I nostri dati come merce: alla ricerca del difficile equilibrio tra privacy e Digital Single Market

Se da un punto di vista economico gli individui possono trattare i dati economici come una merce e monetizzarli, dal punto di vista giuridico, si sfiora invece l’area dell’illiceità? Oppure, si rischia soltanto di cadere nell’area grigia dell’immoralità?

Trasferimento dati extra UE, cosa sta succedendo dopo Schrems II

Avvalendoci del concetto giuridico di commodification^[1], tenteremo di offrire una risposta a questo interrogativo, attraverso l’analisi della normativa e giurisprudenza in materia – a fronte della Digital Transformation e delle spinte propulsive del Digital Single Market ^[2] – senza dimenticare l’apporto proveniente dalla più recente riflessione dottrinale giuridica e filosofica ^[3].

La patrimonializzazione dei dati personali

Oggi è indubbio che – all’interno del mercato digitale^[4] – i dati personali siano patrimonializzati ^[5], circolino (approfondiremo nel prosieguo le differenti tipologie di modelli circolatori^[6]) e vengano commercializzati come una commodity – bene giuridico con valore economico – all’interno di un sistema che avvantaggia, potenzialmente, sia l’utente (ricevendo servizi/offerte personalizzati o più pertinenti) sia l’impresa (arricchendo i Database). L’utente viene così riconosciuto come il proprietario di un bene giuridico che può essere scambiato, all’interno di un sistema, definito User Centric Economic System of Personal Data, che mira alla crescita della consapevolezza dello stesso utente^[7].

Tuttavia, ci si scontra con una realtà in cui l’utente /interessato esercita un consenso ma non ha un reale controllo sulla circolazione dei propri dati personali, bensì soltanto sul ritorno – nei suoi confronti, in modo diretto oppure indiretto – nelle forme di marketing e/o profilazione. Ci troviamo così di fronte alla circolazione dei dati personali nella infosfera^[8], dapprima caratterizzata dall’autodeterminazione informativa, ora dall’eterodeterminazione informatizzata^[9]. Sulla questione riporteremo vari punti di vista, alcuni incentrati sulla natura del diritto alla protezione dei dati personali, altri sugli individui e la loro libertà di decidere se disporre dei propri beni, altri ancora sul bilanciamento con i diritti concernenti l’autonomia privata e personale, la libertà economica e di trasferimento dei dati.

La nostra convinzione di fondo è sapientemente illustrata dal filosofo Luciano Floridi: “La filosofia è necessaria per creare le nostre società dell’informazione, per dare forma ai nuovi ambienti digitali in cui milioni di persone trascorrono sempre più tempo e, in ultima istanza, per ripensare ciò che mi piace definire progetto umano. Di che genere di filosofia parliamo? Mi pare debba essere una filosofia impegnata nelle profonde trasformazioni del mondo, come quelle originate dalle tecnologie dell’informazione e della comunicazione (ICT). Non vi è infatti aspetto della vita umana che non sia toccato dalle ICT: formazione, lavoro, conflitti, relazioni e interazioni
sociali, intrattenimento, governante, politica, arte, letteratura, mass media, diritto, salute, affari, industria, comunicazione, scienza e via dicendo. È difficile immaginare qualcosa che non sia stato trasformato o ridefinito dalla rivoluzione dell’informazione. Ciò significa che i vecchi problemi filosofici sono stati aggiornati: basti pensare alle questioni che concernono l’identità personale, la memoria, la natura della conoscenza, i fondamenti della scienza, i diritti fondamentali, e molto altro ancora. Allo stesso tempo, si profilano nuovi problemi filosofici. Qual è la natura dell’informazione? Come possiamo conciliare la libertà umana con la capacità di previsione dei sistemi di intelligenza artificiale? Questi sono alcuni tra i molti esempi possibili”^[10].

Il Rapporto finale Agcom-Agcm dell’Indagine sui Big Data

Lo spunto iniziale ai fini dell’approfondimento ci viene offerto dal Rapporto finale dell’Indagine sui Big Data, elaborato congiuntamente dal Garante per la Protezione dei Dati Personali, dall’Autorità garante della concorrenza e del mercato (AGCM) e dall’Autorità per le garanzie nelle comunicazioni (AGCOM). Si tratta di un atto di soft law che ha dato esito alla posizione ufficiale delle Autorità sul tema dei Big Data (BD). Nel Documento si legge che “[…]la commodification dei dati personali non trova spazio nella cornice normativa eurounitaria: e non solo muovendo dall’assunto (che pure da più parti si vorrebbe svalutare) della natura di diritto fondamentale del diritto alla protezione dei dati personali, ma perché puntuali indici normativi escludono la logica puramente appropriativa in relazione allo statuto giuridico dei dati personali” ^[11]. Da qui le Autorità parrebbero assumere una posizione nettamente contrapposta rispetto all’impostazione che, al contrario, sostiene la natura di bene interamente disponibile dei dati personali e parrebbero collocarsi, così, sulla scia dell’impostazione che sostiene che il Regolamento (UE) 2016/679 (GDPR) ^[12] non abbraccia l’ottica proprietaria con riferimento alla tutela dei dati personali della persona fisica^[13].

Invece è rilevante evidenziare che, da parte sua, l’Autorità garante della concorrenza e del mercato (AGCM) ha riconosciuto il valore economico dei dati personali^[14]. L’Autorità aveva sancito nel 2018 la violazione del Codice del consumo da parte di Facebook Ireland Ltd. e Facebook Inc, considerando eccessiva l’enfatizzazione della natura gratuita del servizio^[15]. Con una nuova decisione, lo scorso febbraio, ha condannato le Società al pagamento di una sanzione pari a 7 milioni di euro per non aver ottemperato alla diffida di rimuovere la pratica scorretta sull’utilizzo dei dati degli utenti e non aver pubblicato la dichiarazione di rettifica richiesta, secondo quanto prescritto nel provvedimento del 2018.

Si noti, inoltre, che recentemente il “pagamento” per i servizi digitali è stato riconosciuto dalla Direttiva (UE) 2019/770 e dalla Direttiva (UE) 2019/2161^[16].

Alla luce di queste brevi considerazioni, avvertiamo l’urgenza di proporre una riflessione che sia di supporto agli operatori del settore, interrogandoci sul quesito giuridico in nuce esposto in apertura, ovverosia: il diritto alla protezione dei dati personali, inteso come diritto fondamentale, così come sancito dalle Carte dei diritti fondamentali ^[17] e dal Regolamento (UE) 2016/679 (GDPR), include il diritto alla commercializzazione e monetizzazione dei dati personali? I dati personali, all’interno di un contratto di libero scambio, possono legittimamente essere utilizzati come controprestazione?

Conclusioni

Questi interrogativi si collocano, a pieno titolo, nella scia della riflessione sulla “new digital ethics” avviata dall’European Data Protection Supervisor (EDPS) nel 2015, mediante l’istituzione del Gruppo consultivo esterno sulle dimensioni etiche della protezione dei dati (il “Gruppo consultivo etico”) ^[18]. Secondo l’Autorità, l’evoluzione tecnologica rende non rinviabile la costruzione di un “big data protection eco system”, ovverosia di “an interactive and accountable assemblage of future-oriented regulation, accountable controllers, privacy conscious engineering, and empowerd individuals” ^[19]. Così il presidente dell’epoca, il compianto Giovanni Buttarelli, enunciava a nome dell’EDPS: “la maggior parte di noi concorda in merito all’affermazione secondo la quale noi singolarmente valiamo più della somma dei nostri dati, eppure quello che ci definisce più che mai sono le nostre rappresentazioni quantificate. La nostra privacy è diventata
quasi una commodity, una merce, utilizzata per rivenderci idee e prodotti o per influenzare il nostro comportamento. […] il GEPD, con il supporto di un Gruppo consultivo etico, ha avviato i suoi lavori per riconsiderare la dimensione etica delle relazioni tra diritti umani, tecnologia, mercati e modelli di business, e le loro implicazioni per i diritti alla privacy e alla protezione dei dati nel contesto digitale. Con l’aiuto di questo gruppo, abbiamo l’intenzione di individuare un nuovo approccio etico negli anni a venire, per fare sì che in futuro gli individui non siano più ridotti a semplici interessati nel contesto digitale” ^[20].
Pertanto, il nuovo ambiente in cui ci troviamo a vivere – l’infosfera, citando nuovamente la definizione introdotta dal filosofo Luciano Floridi – potrebbe pertanto essere meglio interpretato e compreso mediante il supporto della filosofia, ponendoci continuamente di fronte a questioni etiche e, anzi, più specificatamente, a questioni di ambientalismo etico digitale ^[21].

Note

1. Cfr. L. Bianchi, “Dentro o fuori il mercato? Commodification e dignità umana”, in Rivista critica del diritto privato, 24 (2006), 3, pp. 489-521; cfr. M. M. Ertman, J. C. Williams (ed. by), Rethinking Commodification, New York and London, New York University Press, 2005; cfr. M. J. Radin, M. Sunder, “The Subject and Object of Commodification”, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams, (eds.), New York-London, New York University Press, 2005, pp. 8-29; cfr. G. Cricenti, “Il lancio del nano. Spunti per un’etica di diritto civile”, in Rivista critica del diritto privato, 27 (2009), 1, pp. 21-39; cfr. M. J. Radin, Contested Commodities, in Rethinking Commodification: Cases and Readings in Law and Culture, M. M. Ertman, J. C. Williams (eds.), New York-London, New York University Press, 2005, pp. 81-95. ↑
2. Per un approfondimento sul punto si consulti la sezione predisposta dalla Commissione europea sul sito istituzionale al seguente link: Shaping the DSM | Shaping Europe’s digital future (europa.eu). ↑
3. Cfr. G. Resta, V. Zeno Zencovich, “Volontà e consenso nella fruizione dei servizi in rete”, in Rivista trimestrale di diritto e procedura civile, (2018), pp. 411-440; cfr. F. Pizzetti, Protezione dei dati personali in Italia tra GDPR e Codice novellato, Giappichellli, Torino, 2021, pp. 233 ss.; cfr. R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE 2016/679 (GDPR) e al novellato d.lgs. 196/2003 (Codice Privacy), Giuffrè, Milano, 2019; cfr. G. Finocchiaro, F. Delfini (a cura di), Diritto dell’informatica, Utet, Torino, 2014; cfr. G. Cassano, S. Previti, Il diritto di Internet nell’era digitale, Giuffrè, Milano, 2020; cfr. M. Mursia, C. A. Trovato, “The commodification of our digital identity: limits on monetizing personal data in the European context”, in Medialaws, (2021) 2, pp. 1-24; cfr. S. Tobani, “Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente”, in Medialaws, (2019) 3, pp. 131-147; cfr. O. Pollicino, “Costituzionalismo, privacy e neurodiritti”, in Medialaws, (2021) 2, pp. 1-9; cfr. N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, Padova, 2019; cfr. L. Bolognini, Follia artificiale. Riflessioni per la resistenza dell’intelligenza umana, Rubbettino, Soveria Mannelli, 2018; cfr. L. Bolognini, F. Pelino (a cura di), Codice della disciplina privacy, Giuffrè, Milano, 2019; cfr. L. Bolognini (a cura di), Privacy e libero mercato digitale, Giappichelli, Torino, 2021; cfr. I. De Michelis di Slonghello, L. Bolognini, An introduction to the right to monetize (RTM), 9 April 2018, An_Introduction_to_the_Right_to_Monetize_Data.pdf (istitutoitalianoprivacy.it); cfr. S. Zuboff, The age of surveillance capitalism. The fight for the human future at the new frontier of power, Profile Books, London, 2019, trad. it. Ead., Il capitalismo della sorveglianza, Luiss, Roma, 2019; cfr. S. Rodotà, Il diritto di avere diritti, Laterza, Bari, 2012; cfr. S. Rodotà, Prefazione, in R. Panetta (a cura di), Libera circolazione e protezione dei dati personali, I, Giuffrè, Milano, 2006, pp. VII-XIX; cfr. S. Rodotà, Prefazione, in A. Masera, G. Scorza, Internet, I nostri diritti, Laterza, Bari, 2016; Cfr. S. Elvy, “Paying for privacy and the personal data economy”, in Columbia Law Review, 117(6), 2017, 1369 ss.; cfr. V. Ricciuto, “La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno”, in Diritto dell’informazione e dell’informatica, 4 (2018), p. 718; cfr. V. Ricciuto, “Il contratto ed i nuovi fenomeni patrimoniali: il caso della circolazione dei dati personali”, in Rivista di diritto civile, 3 (2020), p. 642; cfr. G. D’Ippolito, “Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziale”, in Il diritto dell’informazione e dell’informatica, 3 (2020), pp. 634-674; cfr. N.R. Koffeman, “(The right to) personal autonomy in the case law of the European Court of Human Rights”, in scholarlypublications.universiteitleiden.nl, June 2010; cfr. S. Athey, C. Catalini, C. Tucker, “The Digital Privacy Paradox: Small Money, Small Costs, Small Talk”, in National Bureau of Economic Research Working Paper Series, n. 23488 (2017); cfr. J. Debussche, J. César, “EU data economy: Legal, ethical & social issues, in twobirds.com, August 2019; cfr. M. Nicotra, “Trasparenza web, attenti ai dark pattern: il ruolo del legal design perla tutela degli utenti”, in Agenda digitale.eu, 14 marzo 2019; cfr. M. Alovisio, P. Cucchi, “Dati in cambio di soldi? Consenso al trattamento e scenari futuri”, in Agendadigitale.eu, 21 febbraio 2020; cfr. L. Brandimarte, “Come combattere le pratiche commerciali ingannevoli: strategie e strumenti”, in Agendadigitale.eu, 17 giugno 2021. ↑
4. Cfr. N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, Padova, 2019. ↑
5. V. Ricciuto, “La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno”, cit., p. 718. ↑
6. Cfr. M. Mursia, C. A. Trovato, “The commodification of our digital identity: limits on monetizing personal data in the European context”, in Medialaws, (2021) 2, pp. 1-24. ↑
7. Cfr. ivi, pp. 1-24. ↑
8. L. Floridi, Pensare l’infosfera. La filosofia come design concettuale, Raffaello Cortina Editore, Milano, 2020. ↑
9. Cfr. Raffaella Messinetti, “Trattamento dei dati per finalità di profilazione e decisioni automatizzate”, in N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, Padova, 2019, pp. 167-195. ↑
10. L. Floridi, Pensare l’infosfera. La filosofia come design concettuale, Raffaello Cortina Editore, Milano, 2020, pp.
    141-142.↑
11. Autorità garante della concorrenza e del mercato (AGCM), Autorità per le garanzie nelle comunicazioni (AGCOM), Garante per la protezione dei dati personali, Indagine conoscitiva sui Big Data, 10 febbraio 2020. ↑
12. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) [2016] OJ L119/1. ↑
13. N. Zorzi Galgano, “Le due anime del GDPR e la tutela del diritto alla privacy”, in N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Cedam, Padova, 2019, pp. 35-95, p. 39, cit. . ↑
14. AGCM, Decisione CV154, 11 maggio 2017. ↑
15. AGCM, Decisione IP330, 17 febbraio 2021. ↑
16. Directive (EU) 2019/770 of the European Parliament and of the Council of 20 May 2019 on certain aspects concerning contracts for the supply of digital content and digital services [2019] OJL136/1 (“Directive 2019/770”). ↑
17. Convention for the Protection of Human Rights and Fundamental Freedoms (European Convention on Human Rights, ECHR, as amended), Rome, 4 November 1950; Charter of Fundamental Rights of the European Union [2012] OJ C326/391. ↑