L’oggetto della garanzia di conformità e contenuto digitale

 

La nuova direttiva sulle garanzie nella vendita di beni di consumo, recentemente approvata assieme alla direttiva sui contenuti digitali (2019/770/UE), intende sostanzialmente rispondere (conformemente all’indirizzo fondamentale del processo di armonizzazione legislativa) ad esigenze già messe in evidenza in occasione del progetto CESL: superare la perdurante frammentazione del diritto degli Stati membri in base all’osservazione, la stessa richiamata a fondamento delle recenti direttive, con cui si apriva la sua parte motiva, secondo cui il permanere di «differenze tra i singoli diritti dei contratti degli Stati membri è un ostacolo per chi, professionista o consumatore, intenda effettuare scambi transfrontalieri nel mercato interno».

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | 2020 Maggioli Editore

12.90 €  10.97 €

INDICE

  1. La distinzione tra diritti personali e diritti patrimoniali e il concetto rigido di atto di disposizione.
  2. La patrimonializzazione dei dati personali.
  3. Il consenso al trattamento in funzione conformativa dell’oggetto del contratto.
  4. L’atto di disposizione di informazioni personali.
  5. Lo statuto speciale del contratto nell’ordine di senso della libera circolazione dei dati personali.
  6. Le ricadute di ordine dogmatico e sistematico.
  1. La distinzione tra diritti personali e diritti patrimoniali e il concetto rigido di atto di disposizione

Uno studio della dimensione patrimoniale del reg. UE 2016/679 – relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – si traduce, in sostanza, nella verifica delle implicazioni e nella ricostruzione delle forme discendenti dall’interazione tra essa e la dimensione più strettamente personale del tipo di problema ivi regolato. Pare questo un profilo dell’intervento normativo di particolare rilevanza, specie per le ricadute sistematiche che esso genera, anche in termini di tenuta delle tassonomie e delle categorie dogmatiche di diritto privato che sono state articolate dalla tradizione.

In sintesi, le questioni di cui intendiamo occuparci, sia pure nei limiti dell’economia del presente lavoro, possono essere riassunte in quattro interrogativi:

i) Qual è il profilo funzionale che connota il reg. UE 2016/679?

ii) In quali termini possono essere qualificate giuridicamente le informazioni personali?

iii) Il dato personale può costituire oggetto di un contratto? E in caso affermativo: come si coordina la disciplina della protezione e del trattamento dei dati personali con la disciplina del contratto?

iv) Qual è l’impatto del General Data Protection Regulation (GDPR) sulle categorie e sul sistema del diritto privato?

Una disposizione in cui la rilevanza delle suddette questioni si coglie in modo agevole è senz’altro l’art. 8 del reg. UE 2016/679, concernente il consenso dei minori in relazione ai servizi della società dell’informazione[1]; il quale pare istituire un’incomunicabilità tra il momento dell’autodeterminazione informativa (relegato alla sfera dei diritti personali) e il momento dell’autonomia contrattuale (relegato alla sfera dei diritti patrimoniali). Segnatamente il par. 1, con riguardo all’offerta diretta di servizi della società dell’informazione ai minori, riconosce la capacità a manifestare il consenso al trattamento dei dati personali al soggetto che abbia compiuto almeno sedici anni, accordando agli Stati membri la libertà di fissare un diverso limite di età non inferiore ai tredici anni (il legislatore italiano, nell’art. 2 quinquies del d.lgs. n. 196/2003 – inserito dal d.lgs. n. 101 del 2018 di adeguamento della disciplina nazionale al Regolamento UE -, ha optato per il limite di quattordici anni). Il par. 3 dello stesso art. 8, poi, sancisce che quanto disposto dal par. 1 «non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto al minore».

Ebbene, quest’ultima clausola di salvaguardia ha condotto alcuni autori a concludere negando ogni possibile legame tra la capacità a manifestare il consenso al trattamento e la capacità contrattuale del minore, relegando in tal modo la previsione normativa ai soli aspetti strettamente personali, quelli cioè che costituiscono espressione evidente della personalità individuale[2].

Questa lettura è evidentemente figlia di due apriorismi dogmatici: i) essendo la capacità di agire una categoria di diritto patrimoniale, al minorenne munito della capacità di discernimento è riconosciuto soltanto il libero esercizio dei propri diritti personali, essendo essi incorporati nella persona e da essa inseparabili (e di qui l’inscindibilità tra titolarità ed esercizio), sì che il loro esercizio è logicamente coevo allo svolgimento della personalità[3]ii) i diritti fondamentali della persona, tra cui il diritto alla protezione dei propri dati personali (art. 8, Carta dei diritti fondamentali UE), non possono costituire oggetto di atti di disposizione (loro carattere è l’inalienabilità) e quindi non è immaginabile un’attività contrattuale avente a oggetto i medesimi[4].

Il superamento di tali precomprensioni dogmatiche necessita di andare oltre le rigidità delle categorie e dei confini delle tassonomie a cui esse appaiono legate; occorre, nello specifico, operare la rivisitazione: i) della rigida distinzione tra atti personali e atti patrimoniali[5]ii) del concetto di atto di disposizione, dal quale discende il postulato teorico secondo il quale i diritti soggettivi strettamente inerenti, per loro natura, alla persona del titolare «mancano dell’attitudine a subire atti dispositivi»[6]. In ogni modo, oggi più che mai, occorre chiarire in quali termini deontici manchi quell’attitudine, atteso che è insegnamento recepito quello che ravvisa nell’attitudine dispositiva il carattere proprio di ogni diritto soggettivo, anzi «una qualità intrinseca di esso, quasi la forza di coesione delle sue parti, il nucleo del suo contenuto, il suo impulso vitale interiore»[7].

L’una e l’altra rigidità, per essere superate, esigono un passaggio ermeneutico di verifica del rapporto che intercorre tra “beni” personali e mercato, al fine di vagliare la possibilità della lettura dei primi in termini patrimoniali e la loro idoneità a costituire oggetto di un atto di scambio.

Ora, che il carattere pervasivo delle logiche di mercato abbia coinvolto anche interessi protetti da diritti personali non è una novità degli ultimi tempi[8] e la sua argomentazione rischia di rasentare la banalità, essendo, appunto, ormai assurto a fatto notorio.

È stato, in proposito, giustamente osservato che «la commercializzazione dei dati personali si distingue solo in parte dalla commercializzazione di altri diritti della personalità come ad esempio il diritto all’immagine»[9].

La scienza giuridica è, ormai da lunga data, avvezza a fattispecie contrattuali aventi a oggetto “beni” personali, le quali hanno conosciuto un processo di tipizzazione sociale che è stato poi attratto nell’alveo degli interessi meritevoli di tutela per l’ordinamento giuridico ex art. 1322 c.c. Basti pensare all’utilizzo concesso ad altri, verso pagamento di un prezzo o altra prestazione non pecuniaria, della propria immagine o del proprio nome (ne è un esempio il contratto di sponsorizzazione sportiva stipulato con un celebre calciatore)[10]. Ma pure il contratto di lavoro (il quale può riguardare anche un soggetto minore di età) per lungo tempo ricostruito, proprio in ossequio alle categorie anzidette, in termini reali, teorizzando la reificazione dell’uomo, delle sue energie lavorative, costituisce in realtà – e non v’è più ragione per negarlo giuridicamente – lo strumento attraverso il quale vengono “scambiate” le (più varie) capacità e risorse personali di un soggetto, integranti la sua identità personale, verso il pagamento di un prezzo. Peraltro, è proprio la peculiarità del “bene” scambiato che conforma la disciplina (del tutto speciale) del contratto di lavoro, specie per la precarietà degli effetti della “cessione”, generata principalmente dal diritto di recesso accordato ex lege al lavoratore[11].

E però la componente patrimoniale emerge anche in casi che appaiono mistificati dalla gratuità per la mancanza di una controprestazione, ma che in pratica fanno registrare un vantaggio economico nei confronti di colui che concede l’utilizzo della propria immagine o del proprio nome (come nell’ipotesi della partecipazione a un programma televisivo di uno scrittore per parlare del suo ultimo libro o di un imprenditore per illustrare i caratteri innovativi di un prodotto della propria impresa)[12].

La patrimonializzazione dei dati personali

Il processo di commodification ha interessato pure i dati personali; tanto che l’esigenza principale a cui è indirizzata la disciplina del reg. UE 2016/679 è la circolazione dei dati ed essa è realizzata dettando regole di tutela della persona, volte cioè a fare in modo che quel fenomeno circolatorio, necessario e perciò inevitabile, non si spinga oltre il limite della dignità della persona[13].

Si è al cospetto, quindi, fondamentalmente, di una disciplina del mercato dei dati personali: i dati circolano nel mercato, il quale attribuisce loro un valore di uso e un valore di scambio, li assurge a beni economici e quindi a beni giuridici, disponendoli così alla contrattualizzazione[14].

Ora, la ricostruzione degli interessi tutelati dai diritti della personalità morale[15] in termini di risorse economicamente apprezzabili dà ragione alla lettura non restrittiva della previsione contenuta nel par. 4 dell’art. 7 GDPR; la quale giunge ad ammettere la possibilità di remunerare la prestazione di un bene o servizio con il consenso al trattamento dei dati personali, nella logica dello scambio[16]. Un approccio ermeneutico, questo, che pare comunque avvalorato anche dal tenore letterale della disposizione, la quale non ripudia lo scambio di un bene o servizio contro dati personali, ma lo addita soltanto come un fattore, assieme ad altri, da considerare per valutare se il consenso al trattamento sia stato liberamente prestato[17].

Per di più, esso pare l’unico significato compatibile con la disciplina articolata dalla dir. 2019/770/UE del 20 maggio 2019 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali[18]; nella quale, per la prima volta, il processo di mercificazione (in particolare) dei dati personali, nei termini sin qui tratteggiati, trova un espresso riconoscimento formale, per il tramite della tipizzazione della fattispecie negoziale contenuti/servizi digitali verso dati personali[19]. Tant’è che il legislatore sovranazionale, pur avendo evitato, su sollecitazione dell’European Data Protection Supervisor, l’utilizzo della parola «corrispettivo»[20], nella descrizione della struttura dell’operazione economica regolata ha confermato la possibilità di dedurre in prestazione le informazioni personali e, quindi, la struttura sinallagmatica del rapporto contrattuale ogniqualvolta a fronte della fornitura del contenuto o del servizio digitale vengano forniti dati personali[21]. E tale struttura è pure ravvisabile quando l’autorizzazione al prelievo dei propri dati viene rilasciata accettando i cosiddetti cookies, giacché anche in tale ipotesi l’interessato fornisce “attivamente” i dati personali[22].

La qualificazione in termini sinallagmatici trova peraltro conferma nell’accostamento, operato dalla medesima direttiva, dello scambio di contenuti/servizi digitali contro dati personali a quello che avviene a fronte del pagamento di un prezzo, nonché dall’esclusione dall’ambito operativo della disciplina – espressamente sancita dallo stesso art. 3, par. 2 – dei casi in cui «i dati personali forniti dal consumatore siano trattati esclusivamente dall’operatore economico ai fini della fornitura del contenuto digitale o del servizio digitale a norma della presente direttiva o per consentire l’assolvimento degli obblighi di legge cui è soggetto l’operatore economico e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti». In questa ipotesi, in realtà, non si tratta di uno scambio poiché il trattamento trova la sua base di legittimazione non nel consenso ma, rispettivamente, nella lettera b) e nella lettera c) dell’art. 6, par. 1, GDPR, in cui il trattamento costituisce una prestazione accessoria e non invece, come nell’operazione anzidetta, la prestazione principale del contratto[23].

Insomma, il legislatore eurounitario ha voluto, nei termini di cui alla dir. 2019/770/UE, regolare una fattispecie ampiamente diffusa nelle pratiche dell’ambiente digitale, ovvero la fornitura da parte di un soggetto dei propri dati personali all’unico scopo di ottenere in cambio un contenuto digitale o un servizio digitale, quali «programmi informatici, applicazioni, file video, file audio, file musicali, giochi digitali, libri elettronici o altre pubblicazioni elettroniche, nonché i servizi digitali che consentono la creazione, la trasformazione o l’archiviazione dei dati in formato digitale, nonché l’accesso a questi ultimi fra cui i software come servizio quali la condivisione audio e video e altri tipi di file hosting, la videoscrittura o i giochi offerti nell’ambiente di cloud computing e nei media sociali»[24].

In tutti questi casi, il consenso al trattamento dei dati personali si inserisce, evidentemente, nell’ordine funzionale dell’operazione economica, che prevede come “merce” di scambio i dati medesimi a fronte della fornitura di contenuti o servizi digitali[25], divenendo così elemento di una fattispecie contrattuale complessa.

La direttiva, allora, regola un aspetto del più ampio fenomeno della circolazione dei dati, ponendosi in tal modo in continuità con il reg. UE 2016/679.

Questo nesso di continuità è da intendersi nel senso che se il GDPR è improntato all’esigenza della circolazione dei dati, nella consapevolezza che le informazioni «personali dei consumatori costituiscono il fulcro economico della maggior parte delle imprese che forniscono servizi della società dell’informazione e svolgono attività di commercio elettronico»[26]; con la dir. 2019/770/UE il legislatore eurounitario ha inteso regolare una fattispecie di quel fenomeno, vale a dire la fornitura onerosa di contenuti o servizi digitali, attuata o verso il pagamento di un prezzo o verso la fornitura di dati personali. I quali, al pari del prezzo, integrano pur sempre una (contro)prestazione, che si pone in rapporto di corrispettività con quella ricevuta[27], come ulteriormente suffragato, per quanto più nel dettaglio si andrà a dire, anche dalla dir. 2019/2161/UE del 27 novembre 2019 per una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori.

A questi approdi è giunta pure la giurisprudenza più recente, là dove ha accusato il carattere parziale della visione che tiene separato il momento del consenso al trattamento dal momento contrattuale, stanti le potenzialità insite nello sfruttamento dei dati personali, «che possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto»[28].

  1. Il consenso al trattamento in funzione conformativa dell’oggetto del contratto

Appurata la possibilità di disporre dei propri dati personali, il parere del Garante europeo della protezione dei dati reso nel 2017 sulla direttiva (la 2019/770) ancora in forma di proposta e articolato in chiave evidentemente personalistica, a tenore del quale «i diritti fondamentali, come il diritto alla protezione dei dati personali, non possono essere ridotti a semplici interessi dei consumatori e i dati personali non possono essere considerati una mera merce», assecondato poi dal legislatore sovranazionale semplicemente eliminando una parola (quella di «corrispettivo») dal testo finale della direttiva; codesto parere, dicevamo, appare senz’altro condivisibile se il suo significato viene ricercato facendo leva sulla corretta aggettivazione ivi utilizzata. Ne esce dunque che i dati personali, sì come ogni altro diritto della personalità diverso dal corpo (per il quale vale la regola, espressamente sancita, specie dall’art. 8 della Carta dei diritti fondamentali UE, della inalienabilità/gratuità), possono essere interessati da un processo di mercificazione ed essere dedotti «in un negozio quale parte del suo contenuto»[29]; tuttavia, come giustamente puntualizza il Garante, essi non possono essere trattati come «mere» merci e il diritto alla loro protezione come «semplice» interesse dei consumatori; difatti gli attributi della persona – dalle informazioni che la riguardano, al nome, all’immagine, alla voce, ecc. – nel momento in cui assumono un apprezzamento economico vanno necessariamente collocati su un piano diverso da quello degli altri beni[30], proprio per la loro inerenza inscindibile all’identità della persona.

Tale specificità si traduce, anzitutto, nel prendere atto della premessa di senso secondo la quale sì come ogni forma di esplicazione della personalità individuale trova il limite della dignità umana, allo stesso modo il regime giuridico della “circolazione” dei “beni” personali non può che essere articolato all’insegna di questa stessa demarcazione assiologica. La quale, con riguardo alle informazioni personali, esige che la fattispecie contrattuale, in cui una delle prestazioni consista appunto nella fornitura di dati, sia presidiata da una disciplina le cui coordinate segnino la cifra di compatibilità tra le regole e i principi del contratto, quelle dei diritti della personalità e quelle sul consenso al trattamento dei dati personali.

E in questo intrecciarsi di settori e plessi normativi, costitutivo del regime speciale dell’operazione, il consenso dell’interessato al trattamento partecipa al contratto – quale atto oggettivamente complesso – riguardante la fornitura di contenuti e servizi digitali contro dati personali, non tanto come fattore esterno, ma in funzione conformativa dell’oggetto[31].

Invero, è il consenso al trattamento che delimita le finalità per il cui perseguimento è reso possibile l’utilizzo delle informazioni personali e, in tal modo, definisce pure la misura di quest’ultimo; il quale, a sua volta, «assume il ruolo di oggetto dell’iniziativa negoziale e di bene dedotto nel rapporto negoziale»[32].

Pertanto, il consenso al trattamento (ma anche all’utilizzo di altri “beni” personali), che deve essere (precedentemente) informato sui contenuti e le modalità del (e che circoscrivono il) medesimo, nel senso di essere consapevole e specifico, determina pure e necessariamente l’oggetto del contratto; sì che nei contratti in cui l’oggetto è costituito da dati o altri “beni” personali, non può trovar dimora la regola della determinabilità dovendo operare, per effetto dell’interferenza della disciplina del consenso, la regola della necessaria determinatezza (sì da restringere l’ambito applicativo dell’art. 1346 c.c.)[33].

In definitiva, quando il bene personale entra nel contratto, l’atto negoziale che acconsente all’interferenza nella propria sfera personale utilizzando lo specifico “bene” (consenso al trattamento) e l’atto di disposizione patrimoniale del “bene” stesso (consenso contrattuale) partecipano alla medesima fattispecie negoziale stringendosi in un rapporto conformativo, in cui il primo funge da congegno determinativo dell’oggetto del contratto. Pare invece meno rappresentativa di questa realtà dello scambio, la ricostruzione che ravvisa nel consenso al trattamento una duplice natura e un ruolo comunque esterno alla fattispecie contrattuale: «da un lato, atto unilaterale di tipo autorizzatorio che esclude l’illegittimità dell’utilizzo di un altrui attributo della personalità da parte di terzi, permettendo la negoziazione di fatto dei dati; dall’altro, espressione della signoria del singolo sulle informazioni che lo riguardano, che non può venir meno a seguito della comunicazione dei dati a terzi, ma trova solo nelle previsioni di legge specifiche limitazioni o deroghe»[34].

  1. L’atto di disposizione di informazioni personali.

L’assestamento delle coordinate deontiche testé evocate deve tener conto dei connotati di necessarietà, irrinunciabilità, intrasmissibilità e imprescrittibilità della situazione giuridica soggettiva implicata[35] nonché della natura identitaria della medesima; esigendo, da un lato che dall’atto dispositivo non discendano effetti privativi della titolarità del diritto personale; dall’altro la permanenza, in capo all’interessato, della libertà di riorganizzare, in qualunque momento, la propria identità ricostituendo, anche con differenti modulazioni, l’esclusività del godimento del “bene” personale, il cui utilizzo è stato dedotto nel rapporto contrattuale[36].

Esigenza, quest’ultima, la cui attuazione ha un evidente impatto sul principio di vincolatività del contratto, comunque già relativizzato dal legislatore dell’art. 1372 c.c., nel momento in cui fa salve le «cause ammesse dalla legge».

È quanto avviene con riguardo ai dati personali forniti per remunerare contenuti/servizi digitali, le cui discipline, sulla protezione del dato e sullo scambio del medesimo, contraddistinguono gli effetti del contratto per la loro precarietà. Tanto che l’art. 7 GDPR, riconoscendo all’interessato il «diritto di revocare il proprio consenso in qualsiasi momento», senza pregiudizio della «liceità del trattamento basata sul consenso prima della revoca», fa sì che, nel momento in cui quel consenso inerisce all’operazione economica volta a ottenere la fornitura di un contenuto/servizio digitale, conformandone l’oggetto, il diritto di revoca istituisca un diritto di recesso ad nutum dell’interessato dal contratto[37].

Dopotutto si tratta di un rischio – quello di veder sciolto il rapporto contrattuale per iniziativa dell’interessato e a seguito del venir meno della base di legittimazione del trattamento – sicuramente (calcolabile poiché) noto all’altra parte del contratto (il titolare/fornitore del contenuto o servizio digitale), atteso che nel momento in cui si appresta a raccogliere il consenso al trattamento dei dati personali oggetto della fornitura, tra le informazioni che deve comunicare all’interessato, «in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori» (art. 12 GDPR), v’è anche il potere di revoca del consenso al trattamento[38].

Ora, lo specifico statuto giuridico del “bene” personale che diviene oggetto del contratto, ha ricadute importanti sulla struttura del contratto e sulla procedura di formazione dell’accordo.

Vengono in rilievo, in proposito, due previsioni normative del GDPR: l’una contenuta nell’art. 7, par. 1 e 2, che pone a carico del titolare l’onere della prova della manifestazione del consenso al trattamento dei dati da parte dell’interessato, aggiungendo che se il consenso «è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta del consenso è presentata in modo chiaramente distinguibile dalla altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro». Da ciò discende il carattere dell’autonomia del consenso al trattamento rispetto ad ogni ulteriore manifestazione di volontà, anche riguardante la medesima operazione[39]; il che fa assumere al contratto di acquisto di contenuti o servizi digitali contro la fornitura di dati personali la natura di atto oggettivamente complesso, rispetto al quale «la complessità nasce non da una pluralità di volontà di distinti soggetti, ma da una pluralità di volontà di uno stesso soggetto, volontà che, differenziandosi tra loro per il contenuto, si esteriorizzano in un unico atto»[40].

L’altra previsione è quella dell’art. 4, par. 1, n. 11), il quale definisce il consenso come una «manifestazione di volontà libera, specifica, informata e inequivocabile»[41], ove la specificità del contenuto del consenso assume una funzione delimitante dello spazio e della misura dell’interferenza altrui nella sfera personale e dunque dell’oggetto del contratto di scambio dati contro beni/servizi. Insomma, è la specificità del consenso al trattamento, ma in generale all’interferenza nella sfera personale, che funge da precetto di necessaria determinazione dell’oggetto dell’atto di disposizione (il contratto) di quello stesso diritto.

Sempre dal punto di vista strutturale, è peraltro evidente che se il consenso al trattamento quale elemento di un’unica fattispecie negoziale – come avviene appunto nelle non-monetary transactions, ovvero in quegli accordi per effetto dei quali i consumatori beneficiano, apparentemente a titolo gratuito, di servizi digitali in cambio di una concessione pressoché illimitata dell’utilizzo dei loro dati personali, non indispensabile per l’esecuzione della fornitura del servizio digitale – funge da fattore conformativo dell’oggetto, e dunque da requisito dell’atto, la sua mancanza o il suo difetto di specificità, tale da rendere indeterminato l’oggetto, integra un vizio di struttura del contratto provocandone la nullità[42].

D’altra parte, il difetto di uno dei caratteri qualificatori del consenso (libertà, informazione e inequivocabilità) integra gli estremi di un vizio di procedura, il quale, sul piano contrattuale, può tradursi in un vizio della volontà, tale da rendere possibile l’attivazione del rimedio dell’annullabilità del contratto, pur nella piena consapevolezza di tutti gli ostacoli che si frappongono specialmente in termini di prova.

  1. Lo statuto speciale del contratto nell’ordine di senso della libera circolazione dei dati personali

La constatazione è che la capacità semantica dell’atto di disposizione si dischiude anche a interessi protetti da diritti personali, ponendosi in tal caso in un regime giuridico speciale, discendente dalla natura del “bene” implicato[43]. Tant’è che proprio la peculiarità del “bene” personale (nella specie, i dati personali) rispetto a ogni altro bene, è puntualmente considerata dal legislatore eurounitario dando luogo a declinazioni specifiche della disciplina del contratto, come avviene nella dir. 2019/770/UE.

Segnatamente, nell’articolare il regime dei rimedi per difetto di conformità del contenuto o servizio digitale, questo testo normativo opera una differenziazione della disciplina a seconda che la fornitura sia avvenuta dietro pagamento di un prezzo oppure dietro fornitura di dati personali. Nel primo caso, il rimedio della risoluzione[44] è riconosciuto soltanto per difetti che non siano di lieve entità (art. 14, par. 6); mentre, nell’altro caso, esso è accordato anche se il difetto è di lieve entità, dal momento che il consumatore «non può beneficiare del rimedio della riduzione del prezzo». Qualora, invece, il consumatore come remunerazione dell’acquisto abbia pagato un prezzo e fornito anche dati personali, beneficia di tutti i rimedi disponibili in caso di difetto di conformità (messa in conformità del contenuto o servizio digitale, riduzione del prezzo rispetto a quanto pagato, risoluzione del contratto) (considerando n. 67).

Ora, dalle previsioni normative ivi articolate, tutte incentrate su rimedi tipicamente contrattuali, funzionalmente rafforzate dal considerando n. 24 della stessa direttiva, è possibile trarre alcuni assunti di ordine generale, vale a dire: i) la possibile “contrattualizzazione” dei dati personali; ii) il ruolo di consumatore rivestito dalla persona fisica che a fronte della fornitura di contenuti o servizi digitali fornisce dati personali; iii) l’eguale considerazione come contratto di scambio della fornitura di contenuti/servizi digitali verso pagamento di un prezzo e di quella verso fornitura di dati personali[45].

Assunti, questi, che presuppongono evidentemente la sussistenza, rispetto al dato, del carattere della patrimonialità. D’altronde, il fatto che i dati personali assumano rilevanza economicamente apprezzabile nel mercato, e debbano pertanto essere considerati delle merci, è recepito in tutto l’impianto del reg. UE 2016/679; il quale sin dall’art. 1, nel delineare l’oggetto dell’intervento normativo, enuncia accanto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali anche la libera circolazione dei dati, precisando, al par. 3, in termini senz’altro rafforzativi dell’appartenenza della risorsa agli assetti e alle logiche del mercato, che «la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati».

Gli interessi legati alla circolazione dei dati sono così anteposti a quelli strettamente personali, esigendo che il loro eventuale antagonismo venga composto alla luce di un criterio di proporzionalità, da intendere nel senso del passaggio dalla cifra della protezione a quella della prevenzione (principio di accountability)[46]; la quale va declinata in termini di gestione del rischio[47], allocato in capo al titolare, che dal trattamento non derivino effetti discriminatori in capo all’interessato. Un criterio, dunque, che va fatto funzionare nella piena consapevolezza che il baricentro della tutela dei dati personali si è spostato «dal momento della raccolta a quello dell’analisi dei dati, di guisa che la sua effettività dev’essere misurata sulla capacità delle norme di orientarsi non solo al momento per così dire ontologico della collezione dei dati, ma anche a quello epistemologico più sfuggente dello studio e del confronto dei dati per ricavarne nuovi elementi di conoscenza»[48].

Oltretutto, se i dati personali sono trattati come (non «mere») merci, la loro libera circolazione non può che richiamare alla mente del giurista la libertà di circolazione delle merci, nel cui concetto vi rientrano «tutti i prodotti pecuniariamente valutabili e come tali atti a costituire oggetto di negozi commerciali», tra cui, appunto, le informazioni personali. Il riferimento va poi compreso nella prospettiva metodologica conscia del fatto che le sfaccettature del diritto alla protezione dei dati personali «non possono cogliersi solamente con le lenti della dottrina italiana ma facendo necessariamente i conti con il processo di integrazione europea, che non certo insensibile alle istanze personalistiche, si sviluppa e nasce attorno al fenomeno economico»; sì che «oggetto della disciplina è l’attività di trattamento secondo il principio proprio delle attività economiche, della libera circolazione dei dati personali nell’Unione»[49].

I significati deontici del Regolamento privacy, pertanto, vanno ricostruiti nel più ampio contesto degli obiettivi istituzionali dell’Unione europea, specie in quello concernente l’instaurazione e il funzionamento del mercato interno, quale spazio senza frontiere interne, nel quale è garantita la libera circolazione delle merci, delle persone, dei servizi e dei capitali» (art. 26, par. 2, TFUE); obiettivo che, nello specifico, va declinato nelle politiche del mercato unico digitale[50]. Inteso in questo ordine di senso, il GDPR detta quindi le regole della circolazione di una particolare risorsa, le informazioni personali, considerando che su di essa si concentrano interessi sia di soggetti pubblici sia di soggetti privati e che in molti casi l’attività di questi soggetti si dispiega essenzialmente all’insegna del trattamento di dati personali (paradigmatica è l’attività delle imprese di profilazione)[51].

Riprendendo allora gli assunti generali testé enunciati, la persona fisica che fornisce i propri dati personali a un operatore economico professionale, a fronte della fornitura di contenuti o servizi digitali ricopre il ruolo di consumatore (e ciò, si noti, indipendentemente dall’età); ragion per cui essa dovrebbe godere non soltanto della specifica tutela contrattuale (quella dettata dalla dir. 2019/770/UE), ma pure di quella generale accordata dal c.d. diritto dei consumi (quella sui contratti a distanza, sulle pratiche commerciali scorrette, sulle clausole vessatorie, ecc.).

In questo senso pare deporre anche il legislatore eurounitario; il quale con la dir. 2019/2161/UE del 27 novembre 2019 estende l’applicazione della dir. 2011/83/UE (sui diritti dei consumatori) oltre che ai contratti di contenuti anche a quelli di servizi digitali per l’acquisizione dei quali i consumatori non pagano denaro ma forniscono, appunto, dati personali.

Peraltro, nel testo della direttiva e della relazione che ha accompagnato la sua proposta, si esprimono, con chiarezza, quei caratteri dei dati personali e quella natura del contratto con cui essi vengono “scambiati”, che si è sin qui tentato di ricostruire. Segnatamente, nella relazione della Commissione europea alla direttiva ancora in forma di proposta[52] si riconosce che, dato il crescente valore economico dei dati personali, i servizi digitali «non possono essere considerati semplicemente “gratuiti”», tanto che i consumatori dovrebbero «avere lo stesso diritto a ottenere informazioni precontrattuali e a sciogliere il contratto entro un periodo di diritto di recesso di quattordici giorni, indipendentemente dal fatto che paghino il servizio in denaro o che forniscano dati personali».

La relazione conferma, quindi, l’irrilevanza, ai fini dell’operatività della disciplina sui contratti del consumatore, della circostanza che il contenuto/servizio digitale sia remunerato da una controprestazione pecuniaria o da dati personali.

Ma ancor più immediato in termini di riconoscimento dell’affinità tra le due fattispecie, tale da esigere il medesimo statuto normativo, fatte salve talune specificità dettate dalla natura del “bene”, è il considerando n. 31; il quale, appunto, reputa che «data la loro somiglianza e la loro interscambiabilità, i servizi digitali a pagamento e i servizi digitali forniti contro dati personali, dovrebbero essere soggetti alle stesse norme» ai sensi della dir. 2011/83/UE[53].

 

  1. Le ricadute di ordine dogmatico e sistematico.

Ammesso che i dati personali, assunti dall’ordinamento a oggetto di un diritto fondamentale della persona, rientrano nell’ambito problematico dei beni giuridici, in quanto risorse idonee a «formare oggetto di diritti» (art. 810 c.c.) – e ciò per effetto di vicende fattuali e normative che assumono carattere paradigmatico nello scenario dei diritti della persona -, la distinzione dogmatica tra diritti/interessi patrimoniali e diritti/interessi non patrimoniali, nell’orizzonte teorico degli atti di disposizione, esige di essere conseguentemente riconsiderata.

E questo, anzitutto, per effetto dell’affermazione nel tempo di una nuova visione della persona, non più identificata col proprio corpo e dunque consegnata alla triade assiologica integrità-inalienabilità-gratuità, bensì comprensiva di un agglomerato di interessi, protetti da altrettanti diritti fondamentali per definizione insaziabili; i quali trovano la loro sintesi valoriale nell’identità personale, in ciò che fa di ogni essere umano un individuo «e cioè un essere unico, irripetibile e diverso da tutti gli altri»[54], e il loro limite dinamico nella dignità. La quale, per il suo carattere inviolabile e la sua forza precettiva che impone rispetto e tutela (art. 1, Carta dei diritti fondamentali UE), assurge a «principio di conformazione del mercato»[55], a limite cioè di ogni forma di esplicazione dell’iniziativa economica privata, la quale non può svolgersi in modo da recare danno, appunto, alla dignità umana (art. 41 Cost.).

Il presidio del principio di dignità ai processi di mercificazione della persona istituisce una zona di intangibilità, non conosciuta dai beni a contenuto meramente patrimoniale, e rispetto alla quale le logiche di mercato, ben assecondate dalla disciplina generale del contratto, devono arretrare. Difatti, qualora nell’ambiente digitale il dato personale venga ridotto a un bene come gli altri (a una mera merce) e il diritto alla sua protezione a un interesse come gli altri (a un semplice interesse), senza considerare l’impatto che il trattamento genera nei riguardi della persona, quel limite è a serio rischio di essere valicato nel momento in cui l’individuo è spogliato della sua identità reale per essere consegnato a un’identità digitale, sovente privativa della sua dignità.

Ebbene, è proprio rispetto all’attuale idea di persona e al processo di patrimonializzazione che ha interessato i “beni” personali, rientrante nel più ampio fenomeno della «contrattualizzazione dei diritti della personalità»[56], che i postulati della classificazione dogmatica suddetta accusano i propri limiti; tant’è che, specie nell’ambito problematico che vede un soggetto porre nel mercato i propri interessi personali, dimensione patrimoniale e dimensione non patrimoniale della persona appaiono, in nome dell’identità, combinati tra loro, nel senso che l’una attrae l’altra, senza tuttavia sopprimerla.

Segnatamente, nell’ordine della complessità bifronte di tali diritti, la quale si celebra all’insegna della comunicazione ontologica della componente personale e di quella patrimoniale, quest’ultima funge da mezzo per il perseguimento del fine di realizzazione dell’identità personale, abbattendo quindi i rigidi steccati della dissociazione categoriale tra patrimonialità e non patrimonialità.

Tale rigidità si rispecchia, peraltro, sulla altrettanto tenace distinzione tra libertà autodeterminativa dell’homo moralis e libertà autodeterminativa dell’homo oeconomicus. Ma se è senz’altro vero che avere ed essere non stanno sullo stesso piano qualificativo, è pure vero che in tante espressioni dell’agire umano, specie quelle che concernono gli «atti della vita corrente»[57], quelle due dimensioni interagiscono in un inscindibile rapporto funzionale.

E le coordinate di questa interazione vanno tracciate all’insegna della cifra assiologica della dignità umana, che funge da garanzia affinché i meccanismi di mercificazione non snaturino il diritto fondamentale; il quale deve permanere tale, tollerando, nell’ordine dell’eticamente e del giuridicamente possibile, soltanto la concessione di un utilizzo circostanziato e condizionato dal consenso del titolare del diritto e mai il trasferimento della titolarità del “bene”, ovvero l’appropriazione esclusiva e definitiva[58].

In sostanza, l’oggetto e l’effetto dell’atto di disposizione di un “bene” personale, con il quale si autorizza l’interferenza altrui nella propria sfera non patrimoniale, riguardano esclusivamente l’esercizio del diritto e non la sua titolarità; ma anche con riguardo al primo, quell’atto può incidere soltanto sull’esclusività e non sulla permanenza in capo al titolare. Sì che specialmente l’effetto si produce e si afferma entro la posizione dei limiti ontologici segnati dalla struttura e dai contenuti dello specifico diritto soggettivo assoluto.

Allora, riprendendo il riferimento normativo evocato all’inizio di questi discorsi, ovvero l’art. 8 GDPR, si può concludere nel senso che, superata la incomunicabilità tra dimensione patrimoniale e dimensione personale del soggetto e ridefinita nei termini che abbiamo esposto la categoria dell’atto di disposizione, risulta verificata la fragilità della lettura (e dei relativi esiti) che con riguardo al minore di età tiene distinto il momento del consenso al trattamento dei dati dal momento contrattuale.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | 2020 Maggioli Editore

12.90 €  10.97 €

Note

[1] Camardi, Relazione di filiazione e privacy. Brevi note sull’autodeterminazione del minore, in Jus civile, 2018, p. 831 ss.; Bianca, Il minore e i nuovi media, in Autodeterminazione e minore età. Itinerari di diritto minorile, a cura di Senigaglia, Pisa, 2019, p. 145 ss.; Aa.Vv., Minori e privacy. La tutela dei dati personali dei bambini e degli adolescenti alla luce del Regolamento (UE) 2016/679, a cura di Annoni e Thiene, Napoli, 2019, passim; Capilli, La tutela dei dati personali dei minori, in Circolazione e protezione dei dati personali, tra libertà e regole del mercatoCommentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d. lgs. n. 196/2003 (Codice Privacy), a cura di Panetta, Milano, 2019, p. 259 ss.; Astone, L’accesso dei minori d’età ai servizi della c.d. società dell’informazione: l’art. 8 del Reg. (UE) 2016/679 e i suoi riflessi sul Codice per la protezione dei dati personali, in questa rivista, 2019, p. 633 ss.; Id., I dati personali dei minori in rete. Dall’internet delle persone all’internet delle cose, Milano, 2019, p. 25 ss.; Di Tano, Minori, consenso privacy e vulnerabilità online: riflessioni alla luce del Regolamento generale sulla protezione dei dati (UE) 2016/679, in Notizie di Politeia, 2019, XXXV, p. 46 ss.; Bravo, Le condizioni di liceità del trattamento di dati personali, in La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d. lgs. 10 agosto 2018, n. 101, opera diretta da Finocchiaro, Bologna, 2019, p. 164 ss.

[2] Lucchini Guastalla, Il nuovo regolamento europeo sul trattamento dei dati personali: i principi ispiratori, in questa rivista, 2018, p. 117. Una lettura differente è condotta da Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, Torino, 2019, p. 54 s.

[3] Stanzione, Capacità e minore età nella problematica della persona umana, con la prefazione di Pane, rist. dell’edizione del 1975, Napoli, 2018, p. 250 s.; Busnelli, Capacità ed incapacità del minore, in Dir. fam., 1982, 61 s.; Giardina, La condizione giuridica del minore, Napoli, 1984, p. 15 ss., la quale evidenzia come già nel Code Napoléon, la puissance paternelle era in realtà lo strumento di tutela dell’individuo proprietario; Giorgianni, In tema di capacità del minore di età, in Riv. dir. civ., 1987, p. 107 ss.; Palmeri, Diritti senza poteri. La condizione giuridica dei minori, Napoli, 1994, 15 ss.; Senigaglia, «Consenso libero e informato» del minorenne tra capacità e identità, in Rass. dir. civ., 2018, p. 1319 ss.; Giardina, Il minore e il contratto, in Autodeterminazione e minore età. Itinerari di diritto minorile, a cura di Senigaglia, cit., p. 169 ss.

[4] De Cupis, I diritti della personalità, in Tratt. dir. civ. comm., già diretto da Cicu e Messineo e continuato da Mengoni, Milano, 1982, p. 93 ss.; Messinetti, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, in Riv. crit. dir. priv., 1998, p. 339 ss.; Rodotà, Tecnologie e diritti, Bologna, 1995, p. 82 ss.; Nicolussi, voce Autonomia privata e diritti della persona, in Enc. dir., Annali, IV, Milano, 2011, p. 137; Resta, Dignità, persone, mercati, Torino, 2014, p. 87 ss.

[5] Di Sabato, Le relazioni economiche del minore, in Dir. succ. fam., 2015, p. 700.

[6] Pugliatti, L’atto di disposizione e il trasferimento dei diritti, in Id., Diritto civile. Metodo – Teoria – Pratica. Saggi, Milano, 1951, p. 13. L’a. spiega che rispetto a questi diritti «vien meno l’elemento obbiettivo della c.d. facoltà di disposizione, e l’elemento subbiettivo, cioè la capacità di agire del soggetto, non può da solo rendere possibile la trasmissione di diritti che, per mancanza di attitudine propria (sia perché sono strettamente inerenti alla persona del titolare, sia perché la legge li dichiara intrasmissibili) non possono formare obbietto di trasferimento».

[7] Pugliatti, op. cit., p. 7, il quale osserva ulteriormente che privo dell’attitudine a costituire oggetto di atti dispositivi «il diritto subbiettivo non si può concepire, perché perde ogni vitalità e diviene materia inerte, incapace persino di ricevere la spinta di energie esterne. Solo per via di astrazione si può considerare questo elemento come qualcosa di distinto rispetto al diritto subbiettivo e di staccato da esso».

[8] Resta, Contratto e diritti della personalità, in Trattato del contratto, diretto da Roppo, VI, Interferenze, a cura di Roppo, Milano, 2006, 10; Id., Dignità, persone e mercati, Torino, 2014, p. 34.

[9] De Franceschi, Il «pagamento» mediante dati personali, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., 1384. V. inoltre Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, Milano, 2018, p. 19 ss.

[10] Cass., 28 marzo 2006, n. 7083, in banca dati De Jure; Cass., 29 maggio 2006, n. 12801, in Resp. civ. prev., 2007, p. 554; Cass., 11 agosto 2009, n. 18218, in Danno resp., 2010, p. 471, con nota di G. Resta, L’immagine dei beni in cassazione, ovvero: l’insostenibile leggerezza della logica proprietaria; Cass., 8 aprile 2014, n. 8153, in Dir. gius., 2014, 9 aprile; Cass., 29 gennaio 2016, n. 1748, in Danno resp. 2017, p. 47, con nota di Barni, Cassazione e diritto all’immagine: divulgazione del ritratto per scopi pubblicitari, revocabilità del consenso, tutela risarcitoria; App. Torino, 20 gennaio 2017, in Ann. it. dir. aut., 2018, 619; Trib. Torino, 26 gennaio 2006, in Riv. dir. ind., 2006, II, p. 356, con nota di Peron, Il diritto al nome, il consenso al suo sfruttamento ed i danni risarcibili; Trib. Milano, 9 febbraio 2015, in banca dati De Jure. Si veda anche Di Nicola, L’atto di disposizione del diritto all’immagine ha, dunque, natura contrattuale, in Foro.it, 2005, p. 463 ss.

[11] Altavilla, Le dimissioni del lavoratore, Milano, 1987, passim; Grandi, Persona e contratto di lavoro. Riflessioni storico-critiche sul lavoro come oggetto del contratto di lavoro, in Arg. dir. lav., 1999, p. 309 ss.; Del Conte, Le dimissioni e la risoluzione consensuale nel contratto di lavoro, Milano, 2012, passim; Pistoni, Recesso dal rapporto di lavoro e tutele dei lavoratori, in Dir. prat. lav., 2012, p. 253 ss.

[12] Zeno Zencovich, Profili negoziali degli attributi della personalità, in Dir. inf., 1993, p. 555 s., il quale segnala anche i casi «per così dire rovesciati, in cui è il soggetto a prestare un corrispettivo al terzo in cambio dell’attività di pubblicizzazione della personalità che questo si impegna a svolgere: si pensi al ruolo degli agenti e degli “uffici stampa” nel mondo dello spettacolo». Cfr. anche Loiseau, Le nom objet d’un contrat, Paris, 1997, passim; Marino, Les contrats portant sur l’image des personnes, in Communication-Commerce Électr., 2003, p. 10 ss.

[13]  Cuffaro, Il diritto europeo sul trattamento dei dati personali e la sua applicazione in Italia: elementi per un bilancio ventennale, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., p. 20 s. V. pure Rodotà, Privacy e costruzione della sfera privata. Ipotesi e prospettive, in Pol. dir., 1991, p. 521 ss.; Id., Tecnologie e diritti, Bologna, 1995, p. 27 ss.

[14] Calisai, I diritti dell’interessato, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., p. 327 ss.; Zorzi Galgano, Le due anime del GDPR e la tutela del diritto alla privacy, in Persona e mercato dei dati. Riflessioni sul GDPR, a cura di Zorzi Galgano, Padova, 2019, p. 35 ss.

[15] Resta, Contratto e diritti della personalità, cit., p. 14. Di «beni-fine» discorre invece Nicolussi, voce Autonomia privata e diritti della persona, cit., p. 138. Sulla questione v. inoltre Castronovo, Autodeterminazione e diritto privato, in Eur. dir. priv., 2010, p. 1051.

[16] Resta e Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, in Riv. trim. dir. proc. civ., 2018, p. 432; Bravo, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, in Foro.it, 2019, p. 43; Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, cit., p. 53 ss.

[17] Si rinvia alle precisazioni contenute in EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, 4 maggio 2020, reperibili all’indirizzo “” https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf. V., inoltre, Bravo, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, cit., p. 55. Si veda anche Cass., 2 luglio 2018, n. 17278, in Nuova giur. civ., 2019, p. 1775, con nota di Zanovello, Consenso libero e specifico alle e-mail promozionali, la quale ritiene che la previsione normativa (il riferimento testuale è all’abrogato art. 23 del Codice della privacy, la cui previsione è ora contenuta nell’art. 7 GDPR) consenta «al gestore di un sito Internet, il quale somministri un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio (nella specie servizio di newsletter su tematiche legata alla finanza, al fisco, al diritto e al lavoro), di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, sempre che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto, il che comporta altresì la necessità, almeno, dell’indicazione dei settori merceologici o dei servizi cui i messaggi pubblicitari saranno riferiti».

[18] Camardi, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione di dati personali, in Giust. civ., 2019, p. 499 ss.; De Cristofaro, 40 anni di diritto europeo dei contratti dei consumatori: linee evolutive e prospettive future, in Contr., 2019, p. 187 ss.

[19] De Franceschi, Il «pagamento» mediante dati personali, cit., p. 1393-1394.

[20] Apertamente contrario alla qualificazione in termini di “corrispettivo non pecuniario” si è infatti dimostrato il Garante europeo della protezione dei dati; il quale nell’Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning ontracts or the supply of digital content del 14 marzo 2017 raccomandava di evitare l’indicazione dei dati personali come possibile controprestazione poiché «personal information is related to a fundamental right and cannot be considered as a commodity». Sulla questione v. Ricciuto, Nuove prospettive del diritto privato dell’economia, in Picozza e Ricciuto, Diritto dell’economia, 2a ed., Torino, 2017, p. 357 ss.; Resta e Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, cit., p. 411 ss.; De Franceschi, Il «pagamento» mediante dati personali, cit., p. 1393.

[21]  Tutto ciò è stato successivamente ribadito dalla dir. 2019/2161/UE del 27 novembre 2019, che modifica la dir. 93/13/CEE del Consiglio e le dir. 98/6/CE, 2005/29/CE e 2011/83/UE del Parlamento europeo e del Consiglio per una migliore applicazione e una modernizzazione delle norme dell’Unione relative alla protezione dei consumatori.

[22] De Franceschi, Il «pagamento» mediante dati personali, cit., p. 1388. L’a. aggiunge che «contro un comportamento scorretto dell’offerente e al fine di garantire un’adeguata protezione del consumatore» non è «decisivo se i dati personali vengano forniti “attivamente” o “passivamente” bensì se per mezzo» di quella fornitura «il consumatore “paghi” consapevolmente o inconsapevolmente con i propri dati personali: tali dati possono venire trasmessi infatti “passivamente” (ovvero: prelevati direttamente da colui che mira ad effettuarne il trattamento), ma, ciononostante, in modo consapevole, e viceversa». Si veda anche Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, cit., p. 160 ss.

[23] Thobani, La libertà del consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità, in Eur. dir. priv., 2016, p. 526 s., la quale aggiunge che «ragionando diversamente sarebbe sufficiente inserire il consenso in un contratto invece che in una dichiarazione unilaterale per escludere l’applicazione delle norme dettate dal Codice della privacy».

[24]  Così nel considerando n. 19 della dir. 2019/770/UE.

[25] Perlingieri, La tutela dei minori di età nei social networks, in Rass. dir. civ., 2016, p. 1333 ritiene che il «consenso prestato al momento dell’iscrizione o registrazione alla piattaforma sociale» non sia «suscettibile di essere ricondotto nell’alveo del consenso al trattamento dei dati personali, giacché occorre inquadrare la questione in una prospettiva più complessa legata alla concreta ed effettiva operazione negoziale che si pone in essere».

[26] Alvisi, Dati personali e diritti dei consumatori, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., p. 674; v. inoltre Memmo, La privacy informatica: linee di un percorso normativo, in Foro.it, 2000, p. 1213 ss.

[27] Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Dir. inf., 2018, p. 709.

[28] T.a.r. Lazio, Roma, 10 gennaio 2020, n. 260, in Dir. gius., 2020, 13 gennaio, il quale aggiunge che «il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazione che sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network“».

[29] Perlingieri, L’informazione come bene giuridico, in Rass. dir. civ., 1990, p. 339.

[30] Resta, Dignità, persone, mercati, cit., p. 101. D’altro canto la differenza tra le cose corporali e le cose incorporali (tra cui le informazioni personali) sta proprio nel fatto che mentre le prime sono necessariamente beni giuridici (anche se nullius) perché idonee a divenire «oggetto di diritti», le seconde assumono «la fisionomia di bene autonomo e rilevante per il diritto in funzione di una determinata utilità socialmente e giuridicamente meritevole»; così Perlingieri, L’informazione come bene giuridico, cit., p. 333 s., il quale aggiunge che «qui l’interesse sull’informazione non è connaturale, ma risulta la conseguenza della sua utilità sociale sia pure misurata ad un interesse soggettivo determinato, quasi sempre connesso o collegato a situazioni più complesse nelle quali l’informazione ha tuttavia una sua individualità». Sulla categoria del bene giuridico, fondamentale è il contributo di Pugliatti, voce Beni (teoria gen.), in Enc. dir., V, Milano, 1959, 173.

[31] Poletti, Le condizioni di liceità del trattamento dei dati personali, in GDPR tra continuità e discontinuità,a cura di Caterina, in Giur. it., 2019, 2786; C. Perlingieri, Data as the Object of a Contract and Contract Epistemology, in The Italian Law Journal, 2019, 2, p. 624 s.

[32] Perlingieri, L’informazione come bene giuridico, cit., p. 338 s.

[33]  Thobani, La libertà del consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità, cit., p. 520; Id., Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, cit., p. 158 ss. Vedi anche Gitti, L’oggetto del contratto e le fonti di determinazione dell’oggetto dei contratti di massa, in Riv. dir. civ., 2005, I, p. 11 ss.; Id., Problemi dell’oggetto, in Trattato del contratto, diretto da V. Roppo, II, Regolamento, a cura di G. Vettori, Milano, 2006, p. 19 ss.

[34] Mantelero, La privacy all’epoca dei Big Data, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., p. 1185.

[35] Resta, Dignità, persone, mercati, cit., 73, la locuzione “diritti della personalità”, nel discorso del gius-privatista è comunemente impiegata «per designare una particolare tipologia di diritti soggettivi, aventi ad oggetto attributi della personalità fisica ed immateriale e connotati, sul piano del regime giuridico, da caratteri antitetici rispetto a quelli tipici dei diritti patrimoniali (inalienabilità, irrinunziabilità, ecc.)». Sulla categoria si rinvia a De Cupis, I diritti della personalità, cit., passim; Rescigno, voce Personalità (diritti della), in Enc. giur., XXIII, Roma, 1991; Zeno Zencovich, voce Personalità (diritti della), in Dig. disc. priv., sez. civ., XIII, Torino, 1995, p. 430 ss.

[36] Resta e Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, cit., p. 422; i quali, con riferimento alla circolazione onerosa di dati personali, osservano che il principio della forza di legge del contratto «cede il passo all’esigenza di mantenere in capo al soggetto il potere di autodeterminarsi in relazione agli attributi della propria personalità».

[37] Nicolussi, voce Autonomia privata e diritti della persona, cit., 148. Si veda anche Cuffaro, Il consenso dell’interessato, in La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, Torino, 1997, p. 223; Astone, L’arricchimento senza causa, Milano, 1999, p. 143 ss.; Resta, Contratto e diritti della personalità, cit., p. 94; Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali il trattamento in massa dei dati personali, cit., p. 186 ss.

[38] Naddeo, Il consenso al trattamento dei dati personali del minore, in Dir. inf., 2018, p. 33-34.

[39] Su questo aspetto v. Cass., 2 luglio 2018, n. 17278, cit. Cfr. anche Thobani,Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, cit., p. 119 ss.; Bravo, Lo “scambio di dati personali” nei contratti di fornitura dei servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, cit., p. 45 ss.; Camardi, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione di dati personali, cit., p. 510 s.

[40] Lucifredi, voce Atti complessi, in Noviss. dig. it., I, t. 2, Torino, 1957, 1503. V. inoltre Migliarese, voce Atto complesso, in Enc. giur., IV, Roma, 1988.

[41] Bravo, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, cit., p. 39.

[42] Resta, Dignità, persone, mercati, cit., p. 18.

[43] Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, cit., p. 38 ss.

[44] Di questo si tratta, nonostante il testo in italiano della disposizione si esprima in termini di «diritto di recedere dal contratto».

[45] Resta e Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, cit., p. 422. La necessità, poi, di istituire un regime disciplinare differenziato è dettata dalle peculiarità dei connotati del bene che costituisce oggetto del contratto: l’uno, le informazioni personali, non quantitativamente ridimensionabile; l’altro, il prezzo, passibile invece di revisione quantitativa. Sì che quando si forniscono dati personali, il difetto di conformità non può essere compensato riducendo la “controprestazione”; la quale, invece, nella sua inattaccabile integrità, trova la propria ragione di essere nella conformità del contenuto/servizio digitale acquisito. Per questo, pure il vizio lieve assume rilevanza.

[46] Alvisi, Dati personali e diritti dei consumatori, cit., p. 675; Farace, Privacy by design e privacy by default, in Privacy digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, a cura di Tosi, Milano, 2019, 489 ss.; Finocchiaro, Il principio di accountabilityin GDPR tra continuità e discontinuità, a cura di Caterina, cit., 2778 ss.

[47] Mantelero, La gestione del rischio, in La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, opera diretta da Finocchiaro, cit., p. 473 ss.

[48] D’Orazio, La tutela multilivello del diritto alla protezione dei dati personali e la dimensione globale, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., p. 67.

[49] Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, cit., p. 53 s.

[50] Aspetto, questo, che ben si coglie nel considerando n. 6 del Reg. UE 2016/679, il quale afferma che «la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quante alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che le riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali».

[51] Pierucci, Elaborazione dei dati e profilazione delle persone, in I dati personali nel diritto europeo, a cura di Cuffaro, D’Orazio e Ricciuto, cit., p. 413 ss.

[52] Reperibile al seguente indirizzo: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52018PC0185&from=EN.

[53] In tal senso l’art. 4, par. 1, n. 2, lett. b), della direttiva, tra le modifiche da apportare all’art. 3 della dir. 2011/83/UE, prevede anche l’inserimento del seguente paragrafo 1 bis: «La presente direttiva si applica anche se il professionista fornisce o si impegna a fornire un contenuto digitale mediante un supporto non materiale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali al professionista, tranne i casi in cui i dati personali forniti dal consumatore siano trattati dal professionista esclusivamente ai fini della fornitura del contenuto digitale su supporto non materiale o del servizio digitale a norma della presente direttiva o per consentire l’assolvimento degli obblighi di legge cui il professionista è soggetto, e questi non tratti tali dati per nessun altro scopo».

[54] Ferri, Privacy e identità personale, in Persona e formalismo giuridico. Saggi di diritto civile, cit., p. 234. V. anche De Cupis, I diritti della personalità, cit., p. 3.

[55] Nicolussi, voce Autonomia privata e diritti della persona, cit., p. 136.

[56]  Resta, Dignità, persone, mercati, cit., p. 99. V. inoltre, Loiseau, La contractualisation des droits de la personnalité, in JCP, 2012, 4, p. 135.

[57] Trattasi della categoria fatta propria dal legislatore del Codice civile francese (il quale si riferisce a «les actes courants»), non esattamente corrispondente a quella, più di matrice domestica, degli atti della vita quotidiana.

[58] In tal senso v. Cass., 17 febbraio 2004, n. 3014, in Dir. gius., 2004, 21, p. 207; Cass., 19 novembre 2008, n. 27506, in Foro it., 2009, I, c. 2728, con nota di Ubertazzi, Dubbi sulla revocabilità del consenso l’utilizzazione dell’immagine; Cass., 29 gennaio 2016, n. 1748, in Riv. dir. ind., 2017, 1, II, p. 230 ss.; Trib. Torino, 26 gennaio 2006, in Riv. dir. ind., 2006, II, 356 con nota di Peron, Il diritto al nome, il consenso al suo sfruttamento ed i danni risarcibili. Si veda inoltre Perlingieri, L’informazione come bene giuridico, cit., p. 330, il quale osserva che l’esclusività «non è sempre caratteristica della proprietà o della sola proprietà, ed è comunque assente in quelle situazioni soggettive non caratterizzate dallo ius excludendi alios. Questo se mai caratterizza una certa nozione di diritto soggettivo e comunque non qualsiasi situazione giuridica». V. anche Resta, Dignità, persone, mercati, cit., p. 93, il quale precisa che qualsiasi negozio «avente a oggetto attributi della persona (…) non potrà validamente realizzare alcun fenomeno di alienazione traslativa delle situazioni coinvolte».

Avv. Martina Liaci

Scrivi un commento

Accedi per poter inserire un commento