La monetizzazione del dato: tabù o realtà?

Dare valore a un dato personale, scambiandolo per l’erogazione di un bene. Il caso è stato già introdotto dai ricercatori del progetto europeo “Ducopod”, che si pone l’obiettivo di analizzare l’istituto del Diritto alla portabilità dei dati (art. 20 del GDPR)

Pubblicato il 17 Nov 2020

monetizzazione dato

È giusto dare valore a un dato personale scambiandolo per l’erogazione di un bene o di un servizio? La monetizzazione del dato è una delle questioni più delicate in materia di protezione dei dati personali.

Dare risposte univoche sarebbe prematuro e accelererebbe forzatamente un processo che, anche nella piena legalità, richiede una consapevolezza graduale da parte delle istituzioni e degli interessati. Tutte le normative di riferimento inoltre, pur non escludendo la possibilità che i dati personali possano essere monetizzati, non disciplinano espressamente la materia.

La monetizzazione del dato e il progetto Ducopod

L’obiettivo, in questo caso, non è rispondere ai complessi dilemmi che ruotano attorno al data monetization, ma orientare il ragionamento e iniziare a porsi le giuste domande, delineando un ipotetico caso studio per intercettare rischi e opportunità.

Il caso è stato già introdotto dai ricercatori del progetto “Ducopod”, progetto europeo che si pone l’obiettivo di analizzare l’istituto del Diritto alla portabilità dei dati (art. 20 del GDPR), considerato da molti la vera porta d’ingresso per una futura economia della monetizzazione del dato.

L’articolo 20 del GDPR infatti, comma 1, dopo aver specificato che l’interessato “ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento”, specifica inoltre che “ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento”.

Il secondo comma è ulteriormente più chiaro. “Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile”.

Ciò è possibile solo se “il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b);” (lettera a) e se il trattamento è “effettuato con mezzi automatizzati” (lettera b).

Dunque, il GPDR consente a un titolare del trattamento di inviare con mezzi automatizzati dati personali a un secondo titolare su richiesta dell’interessato.

Per definire un caso di studio sulla monetizzazione del dato, lo scenario ideale è una smart city.

Monetizzazione del dato: il caso di una smart city

Come è ovvio, infatti, non si potrebbe immaginare un caso senza un sistema che dia la più completa consapevolezza e trasparenza all’interessato sull’utilizzo dei propri dati.

Una smart city è circoscritta da confini non solo fisici, ma anche digitali, in cui partecipano specifici titolari del trattamento immediatamente rintracciabili in uno specifico ecosistema, che prende il nome di “villaggio digitale”.

Il GDPR infatti sia all’art. 13 sia all’art 14, specifica tra le informazioni da fornire all’interessato gli “eventuali destinatari o le eventuali categorie di destinatari dei dati personali”. Per destinatario si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali”. L’art. 4 chiarisce che il destinatario può essere anche un titolare o un responsabile al trattamento, uno di quei soggetti cioè che potrebbe ricevere dati personali da altri titolari del trattamento per conto dell’interessato che ha esercitato il diritto alla portabilità.

L’interessato del caso studio Bill, l’indomani dovrà recarsi dal dentista. Bill cerca su internet un modo per raggiungere lo studio con un mezzo pubblico. Il dentista è fuorimano. La fermata di metro più vicina è a 20 minuti a piedi dal luogo di destinazione. Decide di prenotare il biglietto: la sua metro partirà alle 9.30 e arriverà alla fermata più vicina 20 minuti prima dell’appuntamento dal dentista.

Prenotando il biglietto, Bill acconsente al trattamento dei dati personali da parte della società di trasporti (titolare del trattamento art. 4 n° 7) – che per comodità chiameremo “Delta” – per finalità legate all’esercizio delle sue funzioni (art. 13 lett. c) e acconsente a che Delta comunichi in modo pseudonimizzato, i suoi dati personali, in particolare dati di geo-localizzazione, ad un numero finito di destinatari (titolari del trattamento), tra cui una catena di bar e una società di monopattini elettrici – società “Beta”. Acconsentendo anche a questa seconda finalità, Delta garantisce che per prendere la metro Bill non pagherà alcunché.

Esiste una convenzione a monte di questo scambio, con la quale i destinatari si impegnano a pagare una certa somma per ricevere dati personali di qualche tipo avendo ottenuto, come base giuridica del trattamento, il consenso dell’interessato ex. art. 6.

La questione più delicata in materia di monetizzazione dati è proprio l’ipotetica base giuridica del trattamento. Secondo l’art. 4 del GPDR, il consenso dell’interessato è qualsiasi manifestazione di volontà libera. Ma il consenso è espresso liberamente o evidentemente condizionato dalla gratuità del servizio?

Il Considerando 43 precisa: “Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Bill ha potuto esprimere due consensi separati. Sia il consenso al trattamento da parte della società Delta, sia il consenso al trasferimento dei propri dati. In più, la società Delta, garantendo all’interessato il servizio gratuito in cambio dei suoi dati, stipula un contratto con Bill il cui trattamento dei suoi dati personali è “necessario per tale esecuzione”.

Beta intanto, notificherà a Mike, un ulteriore interessato geo-localizzato a bordo di un monopattino sulla strada di ritorno a casa, la possibilità di ricevere uno sconto se parcheggerà a 5 minuti a piedi dal suo punto di destinazione, precisamente proprio all’uscita della metro di Bill.

Il giorno dopo anche Bill, una volta geo-localizzato alle 9.30 sulla metro, riceverà una notifica da Delta, per conto di Beta: uscito dalla fermata troverà un monopattino e potrà decidere se andare a piedi o acquistare quel servizio a lui personalizzato.

Non solo. Una volta arrivato Bill riceverà una seconda notifica pubblicitaria di una catena di bar che offre uno sconto sulla colazione. Uno dei tanti esercizi della catena si trova proprio davanti all’uscita della metro di Bill. Se Bill prenderà il monopattino avrà tempo di fare colazione. Decide quindi di accettare entrambi i servizi.

Il principio di minimizzazione dei dati

È importante specificare che per il principio di minimizzazione dei dati (art. 5 lett. c), i soggetti terzi destinatari tratteranno dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”. In altre parole, sia la società Delta che gli altri destinatari vengono solo a conoscenza del tragitto di Bill da una fermata a un’altra, non anche che andrà dal dentista e a che ora.

Questi ulteriori dati, però, potrebbero essere a conoscenza di altri soggetti che, in uno scenario più ampio, potrebbero essere trattati per ulteriori servizi.

Ebbene alla base dell’esempio sul tragitto di Bill, ci sono principi che rivoluzionano l’attuale impianto economico-normativo.

Bill non paga il biglietto della metro. O meglio, lo paga cedendo propri dati personali.

Il denaro è un metodo convenzionale, che l’umanità utilizza in sostituzione del baratto per l’acquisto di beni e servizi il cui il valore è determinato dall’incontro tra la domanda e l’offerta. Il dato personale invece ha un valore intrinseco indipendente dal mercato in cui è utilizzato e riguarda la più intima sfera dell’essere umano.

Oltre che l’accentramento della gestione dei dati al vero proprietario, probabilmente è questa la vera sfida della monetizzazione del dato. Come quantificare il valore dei nostri dati personali.

Quanto vale il dato personale della geo-localizzazione di Bill? Il prezzo di un biglietto in metropolitana? Il guadagno della società Beta per una pubblicità mirata? In futuro, determineremo parametri assoluti o lasceremo che sia l’incontro tra la domanda e l’offerta a determinare il valore dei nostri dati personali?

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3