ISSN 2421-2563El trabajo se refiere a los contratos de intercambio entre servicios o contenidos digitales y datos personales del consumidor. Una vez identificados los supuestos en los que la declaración con la que el consumidor comunica sus datos personales tiene carácter negocial y constatada la disponibilidad y comerciabilidad de los datos personales, la investigación se centra en los efectos del contrato en cuestión, para reconstruir hermenéuticamente los numerosos aspectos de la disciplina que la directiva n. 770 de 2019 no trata.
Il lavoro ha ad oggetto i contratti di scambio tra servizi o contenuti digitali e dati personali del consumatore. Individuati i casi in cui la dichiarazione con la quale il consumatore comunica i propri dati personali ha natura negoziale e accertata la disponibilità e la commerciabilità dei dati personali, l’indagine si sofferma sugli effetti del contratto in discorso, per ricostruire in via ermeneutica i molti aspetti della disciplina di cui la direttiva n. 770 del 2019 non si occupa.
Keywords: dati personali - consumatore - servizi digitali
Angela La Spina - La trasmisión de los datos de carácter personal del consumidor para la adquisición de servicios y contenidos digitales
1. La naturaleza de la declaración en la comunicación de los datos de carácter personal para el acceso a servicios y contenidos digitales. - 2. La disponibilidad y la naturaleza transaccional de los datos de carácter personal. - 3. El contrato para el intercambio entre servicios o contenidos digitales y datos de carácter personal del consumidor. - 3.1. El acuerdo. - 3.2. El objeto. - 4. Los efectos del contrato: a) La limitada vinculación del consentimiento y el distinto alcance en caso de incumplimiento. - 4.1. b) La cesión de datos personales a título oneroso y la constitución de un derecho de uso y disfrute a favor del empresario.
El comportamiento mediante el cual un sujeto comunica sus datos de carácter personal y autoriza su recogida y tratamiento ha sido calificado tradicionalmente como una declaración de voluntad no transaccional de tipo autorizatorio[1], aunque en los múltiples supuestos, y cada vez con más frecuencia, en los que el sujeto comunica sus datos de carácter personal para acceder a servicios o contenidos digitales, la declaración prestada por el mismo parece encuadrarse de manera más verosímil en una transacción, especialmente cuando tenga por objeto datos no necesarios para la ejecución de la prestación por parte de quién los recibe.
De hecho, la doctrina del Reglamento UE n. 679/2016[2] parece imbuida de las declaraciones de voluntad no transaccionales, de tipo autorizatorio[3], a través de las cuales el sujeto legitima la actividad ajena de recogida y tratamiento de sus propios datos de carácter personal y, en este sentido, sin duda las condiciones de eficacia del consentimiento son proporcionadas de tal manera que salvaguardan la efectividad del mismo. En todo caso, la normativa reglamentaria demuestra no ignorar, más al contrario, prestar especial atención, al menos en perspectiva, las particulares exigencias de tutela que emergen en los supuestos en los que estas declaraciones presenten naturaleza transaccional.
El Reglamento, persiguiendo el objetivo de crear un clima de confianza a la hora de implementar la libre circulación de datos de carácter personal, estratégicamente se sirve de determinados instrumentos que puedan garantizar pleno conocimiento y libertad al usuario que exprime una declaración con la que transmite información sobre su persona y autoriza la recogida y tratamiento de sus datos, de tal manera que tranquiliza el usuario y lo pone en condición de proporcionar datos cada vez más numerosos a la par que veraces.
Además de dar más fuerza a la relevancia conferida a la plena conciencia del declarante[4], que confirma la perspectiva normativa dirigida a proteger el sujeto que emite una declaración de tipo autorizatorio de las reservas[5] y de los malentendidos[6] a los que pueden dar lugar las peticiones recibidas, el Reglamento se muestra sensible a la necesidad del usuario de ser protegido incluso de las insidias que en el contexto comercial digital pueden determinar la concesión de declaraciones que aun siendo conscientes, no son proporcionadas de una forma libre.
El Reglamento, de hecho, dedica especial atención a la libertad con la que se presta el consentimiento, que condiciona la vinculatoriedad de la declaración de voluntad con la que el sujeto lo exprime, antes incluso que la propia consciencia e inequivocabilidad de la misma; la libertad, en la definición de consentimiento informado proporcionada por el Reglamento, constituye de hecho, como adelanta además el considerando n. 32 y como asimismo emergía ya del literal del art. 23 del “codice della privacy”, el primer e indisponible requisito que tiene que presentar la declaración para incluirse en ese consentimiento que legitima la recogida y el tratamiento de los datos de carácter personal.
Sin embargo, al contrario de lo previsto en la normativa anterior, la que introduce el Reglamento no se limita a requerir que el consentimiento sea otorgado de manera libre, más hace foco en determinados parámetros dirigidos a verificar tal libertad y proporciona además significativas indicaciones ermeneuticas para su uso.
Tanto es así, que del texto legislativo y de las consideraciones previas, se pone claramente en evidencia que el requisito de la libertad del consentimiento se considera por parte del legislador europeo como una prioridad considerando especialmente las, así llamadas, operaciones de tying[7], esto es de la práctica establecida especialmente (pero no solo) en el entorno digital, de subordinar la transferencia de bienes o la prestación de servicios supuestamente gratuitos al consentimiento del usuario para la recogida y sucesivo tratamiento de sus datos personales; la particularidad de estas operaciones radica en el hecho que es requerido el consentimiento para la recogida (o transmisión) y el tratamiento de los datos no necesarios para la concesión del servicio ofrecido, o el consentimiento para el tratamiento de los datos necesarios para la ejecución del contrato incluso para fines distintos y adicionales al mismo[8]. La referencia, por tanto, es principalmente a esas posibilidades, no específicamente tratadas como tales por el Reglamento, pero por el mismo a la vez debidamente tenidas en consideración, en las que el consentimiento integra una declaración de voluntad transaccional.
Así, conforme al párrafo 4 del art. 7, para evaluar la libertad del consentimiento, debe tenerse en cuenta específica y especialmente, aunque no de forma exclusiva, la posibilidad de que el otorgamiento del susodicho consentimiento se hubiera configurado como condición para la ejecución de un contrato. De la lectura de los considerandos emerge además que para verificar la libertad del consentimiento, especialmente en los casos en los que tenga que ser expreso para el acceso a bienes y servicios, es preciso confirmar si ello, por las modalidades por las que es requerido, “no perturba innecesariamente el uso del servicio para el que se presta” (considerando n. 32), o “si la ejecución de un contrato se supedita al consentimiento al tratamiento que no son necesarios para la ejecución de dicho contrato” o, por último, ”cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno” (considerando n. 42).
Con el fin además de dar más fuerza a la garantía en aras a la libertad del consentimiento, el considerando n. 43 subraya la posibilidad de que, en los supuestos en los que exista un desequilibrio manifiesto entre el interesado y el titular del tratamiento, “el consentimiento no deba constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal” puesto que resulta improbable que haya sido formulado libremente, haciendo presagiar que en estos casos el tratamiento sea legitimado por otro supuesto; el mismo texto incide a mayor abundamiento, debido a estos supuestos, en la presunción específica “que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento”.
Por tanto, en las relaciones en las que el usuario se encuentre en posición de particular debilidad respecto a la otra parte, en la que existe un desequilibrio de poder que pueda ser considerado significativo, el consentimiento que se pueda prestar por este ha de calificarse como no vinculante y, por consiguiente, la no transmisión de los datos requeridos o la falta de consentimiento para su tratamiento es absolutamente irrelevante para que el contrato pueda ejecutarse[9], de tal forma que la posible suspensión del servicio implica por parte del autor incurrir en incumplimiento contractual[10]. Esta protección mejorada se da en todo caso exclusivamente en los supuestos en los que el desequilibrio entre las partes se considere significativo por lo que, como emerge del literal del mencionado considerando n. 43, hablamos de casos que versen no tanto sobre un desequilibrio determinado porque las partes manejen distinta información, lo cual es propio de los contratos de consumo, sino más bien de supuestos particulares en los que la evidente subordinación del usuario hacia el titular del tratamiento haga sí que resulte improbable pensar que el consentimiento se haya prestado de una manera libre[11].
Más allá de estos supuestos, y por tanto respecto incluso de relaciones entre consumidores y el empresario en las que el desequilibrio implícito a la clase de relación es de tipo informativo y por consiguiente no precisa de una protección mejorada, la mera circunstancia que la prestación de un servicio sea condicionada a la transmisión de los datos (incluso sensibles y no necesarios para que pueda desarrollarse dicha relación) y a la concesión del consentimiento para su tratamiento (inclusive para finalidades adicionales a la prestación del servicio), no parece deba per se reputarse ilegítima; por consiguiente el eventual consentimiento expresado por el usuario no tiene por qué considerarse falto del requisito de la libertad.
El tenor del texto de la disposición de hecho no prohíbe formalmente condicionar la ejecución de un contrato a la concesión del consentimiento sino más bien, de manera mucho más modesta, apunta tal circunstancia como posible (quizás probable) indicio de adulteración de la libertad del declarante[12]. Tanto es así que una interpretación más rígida, como la sugerida por las Directrices del grupo de trabajo sobre el consentimiento del 10 de abril de 2018 en su artículo 29[13] parece atribuir a la norma (art. 7 párrafo 4) un alcance mucho más coercitivo de lo que se pueda entender del tenor literal del mismo[14], y en algunos aspectos también no del todo ceñido a la ratio de la regulación introducida por el Reglamento, que está dirigida no tanto, y no solo, a garantizar el derecho fundamental a la protección de los datos de carácter personal, sino también al mismo tiempo a promover su difusión[15] apoyando de esta forma el pleno desarrollo del tejido empresarial que se vale de los mismos.
* Este trabajo reproduce, con la adición de las referencias bibliográficas y con el desarrollo de ciertos pasajes argumentativos, la ponencia dictada por el Autor en las Jornadas internacionales sobre el tema de “Los nuevos retos en la protección del consumidor. Una mirada italiana y argentina”, organizadas por la Facultad de Dere-cho y Ciencias Sociales y Políticas de la Universidad Nacional del Nordeste (Argentina), en el marco de los convenios con las Universidades de Messina, Perugia y Pavia (Corrientes, 5 de noviembre de 2021, modalidad on line).
[1] Para la consideración del consentimiento al tratamiento de los datos de carácter personal como acto no negocial, cfr., S. Patti, Il consenso dell’interessato al trattamento dei dati personali, en Riv. dir. civ., 1999, II, 455 ss. Califica el consentimiento específicamente como permiso con el que el sujeto autoriza el tratamiento, ex multis, G. Riem, Commento sub art. 23, en Codice della privacy. Commento al Decreto Legislativo 30 giugno 2003, n. 196, t. I., Milano 2004, 368 ss. Para una síntesis sobre la diatriba respecto de la naturaleza del consentimiento para el tratamiento de los datos de carácter personal, V. Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Dir. inf., 2018, 701 ss.; S. Sica, Il consenso al trattamento dei dati personali: metodi e modelli di qualificazione giuridica, in Riv. dir. civ., 2001, II, 627; V. Carbone, Il consenso, anzi i consensi, nel trattamento informatico dei dati personali, in Danno e resp., 1998, 25 s.
[2] Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
[3] Sobre la naturaleza jurídica de la autorización, o permiso, como declaración del poseedor de un derecho relativa a un comportamiento ajeno, cfr. V. PANUCCIO, Le dichiarazione non negoziali di volontà, Milano, 1960, 51 ss.
[4] La relevancia atribuida a la conciencia del declarante emerge ya de la definición de «consentimiento del interesado» proporcionada por el art. 4 párrafo 1 n. 11 que dispone que solo se puede considerar de esa forma si manifestado expresamente “mediante declaración o una clara acción afirmativa”; ello no solo excluye, como especificado por el considerando n. 32, que el silencio o la inacción pueden integrar el consentimiento, sino que, impone que la petición por parte del destinatario de la declaración sea ofrecida de una forma tal que pueda garantizar que la elección realizada esté verdaderamente orientada hacia el consentimiento. Como ha confirmado la Corte di Giustizia, de hecho, el consentimiento no se considera validamente prestado cuando la petición ha sido propuesta a través de un recuadro preseleccionado que el usuario debe anular con el fin de negar su consentimiento. Cfr. Corte giustizia UE, Grande Sezione, 1 octubre 2019, n. 673, en Guida dir., 2019, 43, 30.
[5] La declaración, como además se ha puesto de relieve por la definición legislativa mencionada, debe ser “especifica, informada e inequívoca”. Por lo que, por encima de todo, de conformidad con el art 7, párrafo segundo, la petición debe ser formulada por el requirente de forma claramente diferenciada de cualesquiera otras y de manera comprensible y fácilmente accesible. Además, conforme a los arts. 13 y 14, la petición de transmisión de datos y consentimiento a su tratamiento, debe contener todas las informaciones relativas a la finalidad específica del tratamiento y a la eventual y futura posibilidad de usarlos para otros fines (marketing directo - envío de publicidad ad hoc - o indirecto - elaboración con fines estadísticos o estudios de mercado - perfilación).
[6] Tal y como ya estableció la Suprema Corte aplicando la normativa anterior (cfr. Cass., 2 julio 2018, n. 17278, en Guida al dir., 2018, 31, 20) el consentimiento no puede considerarse vinculante si se ha otorgado de manera genérica a través de una casilla que no indica la descripción detallada de los efectos de su aceptación y que reenvía por un link a otra página web. Siempre con el fin de promover la plena conciencia del declarante, la petición en cuestión debe informar al usuario también de los posibles destinatarios o categorías de los mismos de los datos de carácter personal obtenidos, del período de su conservación y de la posible puesta en marcha de un proceso de toma de decisiones automatizado, incluida la perfilación.
[7] Sobre el tema, cfr. S. Thobani, Operazioni di tying e libertà del consenso, en Giur. it., 2019, 533 ss.
[8] Se trata de supuestos en los que, como ha subrallado la doctrina, el consentimiento se ha “forzado”. Cfr. V. Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, cit., 705 donde el Autor apunta que en las transacciones comerciales en las que el acceso al servicio está condicionado a la concesión del consentimiento, la libertad negocial resulta comprimida o cuando menos reducida, sin que además tal limitación suponga ninguna compensación de tipo patrimonial a favor de la parte contratante más débil.
[9] Así, tal y como se ha confirmado por la jurisprudencia, precisamente en el supuesto en el que el desequilibrio entre las partes es evidente (más específicamente, en el acceso a un crédito), la posible subordinación de la exigibilidad de la prestación por parte del usuario a la concesión del consentimiento al tratamiento de sus datos, especialmente si son muy sensibles y no estrictamente necesarios para la relación en cuestión, queda sin efecto y el usuario tiene sin duda derecho a acceder al bien y al servicio. Cfr. Cass., 21 octubre 2019, n. 26778, en Guida al dir., 2019, 48, 76.
[10] Cfr. M. Triggiani, La banca non può bloccare l’operatività del cliente se questi non firma l’autorizzazione al trattamento dei dati (commento a Cass. civ., sez. I, ord. 21 ottobre 2019, n. 26778), en European Journal of Privacy & Technologies, 2019, II, 146.
[11] A parte de los supuestos en los que el titular del tratamiento sea la Administración Pública, al que hace expresa referencia el literal del mencionado considerando, son perfectamente equiparables al mismo los casos, mencionados también por las Directrices del grupo de trabajo sobre el consentimiento del 10 de abril de 2018 en su artículo 29 (que se pueden consultar aquí: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051), en los que exista entre las partes una relación de trabajo por cuenta ajena, así como todos aquellos en los que el interés particular del usuario lo sitúa en una situación de clara debilidad respecto de la otra parte, entre los que se incluyen tanto las relaciones con las instituciones educativas (también referidas en las mencionadas Directrices) como las que se crean cuando se quiere acceder a un crédito.
[12] Cfr. C. Basunti, La (perduta) centralità del consenso nello specchio delle condizioni di liceità del trattamento dei dati personali, en Contr. Impr., 2020, 883.
[13] Mira lo apuntado en la nota 11. Más en particular, “El Grupo de trabajo considera que el consentimiento no puede considerarse libremente otorgado si el titular del tratamiento opina que se puede elegir por un lado entre el servicio por él prestado, que prevé la concesión del consentimiento al uso de los datos de carácter personal para finalidades adicionales al mismo, y por otro un servicio equivalente ofrecido por otro titular. En ese caso, la libertad de elección dependería de los otros operadores de mercado y del hecho que el usuario opine que los servicios ofrecidos por el segundo sean efectivamente equivalentes. Esto implicaría además la existencia de una obligación por parte del titular del servicio de controlar el pulso del mercado para garantizar la validez del consentimiento para su actividad de tratamiento de los datos, puesto que un competidor podría modificar su servicio en un momento posterior. Por lo tanto, el consentimiento obtenido con este argumento no respecta el reglamento general de protección de datos”.
[14] Asimismo, de hecho, la Corte Suprema, aplicando la anterior legislación (vigente ratione temporis) vista también a la luz de Reglamento a punto de aprobarse, se aleja de las indicaciones más rígidas proporcionadas por las mencionadas Directrices, y considera libremente otorgado el consentimiento del usuario para el supuesto en el que el servicio ofrecido fuera totalmente fungible en tanto en cuanto objeto de una amplia y variada oferta en el mercado y por tanto de tal naturaleza que el usuario hubiera podido renunciar al mismo sin mayor sacrificio. Cfr. Cass., 2 julio 2018, n. 17278, cit.
[15] Respecto de la importancia que la doctrina introducida por el Reglamento da al momento en que empiezan a circular los datos de carácter personal, consulta F. Piraino, Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, en Nuove leggi civ. comm., 2017, 375 ss.; F. Bravo, Sul bilanciamento proporzionale dei diritti e delle libertà “fondamentali”, tra mercato e persona: nuovi assetti nell’ordinamento europeo?, en Contr. Impr., 2018, 204; G. Finocchiaro, Introduzione al Regolamento europeo sulla protezione dei dati, en Nuove leggi civ. comm., 2017, 2 s.
En el plano dogmático, una prohibición absoluta que implique subordinar el acceso a servicios digitales a la trasmisión de datos de carácter personal y a la concesión del consentimiento a su tratamiento, se perfilaría como una figura de tipo específicamente personalística que considera los datos de carácter personal como derechos absolutamente indisponibles y, a fortiori, no negociables de la persona. Muy al contrario, resulta evidente que la doctrina introducida por el Reglamento se dirige hacia una lógica distinta, que no presupone la absoluta indisponibilidad de los datos ni su falta de comerciabilidad, como surje además de la expresa previsión, de entre los derechos del usuario, del que hace referencia a la portabilidad de los propios datos (art. 20 del Reglamento) que atribuye específicamente al sujeto un poder de disposición que tiene por objeto el derecho de uso de una utilidad (los mismos datos) sobre el que él mantenía el control[1].
Como se ha mencionado con anterioridad, del literal de las disposiciones contenidas en el mismo, aparece de manera inequívoca que, tal y como ha puesto en evidencia la Suprema Corte[2] y confirmado incluso la jurisprudencia alemana[3], el Reglamento no establece de ninguna manera un principio de indisponibilidad de los datos de carácter personal y ello porque, desde la perspectiva axiológica, no persigue la finalidad de impedir la mercantilización de la persona, sino más bien, a la vista de los considerandos (véase especialmente los números 42, 43 y 89), la de inhibir la concentración de los datos en manos de unos pocos gestores. El objetivo final consiste en evitar que los operadores, aprovechándose de la diferencia de poder existente con los usuarios, consigan hacerse con más y más datos de manera básicamente gratuita, puesto que ello implicaría a la vez el riesgo de falsear la competencia, amén del de socavar derechos y libertades de las personas físicas, con posibles discriminaciones y limitaciones a la libertad de autodeterminación.
El instrumento que parece más adecuado para perseguir el fin axiológico es garantizar lo máximo posible la autodeterminación individual. La prohibición de intercambiar bienes y servicios con datos de carácter personal, considerando las informaciones propias a la identidad del sujeto como atributos absolutamente indisponibles de la persona, no resultaría por el contrario de ningún modo propicio para tal fin, sino más bien correspondería con una lógica paternalística y, por tanto, tendente a privar de responsabilidad al mismo[4]. El Reglamento, por el contrario, sí ha puesto el foco del nuevo sistema normativo sobre la responsabilización del titular del tratamiento, más a latere ha impuesto al usuario determinados estándares de – elevada - atención dirigidos a promover la concienciación, individual y colectiva, respecto del valor, incluso económico, de la información contenida en los datos de carácter personal. El texto legal en su conjunto, precisamente, no solo no configura un principio general de indisponibilidad de los datos, más tampoco se intuye en el mismo siquiera un principio de gratuidad del consentimiento; más bien, se requiere convenientemente un mayor grado de determinación respecto del objeto de los contratos que se traduce en la imposición de un consentimiento específico otorgado a la luz de una información clara y detallada. Por lo tanto, es con toda seguridad admisible la disposición onerosa de los datos de carácter personal y, en consecuencia, el intercambio de los mismos con bienes y servicios. En todo caso, cabría preguntarse cuál sería el objeto de la disposición y sus efectos.
De manera preliminar, conviene subrayar al respecto que la construcción del consentimiento como declaración de voluntad, en estos supuestos, en los que tiene naturaleza transaccional, no determina necesariamente que los datos se consideren como bienes en un sentido esctricto[5], ni implica mucho menos la aceptación de la mercantilización de la persona y por lo tanto tampoco determina un empobrecimiento de la protección del sujeto al que se refieren, puesto que no modifica de ninguna manera el posicionamiento del interés protegido dentro de la jerarquía de los valores del sistema. La protección real, asociada al derecho fundamental de la persona a la protección de sus datos de carácter personal, no resulta por ello mínimamente mermada ni mucho menos reemplazada, sino por el contrario confirmada y reforzada gracias a la tutela de tipo relativo, esto es contractual, de tal manera que, en la confección de los remedios, refleja esa inevitable intersección de planos que se aprecia a nivel axiológico. Resulta claramente evidente de hecho, que precisamente los acuerdos por los que las partes intercambian servicios digitales y datos personales, reflejan la falta de consistencia de la manida dicotomia entre persona y mercado[6]. La protección del interés a la autodeterminación de la propia identidad, claramente precisa que se garantice un control sobre los datos de carácter personal, sobre su recogida, tratamiento y difusión. La necesidad de balancear esto con la exigencia contrapuesta, que bien merece igual protección y que se ha expresamente valorizado por la normativa europea, que consiste en proteger y fomentar la circulación de los datos de carácter personal, conlleva inevitablemente a toparse con figuras propias de la tutela aquiliana y contractual.
[1] Cfr. F. Piraino, Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, cit., 399.
[2] Cfr. Cass., 2 julio 2018, n. 17278, cit., según la cual “el ordenamiento no prohíbe el intercambio de datos de carácter personal, sino que exige sin embargo que tal intercambio sea fruto de un consentimiento pleno y de ninguna manera coaccionado”. Para comentarios al mismo, F. Fabio, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, en Contr. impr., 2019, 34 ss.
[3] En particular modo, el OberlandesgerichtFranckfurta.M., aplicando la doctrina contenida en el RGPD, ha excluído que la libertad, y por tanto la validez del consentimiento al tratamiento de los datos de carácter personal (con fines publicitarios) resulte perjudicada por el mero hecho que esto fuera condición para el acceso a bienes o servicios, ya que no se excluye que el usuario sea totalmente libre de decidir si el servicio valga sus datos, confiriendo por tanto reconocimiento jurídico al intercambio de datos con bienes y servicios. Cfr. T. Pertot, Libertà del consenso al trattamento dei dati personali e portata del c.d. Koppelungsverbot: il punto di vista dell’OLG Frankfurt a.M., in Tecnologie e diritto, 2020, 363 ss.
[4] Tal y como ha puesto de relieve la doctrina, en términos de protección del individuo, la utilidad de lo articulado por el Reglamento no se valora por los remedios ex post, sino más bien por la posibilidad de garantizar ex ante un ejercicio adecuado de la autodeterminación. Cfr. S. Thobani, Operazioni di tying e libertà del consenso, cit., 536.
[5] Como ha evidenciado la mejor doctrina, el concepto de bien no está estrictamente conectado al disfrute de forma exclusiva, sino más bien a satisfacer una necesidad humana, calidad que con toda seguridad posee la información. Cfr. P. Perlingieri, Informazione come bene giuridico, en Rass. dir. civ., 1990, 327 ss.
[6] Tal y como insiste la doctrina al respecto, la dicotomia entre persona y mercado es, en realidad, un falso problema y ello se deduce de toda la historia de la evolución del derecho europeo en varios sectores, tales como medio ambiente, protección de los consumidores, patrimonio cultural y emisiones televisivas. Cfr. S. Sica, Il consenso al trattamento dei dati personali: metodi e modelli di qualificazione giuridica, en Riv. dir. civ., 2001, II, 626.
Si bien el Reglamento demuestra reconocer en algunos supuestos naturaleza transaccional al consentimiento aun cuando no adopta una posición definida respecto de la mercantilización de los datos de carácter personal, las directivas n. 770 y 771 de 2019 aclaran cualquier duda al respecto. En particular modo, la n. 770[1] regula precisamente esta clase de intercambios que connotan los datos de carácter personal de una segura patrimonialidad, presupone la posibilidad de su cesión incluso a título oneroso y predispone, en el ámbito de las soluciones, la protección relativa propia de la dimensión contractual, que se añade a la absoluta, aquiliana, que se garantiza por la lesión del derecho a la propia personalidad; la n.771[2] refuerza la protección derivada de contrato que se garantiza al consumidor por el incumplimiento del agente económico de los contratos de compraventa de bienes que lleven incorporados o interconectados contenidos o servicios de tipo digital.
El análisis del dato positivo, si es realizado prescindiendo de encasillamientos rígidos y preconcebidos, demuestra que el silogismo “contrato - patrimonialidad de los bienes objeto de intercambio - reificación de los datos de carácter personal en la lógica de la propiedad”, es solamente aparente.
En este sentido, no puede pasarse por alto que no solo el Reglamento no admite de forma expresa ni la licitud de la cesión a título oneroso de los datos de carácter personal, ni la calificación de contrato respecto del acuerdo en virtud del cual se realiza el intercambio, sino también el literal de la directiva n. 770 demuestra ser especialmente cauto al respecto, al utilizar una sintaxis ambigua[3].
Con todo, conviene subrayar que en fase de desarrollo, el texto de la mencionada directiva, con el expreso objetivo de garantizar al consumidor la plena tutela contractual con independencia de cualesquiera contraprestaciones a las que fuera obligado, utilizaba, al tratar el contracto oneroso de oferta de contenidos y servicios digitales, una fórmula literal que establecía un precio y el cumplimiento de una prestación no pecuniaria bajo la forma de datos de carácter personal, como si fueran polos alternativos para una misma compensación[4]. Al respecto no obstante, el Supervisor Europeo de Protección de Datos, aun compartiendo “el objetivo de propuesta de la Directiva...para mejorar la protección de los consumidores que están obligados a revelar datos como condición para el suministro de «bienes digitales»” apuntaba que “la propuesta plantea un aspecto problemático, ya que será aplicable en situaciones en las que el contenido digital se obtenga por el pago de un precio, pero también cuando el contenido digital se suministre a cambio de una contraprestación no monetaria en forma de datos personales o de otra índole” y por tanto advertía “contra cualquier nueva disposición que introduzca la idea de que los ciudadanos pueden pagar con sus datos del mismo modo que con su dinero. Derechos fundamentales como el derecho a la protección de los datos personales no pueden quedar sometidos al puro interés de los consumidores, como tampoco deben considerarse los datos personales como una mera mercancía”[5].
El legislador europeo opta por tanto por una fórmula menos explícita y en su art. 3, a la hora de definir el ámbito de aplicación de la Directiva, diferencia el “contrato en virtud del cual el empresario suministra o se compromete a suministrar contenidos o servicios digitales al consumidor y este paga o se compromete a pagar un precio” del “supuesto” en el que, ante el mismo compromiso por parte del empresario, el consumidor “facilite o se comprometa a facilitar datos personales”, identificando de tal manera, al menos en el plano formal, dos modelos distintos[6].
Aunque la norma, cuya fórmula el legislador italiano parece querer trasponer literalmente al ordenamiento nacional[7], intente diferenciar los dos supuestos de cara a evitar que los datos de carácter personal puedan ser equiparados del todo a su equivalente monetario[8] y tenga a bien precisar en el considerando n. 24 que “al tiempo que reconoce plenamente que la protección de datos personales es un derecho fundamental, por lo que los datos personales no pueden considerarse una mercancía, la presente Directiva debe garantizar que los consumidores, en el contexto de dichos modelos de negocio, tengan derecho a medidas correctoras contractuales”, en el fondo parece evidente que los datos de carácter personal resultan absolutamente idóneos como moneda de cambio y puedan desvincularse, en cierta medida, de esa indisponibilidad propia de los derechos de la persona, tal y como valora el propio Reglamento y de manera incontestable confirma la mencionada directiva que en sus considerandos, se refiere expresamente a ambos supuestos de intercambio con el nombre “contrato”[9], y pretende precisamente regular los efectos del negocio jurídico constituido con la disposición[10]. Por otra parte, desde la perspectiva axiológica, considerar el intercambio por el que el consumidor proporciona datos personales en lugar de una contraprestación monetaria como algo distinto del contrato con prestaciones recíprocas, acabaría justamente por desvirtuar la ratio de la directiva, puesto que la falta de relación sinalagmática entre las dos prestaciones inhibiría la activación de los instrumentos de protección propios del contrato[11], tales como la excepción por incumplimiento y la resolución por incumplimiento con la correspondiente acción restitutoria, negando de tal forma al consumidor precisamente esa protección adicional que la directiva aspira a garantizarle[12].
Por lo tanto, más allá de las precauciones y las reticencias textuales de la directiva 2019/770/UE, que en el fondo termina más bien reconociendo formalmente el intercambio entre bienes o servicios y datos de carácter personal[13], del conjunto emerge el meridiano reconocimiento del valor incluso económico-patrimonial que llevan aparejados los datos personales[14], sin inmutar su pertenencia a la esfera no patrimonial de la personalidad, así como su condición objeto de actos dispositivos, incluso a título oneroso[15].
Una vez individualizado el esquema abstracto a través del cual se configura el intercambio entre contenidos o servicios digitales y datos personales, la directiva no especifica ni la naturaleza de la prestación del consumidor (de dare o de facere), ni el objeto de la misma, ni tan siquiera el derecho que la otra parte adquiere sobre los datos transmitidos, limitándose a regular algunos aspectos de los instrumentos de defensa contractuales con el fin de garantizar al consumidor una protección reforzada para el caso de eventuales problemas en la relación bilateral. Es por ello necesario recurrir a la interpretación, desde la óptica de la regulación del contrato, para poder definir los elementos constitutivos y los efectos de la misma, con el fin de identificar la normativa a aplicar a los aspectos no expresamente regulados por la directiva.
Parece en todo caso evidente que la particularidad de los valores objeto de intercambio no permite remitir a las disposiciones generales sobre contratos sin tener en cuenta los ajustes pertinentes[16].
[1] Directiva (UE) 2019/770 del Parlamento europeo y del Consejo de 20 de mayo de 2019 relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales.
[2] Directiva (UE) 2019/771 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes, por la que se modifican el Reglamento (UE) 2017/2394 y la Directiva 2009/22/CE, y se deroga la Directiva 1999/44/CE.
[3] Cfr. C. Irti, Consenso “negoziato” e circolazione dei dati personali, Torino, 2021, 79 ss.
[4] Cfr. V. Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, cit., 710; M. G. Fanelli, Le nuove proposte di direttiva sulla vendita on line e a distanza di beni e sulla fornitura di contenuti digitali, en Contr. Impr., 2016, 355 ss.
[5] Cfr. Dictamen GEPD 4 del 14 de marzo de 2017. La síntesis en español se puede consultar en https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52017XX0623(01)&from=ES; el texto completo puede consultarse en EN, FR y DE en el sitio WEB del SEPD www.edps.europa.eu.
[6] Con respecto a la posible configuración de dos modelos distintos de suministro, y especialmente sobre aquél por el que el consumidor suministra o se compromete a suministrar sus datos de carácter personal para el acceso a servicios o contenidos digitales, se remite a la reconstrucción crítica de C. Camardi, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione di dati personali, en Giust. civ., 2019, 505 ss. y especialmente páginas 510 y 513.
[7] Cfr. el “Proyecto de Decreto Ley para la trasposición de la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (art. 1 de la Ley de 22 de abril de 2021, n. 52)”, Acto de Gobierno n. 269 sometido a dictamen parlamentario y que se puede consultar en https://www.camera.it/leg18/682?atto=269&tipoAtto=Atto&idLegislatura=18&tab=1. El texto propone incluir en el Código del Consumidor (Decreto Ley n.206 del 6 de septiembre de 2005), tras el capítulo I del título III de la parte IV, el capítulo 1-bis y en su articulado, más específicamente en el art. 135.8, párrafo primero, configura como una única situación, tal y como se rige por el texto a trasponer, los “contratos de suministro de contenido digital o de servicios digitales confeccionados entre consumidores y profesionales”; en el párrafo segundo, al abordar las definiciones, se cuida de distinguir el “precio”, que identifica con “la cuantía de dinero o una representación digital del valor que se debe como contraprestación por el suministro de contenido o servicio digitales”, y los “datos de carácter personal” para cuya definición se remite textualmente a la proporcionada por el Reglamento (UE) 2016/679; y para terminar, en los párrafos tercero y cuarto, se vuelve a insistir en la ambigua sintaxis de la directiva al distinguir “cualquier contracto” en el que la contraprestación del servicio o contenido digital sea un precio y “el supuesto” en el que el consumidor proporcione o se comprometa a proporcionar datos de carácter personal.
[8] Constata que “los temores del Supervisor eran producidos por el dictado más incisivo y digamos despojado de toda hipocresía de la propuesta de la directiva”, que, de una manera más oportuna, hablaba de “contraprestación no pecuniaria” en contraposición al “pago de un precio” C. Basunti, La (perduta) centralità del consenso nello specchio delle condizioni di liceità del trattamento dei dati personali, cit., 894.
[9] Cfr. considerandos n.24 y n.25.
[10] Se ha apuntado por la doctrina que la sintaxis usada por el Supervisor evidencia que no se pretende negar que los datos personales puedan ser objeto de mercantilización, más la intención es prevenir que se traten de una forma distinta a otros bienes con base en su inherencia innata a la identidad de la persona. Cfr. R. Senigaglia, La dimensione patrimoniale del diritto alla protezione dei dati personali, en Contr. impr., 2020, 769 s. Es oportuno poner de relieve al respecto, como el mismo autor no deja de destacar, (ibidem, 779), que la directiva 2019/2161 (Directiva 2019/2161/UE del Parlamento Europeo y del Consejo de 27 de noviembre de 2019 por la que se modifica la Directiva 93/13/CEE del Consejo y las Directivas 98/6/CE, 2005/29/CE y 2011/83/UE del Parlamento Europeo y del Consejo, en lo que atañe a la mejora de la aplicación y la modernización de las normas de protección de los consumidores de la Unión) ha añadido al art. 3 de la directiva 2011/83/UE (Directiva 2011/83/UE del Parlamento europeo y del Consejo de 25 de octubre de 2011 sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo) el punto 1 bis que amplía su ámbito de aplicación y por tanto el correspondiente en la norma nacional (arts. 45-67 del Código del Consumidor), a los acuerdos con los que el profesional proporciona contenidos o servicios digitales y el consumidor entrega a cambio o se compromete a entregar datos personales. Esta disposición en definitiva define estos acuerdos, al menos implícitamente, como contratos de intercambio con prestaciones recíprocas (ver también el art. 2.6 donde la definición de «contrato» está basada en la prestación del profesional).
[11] Por otra parte, incluso la Autoridad Italiana de la Competencia y de los Mercados [AGCM, N.d.T.], precisamente con respecto a la transmisión de datos para el acceso a un servicio informático (específicamente el social network facebook) ha vuelto a insistir en el valor económico del patrimonio informativo que constituyen los datos de los usuarios, justamente por el uso al que se los destina (perfilación para su uso comercial y finalidades de marketing); tal valor es por tanto perfectamente idóneo para configurar la existencia de una relación de consumo entre el profesional y el usuario que disfruta del servicio aunque no exista una contraprestación monetaria, y en este sentido confirmando expresamente “la naturaleza de contraprestación no pecuniaria de los datos de los usuarios de redes sociales”. Cfr. Disposición AGCM del 29 de noviembre de 2018, que se puede consultar en https://www.agcm.it/dotcmsdoc/allegati-news/PS11112_scorr_sanz.pdf.
[12] De la misma opinión V. Ricciuto, Il contratto e i nuovi fenomeni patrimoniali: il caso della circolazione dei dati personali, en Riv. dir. civ., 2020, 655 ss.
[13] Es indiscutible que el legislador reconoce formalmente el mercado de los datos personales y aunque no, como apunta la doctrina, específicamente una “tipificación del negocio jurídico contenidos/servicios digitales y datos de carácter personal” (cfr. R. Senigaglia, La dimensione patrimoniale del diritto alla protezione dei dati personali, cit., 766), sin lugar a duda la tipificación de la operación económica representada por el intercambio entre contenidos o servicios digitales y datos personales que las partes pueden luego encuadrar en distintas fórmulas contractuales, por lo general de obra y servicio o de arrendamiento en algunos casos vinculados a contratos de compraventa de dispositivos digitales (que implica la conexión funcional entre esta directiva y la n. 771/2019/UE). Sobre esto último, puedes consultar V. Ricciuto, Il contratto e i nuovi fenomeni patrimoniali: il caso della circolazione dei dati personali, cit., 643 ss.
[14] Respecto de la información como bien patrimonialmente relevante, dirigido a satisfacer la necesidad humana de conocimiento, se remite a las enseñanzas de P. Perlingieri, Informazione come bene giuridico, cit., 327 ss. Incluso la jurisprudencia administrativa ha recientemente confirmado la relevancia del valor económico de los datos y la obligación por parte del agente económico de informar adecuadamente al consumidor respecto de la forma de contraprestación que la comunicación de datos asume en determinadas circunstancias, especialmente en el acceso a las redes sociales. Cfr. T.A.R. Roma, (Lazio) sección I, 10 enero 2020, n.260, en Foro Amm., 2020, 99. Sobre el tema, G. D’Ippolito, Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziale, en Dir. inf., 2020, 634 ss.
[15] Se ha puesto de relieve por parte de la doctrina que “la “monetización” de los datos personales no sea per se nada inapropiada ni jurídicamente “sospechosa”, siempre que el consentimiento en cuestión represente una efectiva expresión de autodeterminación informativa”: G. Resta-V. Zeno Zencovich, Volontà e consenso nella fruizione dei servizi in rete, en Riv. trim. dir. proc. civ., 2018, 432 s. Con todo, parece oportuno por el contrario adecuar y modernizar el propio concepto de “precio” a un mercado cambiante, incluyendo en el mismo, a parte del dinero, también los datos de carácter personal. Cfr. A. De Franceschi, Il «pagamento» mediante dati personali, en V. Cuffaro-R. D’Orazio-V. Ricciuto (a cargo de), I dati personali nel diritto europeo, Torino, 2019, 1390.
[16] Cfr. S. Sica, Il consenso al trattamento dei dati personali: metodi e modelli di qualificazione giuridica, cit., 633 ss.que advierte que “«nuestras gafas» siguen valiendo, mas, si necesario, debemos «graduarlas» de forma periódica” (ibidem, 640).
Respecto del acuerdo por el cual se produce el intercambio entre prestación de contenidos o servicios digitales y datos personales, no parece caber duda alguna que puedan englobarse las disposiciones relativas a la validez del mismo, con todas las puntualizaciones que sean necesarias debido a la particularidad de la situación en la que se halla. En este sentido de hecho, la directiva (considerando n. 12) deja de manera expresa al derecho de cada estado miembro la regulación de todas las cuestiones no abordadas por la misma, entre las que se encuentra precisamente la validez del contrato.
Naturalmente, como ya se ha apuntado, siempre que el consentimiento a la recogida y tratamiento de los datos personales sea condición para el acceso a los servicios y se considere por tanto, de hecho, como una contraprestación, de cara a valorar el requisito de la libertad del consentimiento es preciso en primer lugar, a la luz de los parámetros ofrecidos por la directiva arriba mencionados, comprobar que sea manifestación del derecho de autodeterminación y haya sido por tanto prestado libremente y que no exista entre las partes un desequilibrio de poder significativo. Con el fin de garantizar que el consentimiento revista tal condición de expresión de autodeterminación, es indispensable que el usuario sea plenamente consciente de la naturaleza no gratuita de la oferta que recibe y del papel que desempeña el propio consentimiento en el intercambio.
Si el consentimiento no reúne tales requisitos y en particular no haya existido una posibilidad real de elección por parte del usuario, este sin duda podrá hacer valer su derecho declarando la ilegalidad del tratamiento según dispone la directiva, e incluso podría tener acción de nulidad del contrato (por ir contra normas imperativas y por ilegalidad de la causa) si le fuera más favorable[1].
Para que el consentimiento pueda considerarse válidamente prestado, es preciso que la voluntad pase por el tamiz de la libertad y de la consciencia según las reglas propias del derecho de los contratos, amén del ulterior control requerido por el Reglamento[2]; por tanto, es necesario que el consumidor sea capaz para obligarse, que comprenda la obligación que asume y que su consentimiento sea libre y voluntario y no se den las circunstancias propias del contrato perfeccionado en estado de necesidad o de peligro inminente.
Considerando especialmente las causas de anulabilidad, si debe considerarse que el contrato suscrito con menores o incapaces sea a priori anulable, no se puede pasar por alto que el art. 8 del Reglamento otorga de forma expresa valor al consentimiento del menor al que se dirige una oferta directa de servicios de la sociedad de la información, y por tanto legitima la recogida y el tratamiento de los datos personales, siempre que este haya cumplido 16 años de edad (o una edad inferior, nunca por debajo de los 13 años, establecida por los Estados miembros, en Italia fijada en los 14 años). Además, es preciso tener debidamente en cuenta la peculiaridad del objeto del intercambio y el lugar en el que se vaya a producir.
En este sentido, no requiere de mayor explicación que el engaño por parte del menor sobre su edad se antoje seguramente mucho más fácil de conseguir, así como la posible mala fe de la otra parte más complicada de demostrar, si nos hallamos en un lugar, identificado con el mundo digital global, en el que el acuerdo se alcanza sin contacto entre las partes[3]. Esto implica sin duda un déficit de protección del “no capaz” si es comparado con un contrato confeccionado según la modalidad tradicional, y es por ello que es preciso balancearlo con una reducción del área de tolerancia generalmente reservada a los micro contratos del día a día que eluden la invalidez; es decir, es preciso considerar como ajenos a la llamada “micro contratación del día a día”, en la que se engloban los contratos celebrados por menores para la adquisición de bienes y servicios de cuantía reducida, todos los intercambios efectuados en el marco digital. Estos intercambios, de hecho, implicando de un modo u otro la transmisión de datos personales, adquieren en sí mismo un valor, incluso económico, que implica necesariamente un riesgo de sufrir una lesión y que por tanto requieren que la protección que se brinda al menor por parte del ordenamiento jurídico opere en su plenitud.
En este sentido parece que tengamos que leer el art. 8 del Reglamento, que aunque considere incluso el consentimiento del menor que haya cumplido los 16 años de edad (14 en Italia) como una base válida que legitima el tratamiento de los datos personales, se cuida de precisar que “el apartado 1 no afectará a las disposiciones generales del Derecho contractual de los Estados miembros, como las normas relativas a la validez, formación o efectos de los contratos en relación con un niño”[4].
Por otra parte y con todo, no puede infravalorarse tampoco el particular objeto del intercambio (los datos personales) que, si por una parte es perfectamente idóneo a exponer a riesgo de lesión la esfera no patrimonial de los intereses de la persona, por otra es al mismo tiempo dirigido a exprimir su personalidad y por tanto a ejercer ese poder de autodeterminación identitaria que no puede considerarse, al igual que cualquier otro poder dirigido a la protección de la esfera personal del menor, condicionado a la adquisición de la capacidad para actuar, dato formal de la edad anagráfica, sino a la adquisición de la capacidad de entender que determina, sobre la base de un dato sustancial, la graduación de las facultades jurídicas que se le atribuyen en función de una madurez progresiva y concretamente alcanzada[5]. La comprobación de esta madurez, que se puede deducir en primera instancia por el dato formal que la presume, como la edad mínima requerida para el otorgamiento del consentimiento por ley (14 años) o la mayor en su caso fijada por el contrato (sobre la base de la reglamentación de acceso del servicio en particular), debe considerarse en última instancia confiada al parecer del juez, que en su apreciación de los hechos, a valorar sobre la base de las específicas circunstancias del caso concreto[6], tendrá que proporcionar al menor la protección específica garantizada por el Reglamento[7].
[1] Recientemente, la jurisprudencia del orden administrativo ha vuelto a insistir sobre la ilegalidad de las declaraciones de gratuidad del contrato por parte de los gestores de redes sociales (cfr. Cons. Stato, sección VI, 29 marzo 2021, n.2631, en GiustiziaCivile.com, 2021), confirmando de tal manera que los que una doctrina previsora llamaba “publicidad para crédulos” (cfr. G. RESTA-V. ZENO ZENCOVICH, Volontà e consenso nella fruizione dei servizi in rete, cit., 414), entre los que contamos precisamente el usado por los gestores de redes sociales (“is free and will always free”) invalidan el consentimiento al suprimir la libertad y la conciencia con el que se debe prestar.
[2] Sobre el tema, C. Basunti, La (perduta) centralità del consenso nello specchio delle condizioni di liceità del trattamento dei dati personali, cit., 875 s.
[3] Por lo tanto, el contexto en el que se alcanza el acuerdo y las modalidades con las que se llega a producir el intercambio de los consentimientos, determinan una inevitable ampliación de los supuestos en los que el profesional podrá hacer valer el art. 1426 y las vías de escape del art. 428 c.c. Sobre esto, S. Sica, Il consenso al trattamento dei dati personali: metodi e modelli di qualificazione giuridica, cit., 635.
[4] Confirmando de tal forma la clara tendencia a garantizar la máxima protección al menor que emerge del conjunto de la norma reglamentaria y evidenciada por el art. 6 que en el supuesto en que lo que legitima el tratamiento es no tanto el consentimiento del interesado sino el legítimo interés del titular del mismo o de terceros, atribuye expresamente una relevancia mayor a la exigencia de protección de los datos personales del interesado, como posible circunstancia impeditiva para el tratamiento, cuando este sea un menor. La particular protección que el Reglamento otorga al menor emerge claramente de los considerandos n.38, 58 y 65 y se confirma por la tutela específica configurada en los arts. 12, 40 y 57. Respecto del consentimiento digital del menor y los distintos medios de protección que la norma prevé, consulta A. Astone, L’accesso dei minori di età ai servizi della c.d. Società dell’informazione: l’art. 8 del Reg. (UE) 2016/679 e i suoi riflessi sul Codice per la protezione dei dati personali, en Contr. impr., 2019, 614 ss. y especialmente 624 y ss.
[5] De hecho, como ha sido subrayado por la doctrina, en estos supuestos el contrato sirve como instrumento para la realización de los derechos de la persona y ello implica reconocer la capacidad contractual al menor con atención. Cfr. R. Senigaglia, Minore età e contratto. Contributo alla teoria della capacità, Torino, 2020, 71, 88 y siguientes que perfila al respecto la categoría “indeterminada pero determinable en función de las condiciones singulares del sujeto en cuestión” de los “actos identitarios de la vida corriente” que tiene que ver con actos caracterizados en el plano cualitativo por la función desempeñada, directamente relacionada con la específica situación existencial del sujeto en cuanto expresión de su personalidad individual (ibidem, 155 y siguientes, y especialmente 215 y siguientes).
[6] Respecto de la importancia de una comprobación de la capacidad de entendimiento del menor y por tanto de la plenitud de su consentimiento, referente al consentimiento contractual relativo al tráfico de sus datos personales, consulta C. Irti, Persona minore di età e libertà di autodeterminazione, en Giust. civ., 2019, 619 y siguientes.
[7] Cfr. considerando n.38 según el cual una “protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño”.
Respecto del objeto del contrato, es oportuno en primer término poner de manifiesto que el art. 1346 no es de aplicación, pues en los contratos que tienen por objeto el tratamiento de datos de carácter personal, por mandato reglamentario, el consentimiento circunscribe los límites de la legalidad, tanto en lo que respecta a la tipología de datos que se transmiten o que pueden ser recogidos, como respecto de la finalidad del tratamiento; por lo tanto el objeto del contrato resulta ser siempre necesariamente determinado no pudiendo ser bastante la mera determinabilidad[1].
Es preciso además determinar qué datos personales constituyen y pueden ser objeto del intercambio.
En primer lugar, hay que excluir los datos necesarios para proporcionar el contenido o servicio digitales; la transmisión de los datos imprescindibles para la ejecución del contrato no constituye objeto de intercambio puesto que la correspondiente declaración, si se limita a la transmisión de estos datos y a su tratamiento, necesario para el suministro requerido, se debe considerar como declaración de voluntad no contractual, dirigida a la realización del interés previsto en el contrato que en sí mismo sigue siendo gratuito. Por otro lado, el tratamiento de estos datos, en los límites tratados, encuentra su legitimación no ya en el consentimiento, sino precisamente, por el art. 6.1 del Reglamento, en la circunstancia que “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte”[2].
Objeto del intercambio son por tanto los datos personales cuya recogida y tratamiento encuentran legitimación exclusivamente en el consentimiento negocial del interesado, esto es las informaciones no necesarias al suministro de contenidos digitales o a la prestación del servicio digital, o la autorización a un tratamiento de los datos necesarios cuya finalidad no esté estrechamente vinculada a la ejecución de la prestación del profesional.
En principio, parece oportuno considerar objeto de intercambio incluso los datos que se pueden englobar en las así llamadas “categorías especiales”[3], pues son idóneos para revelar los aspectos más íntimos de la personalidad. Es cierto que la directiva no trata las condiciones de legalidad del tratamiento de los datos personales, remitiendo de manera expresa (considerandos número 37 y 38 y art. 3.1) a lo dispuesto en el Reglamento. Respecto de los datos que se engloban en las categorías especiales, el Reglamento atribuye al sujeto, en el ejercicio de su poder de control, el derecho a establecer excepciones a la prohibición de tratamiento establecido por el art. 9.1, legitimando la recogida y el tratamiento incluso de esta tipología de datos (epígrafe 2.a) de la misma disposición) prestando su consentimiento explícito[4], o (al amparo de la letra e) del mismo epígrafe) haciendo públicos los mismos datos. Si por un lado es cierto que el propio Reglamento promulga el principio de necesidad y minimización de los datos, por otro es preciso considerar que de acuerdo con lo previsto por la directiva n.770, que presupone la legitimidad de la oferta de contenidos y servicios digitales condicionados al suministro por parte del usuario de sus datos personales para uno o más tratamientos, relacionada con el mencionado art. 9 del Reglamento, que atribuye al sujeto el derecho de legitimar la recogida y el tratamiento de sus datos incluso si pertenecen a categorías especiales, aun exigiendo un alto estándar de responsabilidad al empresario, parecen sin duda legitimar el intercambio contractual incluso de datos sensibles, siempre que el consentimiento prestado en el momento de la contratación haya sido expreso y reúna los requeridos requisitos de libertad y comprensión, que se tienen que valorar según los parámetros fijados por el art. 7.4 del Reglamento[5].
Respecto de los atributos inmateriales de la persona, va consolidándose sin duda la lógica de mercado que considera ajena a la esfera de la indisponibilidad, la información relativa a aspectos incluso sensibles de la personalidad del sujeto, para constituir objeto de intercambio y por tanto incluso de obtención de beneficios. Con todo, hay que señalar por el contrario que el cuerpo y sus partes se mantienen en el área del market – inalienability en el que no hablamos de rígida inalienabilidad, sino más bien de un más flexible principio de gratuidad, y por lo tanto de una prohibición de enajenación a título oneroso[6].
Es por tanto relevante apuntar que, entre los datos personales, y más específicamente entre los de categoría especial, hallamos informaciones propias de la dimensión corpórea, tales como los datos genéticos, los biométricos o los relacionados con la salud, que impactan y suponen un alto riesgo incluso para la dimensión psíquica del sujeto en cuestión[7]. Parece entonces posible considerar que estas informaciones, a las que el derecho positivo dedica una especial atención[8] y que comparten el mismo ámbito de interés en el que se halla el cuerpo y en particular modo impactando en la dignidad de la persona en esa parte más vulnerable y axiológicamente potiore, deban permanecer fuera del alcance de la disponibilidad del sujeto, configurándose como límites a su poder de autodeterminación y tengan la tendencia a incluirse en el área del market–inalienability no pudiendo constituirse como objeto de intercambio[9].
Parece por lo tanto oportuno pensar que, por regla general incluso los datos que pertenecen a las categorías especiales pueden ser objeto de intercambio y pueden por tanto transmitirse y autorizarse su recogida y tratamiento con declaración de voluntad negocial para (y como contraprestación por) la adquisición de contenidos y servicios digitales, más la libertad de autodeterminación del sujeto encuentra un límite si las informaciones versan sobre datos genéticos, biométricos y relativos a la salud, que el sistema considera como una especie de species del genus “datos sensibles”, merecedor de una protección reforzada, y para los cuales debe operar el principio de gratuidad y por tanto la prohibición de cesión onerosa. De esta forma, la posible supeditación del acceso a contenidos o servicios digitales a la trasmisión de esta tipología de datos o al consentimiento para su tratamiento, debe considerarse indudablemente como muestra de invalidez del consentimiento, prestado faltando el requisito de la libertad, y por tanto de ilegalidad del correspondiente tratamiento, así como causa de nulidad del acuerdo por falta de causa en el mismo, en cuanto menoscaba la dignidad del sujeto en cuestión[10].
[1] En el mismo sentido consulta G. Resta, Autonomia contrattuale e diritti della personalità nel diritto dell’UE, in Aggiornamento, Digesto on line, 2013; R. Senigaglia, La dimensione patrimoniale del diritto alla protezione dei dati personali, cit., 771.
[2] La directiva excluye expresamente de su ámbito de aplicación “las situaciones en las que el empresario recabe datos personales exclusivamente para suministrar contenidos o servicios digitales” (considerando n.25) y el Art. 3.1 en su segundo párrafo, a la hora de definir su ámbito de aplicación, vuelve a insistir sobre su inhibición en los supuestos en los que la recogida y el tratamiento de los datos tengan una base de legitimación distinta del consentimiento.
[3] La figura de las categorías especiales de datos personales, a las que el Reglamento dedica el Art. 9, sustituye, englobándola y ampliándola, a la de los datos sensibles (el Art. 22 del Decreto Legislativo del 10 de agosto de 2018 n.101, sobre “Disposiciones para la adaptación de la normativa nacional a las disposiciones del Reglamento (UE) 2016/679, expresamente dispone que siempre que hablemos de “datos sensibles”, nos estemos refiriendo a las categorías especiales de datos del Art. 9 del Reglamento). Para ampliar información sobre la categoría de datos propios de categorías especiales, M. Granieri, Il trattamento di categorie particolari di dati personali nel reg. UE 2016/679, en Nuove leggi civ. comm., 2017, 167 y siguientes.
[4] Respecto de las características que debe reunir el consentimiendo para el tratamiento de las categorías especiales de datos, consulta A. Cataleta, Categorie particolari di dati: le regole generali e i trattamenti specifici, en G. Finocchiaro (obra dirigida por), La protezione dei dati personali in Italia, Bologna, 2019, 204 y ss., especialmente. 214 y ss.
[5] Parece por tanto oportuno inclinarse a pensar - siempre que no estemos ante una de las circunstancias (previstas por el considerando n.43 del Reglamento) en las que el usuario se halla en posición de especial debilidad respecto de la otra parte, en las que exista un desequilibrio significativo de poder y por tanto, como se ha dicho, el consentimiento prestado por este debe considerarse no vinculante - como no relativa a los contratos de suministro de contenido y servicios digitales celebrados entre empresario y consumidor la visión de la Corte Suprema (Casación civil, secc. I, 21 octubre de 2019, n.26778, en Giust. civ. Mass., 2019), que, aplicando el principio de minimización del uso de los datos, ha considerado nula por incumplimiento de normas imperativas la cláusula contractual mediante la cual un operador subordine sus prestaciones a la concesión del consentimiento para el tratamiento de los datos sensibles. Como recientemente ha confirmado también la jurisprudencia del orden administrativo, declarada no ajustada a derecho la declaración de gratuidad de las ofertas contractuales que se subordinan a la obtención de datos, la decisión del sujeto de consentir al tratamiento de sus datos constituye un ejercicio de libertad económica (cfr. Consejo de Estado, sec. VI, 29 marzo 2021, n.2631, cit.) y no parece hallarse en las normas una prohibición generalizada para disponer en el mismo sentido de los datos propios de las categorías especiales, si tenemos en cuenta además que el mencionado art. 9 del Reglamento, no solo posiciona el consentimiento como una de las primeras causas que legitiman la recogida y el tratamiento de estos datos, manifestando de tal forma incluso cierta disponibilidad de los mismos, sino tampoco deja autonomía alguna a los Estados miembros para que puedan consentir una limitación general de este poder de disposición. Sobre el tema, consulta M. Granieri, Il trattamento di categorie particolari di dati personali nel reg. UE 2016/679, en Nuove leggi civ. comm., 2017, 171; F. Piraino, Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, cit., 381; A. Cataleta, Categorie particolari di dati: le regole generali e i trattamenti specifici, cit. 222 ss.
[6] Cfr. G. Resta, La disponibilità dei diritti fondamentali e i limiti della dignità (note a margine della Carta dei diritti), en Riv. dir. civ., 2002, 801 ss., espec. 811 ss.
[7] Al respecto hay que señalar que el art. 3 de la Carta de los Derechos fundamentales (Tratado de Niza) proclama el derecho a la integridad de la persona en sus componentes psique y soma, reconfigurando de tal forma en una “unidad jurídica las dos dimensiones del alma y del cuerpo, psique y soma, que una dilatada tradición jurídica, sobre todo civil, había separado”: G. Alpa-G. Resta, Le persone e la famiglia. 1. Le persone fisiche e i diritti della personalità, 2° ed., en R. Sacco (dirigido por), Trattato di diritto civile, Torino, 2019, 402 ss.
[8] En especial, por lo dispuesto por el art. 9.4 del Reglamento (que presta particular atención al tratamiento de los datos genéticos, biométricos o relativos a la salud legitimando a los Estados miembros a mantener o implementar ulteriores condicionantes o limitaciones a su tratamiento) y por el considerando n.53 (que expresamente trata estas informaciones relacionadas con el ámbito corporal como las que mayor atención merecen de entre los datos personales que se incluyen en la categorías especiales) parece tomar forma una señal dirigida a sustraer a la plena disponibilidad del sujeto la difusión y el uso de estos datos, cuyo tratamiento debería encontrar legitimación no tanto en el consentimiento, sino en otra circunstancia de las previstas en la norma, en la que la especial importancia de los intereses en juego (sobre todo relativos a la salud individual y colectiva) justifica la repercusión de la esfera personalísima del sujeto. El legislador italiano, de hecho, en la aplicación de la norma reglamentaria, ha introducido en el “codice della privacy”, en su art. 2-septies, especiales medidas de protección para el tratamiento de datos genéticos, biométricos y relativos a la salud, desarrolladas luego por el Organismo de Control en su disposición n.149 de 5 de junio de 2019 (cfr. el «Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101», publicado en la «Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019» y que se puede consultar en la página web www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9124510), confirmando de tal forma la insuficiencia del consentimiento del interesado y substrayéndolos por tanto a su control exclusivo. Sobre el contenido de la disposición, se remite al análisis hecho por B. Sirgiovanni, Dal consenso dell’interessato alla “responsabilizzazione” del titolare del trattamento dei dati genetici, en Nuove leggi civ. comm., 2020 1010 ss., espec. 1019 ss.
[9] En virtud del principio por el cual la persona debe ser el fin último de la tutela y nunca el medio o el instrumento para la satisfacción de determinados intereses, por mucho que recaigan en el propio sujeto. Sobre el tema, se remite a las enseñanzas de S. Rodotà, Il diritto di avere diritti, Roma-Bari, 2012, p. 140 ss. y passim. Respecto de la diferencia axiológica entre los atributos inmateriales de la persona y el cuerpo que surge del análisis conjunto del art. 3.2.d) y el art. 8.2 de la Carta de los derechos fundamentales (Tratado de Niza), se remite a las consideraciones de G. Resta, Dignità, persone, mercati, Torino, 2014, 102 ss.
[10] Sobre la transmisión hermenéutica de la dignidad humana y sobre su directa e inmediata preceptividad para la conformidad, incluso a nivel contractual, consulta V. Scalisi, L’ermeneutica della dignità, Milano, 2018, passim y espec. 63 ss., 77 ss.
Establecida la validez del intercambio, es preciso comprobar qué efectos produce y cuáles pueden ser las consecuencias del incumplimiento de las partes.
Al respecto, es oportuno poner de relieve que la peculiaridad de los valores en juego impide la aplicación del principio consensual entre las partes en los términos en los que operan los arts. 1372 y 1376 c.c.
En primer lugar, de hecho, el derecho a retirar el consentimiento, concedido por ley al consumidor, implica que la vinculatividad del acuerdo sea por su propia naturaleza limitada en sentido unilateral.
El derecho a retirar el consentimiento otorgado por el sujeto, tanto para la recogida de datos para el mismo (y por tanto incluso para sus propios dispositivos electrónicos e informáticos o mediante el uso de los servicios digitales a los que tiene acceso), como para su tratamiento, es configurado por el art. 7.3 del Reglamento y, como a la vez hace referencia expresa el considerando n. 39 de la directiva n. 770[1], es con toda seguridad aplicable incluso en los supuestos en los que tal consentimiento tenga naturaleza negocial, redimensionando de tal forma ex uno latere la fuerza vinculante del acuerdo por el que se perfecciona el intercambio entre contenidos o servicios digitales y datos personales. El derecho de revocación no está supeditado a que exista justa causa y debe considerarse como indisponible y por tanto irrenunciable por parte del consumidor[2].
Por supuesto, es necesario poner de relieve que si bien es cierto que el sujeto, en su interés a la autodeterminación identitaria, conserva el derecho al control de sus datos y específicamente el ejercicio de este derecho le permite retirar el consentimiento en cualquier momento, lo es también que, en el supuesto de consentimiento negocial, la tutela de los intereses de la otra parte implica cierta “moderación fisiológica” a tal poder dispositivo, por lo menos dentro de los límites de la buena fe y de la corrección que se presuponen al sujeto en su relación contractual.
Con todo, cabe señalar que la particularidad del objeto de estos acuerdos implica una estructuración también de los principios de buena fe y de lealtad y corrección durante todo el iter del contrato. De tal forma que hay que considerar que, ante un posible incumplimiento por parte del empresario, el consumidor perfectamente podrá valerse de todas las posibilidades previstas para los contratos, y en particular exigir el cumplimiento del mismo o pedir la resolución por incumplimiento con el consiguiente borrado de los datos en su caso ya transmitidos (o de los que haya sido autorizada la recogida y tratamiento), así como la reparación del daño causado. Si por el contrario, incumpliera el consumidor (por no haber transmitido los datos prometidos o por haberlos proporcionado falsos o incompletos), el empresario podrá sin duda negar o interrumpir la prestación del servicio, de acuerdo con la excepción de incumplimiento, y pedir la resolución del contrato y en su caso la compensación por daños y perjuicios, mas no debe considerarse como opción exigir el cumplimiento del contrato[3]; la transmisión de datos de carácter personal, incluso en cuanto objeto de una obligación asumida por contrato, no parece poder considerarse como objeto de pretensión, puesto que la coercitividad sería absolutamente incompatible con el derecho a retirar el consentimiento conferido al sujeto. Por último, siempre que el consumidor ejerza el derecho a retirar el consentimiento, cuya legitimidad está fuera de toda duda ya que no está supeditada a la existencia de justa causa para su ejercicio, el empresario tendrá que cesar en el uso de los datos personales y podrá sin duda paralizar la prestación del servicio (o el suministro del contenido) digital, ya que dicha revocación implica la finalización del contrato, más sin que le corresponda derecho a reclamar indemnización alguna. De hecho, desde el punto de vista axiológico, la revocación del consentimiento constituye sin duda una causa sobrevenida previsible y más bien prevista, cuyas consecuencias pertenecen a la esfera del riesgo contractual propia del empresario; desde un perfil sistemático, por tanto, la configurabilidad de tal responsabilidad parece de todo punto incoherente con la naturaleza necesaria e irrenunciable del derecho a retirar el propio consentimiento. Por otra parte, siempre que se retire el consentimiento, debe considerarse que el empresario debe, ex art. 7.2 del Reglamento, informar a todos aquellos titulares de otros tratamientos a los que haya transmitido los datos personales del consumidor (o a los que haya permitido el acceso o la recogida) de este hecho que implica la pérdida de la legitimación para el posible tratamiento.
[1] Como de hecho se preocupa de matizar el considerando n.39, la atribución al consumidor de las soluciones legalmente previstas para los contratos de cara a la resolución y la reparación del daño, no impedirá que se ejerza el derecho a retirar el consentimiento.
[2] Tal y como subraya la doctrina, la irrenunciabilidad del derecho a retirar el consentimiento se puede extraer ya del art. 8 de la Carta de los derechos fundamentales (cfr. A. De Franceschi, Il «pagamento» mediante dati personali, cit., 1406), además el art. 22 de la directiva dispone la nulidad de las cláusulas contractuales que impliquen una reducción de la tutela garantizada al consumidor que la misma norma establece, parte de la cual debe considerarse el derecho a retirar el consentimiento.
[3] En el mismo sentido, consulta A. De Franceschi, Il «pagamento» mediante dati personali, cit., 1404 ss. según el cual puede acordarse a la hora de celebrar el contrato que el consumidor que quiere proporcionar sus datos, en caso de incumplimiento pueda resarcir con una cantidad determinada de dinero como forma alternativa de compensación.
La coherencia sistemática de este mecanismo, que parece incluir en el sistema una desviación significativa del modelo contractual atribuyendo al consumidor un irrenunciable derecho de revocación del consentimiento negocial, adquiere una perspectiva distinta si se mira a la luz del efecto que el contrato en cuestión pretende producir respecto de la disposición de los propios datos personales.
En realidad, la ratio de esta discordancia radica en la particular doble naturaleza que revisten los datos personales. Aun teniendo sin duda también cierta valoración económica, se quedan al margen del ámbito propio de las propiedades, puesto que, hasta que no se anonimicen y que por tanto se puedan reconducir al sujeto en cuestión, transmiten fracciones de su identidad y por lo tanto permanecen ajenos al estatuto de la propiedad y sus dinámicas. Los datos por tanto no pueden ser considerados como bienes en un sentido estrecho (esto es porciones de la realidad material o inmaterial externa al hombre y destinadas a proporcionar una utilidad[1]) en la medida en que conservan las características que permiten adjetivarlos de “personales”, esto es, según la definición del art. 4.1 del Reglamento, que hace expresa referencia a la identificabilidad del interesado[2], hasta que puedan ser reconducibles de forma directa o indirecta al sujeto al que se refieren; se convierten en bienes, posibles objetos de un derecho relativo a la propiedad, siempre y cuando se conviertan en anónimos y por tanto permanente y totalmente desvinculados del sujeto al que se refieren.
Por tanto, es oportuno pensar que el sujeto ostenta y mantiene el control sobre su personalidad incluso en la “dimensión digital”, que es una “prolongación de la dimensión humana[3]”, como ha puesto de relieve la doctrina, y por tanto sobre sus datos de carácter personal y que puede disponer de los mismos a favor de otros, incluso a través de un acto de naturaleza mercantil y hasta a título oneroso, aun siendo una disposición que no implicará desposesión de su derecho. Por lo tanto, tendrá a su disposición el ejercicio de este derecho, que constituirá a favor del destinatario un derecho de aprovechamiento incluso económico de sus datos, tal y como acontece con los demás atributos inmateriales de la persona[4], sin renunciar en cambio a su derecho de control; de hecho, el derecho adquirido por el destinatario de su disposición, permanece condicionado para su resolución a la posible revocación del consentimiento del sujeto. Por otro lado, incluso el ordenamiento es consciente del efecto que produce el intercambio de bienes y servicios digitales y datos personales, confirmando en la disposición que perfila el ámbito de aplicación de la norma (art. 3 dir. n.770) que el consumidor no trasfiere, sino “suministra o se compromete a suministrar datos personales al empresario”. De esta forma, los datos personales no constituyen objeto de transferencia en sentido estricto, en tanto en cuanto permanecen siempre en disposición y bajo el control del sujeto al que se refieren en la medida en que le sean referibles y por tanto personales; esto implica que el empresario no adquiere un derecho asimilable a la propiedad de los datos, y por tanto se convierte en titular de un poder de disfrute de los mismos que no es ni pleno ni exclusivo. El tratamiento que podrá legítimamente poner en acto no integra por tanto el ejercicio de un “derecho de propiedad” sobre los datos personales (esto es el ejercicio de un poder de disfrute pleno y exclusivo), sino el ejercicio de un ”derecho de aprovechamiento económico” de las informaciones que se le han proporcionado (es decir, el ejercicio de un poder de disfrute circunscrito dentro de los límites cuantitativos del consentimiento otorgado y dentro de los límites temporales en los que venga mantenido y no retirado).
[1] Para el concepto de bien en su vertiente jurídica, se remite a las enseñanzas de S. Pugliatti, Beni e cose in senso giuridico, Milano, 1962, ahora en Id., Scritti giuridici, IV, Milano 2011, 431 ss.
[2] Ciertamente, la referencia a la identificabilidad del sujeto interesado como indicador de la naturaleza personal del dato no es nada nuevo, en cuanto ya tratado por la anterior normativa y recogido en el Reglamento con el mismo alcance que siempre ha tenido, esto es asumir la identificabilidad como componente inseparable de la naturaleza personal del dato. Sobre esto, consulta C. del Federico-A.R. Popoli, Disposizioni Generali, en G. Finocchiaro (obra dirigida por), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, cit., 58 ss.; sobre la noción de dato personal y los conceptos de identificabilidad directa e indirecta, consulta F. Di Resta, La nuova “privacy europea”. I principali adempimento del regolamento UE 2016/679 e profili risarcitori, Torino, 2018, 4 ss.
[3] Cfr. G. Alpa, Tecnologie e diritto privato, Riv. it. sc. giur., 2017, 312.
[4] Cfr. V. Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, cit., 715 en el que el autor pone de relieve que “la circulación del dato personal no implica, en sentido jurídico, una cesión, en el sentido traslativo del término” y concluye que el derecho adquirido por la otra parte es el del tratamiento del dato, esto es su disfrute económico. Asemeja la comercialización de los datos personales a la de los otros derechos de la personalidad A. De Franceschi, Il «pagamento» mediante dati personali, cit., 1384 ss.
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
ISSN 2421-2563 - Jus Civile (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
