Un argomento in primo piano in questo periodo di riforme legislative, soprattutto a livello europeo in seguito all’emanazione del regolamento UE 679/2016, è la protezione dei dati personali che circolano sul web.
I dati personali degli utenti del web sono diventati ormai una delle forme di business per le aziende di tutto il mondo, se non la principale.
Celebre il caso verificatosi ad Amburgo nel 2014, in cui una drogheria ha venduto un barattolo di frutta e una forma di pane tostato per cinque foto su Facebook e una decina di Like.
Le aziende più ricche del pianeta riescono facilmente a monetizzare il valore dei dati personali che gli utenti condividono gratuitamente e frettolosamente sulle piattaforme. È sulla base di queste considerazioni che si staglia il contenzioso in atto negli Stati Uniti d’America tra due grandissime aziende, LinkedIn e HiQ.
LinkedIn è generalmente un’azienda più conosciuta, in quanto agisce come principale piattaforma di networking professionale, mentre HiQ è un’azienda leader nella Silicon Valley, nel settore del data – scraping: tecnica con cui un software digitale estrae dati personali da altri programmi o siti web. HiQ ha avuto accesso ai dati pubblicamente disponibili dai profili presenti in LinkedIn, a seguito di autorizzazione rilasciata da quest’ultimo. Attraverso attività di data scraping, HiQ ha dato vita a due funzionalità: (i) Keeper, che informa i datori di lavoro su quali dei loro dipendenti sono più appetibili per altre aziende; (ii) Skill Mapper, che fornisce un quadro completo e dettagliato delle skills di ogni dipendente.
Durante il periodo di trattamento dei dati da parte di HiQ, LinkedIn iniziò a sviluppare un prodotto molto simile a Skill Mapper. Per questo motivo LinkedIn ha intimato a HiQ di interrompere l’attività di trattamento dei dati dei profili dei suoi utenti, revocando l’autorizzazione precedentemente concessa e minacciandola di invocare la violazione del CFAA[1] e del Codice Penale della California.
La tesi sostenuta da LinkedIn è che “l’accordo con gli Utenti proibisce la raccolta dati dei suoi clienti con qualsiasi metodo e che ogni accesso futuro di HiQ, di alcun genere, sarebbe senza permesso e senza concessione”. La questione è proseguita presso il tribunale distrettuale degli Stati Uniti nella California del Nord.
La tesi accusatoria di Linkedin si è concentrata principalmente su due precedenti giurisprudenziali: nel caso “Facebook vs. Power Ventures”, quest’ultima era stata definitivamente condannata, in quanto il permesso di accedere al database di Facebook le era stato esplicitamente revocato; nel caso “United States vs. Nosal”, un dipendente di questa seconda azienda era stato condannato poiché aveva avuto accesso al server aziendale utilizzando le credenziali di un collega, dopo che le sue gli erano state espressamente revocate dal datore di lavoro.
HiQ ha invece cercato di sostenere un distinguishing poiché, diversamente dai casi precedentemente citati, erano presenti dati pubblici, conseguibili senza alcun uso di password o di forzature di server.
La Corte non ha accolto le tesi degli avvocati di LinkedIn, ma ha consentito a HiQ di continuare a trattare i dati. Linkedin ha annunciato che proseguirà la causa contro HiQ.
A seguito del grande clamore mediatico derivato da tale controversia, è intervenuto il professore di diritto costituzionale Laurence Tribe di Harvard, che ha appoggiato pubblicamente la tesi di HiQ. Il professor Tribe ha affermato che i dati accessibili al pubblico “sono una fondamentale tipologia di capitale”, e un’azienda privata come LinkedIn non potrebbe limitarne la fruibilità, soprattutto quando tali dati sono utilizzabili da colossi del web come Google per indirizzarne le ricerche.
Un’osservazione su cui i consumatori e tutti gli utenti di internet dovrebbero riflettere con maggiore attenzione: quanto sappiamo dell’utilizzo che le aziende fanno dei nostri dati? Quanto effettivamente guadagnano grazie a questo?
Avv. Mauro Festa
[1] Computer Fraud and Abuse Act. Questo atto fu decretato dal Congresso degli Stati Uniti d’America nel 1986 come emendamento alla già esistente “computer fraud law”. Quest’atto proibisce ogni accesso non autorizzato ad un computer e ogni uso dello stesso che eccede l’autorizzazione concessa.
