Il Garante porta davanti all’Edpb la questione dei dati personali ‘venduti’ tramite app
Il caso. Come si legge nel comunicato stampa diffuso oggi, 1 agosto, l’Autorità ha ricevuto varie segnalazioni a partire da inizio anno da parte di imprese della grande distribuzione che lamentavano di aver ricevuto da parte di “Weople” numerosissime richieste di trasferire alla piattaforma dati personali e di consumo registrati nelle carte di fedeltà. Come spiega il Garante «l’impresa italiana, che gestisce la app e offre servizi di vario genere (offerte commerciali, analisti statistiche e di mercato), si propone infatti come intermediaria nel rapporto tra aziende e utenti chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso grandi imprese allo scopo di riunirle all’interno della propria banca dati».
Criticità. Il Garante ha dunque voluto sottolineare la questione relativa alla corretta applicazione, da parte di tale società, del c.d. diritto alla portabilità dei dati introdotto dal GDPR, «con l’ulteriore complicazione determinata dall’esercitare tale diritto mediante una delega e con il conseguente rischio di possibili duplicazioni delle banche dati oggetto di portabilità». Merita inoltre attenzione il profilo relativo alla commerciabilità dei dati, tramite attribuzione di un vero e proprio controvalore al dato personale.
Segnalazione. Con la lettera inviata al Comitato, il Garante ha chiesto un parere in merito alla vicenda posto che «l’attività di “Weople” può produrre effetti in più di uno Stato dell’Unione in ragione delle richieste di portabilità che potranno essere avanzate e delle questioni relative alla valorizzazione economica dei dati personali ed alla natura ‘pro-concorrenziale’ del diritto alla portabilità. Per questi motivi, pur essendo emerso in Italia, il caso della app impone, ad avviso del Garante, una riflessione generale che è più opportuno condividere con le altre Autorità di protezione dati».
Nel frattempo, il Garante chiama i soggetti privati che riceveranno simili richieste dovranno ad operare nel rispetto del principio di accountability.