Facebook, i dati personali possono essere corrispettivo di un servizio? Lecito dubitarne | Agenda Digitale

l'analisi giuridica

Facebook, i dati personali possono essere corrispettivo di un servizio? Lecito dubitarne

È almeno difficile, allo stato, qualificare un trattamento di dati personali quale controprestazione di un servizio. Una questione molto complessa, sollevata, tra le altre, da una recente sentenza del Consiglio di Stato su Facebook

15 Apr 2021
Oreste Pollicino

Professore ordinario di diritto costituzionale, Università Bocconi. Membro italiano del consiglio di amministrazione dell'European Fundamental Rights Agency (FRA)

Guido Scorza

Autorità Garante Privacy

La recente Sentenza con la quale lo scorso 29 marzo 2021 il Consiglio di Stato ha confermato la sostanziale legittimità del provvedimento adottato il 29 novembre 2018 dall’Autorità Garante per la concorrenza e il mercato nei confronti di Facebook rea, secondo l’Authority di Piazza Verdi, di aver scorrettamente dato a intendere ai consumatori che il servizio da essa offerto fosse gratis mentre verrebbe, in realtà, offerto a fronte della messa disposizione di dati personali, solleva una serie di questioni di non facile soluzione in merito alle quali è utile e opportuno aprire un confronto.

Quella che segue è una prima possibile risposta alla prima delle questioni che la decisione impone di affrontare e si tratta certamente di una risposta parziale, non esaustiva e che non ha l’ambizione di risolvere la relativa questione ma, al contrario, di stimolare un dibattito su di essa.

Si può fare commercio di dati personali? Scorza: “Consiglio di Stato boccia ricorso Facebook, ecco le questioni aperte”

Il trattamento dei dati personali da parte di una società può rappresentare il corrispettivo di un servizio offerto dalla società medesima ai propri utenti?

Facebook, davanti ai Giudici amministrativi, ha sostenuto di no rilevando, tra l’altro, che “I dati personali di ciascun individuo costituiscono un bene extra commercium, trattandosi di diritti fondamentali della persona che non possono essere venduti, scambiati o, comunque, ridotti a un mero interesse economico”. E ha poi aggiunto “Non può immaginarsi possibile come erroneamente ha inteso rappresentare il giudice di primo grado (ndr il TAR Lazio), che gli utenti cedano i propri dati a Facebook quale ‘corrispettivo’ per la fornitura del servizio né che la trasmissione di dati personali possa attenere ad una attività economicamente valutabile, se non invece e al più, ad un mero profilo di tutela di alcuni diritti fondamentali”.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity

Il Consiglio di Stato ha rilevato che anche se “si volesse aderire alla tesi della odierna parte appellante (ndr Facebook) secondo la quale il dato personale costituisce una res extra commercium, la patrimonializzazione del dato personale, che nel caso di specie avviene inconsapevolmente (ad avviso dell’Autorità nel momento in cui accusa una informazione ingannevole nell’esercizio della pratica in questione), costituisce il frutto dell’intervento delle società attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali”.

Nella sostanza i Giudici amministrativi non ritengono necessario rispondere direttamente alla questione della qualificabilità del trattamento dei dati personale come “corrispettivo” del servizio prestato da Facebook, ritenendo sufficiente a considerare scorretta e ingannevole la qualificazione del servizio come gratuito la circostanza che i dati personali degli utenti formano oggetto di “patrimonializzazione da parte di Facebook”.

Il modello di business delle piattaforme

E, in effetti, una delle peculiarità del mercato digitale è da ravvisarsi proprio nel business model di talune delle più influenti piattaforme: i servizi sono offerti senza esigere il versamento di un corrispettivo in denaro, ma previa raccolta di dati personali degli utenti, raccolta la cui base giuridica viene generalmente, innanzitutto, identificata nell’esigenza di dare esecuzione al contratto che l’utente perfeziona al momento dell’accettazione dei termini d’uso della piattaforma e, dunque, ex art. 6, paragrafo 1, lettera b) del Regolamento Privacy (GDPR).

I dati così raccolti, naturalmente – come annotano i Giudici del Consiglio di Stato – sono evidentemente destinati a formare oggetto di “patrimonializzazione” nell’ambito di un’attività commerciale.

Ma tale constatazione non basta a risolvere la questione che si sta affrontando relativa alla qualificazione dei dati personali quale corrispettivo di un servizio.

Che il fornitore di un servizio digitale tragga profitto dai dati dei propri utenti, infatti, non significa necessariamente – almeno in una dimensione di analisi giuridica – che gli utenti paghino il servizio loro offerto con i loro dati benché nella dimensione mediatica ed economica tale conclusione appaia indubitabile.

Se, infatti, si assume – circostanza non sempre indubitabile – che tutti i dati personali raccolti dal fornitore del servizio siano effettivamente indispensabili all’esecuzione del contratto ovvero all’utilizzo del servizio da parte degli utenti, la dazione di tali dati da parte dell’utente non sembra potersi qualificare quale controprestazione e, quindi, corrispettivo del servizio rappresentando, piuttosto, un presupposto della sua esecuzione.

Ciò, naturalmente, fermo restando il carattere indubitabilmente economico-patrimoniale dell’operazione e la circostanza che, evidentemente, il fornitore del servizio, attraverso il perfezionamento del contratto persegue il profitto e non è certamente animato da finalità filantropiche o liberali.

Qualora, d’altra parte, il fornitore del servizio pur dichiarando di raccogliere e trattare esclusivamente i dati personali che gli sono necessari per dare esecuzione al contratto, ne raccogliesse di ulteriori o trattasse quelli raccolti per finalità diverse, esso porrebbe in essere una condotta certamente illecita ai sensi della disciplina in materia di protezione dei dati personali.

La raccolta e/o il trattamento di tali dati personali per finalità altre rispetto a quelle dichiarate ex art. 6, paragrafo 1, lettera b) potrebbe, in tal caso, essere, forse, qualificato come corrispettivo occulto – ovvero versato inconsapevolmente – del servizio.

Ma, anche in questo caso, probabilmente non potrebbe parlarsi della fornitura di dati personali come corrispettivo del servizio perché un corrispettivo versato inconsapevolmente non è controprestazione.

Nel business model che si sta indagando, tuttavia, vi è anche un terzo scenario meritevole di considerazione: quello nel quale il fornitore del servizio chiede all’utente un consenso – ex art. 6, paragrafo 1, lettera a) del Regolamento – al trattamento dei medesimi dati personali o di ulteriori dati personali per finalità altre rispetto alla semplice esecuzione del contratto ex art. 6, paragrafo 1, lettera b) del Regolamento.

Il consenso è sempre revocabile

In linea di principio, in tale ipotesi, laddove l’utente presti il consenso, non sembra potersi parlare di corrispettività del consenso rispetto alla fornitura del servizio in quanto, appunto, la prestazione del consenso è solo eventuale e il servizio è destinato a essere fornito anche laddove l’utente non presti tale consenso.

Di più. È circostanza incontestabile quella secondo la quale tale consenso è sempre revocabile ma tale eventuale revoca non ha un riflesso sull’obbligo del fornitore del servizio di continuare a adempiere alle proprie obbligazioni.

E, d’altra parte, laddove tale consenso venga fornito si pone il problema della sua qualificazione nella dimensione negoziale giacché l’utente, sostanzialmente, cede al fornitore del servizio una rilevante utilità economica senza ricevere in cambio nulla di più e di diverso rispetto al servizio del quale potrebbe fruire anche negandogli tale consenso.

In sostanza, dunque, la prestazione di tale consenso dovrebbe essere qualificata come liberalità dell’utente nei confronti del gestore della piattaforma.

Ma si tratta, evidentemente di una qualificazione insoddisfacente sul piano negoziale.

Non c’è corrispettività se i dati sono forniti solo per la fornitura del servizio

Nessuno degli scenari sin qui presi in considerazione, tuttavia, sembra consentire de plano la qualificazione della fornitura di dati dall’utente al professionista in termini di controprestazione o corrispettivo palese giacché in nessuno di tali scenari il professionista subordina espressamente la fornitura del servizio alla raccolta di dati personali non necessari alla semplice esecuzione del servizio e “sostitutivi” di altra controprestazione in denaro.

Nessuno dei predetti scenari, in altre parole, sembra sovrapponibile alla fattispecie pure già entrata nell’Ordinamento europeo attraverso l’articolo 3 della Direttiva (UE) 2019/770[1] relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali secondo il quale “La presente direttiva si applica altresì nel caso in cui l’operatore economico fornisce o si impegna a fornire contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali all’operatore economico, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dall’operatore economico ai fini della fornitura del contenuto digitale o del servizio digitale a norma della presente direttiva o per consentire l’assolvimento degli obblighi di legge cui è soggetto l’operatore economico e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.”

E anzi è proprio la lettura di tale disposizione a confermare che non vi è corrispettività laddove i dati personali siano forniti al fornitore del servizio ai soli fini della fornitura del servizio.

Sembra, tuttavia, opportuno chiarire subito che la Direttiva 2019/770, a ben vedere, non ha per obiettivo quello di riconoscere cittadinanza nell’Ordinamento europeo a contratti per la fornitura di servizi digitali nei quali il corrispettivo sia costituito da dati personali ma stabilire che laddove ciò dovesse legittimamente accadere il consumatore possa vedersi riconosciuta la stessa tutela consumeristica che gli spetterebbe laddove la controprestazione fosse in denaro.

Il consenso come controprestazione di un servizio

E, quindi, ritorniamo al punto di partenza: il consenso al trattamento dei dati personali può essere calato in una dimensione negoziale e reso controprestazione di un servizio?

Stefano Rodotà, all’indomani dell’entrata in vigore della prima legge nazionale in materia di privacy, riteneva di si: “Io credo che noi dobbiamo lavorare molto nella dimensione negoziale, non ho nessun dubbio. Negoziale vuol dire per esempio: il consenso può essere oneroso, può essere condizionato, può essere a termine? Io come risposta generale direi di sì, e perché no? Posso negoziare, e badate alcune forme improprie di negoziazione già ci sono. Quando si dice che se tu riempi questo questionario riceverai un campione del prodotto, non è un prodotto in omaggio, perché io cedo qualcosa che per il soggetto che mi darà il prodotto ha un valore aggiunto molto maggiore di ciò che mi viene dato, quindi ci sono già delle transazioni economiche su questa base, di difficile definizione, ma certamente ci sono”[2].

E a Rodotà non sfuggiva certamente la dimensione della privacy come diritto fondamentale, diritto che aveva contribuito a cristallizzare nell’art. 8 della Carta europea dei diritti fondamentali dell’Unione europea.

D’altra parte, molto più di recente, la Corte Suprema di Cassazione sembra essere giunta alla stessa conclusione laddove ha stabilito che subordinare la fornitura di un servizio – di newsletter finanziaria nella fattispecie all’origine della decisione – alla prestazione del consenso al trattamento dei propri dati personali per finalità di marketing non basterebbe, in linea generale, a invalidare l’efficacia del consenso che manterrebbe i requisiti previsti dalla disciplina privacy [ndr ratione temporis quella applicata dai Giudici era quella dettata dal vecchio Codice privacy ma i giudici pongono la decisione anche alla prova delle disposizioni contenute nel Regolamento senza, tuttavia, identificare elementi utili a suggerire un’eventuale diversa conclusione].

Ciò, secondo i Giudici, almeno ogni qualvolta il servizio offerto dal fornitore che esige il consenso ai fini della fornitura sia un servizio fungibile e/o rinunciabile per l’utente-interessato.

In tali condizioni, scrivono i Giudici, “non può allora essere condiviso l’argomento svolto dal giudice di merito secondo cui, dando credito alla tesi sostenuta dal Garante, si finirebbe per «delineare una sorta di obbligo tout court, per il gestore del portale, di offrire comunque le proprie prestazioni, a prescindere dalla prestazione del consenso al trattamento dei dati personali da parte dell’utente»: e, in buona sostanza, per obbligare così il gestore del portale a rinunciare al tornaconto economico dell’operazione che egli compie, proveniente dall’attività pubblicitaria realizzata tramite l’impiego dei dati personali acquisiti. Nulla, infatti, impedisce al gestore del sito — beninteso, si ripete, in un caso come quello in questione, concernente un servizio né infungibile, né irrinunciabile —, di negare il servizio offerto a chi non si presti a ricevere messaggi promozionali, mentre ciò che gli è interdetto è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli. Insomma, l’ordinamento non vieta lo scambio di dati personali, ma esige, tuttavia, che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato.”

La Cassazione, dunque, appare ammettere la qualificazione del consenso al trattamento dei dati personali come corrispettivo non pecuniario di una diversa prestazione caratteristica a condizione, appunto, che tale prestazione sia fungibile e rinunciabile per l’utente-interessato.

E tale eventualità, secondo i Giudici di legittimità, non si porrebbe in contrasto alcuno neppure – ancorché si tratti di disposizione non applicabile ratione temporis alla fattispecie all’origine della decisione – con la previsione di cui all’art. 7, comma 4 del Regolamento a norma della quale “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.”.

Quando il consenso è libero o no

Si tratta, tuttavia, di una posizione allo stato difficilmente conciliabile con la posizione del comitato dei garanti per la protezione dei dati personali europei che, da ultimo, nelle loro linee guida del 4 maggio 2020 proprio sul consenso nel Regolamento, hanno espressamente suggerito che “Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio” proponendo un esempio che si contrappone quasi in maniera plastica alla fattispecie all’origine della decisione della Corte di Cassazione.

Ecco l’esempio in questione: “Un’applicazione mobile per il fotoritocco chiede agli utenti di attivare la localizzazione GPS per l’utilizzo dei suoi servizi. L’applicazione comunica agli utenti che utilizzerà i dati raccolti per finalità di pubblicità comportamentale. Né la geolocalizzazione né la pubblicità comportamentale online sono necessarie per la prestazione del servizio di fotoritocco e vanno oltre la fornitura del servizio principale. Poiché gli utenti non possono utilizzare l’applicazione senza acconsentire a tali finalità, il consenso non può essere considerato liberamente espresso”.

E, lo stesso Comitato, ancor più chiaramente, nelle stesse linee guida, torna sul concetto del quale ci stiamo occupando interpreta il comma 4 dell’art. 7 del Regolamento nel senso di ritenere che attraverso esso il Regolamento intenderebbe assicurare “che il trattamento dei dati personali per cui viene richiesto il consenso non possa trasformarsi direttamente o indirettamente in una controprestazione contrattuale”.

Un altro tra gli esempi proposti nelle linee guida torna sull’argomento e ribadisce il concetto: “Una banca chiede ai clienti il consenso per consentire a terzi di utilizzare i dettagli di pagamento per finalità di marketing diretto. Questa attività di trattamento non è necessaria per l’esecuzione del contratto stipulato con il cliente e la prestazione di servizi ordinari di conto bancario. Qualora il rifiuto del cliente a prestare il consenso per tale finalità di trattamento porti alla negazione di servizi bancari, alla chiusura del conto bancario o, a seconda dei casi, a un aumento della commissione, il consenso non può considerarsi espresso liberamente.”.

E, ancora, in un esempio relativo ai cosiddetti cookie wall: “Un fornitore di un sito web predispone uno script che blocca la visualizzazione del contenuto e fa apparire solo la richiesta di accettare i cookie, le informazioni sui cookie che verranno installati e le finalità per le quali i dati saranno trattati. Non è possibile accedere al contenuto senza cliccare sul pulsante “Accetto i cookie”. Poiché all’interessato non è offerta una scelta effettiva, il suo consenso non è espresso liberamente.

In questo caso il consenso non è valido, in quanto la prestazione del servizio è subordinata al fatto che l’interessato clicchi sul pulsante “Accetto i cookie”. Non è offerta una scelta effettiva.”.

Neppure il comitato dei Garanti, tuttavia, arriva ad escludere in maniera assoluta che il consenso al trattamento dei dati personali possa essere qualificato come controprestazione giacché ricorda che tale conclusione è, in realtà, “solo” una “presunzione forte” con la conseguenza che “in un numero molto ristretto di casi” condizionare l’erogazione di un servizio alla prestazione di un consenso potrebbe non valere a rendere invalido il consenso.

Tuttavia, trattandosi di una presunzione, per di più forte, anche in tali limitate ipotesi toccherà al titolare del trattamento, in caso di contestazione, fornire prova della circostanza che il consenso, pur se condizionato può considerarsi espresso liberamente. E non sembra trattarsi di un onere probatorio facilmente soddisfacibile.

Conclusioni

Senza alcuna pretesa di esaustività, arrestando qui l’analisi della questione, sembra lecito concludere che è almeno difficile, allo stato, qualificare un trattamento di dati personali quale controprestazione di un servizio benché, questo, nulla abbia a che vedere con la diversa ma connessa questione della patrimonializzazione del trattamento dei dati personali degli utenti nell’ambito di contratti prestati senza esigere da questi ultimi alcun corrispettivo pecuniario.

Ma, in tali casi, il trattamento dei dati personali degli utenti e il suo rilievo economico saranno parte integrante di un modello di business e, a tutto voler concedere, rappresenteranno solo indirettamente, una controprestazione del servizio fornito, restando, tuttavia, estranei al sinallagma contrattuale salvo, appunto, eccezioni delle quali sarà eventualmente onere del titolare del trattamento provare l’eccezionalità.

E ciò è innegabile che accada in maniera ricorrente determinando la necessità di analizzare le relative fattispecie attraverso un approccio combinato che passa per l’applicazione della disciplina in materia di privacy e della disciplina a tutela dei consumatori.

Ed è proprio applicando la disciplina consumeristica che va sciolto, ad esempio, il nodo relativo alla legittimità o illegittimità della definizione di gratuito di un servizio “pagato” nella sostanza dagli utenti in dati personali benché la cessione di tali dati non possa considerarsi, in senso tecnico, controprestazione del servizio.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4