Documento senza titolo
Big Data e regolazione: spunti e linee guida dell’Indagine Conoscitiva Congiunta Agcm, Agcom, Garante Privacy
* edited by Dott. Alessandro Romano, Graziadei Studio Legale

02/03/2020

Considerazioni preliminari. La società dell’informazione produce ogni giorno 2,5 quintilioni di bytes: in un solo minuto, Google ospita quasi 4 milioni di ricerche, Instagram quasi 50 mila nuove foto e Netflix quasi 100 mila ore di video guardate [1]. 

Queste enormi quantità di dati, note come Big Data, rappresentano uno degli asset fondamentali per poter competere e sopravvivere nei mercati digitali (e non solo). Ma a fare la differenza, nella data-driven economy, non è tanto il possesso dei Big Data, quanto piuttosto la capacità di estrapolarne informazioni utili: informazioni sulle abitudini e sulle preferenze di acquisto dell'utente, o più in generale sulla sua personalità digitale, al fine di ‘targetizzare’ meglio gli spazi pubblicitari online.

Questo processo di estrapolazione delle informazioni avviene di solito mediante procedimenti di data analytics effettuati in tempi molto rapidi mediante algoritmi dal funzionamento complesso. Dall'insieme di queste operazioni derivano problematiche e prospettive che l’Indagine Conoscitiva congiunta Agcom, Agcm e Garante Privacy si è preoccupata di delineare.



I temi sono tanti e intersecano più profili, partendo dalle preoccupazioni circa la creazione di nuove barriere concorrenziali basate sui dati per arrivare al valore monetario dei dati stessi, dal rapporto fra utilizzo dei dati e pluralismo informativo alla tutela della privacy, laddove i Big Data siano costituiti da dati personali.         
           
Ricostruendo il fenomeno, l’Indagine sottolinea che i Big Data si caratterizzano per le cosiddette quattro “V”, ossia il volume, la varietà, la velocità e il valore, e sono trattati con procedimenti automatici (algoritmi ecc.) «al fine di individuare correlazioni di natura (per lo più) probabilistica, tendenze e/o modelli». [2] Ed è questo uno dei punti chiave del discorso: secondo alcuni, la data analysis e la profilazione servirebbero - più che a riconoscere le abitudini del singolo utente - a creare dei «tipi ideali», degli «individui-modello» rappresentativi delle caratteristiche di un gran numero di persone, e su questa base ad effettuare valutazioni predittive circa le loro scelte.



Ampio risalto ha poi la filiera dei Big Data, consistente nella raccolta, nell’elaborazione e nell’utilizzo dei dati.

Per quanto riguarda la raccolta dei dati, le Autorità distinguono la fase genetica da quella acquisitiva. La prima può riguardare sia le attività svolte dagli utenti sia una generazione automatica mediante Internet of Things, cioè le applicazioni che consentono di connettere gli oggetti con l’ausilio della rete, facendoli «cooperare l’uno con l’altro al fine di completare un compito comune» [3]. La seconda riguarda invece il passaggio dei dati dal dispositivo di acquisizione (es. smartphone) ai server dei soggetti che sviluppano i sistemi.    

La fase di elaborazione dei dati è di fondamentale importanza, in quanto «i dati isolatamente considerati hanno poco valore, ma lo acquisiscono quando sono organizzati». [4] In tutto ciò giocano un ruolo di primo piano gli algoritmi di intelligenza artificiale, elemento che rende già visibile il gap concorrenziale che separa le principali tech companies dagli altri operatori: le prime hanno infatti una «propensione all’investimento» [5] che, unita alla disponibilità dei dati, garantisce loro la possibilità di esplorare con costanza nuove forme di elaborazione algoritmica dei dati, per ricavarne nuove informazioni.

L’utilizzo dei dati ha un ruolo chiave nel processo decisionale dell’impresa, consentendo non soltanto di mettere in campo strategie più mirate, a monte, ma anche di monitorarne gli effetti, a valle. L’Indagine riporta in tal senso che i principali impieghi dei dati riguardano, oltre al miglioramento dell’attività imprenditoriale complessivamente intesa, anche l’offerta di prodotti e servizi innovativi e personalizzati, fino ad arrivare alla differenziazione dei prezzi sulla base del singolo consumatore.         

L’incontro fra diritto ed economia dei dati che emerge dalla disamina che precede trova poi riscontro anche nelle osservazioni dei partecipanti all’Indagine. In particolare, si evidenziano i temi del pluralismo informativo e della portabilità dei dati, diritti che – pur garantiti dalle rispettive norme settoriali – finiscono per essere minati rispettivamente da problematiche quali la disinformazione e gli «effetti di lock-in tecnologici o sociali». [6]

Interessanti anche le annotazioni sul market power conferito dal possesso dei Big Data: la sensazione è che la competizione all’interno del singolo mercato sia destinata all’irrilevanza, laddove si pensi che, grazie ai dati, le grandi piattaforme godono della possibilità di entrare facilmente in mercati in cui non sono ancora attivi e di dominarli con rapidità.           


Sintesi delle considerazioni di Agcom. Per ciò che attiene alle valutazioni svolte da ciascuna Autorità, l’analisi di Agcom verte innanzitutto sull’impatto dei Big Data nei mercati dei media audiovisivi e delle comunicazioni elettroniche.

I media tradizionali, in effetti, subiscono una concorrenza sempre maggiore dalle «piattaforme online attive nella produzione, distribuzione e condivisione dei contenuti di informazione ed intrattenimento» [7], elemento che peraltro comporta la necessità di estendere il perimetro di indagine del livello di concorrenza e di pluralismo.

Il terreno di scontro creato dai Big Data è essenzialmente quello della raccolta pubblicitaria, che va a incidere sul pluralismo informativo nella misura in cui può stimolare una competizione basata sul sensazionalismo e sulla personalizzazione dell’informazione offerta all’utente, con ricadute negative sul confronto di idee e con la creazione di un effetto filter bubble. Il tema è particolarmente delicato sul piano democratico, basti pensare all’utilizzo dei dati e degli algoritmi a fini di profilazione politica.

Agcom sottolinea poi le iniziative prese per contrastare la disinformazione online, e in particolare per incentivare la media e digital literacy, il fact checking, il monitoraggio dei flussi economici pubblicitari che finanziano le fake news.      

Sul versante delle comunicazioni elettroniche, invece, il tema dominante è la necessità di raggiungere un level playing field fra operatori tradizionali e over-the-top, cioè un quadro regolamentare che avvicini responsabilità e facoltà delle due categorie di operatori.       

A fronte delle preoccupazioni per il pluralismo e la concorrenza nei mercati rilevanti, i Big Data hanno tuttavia anche risvolti positivi consistenti, ad esempio, in un miglioramento dei processi di sviluppo, manutenzione e sicurezza delle reti.   

Ma è soprattutto sul quadro regolamentare europeo che Agcom pone l’accento, sottolineando, lato media audiovisivi, l’estensione delle misure appropriate alla tutela delle varie categorie di utenti per quelle piattaforme che «promuovono contenuti di informazione e intrattenimento come “funzionalità essenziale” e che sono predisposte per “organizzare” la visione di contenuti» [8]; lato comunicazioni elettroniche, invece, il focus è sul riconoscimento da parte del nuovo Codice europeo delle comunicazioni elettroniche del valore economico dei dati, che secondo Agcom potrebbe «impattare sulle piattaforme online il cui modello di business si basa sulla raccolta di dati» [9], in quanto il concetto di remunerazione, proprio della definizione di servizi di comunicazione elettronica, dovrebbe ora comprendere quelle situazioni in cui il fornitore di un servizio chiede in cambio all’utente dati personali. 


Sintesi delle Considerazioni del Garante Privacy. La preoccupazione primaria del Garante è quella di sottolineare che una crescita dei Big Data non attentamente regolata potrebbe comportare dei pericoli per la struttura democratica della società, come confermato di recente dal caso Cambridge Analytica. In effetti, anche se non tutti i dati che circolano sulla rete sono considerabili dati personali, meccanismi quali le filter bubble, la disinformazione e la profilazione dell’utente poggiano proprio sui dati personali: più gli operatori di internet ne adoperano, e più a fondo possono conoscere l’utente e quindi influenzarne le scelte. 

Tuttavia, il presidio regolamentare, pur da migliorare e ampliare in funzione dello sviluppo tecnologico incessante, esiste già, e l’Autorità lo rivendica con fermezza: «…la circostanza che la dimensione tecnologica acquisti con i Big Data una imponente capacità di spiegare i propri effetti (non tutti e non sempre benefici) sui singoli e sulla società nel suo complesso impone, nel nostro ordinamento costituzionale, non diversamente da quello dell’Unione europea, di preservare, oggi più che mai, le garanzie nel tempo acquisite a tutela dei diritti fondamentali e da ultimo ribadite nel RGPD.» [10]     

Sotto questo profilo, il messaggio lanciato dal Garante riallinea tecnologia e diritto, che avanzano di pari passo. Infatti, pur senza focalizzarsi sui Big Data, il RGPD appare capace di fronteggiare e disciplinare il fenomeno, e in particolare di rispondere alle opacità dei Big Data con il principio di trasparenza del trattamento dei dati. Lo si capisce dalla lettura che il Garante offre del Regolamento e dell’applicazione dei suoi elementi cardine, fra i quali è necessario ricordare almeno l’accountability del titolare del trattamento (cioè la sua responsabilità per le operazioni poste in essere sui dati), l’applicazione di adeguate misure tecnologiche, la necessità di predisporre ogni fase del trattamento dei dati in funzione dei principi di privacy by design e by default. Quest’ultimo punto appare di particolare importanza, dato che uno dei principali di strumenti di profilazione online è rappresentato dai cookies, e il concetto di privacy by default, cioè di privacy ‘per impostazione predefinita’, impone appunto di offrire all’utente, come impostazione predeterminata, quella che raccoglie il minor numero di dati possibile (scelta che l’utente potrà eventualmente ampliare su base volontaria, fornendo più dati).

Perché tale sistema sia efficace, tuttavia, è necessario che l’utente – specie in un contesto digitale in cui i dati personali risultano spesso considerati come la ‘controprestazione monetaria’ del servizio offerto – sia più consapevole dei rischi legati alla profilazione e alla circolazione dei suoi dati. Oltre a un innalzamento della media literacy, lo strumento primario per favorire questa consapevolezza è rappresentato dagli obblighi informativi imposti al titolare. Essi non possono infatti essere considerati «inutili ed onerosi adempimenti burocratici» sulla base della «circostanza (di fatto) che i più non scorrono le cd. privacy policy.» [11]        

D'altra parte, l'’importanza di una corretta privacy policy rileva non soltanto perché un’informativa non conforme rappresenta già di per sé una violazione del RGPD, ma anche perché l’informativa può essere uno specchio della correttezza (o meno) del futuro trattamento dati, anche a fini di indagine.         


Sintesi delle considerazioni di Agcm. La disamina di Agcm si concentra invece, come ipotizzabile, sul market power conferito dai Big Data nella data economy. L’Autorità sottolinea innanzitutto la tripartizione dei mercati in relazione al fenomeno considerato: esiste infatti una prima tipologia di mercati in cui l’utilizzo dei dati ha un rilievo minimo, una seconda in cui il loro utilizzo può avere un’incidenza sul prodotto/servizio e una terza in cui i Big Data sono essenziali a fini di innovazione e di personalizzazione del prodotto/servizio.      
 
La casistica antitrust passata in rassegna lascia emergere, accanto alla concezione dei dati come nuovo asset fondamentale (una possibile essential facility) e al loro rilievo (soprattutto) nei mercati a due o più versanti, alcune problematiche di non poco conto.   

Prima fra tutte, la connessione fra Big Data, economie di scala e di scopo ed esternalità di rete, che da un lato innalza le barriere all’entrata per i concorrenti, dall’altro le barriere all’uscita per i consumatori (switching costs). Nel contesto dei mercati a più versanti, per esempio, «gli effetti di rete assumono particolare rilievo». Infatti «nelle c.d. piattaforme di attenzione, ad esempio, chi ha più utenti dispone di più dati per migliorare il proprio servizio, attirando a sua volta ancora più utenti e determinando così effetti di rete diretti, che si traducono in barriere all’uscita per gli utenti e in un più difficile ingresso per nuovi operatori». [12]  

Per quanto riguarda il rapporto fra barriere e specifici mercati digitali, nel caso dei Big Data appare necessario valutare tre aspetti: in primis, la rilevanza dei Big Data in relazione alla fornitura del prodotto/servizio; poi la natura, la qualità e la quantità dei dati necessari a competere; infine la disponibilità di fonti alternative utili a generare la conoscenza necessaria. Su quest’ultimo punto, l’Antitrust rileva il possibile conflitto fra privacy e concorrenza: infatti la disponibilità di un maggior numero di dataset, utile ad accrescere la contendibilità dei mercati, acuisce la potenziale circolazione (illegittima) di dati, mentre policy restrittive, benefiche per la riservatezza, rendono i dati una risorsa scarsa, o meglio, concentrata nelle mani di pochi grandi operatori.        
           
A questo proposito, una delle problematiche più preoccupanti sollevate in chiave antitrust è che l’esistenza di pochi grandi «datapolist», unita alle già menzionate caratteristiche dei digital markets, possa incentivare fenomeni di cross market entries e di killer acquisitions. Con la prima espressione ci si riferisce in particolare alla facoltà del datapolist di esercitare il suo potere derivante dai dati per entrare in mercati in cui non è ancora presente e acquisire rapidamente una posizione dominante. Con la seconda, invece, si fa riferimento all’acquisizione di una start-up innovativa da parte di una big tech, al fine di stroncare sul nascere un potenziale futuro concorrente. Entrambe le pratiche, non nuove, meritano tuttavia una particolare attenzione quando vengano attuate in contesti digitali, in virtù delle caratteristiche proprie di questi mercati e della propensione all’investimento dei colossi dell’economia digitale.   

A ciò si aggiunga, oltretutto, che il market power degli operatori dominanti (Google, Amazon, Facebook, Apple, Microsoft), peraltro caratterizzati da integrazione verticale e conglomerale, differisce in maniera significativa dal tradizionale concetto di potere di mercato e si avvicina piuttosto a una forma di controllo della struttura stessa dei mercati. Ciò non solo in virtù della dimensione globale di internet, ma anche in quanto queste imprese rappresentano oggi vere e proprie piattaforme abilitanti per le comunicazioni di carattere economico, e non solo.        

Rileva infatti l’Autorità che il ruolo di gateways consente loro «di esercitare un’influenza significativa sulle dinamiche economiche e sociali che hanno luogo su internet, gestendo di fatto l’accesso ai mercati, la visibilità e la reputazione delle imprese terze che operano nell’ecosistema digitale e le loro relazioni con i consumatori finali.» [13] In questo senso, le imprese dominanti possono utilizzare i Big Data nella veste di strumento concorrenziale per porre in essere condotte escludenti, abusi di sfruttamento, rifiuti a contrarre.       

Tutto ciò dovrebbe, secondo l’Autorità, portare innanzitutto a un ripensamento della tradizionale definizione di ‘mercato rilevante’, con una più attenta valorizzazione degli operatori presenti in mercati contigui. A questo proposito, nell’Indagine Conoscitiva si legge che «la disponibilità di Big Data sembrerebbe attribuire alle grandi piattaforme la capacità di esercitare una notevole disciplina concorrenziale su più mercati contemporaneamente, fino ad essere avvertite come soggetti dotati di un notevole potere di mercato ancor prima di avervi fatto ingresso». [14]      

Inoltre, i Big Data – e di riflesso la privacy degli utenti – dovrebbero avere un peso maggiore nella valutazione delle tradizionali pratiche antitrust: per esempio, andrebbero valutati con maggiore attenzione sia la valenza economica dei dati nelle operazioni di concentrazione, sia l’abuso di posizione dominante consistente nell’acquisizione di quantità eccessive di dati, sia ancora le intese restrittive volte a ridurre il livello di privacy nei servizi.  

Una possibile risposta alle problematiche sollevate dal binomio privacy e concorrenza – oltre ai possibili modelli di gestione decentrata dei dati – è in effetti rappresentata dalla portabilità dei dati e dall’interoperabilità dei servizi. Consentendo all’utente un’esperienza più fluida e priva di barriere, nel passaggio da un servizio ad un altro, tali elementi potrebbero infatti azzerare l’effetto di lock-in e far sì che la privacy diventi un elemento di concorrenza. In altre parole, sebbene le aziende siano tendenzialmente portate a raccogliere il maggior quantitativo possibile di dati sui propri utenti, esse potrebbero essere incentivate ad acquisire un minor numero di dati, in modo da essere preferite dall’utente nella scelta del servizio. 

Ciò presuppone però anche una maggior consapevolezza da parte dell’utente, elemento più volte sottolineato nel corso dell’Indagine Conoscitiva, e ribadito dall’Antitrust nella formulazione dell’ipotesi di una (quasi inedita) differente gradazione dei servizi. Il ragionamento è il seguente. Se gli utenti non esprimono una propensione univoca alla cessione dei dati personali, ma anzi questa varia al variare dell’importanza che essi attribuiscono alla privacy, è auspicabile che le imprese digitali adottino in misura sempre maggiore soluzioni capaci di personalizzare il servizio secondo gradazioni differenti: servizio più personalizzato per l’utente disposto a cedere più dati, e viceversa.    

Ad ogni modo, sotto il profilo della tutela dell’utente, è ipotizzabile che negli zero-price markets, ossia in quei mercati in cui il prezzo è rappresentato dalla cessione dei dati personali, il ‘pagamento in dati’ abiliti l’applicazione della tutela consumeristica, rientrando tale attività nel concetto di attività economica. E in effetti, in alcuni casi (Facebook, WhatsApp), è già capitato che l’Autorità ampliasse «la nozione di rapporto di consumo, riconoscendo la natura economica del comportamento dell’utente anche in relazione alle piattaforme digitali che offrono servizi gratuitamente». [15]      

Un ultimo argomento rilevante affrontato dall’Antitrust è poi quello della personalizzazione algoritmica dei prezzi, cioè l’utilizzo della funzione predittiva dei Big Data per veicolare prezzi differenti a consumatori differenti. E’ questa una pratica che, da un lato, può «migliorare l’efficienza allocativa, statica e dinamica» [16], e così il benessere sociale e l’incentivo all’innovazione; dall’altro, però, essa va generalmente a scapito del consumatore, o quantomeno di alcune categorie di consumatori. La valutazione di tali pratiche è però resa ancor più complessa dall’incertezza circa l’applicabilità dell’art. 102 TFUE ai rapporti con i consumatori.


Linee guida e raccomandazioni di policy. A seguito delle valutazioni espresse da ciascuna Autorità, l’Indagine Conoscitiva espone infine le seguenti linee guida e raccomandazioni di policy:

1. Governo e Parlamento si interroghino sulla necessità di promuovere un appropriato quadro normativo che affronti la questione della piena ed effettiva trasparenza nell’uso delle informazioni personali (nei confronti dei singoli e della collettività).

2. Rafforzare la cooperazione internazionale sul disegno di policy per il governo dei Big Data.

3. Promuovere una policy unica e trasparente circa l’estrazione, l’accessibilità e l’utilizzo dei dati pubblici al fine della determinazione di politiche pubbliche a vantaggio di imprese e 116 cittadini. Sarà necessario un coordinamento tra tale policy e le strategie europee già esistenti per la costituzione di un mercato unico digitale.

4. Ridurre le asimmetrie informative tra utenti e operatori digitali, nella fase di raccolta dei dati, nonché tra le grandi piattaforme digitali e gli altri operatori che di tali piattaforme si avvalgono.

5. Prima delle operazioni di trattamento dei dati, identificare la loro natura e proprietà e valutare la possibilità d’identificazione della persona a partire da dati ‘anonimizzati’.

6. Introdurre nuovi strumenti per la promozione del pluralismo on-line, la trasparenza nella selezione dei contenuti nonché la consapevolezza degli utenti circa i contenuti e le informazioni ricevute on-line.

7. Perseguire l’obiettivo di tutela del benessere del consumatore con l’ausilio degli strumenti propri del diritto antitrust estendendoli anche alla valutazione di obiettivi relativi alla qualità dei servizi, all’innovazione e all’equità.

8. Riformare il controllo delle operazioni di concentrazioni al fine di aumentare l’efficacia dell’intervento delle autorità di concorrenza.

9. Agevolare la portabilità e la mobilità di dati tra diverse piattaforme, tramite l’adozione di standard aperti e interoperabili.

10. Rafforzare i poteri di acquisizione delle informazioni da parte di AGCM ed AGCom al di fuori dei procedimenti istruttori e aumento del massimo edittale per le sanzioni al fine di garantire un efficace effetto deterrente delle norme a tutela del consumatore.

11. Istituzione di un “coordinamento permanente” tra le tre Autorità.

© Graziadei Studio Legale

Ulteriori informazioni: 'Indagine conoscitiva sui Big Data' disponibile in pdf, link al sito Agcom

[1] Fonte: Report 'Data Never Sleeps 6.0', domo.com

[2] Indagine Conoscitiva Congiunta, pag. 7.

[3] Pag. 11.

[4] Pag. 15.

[5] Pag. 18.

[6] Pag. 26.

[7] Pag. 30.

[8] Pag. 46.

[9] Pag. 47.

[10] Pag. 49.

[11] Pag. 58.

[12] Pag. 72.

[13] Pag. 76-77.

[14] Pag. 80.

[15] Pag. 101.

[16] Pag. 106.

Disclaimer & Privacy
P.IVA 07340781009