DATA PROTECTION

Monetizzazione dei dati personali: perché serve il riconoscimento come strumento di scambio

Si torna a parlare di monetizzazione dei dati ora che il Consiglio dei Ministri ha approvato lo schema di decreto legislativo di recepimento della Direttiva 2019/770/UE: da nessuna parte, però, c’è scritto che i dati possono essere strumento di pagamento. Ecco alcune osservazioni anche alla luce degli articoli di nuova introduzione nel Codice di consumo

16 Nov 2021
P
Maria Roberta Perugini

MRPerugini Studio Legale - Avvocato, esperta di privacy e diritto delle nuove tecnologie - Co-founder IUSinTECH

Lo scorso 28 ottobre il Consiglio dei Ministri ha approvato lo schema di decreto legislativo di recepimento della Direttiva 2019/770/UE relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali[1]: da una prima lettura è quindi possibile ricavare qualche impressione “a caldo” sul tema molto rilevante della monetizzazione dei dati.

Monetizzazione dei dati: prime osservazioni

La prima osservazione è che, malgrado i titoli sensazionalistici della stampa, da nessuna parte è scritto chiaro e tondo che i dati possono essere strumento di pagamento, né come tale uso dei dati personali si debba regolare, coordinando la normativa civilistica sul contratto e quella a protezione dei dati personali. C’è scritto invece questo (il riferimento è agli articoli di nuova introduzione nel Codice del Consumo):

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Art. 135-octies

(Ambito di applicazione e definizioni)

2. g) prezzo: la somma di denaro o una rappresentazione digitale del valore dovuto come corrispettivo per la fornitura di contenuto digitale o di servizio digitale; (…)

3. Le disposizioni del presente capo si applicano a qualsiasi contratto in cui il professionista fornisce, o si obbliga a fornire, un contenuto digitale o un servizio digitale al consumatore e il consumatore corrisponde un prezzo o si obbliga a corrispondere un prezzo.

4 Le disposizioni del presente capo si applicano altresì nel caso in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.

È innegabile che siamo di fronte a un importante riconoscimento di principio: le disposizioni introdotte si riferiscono a contratti a prestazioni corrispettive (comma 3: “si applicano a qualsiasi contratto in cui il professionista fornisce, o si obbliga a fornire, un contenuto digitale o un servizio digitale al consumatore e il consumatore corrisponde un prezzo o si obbliga a corrispondere un prezzo”) e a contratti “in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista” (comma 4).

Purtroppo, però, non è esplicitato che la dazione dei dati personali abbia natura di controprestazione: certamente questa sensazione aleggia, ed è rafforzata dall’uso della medesima struttura e wording nei due commi 3 e 4, ma ci si chiede perché non sia stato affermato con decisione e chiarezza, soprattutto in considerazione dell’importanza della qualificazione del contratto come a titolo oneroso o gratuito nel contesto del diritto dei consumatori.

E inoltre ci si chiede perché allora non si sia ritenuto opportuno affrontare il tema – tutt’altro che banale – del coordinamento puntuale tra la disciplina del contratto e quella della protezione dei dati personali.

Ciò non ha impedito comunque al Servizio Studi del Senato di affermare serenamente (e sbrigativamente) – nel Dossier n. 435, dell’8 settembre scorso – che “In sintesi, il Capo I-bis si applica anche quando il corrispettivo è la cessione dei dati dal consumatore al professionista.” (pag. 2).

Questa scelta causa una molteplicità di dubbi e ambiguità; innanzitutto, su quali siano le basi giuridiche dei trattamenti dei dati personali forniti quale prestazione corrispettiva al fornitore del servizio; si tratta infatti di regolamentare i trattamenti facenti capo a due finalità distinte: la raccolta e il successivo utilizzo.

La norma esclude chiaramente l’applicazione delle nuove disposizioni in caso di dati forniti per essere trattati “esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti”.

Questa specificazione mi pare implichi che, nel nuovo contesto delineato, il contenuto del contratto in cui “il consumatore fornisce o si obbliga a fornire dati personali al professionista” non sia integrato dalla dazione in sé dei dati ma bensì dalla relativa dazione per una certa finalità di trattamento da parte del professionista; finalità che peraltro deve essere estranea (“per scopi diversi da quelli previsti”) a quelle strumentali alla fornitura del servizio/contenuto e a obblighi legali del professionista.

Monetizzazione dei dati e leggi a loro tutela

Inoltre, va sottolineato che le nuove norme sottolineano ripetutamente la prevalenza delle leggi a tutela dei dati personali.

Dunque:

  1. oggetto del contratto è la dazione dei dati ma anche il successivo trattamento dei dati del consumatore/interessato da parte del fornitore del servizio / contenuto;
  2. tale successivo trattamento ha finalità diverse da quelle strumentali all’adempimento da parte del professionista della propria obbligazione principale (fornire il servizio/contenuto digitale);
  3. la normativa in materia di protezione dei dati personali – richiamata quale prevalente dalle nuove norme – richiede che il trattamento si fondi sempre su una delle sei basi giuridiche elencate tassativamente dall’art. 6 GDPR.

Alla luce di questo, la base giuridica va individuata, e precisata – così come la specifica finalità di trattamento dei dati forniti dal consumatore / interessato – nell’informativa, che pure deve essere data.

Questa base giuridica potrebbe essere il consenso?[2]

Inutile ricordare che l’uso del consenso in abbinamento alla conclusione di un contratto è problematico e sempre scoraggiato, dall’impianto normativo come da WP29 e EDPB, per la facilità con cui in questi contesti viene inficiata la libertà, che del consenso è qualità sostanziale[3].

Dobbiamo però chiederci quale sia la ratio di questo approccio e se sia rilevabile anche nel caso rappresentato dalla nuova fattispecie normativa.

Soccorre in questo senso l’EDPB che, nelle Linee guida 5/2020, parr. 26 s., precisa che: “L’articolo 7, paragrafo 4, mira a garantire che la finalità del trattamento dei dati personali non sia mascherata né accorpata all’esecuzione di un contratto o alla prestazione di un servizio per il quale i dati personali non sono necessari. In tal modo, il regolamento assicura che il trattamento dei dati personali per cui viene richiesto il consenso non possa trasformarsi direttamente o indirettamente in una controprestazione contrattuale” e che “L’obbligo di acconsentire all’uso di dati personali aggiuntivi rispetto a quelli strettamente necessari limita la scelta dell’interessato e ostacola l’espressione del libero consenso. Poiché la legislazione in materia di protezione dei dati mira a tutelare i diritti fondamentali, è essenziale che l’interessato abbia il controllo sui propri dati personali; inoltre sussiste una presunzione forte secondo cui il consenso a un trattamento di dati personali non necessario non può essere considerato un corrispettivo obbligatorio dell’esecuzione di un contratto o della prestazione di un servizio.”.

Ma a ben vedere la norma del comma 4 dell’art. 135-octies rappresenta la fattispecie rilevante disegnando un rapporto perfettamente speculare “in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista”; ossia – come detto –, un rapporto in cui il trattamento dei dati del consumatore/interessato (dazione qualificata dalla destinazione ad un determinato trattamento) costituisce prestazione contrattuale (e quindi controprestazione, visto nell’ottica del fornitore del servizio/contenuto).

Questo schema è dunque quello di un contratto – consensuale (con scambio delle volontà delle parti) e sinallagmatico (cioè con scambio di prestazioni) – per lo sfruttamento economico (utilizzo) dei dati personali del consumatore/interessato.

L’atto di disposizione con cui il consumatore scambia (o si impegna a scambiare) l’uso dei suoi dati personali contro il godimento di un servizio o contenuto digitale ha come pre-condizione non un atto di cessione del proprio diritto personalissimo alla tutela dei dati personali, ma un atto di esercizio di tale diritto: una manifestazione attiva di volontà con cui il consumatore / interessato dispone di diritti (a contenuto patrimoniale) di sfruttamento di suoi dati personali.

Il controllo dell’interessato sui propri dati personali

In quest’ottica, il controllo dell’interessato sui propri dati personali (raccomandato dall’EDPB) non solo non è messo in pericolo ma addirittura è esaltato dal fatto di essere rappresentato in una visuale di gestione attiva, come potere di disposizione, invece che semplicemente o prevalentemente difensiva.

Non mi pare dunque che in questo caso possa rinvenirsi la ratio che giustifica il tradizionale disfavore per l’uso del consenso in abbinamento alla conclusione di un contratto.

Dal punto di vista diritto dei contratti, mi pare che in un siffatto rapporto la prestazione principale del consumatore / interessato sia (oltre ovviamente a fornire i dati pattuiti) non tanto un obbligo di consentire all’uso di tali dati (il consenso quale controprestazione, nell’ottica delle Linee guida 5/2020), quanto un obbligo di non ostacolare l’utilizzo dei dati così come regolato a termini del contratto liberamente concluso (obbligo di non facere); la controprestazione del professionista aspirante utilizzatore dei dati personali è la fornitura del servizio o contenuto digitale promesso.

In questo schema, il corrispettivo previsto dal contratto (servizio o contenuto digitale) andrebbe a remunerare l’utilizzo dei dati personali, e dunque remunera l’adempimento dell’obbligo – che il consumatore / Interessato ha assunto – di non ostacolare l’uso dei dati a termini di contratto.

Non remunera invece la concessione dell’autorizzazione a tale uso, che è atto unilaterale che sussiste in re ipsa nel momento in cui il consumatore / Interessato conclude – liberamente determinandosi in tale senso – il contratto che ha per oggetto (anche) una determinata utilizzazione dei suoi dati.

Francamente, allo stato non so dire se una simile fattispecie possa essere inquadrata senza forzature interpretative in una delle basi giuridiche esistenti o se dobbiamo magari aspettarci la creazione di una settima base giuridica, specifica… Va comunque tenuto presente che queste nuove norme sono solo il primo passaggio verso il recepimento di un complessivo sistema europeo di revisione e aggiornamento del diritto dei consumatori nell’ambiente digitale e dunque sarà sempre più urgente affrontare approfonditamente queste problematiche.

Monetizzazione dei dati e aspetti di principio

Tornando agli aspetti di principio, pare dunque che, sulla base delle nuove norme, il contratto di servizi in cui manca il pagamento di un prezzo, ma c’è dazione di dati per finalità non meramente strumentali alla prestazione del servizio fornito o all’adempimento di obblighi di legge da parte del fornitore, dovrebbe essere equiparato a quello a titolo oneroso tradizionale.

Ma questa affermazione vale in senso generale?

Allo stato, no: va tenuto presente che oggetto di questa innovazione sono (solo) “la conformità del contenuto digitale o del servizio digitale al contratto, i rimedi in caso di difetto di conformità al contratto o di mancata fornitura, le modalità di esercizio degli stessi, nonché la modifica del contenuto digitale o del servizio digitale.” (Art. 135-octies – Ambito di applicazione e definizioni).

Queste norme istituiscono, infatti, un nuovo Capo 1-bis del Titolo III della parte IV (GARANZIA LEGALE DI CONFORMITA’ E GARANZIE COMMERCIALI PER I BENI DI CONSUMO) del Codice del Consumo, e il loro scopo è quello di richiamare (anche nel caso del servizio digitale contro dati personali) i rimedi – classici per i casi di patologia del rapporto tradizionale (ossia il difetto di conformità del servizio e in generale l’inadempimento del fornitore) –  della riduzione proporzionale del prezzo e del rimborso totale in caso di risoluzione del contratto; in aggiunta, è istituita una sorta di portabilità dei contenuti digitali diversi dai dati personali (v. artt.  35-octiesdecies e 135-noviesdecies).

Dunque, l’equiparazione tra fornitura contro prezzo e fornitura contro dati personali vale, allo stato, solo quanto alle garanzie del consumatore in caso di patologia del rapporto contrattuale.

Quanto ai dati personali, c’è solo un richiamo generale alle norme vigenti:

“135-noviesdecies (Risoluzione del contratto):

3. Per quanto riguarda i dati personali del consumatore, il professionista è tenuto a rispettare gli obblighi derivanti dal regolamento (UE) 2016/679 nonché dal decreto legislativo n. 101 del 2018. “, norme che peraltro sono sempre indicate come prevalenti in tutto il testo del decreto.

Non è poco, ma dal punto di vista pratico ancora non cambia nulla: infatti, anche in caso di patologia del rapporto contrattuale il consumatore che ha fornito i suoi dati deve sempre passare attraverso l’iter dell’esercizio dei diritti attribuiti dalla normativa tipica, senza tutele aggiuntive e specifiche, peculiari al contesto (contrattuale, di scambio).

Ciò, aggiunto all’incertezza sulla base giuridica che qualifica i trattamenti connessi a questa fattispecie, rende particolarmente nebuloso l’iter difensivo a disposizione del consumatore / interessato.

Monetizzazione dei dati e pratiche commerciali sleali

Ciò che invece avrebbe un effetto dirompente sarebbe l’inserimento esplicito tra le pratiche commerciali sleali di fattispecie specifiche concernenti l’uso di dati personali quale corrispettivo del servizio digitale/ bene connesso a un contenuto digitale. Dunque, intervenendo direttamente sulla Parte II, Titolo III PRATICHE COMMERCIALI, PUBBLICITA E ALTRE COMUNICAZIONI COMMERCIALI del Codice del Consumo: ciò aprirebbe davvero una nuova fase nel mondo della tutela del consumatore.

Ricordo infatti che nella nota vicenda Facebook (in cui la contestazione concerneva pratiche commerciali sleali: ingannevoli e aggressive) il tema controverso è stato proprio quello della applicabilità della disciplina consumeristica in un caso in cui il servizio offerto dal professionista è gratuito (cioè non c’è un prezzo in senso tradizionale). Alla fine il Consiglio di Stato ha confermato l’applicabilità, ma è stato necessario un percorso interpretativo lungo e complesso.

A questo proposito, è invece interessante la Direttiva 2019/2161/UE, relativa alla modernizzazione della tutela del consumatore, perché essa va a modificare la Direttiva 2011/83/UE, la quale (a suo tempo recepita nel nostro Codice del Consumo) statuisce sulla generale tutela dei consumatori.

I nuovi articoli inseriti mirano infatti ad ampliare l’applicabilità della normativa generale sulla tutela dei consumatori a “i contratti nel cui ambito il professionista fornisce o si impegna a fornire un servizio digitale al consumatore, e il consumatore comunica o si impegna a comunicare dati personali”, anche qui con l’eccezione dei “ (…) casi in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale, e il professionista non tratti tali dati per nessun altro scopo.” (Cons. 33).

Conclusioni

Gli articoli introdotti dalla Direttiva 2161/2019/UE, relativi allo scambio di beni e servizi digitali con dati personali, sono praticamente uguali a quelli della Dir. 2019/770/UE, e quindi a quanto contenuto nello schema del relativo decreto di recepimento, ma l’ambito su cui ricadono è generale, e non limitato alla parte relativa a “Garanzia legale di conformità e garanzie commerciali per i beni di consumo”.

Peccato che un simile intervento intervenga solo sulla Dir. 2011/83/UE e non anche sulla Direttiva 2005/29/CE, concernente le pratiche commerciali sleali, pure modificata dalla Direttiva 2161/2019/UE, ma per aspetti diversi.

Sottolineo peraltro a questo proposito che proprio in questo contesto, di modifica della Dir. 2005/29/CE, la Dir. 2161/2019/UE al Considerando (53) osserva che: “Tuttavia, l’esperienza acquisita in materia di attuazione ha mostrato che, in assenza di disposizioni esplicite, i consumatori, i professionisti e le autorità nazionali competenti possono non avere una visione chiara di quali pratiche commerciali possano essere contrarie alla direttiva 2005/29/CE.”.

Insomma, il principio c’è, l’impatto sulla normativa generale ci sarà con il recepimento della Dir. 2161/2019/UE: peccato perdere l’occasione di chiarire in modo esplicito e specifico anche nel contesto delle pratiche commerciali sleali l’impatto del riconoscimento dei dati personali come strumento di scambio.

 

NOTE

  1. Comunicato stampa del Consiglio dei Ministri n. 44, del 29 ottobre 2021: “(…) 9. Attuazione della direttiva (UE) 2019/770, del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali (decreto legislativo – esame definitivo) (Ministero della giustizia)
    Il provvedimento introduce nuove disposizioni nel codice del consumo di cui al d.lgs. n. 206 del 2005, al fine di adeguare la normativa italiana alla direttiva 2019/770, che disciplina determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali conclusi tra consumatore e professionista, fra i quali la conformità del bene al contratto, i rimedi in caso di difetto di conformità o di mancata fornitura, nonché la modifica del contenuto o del servizio digitale.”

  2. Si veda, per un esame approfondito delle problematiche relative all’uso del consenso (anche) per il caso dei dati quale controprestazione contrattuale, lo studio del Policy Department for Citizens’ Rights and Constitutional Affairs Directorate-General for Internal Policies del Parlamento UE, commissionato dal Juri Commettee, “Regulating targeted and behavioural advertising in digital services. How to ensure users’ informed consent, 30.8.2021.

  3. Si veda GDPR, Cons 43: “(…) Si presume che il consenso non sia stato liberamente espresso (…) se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”, nonché art. 7.4: “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA