Questioni aperte sulla commerciabilità dei dati
Il testo legislativo introduce nel Codice del consumo un nuovo Capo, contenente gli articoli da 135- octies a 135-vicies ter, volto a disciplinare taluni aspetti dei contratti di fornitura di contenuto digitale o di servizi digitali conclusi tra consumatore e professionista.
Recentemente il Consiglio dei Ministri del 29 ottobre 2021 ha approvato in via definitiva il decreto legislativo attuativo della direttiva UE 2019/770 in merito ai contratti di fornitura di contenuti digitali e di servizi digitali.
Il testo legislativo introduce nel Codice del consumo un nuovo Capo, contenente gli articoli da 135- octies a 135-vicies ter, volto a disciplinare taluni aspetti dei contratti di fornitura di contenuto digitale o di servizi digitali conclusi tra consumatore e professionista.
La citata novella ha fornito nuovi spunti e argomentazioni per riflettere sul tema della "commerciabilità" dei dati da parte dei soggetti direttamente interessati. Non v'è dubbio, infatti, che quotidianamente si possa disquisire del fatto che i dati siano oggetto di lecito o illecito scambio.
Invero, lo stesso GDPR non si preoccupa di bloccare questo flusso ma solo di governare ordinatamente il trattamento dei dati (appunto il "data processing").
Quel che, sinora, non veniva generalmente accolto come corollario di questo "mercato dei dati" era il fatto che il soggetto interessato potesse intervenire nel "sinallagma contrattuale" dei suoi dati personali.
Così si spiegano i continui avvertimenti dell'European Data Protection Board e dell'European Data Protection Supervisor (nelle linee guida 2 del 2019 EDPB ovvero nella Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance ovvero ancora nella dichiarazione contenuta nello Statement 05/2021 on the Data Governance Act in light of the legislative developments) secondo cui i dati personali non possono essere considerati come merce scambiabile.
All'uopo, dunque, possono distinguersi diversi approcci alla tematica:
i) chi nega ogni tipo di commercio dei dati; ii) chi adotta la soluzione mediana di un mercato calmierato;
iii) o chi, ancora, intende liberalizzare ogni tipo remunerazione dei dati.
La prima schiera di pensiero desume la non commerciabilità (almeno secondo la tradizione giuridica nazionale) come precipitato dell'inalienabilità di un diritto della personalità qual è la riservatezza, facente parte del gruppo di diritti connaturati al singolo individuo che con lui nascono e muoiono (GAZZONI, Manuale di diritto privato, Napoli, XIX, ed. 2019, pagg. 197 e 198).Sul punto dovrebbe, però, distinguersi tra riservatezza e trattamento dei dati per comprendere come il concetto stesso di diritto "innato" della personalità debba essere rimodulato al nuovo scenario tecnologico.
Quel che saggiamente osserva la citata dottrina è che il soggetto interessato non è proprietario della sua riservatezza ma è titolare del diritto a "gestirla" al meglio.
Del resto, così, secondo il secondo filone interpretativo, si spiegherebbero le note pronunce della giustizia amministrativa sulla pratica ingannevole a scapito del consumatore che sia ignaro del commercio dei suoi dati personali (cfr. Consiglio di Stato n. 2631/2021 a conferma della sentenza del Tar Lazio Roma n. 260/2020).
Qui, allora, interviene la questione se il dato personale, posto all'asta della commercializzazione, possa essere sussunto ai concetti di bene e cosa (art. 810 c.c.) ovviamente oggetto della suscettibilità economica dell'obbligazione, a contenuto patrimoniale o non (art. 1174 c.c.).
Incidentalmente, infatti, l'accennata riforma del codice del consumo, al nuovo articolo 135-octies, oltre a recare le definizioni della sub-riforma, definisce l'ambito di applicazione delle nuove disposizioni, nel quale rientrano:
-sia i contratti in cui il professionista fornisca un contenuto o servizio digitale verso il corrispettivo di un prezzo corrisposto dal consumatore;
-sia quelli in cui il consumatore, al posto del prezzo, fornisca al professionista dati personali (comma IV).
In particolare, il citato comma, nel prevedere lo scambio dei dati personali come corrispettivo, sagacemente evita di qualificare economicamente il dato con un prezzo determinato (art. 1474 c.c.) visto che si tratterebbe di una permuta "atipica" il cui contenuto patrimoniale del prezzo potrebbe essere pretermesso (art. 1555 c.c.).
Del resto si dovrebbe supporre che al dato personale non si potrebbe dare un preciso valore economico (ciò, infatti, cambierebbe da persona a persona e da contenuto venduto e fornito nello specifico) a discapito della determinatezza del prezzo (per un'indagine più approfondita cfr. Panetta Roberto, Essenzialità e determinazione del prezzo).
In disparte quanto descritto all'articolo 135-novies sulla esclusione dell'applicabilità dell'art. 135-octies, sembra che l'innesto normativo in commento abbia preferito focalizzarsi (in caso di cessione consensuale del dato personale) sul contenuto della fornitura digitale piuttosto che sulla qualità del dato stesso.
Ad esempio, non è possibile scambiare i dati personali per quei "servizi di servizi di assistenza sanitaria, per i servizi prestati da professionisti sanitari a pazienti, al fine di valutare, mantenere o ristabilire il loro stato di salute, ivi compresa la prescrizione, la somministrazione e la fornitura di medicinali e dispositivi medici, sia essa fornita o meno attraverso le strutture di assistenza sanitaria" (comma 2, lett c, 135-novies) ma sembrerebbe possibile, in ipotesi, scambiare dati particolari (sensibili) con il "consenso" dell'interessato/consumatore visto che il decreto legislativo in parola fa sempre salve le disposizioni del GDPR (e tra queste quanto contenuto all'art. 9, comma 2, lett. a).
Sul punto, deve essere osservato che in questa duplice veste dell'interessato/consumatore, il professionista dovrebbe fornire più informative (rectius informazioni) sia nella veste di interessato (facendo riferimento agli artt. 13 e 14 GDPR) sia come consumatore (secondo il codice del consumo, decreto legislativo 6 settembre 2005, n. 206) ma soprattutto dovrebbe acquisire più consensi: al trattamento dei dati e allo scambio dei dati.Da qui l'ovvia considerazione che ad essere informato non è il consenso ma la persona che lo presta (interessato o consumatore che sia).
In una recente sentenza (Corte di Cassazione, sez. I Civile, sentenza 11 maggio – 2 luglio 2018, n. 17278) la Suprema Corte ha osservato che è necessario distinguere il consenso richiesto a fini negoziali (ossia il consenso prestato da un soggetto capace di intendere e volere e non viziato da errore, violenza o dolo, ovvero, in determinati frangenti, da pericolo o da bisogno: consenso, quello così previsto, che pur sussiste quantunque perturbato, al di sotto di una determinata soglia, in ragione dei vizi indicati, secondo quanto risulta dagli articoli 1428, 1435 e 1439 c.c.) dal consenso "rafforzato" al trattamento dei dati personali a "tutela contro possibili tecniche commerciali aggressive o suggestive….[avverso] i rischi per la persona posti dal trattamento in massa dei dati personali, così come reso possibile dall'evoluzione tecnologica".
Entrambi i consensi andrebbero, perciò, tenuti distinti per evitare il rischio che l'uno possa diventare "grimaldello" dell'altro visto che "il consenso in discorso [al trattamento dei dati], alla luce del dato normativo, è tale da non ammettere compressioni di alcun genere e non sopporta di essere sia pure marginalmente perturbato non solo per effetto di errore, violenza o dolo, ma anche per effetto de l'intero ventaglio di possibili disorientamenti, stratagemmi, opacità, sotterfugi, slealtà, doppiezze o malizie comunque adottate dal titolare del trattamento." (Cass. cit.).
Sul punto non si può sottacere che la stessa direttiva 2019/770 del 20 maggio 2019 aveva lasciata intatta la possibilità degli Stati Membri di prevedere forme di tutela e nullità specifiche proprio in rapporto alla disciplina sul trattamento dati.
Infatti, il considerando 38 della citata direttiva spiega che "quando il trattamento dei dati personali si basa su un consenso, segnatamente a norma dell'articolo 6, paragrafo 1, lettera a), del regolamento (UE) 2016/679, si applicano le disposizioni specifiche di tale regolamento, comprese quelle relative alle condizioni per valutare se il consenso sia stato o meno liberamente prestato. La presente direttiva non dovrebbe disciplinare la validità del consenso prestato" ma se da un lato non si ci si dovrebbe occupare del consenso al trattamento dati, dall'altro, la stessa direttiva si dovrebbe occupare del "consenso negoziale".
Il legislatore nazionale ben avrebbe dovuto meglio disciplinare queste evenienze (con maggiore incisività delle nullità di protezione previste all'art. 135-vicies bis) per come suggerito dalla stessa direttiva (cfr. considerando 24, ultimo periodo, e 48 e ss. e art. 3, § 10).
Ancora, immaginiamo che il contratto sui servizi digitali debba sopravvivere alla revoca sul consenso al trattamento dei dati personali ovvero venga risolto (cfr. considerando 69 direttiva cit.); è, giocoforza, evidente la difficoltà con cui il professionista dovrebbe (cfr. art. 16, § 2 direttiva cit.) provvedere alla cancellazione degli stessi con conseguente applicazione dell'art. 19 del GDPR che prevede la dispensa dall'obbligo di rettifica o cancellazione dei dati laddove ciò si rilevi impossibile o implichi uno sforzo sproporzionato.
Sull'argomento si può offrire a mo' di esempio quello che alcune multinazionali, consce del problema appena accennato, avevano tentato di inserire nelle proprie proposte contrattuali inviate ai relativi consumatori. Esse, infatti, avevano inserito alcune clausole (poi ritenute vessatorie) sulla scorta delle quali venivano esonerate dalla responsabilità per perdita dei dati o alterazioni degli stessi (CV194 - Provvedimento AGCM n. 29817 Google Drive; CV195 - Provvedimento AGCM n. 29818 DropBox; CV196 - Provvedimento AGCM n. 29819 ICloud Apple; pubblicati sul bollettino ufficiale del 27 settembre 2021).
Ebbene, la tematica sulla commerciabilità dei dati personali dovrebbe, perciò, essere motivo di più attento e approfondito esame considerato che la stratificazione della normativa, della prassi e e della giurisprudenza non consente di chiarire il corretto approccio ad un problema così delicato.
Invero e da ultimo, si dovrebbe disquisire più di "irreversibilità del consenso" che di altro: una volta che il dato fuoriesce dalla sfera personale e intima dell'interessato, difficilmente si potrà ristabilire lo status quo ante con certezza assoluta, con buona pace di divieti e tutele del caso.
*a cura dell'avv. Valentino Vescio di Martirano
