capacità di trasformare i dati in informazione e l’informazione in valore in grado di generare benefici economici misurabili – non ha ancora avuto l’impatto dirompente che ci si aspettava. Ciò deriva da una serie di fattori essenzialmente legati alla possibilità ed alla convenienza di diffondere e riutilizzare i dati.

Una delle maggiori preoccupazioni delle aziende è quella di perdere il controllo dei propri dati una volta diffusi o addirittura di venire danneggiati dalla diffusione. Il disincentivo in questo caso deriva due ordini di fattori: in primis si teme di perdere i diritti di sfruttamento economico sui dati raccolti, a fronte di ingenti investimenti per predisporne la raccolta e l’immagazzinamento. I dati rappresentano un asset per le aziende il cui valore commerciale deriva dalla possibilità di trarne informazioni utili per orientare scelte strategiche (le preferenze dei consumatori, le criticità dei processi produttivi, l’orientamento di certi mercati, ecc.), per questo è di vitale importanza, per le imprese, proteggere i dati raccolti, per massimizzarne la produttività in termini economici. In secondo luogo, la disclosure potrebbe rivelare debolezze nei metodi di raccolta e quindi scarsa qualità dei dati, cagionando una diminuzione del loro valore commerciale.

Per sbloccare il potenziale dei dati è pertanto necessario comprendere quali siano gli strumenti giuridici attualmente disponibili in grado di favorire la circolazione delle idee e delle informazioni, e al contempo di incentivare la produzione e la diffusione di nuove creazioni intellettuali e raccolte di dati salvaguardando il vantaggio competitivo degli operatori.

2. I rischi nei trasferimenti di dati e gli strumenti giuridici di protezione disponibili

L’indebita appropriazione dei dati da parte di soggetti non autorizzati, così come l’uso dei dati per finalità non consentite, nonché l’incauto inserimento di tali dati nel web, costituiscono tutti atti non solo in grado di eliminare il vantaggio competitivo che la banca dati rappresenta per l’impresa, ma anche di annichilire l’investimento operato per la sua realizzazione e per il suo mantenimento.

Oltretutto dal punto di vista della protezione dei dati personali, è essenziale valutare in che termini avvengono i trasferimenti onde evitare la propagazione di responsabilità ad ogni trasferimento.

Ad esempio, nell’ipotesi in cui un intero database sia reso disponibile in reti peer-to-peer (caso frequente quando ad appropriarsi dei dati sia un ex-dipendente in cerca di rivalsa) potrebbero insorgere responsabilità del titolare del trattamento qualora si dimostri che non sono state adottate le misure di sicurezza adeguate per evitare trattamenti illeciti dei dati.

Prima di sviluppare strategie di Data Monetization occorre pertanto valutare come proteggere i database.

Ad oggi la legge protegge le banche dati, il know-how ed il segreto industriale, mentre la meritevolezza di tutela dei dati puri, che giocano un ruolo fondamentale per lo sfruttamento del valore commerciale ed industriale, è incerta.

Ad esempio il c.d. diritto sui generis (recepito negli artt. 102 bis e 102 ter della nostra Legge sul diritto d’autore) attribuisce al «costitutore» di una banca di dati il diritto esclusivo di vietare le operazioni di estrazione ovvero di reimpiego della totalità o di una parte sostanziale del proprio database nonché le forme di utilizzazione che costituiscono un illegittimo sfruttamento economico del suo contenuto.

Tuttavia tale forma di protezione non protegge i dati singolarmente presi, ma solo quelli facenti parte di un database, il che esclude tutti quei dati misurati dai sensori o prodotti dalle macchine, perlomeno nella prima fase della loro esistenza, cioè prima di essere raccolti in un database. Ciò genera un vuoto di tutela nello spazio temporale che intercorre tra la produzione dei dati e la loro raccolta a danno del produttore.

A questa esigenza, fortemente avvertita dagli stakeholders, l’UE sta cercando di dare una risposta soddisfacente e chiara come si evince dai recenti sviluppi legislativi, quali la proposta di Direttiva per il riuso dell’informazione nel settore pubblico ed il Regolamento sulla circolazione dei dati non personali, ma soprattutto dalle varie consultazioni pubbliche lanciate durante gli ultimi due anni, tra cui proprio quella sulla c.d. Direttiva Database, che ha introdotto la protezione sui generis delle banche dati, e il cui aggiornamento è attualmente al vaglio della Commissione.

3. Strumenti contrattuali per la riutilizzazione sicura dei dati: la privacy come fattore abilitante

A completamento delle protezioni offerte dalla proprietà intellettuale discusse sin qui, è opportuno considerare le limitazioni contrattuali che andrebbero adottate al fine di ottenere una ulteriore protezione dei database da un uso non autorizzato e dalla disclosure, permettendo al contempo di condividere e far circolare i dati abilitandone il safe reuse, ovvero una riutilizzazione controllata e sicura tramite la predisposizione di una struttura contrattuale appropriata che preveda oltre alle clausole per l’attribuzione dei diritti sui database e sui derivative works, delle precise restrizioni in merito all’anonimizzazione e al trattamento dei dati condivisi, in aggiunta alle apposite garanzie e limitazioni di responsabilità del caso.

Il contratto tipo nelle transazioni aventi ad oggetto i database è il contratto di licenza, tramite il quale il concedente consente che l’altro contraente, il licenziatario, ponga in essere una attività che altrimenti in mancanza di licenza costituirebbe una violazione dei suoi diritti di esclusiva. All’interno dell’ordinamento giuridico italiano, questa tipologia di accordo viene fatta rientrare nella categoria dei contratti atipici ossia privi di regolamentazione legislativa ad hoc. Da ciò deriva l’assenza di una specifica disciplina suppletiva in grado di colmare eventuali lacune che le parti abbiano omesso di regolamentare in sede pattizia (fatte salve limitate eccezioni e il ricorso analogico al contratto di locazione).

Risulta quindi evidente come la redazione del contratto di licenza rivesta una importanza particolare al fine di evitare che eventuali situazioni si rivelino del tutto sprovviste di una disciplina specifica e, successivamente alla sottoscrizione dell’accordo, possano dare luogo a controversie tra le parti. Il contenuto del contratto può essere liberamente determinato dai contraenti, nei limiti imposti dalla legge, purché diretto a realizzare interessi meritevoli di tutela secondo l’ordinamento giuridico.

In ogni caso se il contratto ha ad oggetto database contenenti informazioni che possono essere considerate dati personali ai sensi del GDPR, il trasferimento deve avvenire mantenendo fermo il rispetto del diritto alla protezione dei dati personali dei singoli individui. Quanto più le informazioni personali sono infatti accessibili alle imprese, tanto più i dati medesimi possono essere messi in pericolo da strumenti e procedure aziendali non adatte o non idonee, le quali utilizzano in maniera non corretta i dati raccolti ed eventualmente organizzati in banche dati.

Nonostante l’adozione dei principi di Privacy by design e by default, nonostante venga svolta una scrupolosa valutazione d’impatto (DPIA) e nonostante tutte le tecniche di de-identificazioni adottate, un soggetto con le adeguate risorse potrebbe potenzialmente riuscire a identificare i singoli individui a cui sono riferiti i dati: in tal senso il rispetto della privacy rappresenta il fattore abilitante del safe reuse.

A seconda delle circostanze il cedente potrebbe considerare di inserire all’interno del contratto di licenza una serie di previsioni volte a limitare la possibilità di re-identificazione degli individui:

limitando l’uso del licenziatario ai soli datasets anonimizzati della banca dati;
proibendo al licenziatario di identificare gli individui o di combinare i datasets con altri al fine di permettere la re-identificazione;
proibendo l’uso dei dati per fini non autorizzati;
richiedendo che il licenziatario notifichi prontamente in caso di avvenuta o probabile re-identificazione;
prevedendo la possibilità di sospendere o interrompere l’accesso al database da parte del cessionario nell’ipotesi in cui si ravvisi il rischio di re-identificazione degli individui e conseguente compromissione del database.

Il licenziatario che non intenda identificare gli individui dal canto suo potrebbe considerare di inserire all’interno dell’accordo una serie di disposizioni volte a:

assicurarsi che i dati forniti dal cedente siano adeguatamente anonimizzati e siano conformi al GDPR e alla normativa locale applicabile in materia di data protection;
assicurarsi che il cedente abbia il diritto a trattare dati personali e a cederli a terzi, ed in tal caso verificare l’estensione del consenso acquisito dal cedente ai fini degli scopi di utilizzo previsti e prevedibili;
richiedere che il cedente notifichi prontamente in caso di avvenuta o probabile re-identificazione.

4. Quale base legale per l’anonimizzazione

Il processo di anonimizzazione dei dati personali o metadati, che riveste una fondamentale importanza al fine di permettere la riutilizzazione delle informazioni, è considerato dai Garanti Europei una attività di trattamento ulteriore. Ciò emerge chiaramente dalle Linee Guida sull’ Anonimizzazione del Working Party 29 (ora European Data Protection Board – EDPB).

Tuttavia tale attività di trattamento può essere basata – oltre che su altre basi legali quali il consenso dell’interessato – sull’interesse legittimo del titolare, a condizione che:

sia svolto il test di compatibilità del trattamento ai sensi delle linee guida sulla limitazione delle finalità del Working Party 29;

sia svolto il test di bilanciamento per garantire che il legittimo interesse del titolare sia equamente bilanciato con i diritti e le libertà fondamentali degli interessati.

In tal senso, in base all’interpretazione delle norme, è possibile argomentare che il processo di anonimizzazione e il conseguente trattamento di dati e metadati trovi un fondamento di legittimazione ove, in aggiunta ai requisiti di cui sopra, esso:

sia svolto per finalità di analisi statistiche a fini di miglioramento del servizio prestato all’utente finale;

preveda una anonimizzazione irreversibile dei dati sin dal primo momento possibile;

non preveda la diffusione o comunicazione a terzi dei dati personali eventualmente trattati salvo in caso di informazioni del tutto anonime; e

preveda la possibilità per i soggetti interessati di opporsi a tale trattamento.

In particolare è significativo che i Garanti Europei, con riguardo alla liceità del trattamento, prevedano un parallelismo ed un richiamo reciproco tra le disciplina in materia di protezione dei dati personali e quella in materia di comunicazioni elettroniche: si prevede infatti che ove un trattamento di anonimizzazione trovi fondamento in base alla disciplina europea in materia di comunicazioni elettroniche, esso troverà un fondamento corrispondente anche ai sensi della disciplina in materia di protezione dei dati personali.

Questo parallelismo è particolarmente decisivo ai fini della corretta interpretazione dei requisiti di liceità del trattamento di anonimizzazione in quanto, relativamente alla sussistenza stessa della liceità, il titolare del trattamento viene accomunato al provider di servizi di comunicazione elettronica, in relazione al quale l’ultima bozza di Regolamento ePrivacy prevede espressamente una eccezione al divieto di trattamento ulteriore dei metadati, nel caso in cui tale trattamento sia effettuato per finalità statistiche o per finalità sostanzialmente allineate alla finalità principale e preveda l’anonimizzazione dei dati trattati.

Appare chiaro che, come affermato dal commissario UE Gunther Oettinger dal palco della fiera internazionale delle tecnologie industriali di Hannover: “abbiamo bisogno di una legge sulla proprietà virtuale e digitale, che includa i dati”.

In attesa di auspicabili sviluppi legislativi, per il momento puntando sulla protezione dei dati personali è possibile realizzare strategie di Data Monetization in grado di garantire la raccolta e la circolazione sicura dei dati, favorendo il giusto equilibrio tra esclusione ed accesso.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL