Dal primo gennaio 2022 sono in vigore norme importanti, aggiunte al Codice del consumo dal decreto legislativo 173/2021 di attuazione della direttiva 2019/770/UE all’interno del Capo I-bis, intitolato “Dei contratti di fornitura di contenuto digitale e di servizi digitali”.
A differenza che in altri casi, questa volta la sola lettura delle integrazioni al Codice del consumo non permette di cogliere ciò che davvero sta succedendo sul fronte del rapporto fra protezione dei consumatori e protezione dei dati personali. Per cogliere le reali novità, bisogna studiare i considerando della direttiva.
Vendita di beni di consumo, la nuova disciplina: nuovi diritti e vecchie certezze
Le novità della riforma
La riforma introduce rimedi contrattuali a vantaggio del consumatore per difetti di conformità del prodotto o del servizio al contratto, inclusi i casi in cui essi riguardino la sfera della protezione dei dati personali. Torneremo meglio dopo sul significato di difetto di conformità; però, diciamo subito qualcosa che non emerge dal Codice del consumo novellato: il mancato rispetto della privacy by design (nella progettazione) e della privacy by default (nella configurazione) di un servizio o contenuto digitale può costituire di per sé un difetto di conformità, ai sensi del considerando (48) della direttiva 2019/770/UE e può determinare l’azionabilità dei rimedi contrattuali disciplinati dall’art. 135-octiesdecies del Codice del consumo.
Entrata di soppiatto nel sistema di protezione dei dati personali e nel nostro ordinamento, questa normativa segna una discontinuità rispetto al consueto approccio del regolatore privacy europeo, perché:
- conferisce dignità di disciplina speciale alla protezione dei dati personali di quegli interessati che sono anche consumatori;
- a differenza del solito, non pretende di plasmare la realtà con schemi astratti, ma prende atto dell’evoluzione del mercato digitale, cercando però di riequilibrarne alcune dinamiche;
- non segue la consueta logica della dissuasione di comportamenti illegittimi mediante sanzioni amministrative pecuniarie il cui ricavato va (sia pure per ottime ragioni) all’Autorità di controllo, ma crea rimedi – azionabili in un rapporto di fornitura – che possono dare (a chi se ne avvale) risultati convenienti sul piano individuale;
- crea le premesse per un filone di giurisprudenza civile che, sia pure indirettamente, dovrà finalmente occuparsi di rispetto della privacy nella progettazione e nel settaggio di servizi digitali e contenuti digitali.
Le tutele per i consumatori
Come tutte le norme del Codice del consumo, la nuova disciplina tutela l’interessato solo se qualificabile come consumatore, cioè come persona fisica che agisce per scopi estranei all’attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta. Può apparire secondario, ma non lo è. Finora, salvo sporadiche eccezioni prima del GDPR, le due tutele (protezione dei dati personali e protezione dei consumatori) sono andate avanti come due linee parallele che non si incontravano. Nonostante sia evidente che esiste una privacy del B/C con caratteristiche differenti da quelle del B/B, l’impostazione della normativa a protezione dei dati personali è universalista: tutelare allo stesso modo e con gli stessi rimedi le persone cui si riferiscono i dati personali, di là dal loro status. Qui, invece, abbiamo rimedi messi a disposizione solo dell’interessato che riceve servizi digitali o contenuti digitali, gratuiti o a pagamento, in veste di consumatore. Il consumatore è parte debole del rapporto e lo è ancora di più nel mercato digitale.
Le nuove norme tutelano il consumatore sia se compra servizi digitali e contenuti digitali, sia se ne fruisce senza pagarli, ma mettendo a disposizione suoi dati personali che vengono valorizzati economicamente. Tutti siamo abituati a scaricare/usare gratuitamente, almeno nella loro versione-base, software freeware o shareware, applicazioni, file video, file audio, file musicali, giochi digitali, libri elettronici o altre pubblicazioni elettroniche; servizi che consentono la creazione, la trasformazione o l’archiviazione dei dati in formato digitale, nonché l’accesso a questi ultimi, fra cui quelli di condivisione audio e video e altri tipi di file, l’hosting, la videoscrittura o i giochi offerti nell’ambiente di cloud computing e nei social media.
La profilazione online
Già un provvedimento del nostro Garante del 19 marzo 2015 descriveva bene il fenomeno, sia pure con riferimento ad una sola delle sue possibili sfaccettature: la profilazione online. «Le diverse funzionalità cui si fa riferimento» scriveva il Garante «possono infatti variare dal motore di ricerca sul web alla posta elettronica, dalle mappe on line alla commercializzazione di spazi pubblicitari, dai social network alla gestione di pagamenti on line, dai negozi virtuali per l´acquisto di applicazioni, musica, film, libri e riviste, alla ricerca, visualizzazione e diffusione di filmati, da servizi di immagazzinamento, condivisione e revisione di testi, a software per la visualizzazione di immagini o per la gestione di agende e calendari, da funzionalità per il controllo e la gestione dei profili dell´utente, all´immagazzinamento (servizi cloud/storage), a strumenti di analisi statistica e di monitoraggio dei visitatori di siti web e così via. Si tratta, per lo più, di funzionalità offerte a titolo gratuito agli utenti finali, dal momento che il modello imprenditoriale delle società coinvolte nella prestazione di tali servizi si fonda spesso su modelli di business che valorizzano gli introiti ad esse derivanti dalla pubblicità».
Nel luglio 2021, sulla Harward Business Review, è uscito un articolo sull’argomento di Gillian Tett, Presidente del comitato editoriale statunitense del Financial Times. Titolo: “The Data Economy is a Barter Economy”. Secondo l’autrice, in Occidente vige ancora un paradigma culturale in base al quale sono i soldi che fanno girare il mondo, e quindi le cose più importanti in un’economia sono misurate in unità monetarie e/o organizzate con il denaro.
Sdoganare la parola “baratto”
Le transazioni senza denaro vengono minimizzate e/o ignorate. Invece, sono importanti anche i sistemi di credito sociale, i doni e il baratto, anche se non facilmente inquadrabili in un modello economico. Ciò che guida la strategia aziendale di Facebook, Google e altri player dell’economia digitale è in parte uno scambio che non comporta denaro: i dati personali dei consumatori vengono raccolti in cambio della fornitura di servizi digitali. La Tett osserva che i consumatori non solo rinunciano ai dati (che a volte odiano), ma ottengono in cambio dei servizi (che quasi sempre gli piacciono). La Tett suggerisce di sdoganare la parola “baratto”. Così facendo, il settore privato potrebbe rimodellare l’attuale dibattito, abbracciando una visione più ampia di come funziona la nostra economia dei dati, e usare un termine positivo, attivo. Sul piano pratico, la Tett propone due soluzioni già garantite (sulla carta) dal GDPR: vincolare le imprese a essere trasparenti e permettere ai consumatori di esercitare un controllo sul tempo di conservazione dei dati e di avvalersi con facilità, se lo desiderano, della portabilità dei dati personali. Malgrado queste sue proposte non ci giungano come innovative, la sua chiave di lettura è interessante.
A seguire, in linea con l’art. 3.1, c) del Codice del consumo, qualificheremo il fornitore di servizi digitali o di contenuti digitali come professionista («la persona fisica o giuridica che agisce nell’esercizio della propria attività imprenditoriale, commerciale, artigianale o professionale, ovvero un suo intermediario»).
La nuova disciplina europea non è tarata su un sinallagma brutale del tipo “tu consumatore, dammi i tuoi dati personali; in cambio, io professionista ti offro un contenuto o un servizio”. Anzi, il considerando (24) della direttiva 2019/770/UE ricorda che i dati personali non dovrebbero essere considerati una merce. Più in generale, in caso di conflitto tra le nuove norme del Codice del consumo e il GDPR o altre norme in materia di protezione dei dati personali, sono sempre queste ultime a prevalere. Tuttavia, la direttiva 2019/770/UE ammette che modelli di business nei quali i dati personali sono il controvalore di servizi e contenuti digitali apparentemente gratuiti sono utilizzati in diverse forme in una parte considerevole del mercato. Inoltre, chiarisce che i dati personali potrebbero essere forniti al professionista al momento della conclusione del contratto di fornitura di servizi digitali o contenuti digitali o anche successivamente e che le nuove norme devono applicarsi anche nel caso in cui il consumatore acconsenta a che il materiale che caricherà e che contiene dati personali, come fotografie o post, sia trattato a fini commerciali dal professionista. Le nuove norme non sono limitate ai rari casi in cui base giuridica di un trattamento di dati personali a fini commerciali (ricerche di mercato, marketing diretto, profilazione, ecc.) è l’esecuzione di un contratto fra Titolare e interessato; per lo più, valgono nei casi in cui il contenuto digitale e i servizi digitali non sono forniti contro il pagamento di un prezzo, e la base giuridica del trattamento è il legittimo interesse del fornitore o di terzi, o addirittura il consenso dell’interessato-consumatore.
Difetti di conformità e monetizzazione dei dati
Al considerando (25), la direttiva 2019/770/UE precisa che i rimedi contrattuali a favore di consumatore per i difetti di conformità non si applicano a servizi digitali o contenuti digitali gratuiti quando la registrazione del consumatore è obbligatoria a fini di sicurezza e di identificazione, oppure quando il professionista raccoglie solo metadati, come informazioni sul dispositivo o la cronologia di navigazione, oppure quando il consumatore, senza avere concluso un contratto con il professionista, è esposto a messaggi pubblicitari al solo fine di ottenere l’accesso ai contenuti digitali o a un servizio digitale. Dunque, da un lato devono esserci termini e condizioni per la fruizione del servizio o per l’accesso ai contenuti gratuiti; dall’altro i dati personali del consumatore devono essere monetizzati in qualche modo, cioè trattati per finalità commerciali di qualsiasi tipo, in virtù di qualsiasi base giuridica, compreso il consenso.
I difetti di conformità possono essere soggettivi o oggettivi. I difetti soggettivi possono derivare da una violazione di impegni contrattuali assunti dal professionista (es. inottemperanza a precisi standard di sicurezza indicati nei termini e condizioni di servizio); i difetti oggettivi possono derivare dalla circostanza che il contenuto digitale o il servizio digitale sia inadeguato alle finalità per le quali un contenuto digitale o un servizio digitale dello stesso tipo viene abitualmente utilizzato (es. se il professionista fornitore di un’applicazione per gli acquisti online non adotta misure di sicurezza adeguate, e le informazioni sulla carta di credito del consumatore sono esposte a malware o spyware).
I considerando (24) e (25) appena citati sono essenziali per comprendere il senso, altrimenti sfuggente, del nuovo art. 135 octies.4, c) del Codice del consumo. Seconda questa norma, le disposizioni del Capo I-bis, sui contratti di fornitura di contenuto digitale e di servizi digitali si applicano anche nel caso in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.
Secondo l’art. 135-octiesdecies del Codice del consumo, in caso di difetto di conformità, sia esso soggettivo o oggettivo, il consumatore ha a disposizione tre possibili rimedi (alternativi fra loro): a) il ripristino della conformità, oppure b) una congrua riduzione del prezzo, oppure c) la risoluzione del contratto.
Il primo rimedio può innescare dinamiche inedite nella protezione dei dati personali nel B/C. Di suo, il GDPR non conferisce all’interessato il potere di imporre al Titolare di rendere un trattamento di suoi dati personali conforme (ai principi di privacy by design e by default ai sensi dell’art. 25, o una sicurezza adeguata ai sensi dell’art. 32, ecc.). Il GDPR si limita a conferire all’interessato lo strumento di tutela del reclamo (lasciando poi all’Autorità di controllo la prerogativa di adottare provvedimenti coercitivi) oppure lo strumento dell’azione di risarcimento del danno, che potrà essere concesso solo se un danno c’è stato. Grazie a questa riforma del Codice del consumo, l’interessato-consumatore ha il potere di contestare in sede giudiziaria una non conformità anche solo oggettiva (scostamento dal GDPR e da una sua ragionevole attuazione) e di ottenere che il giudice costringa il Titolare a conformarsi al GDPR nei suoi confronti.
Altrettanto importante è la facoltà – se il servizio digitale o il contenuto digitale sono stati acquistati – di chiedere la riduzione del prezzo. È esperienza comune ai legali d’impresa che talora, nel B/C, a fronte di non conformità al GDPR, i consumatori provino a chiedere ai Titolari improbabili risarcimenti, usando come arma la minaccia di segnalare la non conformità all’Autorità, se la loro richiesta non viene accolta. Ragionevolmente, la nuova norma prevede che il consumatore possa chiedere una riduzione del prezzo, rispondente alla considerazione che – in mancanza di elementi che rendono il trattamento dei suoi dati personali conforme ai principi del GDPR – l’adempimento della prestazione è senz’altro parziale.
Il difetto di conformità potrebbe essere talmente grave da richiedere l’immediata risoluzione del contratto (art. 135 octiesdecies.4, d) del Codice del consumo. Inoltre, secondo il considerando (67), quando il contenuto digitale o il servizio digitale non è fornito dietro pagamento di un prezzo, ma il consumatore fornisce suoi dati personali, il consumatore può risolvere il contratto anche se il difetto di conformità è di lieve entità, dal momento che non può beneficiare del rimedio della riduzione di prezzo.
Conclusioni
In astratto, in caso di contrarietà del servizio o contenuto digitale a norme imperative del GDPR di natura comportamentale, il consumatore potrebbe esercitare un’azione di annullamento del contratto. È lo stesso considerando (48) della direttiva 2019/770/UE che fa salve le ipotesi di nullità o annullabilità del contratto secondo gli ordinamenti nazionali; e in Italia la giurisprudenza ritiene che quando la violazione di norme imperative di natura comportamentale comporta un vizio della volontà, il contratto è annullabile.
L’impressione è che, a caldo, questa normativa abbia suscitato analisi di taglio teorico, mentre invece può incidere sulla vita del diritto, rendendo la protezione dei dati personali una normativa più vicina ai riflessi, alla mentalità e agli interessi dei consumatori. Vedremo quanto e come sarà usata. Sarebbe un errore, però, sottovalutarla. Parafrasando Gino e Michele, anche i consumatori, nel loro piccolo, si incazzano.
