L’EDPB censisce i data broker in Europa: otto categorie di aziende che raccolgono e vendono i tuoi dati

Funzionari EDPB che mappano e classificano i data broker europei attorno a una superficie digitale con nodi e flussi di dati

Il mercato dei data broker prospera nell'opacità: aziende che aggregano profili dettagliati su milioni di persone senza che queste ne abbiano consapevolezza, operando in una zona grigia della conformità GDPR. Lo studio EDPB del 4 marzo 2026 introduce per la prima volta una metodologia sistematica per identificarli e classificarli. Ma quando uno strumento di mappatura diventa disponibile per tutte le autorità UE, quanto tempo passa prima che si trasformi in uno strumento di enforcement?

Ogni giorno, aziende che la maggior parte delle persone non ha mai sentito nominare raccolgono informazioni su di loro: indirizzi, abitudini di acquisto, comportamenti online, dati demografici e finanziari. Le aggregano, le elaborano e le rivendono a terzi. Senza che l'interessato ne sappia nulla, senza un rapporto diretto, senza un consenso esplicito. Sono i data broker, e il 4 marzo 2026 l'EDPB ha pubblicato il primo studio sistematico sul loro mercato, commissionato dall'autorità di controllo belga nell'ambito del programma Support Pool of Experts.

🗂️ Chi sono i data broker

Lo studio definisce i data broker come entità commerciali che raccolgono dati personali da fonti multiple — registri pubblici, social media, scraping, acquisti commerciali — li aggregano in profili consumer dettagliati e li monetizzano vendendoli a terzi. Le finalità dichiarate spaziano dalla pubblicità mirata alla verifica dell'identità, dal rilevamento frodi all'ottimizzazione delle campagne di marketing.

L'elemento che distingue questa categoria da altri operatori del dato è strutturale: l'assenza di un rapporto diretto con l'interessato. Il dato viene trattato e commercializzato senza che la persona ne abbia consapevolezza o eserciti un controllo reale. È proprio questo elemento — insieme alla raccolta da fonti multiple e alla monetizzazione — a costituire il criterio definitorio adottato dallo studio, fondato sull'art. 4(1) del GDPR.

🔍 Le otto categorie identificate

Una delle contribuzioni più rilevanti dello studio è la tipologia in otto categorie di operatori attivi nell'ecosistema del dato, che va ben oltre la figura classica del broker di dati personali:
  • broker di dati personali in senso classico
  • piattaforme AI che integrano dati personali nei propri modelli
  • broker di dati aziendali
  • data pool e cleanroom
  • data marketplace
  • fornitori di dati auto-generati
  • broker con meccanismi di controllo per l'utente
  • fornitori di dati aggregati con rischio di re-identificazione
Quest'ultima categoria merita attenzione particolare. Dataset apparentemente anonimi o aggregati possono consentire di risalire all'identità degli interessati attraverso l'incrocio con altre fonti disponibili. Il rischio di re-identificazione non è teorico: è una delle vulnerabilità strutturali dell'economia del dato, e lo studio lo riconosce esplicitamente come area ad alto rischio di non conformità GDPR.

⚙️ Una metodologia per le autorità di vigilanza

L'obiettivo principale dello studio non è descrittivo, ma operativo. Il ricercatore esterno Ruben d'Hauwers ha sviluppato una metodologia in tre passi che le autorità di controllo possono applicare per identificare i data broker attivi nel proprio territorio:
  • definizione dei criteri che qualificano un soggetto come data broker, basati sul GDPR
  • sviluppo di una strategia di ricerca — i codici di classificazione settoriale tradizionali (NACEBEL) si sono rivelati inefficaci perché auto-dichiarati dalle aziende e non riflettono le attività reali
  • analisi per parole chiave dei siti web e delle comunicazioni pubbliche di operatori noti, per costruire liste di soggetti potenzialmente attivi nel settore
Applicando questa metodologia al mercato belga, lo studio ha censito oltre 40 data broker e fornitori attivi, classificati per tipologia e livello di rischio.

⚠️ I rischi per la conformità GDPR

Lo studio non si limita alla mappatura. Evidenzia con precisione le aree in cui le attività di data brokerage si collocano in una zona grigia della conformità:
  • aggregazione di dati da fonti multiple senza trasparenza adeguata verso gli interessati
  • profilazione senza base giuridica valida o senza consenso specifico e informato
  • trasferimenti di dati tra organizzazioni privi di controllo effettivo da parte dell'utente
  • rischio concreto di re-identificazione su dataset apparentemente anonimi
A queste criticità si aggiunge un problema di visibilità regolamentare: le autorità faticano a identificare questi operatori perché i codici settoriali standard non riflettono le attività effettive. Lo studio risolve questo problema con un approccio alternativo basato sull'analisi del linguaggio pubblico delle aziende.

🌍 Verso un enforcement europeo coordinato

Sebbene lo studio sia stato avviato dall'autorità belga, la sua portata è esplicitamente europea. La metodologia sviluppata è trasferibile a tutte le autorità di controllo UE e può supportare future indagini e azioni di enforcement sull'intero territorio dell'Unione. Il programma di lavoro EDPB 2026-2027 indica data broker e profilazione tra le priorità del prossimo biennio, il che rende questo studio un tassello di una strategia più ampia.

Per le aziende che operano nell'economia del dato — che si tratti di raccogliere, aggregare, analizzare o commercializzare dati personali — lo studio rappresenta un segnale preciso: gli strumenti per l'identificazione e la valutazione del rischio sono ora disponibili e condivisibili tra autorità. Il settore è sotto osservazione sistematica, e l'enforcement si avvicina.

#databrokerage #dataeconomy #profilazione #gdprenforcement

Articoli correlati

Torna in alto