Negli ultimi tempi si assiste ad un progressivo incremento del dibattito circa il valore economico dei dati personali e sul fatto che essi possano addirittura costituire il prezzo per ottenere servizi, principalmente a contenuto digitale.
Non si può negare che i dati, personali e no, costituiscono oggi un asset economico rilevantissimo; il “nuovo petrolio” per usare un’espressione ormai inflazionata che si deve al data scientist e matematico inglese, Clive Humby, nel lontano 2006.
È noto quanto l’analisi dei dati sia funzionale all’efficientamento della pubblica amministrazione ed il miglioramento dei servizi resi ai cittadini. Nel settore privato, poi, i processi di digitalizzazione e analisi dei dati sono necessari per migliorare la produttività e garantire competitività delle imprese. Basti pensare che nel PNRR circa 21 miliardi di euro sono destinati al completamento del processo di digitalizzazione della PA e dei processi produttivi delle imprese private.
Il flusso di dati personali è destinato ad aumentare esponenzialmente con i processi di digitalizzazione che sono la base della politica industriale europea per il 2030. Essa contiene al proprio interno una vera e propria strategia dei dati finalizzata a creare uno spazio digitale europeo che consenta alle organizzazioni – siano esse di natura privata o pubblica – di condividere le informazioni, garantendo l’implementazione di prodotti e servizi forniti in settori strategici come sanità, ambiente, energia, agricoltura, mobilità, industria o finanza.[1]
Se è quindi innegabile una valorizzazione in termini economici dei dati personali, non è altresì allo stato possibile configurare i dati personali come moneta, ossia come utilità economica idonea a fungere da corrispettivo di un servizio, sia esso inteso come servizio della società dell’informazione (es. social network, accesso a piattaforme di videosharing, ecc.) ovvero servizio tradizionale (es. carta fedeltà di un supermercato). Invero, tale approccio “proprietario” non è giustificato alla luce del diritto positivo italiano ed europeo, né in base ai modelli contrattuali esistenti all’interno dei quali ci si deve necessariamente muovere.
Valorizzazione economica dei dati: norme e giurisprudenza
Anche le recenti scelte del legislatore europeo confermano questa interpretazione. Nel corso dell’iter approvativo della Direttiva (UE) 2019/770 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale si è assistito ad un tentativo di valorizzazione in termini economici dei dati personali per ragioni connesse alla difesa del consumatore e con l’intento di attribuire un prezzo o, comunque, il valore di corrispettivo ai dati personali.
Invero, l’art. 3 della proposta di Direttiva inviata nel 2015 dalla Commissione prevedeva la possibilità per i consumatori di corrispondere, in cambio di contenuti digitali, un prezzo ovvero di fornire “una controprestazione non pecuniaria sotto forma di dati personali o di qualsiasi altro dato”. Questa previsione, tuttavia, è stata successivamente eliminata anche a seguito dell’intervento del Garante europeo per la protezione dei dati (European Data Protection Supervisor o “EDPS”) che, chiamato ad esprimere il proprio parere[3], ha raccomandato di evitare l’utilizzo di una terminologia che indicasse nei dati una controprestazione, evidenziandone la natura di diritto fondamentale. A seguito dell’intervento dell’EDPS, quindi, l’art. 3 (recepito in Italia senza modifiche) è stato modificato nella stesura finale della Direttiva (UE) 2019/770 eliminando la dizione di “controprestazione”.
Anche il tentativo da parte della recente giurisprudenza amministrativa italiana di attribuire ai dati personali il significato di prezzo per ottenere servizi digitali (es. accesso ai social media ovvero acquisto di applicazioni) non coglie nel segno e non convince[4]. Sebbene la prospettazione di TAR e Consiglio di Stato ponga l’accento sul valore economico dei dati personali degli utenti, non vi è alcuna costruzione argomentativa idonea mettere in crisi il modello contrattuale utilizzato dai fornitori dei servizi digitali come Meta, Google o Apple, né vi è alcun elemento giuridico utilizzabile per riconoscere il valore di “prezzo” ai dati personali degli utenti che sono utilizzati dai prestatori di servizi. Sia il TAR che, successivamente, il Consiglio di Stato, infatti, sembrano sfruttare l’argomento della qualificazione dei dati personali degli utenti come “corrispettivo” per l’accesso ai servizi digitali al solo scopo di affermare l’applicabilità della disciplina consumeristica al caso di specie e poter sanzionare l’asserita pratica commerciale di Meta.
La mancanza di strumenti contrattuali ad hoc
Alla mancanza di norme si accomuna anche una mancanza di strumenti contrattuali ad hoc ovvero di modelli contrattuali, seppure atipici, a cui riferirsi, idonei a supportare la teoria “proprietaria” dei dati personali. Da alcune parti, si registra il tentativo di valorizzare il consenso nell’ambito dello “scambio di dati personali” in contratti di servizi digitali a titolo gratuito. Tuttavia, in tal caso, non deve essere confuso il consenso previsto come base giuridica valida per la raccolta e il trattamento dei dati personali dal consenso contrattuale come elemento essenziale della volontà e quindi della conclusione del contratto. Al riguardo, la dottrina ha precisato che si tratta di due condizioni distinte e non sovrapponibili, in quanto soddisfano esigenze diverse. Nel primo caso, infatti, il consenso realizza un’istanza di autodeterminazione informativa dell’interessato, mentre nel secondo concretizza la realizzazione del regolamento di interessi stabilito dalle parti.
Il consenso al trattamento dei dati personali
Il consenso al trattamento dei dati personali ha valore di “autorizzazione” fornita dall’interessato al titolare del trattamento al fine di permettergli l’uso dei suoi dati personali che, altrimenti, l’ordinamento protegge erga omnes come diritto fondamentale della persona. Tale consenso non trasferisce tuttavia il diritto – che rimane sempre in capo all’interessato – ma solo autorizza il titolare al trattamento dei dati personali dell’interessato. Non si ravvisa quindi alcuna efficacia traslativa di beni immateriali o addirittura di situazioni giuridiche soggettive.[5]
Ne è una dimostrazione il fatto che il consenso è solo una delle basi giuridiche che l’ordinamento riconosce come valida per autorizzare il titolare ad avere accesso e trattare i dati personali dell’interessato. Il consenso al trattamento dei dati personali è infatti connesso alla possibilità concessa al titolare del trattamento di utilizzare i dati dell’interessato per scopi ulteriori rispetto a quelli connessi all’esecuzione del contratto. Infatti, il trattamento per la necessità di dare esecuzione a obblighi di un contratto di cui l’interessato è parte ovvero a misure precontrattuali richieste dallo stesso interessato è una base giuridica autonoma e alternativa rispetto a quella del consenso [art. 6, co. 1, (b) del GDPR]. La base giuridica contrattuale quindi si pone su un piano di alterità rispetto al consenso al trattamento proprio perché esse fanno fronte a due fattispecie ontologicamente differenti.
Evoluzione del concetto di riservatezza
In Europa, il “right to be let alone” anglosassone ha subito un progressivo processo di costituzionalizzazione come diritto della persona che è iniziato negli anni 60 e si è sviluppato nel corso degli anni fino ad arrivare all’inclusione del “diritto alla protezione dei dati personali” nella Carta di Nizza nel novero dei diritti e delle libertà fondamentali posti a fondamento della civiltà giuridica comune della Unione Europea, a prescindere da ogni altra considerazione di ordine economico.
Sul piano normativo, prima dell’avvento del Regolamento (UE) 2016/679 (GDPR), la Convenzione n. 108 del 1981 e, successivamente, la Direttiva 95/46/CE avevano segnato la trasformazione del diritto alla privacy dalla sua prospettiva statica di “right to be let alone” verso una prospettiva dinamica di diritto al controllo dei propri dati personali. In Italia, tale trasformazione era sancita, dapprima dalla Legge n. 675/1996 e, poi, dal D. Lgs. n. 196/2003 (Codice Privacy), poi novellato a seguito dell’avvento del GDPR.
Il concetto di riservatezza ha subito un’evoluzione verso il potere di controllo sulla circolazione delle proprie informazioni personali, nella prospettiva dell’autodeterminazione informativa, intesa a costruire e difendere la sfera privata della persona. Il diritto alla privacy insomma ha perso gradualmente la struttura ed i contenuti di strumento di isolamento dagli altri, per assumere la dimensione di “spazio di libertà individuale”. Il suo contenuto si è cioè ampliato fino a ricomprendervi “quell’insieme di azioni, comportamenti, opinioni, preferenze, informazioni personali di cui l’interessato intende mantenere un controllo esclusivo, non solo per garantirne la riservatezza, ma per assicurarsi una piena libertà di scelta”[2].
Questo approccio “personalistico” trova conferma nelle norme di diritto positivo esistenti, tanto nell’ordinamento italiano che in quello europeo, che non autorizzano a trasformare il concetto di dato personale in merce di scambio o, addirittura, in prezzo del servizio.
Consenso al trattamento e consenso contrattuale: verso la coesistenza?
In conclusione, il consenso al trattamento dei dati personali e il consenso inteso come volontà contrattuale nell’ambito di un negozio atipico per l’accesso ai servizi digitali vanno tenuti distinti poiché ontologicamente differenti. Tuttavia, pur essendo distinti, non è detto che questi non possano sommarsi e coesistere. Ciò, soprattutto, se distinguiamo il diritto alla protezione dei dati personali, inteso come diritto della persona, dall’oggetto dello stesso, ossia i dati personali. Laddove il legislatore preveda la loro disponibilità piena in capo all’interessato (ad eccezione, quindi, di tutte le ipotesi di restrizione e limitazione per ragioni di interessi superiori), non sembrano esserci ostacoli al fatto che l’interessato concordi con il titolare del trattamento un prezzo o altra utilità economica per fornire il consenso all’utilizzo dei dati personali. È questo il caso del trattamento di dati per scopi di marketing e commerciali, della pubblicità comportamentale basata sull’analisi del comportamento al consumo, ovvero della limitazione all’esercizio, per un certo periodo di tempo, del diritto di revoca del consenso già fornito.
In tal caso, saremmo di fronte a due fattispecie distinte, una autorizzatoria (consenso al trattamento dei dati personali) e una contrattuale (prezzo per fornire il consenso o non revocarlo). Lo schema a tendere appare essere simile alla disciplina del diritto all’immagine contenuta nella legge sul diritto di autore.
Come noto, il diritto all’immagine è contemplato dall’art. 10 c.c. Tuttavia, è la legge sul diritto d’autore che, in coerenza alle sue restanti previsioni, si cura prevalentemente di disciplinare lo sfruttamento economico del diritto all’immagine. Lo schema che ne viene fuori è un diritto della persona che non può essere ceduto a cui si giustappone, tuttavia, la possibilità di cedere in licenza lo sfruttamento economico a pronte del corrispettivo di un prezzo ovvero gratuitamente. L’art. 96 della legge sul diritto d’autore, infatti, prende in esame i casi di esposizione, riproduzione e messa in commercio del ritratto (immagine) di una persona, prevedendo espressamente la necessità di un valido consenso, in assenza del quale siffatti usi sono da ritenersi non legittimi.
Conclusioni
Che si vada verso una coesistenza tra approccio “personalistico” e “proprietario” anche con riferimento al diritto alla protezione dei dati personali? Allo stato è solo un’ipotesi di studio su cui tuttavia si può investire, anche in un’ottica di coerenza con descritta strategia dei dati delineata dall’Unione Europea.
Note
[1] Oltre al Digital Market Act (“DMA”) e al Digital Service Act (“DSA”) – ed in attesa che veda la luce il regolamento sull’Intelligenza Artificiale – è stato approvato in via definitiva ed entrerà in vigore nel settembre 2023 il Data Governance Act (“DGA”) che, insieme al Data Act (che è ancora nella fase approvativa), costituisce il pilastro intorno al quale ruota la strategia dei dati.
[2] S. RODOTÀ, Privacy e Costruzione della sfera privata, in Tecnologie e diritti, 1995 e Repertorio di fine secolo, Bari-Roma, 1992, p. 190; si veda anche dello stesso Autore, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, 1997.
[3] European Data Protection Supervisor, Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content, 14 marzo 2017
[4] Si vedano: TAR Lazio, sentenza 10 gennaio 2020, n. 260; Consiglio di Stato, sentenza 29 marzo 2021, n. 2631 (Sentenza Meta) ; e, più recentemente, TAR Lazio, sentenza 3 ottobre 2022, n. 12507 (Sentenza Apple) e TAR Lazio, sentenza 18 novembre 2022, n. 13870 (Sentenza Google)
[5] Si veda, sul punto, la recentissima decisione dell’autorità irlandese per la tutela dei dati personali (Data Protection Commissioner) del 31 dicembre 2022 nei confronti di Meta Platforms Ireland Limited rispetto al servizio Instagram. Tale decisione si conforma alla decisione vincolante 4/2022 dell’EDPB del 5 dicembre 2022, volta a dirimere la controversia venutasi a creare tra l’autorità belga e quella irlandese proprio sul rispetto da parte di Facebook delle previsioni del GDPR relative al consenso per il trattamento dei dati personali degli utenti per scopo di marketing e pubblicità comportamentale
