Sullo sfondo della disciplina europea della tutela dei dati personali, il saggio esamina il rilievo dell’autodeterminazione individuale dell’utente al loro trattamento, al cospetto di fenomeni di rilievo economico, quali la crescente diffusione dei big data analytics e il loro utilizzo per la profilazione degli utenti nella cornice del capitalismo della sorveglianza. La “tenuta” della centralità del consenso, testimoniata dalla individuazione degli attributi del consenso nel GDPR e dall’affermazione pretoria del modello dell’opt-in, non argina la transizione verso un’autodeterminazione sempre più “economica”, che sollecita una regolazione europea più attenta a cogliere le peculiarità della libera circolazione dei dati.

Parole chiave: consenso al trattamento dei dati personali – Big data – GDPR – circolazione dei dati personali – mercato dei dati personali – diritti della personalità.

SOMMARIO:

1. Premessa - 2. Regolazione europea e circolazione del dato personale - 3. GDPR, primazia del consenso e altre basi giuridiche del trattamento - 4. La dimensione negoziale del consenso al trattamento - 5. “Granularità” del consenso e tracciamento della navigazione in rete - 6. Segue. Il caso Orange Romania - 7. L’apporto della direttiva 2019/770/UE e l’autodeterminazione economica - 8. Conclusioni. Consenso ed eventuali alternative nella cornice dei big data - NOTE

1. Premessa

I mutamenti che ormai da tempo incidono sulla circolazione dei dati personali costituiscono un inesorabile banco di prova della capacità del diritto di adattarsi al progresso tecnologico: l’avvento del nuovo sollecita una domanda di regolazione, che rivela sì la rapida obsolescenza della produzione normativa esistente, ma parimenti consegna all’interprete il delicato ruolo di ricondurla “a sistema”, ricercando, secondo logiche proprie del pluralismo giuridico, una matrice comune alle complessità [1]. Da essa muoverebbe il convincimento che esistano «controspinte sufficienti a far pensare che sia ancora possibile un sistema giuridico magari più aperto ma non irrimediabilmente liquefatto» [2]. L’operazione ermeneutica di razionalizzazione – che oltretutto non va esente dai rischi della riconcettualizzazione e della generalizzazione [3] – tuttavia è resa più ardua in quegli ambiti in cui gli esiti dello sviluppo della tecnica, sotto la spinta motrice della globalizzazione, si dispiegano in uno spazio economico, come accade per l’attuale quantità esponenziale di dati personali in circolazione, che induce a trattamenti in massa, nel contesto di un’economia prevalentemente digitalizzata. Che lo scambio di informazioni sia una costante di ogni rapporto interpersonale [4] lo si evince dalla centralità del diritto alla riservatezza nelle quotidiane relazioni sociali, che impongono quantomeno la declinazione delle proprie generalità, se non qualcosa in più (come per la conclusione di contratti di prestazione di servizi per una qualsiasi utenza o per accedere ad un finanziamento da parte di un istituto di credito o per entrare in certi luoghi, come un circolo o una palestra). In tal modo sarebbe di per sé fisiologica la frizione tra l’esclusività del diritto alla privacy, tradizionalmente ascrivibile ai diritti della personalità e dunque dotato di assolutezza, e la “relazionalità” del fenomeno circolatorio. Ma da qualche tempo utenti e utilizzatori del dato figurano quali soggetti operanti in un mercato [5], in cui si vorrebbe fare del dato personale “oggetto” e, dapprima, partecipe di un processo di reificazione [6], esso viene da più parti rivestito della dignità di “bene”, suscettibile di valore economico, per [continua ..]

2. Regolazione europea e circolazione del dato personale

Com’è noto, il principale referente normativo della circolazione del dato personale, a livello europeo, è costituito dal reg. 2016/679/UE, “General Data Protection Regulation” (di seguito “GDPR”) [38] e alla dir. 2016/680/UE, attuata con il d.lgs. 10-8-2018 n. 101, che ha modificato il d.lgs. 30 giugno 2003 n. 196, codice della privacy. Occorre aggiungere che la contrattualizzazione del dato personale è stata di recente suggellata dalla positivizzazione dello schema di cessione del dato, ex art. 3, par. 1, della dir. 2019/770/UE, “Digital Content Digital Services” (DCDS)  [39], attuata con il d.lgs. 4 novembre 2021 n. 173, che ha inserito il Capo I-bis “Dei contratti di fornitura di contenuto digitale e di servizi digitali” (artt. 135-octies-135-vicies ter) al titolo III della parte IV del codice di consumo. Ma il tentativo di uniformare le discipline nazionali dei paesi dell’Unione Europea [40], indotto dalla globalità dei fenomeni riferiti in premessa, approda con il GDPR al momento terminale di un processo di regolazione che è stato avviato con le due direttive: a) dir. 1995/46/CE [41], cd. direttiva “madre”, recepita dal legislatore nazionale con la l. 31 dicembre 1996, n. 675; b) e dir. 2002/58/CE, c.d. “ePrivacy”, attuata in Italia con il codice della privacy del 2003 [42], oltretutto coevo al recepimento italiano della dir. 2000/31/CE, ad opera del d.lgs. 9 aprile 2003, n. 70, sul tema contiguo del commercio elettronico. L’armonizzazione affidata alle due direttive, mantenendo la logica di protezione di un diritto della personalità [43], quale la riservatezza, si proponeva di contrastare eventuali interferenze altrui con la sfera personale [44], rese più frequenti dalla necessità di assicurare le libertà fondamentali, in linea con il Trattato di Maastricht, e segnatamente la libera circolazione dei dati nel contesto intracomunitario. Si è osservato che in questa fase di disciplina europea è mancata una ricostruzione calibrata in termini patrimonialistici [45] e che poi, con il GDPR, il legislatore europeo «non si è limitato a restituire il diritto vigente in chiave prevalentemente ricognitiva, come nella tradizione dei Restatement, ma ha compiuto scelte significative di politica del diritto» [46]. Eppure si potrebbe [continua ..]

3. GDPR, primazia del consenso e altre basi giuridiche del trattamento

La mediazione del diritto del titolare dei dati personali con le dinamiche osservate si coglie all’esame del rilievo normativo del consenso, che – in continuità con l’art. 7 della direttiva “madre” [64] – il GDPR all’art. 6 mantiene quale prima base giuridica del trattamento. La manifestazione di consenso ad opera dell’interessato basterebbe ad escludere una valutazione di necessità del trattamento prevista invece in tutti gli altri casi. L’art. 6 GDPR ammette sì che il consenso al trattamento dei propri dati personali per una o più specifiche finalità sia una delle condizioni di liceità, e che oltretutto – a un criterio “topografico” – si rivela la principale, ma non mancano ipotesi di trattamento che prescindono dall’autodeterminazione dell’in­teressato [65], come laddove il trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi e a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (art. 6, par. 1, lett. f, GDPR) [66]. La disposizione, dando luogo a un complesso bilanciamento, postula una comparazione al suo interno affidata al titolare del trattamento, considerata espressione di una visione “titolare-centrica” nella gestione delle interferenze lesive negli spazi di autodeterminazione rimessi all’interessato [67]. La necessità del trattamento, di contro, non attiene solo alla sfera dell’an, essendo necessario verificare il grado di incidenza del titolare del trattamento (che riguarda la sfera del quomodo). La compressione del diritto alla protezione dei dati personali è giustificata solo all’esito del positivo superamento del vaglio di proporzionalità dell’incidenza, che costituisce oltretutto misura e criterio di valutazione dell’accountability del titolare [68]. Si osserva allora sì che, al fianco del consenso, il parametro della necessità del trattamento entri a comporre la stessa nozione di liceità del trattamento e che, in luogo del presupposto di legittimazione principale, ulteriori basi giuridiche, al passo con i tempi e a seconda delle circostanze, possono rivelarsi più [continua ..]

4. La dimensione negoziale del consenso al trattamento

Passando poi a verificare quale sia la natura del consenso richiesto quale base giuridica del trattamento, è condivisibile che la riferita cornice normativa fornisca indicazioni circa una visione negoziale del consenso dell’utente: essa avrebbe soppiantato letture più tradizionali del consenso, retaggio della riconduzione del diritto alla riservatezza del dato personale a un diritto indisponibile. Alla tesi della natura non negoziale [76], che qualifica il consenso come manifestazione di volontà con funzione scriminante di un’attività altrimenti illecita, dunque autorizzazione alla stregua del consenso di cui all’art. 50 c.p., si contrappone una qualificazione negoziale dello stesso [77]. Quest’ultima obietta all’opposto orientamento che una qualificazione di condizione di liceità del trattamento (ad esempio per superare il divieto di trattamento di dati sensibili, biometrici e genetici ex art. 9, par. 2, lett. a, GDPR) non sarebbe di per sé incompatibile con la tesi negoziale, che non mortifica il ruolo dell’autodeterminazione, anzi lo valorizza, mostrandosi più consona alle tendenze osservate in premessa, e dunque alla luce della “libera circolazione” dei dati [78]. La lettura “negoziale” del consenso, scettica nel ritenere l’attività sui dati personali di natura illecita [79], condivide l’idea che il consenso abbia funzione dispositiva dei dati personali, non soltanto assunti a dignità di bene, in quanto elementi che orbitano nella sfera del soggetto, ma addirittura cedibili e trasferibili, quali merci di scambio per la fornitura di un servizio. L’opzione ermeneutica, nel cogliere le tendenze in atto, ricorre alla nozione di “appartenenza” all’in­teressato dei dati personali, «senza che sia necessario stabilire se il titolo sia proprietario o meno» [80]. L’estensione della logica proprietaria ai dati personali [81] d’altronde non andrebbe esente da alcune condivisibili obiezioni. Si osserva che il regime di circolazione del dato personale è connotato dalla persistenza di un incisivo potere di controllo sulle modalità di utilizzazione della risorsa, che travalica il primo atto di disposizione del diritto [82], tanto che la volontà dell’interessato al trattamento dei dati personali non potrebbe produrre il [continua ..]

5. “Granularità” del consenso e tracciamento della navigazione in rete

Si è accennato che la definizione dell’art. 4, n. 11, GDPR prevede che il consenso sia specifico: il che equivale a dire che la sua prestazione debba circoscriversi alle attività su dati, alle finalità del trattamento e a quegli stessi dati per il quale esso è stato rilasciato. Da qui la possibilità per l’interessato di prestare il proprio consenso: a) per una o più attività, senza rilasciarlo per altre; b) o nell’ambito di taluni trattamenti, per una o più finalità, escludendone altre; c) o ancora, pur ammettendo un trattamento per una o più finalità per alcuni dati, non autorizzarlo per altri. Il consenso dell’interessato si ritaglia quindi sul trattamento, calibrando il potere di signoria della persona sul concreto atto di incidenza delle data companies sul dato personale. Questa “granularità” si traduce per il titolare del trattamento in una moltiplicazione delle richieste di consenso da trasmettere all’utente, in relazione alle diverse attività, finalità e dati per i quali si intende ottenere la manifestazione di volontà. Si pensi all’utilizzo dei dati per finalità di marketing: in questo caso occorre una richiesta distinta per autorizzare l’invio di aggiornamenti sulle attività e sulla pubblicazione di post sul web o di annunci pubblicitari o di attività a scopo promozionale e di inviti ad eventi. Di recente, le Linee guida 4 maggio 2020, n. 5, adottate dallo European Data Protection Board (EDPB), aggiornando le disposizioni del 10 aprile 2018, tentano un recupero del rilievo della volontà dell’utente dinanzi all’utilizzo dei dati nella rete, regolando l’accettazione dei cookie di un sito web da parte dell’utente, ossia di tutte quelle informazioni immesse sul browser degli utenti [89], in navigazione sul web. Anche i dati raccolti attraverso i cookie, non ascrivibili in prima battuta a informazioni personali (così come i dati analitici anonimizzati), possono considerarsi tali in via mediata, per deduzione o in combinazione con altri dati, poiché forniscono in ultima istanza identificazione univoca dell’utente. L’utente, allora, prima di accedere al sito web, deve autorizzarne l’uso [90], analogamente ad ogni altra tecnologia di tracciamento di navigazione, mediante una volontà positiva e [continua ..]

6. Segue. Il caso Orange Romania

Una riprova della centralità del consenso dell’interessato, a scapito di deriva interpretativa della regolazione europea che ne colga il suo declino si coglie, di recente, nelle pronunce della Corte di giustizia. In continuità con la sentenza Planet 49, il giudice europeo ha suffragato il modello dell’opt-in con la sentenza dell’11-11-2020 sul caso Orange Romania [97], pronunciandosi sul rinvio pregiudiziale presentato dal Tribunale di Bucarest relativamente alla valida prestazione del consenso degli interessati e alla dimostrazione della sua esistenza nei contratti di fornitura di servizi di telefonia conclusi tra costoro e la società rumena. La questione interpretativa era originata dalla presenza nei contratti di una clausola secondo cui l’in­teressato era stato informato e aveva validamente manifestato il proprio consenso alla raccolta e alla conservazione di una copia del documento di identità ai fini dell’identificazione, nel caso in cui la casella relativa a una siffatta clausola fosse stata selezionata dal titolare del trattamento prima della sottoscrizione. A ben vedere la Orange Romania non subordinava la fornitura del servizio alla prestazione del consenso al trattamento dei dati, ma esigeva in alcuni contratti di abbonamento che la persona interessata, per rifiutare il proprio consenso, compilasse un modulo supplementare in grado di attestarne il dissenso. Eppure della possibilità di stipulare il contratto anche in caso di rifiuto al trattamento l’interessato non era adeguatamente informato, in modo da ingenerare il dubbio circa una sua autodeterminazione effettivamente libera e informata [98]. La Corte afferma che la prova di un valido consenso dell’interessato spetti al titolare del trattamento e che costui nel caso di specie non ha dimostrato né una manifestazione di volontà inequivoca, né libera e informata. Sotto il primo profilo non basta la preselezione di una casella “di spunta” per provare un consenso inequivoco del titolare del trattamento. La circostanza che detti clienti abbiano sottoscritto i contratti contenenti la casella selezionata non consente, di per sé, di dimostrare un siffatto consenso, in assenza di indicazioni che confermino che tale clausola sia stata effettivamente letta e assimilata. Conseguentemente, sotto ulteriore profilo, la Corte disapprova che, in combinato con [continua ..]

7. L’apporto della direttiva 2019/770/UE e l’autodeterminazione economica

Ulteriori riflessioni sulla relazione tra consenso al trattamento e contratto hanno origine, com’è noto, dall’accennata formalizzazione, in luogo di uno scambio informale, di un accordo di cessione del dato personale, ad opera della dir. 2019/770/UE, Digital Content and Service Directive, che ha disciplinato alcuni aspetti dei contratti di fornitura e di servizi digitali. La direttiva, all’art. 3, par. 1, nell’individuare l’ambito applicativo, prevede che la cessione di un dato personale possa costituire, mediante un’operazione complessa, controprestazione per la fornitura di contenuti o servizi digitali da parte di un operatore economico [107]. In questo caso colui che cede il proprio dato personale è consumatore di un contenuto e servizio digitale, senza versare in cambio alcun corrispettivo pecuniario [108] (talvolta con la possibilità di accedere con un sovrapprezzo ad un pacchetto premium) o, qualora sia previsto un corrispettivo, con la possibilità di beneficiare di uno sconto a fronte della cessione dei dati personali. Per la verità uno stimolo all’interazione tra la protezione dei dati personali e il contratto era stato già apprestato – nel travagliato iter che ha portato alla DCSD – dalla proposta di direttiva 0287/2015, che tuttavia – all’art. 3 – conteneva una equiparazione del pagamento mediante dati personali con quello mediante moneta. Una tale formulazione letterale che conferiva ai dati personali carattere di forma di pagamento sostitutiva rispetto a quella mediante denaro è stata poi abbandonata anche in considerazione dell’opinione n. 4/2017 dell’Autorità Garante europea sulla protezione dei dati personali (EDPB), critica di una previsione che sottendesse una “mercificazione” del dato personale [109]. La nuova formulazione sovrappone una duplicità di piani consistente, da un lato, nel procedimento e nel consenso finalizzati alla conclusione del contratto di fornitura e, dall’altro, nel procedimento concernente la raccolta del consenso informato e l’esplicazione analitica delle finalità del trattamento, tanto che è parso venire in rilievo un doppio procedimento formale e un doppio consenso da parte dell’utente del servizio, sintomo di un collegamento tra due negozi [110]. Ma in ogni caso l’avere optato per una formulazione [continua ..]

8. Conclusioni. Consenso ed eventuali alternative nella cornice dei big data

A seguito della sintetica ricognizione svolta si ha l’impressione che la trasposizione del consenso al trattamento nel contesto del mercato dei dati digitali non abbia determinato una parabola discendente del consenso dell’interessato, revocandone in dubbio l’originaria centralità. Semmai, interpretazioni della regolazione europea della privacy eccessivamente inclini a cogliere l’equivalenza di tutte le basi normative del trattamento incrementano la percezione di uno sradicamento dell’attività di trattamento dei dati personali dagli steccati del diritto della personalità, dando parvenza di un’incapacità di controllo dell’interessato, assai più di quanto il dato normativo non indichi. Né d’altronde la natura negoziale del consenso che di certo matura dalle dinamiche avviate implica necessariamente la presa d’atto che reificazione e – specialmente – mercificazione siano processi da ritenere, con una certa corrività o arrendevolezza, già compiuti o inarrestabili. Dinanzi al superamento dei rigidi steccati tra ambiti personali e patrimoniali il rischio di una distorsione interpretativa che intenda la regolazione europea dei dati personali come ormai distante dall’istanza di tutela della persona determinerebbe una non condivisibile sterilizzazione di quanto in ossequio alla sponda personalistica quella disciplina attualmente contiene. Quello sul dato personale è ancora un diritto della persona, nonostante la sua componente patrimoniale traduca talvolta il consenso dell’interessato in autodeterminazione economica dell’utente-consumatore. La “tenuta” della primazia del consenso emerge d’altronde sia dal mantenimento di esso a elemento primo della liceità del trattamento, sia dall’enfasi normativa e giurisprudenziale accordata alla libertà, consapevolezza e inequivocità del consenso del titolare, che non può che portare a una riduzione teleologica del significato di altre disposizioni del GDPR, che – come l’art. 6, par. 4 – sembrano indurre a una dequotazione dell’autodeterminazione del titolare del dato. Ne consegue che osservare l’impossibilità per l’interessato di incidere sulle modalità e sulla scelta dei mezzi del trattamento, rimesse piuttosto alla valutazione del titolare del trattamento, e le difficoltà [continua ..]

NOTE