Tutela dei dati personali e altri diritti: perché servono riforme “privacy oriented” in tutti i settori

Nella Relazione annuale dell’Autorità Garante per la protezione dei dati personali per l’anno 2021 presentata in Senato lo scorso 7 luglio, il Presidente dell’Autorità, Pasquale Stanzione, ha affermato che il diritto alla protezione dei dati personali è un diritto “duttile e mai tiranno”.

Il diritto alla privacy è infatti un diritto pervasivo, che coinvolge svariati aspetti della quotidianità, ponendosi nell’alveo di una serie di diritti e libertà meritevoli di tutela, in un’ottica di proporzionalità. A rafforzamento di tale assunto, il Presidente Stanzione ha osservato che il contributo del Garante privacy viene richiesto sempre più spesso per la varietà dei contesti istituzionali, a dimostrazione di come si stia progressivamente diffondendo la consapevolezza dell’esigenza di progettare le riforme, in qualsiasi campo, secondo una prospettiva privacy oriented, per promuovere innovazioni realmente inclusive e mai discriminatorie.

La tutela dei dati personali in differenti ambiti

Un caso che attesta la duttilità e pervasività del diritto alla protezione dei dati personali è rappresentato dal provvedimento n. 27432 del 29 novembre 2018 emanato dall’Autorità Garante della Concorrenza e del Mercato (AGCM), con il quale la stessa sanzionava Facebook Inc. e Facebook Ireland Limited per aver attuato delle pratiche commerciali scorrette (rispettivamente, una pratica qualificata come ingannevole e l’altra come aggressiva) aventi ad oggetto la raccolta, lo scambio con terzi e l’utilizzo, a fini commerciali, dei dati dei propri utenti consumatori, incluse le informazioni sui loro interessi online^[1], in netto contrasto con gli artt. 21, 22, 24 e 25 del Codice del Consumo (D.lgs. 206/2005).

La prima pratica commerciale sanzionata (pratica qualificata come ingannevole dall’AGCM) consisteva nell’avere adottato, in fase di registrazione dell’utente al social network Facebook, un’informativa ritenuta dall’Autorità priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti.

Facebook e il valore commerciale dei nostri dati

Infatti, il claim “Iscriviti. È gratis e lo sarà per sempre” che compariva fino al 15 aprile 2018 nella homepage per l’iscrizione e l’accesso a Facebook rappresentava, per l’Autorità, un’informazione non veritiera e fuorviante, in quanto la raccolta e lo sfruttamento dei dati degli utenti a fini remunerativi si deve configurare come controprestazione del servizio offerto dal social network, poiché i dati sono dotati di valore commerciale^[2]. Inoltre, per l’AGCM, il già menzionato claim poteva indurre i consumatori ad assumere una decisione di natura commerciale non pienamente consapevole e informata, che questi ultimi avrebbero potuto anche non prendere se fossero stati adeguatamente informati sulle finalità di raccolta e utilizzo dei loro dati.

Successivamente, Facebook ricorreva contro la pronuncia dell’AGCM dinanzi al TAR Lazio, lamentando un difetto assoluto di attribuzione dell’AGCM, dichiarando che le attività effettuate da Facebook non costituissero pratiche commerciali – in mancanza di un corrispettivo patrimoniale richiesto per usufruire del servizio – e quindi paventando l’assenza della necessità di tutelare l’interesse economico dei consumatori. Inoltre, Facebook contestava un difetto di attribuzione ratione materiae, dal momento che la disciplina da applicare al caso in esame avrebbe dovuto essere unicamente quella sulla privacy (Regolamento UE 2016/679 o GDPR), poiché esso atteneva al trattamento di dati personali degli utenti Facebook. Secondo l’AGCM, invece, l’ambito applicativo del GDPR non può essere così assoluto da escludere tout court ogni altra disciplina^[3].

La complementarità tra Gdpr e protezione dei consumatori

In seguito, il tribunale amministrativo regionale del Lazio si esprimeva, in proposito, con sentenza n. 260/2020, affermando che “le potenzialità insite nello sfruttamento dei dati personali possono costituire un asset disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di controprestazione in senso tecnico di un contratto”, nell’ottica della patrimonializzazione del dato personale^[4]. Nella sentenza, il TAR ha aggiunto una considerazione fondamentale: ossia che “non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del GDPR e quelle in materia di protezione del consumatore”, in quanto le stesse si pongono in relazione di complementarità. Si constata, quindi, come la disciplina sulla protezione dei dati personali e la disciplina consumeristica siano senz’altro differenti ma, in casi come quello in esame, necessitino di adeguato contemperamento.

Da tale analisi, si evince come l’intento del legislatore europeo sia non già quello di creare un meccanismo di protezione dei diritti frammentato e a sé stante, ma al contrario quello di assicurare una tutela multilivello. Ciò richiede, tuttavia, una corretta perimetrazione e suddivisione delle competenze dell’AGCM (o di altre autorità in base alle diverse fattispecie) e dell’Autorità Garante per la protezione dei dati personali le quali, in circostanze come quelle oggetto di trattazione, rischierebbero di sovrapporsi, anche in termini sanzionatori.

La tutela dei dati personali nel metaverso

Merita, inoltre, particolare attenzione la questione della tutela dei dati personali nel metaverso, ossia lo spazio virtuale che implica, per sua natura, la raccolta e l’analisi di innumerevoli quantità di dati, soprattutto di dati biometrici (si pensi all’analisi dei movimenti degli occhi, delle espressioni facciali, della gestualità che attuano e attueranno simili tecnologie). È interessante chiedersi fino a che punto si spingerà il trattamento dei dati personali nel campo di questa tanto innovativa quanto temibile realtà virtuale e quali saranno i meccanismi preposti per la tutela del diritto fondamentale alla privacy e degli altri diritti coinvolti. In generale, è ormai appurato che l’avanzamento tecnologico costituisca terreno fertile per la creazione di nuove normative, le quali determinano l’esigenza di bilanciare la protezione dei dati personali con diversi diritti e garantire l’armonizzazione nel ricorso ai relativi strumenti di tutela.

Applicazione del GDPR e delle nuove normative europee: rischio per il principio del ne bis in idem?

L’Unione europea, nell’ambito della Strategia europea in materia di dati, ha lanciato una serie di iniziative legislative volte a tutelare adeguatamente i dati personali in un mondo sempre più digitalizzato e per rendere l’Ue leader di una società data driven. Alcuni esempi di tali nuove normative sono il Digital Services Act (DSA), il Digital Markets Act (DMA), il Data Governance Act (DGA) e il Data Act (DA)^[5].

In proposito, bisogna considerare che talune previsioni delle succitate normative si fondano sui principi del GDPR, pertanto la violazione di una o più disposizioni delle stesse potrebbe comportare anche una violazione del GDPR stesso^[6]. Ad esempio, il DSA stabilisce il divieto di pubblicità mirata, nelle piattaforme digitali, attuata attraverso il trattamento di categorie particolari di dati, disciplinati all’art. 9 del GDPR. Se ciò accadesse si assisterebbe non solo a una violazione del DSA, ma anche del GDPR nel caso in cui tale trattamento avvenisse in assenza di idonea base giuridica^[7]. Da ciò si evince che una medesima condotta potrebbe comportare la violazione di due o più disposizioni facenti capo a differenti normative.

Strategia Ue sui dati: il problema del “doppio giudicato” nel DMA e altri dubbi sul pacchetto

Il problema si pone dal momento che il GDPR dispone delle autorità di controllo nazionali per il monitoraggio e la corretta applicazione dello stesso, mentre le nuove normative affidano tali compiti a organizzazioni diverse dalle autorità di controllo, le quali si differenziano anche tra loro stesse^[8]. Pertanto, la duttilità del diritto alla protezione dei dati personali potrebbe generare una situazione tale per cui una medesima condotta comporti la violazione sia del GDPR che del Digital Markets Act quando, ad esempio, delle piattaforme di grandi dimensioni (qualificate come gatekeepers) effettuano un’analisi incrociata dei dati personali ricavati dai propri database^[9]. In questo caso, si aprirebbero due procedimenti separati dinanzi a due distinte autorità: l’autorità di controllo nazionale competente (per violazione del GDPR) e la Commissione europea (per violazione del DMA)^[10], con possibile irrogazione di due sanzioni differenti. Tale circostanza rappresenterebbe una minaccia per il principio del ne bis in idem^[11], statuito dall’articolo 50 della Carta dei diritti fondamentali dell’Unione europea (Carta di Nizza), secondo cui “nessuno può essere perseguito o condannato per un reato per il quale è già stato assolto o condannato nell’Unione a seguito di una sentenza penale definitiva conformemente alla legge”^[12].

Conclusioni

Attualmente, la questione della violazione del principio del ne bis in idem in questo contesto assume una rilevanza esclusivamente teorica, dal momento che le sopracitate normative facenti parte della Strategia europea in materia di dati non sono ancora efficaci. Tuttavia, il tema dell’esigenza di contemperamento del diritto alla privacy con altri diritti è concreto, pertanto si rende necessario considerare i pericoli che una scorretta perimetrazione dei ruoli e delle competenze potrebbe comportare, nell’immediato futuro, per i diritti e le libertà dei soggetti coinvolti e, di conseguenza, agire per predisporre degli efficaci meccanismi di prevenzione.

Note

1. Tale provvedimento è stato, in seguito, impugnato da Facebook tramite ricorso al TAR Lazio, il quale ha parzialmente accolto le doglianze di Facebook con sentenza n. 260/2020, non qualificando come aggressiva la seconda pratica commerciale, non oggetto di approfondimento in questa sede. ↑
2. Nel provvedimento, AGCM ha osservato come “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.”. ↑
3. Ariella Fonsi, Commercio dei dati e tutela del consumatore: il Consiglio di Stato rigetta il ricorso di Facebook su una sanzione dell’AGCM, in MediaLaws – Riv. Dir. Media, 20 aprile 2021 (disponibile al seguente link) ↑
4. Nella pronuncia sopracitata, il TAR ricorda che già negli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016, la Commissione Europea aveva affermato che “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto”. ↑
5. Il Data Act è ancora nella forma di Proposta di Regolamento. ↑
6. Jetty Tielemans, Sanctions under EU GDPR and recent data regulations: A case of double jeopardy?, in sito ufficiale IAPP, 11 luglio 2022 (disponibile al seguente link) ↑
7. Ibidem ↑
8. Ad esempio, il DSA richiede che ogni Stato membro nomini un Digital Services Coordinator, autorità indipendente con compiti di monitoraggio; mentre il DMA prevede che la governance sia affidata alla Commissione europea nei soli casi in cui siano coinvolte le piattaforme di grandi dimensioni (gatekeepers). ↑
9. Jetty Tielemans, Sanctions under EU GDPR and recent data regulations: A case of double jeopardy?, in sito ufficiale IAPP, 11 luglio 2022 (disponibile al seguente link) ↑
10. Si ricorda che il DMA attribuisce funzioni di vigilanza alla Commissione europea per l’adempimento degli obblighi da parte dei soli gatekeepers (piattaforme di grandi dimensioni) e non anche delle piattaforme di piccole o medie dimensioni. ↑
11. O principio del double jeopardy ex comma 2 del V emendamento della Costituzione americana. ↑
12. Principio che, per estensione dettata dalla giurisprudenza, si può applicare anche ad ambiti diversi dal penale. ↑