Si parla, in gergo, di “monetizzazione” del dato personale. In termini meno criptici, e più banalmente, ci si interroga se il trattamento dei dati personali da parte di un soggetto possa rappresentare il corrispettivo di un servizio offerto dallo stesso ai propri utenti.
Il fenomeno – tipico dei nuovi mercati digitali, e perciò oggetto di crescente interesse – merita un approfondimento giuridico.
Sino ad oggi, anche in considerazione della posizione rigorosa del Garante per la protezione dei dati personali, in dottrina è sempre prevalso l’orientamento che ravvisa nella tutela dei dati personali un diritto inviolabile, sempre e comunque indisponibile: il che rende anche solo inconcepibile la possibilità della vendita o, comunque, della “monetizzazione” dei dati personali.
Di contro vi era chi assumeva, invece, la legittimità di un accordo tra professionista e consumatore, nel quale l’obbligazione di quest’ultimo consisteva non già nella cessione dei propri dati personali, ma nell’impegno a lasciarli trattare dal professionista (cfr., per tutti, Luca Bolognini, presidente dell’Istituto Italiano per la Privacy e la Valorizzazione dei dati, IIP).
Tuttavia, anche coloro che si facevano promotori della posizione più liberista ne riconoscevano i limiti, a fronte del predominio, in Europa, di una corrente ultradifensiva della privacy.
La recente introduzione del comma 4 dell’art. 135-octies del Codice del Consumo induce a domandarsi se la nuova previsione abbia aperto una breccia nell’impostazione di cui sopra, legittimando una transazione tra professionista e consumatore che preveda lo scambio dati personali versus servizi o prodotti digitali.
Per comodità di consultazione, riporto a seguire la norma in questione:
“Le disposizioni del seguente capo si applicano altresì nel caso in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti”.
E’ indubbio che nella previsione in esame si faccia riferimento al caso in cui un consumatore fornisca dati personali al professionista, il quale si obbliga a fornire un contenuto digitale o un servizio digitale.
Sostenere che con ciò il legislatore abbia voluto legittimare un contratto che preveda lo scambio dati-servizio, a mio avviso, non è tuttavia scontato.
Anzitutto osservo che il comma 6 del successivo art. 135-novies fa espressamente salve le disposizioni nazionali e UE in materia di trattamento di dati personali, affermando che, in caso di conflitto tra le disposizioni del capo nel quale è contenuto l’art. 135-octies e le predette norme, prevalgono le disposizioni a tutela dei dati personali.
Inoltre da più parti si è sottolineato il fatto che nella stesura definitiva della Direttiva UE 2019/770 (da cui è scaturita la modifica al Codice del Consumo sopra citata) è stata eliminata, dall’art. 3 della stessa, la parola “controprestazione” (riferita all’attività del consumatore che presta il consenso al trattamento dei dati per fruire di un servizio o contenuto digitale), proprio al fine di evidenziare che non si tratta di contratto a titolo oneroso, nel quale il dato personale è il prezzo del servizio.
Se così è, scopo della Direttiva non sarebbe quello di sdoganare la possibilità di un pagamento di servizi digitali tramite dati personali, quanto quello di garantire ai consumatori i rimedi contrattuali previsti dalla legge anche nel caso in cui il contratto per la fornitura di servizi digitali non comporti il pagamento di un prezzo, ma preveda comunque il conferimento di dati personali.
Vero è che il discrimine tra la tesi più liberista e quella più rigida è sottile, e che ora la prima possa trovare appiglio in un riferimento normativo che, prima, non esisteva.
Va tuttavia considerato che, sino ad oggi, il Garante ha sempre dimostrato di allinearsi alla tesi più rigorosa, che esclude qualsiasi forma di mercificazione dei dati personali, considerati come un bene indisponibile.
Data la gravità delle sanzioni in materia e le conseguenze – anche in termini di gogna mediatica – per il trasgressore, prima di avallare un modello di business fondato sulla “monetizzazione” dei dati personali degli utenti è dunque necessario attendere sino a quando non si sarà formata una solida corrente dottrinale che avvalori la soluzione del “pay or ok” ovvero, ancora meglio, sino a quando sul tema non prenderà posizione lo stesso Garante.
Ed è bene ricordare che il principio ha portata generale, e non vi sono eccezioni di sorta. Vale qualunque sia la tipologia di dato personale richiesto (anche, estremizzando, se contenuto in un NFT) e ovunque: sul web (dove sempre più spesso, tuttavia, ci si imbatte in realtà che del” pay or ok” hanno fatto la pietra angolare del proprio business model), sui social e anche nel Metaverso, in quanto neppure il meno feudale dei mondi possibili può essere inteso come un territorio sottratto all’applicazione di regole che non abbiano natura strettamente tecnica.