Data protection

Tying: quando il consenso al trattamento dati è vincolante per il servizio

Il Garante per la Privacy e l’EDPB hanno escluso la validità del tying, viceversa per la Corte di Cassazione la pratica può essere legittima a particolari condizioni. Di che si tratta, cosa comporta, i dettagli delle pronunce

17 Mar 2022
Alessandra Sturabotti

Senior Associate at ICT Legal Consulting

Dati personali richiesti dal provider come controprestazione essenziale: con il termine tying si fa riferimento a tutti quei casi in cui la prestazione di un servizio è vincolata al conferimento del consenso dello user per ulteriori e distinguibili finalità del trattamento, supplementari quindi, rispetto a quelle legittimate dall’esecuzione del contratto.

Le operazioni di tying rappresentano un nodo non trascurabile e inerente alle modalità di circolazione dei dati personali nella cd. infosfera[1], su cui si avvicendano impostazioni antitetiche.

Dati in cambio di soldi? Consenso al trattamento e scenari futuri

Sul tying si sono espressi sia il Garante per la privacy italiano che lo European Data Protection Board (EDPB), in aperto contrasto con l’orientamento dottrinale favorevole all’ampliamento delle possibilità di raccolta dei dati da parte dei provider.

Secondo quest’ultima impostazione, il restringimento limita lo scambio di dati personali e, quindi, lo sviluppo del mercato, poiché “se gli utenti devono essere liberi di accedere al servizio scegliendo se prestare o meno il consenso al trattamento dei dati, è infatti possibile che molti interessati decidano di negare il consenso, se ciò nonostante non viene impedito l’accesso al servizio”[2].

Viceversa, con un Provvedimento del 2013 (“Linee guida in materia di attività promozionale e contrasto allo spam”[3]), il Garante italiano ha fondato la legittimità delle operazioni di tying sul requisito della libertà del consenso. Vediamo come.

Tying: la pronuncia del Garante Privacy

Secondo l’Autorità “gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei loro dati personali e a tal fine devono ricevere un´adeguata informativa, chiara e completa.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Il consenso del contraente per l´attività promozionale deve intendersi libero quando non è preimpostato e non risulta – anche solo implicitamente in via di fatto – obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento.

Esemplificando, non è libero il consenso prestato quando la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale.

In quest´ottica, il Garante ha già espressamente affermato che non può definirsi ‘libero’, e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l´interessato ‘debba’ prestare quale condizione per conseguire una prestazione richiesta”.

Tying: le linee guida dell’EDPB

Il provvedimento citato si colloca nel solco dell’impostazione restrittiva sulla libertà del consenso già definita in sede comunitaria e ampiamente confermata dalle più recenti linee guida dell’European Data Protection Board[4].

Secondo l’EDPB, “l’elemento della manifestazione di volontà ‘libera’ implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati.

Come regola generale, il regolamento stabilisce che se l’interessato non dispone di una scelta effettiva o si sente obbligato ad acconsentire oppure subirà conseguenze negative se non acconsente, il consenso non sarà valido. Se il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente.

Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio […] In termini generali, qualsiasi azione di pressione o influenza inappropriata sull’interessato (che si può manifestare in vari modi) che impedisca a quest’ultimo di esercitare il suo libero arbitrio, rende il consenso invalido”.

A sostegno della tesi esposta, quale fattispecie di consenso non libero, viene citato il caso di una richiesta di consenso (necessario) per le finalità (non necessarie) di localizzazione GPS e invio di pubblicità comportamentale da parte di un’applicazione con servizi di fotoritocco.

L’Autorità, va da sé, pone a fondamento della sua tesi il Regolamento generale sulla protezione dei dati, affermando che esso “assicura che il trattamento dei dati personali per cui viene richiesto il consenso non possa trasformarsi direttamente o indirettamente in una controprestazione contrattuale. Le due basi legittime per la liceità del trattamento dei dati personali, ossia il consenso e l’esecuzione di un contratto, non possono essere riunite e rese indistinte […] Per valutare se si verifica una situazione di accorpamento o subordinazione è importante determinare qual è la portata del contratto e quali dati sono necessari per la sua esecuzione”.

All’interno delle Linee guida in analisi viene, infatti, richiamato l’articolo 7, paragrafo 4, del GDPR che sancisce: “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Di seguito si rinvia anche al considerando 43 dello stesso regolamento, secondo cui “si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Nel definire i contorni dei requisiti della “massima considerazione” e “necessarietà” viene citato il parere 6/2014 del Working Party Art. 29. L’Autorità chiarisce che nella fattispecie in analisi viene richiesto un consenso necessario per un trattamento con finalità non necessarie, e quindi supplementari, rispetto all’esecuzione del contratto.

E prosegue affermando che “poiché l’articolo 7, paragrafo 4, non è formulato in maniera assoluta, in un numero molto ristretto di casi tale condizionalità potrebbe non rendere invalido il consenso […] Finché esiste la possibilità che il contratto venga eseguito o che il servizio oggetto del contratto venga prestato dal titolare del trattamento senza necessità di acconsentire ad usi ulteriori o supplementari dei dati in questione non si è in presenza di un servizio condizionato. Tuttavia, i due servizi devono essere effettivamente equivalenti”.

Pertanto, “il Comitato ritiene che il consenso non possa considerarsi prestato liberamente se il titolare del trattamento sostiene che esiste la possibilità di scegliere tra il suo servizio che prevede il consenso all’uso dei dati personali per finalità supplementari, da un lato, e un servizio equivalente offerto da un altro titolare del trattamento, dall’altro. In tal caso la libertà di scelta dipenderebbe dagli altri operatori del mercato e dal fatto che l’interessato ritenga che i servizi offerti dall’altro titolare del trattamento siano effettivamente equivalenti”.

Tying: quando è legittimo per la Corte di Cassazione

Le argomentazioni delle autorità, nazionali e sovranazionali, sin qui riportate, escludono che la richiesta di un consenso necessario, per finalità non necessarie e supplementari, e come condizione per l’esecuzione del contratto, sia valida.

Di conseguenza viene disincentivato lo stesso scambio di dati personali come controprestazione, poiché difficilmente lo user conferirà il suo consenso ai trattamenti ulteriori di fronte all’alternativa di un servizio equivalente, offerta dal medesimo provider.

Da ultimo, sul requisito dell’equivalenza è intervenuta la Corte di Cassazione, pronunciandosi in merito alla legittimità di informazioni inviate tramite servizio di newsletter in materia di fisco, finanza e diritto del lavoro, e adottando una posizione in discontinuità con gli orientamenti più restrittivi sulla libertà del consenso.

A detta della Suprema Corte, se i servizi proposti sono “agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all’editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio […] (Tali operazioni) sono dunque vietate se la prestazione è ad un tempo infungibile e irrinunciabile per l’interessato” [5].

Pertanto, se l’interessato è nella condizione di poter rinunciare al servizio senza aggravi e/o se il servizio è offerto da provider alternativi, lo scambio di dati personali rappresenta una proposta rinunciabile e fungibile, riconducibile così nell’alveo della legittimità[6].

________________________________________________________________________________________

Note

  1. L. Floridi, “Pensare l’infosfera. La filosofia come design concettuale”, Raffaello Cortina Editore, Milano, 2020.
  2. S. Thobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, p. 139, pp. 131 – 147, 3 (2019); cfr. S. Thobani, “Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali”, Ledizioni, Torino, 2018.
  3. “Linee guida in materia di attività promozionale e contrasto allo spam”, Provvedimento n. 330, 4 luglio 2013.
  4. European Data Protection Board (EDPB), “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”.
  5. Cass. Civ. sez. I, 2 luglio 2018, n. 17278.
  6. Cfr. L. Bianchi, “Dentro o fuori il mercato? Commodification e dignità umana”, in Rivista critica del diritto privato, 24 (2006), 3, pp. 489-521; cfr. M. M. Ertman, J. C. Williams (ed. by), “Rethinking Commodification”, New York and London, New York University Press, 2005; cfr. M. J. Radin, M. Sunder, “The Subject and Object of Commodification”, in “Rethinking Commodification: Cases and Readings in Law and Culture”, M. M. Ertman, J. C. Williams, (eds.), New York-London, New York University Press, 2005, pp. 8-29; cfr. G. Cricenti, “Il lancio del nano. Spunti per un’etica di diritto civile”, in “Rivista critica del diritto privato”, 27 (2009), 1, pp. 21-39; cfr. M. J. Radin, “Contested Commodities”, in “Rethinking Commodification: Cases and Readings in Law and Culture”, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 81-95; cfr. G. Resta, V. Zeno Zencovich, “Volontà e consenso nella fruizione dei servizi in rete”, in “Rivista trimestrale di diritto e procedura civile”, (2018), pp. 411-440; cfr. F. Pizzetti, “Protezione dei dati personali in Italia tra GDPR e Codice novellato”, Giappichelli, Torino, 2021, pp. 233 ss.; cfr. R. Panetta (a cura di), “Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE 2016/679 (GDPR) e al novellato d.lgs. 196/2003 (Codice Privacy)”, Giuffrè, Milano, 2019; cfr. G. Finocchiaro, F. Delfini (a cura di), “Diritto dell’informatica”, Utet, Torino, 2014; cfr. G. Cassano, S. Previti, “Il diritto di Internet nell’era digitale”, Giuffrè, Milano, 2020; cfr. M. Mursia, C. A. Trovato, “The commodification of our digital identity: limits on monetizing personal data in the European context”, in Medialaws, (2021) 2, pp. 1-24; cfr. S. Tobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, (2019) 3, pp. 131-147; cfr. O. Pollicino, “Costituzionalismo, privacy e neurodiritti”, in Medialaws, (2021) 2, pp. 1-9; cfr. N. Zorzi Galgano (a cura di), “Persona e mercato dei dati. Riflessioni sul GDPR”, Cedam, Padova, 2019; cfr. L. Bolognini, “Follia artificiale. Riflessioni per la resistenza dell’intelligenza umana”, Rubbettino, Soveria Mannelli, 2018; cfr. L. Bolognini, F. Pelino (a cura di), “Codice della disciplina privacy”, Giuffrè, Milano, 2019; cfr. L. Bolognini (a cura di), “Privacy e libero mercato digitale”, Giappichelli, Torino, 2021; cfr. I. De Michelis di Slonghello, L. Bolognini, “An introduction to the right to monetize (RTM)”, 9 April 2018, An_Introduction_to_the_Right_to_Monetize_Data.pdf (istitutoitalianoprivacy.it); cfr. S. Zuboff, “The age of surveillance capitalism. The fight for the human future at the new frontier of power”, Profile Books, London, 2019, trad. it. Ead., “Il capitalismo della sorveglianza”, Luiss, Roma, 2019; cfr. S. Rodotà, “Il diritto di avere diritti”, Laterza, Bari, 2012; cfr. S. Rodotà, Prefazione, in R. Panetta (a cura di), “Libera circolazione e protezione dei dati personali”, I, Giuffrè, Milano, 2006, pp. VII-XIX; cfr. A. Putignani, “Prospettive costituzionali del diritto di privacy”, in R. Panetta (a cura di), “Libera circolazione e protezione dei dati personali, I”, Giuffrè, Milano, 2006, pp. 109-160; cfr. G. Pino, “Il diritto all’identità personale ieri e oggi. Informazione, mercato, dati personali”, in R. Panetta (a cura di), “Libera circolazione e protezione dei dati personali, I”, Giuffrè, Milano, 2006, pp. 259-332; cfr. S. Rodotà, Prefazione, in A. Masera, G. Scorza, “Internet, I nostri diritti”, Laterza, Bari, 2016; Cfr. S. Elvy, “Paying for privacy and the personal data economy”, in Columbia Law Review, 117(6), 2017, 1369 ss.; cfr. V. Ricciuto, “La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno”, in Diritto dell’informazione e dell’informatica, 4 (2018), p. 718; cfr. V. Ricciuto, “Il contratto ed i nuovi fenomeni patrimoniali: il caso della circolazione dei dati personali”, in Rivista di diritto civile, 3 (2020), p. 642; cfr. G. D’Ippolito, “Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziale”, in Il diritto dell’informazione e dell’informatica, 3 (2020), pp. 634-674; cfr. N.R. Koffeman, “(The right to) personal autonomy in the case law of the European Court of Human Rights”, in scholarlypublications.universiteitleiden.nl, June 2010; cfr. S. Athey, C. Catalini, C. Tucker, “The Digital Privacy Paradox: Small Money, Small Costs, Small Talk”, in National Bureau of Economic Research Working Paper Series, n. 23488 (2017); cfr. J. Debussche, J. César, “EU data economy: Legal, ethical & social issues, in twobirds.com, August 2019; cfr. M. Nicotra, “Trasparenza web, attenti ai dark pattern: il ruolo del legal design perla tutela degli utenti”, in Agenda digitale.eu, 14 marzo 2019; cfr. M. Alovisio, P. Cucchi, “Dati in cambio di soldi? Consenso al trattamento e scenari futuri”, in Agendadigitale.eu, 21 febbraio 2020; cfr. L. Brandimarte, “Come combattere le pratiche commerciali ingannevoli: strategie e strumenti”, in Agendadigitale.eu, 17 giugno 2021; cfr. L. “Floridi, Pensare l’infosfera. La filosofia come design concettuale”, Raffaello Cortina Editore, Milano, 2020; cfr. V. Zeno Zencovich, “Do ‘data markets’ exist?”, in Medialaws, 2 (2019), pp. 1-17; cfr. I. A. Caggiano, “Il consenso al trattamento dei dati personali tra nuovo Regolamento europeo e analisi comportamentale”, in Osservatorio del diritto civile e commerciale, 1 (2018), pp. 7 – 50; cfr. S. Gobbato, “Big data e tutele convergenti tra concorrenza, GDPR e Codice del consumo2, in Medialaws, pp. 148 – 161, 3 (2019); cfr. S. Thobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, pp. 131 – 147, 3 (2019); cfr. S. Thobani, “Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali”, Ledizioni, Torino, 2018; cfr. R. Posner, “Sex and Reason”, Cambridge (MA), Harvard University Press, 1992, trad. it. Id., “Sesso e ragione”, Milano, Edizioni di Comunità, 1995; cfr. M. C. Nussbaum “Taking Money for Bodily Services”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 243-247, pp. 243; cfr. M. C. Nussbaum, “Wheter from Reason or Prejudices: Taking Money for Bodily Services”, in Journal of Legal Studies, 27 (1998), pp. 693-724; cfr. A. L. Tarasco, M. Giaccaglia, “Facebook è gratis? Mercato dei dati personali e giudice amministrativo, in Il diritto dell’economia, (2) 2020, pp. 263-301; S. Warren e L. Brandeis “The right to privacy”, in Harvard Law Review, 4 (1890), 5, pp. 193-220, alle pp. 198-199; cfr. U. Pagallo, “La tutela della privacy negli Stati Uniti e in Europa: modelli a confronto”, Milano, Giuffrè, 2008, p. 4 ss.; G. Resta, “Identità personale e identità digitale”, in Diritto dell’informazione e dell’informatica, (3) 2007, pp. 511-531; Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1; AGCM, Decisione CV154, 11 maggio 2017; AGCM, Decisione IP330, 17 febbraio 2021; Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Convention for the Protection of Human Rights and Fundamental Freedoms (European Convention on Human Rights, ECHR, as amended), Rome, 4 November 1950; Charter of Fundamental Rights of the European Union [2012] OJ C326/391; EDPS “Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content”; sezione predisposta dalla Commissione europea sul sito istituzionale: Shaping the DSM | Shaping Europe’s digital future (europa.eu); Autorità garante della concorrenza e del mercato (AGCM), Autorità per le garanzie nelle comunicazioni (AGCOM), Garante per la protezione dei dati personali, Indagine conoscitiva sui Big Data, 10 febbraio 2020; Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”); Charter of Fundamental Rights of the European Union [2012] OJ C326/391; DECISIONE DEL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI (GEPD) – del 3 dicembre 2015 – che istituisce un gruppo consultivo esterno sulle dimensioni etiche della protezione dei dati (il «gruppo consultivo etico») (europa.eu), per consultare l’intero comunicato stampa si veda il seguente link: edps-2016-05-edps_ethics_advisory_group_it.pdf (europa.eu); Griswold v. Connecticut [381 U.S. 479 (1965)]; Eisenstadt v. Baird [405 U.S. 438 (1972)]; Harris v. McRae [448 U.S. 297 (1980)]; Roe v. Wade [410 U.S. 113 (1973)]; Cass. Civ. Sez. I, 30 giugno 2001, n. 8889, 2461-2462; Corte cost., 3 febbraio 1994, n. 13; Cass., 7 febbraio 1996, n. 978.

WHITEPAPER
Comunicazioni professionali: le tue sono davvero protette?
Legal
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4