codice del consumo

Pagare con i dati personali? I dubbi sulle nuove norme

Lo schema regolamentare che ha modificato in parte il Codice del Consumo ha acceso una vivace discussione intorno al tema dell’identificazione dei dati personali quali strumento di pagamento per la fruizione di contenuti e servizi digitali. Ma come stanno davvero le cose?

Pubblicato il 24 Feb 2022

Nadia Martini

Partner e Head of Data Protection Rödl & Partner

Tommaso Mauri

Dipartimento Data Protection Rödl & Partner

consumatori

Lo scorso ottobre 2021 il Consiglio dei ministri ha approvato lo schema di Decreto Legislativo idoneo a recepire nell’ordinamento giuridico nazionale la Direttiva UE 2019/770. Quest’ultima, in via del tutto nuova rispetto all’attuale assetto regolamentare, contribuisce ad apportare all’interno del dibattito contemporaneo in materia di privacy e protezione dei dati personali importanti elementi di novità, con particolare riguardo alla contaminazione della materia rispetto alla disciplina contrattuale della tutela del consumatore in ambito digitale.

In via immediatamente successiva alla sua pubblicazione, lo schema regolamentare approvato in seno al Governo ha acceso una vivace discussione intorno al tema dell’identificazione dei dati personali quali strumento di pagamento per la fruizione dei citati contenuti e servizi digitali. Ma si può ritenere che le cose stiano davvero così?

Codice del consumo, le nuove tutele privacy del 2022

Il Decreto che riforma codice del consumo

Lo schema normativo pubblicato dall’organo esecutivo italiano introduce nuove disposizioni all’interno del D.gls 6 settembre 2005 n. 206, altresì noto come Codice del Consumo. Le novità comprendono l’introduzione di una serie di nuovi articoli di legge, precisamente quelli dal 135-octies al 135-vicies, e paiono codificare quello che già avviene quotidianamente nella società moderna all’interno di Internet: lo scambio di beni e servizi in cambio di dati personali. L’obiettivo dichiarato della fattispecie legale assume un duplice connotato, atteso che la stessa mira ad innovare il mercato digitale attraverso l’implementazione di nuovi modelli contrattuali e ad ampliare la tutela del consumatore nei negozi giuridici aventi ad oggetto i servizi di natura digitale, applicando a questi ultimi le garanzie tipiche della responsabilità contrattuale.

Il “diritto alla sicurezza” del prodotto digitale

In tal senso, è utile rilevare come la disciplina di specie introduca anche una sorta di “diritto alla sicurezza” del prodotto digitale a beneficio del consumatore e a discapito, per quel che concerne i profili di responsabilità, del fornitore. Quest’ultimo è infatti chiamato a garantire che i propri prodotti e servizi dispongano di un certo grado di sicurezza, tale da assicurare il singolo consumatore rispetto a minacce di natura informatica: il professionista è pertanto tenuto a comprovare, in caso di contenzioso, di aver fornito al consumatore un bene o un servizio esente da rischi e vizi. Proprio in relazione a questi ultimi si è in grado di cogliere maggiormente l’attinenza della presente novella legislativa con le disposizioni del Codice del Consumo, posto che l’art. 135-quaterdecies del D.gls 29 ottobre 2021 attribuisce al fornitore la responsabilità per tutti i vizi che si manifestano nell’arco di temporale dei due anni decorrenti dalla perfezione della vendita del singolo bene o servizio. Al contrario, in caso di rapporto di fornitura continuativa, il fornitore risulta responsabile per tutti i difetti che emergono con evidenza nel corso del periodo temporale di fornitura, in linea con quanto stabilito dagli accordi contrattuali con la controparte persona fisica.

Fermo restando quanto sopra indicato, non si può obiettare che l’intervento del legislatore a normare la fattispecie concreta sia da considerare ultroneo o fuori luogo rispetto alla realtà dei fatti. È indubbio come la società moderna sia infatti ormai influenzata in maniera endemica da ciò che accade nel mondo digitale, che peraltro ha assunto un ruolo centrale nella definizione dei rapporti odierni fra i consociati: i singoli social network, come Instagram e Facebook ad esempio, ma soprattutto gli stessi provider di beni operanti nell’infrastruttura virtuale (si veda, in particolare, il ruolo ricoperto da Amazon) e le aziende produttrici di servizi e oggetti di consumo – per il tramite delle proprie funzioni di eCommerce – hanno definitivamente invaso la vita quotidiana delle persone, spingendo la collettività a riversare i propri acquisiti e i propri traffici economici all’interno del contesto virtuale piuttosto che in quello reale. E sotto questo punto di vista non poteva oltremodo attendere, perlomeno in via preliminare, l’introduzione di una regolamentazione ad hoc che concedesse alle singole persone fisiche la possibilità di ottenere una sorta di remunerazione economica dai propri dati personali, posto che sino ad ora il rapporto così gestito non può dirsi certamente in formato win- win per entrambi i soggetti coinvolti (sicuramente, non lo è per il singolo utente della rete).

I punti di contatto con la materia contrattuale e la data protection

L’affermazione appena riportata sembra essere riscontrabile anche soffermandosi, in primo luogo, sulla lettura dell’art. 135-octies del D.gls 29 ottobre 2021, il quale fornisce l’ambito di applicazione della disciplina e le definizioni terminologiche. In particolare, è interessante riprendere quanto indicato dai commi 3-4[1]:

“Le disposizioni del presente capo si applicano a qualsiasi contratto in cui il professionista fornisce, o si obbliga a fornire, un contenuto digitale o un servizio digitale al consumatore e il consumatore corrisponde un prezzo o si obbliga a corrispondere un prezzo” (comma 3).

“Le disposizioni del presente capo si applicano altresì nel caso in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti” (comma 4).

In rapporto a quanto già affrontato con riferimento alla disciplina consumeristica, non si può certamente soprassedere sul richiamo esplicito di entrambe le disposizioni rispetto alla regolamentazione codicistica relativa all’ambito contrattuale. Nel coordinamento rispetto a tale contesto emerge infatti un primo profilo problematico, giuridicamente parlando, attinente alla struttura della norma di legge così enucleata: nonostante il riferimento esplicito ai contratti corrispettivi, infatti, nel testo non compare alcuna indicazione puntuale della natura dei dati personali quale prestazione di carattere corrispettivo che il consumatore, in considerazione della prestazione svolta dal fornitore del bene o servizio digitale, è tenuto a garantire a beneficio di quest’ultimo. Non vi sarebbe pertanto alcun riconoscimento esplicito della funzione di pagamento nei termini riservati, all’interno del mercato odierno, alle valute monetarie le quali, coerentemente con il dettato giuridico, sono considerate alla stregua della controprestazione necessaria per l’acquirente al fine di poter disporre di un bene o fruire di un servizio. Non viene alla luce, in altre parole, il rapporto sinallagmatico tipico del contesto contrattuale.

La protezione dei dati personali

Come se non bastasse, la disposizione di legge così nata mancherebbe anche di sostanza per quel che riguarda il profilo attinente alla protezione dei dati personali e, più in generale, alla tutela della privacy dei consumatori stessi. Sebbene all’interno dell’infrastruttura legale appaiano, in ordine sparso, molteplici richiami alla prevalenza delle disposizioni in materia di data protection (e quindi, della prevalenza del GDPR rispetto alle altre discipline regolamentari) quali strumenti idonei a definire la tutela e la disciplina della fattispecie, nulla è indicato sulla gestione del delicato tema del coordinamento tra tali previsioni e quelle legate alla materia contrattuale.

Considerando, ad esempio, quanto stabilito dal comma 4 del Decreto Legislativo 29 ottobre 2021, limitatamente all’esclusione dei dati personali necessari per garantire al consumatore il servizio o il contenuto digitale richiesto e quelli la cui raccolta è obbligatoria per soddisfare obblighi legali (“fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista”) non si comprende esattamente come potrebbero essere applicate, in tali circostanze, le previsioni giuridiche stabilite all’art. 5 del GDPR. Quest’ultimo definisce infatti i principi relativi alla limitazione delle finalità del trattamento e quelli inerenti i limiti alla conservazione tout court dei dati personali dell’interessato: essi sono fondamentali, oltre che come forma di tutela primaria dell’interessato, anche in considerazione del ruolo a loro attribuito nel sostegno alla compliance che il Titolare del trattamento è chiamato a garantire per trattare in maniera lecita e conforme i dati personali che raccoglie.

Applicando quanto predetto alla fattispecie, tuttavia, e posta l’esclusione di quei dati necessari per la fornitura del contenuto e del servizio e quelli richiesti per assolvere obblighi di legge, risulta di difficilmente comprensibile intendere in che modo i singoli Titolari del trattamento possano correttamente applicare i richiamati principi in relazione a quei dati personali oggetto di transazione commerciale. Per questi ultimi, infatti, verrebbero a galla un’importante serie di criticità, con riferimento ad esempio alla gestione delle informative ogni Titolare del trattamento è tenuto – ex art. 13 GDPR – a fornire ai singoli interessati in occasione della raccolta dei loro dati personali. Quello di cui avrebbe bisogno il singolo fornitore, a ben vedere, corrisponde ad una sorta di autorizzazione preventiva e totale al trattamento dei dati dell’utente, che tuttavia risulterebbe inconciliabile sia con l’art. 5 sopra richiamato sia, in linea generale, con l’intera impalcatura su cui poggia il GDPR stesso.

I paletti dell’EDPB

Peraltro, di difficile inquadramento risulterebbe anche la questione legata all’applicazione della base giuridica necessaria per trattare in maniera lecita i dati personali oggetto di commercializzazione: verrebbe richiesto, ad esempio, il consenso dell’interessato? E se sì, come potrebbe conciliarsi un consenso prestato in tal modo con le disposizioni del GDPR e la relativa giurisprudenza, sia dell’Autorità Garante italiana che dell’European Data Protection Board, la quale sancisce gli elementi necessari per poter considerare il consenso prestato come libero, inequivocabile e acquisito al riparo da qualunque tipo di condizionamento?

Lo stesso European Data Protection Board, vieppiù, attraverso un Parere[2] risalente al 2017 e pubblicato in occasione della proposta europea della Direttiva 2019/770, ha ripetutamente manifestato la propria opinione intorno alla tematica di specie, richiamando all’attenzione un principio di carattere generale per cui i dati personali non possono essere considerati in qualità di merce di scambio i idonei a rappresentare il corrispettivo per l’acquisto di un bene o un servizio, posto che al contrario gli stessi sono espressione di un diritto fondamentale dell’individuo che per sua natura necessita di essere tutelato erga omnes (e non, aggiungeremmo, essere considerato alla stregua di un mero interesse pecuniario).

Conclusioni

Seppur il Decreto Legislativo 29 ottobre 2021 sia da considerare un importante passo in avanti per quel che riguarda la normazione di un contesto sino ad oggi rimasto in balìa della liberalizzazione, restano tuttavia alcuni aspetti da dover maggiormente considerare per garantire quella coerenza strutturale tipica di un sistema giuridico efficiente.

È sicuramente da lodare la volontà del legislatore, prima europeo e poi italiano, di voler tutelare fino in fondo la posizione del singolo all’interno del contesto digitale odierno per quel che concerne il riconoscimento a quest’ultimo della possibilità di sfruttare commercialmente e, soprattutto, economicamente i propri dati personali.

All’esito di una lettura approfondita della disposizione normativa, a ben vedere, ci si accorge come l’intento del legislatore non consiste nella volontà di liberalizzare il pagamento tra privati attraverso la dazione di propri dati personali, posto che al contrario si comprende come – verosimilmente – la novella di specie sia venuta alla luce in considerazione della sempre più pressante esigenza di estendere le tutele tipiche della disciplina consumeristica anche al mondo digitale, divenuto ormai predominante nelle dinamiche relazionali delle persone.

Nulla quaestio rispetto a quanto affermato, sarà comunque necessario provvedere alla definizione di previsioni legali maggiormente attente alla disciplina di tutti gli aspetti giuridici che vengono in gioco, soprattutto per quel che riguarda il coordinamento tra le norme civilistiche e quelle relative alla protezione dei dati personali degli interessati.

Si può infatti ben comprendere come la normativa GDPR non possa essere accantonata e nemmeno considerata a titolo secondario rispetto alle differenti discipline giuridiche che entrano in gioco: in fin dei conti, quello che rileva, è la tutela dei dati personali delle persone.

Note

  1. Si veda, a tal proposito, l’art. 3, comma 1, Direttiva (UE) 2019/770.
  2. European Data Protection Board, “Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content”, 14 March 2017.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati