Tra i modelli di business che interessano il mercato unico digitale, la formula basata sulla fornitura del servizio in cambio del consenso al trattamento dei propri dati personali rappresenta un esempio tanto diffuso quanto oggetto di interesse da parte del giurista.
La diffusione di simili c.d. zero-price strategies, in cui il dato personale è trattato alla stregua di un asset, non ha mancato di suscitare la reazione del legislatore europeo in relazione a possibili condotte lesive di interessi giuridicamente tutelati. La normativa sulla protezione dei dati personali è stata dunque affiancata da innovazioni legislative di stampo consumeristico, in riconoscimento dei risvolti patrimoniali legati ai fenomeni circolatori dei dati personali.
Fra queste, la Direttiva (UE) 2019/2161 è soltanto ora in via di attuazione all’interno dell’ordinamento italiano. Lo schema di decreto legislativo riproduce il contenuto della direttiva: nuovi obblighi di trasparenza per le piattaforme relativamente alla remunerazione del posizionamento dei prodotti nelle classifiche, all’attendibilità delle fonti delle recensioni e alla personalizzazione dei prezzi sulla base degli utenti.
Non solo: prevede l’estensione del nucleo di tutele di cui alle sezioni da I a IV del capo I, titolo III, del codice del consumo agli scambi in cui un servizio viene fornito in cambio della fornitura di dati personali.
L’interesse per quest’ultima disposizione è condiviso dal Presidente del Garante per la protezione dei dati personali, intervenuto davanti alla 9° commissione permanente del Senato il 10 gennaio. Riconoscendo l’importanza dell’approccio realistico che rende giuridicamente rilevanti le transazioni in oggetto, il Presidente non manca di sottolineare, in piena coerenza con l’orientamento del Garante europeo, la perdurante necessità di non pervenire a quella “patrimonializzazione della libertà” che il declassamento del dato personale a mera controprestazione porterebbe con sé.
I suggerimenti successivamente prestati dall’Autorità spaziano dall’aggiunta di una clausola di salvaguardia per l’applicazione del GDPR e del Codice privacy nella previsione di cui al novello comma 1-bis dell’articolo 46, al richiamo delle tutele di cui all’articolo 22 del regolamento (UE) 2016/679 ove si tratti di personalizzazione dei prezzi tramite trattamenti automatizzati. Si estendono fino all’introduzione di una disciplina delle modalità di cooperazione tra le Autorità di vigilanza, prendendo in considerazione anche l’integrazione dei rispettivi procedimenti sanzionatori con interventi incidentali da parte di ciascuna.
Degno di nota il favore, espresso in chiusura, per un’eventuale delega al Garante del potere di imporre determinate condizioni quali prerequisiti imprescindibili per attuare le transazioni in parola.
Si delinea dunque una certa approvazione nei confronti di un sistema di tutele “multilivello”, inteso quale insieme di previsioni normative che amplificano la protezione dell’individuo insistendo ciascuna su diritti e interessi diversi. L’obiettivo è tutelare la persona sotto più profili: come interessata, portatrice di un diritto fondamentale alla protezione dei propri dati personali, e come consumatrice che partecipa a un’operazione economica in cui i propri dati sono oggetto di circolazione, sebbene difficilmente questi costituiscano una controprestazione rispetto al servizio ottenuto.
La convergenza delle discipline necessita di disposizioni di raccordo, come l’istituzione di meccanismi collaborativi tra le Autorità. Lo schema di provvedimento stesso ne fornisce un esempio nelle previsioni relative agli obblighi del prestatore in caso di recesso, tra i quali figura il rispetto del GDPR nel trattare i dati del consumatore.
L’intervento del Prof. Stanzione e il nuovo contenuto del codice del consumo suscitano poi due ordini di considerazioni.
In primis, la predisposizione di più livelli di tutela afferenti a diversi interessi protetti ben può costituire uno strumento efficace in ragione della varietà e specificità degli interessi coinvolti nelle dinamiche circolatorie dei dati. Posto che la “patrimonializzazione” dei dati personali è un fenomeno ormai parte della quotidianità, il focus deve vertere su come proteggere l’individuo dalle esternalità che questo porta con sé. Se le dinamiche del mercato digitale scoraggiano l’affidamento alla libertà contrattuale della tutela dell’individuo nelle transazioni che riguardano i dati, un fascio di normative ciascuna operante su un versante diverso sembra una soluzione più adatta.
È importante, al contempo, evitare che la proliferazione di normative oberi eccessivamente le imprese medio-piccole, alle quali talvolta spetta fronteggiare ulteriori costi di compliance. Ciò si rende ora più che mai opportuno in vista dell’esigenza di stimolare la digitalizzazione del sostrato imprenditoriale del paese, ma anche in considerazione della particolare congiuntura economica che stiamo attraversando. Ancora più cruciale è garantire la massima chiarezza riguardo all’applicazione della normativa e all’eventuale azione congiunta delle Autorità, così da indirizzare correttamente gli operatori del settore.
In secondo luogo, la nuova composizione del codice del consumo, a meno di modifiche radicali, fornirà ulteriori argomentazioni a supporto della distinzione giuridica tra il pagamento del prezzo e la fornitura di dati personali. I commi 1 e 1-bis dell’articolo 46 differenzieranno attentamente le due circostanze, influenzando conseguentemente l’interpretazione delle norme successive. Ad esempio, l’articolo 51, 2° comma, che prevede l’obbligo di comunicare al consumatore quando la conclusione di un contratto a distanza tramite mezzi elettronici lo obblighi a un pagamento, o ancora l’articolo 65, 1° comma, in tema di pagamenti supplementari, potrebbero rendersi applicabili solo al primo caso.
Si accoglie dunque con fiducia la normativa di nuovo conio, il rafforzamento della tutela del consumatore da questa fornito e gli spunti interpretativi che offre a un dibattito straordinariamente attuale.
È apprezzabile l’istituzione di tutele “multilivello” in un contesto caratterizzato da notevoli asimmetrie di potere tra le parti, a patto però che non si sacrifichi eccessivamente quella certezza del diritto di cui gli operatori economici di ridotte dimensioni più che mai necessitano e che non si sconfini in una produzione normativa eccessiva. Si tratta di tenere presente che non tutti i prestatori di servizi digitali sono grandi piattaforme, e che vi potrebbe essere un limite oltre al quale la moltiplicazione dei presidi normativi finisce per avere un effetto boomerang sugli individui.