28 minute read
Titolarità (intellettuale) e privacy. Un contributo a sostegno della “quasi-proprietarizzazione” dei dati personali
Gianclaudio Malgieri
Nella nostra c.d. data-driven economy, determinare l’accesso e la proprietà dei dati personali è una sida giuridica particolarmente rilevante. Lo scopo di questo intervento è di contestualizzare il dibattito in tema di proprietà dei dati nel concreto paradigma giuridico dell’Unione Europea ed in particolare alla luce del nuovo Regolamento Generale sui Dati Personali (GDPR).
Advertisement
La Commissione Europea, nella sua strategia sul Mercato Digitale Unico in Europa (Digital Single Market Strategy in Europe, COM(2015) 192 inal) e in particolare con lo scopo di “massimizzare la potenziale di crescita dell’economica digitale” ha annunciato un’Iniziativa Europea per il libero lusso dei dati (European Free Flow of Data Initiative). In tale contesto, la Commissione ha dichiarato l’intenzione di occuparsi dell’emergente problema della “proprietà” dei dati.
D’altro canto, la nuova Proposta di Direttiva sui contratti per la fornitura di contenuti digitali1 stabilisce esplicitamente di trovare applicazione anche per i contratti in cui il fornitore fornisce contenuto digitale e, in cambio, il consumatore fornisce attivamente una
1 Proposal for a Directive of the European Parliament and of the Council on certain aspects concerning contracts for the supply of digital content (COM(2015)634).
«controprestazione diversa dal denaro nella forma di dati personali o altri dati». Questa disposizione sembra rivelare che in termini giuridico-economici i dati personali possono già essere considerati come un bene commerciabile.
In realtà, le istituzioni dell’Unione Europea insistono nell’affrontare il tema della proprietà dei dati, con lo scopo di evitare che i soggetti cadano nella trappola del “mito dei servizi gratuiti”2, ovvero individui che semplicemente non realizzano che molti servizi online “gratuiti” si basano sul trattamento dei loro dati personali.
In altri termini, un esplicito riconoscimento di titolarità sui dati personali sarebbe utile a rendere gli utenti consapevoli di questi scambi per mezzo dell’allocazione di un prezzo sui “loro” dati.
Tale visione è anche supportata autorevolmente in dottrina dall’applicazione delle teorie di economia comportamentale alla privacy3 .
Peraltro, l’impatto di questo tema è globale: negli Stati Uniti, accettare di fornire dati in cambio di servizi online è paragonato alla cessione volontaria delle proprie informazioni, che può rafforzare la progressiva commodiicazione delle identità personali.
Inoltre, i Big Data sidano il tradizione approccio alla protezione dei dati: la regolazione del c.d. data mining sulle informazioni dei consumatori è un’operazione controversa in termini di diritti di proprietà intellettuale4 .
La normativa europea in tema di protezione dei dati personali regola il trattamento di questi dati fornendo una sorta di controllo monopolistico ai soggetti. Al tempo stesso, le compagnie li proteggono come “segreti commerciali”: una forma di quasi-monopolio
2 Cfr. Impact Assessment for the Proposed General Data Protection Regulation, 2012.
3 Z. Borgesius, Behavioural Science and the Regulation of Privacy on the Internet, in A.L. Sibony, A. Alemanno (eds.), Nudging and the Law – What can EU Law Learn from Behavioural Sciences?, Institute for Information Law Research Paper n. 2014-02, Amsterdam Law School Research Paper 2014-54, disponibile su SSRN: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2513771. Cfr. anche P. Hacker, sull’informazione5 .
B. Petkova, Reigning in the Big Promise of Big Data: Transparency, Inequality, and New Regulatory Frontiers, 2016, Lecturer and Other Afiliates Scholarship Series, Paper 13.
4 Cfr. O. Tene, J. Polonetsky, Big Data for All: Privacy and User Control in the Age of Analytics, in Nw.K. Tech. & Intell. Prop., 2013, 11, 239, 257.
La sezione 2 mira a dimostrare come i segreti commerciali siano il più interessante e lessibile diritto di (quasi-)proprietà che può far fronte alla sida dell’appropriazione dei dati dei consumatori nell’economia 3.0.
Una volta che tale intersezione sarà chiarita, la sezione 3 discuterà l’opportunità di “proprietarizzare” i dati personali nel paradigma giuridico dell’Unione Europea, in particolare valutando la praticabilità nel panorama europeo del concetto anglosassone di “quasi-proprietà”, un’alternativa alla “commodiicazione” delle identità individuali che sia tanto rispettosa dei diritti umani dei soggetti, quanto praticabile sul piano giuseconomico.
Pertanto, la sezione 4 proporrà una distinzione tra dati personali (ricevuti dai titolari del trattamento, osservati dai titolari del trattamento e dedotti/predetti dai titolari del trattamento) e si proverà a proporre un diverso approccio giuridico per ciascuna di queste categorie: diversi gradi di co-titolarità in base al livello di “relazione” tra dati e soggetti e in base all’opposto livello di attività intellettuale delle imprese per raccogliere e trattare questi dati.
2. I segreti commerciali, una interessante soluzione “proprietaria” sui dati dei consumatori
Come già rilevato in dottrina, il dinamismo dei segreti commerciali ben si sposa con le esigenze del mercato delle informazioni6 . Infatti, in base al considerando n. 1, la ratio della direttiva UE in tema di segreti commerciali 2016/943/EU7 è quella di proteggere una «vasta gamma di know-how ed informazioni commerciali, sia in aggiunta sia in alternativa ai diritti di proprietà intellettuale».
5 G. Malgieri, Trade Secrets v. Personal Data: Possible Solutions for Balancing Rights, in International Data Privacy Law, First published online: January 29, 2016.
6 B.T. Atkins, Trading Secrets In The Information Age: Can Trade Secret Law Survive The Internet?, in U. Ill. L. Rev., 1996, 1151 ss.: 1194, che afferma che il diritto sui segreti commerciali «is the most lexible area of intellectual property law».
7 Directive (EU) 2016/943 of the European Parliament and of the Council of 8 June 2016 on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure.
Questo scopo ampio pare molto appropriato al trattamento dei dati personali8 nel mondo del data mining9 innovativo e di complessi algoritmi sulla personalità10 .
L’unica critica sollevata dalla dottrina in merito all’applicazione dei segreti commerciali ai dati personali dei consumatori detenuti dalle aziende è che la normativa in tema di segreti commerciali è incapace di offrire un modello di armonizzazione bilanciato, date le divergenze nazionali e internazionali11 .
In realtà, ciò non è più vero dal momento che l’Unione Europea ha ormai un approccio armonizzato ai segreti commerciali, come rivela la recente approvazione della Direttiva sui Segreti Commerciali, molto simile peraltro alla disciplina statunitense12 .
2.1. Proprietà (intellettuale) e titolarità sui dati personali: una proprietà de facto
La forte intersezione giuridica, teorica ed economica tra protezione dei segreti commerciali e tutela dei dati personali può offrire un interessante contributo al dibattito in tema di proprietarizzazione dei dati. In effetti, in dottrina si è spesso sottolineato come i dati personali, anche in un contesto di “diritti umani” come quello europeo13, sono in realtà trattati come una proprietà “di fatto” nella nostra economia14 .
8 G. Malgieri, Trade Secrets v. Personal Data, cit.
9 T. Zarsky, “Mine Your Business!”: Making the Case for the Implications of the Data Mining of Personal Information in the Forum of Public Opinion, in Yale J.L. & Technology, 2002, 5, 20.
10 F. Pasquale, Black Box Society, Cambridge (MA), Harvard University Press, 2015; Cfr. B. Reddix-Smalls, Credit Scoring and Trade Secrecy: An Algorithmic Quagmire or How the Lack of Transparency is Complex Financial Models Scuttled the Finance Market, in U.C. Davis Bus L.J., 2011, 12, 87.
11 J. Lipton, Balancing Private Rights and Public Policies: Reconceptualizing Property in Databases, in Berkeley Technology Law Journal, 2003, 8, 820; Ead., Information Wants to be Property: Legal Commodiication of E-commerce Assets, in IRLCT, 2002, 16, 58.
12 Cfr. G. Malgieri, Trade Secrets v. Personal Data, cit.
13 Cfr. Articolo 8, Convenzione Europea per la salvaguardia dei Diritti dell'Uomo (CEDU). Cfr. anche Articoli 7 e 8, Carta dei Diritti Fondamentali dell'Unione Europea.
14 N. Purtova, The Illusion of Personal Data as No One’s Property: Reframing the
I requisiti per una “risorsa” per essere oggetto di proprietà sono la rivalità, l’escludibilità e la scarsità. In effetti, i dati personali in quanto beni-informazioni sono solitamente considerati come beni non escludibili (dati gli alti costi necessari per renderli escludibili) e intrinsecamente “non rivali” a causa dei bassi costi di riproduzione15 .
Ciononostante, nella nostra data-driven economy lo sviluppo di soisticate proilature dei clienti (basate su aggregazioni di dati16 , studi comportamentali, ecc.)17 è sempre più forte: ci sono solo poche oligopolistiche “multinazionali dell’informazione” (e.g. Google, Facebook, Apple), che hanno raggiunto posizioni dominanti nel mercato e contribuiscono così a strutturare un mercato informativo sempre più basato sulla scaristà e la rivalità18 .
Data Protection Discourse, in Law, Innovation and Technology, 2015, 7, 87, secondo cui «the dichotomy ‘private property in personal data vs personal data in public domain’ does not relect the current state of data processing practises, where a de facto property regime of personal data exists, with the Information Industry actively claiming property rights in this new asset». Cfr. anche, J.M. Victor, The EU General Data Protection Regulation: Toward a Property Regime for Protecting Data Privacy, in Yale LJ, 2013, 123, 513 ss.: 518-519; E.J. Janger, Privacy, Property, Information Costs, and the Anticommons, in Hastings L.J., 2003, 54, 899 ss.: 913-918; P. Schwartz, Property, Privacy and Personal Data, in Harv. L. Rev., 2004, 117, 2055 ss.: 2060-2070. K.C. Laudon, Extension to the Theory of Markets and Privacy: Mechanics of Pricing Information, in U.S. Dep’t of Commerce, Privacy and Self-regulation in the Information Age, 1997, https://archive.nyu.edu/bitstream/2451/14166/1/ IS-97-04.pdf (last accessed 5.02.2016). K. Basho, The Licensing of Our Personal Information: Is It a Solution to Internet Privacy?, in Cal. L.R., 2000, 88, 1507 ss.: 1526 (according to whom: «under current law, the ownership right to personal information is given to the collector of that information, and not to the individual to whom the information refers»).
15 H. Varian, Markets for Information Goods, http://people.ischool.berkeley. edu/~hal/Papers/japan/, 1998; J.E. Stiglitz, The Contribution of the Economics of Information to Twentieth Century Economics, in Quarterly Journ. of Economics, 2000, 115, 1441 ss.: 1448.
16 Cfr. O. Tene, J. Polonetsky, Big Data for All: Privacy and User Control in the Age of Analytics, in Nw.K. Tech. & Intell. Prop., 2013, 11, 239ss.: 257.
17 Cfr., e.g., J. Mehta, Behavioural Economics in Competition and Consumer Policy, University of East Anglia, ESRC Centre for Competition Policy, UEA Repository, 2013.
18 N. Purtova, The Illusion of Personal Data, cit., 100-105.
Allo stesso tempo, l’escludibilità è una realtà, anche considerando tutte le infrastrutture tecnologiche e le tecniche di cifratura capaci di restringere l’accesso ai dati personali19 .
Peraltro, studi giuseconomici confermano che se situazioni proprietarie “di fatto” non godono di un riconoscimento nel diritto positivo, subiranno un’allocazione proporzionale all’abilità di escludere gli altri dalla fruizione quella risorsa20 .
In altri termini, beni dal grande valore economico senza una opportuna determinazione giuridica dei diritti di appropriazione degli stessi, lasciano ampi spazi agli attori economici più potenti per “catturare” tali diritti. Nel nostro contesto, dunque, dato che i dati personali non sono deinibili come beni appropriabili nel contesto giuridico dell’UE21, l’industria dell’informazione (il più potente attore economico in campo) ha le maggiori opportunità di detenere diritti esclusivi fattuali su questi dati22 .
2.2. La sida della “proprietarizzazione” dei diritti umani
In dottrina si è spesso proposto di allocare la titolarità di diritti proprietari sui dati personali dei soggetti23 .
che in questo contesto la proprietarizzazione delle informazioni non è vista come una forma di commo-
È diicazione commerciale e dunque di sfruttamento economico delle identità personali, ma è pensata al contrario come forma di garanzia per i diritti umani dei soggetti in questione24 .
19 Cfr., e.g., P. Ganley, Access to the Individual: Digital Rights Management Systems and the Intersection of Informational and Decisional Privacy Interests, in International Journal of Law and Information Technology, 2002, 10, 3, 241-293.
20 J. Umbeck, A Theory of Property Rights: With Application to the California Gold Rush, Ames (Iowa), Iowa State University Press, 1981.
21 V. Mayer-Schönberger, Beyond Privacy, Beyond Rights: Toward a Systems Theory of Information Governance, in Cal. L. Rev., 2010, 98, 1862-1863 (che rileva: «in contrast to the situation in the United States, information privacy in Europe is seen as a fundamental right and accordingly afforded continent wide as well as national constitutional protection. […] Propertizing these rights […] would be contrary to the theory, history and practice of European information privacy and it would require a concerted effort of dramatic proportion»).
22 N. Purtova, The illusion of Personal Data, cit., 89, whose relections are based on J. Umbeck, A Theory of Property Rights, cit.
23 Cfr., inter alia, N. Purtova, cit.; J.M. Victor, The EU General Data Protection Regulation, cit.; C. Prins, Property and Privacy: European Perspectives and the Commodiication of Our Identity, in The Future of the Public Domain, Identifying the Commons in Information Law, The Hague, Kluwer Law International, 2006.
In effetti, secondo recenti studi, regolare gli scambi di dati e fornire ai consumatori una maggiore autonomia contrattuale, utilizzando diritti e rimedi plasmati sul diritto di proprietà, «offre la migliore opportunità di tutela della dignità e in generale dei diritti umani nel campo della privacy per i soggetti coinvolti dal trattamento di dati»25 .
Inoltre, la direttiva sulla protezione dei dati e il nuovo Regolamento, sebbene ispirati ad un approccio alla privacy sul paradigma dei diritti umani (c.d. human right approach), fornisco in realtà una (seppur debole) struttura di titolarità proprietaria ai soggetti riguardo alle loro informazioni, come illustreremo qui di seguito.
3. Titolarità dei dati personali ai soggetti e il GDPR: rilessioni e prospettive
La direttiva 95/46/EC è generalmente interpretata nel senso di permettere ai soggetti del trattamento dei dati di controllare la divulgazione dei propri dati come regola predeinita26, e come tale contribuisce a garantir loro dei diritti similproprietari sui “propri” dati personali (sebbene in maniera poco chiara e problematica)27 .
Inoltre, il GDPR sembra rinforzare tale titolarità proprietaria. In- fatti, esso stabilisce nuovi diritti individuali incluso il diritto all’oblio o “alla cancellazione”28 e il diritto alla portabilità dei dati29 che stabiliscono più esplicite relazioni proprietarie tra i soggetti e i “propri” dati personali.
24 Ovviamente, non stiamo parlando del generale e comune diritto di proprietà, ma di un ben determinato diritto esclusivo, basato su requisiti e garanzie speciiche, come delineato da P. Schwartz, Property, Privacy and Personal Data, cit., 2056 ss. Cfr. infra. Cfr. anche J.M. Victor, The EU General Data Protection Regulation, cit., passim; C. Prins, Property and Privacy, cit., 223-257.
25 J.M. Victor, The EU General Data Protection Regulation, cit., 528: «(it) offers the best hope of protecting the dignitary, human-rights-driven privacy interests at stake».
26 N. Purtova, Property Rights in Personal Data: A European Perspective, in Kluwer Law International, 2011, 57 ss.
27 D. Zwick, N. Dholakia, Contrasting European and American Approaches to Privacy in Electronic Markets: Property Right versus Civil Right, in Electronic Markets, 2011, 11, 116 and the criticisms of N. Purtova, The Illusion of Personal Data, cit., 93.
Tali relazioni appaiono ancora più chiare se consideriamo il generale riconoscimento di un “diritto di seguito”30 (o droit de suite) degli individui rispetto ai propri dati personali: in effetti, l’articolo 17(2) del GDPR stabilisce che ogni fruitore dei dati (titolare del trattamento), «tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali». Tali terzi fruitori dei dati sarebbero dunque obbligati a rispettare l’esercizio da parte del soggetto del suo diritto alla cancellazione, salvo incorrere in sanzioni ai sensi del GDPR31 .
In realtà, c’è chi ha sostenuto che il nuovo Regolamento assottiglierebbe la titolarità originaria dei soggetti sui propri dati personali. Infatti, la sostituzione di ogni riferimento alla privacy che era precedentemente nella direttiva32, con l’espressione “protezione dei dati” nel Regolamento33 metterebbe in crisi la connessione normativa tra protezione dei dati ed auto-determinazione informativa (afievolendo l’applicabilità dell’acquis della Corte di Strasburgo in tema di protezione forte ed esclusiva dei soggetti individuali rispetto ai propri dati personali)34 e ciò indebolirebbe la situazione giuridica del soggetto rispetto alla titolarità dei dati personali relativi alla sua persona35 .
28 Articolo 17, GDPR.
29 Articolo 20, GDPR. Cfr. N. Purtova, The Illusion of Personal Data, cit., 94.
30 Già richiamato per identiicare una struttura di controllo proprietario sulle informazioni da P. Schwartz, Property, Privacy, Personal Data, cit., 2097: «the burden which runs with the asset».
31 Cfr. J.M. Victor, The EU General Data Protection Regulation, cit., 525.
32 Cfr., e.g., recital (33), (68), Article 1(1), 95/46/EC.
33 Cfr. Article 1(1) and 1(2) of GDPR.
34 P. De Hert, S. Gurtwirth, Data Protection in the Case Law of Strasbourg and Luxembourg: Constitutionalization in Action, in S. Gurtwirth et al. (eds.), Reinventing Data Protection?, Amsterdam, Springer, 2009, 3-44,15.
35 N. Purtova, The Illusion of Personal Data, cit., 94.
Inoltre, si è stabilito che uno dei più importanti diritti di controllo, la regola del consenso, sta perdendo signiicato sul piano della liceità del trattamento dei dati dal momento che il rafforzamento dei requisiti formali per richiedere il consenso è dificile da applicare, mentre gli standard per le altre cause di liceità del trattamento sono comparativamente più semplici da applicare e forniscono ai gestori dei dati maggiore controllo sui dati limitando i diritti di controllo dei soggetti, come chiedere la cancellazione o invocare il diritto alla portabilità dei dati36 .
Come si proverà a dimostrare, tale diversa gradazione di diritti individuali similproprietari dei soggetti può essere interpretata anche considerando il parametro della “relazione” tra dati e soggetti e il diverso grado di attività intellettuale necessario alle imprese per elaborare tali dati (infra).
Peraltro, per quanto riguarda l’afievolimento della giurisprudenza in tema di privacy come una (perduta) garanzia di titolarità proprietaria dei soggetti, dobbiamo ricordare che l’art. 8(1) della Carta dei Diritti Fondamentali dell’Unione Europea fornisce uno speciico diritto alla “protezione dei dati personali”. Peraltro, il riferimento alla “protezione dei dati” (piuttosto che alla privacy) conduce ad un sistema ancor più proprietario, dal momento che l’attenzione del diritto si sofferma sull’oggetto (l’informazione), piuttosto che sul più ampio interesse del soggetto ad un generale rispetto dei propri spazi (materiali o morali) di intimità e ciò rafforza la struttura teorica di titolarità proprietaria su quei dati37 .
Inoltre, per quanto attiene alle speciiche circostanze in cui nessun esplicito consenso sia stato dato dal soggetto, il titolare del trattamento ha ancora degli obblighi verso il soggetto. Infatti, anche in questi casi speciali di trattamento senza consenso del soggetto (cfr. Articolo 6, GDPR), questi deve essere esplicitamente informato in merito alla raccolta dei suoi dati personali e alla sua facoltà di bloccare qualsiasi trattamento dei dati richiedendo la cancellazione degli stessi dal database in cui il trattamento è in corso (art. 14(1)(b),(d))38 .
36 Ivi, p. 95.
37 J.M. Victor, The EU General Data Protection Regulation, cit., p. 526. Cfr. anche V. Bergelson, It’s Personal, But Is It Mine?, in U.C. Davis L. Rev, 2003-2004, 37, 379 ss.: 418-419.
38 Ivi, 523.
3.1. Caveat: non commodiicazione, ma (quasi-)proprietarizzazione dei dati
Come già detto, il tema della proprietarizzazione dei dati personali ha ricevuto molte critiche in dottrina.
Queste possono essere riassunte in due grandi iloni: critiche “teoretiche” e “tecniche”, ovvero, rispettivamente:
1) l'inappropriatezza della commodiicazione di “risorse” espressive della personalità umana39 .
2) l'intrinseca alienabilità gratuita del bene-informazione non permette agli individui di limitare soggetti terzi nell’uso o trasferimento dei dati40 . In altri termini, «un individuo non può restringere la titolarità di interessi proprietari che ha ceduto»41. Inoltre, è dificile stimare un prezzo appropriato per gli usi secondari dei dati personali di un soggetto42 .
In realtà, entrambi questi problemi possono essere meglio affrontati se, anziché far riferimento alla “commodiicazione”, si adopera il conetto di quasi-proprietarizzazione.
In effetti, non proponiamo qui di considerare i dati personali come meri beni di consumo, ma solo di fornire alla tutela della privacy una struttura giuridica plasmata sui paradigmi della proprietà.
Paul Schwartz ha proposto un interessante modello di proprietà delle informazioni personali, utilizzando un elastico concetto di proprietà: egli infatti riiuta la tradizione deinizione blackstoniana di proprietà come «dominio esclusivo e dispotico sulle cose materiali del mondo»43, ma opta piuttosto per un più dinamico concetto di
39 Cfr. in general M.J. Radin, Contested Commodities: The Trouble with Trade in Sex, Children, Body Parts, and Other Things, Cambridge (MA), Harvard University Press, 1996.
40 P. Samuelson, Privacy as Intellectual Property, in Stanford Law Review, 1999, 52, 1138.
41 P. Schwartz, Property, Privacy, Personal Data, cit., 2090.
42 P. Samuelson, Privacy as Intellectual Property, cit., 1138.
43 «The sole and despotic dominion over the external things of the world».
W. Blackstone, Commentaries of the Laws of England 2 (facsimile ed. 1979) (1766). Per quanto riguarda questo approccio medievale alla proprietà, per un excursus storico sul tema, cfr. P. Grossi, Tradizioni e modelli nella sistemazione post-unitaria della proprietà, in Itinerari moderni della proprietà, Milano, Giuffrè, 1976-1977, 14 ss. Per proprietà come “fascio di interessi”44, una complessa aggregazione di diversi interessi, con cinque importanti correttivi giuridici: inalienabilità, allocazione originaria ai soggetti, regolazione speciica di un diritto di recesso o “di uscita” (right of exit), dei danni e delle istituzioni pubbliche a tutela della stessa45 .
In particolare, per ciò che qui più interessa, la soluzione di Schwartz all’intrinseco problema della gratuita alienabilità sarebbe una regola di “inalienabilità ibrida”, basata su restrizioni di uso-trasferibilità più una regola di allocazione originaria46.In pratica, la nostra soluzione permetterebbe il trasferimento di dati, ma solo se al soggetto è garantita la facoltà di bloccare ulteriori trasferimenti o usi da parte di soggetti non associati o non collegati ai contraenti originari. Ogni uso o trasferimento ulteriore sarebbe proibito, salvo una esplicita nuova dichiarazione di consenso del soggetto interessato47 .
Contestualizzando tale proposta nel panorama giuridico dell’Unione Europea, è interessante notare come questo sistema di ibrida inalienabilità sia stato già parzialmente implementato non soltanto dalla generica regola del consenso per ogni trattamento ulteriore dei dati ai sensi dell’articolo 6 GDPR, ma anche dall’articolo 17(2) in tema di diritto alla cancellazione, laddove si stabilisce (come già sopra ricordato) che in caso il soggetto eserciti tale diritto il titolare del un confronto generale tra il concetto di proprietà in civil law e common law, cfr.
A. Gambaro, Proprietà in Diritto Comparato, in Digesto IV sez. civ., XV, 1997. 44 Possiamo trovare una simile deinizione in Kaiser Aetna v. United States, 444 U.S. 164, 176 (1979) che descrive «the right to exclude others» come «one of the most essential sticks in the bundle of rights that are commonly characterized as property». In dottrina si sono espresse opinioni alterne in merito all'approccio alla proprietà come "bundle of stick" (fascio di diritti). Cfr., ad es., P. Benson, Philosophy of Property Law, in J.E. Coleman, S. Shapiro (eds), The Oxford Handbook of Jurisprudence & Philosophy of Law, Oxford, Oxford University Press, 2002, 771 (che sostiene che gli «incidents» della proprietà sono «fully integrated and mutually connected»); H. Dagan, The Craft of Property, in Cal. L. Rev., 2003, 91, 1518 ss.: 1558-70, (2003) (che sostiene che la metafora del "fascio" debba coesistere con la concezione di proprietà); A.M. Honore, Ownership, in A.G. Guest (ed.), Oxford Essays in Jurisprudence, Oxford, Oxford University Press, 1961, 108-134 (che discute gli "standard incidents" della proprietà).
45 P. Schwartz, Property, Privacy, Personal Data, cit., 2095.
46 Ibid.
47 Ivi, 2096.
Nodi virtuali, legami informali: Internet alla ricerca di regole trattamento deve «adottare le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali»48 .
Si è pertanto ritenuto che il nuovo GDPR piuttosto che fornire una protezione alla privacy puramente in personam, appronti una tutela in rem sui dati stessi49 .
3.2. Quasi-proprietà: una soluzione per la proprietarizzazione dei dati personali
La quasi-proprietà è stata deinita come una categoria di diritti simil-proprietari, consistenti in situazioni in cui la legge tenta di simulare il funzionamento dello ius excludendi alios tipico della proprietà, attraverso un regime “relazionale”, cioè attraverso un paradigma di responsabilità50 .
La quasi-proprietà dunque riguarda la simulazione del paradigma escludente della proprietà entro strumenti limitati per mezzo di meccanismi di titolarità “relazionale”. Una “diritto relazionale escludente” ha un effetto profondamente diverso dall’equivalente titolarità creata dal tradizionale ius excludendi generalmente associato al concetto di proprietà.
Nei paesi con tradizione di common law, la quasi-proprietà è comunemente associata al famoso caso della Corte Suprema USA International News Service v. Associated Press51. In quello speciico caso la Corte si riiutò di riconoscere un pieno diritto proprietario alle informazioni e invece scelse di creare una azione di misappropriation basata sull’azione di concorrenza sleale, che potesse fungere da tutela di un interesse di “quasi-proprietà” sulle informazioni52 .
48 Supra. J.M. Victor, The EU General Data Protection Regulation, cit., 525.
49 J.M. Victor, The EU General Data Protection Regulation, cit., 525.
50 S. Balganesh, Quasi-Property: Like, but not Quite Property, in U. Penn. Law Rev., 2012, 160, 1891.
51 248 U.S. 215.
52 Ivi, 236. Cfr. generally D.G. Baird, Common Law Intellectual Property and the Legacy of International News Service v. Associated Press, in U. Chi.L. Rev., 1983, 50, 411; H.B. Abrams, Misappropriation, and Preemption: Constitutional and Statutory Limits of State Law Protection, in Sup. Ct. Rev., 1983, 509. Cfr. the criticisms of P. Samuelson, Information as Property, in Cath.U.L.Rev., 1989, 365; Ch.T. Graves, Trade
Pertanto, la quasi-proprietà fu concepita esattamente per la proprietà sulle informazioni e poi sviluppata nel campo della concorrenza e speciicamente nel campo dei segreti commerciali53 .
A questo punto, pare necessario valutare se la realtà concreta del “mercato dei dati personali” e il paradigma giuridico attualmente vigente (in particolare il GDPR) possa tollerare forme di comunione quasi-proprietaria (shared quasi-ownership) sui dati personali dei soggetti e in particolare dei consumatori.
Innanzitutto, dobbiamo prendere atto che i dati trattati dalle imprese (fornitori di servizi digitali, data brokers, ecc.) possono essere molto variegati. Infatti, essi possono essere o raw data o dati complessi, laddove con i primi consideriamo generalmente gli “input” utilizzati dai software per il trattamento dei dati, mentre con i secondi consideriamo gli “output” (il prodotto) di tale trattamento.
Scendendo poi in maggior dettaglio, dobbiamo speciicare che i raw data possono essere:
1. dati che sono spontaneamente “forniti” dagli individui, per esempio quando completano un modulo per la registrazione ad un sito web o quando rispondono ad alcune domande da parte di un data controller o comunque qualsiasi informazione sia condivisa spontaneamente dal soggetto. Questi dati possono includere una vasta varietà di informazioni, tra cui il nome, l’indirizzo, le amicizie, le preferenze politiche, ma anche valori sanguigni, stato di salute, ecc. Ci riferiremo a questi dati con l’espressione “dati ricevuti” (received data).
2. Dati che sono raccolti direttamente dalle imprese, previa il consenso degli individui e tramite sensori, Gps, o tramite una semplice combinazione di questi dati. Anche tale categoria può includere una vasta moltitudine di dati, come pressione sanguigna, ritmi sonno-veglia, esercizio isico svolto durante la giornata, ecc. Faremo riferimento a questi dati come dati “osservati” (observed data).
I dati complessi, invece, possono essere:
1. Dati descrittivi di situazioni passate o presenti della vita degli individui, dedotti dalle imprese dell’informazione per mezzo di data mining54. Essi possono includere qualsiasi categoria di dati, come ad esempio malattie passate, attività sessuale, stato di salute, stato di famiglia, abitudini di consumo, ecc. Parleremo di questi dati come dati “dedotti” (inferred data).
2. Dati predittivi, ricavati da altri dati e riferiti a situazioni di vita future degli individui. Possono includere aspettativa di vita, malattie future, propensione all’acquisto, ecc. Per questa categoria useremo il termine di dati “predetti” (predicted data)55 .
Ciascuna di queste categorie ha una differente relazione con i singoli soggetti, un diverso grado di certezza e implica un diverso grado di attività dell’impresa, e particolarmente diversi livelli di diritti di proprietà intellettuale56 .
Possiamo pertanto classiicare queste diverse categorie di dati attraverso una nuova “tassonomia” di dati personali, basata sul diverso grado di “titolarità” che i diversi soggetti possono vantare su di essi.
In effetti, la stessa deinizione di dati personali è «qualsiasi informazione riguardante (relating) una persona isica identiicata o identiicabile («interessato»)»57. Dal momento che l’unica variabile di tale deinizione consiste nella “relazione” (e dunque nel conseguente grado di “titolarità”) tra l’informazione e il soggetto, è ora fondamentale comprendere il senso di quel “riguardante” (o “relativo” per tradurre meglio l’espressione inglese). Vale a dire, comprendere il collegamento “relazionale” tra individui e dati personali, posto che questa deinizione ha un'ampia applicazione («data relates to an individual if it refers to the identity, characteristics or behaviour of an individual or if such information is used to determine or inluence the way in which that person is treated or evaluated»)58 . In generale, possiamo distinguere tre tipi di dati59:
54 Si identiica con tale espressione la tecnica di ricavare nuovi dati a partire da dati precedenti attraverso l’applicazione di dati statistici, leggi della scienza, studi empirici o anche tramite l’esplorazione di informazioni pubbliche (o lecitamente ricavate) rinvenibili su una persona ad esempio attraverso complessi software.
55 Cfr. G. Malgieri, Property and (Intellectual) Ownership of Consumers’ Information: A New Taxonomy for Personal Data, in Privacy in Germany-PinG, 2016, 4, 133 ss. (http://www.pingdigital.de/ce/property-and-intellectual-ownership-of-consumers-information-a-new-taxonomy-for-personal-data/detail.html).
56 Ibid.
57 Cfr. Art. 4 (1), GDPR and Art. 2 (a), 95/46/EC.
1. Dati in relazione forte. Questa categoria riguarda dati personali direttamente “ricevuti” dai titolari del trattamento (received data)60. Sono dati che l’impresa non ha ricavato da altri dati e per cui dunque l’attività intellettuale od economica è stata minima. Al contrario sono dati in forte correlazione con gli individui dato che si tratta di informazioni identiicative, ad esempio.
2. Dati in relazione intermedia. Questi sono quelli che abbiamo sopra deinito dati personali “osservati” dalle imprese e veriicabili direttamente nella realtà, perché riferiti al presente, così come i dati “dedotti”. Si tratta dunque di quei dati che le imprese ricavano da una semplice combinazione di altri dati. Per esempio in questa categoria sono compresi i dati riguardanti l’attività isica ricavati da un monitoraggio Gps collegato ad altre informazioni fornite dai soggetti (e perciò incluse nella categoria 1.) oppure le preferenze politiche o commerciali ricavate dalle parole chiave ricercate nei motori di ricerca online. Tali dati (condizioni di salute, partecipazione ad un evento, attività isica, interessi, hobbies, ecc.) sono dati “veri” (rectius, altamente probabili) del presente, facilmente veriicabili e ricavati per mezzo di un’attività economica o intellet- tuale non ingente da parte delle imprese61 .
58 Art. 29 Working Party, document No WP 105, Working Document on Data Protection Issues Related to RFID Technology, adopted on 19 January 2005, 8.
59 Cfr. G. Malgieri, Property and (Intellectual) Ownership of Consumers’ Information, cit.
60 Questi dati sono generalmente chiamati user generated content. Cfr. B. Van Alsenoy, J. Ballet, A. Kuczerawy, J. Dumortier, Social Networks and Web 2.0: Are Users also Bound by Data Protection Regulations?, in Identity in the Information Society, December 2009, 2, 1, 65-79. Cfr. anche, K. Majovski, Data Expiration, Let the User Decide: Proposed Legislation for Online User-Generated Content, in U.S.F.L. Rev., 47, 2013, 807.
3. Dati in relazione debole. Con questa categoria identiichiamo tutti i dati “predetti” e dunque solo indirettamente ricavati dalla realtà attuale, ma di fatto “creati” da una rilevante attività intellettuale delle imprese con prospettive future. La produzione di tali dati si basa sulla combinazione di più o meno complessi studi comportamentali, previsioni a lungo termine e supposizioni probabilistiche applicate a casi concreti, ecc.62 Tutti questi dati (come l’aspettativa di vita, l’afidabilità creditoria, le previsioni comportamentali, le stime di salute futura, ecc.) sono “potenziali” (o solo “possibili”) e orientati al futuro. Ovviamente l’incremento delle tecnologie e lo sviluppo dei Big Data fanno sì che il grado di plausibilità di tali informazioni future approssimi sempre di più la certezza.
4.1. Diverse categorie con diversi diritti proprietari
Ciò che è interessante, anche per riallacciare la discussione teoretica sopra svolta, è il diverso grado di titolarità proprietaria che ciascuna di queste categorie rilette in base al nuovo GDPR63 .
In particolare, per quanto attiene ai dati in relazione “forte”, l’articolo 20 del GDPR prevede speciici diritti, come il diritto alla portabilità dei dati. Esso infatti è previsto soltanto per i dati “forniti” da un soggetto ad un titolare di un trattamento. Da questa disposizione, possiamo dedurre un pieno controllo del soggetto su questa categoria di dati in “relazione forte” e dunque una titolarità proprietaria originaria (default entitlement). I soggetti interessati possono infatti inanco esercitare il diritto a ricevere quell’informazione in un formato leggibile e di trasmetterlo ad altri titolari di trattamento.
Oltre agli altri diritti del soggetto (accesso, cancellazione, rettiicazione, ecc.) questa categoria è l’unica a poter vantare il diritto alla portabilità.
Possiamo pertanto concludere che i soggetti hanno una forma esclusiva di quasi proprietà su questi dati fortemente connessi al soggetto, specialmente se consideriamo che il diritto alla portabilità dei dati è considerato in dottrina il maggior simbolo di proprietarizzazione dei dati, de iure condito64 .
61 Cfr. T.Z. Zarsky, “Mine Your Business!”, cit., 11 ss.
62 Ibid.
63 Cfr. G. Malgieri, Property and (Intellectual) Ownership of Consumers’ Information, cit.
Nel caso di dati in “relazione intermedia”, restano tutti gli altri diritti di controllo (accesso, cancellazione, rettiicazione). Infatti, questi diritti (incluso il nuovo diritto alla cancellazione) sono esercitabili su tutti i dati personali oggetto di trattamento65, salvo speciiche eccezioni.
In questa categoria, tuttavia, un minimo sforzo intellettuale od economico dell’impresa è prospettabile, dal momento che il trattamento qui non consiste in una mera ricezione di dati esplicitamente condivisi dal soggetto.
Pertanto, possiamo notare come la titolarità quasi-proprietaria dei soggetti sui dati non è totale, ma temperata. In effetti, i soggetti non possono esercitare un diritto alla portabilità su questi dati66 .
Questa è la prova di come questa categoria sia intermedia tra la relazione forte (dove il soggetto può vantare tutti i diritti di controllo) e la relazione debole (dove, come vedremo fra poco, il soggetto non ha diritti proprietari)67 .
Ciò non signiica che le imprese non detengano “segreti commerciali” su questi dati. Essi sono infatti considerabili segreti commerciali nella misura in cui soddisfano i requisiti di fattispecie dei segreti commerciali ai sensi della nuova direttiva europea. Tuttavia, in questi casi l’interesse dei soggetti prevale sulla proprietà industrial delle imprese68. In altri termini, le imprese possono continuare a proteggere questi dati come segreti commerciali (se sono dati segreti, di valore economico e protetti con ragionevoli sforzi), ma non possono esercitare questi diritti esclusivi contro i soggetti interessati, dal momento che i diritti di controllo di questi ultimi sono pienamente esercitabili per quanto sopra detto.
64 N. Purtova, The Illusion of Personal Data, cit., 98.
65 Cfr. anche il considerando (65) del GDPR.
66 Cfr. Art. 20 GDPR, secondo cui solo i dati che il soggetto interessato ha fornito al titolare del trattamento possono essere oggetto del diritto alla portabilità.
67 Cfr. infra.
68 Cfr. G. Malgieri, Trade Secrets v. Personal Data, cit., passim
Nodi virtuali, legami informali: Internet alla ricerca di regole del diritto d’accesso da parte dei soggetti interessati può indebolire la protezione del segreto commerciale, dato che per esempio può indebolire il requisito dell’“attuale segretezza” del dato69 .
Possiamo parlare in questo caso di comunione proprietaria sui dati, basata su diritti esclusivi condivisi, in cui comunque in caso di conlitto prevalgono i diritti individuali dei soggetti interessati70 .
Si è infatti ritenuto in dottrina che, visti i grandi sviluppi dei giorni nostri verso interessi multipli sui dati personali, molto presto non ci sarà più uno scenario così statico di dati individuali appartenenti a singoli individui, ma sarà sempre più necessario un approccio di titolarità multi-livello sui dati71 .
Inoltre, tale situazione di comunione quasi-proprietaria multi-livello (dove diversi soggetti possono vantare diversi diritti sulla stessa informazione, ma al tempo stesso in cui gli interessi dei soggetti interessati prevalgono sugli altri attori in campo) è la tipica proprietà “relazionale” descritta dalla “quasi-proprietà”72 .
I soggetti interessati (e dunque, per i rapporti commerciali, i consumatori) avranno pieni diritti esclusivi contro gli attori commerciali interessati nei loro dati (incluse le imprese che detengono una comunione quasi-proprietaria su quei dati); i titolari del trattamento (e dunque le imprese che detengono la quasi-proprietà) potranno esercitare i loro diritti esclusivi solo contro le altre imprese concorrenti ma non contro il soggetto interessato.
Inine, per quanto attiene ai dati in “relazione debole”, dato che i dati in questa categoria sono da considerare come integralmente “prodotti” dall’attività commerciale ed intellettuale di un’impresa (che può essere condotta tanto da un agente umano, dato da complessi software)73 e considerando che questi dati hanno solo una relazione indiretta con la realtà quotidiana degli individui, non possono essere considerati nella titolarità quasi-proprietaria dei soggetti interessati. Questi dati, invece, possono far parte di segreti commerciali delle imprese74 .
69 Cfr. Points 1 and 2 of Restatement of torts, Article 39, 2 (a) and (b) TRIPs and Article 2 (1) (a) and (b) of EU Directive on Trade Secrets. Cfr. anche B.T. Atkins, Trading Secrets in the Information Age, cit.
70 C. Prins, Property and Privacy, cit., 249-250. Cfr. anche, nel dibattito USA, l'interessante dibattito su una "shared privacy" in base ad una c.d. "segretezza relativa": M.I. Coombs, Shared Privacy and the Fourth Amendment, or the Rights of Relationships, in Cal.L. Rev., 1987, 75, 1593 and S.K. Sandeen, Relative Privacy: What Privacy Advocates Can Learn From Trade Secret Law, in Mich. St.L. Rev., 2006, 667.
71 C. Prins, Property and Privacy, cit., 250.
72 Cfr. in generale S. Balganesh, Quasi Property: Like, but not Property, cit., 1904; L.H. Scholz, Privacy as Quasi-Property, in Iowa L. Rev., 2016, 3.
Ciò non signiica che i soggetti persone isiche non hanno alcuna protezione contro queste operazioni di trattamento di dati. Gli interessi degli individui sono ancora tutelati attraverso una protezione rispetto agli abusi del titolare del trattamento (discriminazione contrattuale, pratiche commerciali scorrette)75 .
L’antico problema dell’asimmetria informativa (e strutturale) tra consumatori e imprese è comunque affrontato dalla legge da speciici diritti di informazione, oltre ad un diritto ad opporsi al trattamento dei dati, per ri-bilanciare la vulnerabilità dei soggetti individuali76 .
In altre parole, i soggetti interessati non dovrebbero essere forniti di diritti di controllo quasi proprietario su questi dati totalmente creati dai titolari del trattamento; ciononostante sono protetti da altri diritti generali in tema di trasparenza e non discriminazione.
4.2 Diverse categorie di quasi-proprietà multilivello sui dati
In sintesi, possiamo affermare che ci sono diversi livello di protezione garantiti.
Determinare se un’informazione personale cade nella prima categoria (relazione forte) o nella seconda (relazione intermedia) è semplice: è suficiente capire se i dati sono forniti esplicitamente dal soggetto oppure sono rilevati dal titolare del trattamento.
73 Cfr. G. Sartor, Cognitive Automata and the Law: Electronic Contracting and the Intentionality of Software Agents, in Artiicial Intelligence and the Law, 2009, 17, 4, 283.
74 B. Reddix-Smalls, Credit Scoring and Trade Secrecy, cit.
75 Datatilsynet, The Great Data Race: How Commercial Utilization of Personal Data Challenges Privacy. Report, November 2015, 40-44.
76 Z. Borgesius, Behavioural Science and the Regulation of Privacy on the Internet, in A.L. Sibony, A. Alemanno (eds.), Nudging and the Law – What can EU Law Learn from Behavioural Sciences?, Institute for Information Law Research Paper n. 201402, Amsterdam Law School Research Paper 2014-54, available at SSRN: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2513771
Al tempo stesso determinare se un’informazione rientra nella seconda categoria (relazione intermedia) o nella terza (relazione debole) è altrettanto semplice. Se i dati si riferiscono al presente e sono dunque veriicabili nella realtà attuale appartengono alla seconda categoria, in tutti gli altri casi sono dati predittivi e dunque in relazione debole.
I soggetti sono pertanto dotati di diritti quasi proprietari per quanto attiene ai dati in relazione forte, di una comunione quasi proprietaria multilivello per quanti attiene ai dati in relazione intermedia e non hanno diritti quasi-proprietari (ma una diversa tutela individuale) per le informazioni in relazione debole.
5. Considerazioni conclusive
Dopo questo ampio excursus, dobbiamo prendere atto che nella società dei Big Data, la titolarità dei dati personali è ancora una grande sida per legislatori, accademici e operatori economici.
Un eventuale riconoscimento di titolarità proprietaria sui dati personali non può prescindere da un bilanciamento con gli interessi economici delle imprese (libertà d’impresa, proprietà intellettuale).
Nella sezione 2 abbiamo dimostrato come i segreti commerciali sono il diritto proprietario più interessante e lessibile per fronteggiare la sida dell’appropriazione dei dati dei clienti nell’economia 3.0.
D'altro canto, l’appropriazione delle informazioni è altamente problematica sia sotto il proilo della tutela dei diritti umani sia dal punto di vista dell’analisi economica del diritto.
Pertanto, per evitare l’alienabilità e il libero commercio dei dati personali (che possono essere una violazione dei diritti umani alla riservatezza e alla tutela dei dati personali) ed anche per evitare distorsioni di mercato, suggeriamo di approntare un sistema (già largamente possibile de iure condito) di quasi-proprietà condivisa e multilivello sui dati personali, plasmata sullo spettro dei segreti commerciali.
Tali rilessioni vanno ovviamente contestualizzate nel panorama di protezione europea dei dati personali. Pertanto, nella sezione 3 abbiamo discusso l’opportunità di proprietarizzare i dati utilizzando gli strumenti già presenti nel panorama giuridico europeo.
In particolare, nella sezione 4 abbiamo distinto diversi tipi di dati personali in base alla loro relazione con la vita attuale dei soggetti interessati e all’inverso grado di sforzo intellettuale od economico dell’impresa per trattare quei dati. Ciascuna categoria ha diversi diritti riconosciuti dal GDPR, che ben simboleggiano i diversi gradi di titolarità individuale sui dati e l’opposto grado di titolarità “intellettuale” delle imprese su quei dati.
Possiamo pertanto concludere che la proprietarizzazione dei dati personali non è soltanto un’interessante soluzione per meglio proteggere la privacy degli individui e la proprietà intellettuale, ma anche una sida emergente a partire dal nuovo GDPR.
