L’era digitale sta ridefinendo ciò che consideriamo prezioso: senza (troppo) esagerare, possiamo affermare che oggi i dati personali hanno superato oro e moneta nel loro valore. Al centro di questa rivoluzione c’è un fenomeno in espansione: dare il consenso all’utilizzo dei propri dati è diventato il biglietto d’ingresso per il mondo dei servizi online gratuiti. In questo articolo affrontiamo il meccanismo dello scambio dei dati personali, una tendenza che si sta affermando rapidamente come norma nel commercio digitale.
È sempre più diffusa la pratica per cui il consenso al trattamento dei dati personali è richiesto come condizione per accedere a beni digitali o servizi. Questo modello economico è evidente in servizi come motori di ricerca (es. Google), social network (es. Facebook, TikTok, Instagram) e piattaforme di messaggistica istantanea (es. WhatsApp). Gli utenti devono accettare termini e condizioni che includono il consenso al trattamento dei loro dati personali anche per scopi non essenziali al servizio, come la profilazione per fini pubblicitari.
Ne deriva, pertanto, che sebbene il servizio appaia come gratuito, in realtà l’utente paga con i propri dati, i quali a propria volta possono essere venduti da parte del provider di servizi a soggetti terzi.
Questo tipo di accordo presenta complesse problematiche legate alla legalità e all’ammissibilità degli “scambi” di dati personali in cambio di beni e/o servizi. Criticità rilevate altresì dal Garante per la protezione dei dati personali che ha esaminato l’iniziativa di diverse testate giornalistiche online e siti web che hanno messo in atto iniziative volte a condizionare l’accesso ai contenuti alla sottoscrizione di un abbonamento (c.d. pay wall) o, in alternativa, al rilascio del consenso da parte degli utenti all’installazione di cookie o altri strumenti di tracciamento dei dati personali (c.d. cookie wall).
Diritto alla riservatezza come diritto della personalità
Per poter comprendere le criticità derivanti dal fenomeno della commercializzazione dei dati si consideri che il diritto alla riservatezza – così come quello all’integrità fisica, al nome, all’immagine – rientra nel cluster dei diritti della personalità che, per loro natura, sono tradizionalmente considerati di carattere non patrimoniale, intrasmissibili (sia per atti tra vivi che per causa di morte), nonché imprescrittibili, con la conseguenza che oltre ad avere carattere rigorosamente non patrimoniale, non sono suscettibili di trasferimento tramite contratto. Difatti, per legge il contratto può avere ad oggetto solo ed esclusivamente rapporti di carattere patrimoniale (cfr. Articolo 1321 c.c.), derivandone pertanto l’incommerciabilità di diritti che hanno carattere non patrimoniale.
In materia di diritti di carattere non patrimoniale possono, tuttavia, operare differenti strumenti di autonomia, come – ad esempio – il consenso dell’avente diritto (cfr. Articolo 50 c.p.), che costituisce atto unilaterale idoneo a rendere lecite ingerenze nella sfera privata dell’individuo che sarebbero altrimenti considerate illecite (e.g. il consenso alla pubblicazione della propria immagine (cfr. Articolo 10 c.c. e Articolo 96 LDA, o ancora il consenso al trattamento sanitario, il consenso al trattamento dei dati personali).
Tenendo conto della natura inalienabile dei diritti della personalità, il consenso al trattamento dei dati personali assume un ruolo puramente autorizzativo, piuttosto che negoziale, poiché questi diritti non possono essere oggetto di commercio e non si possono trasferire tramite contratto. Quanto esposto, tuttavia, trova delle eccezioni nel nostro ordinamento quali, ad esempio, il diritto morale d’autore al quale è possibile accompagnare un diritto allo sfruttamento economico dell’immagine ed anche degli attributi della personalità. Appare, dunque, necessario chiedersi se – per analogia – sia possibile un analogo meccanismo con riferimento ai dati personali, ovvero se accanto al diritto alla riservatezza indisponibile sia possibile (salvo sempre il consenso dell’avente diritto) affiancare un diritto patrimoniale allo sfruttamento dei dati personali, idoneo ad essere commercializzato e scambiato.
Se fosse possibile, ciò implicherebbe che i dati personali sono ora suscettibili di essere commercializzati, consentendo quindi il loro sfruttamento economico senza il necessario consenso dell’individuo interessato.
Tuttavia, occorre considerare sia il GDPR, che garantisce il diritto di revocare il consenso al trattamento dei dati, sia la normativa sui contratti dei consumatori, che si applica certamente ai contratti in questione, essendo a titolo oneroso.
Dati personali come beni
Riflettendo sull’eventuale natura patrimoniale dei dati personali, ci si potrebbe interrogare se possano qualificarsi come beni, secondo la definizione dell’Articolo 810 c.c., che identifica come beni le cose che e cose suscettibili di formare oggetto di diritti. Sulla base di quanto sopra esposto, se dunque è configurabile un diritto di natura patrimoniale allo sfruttamento economico dei dati personali, ne consegue che tali dati possono sicuramente essere considerati alla stregua di beni.
Si potrebbe, dunque, assimilare la commercializzazione dei dati personali alla commercializzazione del diritto patrimoniale d’autore, o ancora, allo sfruttamento economico dell’immagine: bisogna però notare che, in questo contesto, il “corrispettivo” per l’accesso a servizi o beni digitali non è monetario, ma consiste nel consenso al trattamento dei dati personali, che diventa la controprestazione per l’erogazione dei servizi digitali o per la fornitura dei beni digitali.
Commerciabilità dei dati personali e consenso ai sensi del GDPR
Un primo ordine di difficoltà sorge con riferimento al consenso al trattamento dei dati personali. Da un lato, il GDPR subordina, difatti, il trattamento dei dati personali al consenso dell’avente diritto (cfr. Articolo 6, comma 1°, lett. a, GDPR), subordinandolo a determinate condizioni (cfr. Articolo 7 GDPR), dall’altro, il consenso è altresì un elemento essenziale anche del contratto (cfr. Articolo 1325 c.c.). Ne derivano, dunque, due possibili scenari:
- considerare che il GDPR e il contratto agiscano su piani separati implica che, in ogni caso, il presupposto fondamentale del contratto sia il consenso al trattamento dei dati personali. Ciò porta alla possibilità di due consensi distinti: uno relativo al trattamento dei dati e uno relativo al sinallagma contrattuale. Ognuno di essi sarà soggetto alle proprie normative riguardanti i presupposti e la validità. In tal caso, tuttavia, la revoca del consenso al trattamento dei dati personali sarebbe idonea a travolgere ex nunc il contratto in virtù del principio “simul stabunt, simul cadent”;
- ritenere che il GDPR ed il relativo contratto siano fondati su un unico atto, basato sia sulla disciplina di cui al regolamento per la protezione dei dati personali, sia sulla disciplina del contratto in generale.
Quanto sopra esposto, comporta, tuttavia, la necessità di osservare molteplici aspetti relativi al rapporto tra interessati-consumatori e commerciabilità dei loro dati personali ed in particolare:
- la necessità di coordinare la disciplina del contratto (nello specifico, le previsioni particolari in materia di diritti del consumatore) con il consenso al trattamento dei dati personali di cui al GDPR, che – come noto – subordina la possibilità di trattamento dei dati personali al consenso dell’avente diritto (cfr. Articolo 6, comma 1, lett. A), GDPR);
- il tema della capacità di agire, poiché il codice civile stabilisce che questa si acquisisce al compimento del diciottesimo anno di età (cfr. Articolo 2, comma 1, c.c.), mentre ai sensi dell’Articolo 8 GDPR il consenso al trattamento dei dati può essere fornito a partire dai sedici anni; salvo che i Legislatori nazionali fissino un’età minore (In Italia tale limite è stato portato a 14 anni), purchè non inferiore a 13 anni;
- nonostante spesso si ritenga trattarsi di servizi gratuiti, si tratta generalmente di contratti a titolo oneroso, connotati da uni scambio reciproco di prestazioni: pertanto, oltre alle norme del GDPR, si applicano anche le previsioni che regolano i contratti dei consumatori; con la conseguenza che le clausole che creano un disequilibrio sostanziale tra i diritti e gli obblighi a svantaggio del consumatore possono essere dichiarate nulle;
- la possibilità per l’interessato di revocare il consenso al trattamento in qualsiasi momento, cui segue (a) il venir meno della prestazione ad opera dell’interessato, e (b) il possibile scioglimento del vincolo contrattuale.
È essenziale che l’Autorità Garante per la Protezione dei Dati Personali intervenga con direttive chiare riguardo alla vendita dei dati personali. Il panorama attuale presenta sfide importanti come garantire la privacy, assicurare che il consenso sia basato su informazioni complete e migliorare la trasparenza nei processi di scambio dei dati: per bilanciare il progresso economico con la protezione dei diritti delle persone, è necessario un impegno comune e l’adozione di una regolamentazione adeguata.