INDICE
Immaginiamo un grande chiassoso bazar dove si vendono a ritmi vertiginosi merci di ogni genere. Oppure le sale della borsa dove ogni operazione si svolge freneticamente sulle dita degli operatori di borsa.
Ora immaginiamo che al posto delle merci o delle azioni ci siano i nostri dati. Le nostre preferenze (dallo sport alla cronologia dei siti per adulti), le nostre playlist preferite con relativi nomi, la cronologia dei luoghi dove siamo stati e così via. Dati che vengono scambiati continuamente, in ogni momento, da intermediari, in cambio di altri dati o di denaro.
Tutto legale (vedremo a che condizioni): è quello che si dice fare il data broker.
Cosa significa fare il data broker?
Il data broker viene anche definito data provider o data supplier. Egli incrocia i dati e li aggrega (“enrichment”), in modo che cessino di essere ammassi informi. I dati diventano così intelligibili e utilizzabili dalle aziende, non solo data-driven (“guidate” dai dati), ma anche da banche e assicurazioni. Le persone a cui questi dati si riferiscono vengono quindi ripartite in categorie di pronto utilizzo (ad es. sportivi, appassionati di musica ska, malati oncologici, divorziati, elettori di destra, eterosessuali, lettori di thriller, ecc.).
Per fare il data broker occorre lavorare in squadra. Ad esempio con i soggetti (data scientist) che eliminano il “rumore”, cioè filtrano, mediante algoritmi appositamente creati, i dati effettivamente rilevanti. Il data analyst fa poi parlare i dati, traducendoli in materiale facilmente consultabile da chi si occupa di digital marketing e cerca di targettizzare il più possibile la propria campagna marketing. Ad esempio ad una certa società può interessare sapere quali siti di notizie online sono consultati da soggetti di una certa fascia di età, con certe preferenze e un reddito omogeneo, per poi pubblicizzare in tali siti i propri prodotti, personalizzati rispetto a quei lettori-tipo.
Cosa si studia per fare il data broker?
Il data broker o intermediario di dati ha studiato per lo più matematica, informatica o economia. Si è poi specializzato in statistica, sociologia, ha approfondito l’analisi dei dati, dai BigData al machine learning, dal web tracking all’intelligenza artificiale. Si intende di reportistica, programmazione, senza trascurare gli aspetti normativi sulla liceità del trattamento dei dati personali.
Quali sono i dati oggetto di scambio?
I dati con cui ha a che fare il data broker possono essere i più vari.
Sono principalmente dati anagrafici (nome e cognome, genere, data di nascita, luogo di residenza) o di contatto (numero di telefono, indirizzo email). Si tratta soprattutto di preferenze e abitudini di acquisto (ad es. di acquisto o consultazione di siti web), interessi personali, tipo di professione, livello di istruzione, inclinazioni religiose, simpatie politiche. Non sono esclusi dati sanitari.
Il data broker lavora, oltre che su dati raccolti attraverso sistemi di web tracking, anche su dati estratti dai profili dei nostri social media.
A chi vengono venduti i dati?
Principalmente a società di marketing o a grandi aziende, per finalità di profilazione degli utenti di un certo sito web o dei consumatori di un certo prodotto. Il data broker potrebbe però essere anche incaricato di fare consulenza a banche e assicurazioni. Ad esempio per profilare un soggetto che chiede un mutuo, o per scongiurare truffe assicurative.
Qualche esempio: un soggetto che frequentemente consulta cardiologi, effettua on line ricerche su rischi vascolari e relativi rimedi, si reca in una certa località geografica famosa per le cure cardiovascolari, potrebbe nascondere patologie che non ha riferito alla propria assicurazione.
Naturalmente ciò, oltre che ancorato a basi legittime, deve essere sostenibile. In altre parole, il guadagno derivante dallo scampato pericolo in un numero probabilmente limitato di casi deve essere in proporzione maggiore alla spesa per la consulenza stessa.
Fare il data broker è legale?
Certamente. A patto di non violare la normativa sulla data protection che tutela i soggetti coinvolti nel segmento di mercato che si sta analizzando. Essa può variare di molto anche sulla base della collocazione geografica.
L’Unione Europea si è occupata del data broker, precisando che egli, a seconda del grado di controllo e autonomia decisionale sul trattamento del dato, può essere titolare del trattamento o responsabile del trattamento (qui un’utile guida per distinguere correttamente i due ruoli).
Essenziale è la legittimità della base giuridica su cui si fonda il trattamento. Generalmente i dati possono essere acquisiti sulla base del consenso dell’interessato, o, nel caso di dati comuni, dell’interesse legittimo. Tuttavia il Garante Privacy ha considerato illegittima la pratica di impostare il tracciamento delle attività online sulla base di un presunto legittimo interesse impostato “di default” sui cookie banner. Anche in questo caso è necessario un consenso espresso, che non può essere presunto. Inoltre il legittimo interesse del titolare o del responsabile deve essere bilanciato con attenzione con i diritti dell’interessato.
Inoltre i dati potrebbero essere stati forniti spontaneamente dall’interessato a un certo soggetto per una precisa finalità. Secondo il GDPR, tali dati non possono essere poi utilizzati per finalità diverse. A ogni cambio di finalità deve essere concesso il consenso da parte dell’interessato. Questo processo appare macchinoso: ci si chiede come fa quindi il data broker a lavorare legittimamente con una impressionante mole di dati. Spesso l’interessato non sa di aver prestato il proprio consenso a finalità ulteriori di trattamento. Allo stesso modo, spesso ignora di aver acconsentito alla cessione dei propri dati ad altri soggetti, anche per finalità di analisi e profilazione.
Si aprono nuove opportunità per il commercio di dati con il Data Governance Act?
L’Unione Europea ha calcolato che nel 2027 il valore dell’economia dei dati ammonterà a 829 miliardi di Euro (erano solo 301 nel 2018), con un progressivo aumento dei soggetti coinvolti (“professionisti dei dati”).
L’Europa pare essere consapevole del fatto che la crescente centralità del data brokerage è un processo inarrestabile. Il 30 novembre 2021 il Consiglio e il Parlamento Europeo hanno raggiunto un accordo provvisorio sul Data Governance Act (sul progetto di Regolamento di data governance della Commissione del 25.11.2020). Il DGA mira a creare meccanismi sicuri per promuovere l’utilizzo di certe categorie di dati in possesso di enti pubblici e aziende private. Lo scopo è aumentare la fiducia nei servizi di brokeraggio di dati. In tale scenario, i data broker che rispetteranno rigidamente le regole imposte dall’Unione, tra cui la neutralità e la sicurezza, potranno essere racchiusi in un registro pubblico. Gli enti che forniranno i dati dovranno garantire il pieno rispetto della privacy.
L’atto sulla governance dei dati definisce un quadro volto a promuovere un nuovo modello commerciale – i servizi di intermediazione dei dati – che consentirà di creare un ambiente sicuro al cui interno le imprese o gli individui possano condividere i dati.
Per le imprese tali servizi possono assumere la forma di piattaforme digitali, che sosterranno la condivisione volontaria dei dati tra imprese o agevoleranno il rispetto degli obblighi di condivisione dei dati stabiliti per legge. Utilizzando tali servizi le imprese potranno condividere i loro dati senza il timore di un uso improprio o di una perdita di vantaggio competitivo.
Per quanto riguarda i dati personali, i servizi di questo tipo e i relativi fornitori aiuteranno i cittadini a esercitare i loro diritti ai sensi del regolamento generale sulla protezione dei dati (GDPR), e ad avere così il pieno controllo sui propri dati, consentendo loro di condividerli con un’impresa di cui hanno fiducia. Tale risultato può essere ottenuto, ad esempio, mediante nuovi strumenti di gestione delle informazioni personali, quali spazi di dati personali o portafogli di dati – applicazioni che condividono siffatti dati con altri, sulla base del consenso del titolare dei dati.
Fonte: Comunicato stampa del Consiglio d’Europa del 30.11.2021
Quali rischi per il data broker e per i soggetti analizzati?
In attesa dell’approvazione del DGA, e in ogni caso per chi si muoverà al di fuori delle sue regole, non si può sottovalutare il rischio per i soggetti analizzati di un vero e proprio “dossieraggio”. Il rischio è anche quello dell’utilizzo per finalità criminose dei dati così raccolti.
Per altro verso, ulteriori rischi sono nascosti dietro ad analisi non accurate. Un dato non effettivamente rilevante, non correttamente interconnesso agli altri rischia di farci collocare in una categoria a cui non apparteniamo. Ad esempio, cercare le date del mese del Ramadan potrebbe farci ritenere musulmani. Oppure, ricercare informazioni su centri di cure oncologiche per un amico potrebbe farci ritenere malati. Cercare per lavoro notizie sui combattimenti animali potrebbe farci ritenere invischiati in quel mondo; e così via.
Negli ultimi tempi negli Stati Uniti sono fioriti siti in cui è possibile verificare in che modo siamo categorizzati e chiedere, oltre che una sorta di deindicizzazione, la correzione di dati non attendibili.
Se ciò sia possibile e veloce è però tutt’altro che certo.
