“L’equivoco della privacy”.
Circolazione dei dati personali e tutela della persona

In un recente volume dal titolo accattivante “L’equivoco della privacy. Persona vs dato personale”, Vincenzo Ricciuto offre un’approfondita rilettura del ‘romanzo della privacy’, superando la tradizionale concezione che predica la fungibilità delle nozioni di “persona” e “dato personale”, integranti una vera e propria endiadi che si radicherebbe esclusivamente nella sfera della personalità morale dell’individuo [1].

Con spiccata sensibilità, l’Autore mette in luce la peculiare attitudine della privacy e della sua elaborazione scientifica a rappresentare un punto di osservazione privilegiato di tendenze culturali e mutamenti politici, economici e sociali propri dell’esperienza contemporanea.

segue

Nel 1966, Edward Shils poteva scrivere, in un saggio intitolato Privacy: its Constitution and Vicissitudes, che sebbene «l’idea di privacy sia vaga e difficile da collocare in una giusta prospettiva», essa evoca una «zero-relationship nel senso che è costituita dall’assenza di interazione o comunicazione o percezione» [2]. La privacy, dunque, come «diritto espressione di una realtà economico-sociale borghese», diretto a difendere la sfera intima della persona dall’invadenza della curiosità pubblica [3], in una logica dell’appartenenza idonea a sollecitare l’impiego dell’armamentario concettuale proprio delle situazioni proprietarie e, in particolare, del tratto dello ius excludendi omnes alios che ne caratterizza il relativo dogma.

Una ricostruzione divenuta precocemente anacronistica, con l’avvento delle tecnologie informatiche e delle banche dati che, dando vita a quello che Arthur R. Miller definisce, nel 1971, The Assault on Privacy [4], promuovono una profonda rielaborazione della relativa nozione, alla quale ascrivere – oltre alla funzione di escludere, in negativo, altrui intromissioni nella propria dimensione individuale – quella di permettere, in positivo, con le parole di Stefano Rodotà, il controllo del «flusso di informazioni riguardanti un determinato soggetto» [5].

Ma, soltanto nell’attuale modello di organizzazione capitalistica, i dati personali divengono oggetto di transazioni economiche [6], cioè di uno scambio, spesso implicito, che contribuisce alla creazione di un vero e proprio mercato altrettanto implicito [7]. Nella data economy, come afferma una celebre copertina dell’Eco­nomist del maggio 2017, «The world’s most valuable resource is no longer oil, but data».

I social network – che costituiscono, ormai, il principale strumento di diffusione e accesso alle informazioni – basano il proprio business sul trattamento a fini di profilazione commerciale di grandi volumi di dati, per consentire tanto una valutazione della domanda individuale di consumo a scopi di pubblicità e commercializzazione personalizzata, quanto una stima di quella aggregata che tratteggi le tendenze evolutive dei mercati [8]. Il processo di elaborazione e aggregazione dei dati mediante algoritmi permette, infatti, di costruire modelli predittivi di preferenze e domanda di beni e servizi [9], oltre a favorire lo sviluppo di sistemi di intelligenza artificiale alla base di una crescente automazione dei processi produttivi [10].

Nell’ecosistema digitale, pertanto, i dati acquistano un valore economico, che aumenta con il loro volume e la loro varietà [11]. L’esigenza di massimizzare la rivelazione dei dati è alla base della strutturazione apparentemente gratuita di numerosi servizi disponibili in rete – come i motori di ricerca, le piattaforme social, il cloud computing – ove si realizza uno scambio, in una logica spesso inconsapevolmente corrispettiva, tra l’accesso al servizio e la rivelazione di informazioni personali [12]. Una rete di scambi e operazioni economiche che avvengono non in un mercato trasparente di transazioni commerciali esplicite, ma in un mercato sottratto a ogni cornice istituzionale e regolatoria [13].

In questo scenario, Vincenzo Ricciuto avverte che il fenomeno della circolazione dei dati personali non si presta più a essere ricondotto al tradizionale paradigma “escludente” della privacy, quale diritto della personalità di natura indisponibile adeguato a beni sottratti alla negoziabilità, ma neppure a un modello proprietario che, assoggettando i dati a un processo di commodification, li equipari a qualsiasi merce di scambio sottoposta alla disciplina comune della circolazione giuridica. Piuttosto, secondo l’Autore, il trattamento dei dati personali e la loro circolazione costituiscono un «fenomeno (soprattutto) del diritto delle obbligazioni e del contratto» e, dunque, «della relatività delle situazioni giuridiche soggettive» [14], pur in una «ineliminabile intersezione» con il piano della tutela della personalità, che rappresenta un «limite ineludibile» volto a disegnare l’ambito e i confini delle negoziazioni [15].

Tuttavia, quello che viene efficacemente definito “l’equivoco della privacy” continuerebbe a influenzare non soltanto l’elaborazione dogmatica e l’interpretazione delle Corti, ma perfino il formante legale, dando prova di quella che Cass Sunstein definisce «the expressive function of law», cioè la funzione del diritto consistente nell’incoraggiare le norme sociali a muoversi in particolari direzioni [16]. Infatti, le principali fonti di diritto europeo – cioè il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati (c.d. GDPR) e la direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali – contribuiscono all’effetto illusorio che il trattamento dei dati personali non rappresenti un fenomeno costitutivo di un’attività economica aperto alla prospettiva contrattuale, giacché – pur accostandosi al problema della “disposizione” dei dati – rifuggono dall’impiego delle categorie proprie del diritto privato patrimoniale [17].

Celare che la circolazione dei dati personali si realizzi nel mercato come un’operazione di scambio finisce, secondo Ricciuto, non soltanto per impedire, dal punto di vista epistemologico, una piena e corretta comprensione del fenomeno, ma anche per frustrare le esigenze di tutela della persona dell’interessato – cioè del soggetto al quale si riferiscono i dati –, che non si esauriscono nella sola dimensione dei diritti soggettivi assoluti inerenti alla sfera della personalità, poiché «a seconda dei contesti nei quali agisce, la persona stessa è ora contraente, ora consumatore, ora imprenditore» [18], con la conseguenza di esigere l’applicazione di modelli rimediali di natura non soltanto aquiliana, ma anche contrattuale, spesso maggiormente adeguati rispetto alla fisionomia degli interessi in gioco. Avverte l’Autore: «la circolazione economica dei dati personali, la rete di scambi che li ha ad oggetto, e sostanzialmente l’esistenza di un mercato degli stessi, vanno riconosciute proprio per poterle regolare» [19].

Risuona qui la lezione di Paolo Grossi che – richiamando la necessità che l’universo giuridico, «se vuol costituirsi e restare esperienza vitale» [20], rifletta la realtà fattuale – invitava a «rivedere le categorie ordinanti per evitare il rischio di continuare a contare su forme giuridiche coartanti, che provocano un déclin du droit e isolano il giurista dalle forze storiche e da quei fatti di cui pure ha consapevolezza» [21].

I dati personali, quali beni giuridici, hanno un «carattere polivalente e polifunzionale» [22], giacché la disciplina della loro circolazione risolve un conflitto che oppone, da una parte, l’interesse di ogni persona a mantenere il controllo sui dati che la riguardano, che assurge al rango di diritto fondamentale (artt. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea) e, dall’altra, l’interesse delle autorità pubbliche e degli operatori economici al trattamento delle informazioni altrui per un’indefinita varietà di scopi [23], nel rispetto del principio di «libera circolazione dei dati personali nell’Unione» che – secondo l’art. 1, paragrafo 3, GDPR – «non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali» [24].

La riferita polifunzionalità dei dati li rende inadatti all’appropriazione esclusiva, generando una difficoltà di assolvimento della funzione attributiva da parte dei diritti reali. Il dato personale – definito dall’art. 4, paragrafo 1, n. 1, GDPR come «qualsiasi informazione riguardante una persona fisica identificata o identificabile» – ha intrinsecamente natura non patrimoniale, in quanto elemento costitutivo dell’identità personale dell’interessato [25]. Ma al contempo, rappresenta un’entità rilevante sotto il profilo economico, suscettibile di formare oggetto da parte di terzi non di situazioni di appartenenza di stampo dominicale, cioè di attività di godimento e disposizione, ma di trattamento per specifiche finalità meritevoli di tutela [26].

Ammettere che i dati personali abbiano un valore economico non richiede, pertanto, di accogliere un approccio market-oriented che li consideri in grado di circolare nel mercato come qualsiasi altra commodity suscettibile di sfruttamento commerciale [27]. Nel vigente ordinamento italo-europeo, infatti, i dati personali non integrano, in quanto tali, beni immateriali trasferibili secondo il significato condiviso dal diritto privato europeo, e dunque assoggettabili allo statuto generale del trasferimento delle situazioni proprietarie [28]. Diversamente, integrano beni negoziabili le utilità ritratte attraverso e dopo un’attività di trattamento da parte del titolare dello stesso, conformemente al particolare statuto normativo della data protection [29], nell’ambito di un regime di circolazione che risulta, dunque, speciale e autonomo rispetto a quello di ogni altro bene materiale o immateriale, deviando dall’ordinaria disciplina contrattuale in virtù della particolare natura del bene oggetto di disposizione [30]. Scrive Ricciuto: la circolazione del dato non presuppone la cessione del bene mediante negozi traslativi, ma avviene con negozi «costitutivi di un diritto a trattare i dati personali: sono questi ultimi atti che rendono possibile il principio di circolazione del dato» [31].

Del resto, già nel 1972, Pietro Perlingieri, nel corso dedicato a “La personalità umana nell’ordinamento giuridico”, metteva in luce l’irriducibilità della negoziabilità alla patrimonialità, giacché la prima, nel verificare l’idoneità di un bene a formare oggetto di un atto di autonomia, è chiamata ad accertare non l’acqui­sizione da parte di quel bene di un apprezzabile valore di scambio, sul piano socio-economico, ma piuttosto l’attitudine di quell’atto di autonomia, anche in ragione della sua funzione, a realizzare interessi meritevoli di tutela [32]. Meritevolezza che non è esclusa dall’incidenza del negozio su beni di natura esistenziale, ove la predominanza del profilo non economico si limita a condizionare l’ampiezza e il modo di operare del potere di disposizione [33], con la conseguenza che viene meno «ogni giustificazione di una costruzione generale, in sede negoziale, della figura del potere di disposizione e della relativa conseguente attività dispositiva» [34].

In altri termini, come dimostra anche la crescente circolazione degli attributi della personalità suscettibili di sfruttamento commerciale, la natura non patrimoniale di un bene non è incompatibile con la sua assunzione a oggetto di un negozio, ma solleva piuttosto l’interrogativo di quale assetto regolatorio sia in grado di conciliare l’inerenza del bene alla sfera della persona con la logica ordinaria dello strumento contrattuale, quale tecnica dispositiva diretta a realizzare in maniera tendenzialmente stabile spostamenti di ricchezza [35].

In questa prospettiva, secondo Ricciuto, la circolazione dei dati personali «affidata a meccanismi contrattuali dovrà sempre considerare le limitazioni poste a quell’operazione» dalla natura del bene [36], come dimostrano, innanzi tutto, i principi e le regole tendenti a conformare il trattamento sì da valutarne la liceità (art. 6, GDPR) e, inoltre, il riconoscimento all’interessato tanto del potere di revocare «in qualsiasi momento» il consenso prestato (art. 7, GDPR), quanto di un set di diritti nei confronti del titolare del trattamento – quali quelli di accesso, rettifica, cancellazione, limitazione di trattamento e portabilità dei dati (artt. 15-20, GDPR) – che gli permettono di mantenere il controllo sui dati e sulle loro utilizzazioni future.

In particolare, il regime di circolazione dei dati personali risulta profondamente inciso dalla previsione della revocabilità del consenso che, senza escludere la negozialità del fenomeno, conferma l’inapplicabilità ad esso di alcuni principi vigenti in materia contrattuale, come quello della irretrabilità del consenso, che impedisce la risolubilità del vincolo per volontà unilaterale di una parte, allo scopo di assicurare la certezza dei traffici giuridici. Esigenza di sicurezza che diviene, invece, cedevole quando gli accordi investono beni riconducibili alla sfera della personalità, i quali presentano un diverso grado di vincolatività, per l’inerenza alle situazioni esistenziali di un irrinunciabile ius poenitendi [37]. La revocabilità senza limiti del consenso salvaguarda, dunque, l’interesse a controllare le forme di trattamento del dato «oltre il primo atto di disposizione del diritto» [38], a riprova dell’assenza di ogni effetto traslativo di una situazione di appartenenza.

La ricostruzione in termini negoziali delle vicende circolatorie dei dati personali conduce soprattutto Ricciuto a prefigurare un avanzamento del livello di tutela assicurato all’interessato, rispetto alle prospettive che attingono esclusivamente allo strumentario dei diritti assoluti della personalità. Delineare un’impostazione negoziale delle dinamiche di trattamento dei dati si accompagna, infatti, a una coerente dilatazione delle forme di protezione degli interessi coinvolti oltre la dimensione aquiliana.

Così, il problema del rischio nel trattamento dei dati personali – tradizionalmente affrontato nella prospettiva riparatoria della lesione di un diritto soggettivo assoluto, dunque nel perimetro della responsabilità per esercizio di un’attività pericolosa (art. 2050 cod. civ.) – trova più appropriata collocazione nella disciplina dei profili (non patologici, bensì) fisiologici dell’attività di trattamento, ove il principio di accountability fatto proprio dal GDPR pone in capo al titolare molteplici obblighi di valutazione e gestione del rischio (privacy by design; privacy by default; valutazione di impatto sulla protezione dei dati; ecc.), testimoniando lo spostamento del baricentro della regolazione dall’ambito extracontrattuale a quello dell’attività di impresa svolta nel mercato [39].

All’esigenza di rafforzare la protezione del soggetto al quale si riferiscono i dati risponde, altresì, la revisione critica delle concezioni che, rifiutando la qualificazione dei dati personali in termini di corrispettivo per la fornitura di beni o servizi, sostengono l’irriducibilità al consenso contrattuale del consenso al trattamento, inteso quale atto autorizzativo a carattere unilaterale con il quale si esercita il diritto di autodeterminazione informativa [40]. L’esclusione di un doppio consenso – che, «sia pure nel contesto di un’operazione economica unitaria» [41], rimanda a un duplice piano disciplinare del contratto e della circolazione dei dati – e la conseguente configurazione del consenso al trattamento come elemento di una fattispecie negoziale permette, infatti, a Ricciuto non soltanto di saldare la divaricazione tra forma giuridica e sostanza economica del fenomeno, ma anche di assoggettare il rapporto alla normativa contrattuale in quanto compatibile, allargando l’apparato rimediale a disposizione dell’interessato.

Da una parte, le tutele contrattuali potranno assicurare adeguata rilevanza alle patologie del consenso al trattamento, alla luce del suo effettivo profilo funzionale in un contesto di scambio [42]; dall’altra, l’invoca­bilità del «principio di necessaria giustificazione causale delle attribuzioni patrimoniali» [43] permette di sottoporre al controllo ordinamentale la rilevanza causale della scelta di fornire i dati nell’ambito di un’opera­zione economica [44].

La collocazione della circolazione dei dati in una dimensione negoziale consente, infine, a Ricciuto di applicare all’interessato che assuma la qualifica di consumatore le relative forme di protezione, come confermano le tendenze evolutive del diritto europeo che, con la direttiva (UE) 2019/2161 del Parlamento europeo e del Consiglio del 27 novembre 2019, estende la normativa consumeristica e, in particolare, l’ambito applicativo della direttiva (UE) 2011/83 del Parlamento europeo e del Consiglio del 25 ottobre 2011, ai contratti di fornitura di servizi digitali nei quali «il consumatore comunica o si impegna a comunicare dati personali» [45]. La centralità dei dati personali nell’attuale assetto dell’economia capitalistica enfatizza l’importanza di applicare alla loro circolazione le tutele proprie del diritto dei consumi, quali quelle in materia di clausole vessatorie, includendo la prestazione di fornire i dati personali nella valutazione dell’equilibrio normativo del contratto [46] e in materia di pratiche commerciali scorrette, come hanno recentemente riconosciuto l’Autorità garante per la concorrenza e il mercato e la giurisprudenza amministrativa [47].

In conclusione, siamo grati a Vincenzo Ricciuto per avere offerto un contributo prezioso alla ricostruzione del fenomeno della circolazione dei dati personali che, promuovendo una revisione critica degli approcci interpretativi più consolidati, adegua le categorie giuridiche alle istanze che promanano dalla realtà economico-sociale, così da stimolare la riflessione scientifica a proseguire nel perenne processo di invenzione del diritto che ne assicuri la coerenza al divenire storico.

NOTE

[1] V. Ricciuto, L’equivoco della privacy. Persona vs dato personale, Napoli, 2022.

[2] E. Shils, Privacy: Its Constitution and Vicissitudes, in Law and Contemporary Problems, 1966, 31, 281.

[3] V. Ricciuto, op. cit., 15.

[4] A.R. Miller, The Assault on Privacy. Computers, data banks, and dossiers, Michigan, 1971.

[5] S. Rodotà, Elaboratori elettronici e controllo sociale, Bologna, 130.

[6] Cfr. A. Quarta, Mercati senza scambi. Le metamorfosi del contratto nel capitalismo della sorveglianza, Napoli, 2020.

[7] In tal senso, M. Delmastro, A. Nicita, Big data. Come stanno cambiando il nostro mondo, Bologna, 2019, 24.

[8] V. M. Delmastro, A. Nicita, op. cit., 11.

[9] A. Acquisti, L. Brandimarte, G. Loewenstein, Privacy and Human Behavior in the Age of Information, in Science, 347 (6221), 2015, 509 ss.

[10] L. Floridi, La quarta rivoluzione, Milano, 2014.

[11] M. Delmastro, A. Nicita, op. cit., 23.

[12] Si veda R. Caterina, Cyberspazio, social network e teoria generale del contratto, in AIDA, 2011, 96 ss.

[13] Osservano M. Delmastro, A. Nicita, op. cit., 31, che: «la questione della cessione del dato, e della sua valorizzazione economica, non rileva solo per la tutela della privacy, ma anche al fine della costruzione giuridica, oltre che economica, di un vero e proprio mercato trasparente dei dati».

[14] V. Ricciuto, op. cit., 40.

[15] V. Ricciuto, op. cit., 45.

[16] C.R. Sunstein, Social Norms and Social Roles, in Colum. L. Rev., 1996, 953; Id., On the Expressive Function of Law, in U. Pa. L. Rev., 1996, 2024 s.

[17] V. Ricciuto, op. cit., 41 ss.

[18] V. Ricciuto, op. cit., 52.

[19] V. Ricciuto, op. cit., 86.

[20] Così, P. Grossi, Omaggio ad Angelo Falzea, in Riv. dir. civ., 1991, I, 327.

[21] P. Grossi, op. cit.., 331.

[22] F.G. Viterbo, Protezione dei dati personali e autonomia negoziale, Napoli, 2008, 156.

[23] Cfr. C. Irti, Consenso “negoziato” e circolazione dei dati personali, Torino, 2021, 37 ss.

[24] Una visione di insieme in V. Cuffaro, Il diritto europeo sul trattamento dei dati personali, in Contr. impr., 2018, 1098 ss.

[25] Cfr. P. Perlingieri, Privacy digitale e protezione dei dati personali tra persona e mercato, in Foro nap., 2018, 482 ss.

[26] In questo senso, F.G. Viterbo, op. cit.., 153-156.

[27] Sul punto, A. De Franceschi, M. Lehmann, Data as Tradeable Commodity and New Measures for their Protection, in The Italian Law Journal, 2015, 51 ss.

[28] Acutamente, F.G. Viterbo, Freedom of contract and the commercial value of personal data, in Contr. impr./Eur., 2016, 604 s.

[29] F.G. Viterbo, Freedom of contract, cit., 606 s., il quale aggiunge: «The real crux of the question is establishing wheter and how personal data can circulate, that is to say, wheter and how they may be processed».

[30] F.G. Viterbo, Protezione dei dati personali, cit., 161 s.

[31] V. Ricciuto, op. cit., 61.

[32] P. Perlingieri, La personalità umana nell’ordinamento giuridico, Napoli, Camerino-Napoli, 1972, 300 ss.

[33] M.A.Urciuoli, Situazioni esistenziali ed autodeterminazione della persona, Napoli, 2018, 42 s.

[34] In tal senso, P. Perlingieri, Il diritto alla salute quale diritto della personalità, in Rass. dir. civ., 1982, 1020 ss., ora in Id., La persona e i suoi diritti. Problemi del diritto civile, Napoli, 2005, 128.

[35] Si rinvia a G. Resta, I diritti della personalità, in Trattato di diritto civile, diretto da R. Sacco, Le persone fisiche e i diritti della personalità, a cura di G. Alpa, G. Resta, II ed., Torino, 2019, 543 ss.

[36] V. Ricciuto, op. cit., 57.

[37] P. Perlingieri, Il diritto alla salute quale diritto della personalità, cit., 127.

[38] Lo osserva, G. Resta, Autonomia privata e diritti della personalità, Napoli, 2005, 339.

[39] V. Ricciuto, op. cit., 124 ss.

[40] G. Resta, I dati personali oggetto del contratto. Riflessioni sul coordinamento tra la Direttiva 2019/770 e il Regolamento 2016/679, in Annuario del contratto, 2018, 127 ss. Cfr., altresì, C. Irti, Consenso “negoziato”, cit., 64 ss., la quale ricostruisce il rilascio del consenso al trattamento dei dati come prestazione condizionale. Di «atto oggettivamente complesso» discorre R. Senigaglia, Minore età e contratto. Contributo alla teoria della capacità, Torino, 2020, 138.

[41] Così, C. Camardi, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione di dati personali, in Giust. civ., 2019, 510 s.

[42] V. Ricciuto, op. cit., 150.

[43] V. Ricciuto, op. cit., 146.

[44] V. Ricciuto, op. cit., 150 s.

[45] V. Ricciuto, op. cit., 161.

[46] V. Ricciuto, op. cit., 157.

[47] V. Ricciuto, op. cit., 174 s.