Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

Esercizio collettivo dei diritti GDPR: un’interpretazione corretta a tutela delle aziende

Fa discutere l’appello lanciato da una community online per invitare tutti i legittimati ad esercitare i propri diritti ex GDPR al fine di mettere in difficoltà un’azienda nel gestire la mole di migliaia di richieste e farla cadere in sanzione per il ritardo nell’evaderle. Ecco i fatti e una corretta interpretazione del Regolamento UE in tema di esercizio dei diritti degli interessati

29 Ott 2019

Una notizia che è passata inosservata al grande pubblico italiano, ma sembrerebbe anche agli esperti del settore, è quella dell’organizzazione di un’azione collettiva che potremmo identificare come una sorta di rivalsa nei confronti di una nota azienda di videogiochi mediante, appunto, l’esercizio collettivo dei diritti GDPR.

Esercizio collettivo dei diritti GDPR: i fatti

Tutto prende spunto dalla decisione presa da una nota azienda produttrice di videogiochi di escludere un campione di e-sport dal diritto al premio per la sua vittoria nel campionato giocato, perché aveva espresso la propria opinione via Twitter appoggiando le manifestazioni in corso a Hong Kong.

Nel dettaglio, il campione è Chung Ng Wai giocatore molto noto nella community degli e-giocatori, settore ancora poco noto ai più in Italia e in Europa ma che in Asia ormai fa quasi concorrenza al mercato dell’entertainment classico, ossia agli eventi sportivi. Riguardo all’Italia, chi volesse approfondire il tema dell’e-sport può leggere i report sulla game week recentemente tenutasi alla fiera di Milano, dove sempre più spazio è stato riservato al settore dell’e-sport.

Come detto l’azienda di software, che vede nella Cina uno dei suoi più grandi mercati, non solo ha escluso il giocatore per un anno dai tornei, gli ha altresì negato diecimila dollari di premio già maturati.

In seguito a ciò, la community di riferimento online con a capo alcuni giocatori, attraverso Reddit, sulla scorta della considerazione che molti giocatori professionisti e non del gioco dell’azienda risiedono in Europa, ha lanciato un appello con relativo fac-simile per invitare tutti i legittimati ad esercitare i propri diritti ex GDPR al fine di mettere in difficoltà l’azienda nel gestire la mole di migliaia e migliaia di richieste, cercando in virtù di ciò di farla cadere in sanzione per il ritardo nell’evadere tali richieste, nonché si immagina sperare di trovarla non conforme, e determinare, quindi, altre eventuali sanzioni, che come sappiamo non sono lievi.

Insomma, volendo utilizzare una metafora informatica, si è cercato di organizzare una sorta di attacco DDoS.

È interessante notare come, ad esempio, un’altra società del settore dopo l’accaduto si è affrettata a dichiarare che non è sua policy interessarsi delle opinioni politiche dei partecipanti ai propri tornei e che mai ne escluderà uno per tali motivi: una strizzatina d’occhio alla community di riferimento.

Esercizio collettivo dei diritti GDPR per “punire” le aziende?

Ora detto ciò, l’aspetto interessante che qui interessa analizzare non è ovviamente quello politico riguardo alla protesta oggetto del commento, o di diritto civile rispetto alla legittimità o meno della squalifica del giocatore, ma la reazione della community digitale per “punire” l’azienda che è stata ritenuta agire in maniera difforma a quelli che sembrano essere i valori di riferimento della community stessa, che in seguito a tale presunta violazione delle (sue) regole decide di usare in maniera organizzata l’esercizio di un diritto del GDPR.

Per completezza, altri aspetti interessanti della vicenda che meritano di essere almeno citati sono poi:

  • l’aspetto social, o comunque digitale, anche riguardo alle modalità di diffusione dell’appello;
  • la reazione da parte della community di riferimento contro l’impresa ritenuta colpevole di aver colpito un membro della loro community;
  • il carattere transnazionale della vicenda;
  • ma soprattutto come detto la legittimità dell’uso del GDPR ai fini dichiarati.

Premesso ciò, da una prima valutazione sembrerebbe in realtà legittimo esercitare un proprio diritto; tuttavia, sappiamo tutti come ormai la velocità delle notizie in confronto alla non velocità del sistema nel verificare la correttezza di certe informazioni, possa procurare un grave danno ad una impresa, soprattutto a quelle del settore web le quali sono soggette a una migrazione potenzialmente rapidissima di clienti qualora voci negative sul suo operato circolino on line.

In altre parole, più che mai nella società dell’informazione digitale in tempo reale, una notizia negativa (come ad esempio la presunta violazione dei diritti di un utente) a prescindere dal fatto che venga successivamente verificata non vera, è potenzialmente dannosa.

Nel caso di specie, tralasciando volutamente aspetti dottrinali sul tema dell’abuso di diritto, vediamo come di fatto gli utenti utilizzano in maniera strumentale il diritto individuale di accedere ai propri diritti, senza pensare ad esempio al forse più idoneo ricorso ex art. 80 GDPR, sia esso in forma individuale o collettiva.

Esercizio collettivo dei diritti GDPR: una corretta interpretazione

Dico ciò perché analizzando la questione si vede come però erroneamente gli interessati affermano che provocando un sovraccarico di richieste il ritardo conseguente nelle risposte provocherebbe una violazione degli obblighi di risposta. Difatti ciò, in realtà, non corrisponde ad una interpretazione corretta del GDPR, dove su questo aspetto assume rilevanza l’art. 12 GDPR, paragrafo terzo:

Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

Quindi, come vediamo, nel caso di esercizio di massa di un diritto, peraltro in maniera strumentale, l’azienda obiettivo ben può rispondere in maniera legittima, anzi deve, nel termine di 30 giorni che visto l’elevato numero di richieste impiegherà più tempo del necessario ad evadere la richiesta e che contro tale ritardo il richiedente può presentare reclamo o ricorso giurisdizionale.

Alla luce di ciò appare alquanto improbabile quindi, che un’autorità, o un giudice, di fronte ad un “attacco” organizzato, oltretutto facilmente documentabile essendo il web pubblico, o comunque conteggiando il numero di richieste ricevute, possa sanzionare un’impresa per il ritardo nell’evadere le richieste.

Tuttavia, invece, ben potrebbe aprire un’indagine sull’origine, o meglio, una volta informata dell’uso illegittimo dei dati di un utente, ovvero al di fuori delle finalità o del principio di proporzionalità e minimizzazione nonché dei dati particolari (opinioni politiche nel caso di specie), potrebbe allora sì avviare un’ispezione sulla gestione a tutto tondo dell’uso dei dati da parte dell’azienda, quindi anche comprese le modalità di profilazione, uso automatizzato dei dati, data retention e via dicendo.

Conseguentemente a quanto detto occorre però effettuare una precisazione riguardo la libertà d’espressione. Difatti, il GDPR riguarda la protezione dei dati personali lasciando però un certo margine agli stati sulla regolamentazione della libertà d’espressione, si veda su ciò l’art. 85, GDPR, primo paragrafo:

Il diritto degli Stati membri concilia la protezione dei dati personali ai sensi del presente regolamento con il diritto alla libertà d’espressione e di informazione, incluso il trattamento a scopi giornalistici o di espressione accademica, artistica o letteraria.

Quindi, se in base al paese di competenza dell’eventuale questione il risultato potrebbe essere differente, altra questione è quella in re ipsa, ossia di una violazione dell’uso dei dati dell’utente da parte dell’azienda.

È importante analizzare il tipo di trattamento dati

Difatti, non si vede quale relazione ci sia tra il partecipare ad un torneo di videogame e le opinioni politiche espresse dal giocatore. Da ciò risulta interessante analizzare quale sia il tipo di trattamento portato avanti dalle software house tra i quali risulta più intuitivo ricomprendere quelli necessari a evitare la pirateria, i comportamenti antisportivi dei giocatori e ed il controllo delle chat per evitare episodi di diffamazione e bullismo.

Altri aspetti che sicuramente investono il trattamento dati delle industrie dei videogame è quello della profilazione e delle decisioni automatizzate, ad esempio gli algoritmi che studiano il comportamento del giocatore ed in base a questo proporre i differenti acquisti per migliorare i propri livelli di gioco, infine a tutto ciò, infine, si aggiunga che spesso i giocatori sono minorenni.

Fatta questa rapidissima panoramica sull’uso dei dati nel mondo dei videogiochi, che potrebbero essere oggetto di ispezione, ciò che rileva infine sono l’internazionalità della questione, ossia la soggezione ormai dei big player alla scure del GDPR e l’uso dei suoi strumenti da parte degli utenti.

A questo proposito, come accennato sopra, lo strumento forse più idoneo da parte degli utenti per far valere il proprio diritto d’accesso, tralasciando il discorso della finalità già analizzato, sarebbe stato quello dell’art. 80 GDPR, eventualmente in forma di class action dove lo stato membro la prevede all’interno del proprio ordinamento:

1.L’interessato ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79 nonché, se previsto dal diritto degli Stati membri, il diritto di ottenere il risarcimento di cui all’articolo 82.

2.Gli Stati membri possono prevedere che un organismo, organizzazione o associazione di cui al paragrafo 1 del presente articolo, indipendentemente dal mandato conferito dall’interessato, abbia il diritto di proporre, in tale Stato membro, un reclamo all’autorità di controllo competente, e di esercitare i diritti di cui agli articoli 78 e 79, qualora ritenga che i diritti di cui un interessato gode a norma del presente regolamento siano stati violati in seguito al trattamento.

Tale strumento si ritiene possa essere più idoneo in quanto attraverso la cabina di regia di un’organizzazione forse da un lato gli utenti avrebbero maggiori chance di successo di esercitare veramente i propri diritti in maniera corretta, dall’altra l’azienda sarebbe stata più facilitata nel difendersi.

Conclusioni

Come abbiamo visto, in un mondo sempre più globalizzato e interconnesso le imprese che vogliono competere a livello internazionale devono svolgere un difficile lavoro di equilibrismo: da un lato si trovano a dover garantire i diritti dei propri utenti, dall’altro le pressioni di diversi governi, soprattutto al di fuori dell’Unione europea, dove esistono principi sulla privacy e sulla libertà d’espressione totalmente diversi da quelli della UE.

Motivo per il quale, sembra banale dirlo, è stato emanato il GDPR tra le cui previsioni spicca a buona ragione il suo carattere universale riguardo alla difesa dei diritti fondamentali dei cittadini UE anche fuori dei confini.

Insomma possiamo dire che al momento, a parere di chi scrive, siamo ben lontani dall’aver visto o ipotizzati tutti i possibili risvolti del GDPR.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5