Data Exchange: il valore dei dati personali nei contratti di servizi digitali e nell'intelligenza artificiale
Il tema del valore, anche economico, dei dati personali, è di crescente interesse nel dibattito internazionale
Infatti, a seguito del rapidissimo sviluppo tecnologico, un numero sempre maggiore di piattaforme online e di sistemi di intelligenza artificiale hanno necessità di elaborare enormi quantità di dati; ciò viene attuato dai provider mediante un modello di scambio per cui al consumatore può non essere richiesto di versare un corrispettivo monetario ma soltanto di fornire i propri dati personali per la fruizione di un determinato servizio digitale.
Nel nostro ordinamento tale prassi ha trovato una prima codifica mediante l'introduzione dell'art. 135 octies comma 4 del Codice del Consumo (D.Lgs. 205/2005) operata dal D.Lgs. 4 novembre 2021, n. 173 in recepimento della Direttiva (EU) 2019/770 secondo cui: "il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista": in tali tipologie contrattuali sono annoverati, ad esempio:
- contratti in cui il consumatore carica dati personali utilizzando il contenuto digitale o il servizio digitale,
- contratti che prevedono la creazione di un account sui social media mediante utilizzo di dati personali (quali il nome e l'indirizzo email) per scopi diversi dalla mera fornitura di contenuti digitali o servizi digitali e
- contratti che prevedono la facoltà di utilizzo da parte dell'operatore economico anche a fini commerciali di materiale caricato dal consumatore recante dati personali, come fotografie o post.
In tali contratti i dati personali possono essere forniti dall'utente-consumatore al momento della conclusione del contratto o successivamente.
Questi contratti sono stati oggetto di nuova attenzione da parte del legislatore alla luce delle recenti modifiche al Codice del Consumo apportate del D.Ls. 26/2003 di recepimento della Direttiva Omnibus (Direttiva (EU) 2019/2161).
Infatti, nei contratti digitali in cui la fornitura di dati personali costituisce controprestazione, la tutela del consumatore è stata rafforzata a cura della Direttiva Omnibus mediante estensione dell'applicazione di disposizioni già previste in materia di obblighi informativi, diritto di recesso, obblighi di consegna e mezzi di pagamento presenti in altre fattispecie contrattuali e mediante ripetuti richiami alla normativa unionale e nazionale in materia di protezione dei dati personali.
Significativa novità, nel novellato Codice del Consumo, è costituita dal monito rivolto ai professionisti di "rispetto degli obblighi applicabili a norma del GDPR nel trattamento dei dati personali del consumatore" anche in relazione al diritto di recesso eventualmente esercitato dal consumatore: tale monito, già previsto ai fini della validità stessa del contratto e, più in generale, della non ingannevolezza di una pratica commerciale, si riferisce alla messa a disposizione al consumatore, anche a seguito di recesso, di canali effettivi per l'esercizio del diritto alla cancellazione dei propri dati personali, del diritto di opposizione al trattamento di dati personali e della revoca del consenso.
Il legislatore evidenza così la necessità di avere grande prudenza nella gestione dei dati personali, in particolare quando tale utilizzo integra controprestazione contrattuale in luogo del corrispettivo; del resto, il GDPR, per cui la protezione dei dati personali è un diritto fondamentale, non contempla il tema della "proprietà" del dato personale come fonte di utilità e di (possibile) sfruttamento economico.
I provider affermano, dal canto loro, che un dato personale assume valore economico soltanto quando "raffinato", cioè elaborato da algoritmi e sistemi informatici, e che, senza utilizzo dei dati personali, diversi servizi di contenuti digitali e di intelligenza artificiale non potrebbero essere offerti.
Come preservare il valore del dato personale quale diritto fondamentale dell'uomo in considerazione del suo possibile impiego come merce di scambio?
La soluzione pratica può essere offerta dalla concreta ed effettiva applicazione, da parte di tutti i provider, del principio di "privacy by design", non soltanto nel processo informativo verso gli utenti ma anche nello sviluppo e nell'applicazione di tecnologie idonee alla tracciabilità dei flussi di dati personali e, in definitiva, nell'adozione di processi e modelli organizzativi che riconoscano il valore umano dei dati personali.
*a cura dell' Avv. Giovanna Boschetti, Of Counsel, Studio CBA