L’approvazione del regolamento europeo sulla protezione dei dati personali ha innescato una serie di reazioni a catena, i cui effetti distruttivi per il mercato digitale si avvertiranno nei prossimi anni, quando sarà oramai troppo tardi per cercare di evitarli.
Un esempio è rappresentato dall’impatto della nuova regolamentazione per l’acquisizione del consenso al trattamento contenuta nell’articolo 7 del regolamento.
Nel regime previgente, quello della direttiva 95/46 e nel suo recepimento italiano (D.lgs. 196/03) era già previsto che il consenso al trattamento dovesse essere prestato liberamente e – secondo le interpretazioni del Garante italiano – in modo differenziato per singola finalità perseguita. Questo significa che l’interessato (il soggetto cui si riferiscono i dati) non poteva essere costretto a prestare il consenso a trattamenti non necessari per l’adempimento della prestazione oggetto del contratto.
In pratica: non ho bisogno di chiedere il consenso per trattare i dati personali del cliente se devo farlo per sperdigli la merce che ha ordinato o erogare il servizio che ha richiesto. Se voglio trattare i suoi dati per finalità ulteriori – la classica “profilazione” – devo invece ottenere la sua autorizzazione.
In via interpretativa, il Garante aveva già ritenuto che non è libero il consenso prestato quando la società condiziona la registrazione al suo sito web da parte degli utenti e, conseguentemente, anche la fruizione dei suoi servizi, al rilascio del consenso al trattamento per la finalità promozionale. In quest’ottica, il Garante ha già espressamente affermato che non può definirsi “libero”, e risulta indebitamente necessitato, il consenso a ulteriori trattamenti di dati personali che l’interessato “debba” prestare quale condizione per conseguire una prestazione richiesta (cfr.: provv. 22 febbraio 2007, doc. web n. 1388590; provv. 12 ottobre 2005, doc. web n. 1179604; provv. 3 novembre 2005, doc. web n. 1195215; provv. 10 maggio 2006, doc. web n. 1298709; provv. 15 luglio 2010, doc. web n. 1741998; più recentemente, provv. 11 ottobre 2012, doc. web n. 2089777). http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2542348#2
Fino a quando si trattava di una (discutibile) interpretazione del Garante italiano, le aziende e gli operatori del settore del marketing potevano valutare un’assunzione di rischio sulle proprie strategie commerciali, fidando nella possibilità di contestare giudizialmente l’eventuale provvedimento sanzionatorio dell’autorità di protezione. E dunque si è scatenata la creatività degli esperti di marketing online per creare metodi che, in sostanza, “costringevano” l’interessato a prestare il consenso al trattamento per poter partecipare a inziative e concorsi a premi, iscriversi a programmi-fedeltà e via discorrendo.
Ora che, invece, è una norma vera e propria a stabilire il limite oltre il quale l’acquisizione del consenso al trattamento non è più “libero”, le cose cambiano sostanzialmente.
Il quarto comma dell’articolo 7 del Regolamento, infatti, recita testualmente: Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
Tradotto: con l’entrata in vigore del Regolamento, bisogna verificare se il modo in cui sono stati raccolti i consensi per inserire i dati personali dei consumatori nei data-base utilizzati per finalità di marketing e profilazione sia compatibile con il criterio indicato dal quarto comma dell’articolo 7 del Regolamento.
Inoltre, bisogna verificare se le iniziative basate sul meccanismo “dare dati-dare gadget” sia ancora giuridicamente accettabile.
In sintesi, il problema posto dalla nuova previsione normativa è se il trattamento dei dati personali possa essere oggetto di negoziazione contrattuale. Cioè se, invece di essere un effetto collaterale del contratto principale, sia lecito strutturare un contratto nel quale l’azienda offre un servizio, facendosi pagare in dati personali.
Il tema fu analizzato già parecchi anni fa in una delibera dell’Antitrust pubblicata il 17 febbraio 2000 che, su segnalazione dell’associazione ALCEI, dichiarò ingannevole la pubblicità di Infostrada nella parte in cui presentava come “gratis” il servizio di mail libero.it quando in realtà per la sua fruizione l’utente doveva accettare di essere profilato.
Scrive l’Antitrust: la versione modificata delle condizioni contrattuali predisposte da Infostrada prevede che il consumatore accetti che il proprio utilizzo della rete venga monitorato, sia pure con riferimento ai soli siti inseriti in un preciso catalogo, al fine di detenninare le sue preferenze e tarare la comunicazione commerciale della quale egli sarà destinatario. In questo modo, il consumatore, contrariamente a quanto ritenuto dall’operatore pubblicitario, cede alcuni dati personali, relativi ai propri interessi e alle proprie esigenze. La circostanza che tali datisi presentino in una forma, per così dire, `grezza’, e che necessitino dell’elaborazione dell’operatore per essere sfruttabili economicamente, non impedisce che tale transazione abbia una rilevanza economica.
La pattuizione contrattuale in esame richiede al consumatore di autorizzare, in assenza della corresponsione di un prezzo, il trattamento a cui Infostrada intende sottoporre tali dati. La cessione di dati identificativi attinenti a gusti, preferenze e interessi rimane certamente nella disponibilità dei soggetti interessati, in conformità delle leggi vigenti.
Tuttavia, come rileva il Garante per la Protezione dei dati Personali nel proprio provvedimento del 13 gennaio 2000 (non disponibile sul sito dell’Autorità, n.d.a.), è necessario che all’interessato sia garantita la possibilità di esprimere le proprie scelte a tale proposito liberamente e consapevolmente: a questo scopo, è necessario che egli riceva previamente le infonnazioni necessarie per comprendere appieno le finalità e le modalità del trattamento dei dati che lo riguardano.
Alla luce delle considerazioni che precedono, si ritiene che nel caso di specie il generale principio di trasparenza e correttezza della comunicazione pubblicitaria imponga all’operatore di esplicitare con chiarezza ed evidenza fin dal primo contatto pubblicitario quali siano e in che cosa consistano i rilevanti oneri previsti in capo al consumatore dalle condizioni generali di contratto, a fronte della prospettazione del servizio di accesso come gratuito, potendo altrimenti il consumatore essere indotto in errore relativamente alla convenienza dell’offerta, con pregiudizio del suo comportamento economico.
Il provvedimento dell’Autorità garante per la concorrenza e il mercato lascia intendere, fra le righe, che se Infostrada avesse dichiarato apertamente che il prezzo del servizio era da pagarsi in dati personali non ci sarebbero stati problemi. Mentre quello del Garante dei dati personali, il cui contenuto possiamo solamente dedurre da quanto riportato nella delibera AGCM, già conteneva in embrione l’approccio poi sviluppato negli anni a venire e basato sull’impossibilità di configurare i dati personali come oggetto di scambio.
La conclusione di questo ragionamento è duplice.
In termini di attività di marketing e profilazione online, il consenso al trattamento per queste finalità deve essere “obbligatoriamente facoltativo” e non è così certo che siano legittimi servizi i cui costi siano pagati, dal cliente, in dati personali. E se questa interpretazione fosse corretta, sarebbe la fine delle strategie commerciali basate su attività promozionali online “gratuite” o meglio, “senza corrispettivo in denaro”.
In termini più generali, saremmo di fronte all’ennesima conferma dell’atteggiamento tecnofobico di legislatori ed enti di controllo che si ostinano a considerare le attività di comunicazione e marketing come mala in se.
