Nel corso del 2019, diverse imprese della grande distribuzione hanno segnalato al Garante per la protezione dei dati personali di aver ricevuto da parte della società Hoda numerosissime richieste di trasferire alla piattaforma Weople dati personali in loro possesso, di volta in volta forniti dai singoli utenti ad esempio al momento della sottoscrizione di carte fedeltà.
Difatti, l’impresa italiana che gestisce la menzionata App si è posta quale intermediaria nel rapporto tra aziende e utenti chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso grandi imprese al fine di riunirle all’interno di una propria banca dati da sottoporre, in futuro, ad enrichment e consentire così agli utenti iscritti di guadagnare direttamente dalla cessione dei propri dati. Non a caso Weople si presenta al pubblico come ”la prima Banca per investire e recuperare valore dai tuoi dati, proteggerli e agire i tuoi diritti di privacy. Gratis e senza sforzo”.
Ma vi è di più. Al contempo, Weople si propone anche come piattaforma di marketing, posto che Hoda, si legge nelle condizioni di servizio, “elabora, incrocia e arricchisce i dati personali” precedentemente raccolti e utilizza questi pacchetti “aggregati e anonimi” per campagne pubblicitarie mirate rivolte agli utenti di Weople stessa o per arricchire i database di altre aziende.
Proprio per tali ragioni, il Presidente dell’Autorità Garante, con una propria lettera ha posto all’attenzione del Comitato europeo per la protezione dei dati personali (Edpb) la questione relativa alla menzionata App, con particolare riferimento alla corretta applicazione, da parte di Hoda, del cd. “diritto alla portabilità dei dati” introdotto dal GDPR, con l’ulteriore complicazione determinata dall’esercitare tale diritto mediante una delega e con il conseguente rischio di possibili duplicazioni delle banche dati oggetto di portabilità.
L’altro aspetto segnalato dal Garante nella lettera riguarda, inoltre, il delicato tema della “commerciabilità” dei dati, causata dall’attribuzione di un vero e proprio controvalore al dato personale.
Su entrambe le questioni, il Garante ha dunque chiesto al Comitato – che riunisce tutte le Autorità Garanti dell’Unione Europea – di pronunciarsi sulla “valorizzazione economica dei dati personali ed alla natura ‘pro-concorrenziale’ del diritto alla portabilità”, posto che secondo il Garante l’attività di Weople “può produrre effetti in più di uno Stato dell’Unione” in ragione delle richieste di portabilità che potranno essere avanzate.
Per questi motivi, pur essendo emerso in Italia, il caso dell’App impone, ad avviso del Garante, una riflessione generale da condividere necessariamente con le altre Autorità di protezione dati e ha ritenuto, pertanto, di attendere proprio il parere del Comitato europeo per la protezione dei dati personali (Edpb) per concludere l’istruttoria relativa all’App avviata in Italia proprio nei confronti della Società Hoda.
Nel frattempo, i soggetti privati che riceveranno le richieste di portabilità dei dati da parte di Weople non potranno fare altro se non operare sempre e comunque nel rispetto del principio di accountability stabilito dal GDPR, valutando di volta in volta se ottemperare alle richieste oppure se motivare un eventuale rifiuto.
Di seguito il link alla fonte:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9126709