dati personali

Consenso al trattamento dei dati: come bilanciare privacy ed esigenze del mercato?

La normativa a protezione della privacy e la normativa a protezione dei consumatori tendono sovente a contrapporsi quando si tratta di circolazione dei dati personali. In questo ambito, il consenso diventa dirimente. Ecco perché

12 Apr 2022
Alessandra Sturabotti

Senior Associate at ICT Legal Consulting

Qualsiasi analisi sulla circolazione dei dati personali nella cosiddetta infosfera (utilizzando il termine coniato da Luciano Floridi), e sul potere dispositivo del diritto alla privacy, non può prescindere dall’elemento del consenso, lo strumento attraverso cui il singolo dispone in via negoziale dei propri dati personali.

Tying: quando il consenso al trattamento dati è vincolante per il servizio

Come ben sappiamo, nel digital single market i dati personali rappresentano una contro-prestazione: non solo vengono frequentemente ceduti dallo user in cambio di servizi o contenuti digitali, ma sono monetizzabili e hanno un valore economico, sovente riconosciuto dai provider in forma di sconto o come pagamento.

L’elemento del consenso risulta dirimente, soprattutto se guardiamo alle più rilevanti impostazioni sulla commodification dei dati personali, come la normativa a protezione dei dati personali e la normativa a protezione dei consumatori. I due ambiti tendono sovente a contrapporsi, spingendo, da una parte, verso la delimitazione della cornice sostanziale di liceità della circolazione, dall’altra verso il riconoscimento dello schema negoziale e la tutela della trasparenza. La circoscrizione del consenso dello user rappresenta lo strumento attraverso cui bilanciare la protezione del diritto fondamentale alla privacy con le esigenze dettate dal mercato, vediamo come.

Cos’è il consenso: ce lo spiega il Gdpr

L’art. 4 del Regolamento (UE) 2016/679 (GDPR) definisce come consenso “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy

Secondo l’art. 6, par. 1, “il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”.

Il consenso come base per la legittimità del trattamento

La prima condizione, alla lett. a) dell’articolo, prevede il consenso come una delle basi di legittimità del trattamento. L’art. 7 ne specifica poi le condizioni: “1. qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. 2. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante. 3. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato. 4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Il trattamento di categorie particolari di dati personali

L’art. 9 detta la disciplina del consenso con riferimento al trattamento di categorie particolari di dati personali: “1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. 2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1[…]”.

Anche l’art. 22 prevede il consenso tra gli elementi che escludono l’illiceità dei trattamenti automatizzati: “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. 2.

Il paragrafo 1 non si applica nel caso in cui la decisione: a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; c) si basi sul consenso esplicito dell’interessato. 3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione. 4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato”.

Infine, l’art. 49 prevede il consenso come condizione necessaria, sebbene alternativa: “1. In mancanza di una decisione di adeguatezza ai sensi dell’articolo 45, paragrafo 3, o di garanzie adeguate ai sensi dell’articolo 46, comprese le norme vincolanti d’impresa, è ammesso il trasferimento o un complesso di trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni: a) l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate […]”.

Conclusioni

Dalle norme citate discende che l’utente ha il diritto di esprimere la propria volontà liberamente, con un atto distinguibile e deve essergli assicurata la possibilità di revoca in qualsiasi momento. In via generale, il consenso non deve concretizzarsi per iscritto bensì mediante un’azione positiva espressa, mentre con riferimento ai dati particolari deve necessariamente essere formulato in maniera esplicita. Il consenso figura come una delle basi giuridiche a fondamento della legittimità del trattamento dei dati personali; per quanto attiene ai dati particolari, invece, esso esclude la configurabilità del divieto di trattamento. Sebbene il legislatore comunitario intendesse attribuirgli un ruolo residuale viene sovente (ab)usato da parte delle imprese quale strumento/arma di protezione.

Secondo il Considerando 32 del GDPR: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso” [1].

  1. Cfr. L. Bianchi, “Dentro o fuori il mercato? Commodification e dignità umana”, in Rivista critica del diritto privato, 24 (2006), 3, pp. 489-521; cfr. M. M. Ertman, J. C. Williams (ed. by), Rethinking Commodification, New York and London, New York University Press, 2005; cfr. M. J. Radin, M. Sunder, “The Subject and Object of Commodification”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams, (eds.), New York-London, New York University Press, 2005, pp. 8-29; cfr. G. Cricenti, “Il lancio del nano. Spunti per un’etica di diritto civile”, in Rivista critica del diritto privato, 27 (2009), 1, pp. 21-39; cfr. M. J. Radin, Contested Commodities, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 81-95; cfr. G. Resta, V. Zeno Zencovich, “Volontà e consenso nella fruizione dei servizi in rete”, in Rivista trimestrale di diritto e procedura civile, (2018), pp. 411-440; cfr. F. Pizzetti, Protezione dei dati personali in Italia tra GDPR e Codice novellato, Giappichellli, Torino, 2021, pp. 233 ss.; cfr. R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE 2016/679 (GDPR) e al novellato d.lgs. 196/2003 (Codice Privacy), Giuffrè, Milano, 2019; cfr. G. Finocchiaro, F. Delfini (a cura di), Diritto dell’informatica, Utet, Torino, 2014; cfr. G. Cassano, S. Previti, Il diritto di Internet nell’era digitale, Giuffrè, Milano, 2020; cfr. M. Mursia, C. A. Trovato, “The commodification of our digital identity: limits on monetizing personal data in the European context”, in Medialaws, (2021) 2, pp. 1-24; cfr. S. Tobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, (2019) 3, pp. 131-147; cfr. O. Pollicino, “Costituzionalismo, privacy e neurodiritti”, in Medialaws, (2021) 2, pp. 1-9; cfr. N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, Padova, 2019; cfr. L. Bolognini, Follia artificiale. Riflessioni per la resistenza dell’intelligenza umana, Rubbettino, Soveria Mannelli, 2018; cfr. L. Bolognini, F. Pelino (a cura di), Codice della disciplina privacy, Giuffrè, Milano, 2019; cfr. L. Bolognini (a cura di), Privacy e libero mercato digitale, Giappichelli, Torino, 2021; cfr. I. De Michelis di Slonghello, L. Bolognini, An introduction to the right to monetize (RTM), 9 April 2018, An_Introduction_to_the_Right_to_Monetize_Data.pdf (istitutoitalianoprivacy.it); cfr. S. Zuboff, The age of surveillance capitalism. The fight for the human future at the new frontier of power, Profile Books, London, 2019, trad. it. Ead., Il capitalismo della sorveglianza, Luiss, Roma, 2019; cfr. S. Rodotà, Il diritto di avere diritti, Laterza, Bari, 2012; cfr. S. Rodotà, Prefazione, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. VII-XIX; cfr. A. Putignani, “Prospettive costituzionali del diritto di privacy”, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. 109-160; cfr. G. Pino, “Il diritto all’identità personale ieri e oggi. Informazione, mercato, dati personali”, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. 259-332; cfr. S. Rodotà, Prefazione, in A. Masera, G. Scorza, Internet, I nostri diritti, Laterza, Bari, 2016; Cfr. S. Elvy, “Paying for privacy and the personal data economy”, in Columbia Law Review, 117(6), 2017, 1369 ss.; cfr. V. Ricciuto, “La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno”, in Diritto dell’informazione e dell’informatica, 4 (2018), p. 718; cfr. V. Ricciuto, “Il contratto ed i nuovi fenomeni patrimoniali: il caso della circolazione dei dati personali”, in Rivista di diritto civile, 3 (2020), p. 642; cfr. G. D’Ippolito, “Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziale”, in Il diritto dell’informazione e dell’informatica, 3 (2020), pp. 634-674; cfr. N.R. Koffeman, “(The right to) personal autonomy in the case law of the European Court of Human Rights”, in scholarlypublications.universiteitleiden.nl, June 2010; cfr. S. Athey, C. Catalini, C. Tucker, “The Digital Privacy Paradox: Small Money, Small Costs, Small Talk”, in National Bureau of Economic Research Working Paper Series, n. 23488 (2017); cfr. J. Debussche, J. César, “EU data economy: Legal, ethical & social issues, in twobirds.com, August 2019; cfr. M. Nicotra, “Trasparenza web, attenti ai dark pattern: il ruolo del legal design perla tutela degli utenti”, in Agenda digitale.eu, 14 marzo 2019; cfr. M. Alovisio, P. Cucchi, “Dati in cambio di soldi? Consenso al trattamento e scenari futuri”, in Agendadigitale.eu, 21 febbraio 2020; cfr. L. Brandimarte, “Come combattere le pratiche commerciali ingannevoli: strategie e strumenti”, in Agendadigitale.eu, 17 giugno 2021; cfr. L. Floridi, Pensare l’infosfera. La filosofia come design concettuale, Raffaello Cortina Editore, Milano, 2020; cfr. V. Zeno Zencovich, “Do ‘data markets’ exist?”, in Medialaws, 2 (2019), pp. 1-17; cfr. I. A. Caggiano, “Il consenso al trattamento dei dati personali tra nuovo Regolamento europeo e analisi comportamentale”, in Osservatorio del diritto civile e commerciale, 1 (2018), pp. 7 – 50; cfr. S. Gobbato, “Big data e tutele convergenti tra concorrenza, GDPR e Codice del consumo2, in Medialaws, pp. 148 – 161, 3 (2019); cfr. S. Thobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, pp. 131 – 147, 3 (2019); cfr. S. Thobani, “Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali”, Ledizioni, Torino, 2018; cfr. R. Posner, Sex and Reason, Cambridge (MA), Harvard University Press, 1992, trad. it. Id., Sesso e ragione, Milano, Edizioni di Comunità, 1995; cfr. M. C. Nussbaum “Taking Money for Bodily Services”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 243-247, pp. 243; cfr. M. C. Nussbaum, “Wheter from Reason or Prejudices: Taking Money for Bodily Services”, in Journal of Legal Studies, 27 (1998), pp. 693-724; cfr. A. L. Tarasco, M. Giaccaglia, “Facebook è gratis? Mercato dei dati personali e giudice amministrativo, in Il diritto dell’economia, (2) 2020, pp. 263-301; S. Warren e L. Brandeis “The right to privacy”, in Harvard Law Review, 4 (1890), 5, pp. 193-220, alle pp. 198-199; cfr. U. Pagallo, La tutela della privacy negli Stati Uniti e in Europa: modelli a confronto, Milano, Giuffrè, 2008, p. 4 ss.; G. Resta, “Identità personale e identità digitale”, in Diritto dell’informazione e dell’informatica, (3) 2007, pp. 511-531; Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1; AGCM, Decisione CV154, 11 maggio 2017; AGCM, Decisione IP330, 17 febbraio 2021; Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Convention for the Protection of Human Rights and Fundamental Freedoms (European Convention on Human Rights, ECHR, as amended), Rome, 4 November 1950; Charter of Fundamental Rights of the European Union [2012] OJ C326/391; EDPS “Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content”; sezione predisposta dalla Commissione europea sul sito istituzionale: Shaping the DSM | Shaping Europe’s digital future (europa.eu); Autorità garante della concorrenza e del mercato (AGCM), Autorità per le garanzie nelle comunicazioni (AGCOM), Garante per la protezione dei dati personali, Indagine conoscitiva sui Big Data, 10 febbraio 2020; Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Charter of Fundamental Rights of the European Union [2012] OJ C326/391; DECISIONE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI (GEPD) – del 3 dicembre 2015 – che istituisce un gruppo consultivo esterno sulle dimensioni etiche della protezione dei dati (il «gruppo consultivo etico») (europa.eu), per consultare l’intero comunicato stampa si veda il seguente link: edps-2016-05-edps_ethics_advisory_group_it.pdf (europa.eu); Griswold v. Connecticut [381 U.S. 479 (1965)]; Eisenstadt v. Baird [405 U.S. 438 (1972)]; Harris v. McRae [448 U.S. 297 (1980)]; Roe v. Wade [410 U.S. 113 (1973)]; Cass. Civ. Sez. I, 30 giugno 2001, n. 8889, 2461-2462; Corte cost., 3 febbraio 1994, n. 13; Cass., 7 febbraio 1996, n. 978.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4