Ad agosto scorso il Garante per la Privacy ha richiesto un parere all’EDPB riguardo a WePeople, un’app che permette all’interessato di creare una propria banca dati personali e guadagnare dalla condivisione delle proprie informazioni con altri titolari del trattamento. Al di là dei profili giuridici della delega dell’interessato a una società terza per ottenere e gestire i dati personali, il tema fondamentale che si pone è quello della “commerciabilità” dei dati personali.
La commerciabilità dei dati personali
L’app italiana non è la prima a proporre questo tipo di servizio: tra le altre, si possono citare People.io, Citizen.me, Digi.me e Wibson. Il tema non riguarda solo queste piattaforme ma anche la realtà quotidiana dell’online advertising: quante volte ci viene richiesto, prima di accedere a un sito di notizie, di disabilitare il nostro ad blocker o in alternativa di pagare un abbonamento e usufruire degli articoli senza pubblicità? Non “offriamo” i nostri dati solo in cambio di servizi: è anche già successo che grandi aziende quali Facebook e Amazon, offrissero una somma di denaro in cambio dell’installazione di un’app o un plugin che raccogliesse i dati della nostra navigazione.
Quelli sopra riportati sono solo alcuni esempi concreti rispetto al tema della commerciabilità dei dati personali, che è stato giustamente segnalato dall’Autorità di controllo italiana al Comitato Europeo, in modo che venga tracciata una linea comune europea rispetto alla questione.
Il punto è stato trattato dal Presidente dell’Autorità Garante nel discorso sulla relazione dell’attività svolta nel 2018, in cui ha evidenziato “l’ambiguità della proposta di attribuire un “dividendo dei dati” agli utenti della rete, per consentire loro di beneficiare almeno in parte della ricchezza prodotta, con i propri dati, dai big tech”. La questione non è solo circoscritta all’ambito della protezione dei dati e interessa anche le Autorità antitrust europee, nella prospettiva di analizzare e fronteggiare la posizione dominante di alcuni colossi tecnologici, il cui valore è rappresentato soprattutto dai dati che trattano. Da questo scenario emerge sia la tutela della persona in quanto consumatore che quella più generale dell’individuo, nei diritti inviolabili che gli sono riconosciuti.
Non bisogna dimenticare che in Europa, il diritto alla protezione dei dati è considerato un diritto fondamentale, riconosciuto dall’art. 8 della Carta dei diritti Fondamentali dell’UE (Carta di Nizza), dall’art. 16 del TFUE ed è parte del diritto al rispetto della vita privata e familiare in base all’art. 8 della CEDU.
Può quindi un diritto fondamentale essere barattato in cambio di soldi? L’evoluzione tecnologica e il mondo digitale nel quale viviamo, hanno cambiato la risposta a questa domanda, che fino a 5 anni fa sarebbe stata senza dubbio negativa?
La Direttiva dei contratti di fornitura digitale
Nel 2015 la Commissione Europea aveva emanato un Proposal per una nuova “Direttiva relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali”. Rispetto a questa normativa, l’EDPS aveva espresso preoccupazione in merito alla terminologia usata e al concetto che i dati potessero essere usati come contro prestazione, al pari dei soldi (“data as a counter-performance”). Il fulcro delle argomentazioni dell’Autorità di Bruxelles era il seguente: i dati personali, essendo considerati nel nostro ordinamento come diritti fondamentali, non possono essere trattati come una merce e quindi commercializzati come una valuta. Rispetto all’argomentazione secondo cui nella realtà in cui viviamo i dati personali sono già scambiati come controvalore, affermava che:
“Può ben esistere un mercato dei dati personali, così come, tragicamente esiste un mercato degli organi umani, ma questo non significa che possiamo o dovremmo dare a quel mercato una benedizione attraverso la legislazione. Non si può monetizzare e sottoporre un diritto fondamentale ad una semplice transazione commerciale, anche se è la persona interessata dai dati che è parte della transazione.” (Traduzione non ufficiale del testo).
Il tema continua ad essere molto attuale e ad interessare vari stakeholder, pubblici e privati.
Gli scenari futuri
Rispetto agli scenari futuri e all’utilizzo dei dati come moneta, è stato pubblicato recentemente su Privacy International – ONG che da anni si occupa di diritti digitali – un articolo che illustra i vari scenari futuri.
Senza soffermarsi nei dettagli sulle varie situazioni, l’autrice identifica 3 scenari principali:
- La proprietà del proprio dato personale: ogni individuo è proprietario dei suoi dati personali ed è libero di cederli in cambio di denaro, nella maniera che ritiene più opportuna, mettendoli all’asta o stipulando un abbonamento;
- L’attività di “produzione” di dati personali diventa un lavoro: l’individuo interagisce con la piattaforma, produce dati e viene retribuito per l’attività svolta (i dati vengono in questo caso considerati come un risultato della propria mansione). Questo scenario è in parte già attuale, basti pensare alle centinaia di persone che lavorano in progetti di “addestramento” dell’Intelligenza Artificiale;
- I dati sono gestiti da fondi pubblici e possono concedere l’accesso a società private in cambio di soldi. Ovviamente la pubblica amministrazione potrà decidere autonomamente le regole e quali dati concedere a soggetti terzi.
Il Parere dell’EDPB
Da ultimo, l’Edpb si è recentemente pronunciato in via incidentale sulla questione nelle Linee Guida 2/2019 sul trattamento dei dati personali sulla base dell’art. 6.1 lettera b) del GDPR, nel contesto della fornitura di servizi online agli interessati. Nel paragrafo relativo ai trattamenti effettuati per fini di pubblicità online comportamentale, ha precisato che:
“…considerando che uno degli scopi principali del GDPR è di fornire agli interessati il controllo delle loro informazioni, i dati personali non possono essere considerati come una merce di scambio. Gli interessati possono prestare il loro consenso al trattamento dei dati personali, ma non possono commerciare i loro diritti fondamentali.” (Traduzione non ufficiale del testo)
Proprio il consenso è la base di liceità più utilizzata nella realtà quotidiana online. L’esempio che solitamente viene proposto è il seguente: società X fornisce un servizio – spesso utile all’interessato – e quest’ultimo concede il consenso al trattamento dei suoi dati personali per finalità ulteriori, spesso non connesse al servizio offerto. Il quadro giuridico permette all’interessato di fornire il consenso, che sarà utilizzato come base per il trattamento ulteriore della società X.
Tale consenso è però spesso condizione obbligatoria per usufruire del servizio della società X: senza consenso, non viene fornito il servizio. Sotto questo profilo, emerge la commerciabilità del dato personale e l’aspetto della controprestazione dell’interessato. Una controprestazione – e quindi un contratto – di cui l’interessato è parte, pone notevoli problematiche da un punto di vista giuridico:
- l’interessato fornisce i dati personali come “moneta”, il che implicherebbe un concetto di proprietà del dato che si scontra con le disposizioni civilistiche in materia di proprietà;
- l’interessato si impegna a compiere un’obbligazione di fare, cioè a concedere il consenso, così entrando in contrasto con il concetto stesso del consenso che deve essere sempre revocabile.
Il punto attuale, che prescinde dalla configurazione della controprestazione, riguarda i requisiti che contraddistinguono il consenso e la sua adozione concreta come base di liceità.
Il consenso libero
L’art. 4 del GDPR nel dettare la definizione di “consenso”, prevede che esso sia libero, specifico, informato e inequivocabile.
Occorre concentrarsi proprio sul primo dei presupposti del consenso e sull’interpretazione che viene data dalla dottrina maggioritaria che sotto questo aspetto, si scontra con la giurisprudenza italiana della Cassazione:
L’orientamento del Garante
Il Garante sulla Protezione dei dati, in linea con l’orientamento espresso a livello europeo, ha affermato che l’interessato per poter esprimere un consenso libero, deve essere in grado di scegliere se prestare il proprio consenso o meno, senza che questo diventi un presupposto necessario per la fruizione del servizio. In un recente provvedimento del 12 giugno 2019, ha infatti stabilito che:
la capacità di autodeterminazione degli interessati non è assicurata né quando viene richiesto un unico consenso per più diverse finalità di trattamento, né quando si assoggetta la fruizione di un servizio […] alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse qual è quella di promozione e quella statistica.
Il provvedimento riguardava una società che aveva predisposto i propri moduli online per il consenso in modo non specifico (in una casella erano ricompresi le seguenti finalità: promozionali, di invio di newsletter, analisi statistiche, sondaggi d’opinione) e vincolato (era necessario obbligatoriamente fornire il consenso per fini promozionali anche per altri marchi appartenenti alla società per partecipare al programma di raccolta punti).
Come detto, l’Edpb (già Gruppo di Lavoro Articolo 29) già nelle sue Linee Guida sul consenso si era pronunciato a favore di questa visione, ovvero che “sussiste una presunzione forte secondo cui il consenso a un trattamento di dati personali non necessario non può essere considerato un corrispettivo obbligatorio dell’esecuzione di un contratto o della prestazione di un servizio.”
Riassumendo, la visione è la seguente: se i dati sono necessari per l’esecuzione del contratto (valutazione da farsi in senso restrittivo, solo per i dati effettivamente necessari), allora sarà valida la base di liceità dell’art. 6.1 lettera b; in caso contrario, potrà essere chiesto il consenso per il loro trattamento, che dovrà però essere liberamente selezionabile.
L’orientamento della Suprema Corte
Di senso opposto è l’orientamento della Suprema Corte espresso nella sentenza n. 17278/2018. La pronuncia in questione – anche se il caso di specie riguardava la previgente normativa – analizza l’istituto del consenso al trattamento tenendo in considerazione le disposizioni del GDPR. Il caso concreto riguardava la fornitura di un servizio di newsletter, che era subordinato al rilascio di un ulteriore consenso a una differente mailing list “promozionale”. Se l’interessato non forniva il consenso anche per la seconda mailing list, non poteva iscriversi alla prima newsletter (di carattere informativo).
La visione della Cassazione sul “consenso” si discosta da quella del Garante proprio rispetto al requisito – o meglio, all’interpretazione – che dà al concetto di “consenso libero”. Sul punto, gli Ermellini affermano che il condizionamento del consenso deve essere valutato rispetto alla prestazione offerta, a seconda che essa sia infungibile ed irrinunciabile o meno per l’interessato. Nel caso in cui – come quello oggetto della decisione – il servizio offerto sia fungibile e rinunciabile, la relativa fruizione può essere subordinata alla prestazione del consenso. Infatti ad essere vietato sarebbe solo l’invio di informazioni pubblicitarie a chi non ha manifestato effettivamente la volontà di riceverle. Come enucleato espressamente dalla sentenza, “l’ordinamento non vieta lo scambio di dati personali, ma esige tuttavia che tale scambio sia frutto di un consenso pieno ed in nessun modo coartato”.
Nel ragionamento della Corte, il requisito della “libertà” nel concedere il consenso o meno, sarebbe anticipato a un momento precedente, ovvero alla scelta del servizio. Trattandosi di un servizio fungibile e rinunciabile, l’interessato potrebbe scegliere liberamente di non fruirne e scegliere un’alternativa a pagamento. Se l’individuo è stato correttamente informato e il consenso è sufficientemente specifico, il consenso è da considerare come lecito.
Emerge la differenza tra i due orientamenti che si stanno delineando: da una parte la libertà alla fruizione del servizio a prescindere dal consenso (si può chiedere un pagamento ma non il consenso che diventa uno strumento per il dato come controprestazione), dall’altra la libertà della fruizione o meno del servizio, considerando il consenso come parte integrante e necessaria del servizio che liberamente si decide di scegliere.
La questione continua ad essere oggetto di un vivace dibattito: probabilmente il parere dell’Edpb in risposta al quesito formulato dal Garante, fornirà un ulteriore tassello a una delle due prospettive sopra illustrate.
