data economy

I nostri dati scambiati come merce: è lecito? Dubbi e problemi

La progressiva diffusione di modelli di scambio dei dati personali sotto forma di contro-prestazione contrattuale e l’interesse nutrito dagli operatori economici al riguardo rende necessaria una riflessione in merito alla liceità del fenomeno. I dubbi e le problematiche che circondano il tema

03 Giu 2022
Anna Albanese

Consulente Privacy

privacy capienze - data retention - conservazione dati traffico

È innegabile che i dati personali siano i nuovi protagonisti dell’ambiente economico e sociale attuale. Si parla, infatti, di data economy o di economia data driven, alimentata cioè dai dati personali. Questi sono dotati di un valore economico che si concretizza nel momento in cui vengono impiegati per acquisire informazioni sugli utenti, successivamente utilizzate dagli operatori economici per elaborare dei “profili” degli utenti sulla base dei quali fornire prodotti, servizi, offerte personalizzati e mirati. [1]

Tali caratteristiche rendono i dati personali estremamente preziosi, fonte di lucro potenziale che aumenta proporzionalmente alla loro circolazione. [2]

Dati personali, proprietà e mercificazione: i nodi delle norme UE

Commercializzazione dei dati personali

La data economy si fonda prevalentemente su modelli di business basati sullo scambio “fornitura di un servizio-conferimento di dati personali”: sono sempre di più gli esempi di contenuti o servizi, apparentemente gratuiti, che vengono forniti agli utenti a fronte dell’autorizzazione alla raccolta e all’utilizzo dei loro dati personali. Il tema che si apre, complesso e dibattuto, è quello della commercializzazione dei dati personali, ossia della possibilità che questi vengano scambiati nel mercato sotto forma di contro-prestazione contrattuale.

candidatura
Passione per la cybersecurity? Candidati per la squadra di IT & Cyber Security Governance di P4I!
Sicurezza
Cybersecurity

La progressiva diffusione dei suddetti modelli di scambio e l’interesse nutrito dagli operatori economici al riguardo rende necessaria una riflessione in merito alla liceità del fenomeno.

L’analisi della normativa esistente non rileva né autorizzazioni né espliciti divieti in tal senso e neppure il testo di riferimento per la normativa privacy, il Regolamento Europeo 2016/679 GDPR si pronuncia.

La direttiva Ue sui contratti di fornitura di contenuti e servizi digitali

Il legislatore comunitario ha alimentato la riflessione su questo tema con una novità tanto rilevante da non poter passare inosservata: si tratta della direttiva europea 2019/770[3], sui contratti di fornitura di contenuti e servizi digitali. La direttiva, infatti, è volta ad inserire, nel Codice dei Consumatori[4] il novello Capo I-bis, che riconosce apertamente l’esistenza dello scambio in cui “il professionista fornisce o si impegna a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali al professionista”.[5] La norma prende atto dell’esistenza del sinallagma contrattuale in cui i dati personali sarebbero considerati come controprestazione. Gli articoli seguenti del novello Capo I-bis provvedono ad estendere al professionista e al consumatore i diritti e gli obblighi previsti dalla disciplina consumeristica, astenendosi, tuttavia, dall’approfondire gli aspetti concernenti le condizioni di liceità dello scambio stesso. È questo il tema su cui appare ragionevole interrogarsi.

La liceità dello scambio dei dati come contro-prestazioni

Sembra opportuno che la liceità dello scambio dei dati come contro-prestazioni venga stabilita in conformità ai principi sanciti dalla normativa comunitaria in materia di protezione dei dati personali: è il rispetto di questa disciplina che potrebbe essere in grado di garantire un’efficace tutela per i dati personali e un adeguato bilanciamento degli interessi che farebbero la loro comparsa. La cessione dei dati personali sarebbe subordinata, in primis, al soddisfacimento delle condizioni di liceità poste dall’art. 6 GDPR, norma che impone l’individuazione di una idonea base giuridica, specifica per ogni finalità di trattamento dei dati personali, che giustifichi e legittimi l’ingerenza di terzi nella sfera personale del soggetto. L’assenza di una base giuridica configurerebbe un illecito extracontrattuale lesivo dei diritti della personalità, quale è il diritto alla privacy. Tra le basi giuridiche elencate all’art. 6 GDPR che possono essere utili a ricoprire questo ruolo vi sono il contratto e il consenso.

Il contratto come base giuridica

Quando parliamo di contratto facciamo riferimento non allo strumento civilistico dell’accordo tra parti, bensì al contratto come base giuridica. Ed è in queste vesti a non apparire soddisfacente a legittimare lo scambio oggetto della trattazione. Ai sensi del regolamento europeo, un contratto può qualificarsi come base giuridica per il trattamento di dati personali solo se il trattamento è necessario per l’esecuzione del contratto stesso.[6]

Il rigore con cui viene interpretato il requisito della necessarietà è tale[7] da far apparire poco plausibile un trattamento di dati personali per finalità promozionali o di profilazione “necessario” e non accessorio, per l’esecuzione di un contratto. Nonostante le evidenti problematiche che solleva il contratto come base giuridica, è utile rilevare che allo stato attuale non vi sono pronunce o orientamenti giurisprudenziali che delineino i contorni della disciplina: si può escludere definitivamente la possibilità che il contratto sia una base giuridica idonea? Opportuna e prudente appare un’attenta valutazione caso per caso dei rapporti contrattuali.

Il consenso come base giuridica

Un’altra base giuridica meritevole di attenzione ai sensi dell’art. 6 GDPR è il consenso. A un primo approccio si potrebbe pensare che il contratto, stipulato con il provider di servizi o contenuti digitali, non necessiti anche del  “consenso-privacy”: stabilita la liceità a circolare dei dati personali come oggetti di scambio e accolta la manifestazione di volontà contrattuale del soggetto interessato, il contratto potrà venire serenamente alla luce. Non è così. Lo schema contrattuale non sarebbe valido, perché privo di una base giuridica idonea a legittimarne l’esistenza: la prestazione del c.d. consenso contrattuale non è inquadrabile, infatti, nel consenso ex art. 6 GDPR.

Il consenso come base giuridica svolge una funzione legittimante del trattamento dei dati personali, e in quanto tale gode di una posizione preordinata rispetto al momento della stipulazione del contratto. Esso svolge una funzione differente, “esimente”, idonea a far venire meno l’illiceità del trattamento, inteso come invasione nell’intima sfera personale del soggetto interessato.[8] La differenza tra le due tipologie di consenso è affermata anche da una delle istituzioni europee di maggior riferimento, l’EDPB: il consenso come sancito nell’art. 6, comma 1 GDPR sarebbe distinto rispetto al consenso dato “firmando un contratto o accettando condizioni di servizio”.[9] Per le ragioni delineate, sembra potersi, quindi, escludere l’ipotesi che l’interessato possa esprimere un solo consenso “polifunzionale”, idoneo tanto a stipulare l’accordo contrattuale che ad autorizzare il trattamento dei dati personali.[10]

Quali sono le caratteristiche che deve rivestire il consenso esimente per essere valido?

Deve essere “libero”, ovvero la prestazione del servizio non deve essere condizionata all’espressione del consenso ad un trattamento non necessario per l’esecuzione del contratto.[11] Il consenso deve essere altresì specifico, consapevole e sempre revocabile senza che l’interessato subisca alcun danno.[12] Secondo alcuni, il consenso richiederebbe, con riguardo a questo profilo, un particolare grado di determinatezza dell’oggetto del contratto, in modo tale da garantire che l’utente comprenda pienamente la natura del contratto che è chiamato a stipulare e la controprestazione che deve rendere.

Conclusioni

In conclusione, se è assodata l’assenza sul piano normativo di un fermo divieto nei confronti delle pratiche della monetizzazione dei dati personali, i dubbi e le problematiche che circondano il tema sembrano sempre più imminenti e complessi.

A fronte dell’urgenza del fenomeno sembra necessario che venga delineato un quadro che, da una parte, dia conforto agli operatori economici nell’instaurazione di tali contratti, e che, dall’altra, garantisca la sicurezza e la consapevolezza degli utenti. Sembra prevedibile che i fattori determinanti per la legittimità di tali contratti saranno la chiarezza e l’esaustività dell’informativa recata, la facilità con cui gli interessati potranno esercitare i loro diritti e le misure di sicurezza dei dati personali poste in essere dal professionista.

Dare sistematicità e organicità al fenomeno potrebbe essere utile, inoltre, ad evitare la c.d. “mercificazione” dei dati, ridotti a meri oggetti di scambio in un contesto di totale assenza di regole, allarmante scenario temuto dallo European Data Protection Supervisor.[13]

Note

  1. I. Speziale, L’ingresso dei dati personali nella prospettiva causale dello scambio: i modelli contrattuali di circolazione, in Contr. e impr., n. 2/2021, p. 602.
  2. L. Ammannati, La circolazione dei dati: dal consumo alla produzione, in Riv. trim. dir. economia, n. 4/2020, p. 665.
  3. Dir. UE n. 2019/770, Direttiva del Parlamento Europeo e del Consiglio relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali, 20/05/2019.
  4. D. Lgs. n. 206/2005.
  5. Art. 135-octies, comma 4, Atto del Governo n. 269 recante: Schema di decreto legislativo recante attuazione della direttiva (UE) 2019/770 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali.
  6. Art. 6, Reg. UE n. 2016/679 “GDPR”.
  7. European Data Protection Board, Linee guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, 8/10/2019, p. 9.
  8. P. Carnovale, La funzione sinallagmatica del trattamento dei dati personali nella fornitura di servizi digitali, in Giust. civ., n. 10/2021, p. 3.
  9. European Data Protection Board, Linee guida 2/2019 sul trattamento di dati personali ai sensi dell”articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, 8/10/2019.
  10. I. Speziale, op. cit.
  11. Art. 7, comma 4, Reg. UE n. 2016/679 “GDPR”.
  12. Considerando 42, Reg. UE n. 2016/679 “GDPR”.
  13. European Data Protection Supervisor, Opinione 8/2018 sul pacchetto legislativo “A New Deal for Consumers”, 5/10/2018, p. 14.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4