“L’equivoco della privacy”
tra consenso e capacità

Quello di Vincenzo Ricciuto è un libro di alta ermeneutica giuridica, che giunge a una tesi ragionevole, risultante dal connubio tra il pluralismo della realtà, le regole e la gerarchia dei valori dell’ordinamento giuridico [1].

È un libro che, assumendo ad oggetto della sua analisi il delicato e complesso ambito del diritto fondamentale alla protezione dei dati personali, non si fa attendere nelle soluzioni, non si rifugia nella timidezza critica, non indugia a respingere con fermezza esercizi dogmatici tendenti più a servire la “certezza” delle categorie che a rispondere realmente agli interessi tutelati [2].

segue

Insomma, è un libro intriso di consapevolezza realistica, oltre che di straordinaria coscienza di metodo, che scruta il diritto fondamentale guardando al dato personale come bene dotato di valore [3], di cui può liberamente disporne l’interessato o, a prescindere dal suo consenso, può farne uso un terzo che abbia oggettiva necessità di trattarlo per il funzionamento o l’esecuzione di talune specifiche attività (le altre basi di liceità) [4].

Osservando, quindi, il fenomeno della “circolazione dei dati”, l’autore dispiega la sua tesi muovendo da alcune premesse logico-ricostruttive, che possono riassumersi in cinque punti:

i) il dato personale è valorizzato dal mercato; esso è dunque un bene giuridico attratto dalla funzione circolatoria;

ii) il dato personale è un bene giuridico che non può essere ridotto a “pura merce”, ma è un bene (una merce) “speciale”, essendo espressione dell’identità personale dell’uomo;

iii) il suo regime di circolazione, per ciò, è senz’altro sottratto alla logica proprietaria, dell’attribuzione esclusiva, legata alla tradizionale lettura, esclusivamente in senso privativo, dell’atto di disposizione [5];

iv) Il GDPR intende ordinare questa realtà, articolando una disciplina del fenomeno di “circolazione dei dati” e quindi dell’attività di trattamento degli stessi. In definitiva, si è al cospetto di una disciplina del rapporto e non del diritto soggettivo.

v) Quando, poi, la base di legittimazione del trattamento è il consenso dell’interessato, quest’ultimo non può che assumere natura negoziale.

Vorrei ripercorrere i nodi problematici, dalla cui decostruzione e ricostruzione critica discendono le premesse appena enunciate e la relativa tesi, assumendo a banco di prova la questione del trattamento dei dati personali del minore di età [6]. Questione ben nota all’autore, tanto da eleggerla ad uno degli ambiti di approdo della propria teoria, nel punto in cui smentisce l’idea della necessità di tenere separato il consenso contrattuale dal consenso al trattamento nelle operazioni economiche riguardanti la fornitura di contenuti o servizi digitali contro la fornitura di dati personali [7]. Segnatamente, la critica è rivolta alla lettura che ritiene fondamentale operare la scomposizione del processo di sfruttamento dei dati personali, giungendo ad affermare che oggetto del relativo contratto non sono i dati bensì il consenso al loro trattamento, tenendo comunque separato, in termini formali e sostanziali, il consenso autorizzativo (a trattare i dati) dal consenso negoziale di adesione dell’utente al regolamento contrattuale. Sì che il contratto di scambio beni/servizi contro dati assumerebbe la struttura di una promessa sinallagmaticamente condizionata a una prestazione di controparte, attraendolo, così, nello schema dell’art. 1333 cod. civ. [8].

Questa lettura condurrebbe, con riferimento al minore di età, all’esito paradossale di affermare la capacità a manifestare il consenso al trattamento dei dati personali nell’offerta diretta di servizi della società del­l’informazione, tenendo ferma l’incapacità contrattuale.

Nello specifico, prendendo a riferimento l’art. 8 GDPR, così come attuato dall’art. 2-quinquies d.lgs. 30 giugno 2003, n. 196, al minore ultraquattordicenne deve essere riconosciuta la capacità di esprimere il consenso (secondo la tesi criticata, non negoziale ma autorizzativo) al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione. Allo stesso, però, non sarebbe consentito concludere validamente il contratto di fornitura dei propri dati personali in cambio della fornitura di contenuti o servizi digitali (contratto, questo, considerato dalla dir. UE 2019/770 e dagli artt. 135-octies e ss. Cod. cons.). In questi termini, il par. 3 dell’art. 8 GDPR, a tenore del quale «il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto al minore», è inteso nel senso di far salva la rigidità della regola e del dogma della incapacità di agire dell’infradiciottenne.

Vincendo Ricciuto segnala, con efficace immediatezza, l’assurdità di una tale lettura, passando subito a evidenziare le sue ricadute effettuali, prima ancora delle sue implicazioni assiologiche [9]. Egli osserva che, predicando rispetto al minore ultraquattordicenne la capacità al consenso (autorizzativo) al trattamento e l’incapacità al consenso contrattuale, l’inferenza è che in presenza di un contratto di scambio contenuti/servizi digitali contro dati personali concluso da quel minorenne si dovrebbe ritenere invalido soltanto il contratto (perché stipulato da persona incapace di agire); con la possibile conseguenza che il minore potrebbe vedersi privato del contenuto/servizio digitale (ad es. un gioco) mentre il fornitore di quest’ultimo potrebbe legittimamente continuare a utilizzare i dati personali fin tanto che non intervenga la revoca dell’interes­sato [10].

La precomprensione – o per dirla con il titolo del volume «l’equivoco» — che vizia la lettura del fenomeno della “circolazione dei dati personali”, anche nei termini appena segnalati, è individuata nel sovrapporre il dato personale con la persona, sì che come quest’ultima non può essere attratta dalle logiche del mercato, specialmente da quelle appropriative, così i suoi dati devono rimanere estranei dallo stesso e dai suoi strumenti giuridici di circolazione. Ma l’incantesimo dell’endiadi (dato personale e persona), contestato dall’au­tore con la forza del metodo, si scioglie nel momento in cui dalla visione monistica della persona si approda a quella pluralistica, dispondendo i “beni” protetti dai diritti della c.d. “personalità morale” [11] dell’in­dividuo anche al possibile apprezzamento esterno del mercato. Di qui, l’atto dispositivo di talune forme di utilizzo di codesti “beni” assurge a strumento di svolgimento della personalità nei limiti della dignità umana [12].

Nel caso dei dati personali, la legittimità del loro trattamento da parte di terzi è perimetrata dai principi di lealtà, finalità, consenso o altra base di legittimazione (art. 8, par. 2, CDFUE), e non anche dal principio di extracommerciabilità (gratuità), come avviene per i diritti della c.d. “personalità fisica” (art. 3, par. 2, lett. c) CDFUE; art. 5 cod. civ.) [13]. Sì che, essendo acquisita la loro utilità economica, apprezzata dal mercato, essi possono divenire oggetto di un atto negoziale di disposizione da parte dell’interessato [14]. Ma la loro inerenza alla persona, sempre integra e inviolabile, connota necessariamente di specialità il contratto e, più in generale, il loro regime di circolazione. Segnatamente, e in sintesi, con il consenso negoziale al trattamento dei propri dati personali la persona (l’interessato): i) può disporre del dato senza disporre di se stessa; ii) non perde la disponibilità del dato, ma soltanto l’esclusività; iii) ha diritto di mantenere il controllo costante dei dati oggetto del trattamento; iv) non perde il potere di riavere l’esclusiva disponibilità del dato, sottraendolo alla circolazione, per il tramite dell’esercizio della revoca del consenso al trattamento. Tanto che, l’effetto dell’at­to di disposizione – «da comprendere», come segnala l’autore, «non con riferimento al tipo ma alla causa» [15] – non è la cessione del dato bensì la sua dazione in godimento (il suo utilizzo, il suo trattamento) non esclusivo e non escludente altre, pure contestuali, dazioni in godimento.

Proprio in ragione di questo regime speciale, l’autore, continuando a far leva sull’efficacia descrittiva delle figure retoriche, oltre a respingere l’endiadi persona/dato personale, segnala l’ossimoro che esprime la diffusa locuzione “persona versus dato personale”, essendo irrinunciabile la considerazione del legame tra il dato e la personalità dell’interessato, tanto da esigere una disciplina speciale della circolazione dei dati personali, come quella articolata dal GDPR. E allora, volendo ancora ricorrere all’ausilio delle figure retoriche, quella più adatta è la sineddoche, ravvisando nel diritto fondamentale alla protezione dei dati personali l’e­spressione di principio nella cui semantica, irriducibile al concetto di privacy, rientrano i diversi diritti della personalità, il cui esercizio trascende le espressioni prettamente morali per comprendere anche quelle economiche, le quali, nell’ermeneutica della persona, trovano nella dignità il limite invalicabile [16].

È anzitutto dalla presa d’atto di questo ampio spettro assiologico del diritto alla protezione dei dati personali che anche la disciplina, specialmente quella articolata dal GDPR, ha spostato il proprio punto di riferimento dalla persona all’attività del trattamento del dato, tutta improntata sul principio della gestione del rischio [17]. Si tratta del rischio di lesione di quel (meta)diritto fondamentale; un rischio che, seppure ineliminabile, necessita di essere disciplinato dalla legge, regolato dagli addetti (soggetti pubblici o privati) alla governance della data protection e amministrato dalle Autorithies. È in ragione di ciò che se il punto di riferimento della disciplina è l’attività, il suo ordine funzionale è pur sempre di carattere personalistico [18].

L’inferenza di tutto questo, come precisa l’autore, è che la «disciplina del trattamento dei dati nella prospettiva del diritto civile è sempre caratterizzata da un’ineliminabile intersezione dei piani e delle logiche dei diritti assoluti con le situazioni giuridiche dei rapporti obbligatori» [19].

Tant’è che in tutto l’impianto del GDPR e in ogni «condizione» di liceità del trattamento dei dati personali, sfuma la logica del diritto soggettivo, legata all’ordine “dominicale” dell’appartenenza esclusiva (privativa), prevalendo invece quella del rapporto giuridico; la quale esige, in tutti i casi, la cooperazione fiduciaria delle parti, consistente nella cura dei reciproci interessi imposta dal principio generale di buona fede.

E quando la base di legittimazione del trattamento è il consenso dell’interessato il rapporto giuridico non può che avere natura contrattuale: il consenso è sempre prestato per avere qualcosa in cambio, la quale cosa viene data per poter trattare i dati personali [20]; tanto che, come avverte ripetutamente il noto docufilm americano The Social Dilemma, «se il servizio è gratis, il prodotto sei tu».

Si tratta, dunque, evidentemente di un contratto di scambio ove la fornitura dei dati personali giustifica la prestazione del bene o servizio, e viceversa, definendo così l’elemento causale [21]. E in questa dinamica, il consenso al trattamento del dato non sta fuori dal contratto, ma partecipa all’unica fattispecie, costituendo e regolando il rapporto, assumendo quindi necessariamente carattere negoziale. Di qui la complessità oggettiva dell’atto [22] consistente nella pluralità contenutistica di volontà dell’interessato (di acquisire il bene e di autorizzare il trattamento), volontà che si manifestano in un unico atto.

In definitiva, nell’operazione economica di scambio beni/servizi contro dati, consenso contrattuale e consenso al trattamento di fatto concorrono contestualmente, e quindi unitariamente, a edificare la fattispecie negoziale [23].

Mal rispecchia, invece, la realtà delle cose e del diritto la lettura, diffusamente contestata nel volume, secondo la quale «le parti stipulano un contratto con il quale assumono, rispettivamente, il fornitore l’obbligo di erogare il servizio e il consumatore l’impegno ad esprimere in cambio, successivamente (almeno dal punto di vista logico concettuale, se non temporale), il proprio consenso al trattamento dei dati personali» [24]. Una lettura questa che «separa, nell’ambito dell’operazione economica, il momento del consenso contrattuale – in cui si conclude il contratto relativo al bene o al servizio – dal momento del consenso all’uso dei dati personali, ipotizzando così una differenza di rapporto e di natura» [25].

Peraltro, come ben osserva Ricciuto, che il consenso al trattamento abbia natura negoziale e partecipi al­l’unica fattispecie, dando vita a un rapporto contrattuale, è ulteriormente attestato dalla terminologia decisa dal nostro legislatore in sede di trasposizione della dir. UE 2019/770 [26]: superando le timidezze terminologiche del legislatore eurounitario, volte più ad assecondare i timori espressi dall’European data Protection Supervisor nella nota Opinion del 2017, l’art. 135-octies Cod. cons., introdotto dal d.lgs. 4 novembre 2021, n. 173, non si esprime in termini di «impegno», come nella direttiva, ma di «obbligo» del consumatore a fornire dati personali al professionista. Un impegno, quindi, che si traduce in una vera e propria obbligazione confermando perciò la natura negoziale del consenso. E non può costituire un argomento dirimente il fatto che si tratti di un’obbligazione non coercibile, conoscendo il nostro ordinamento già altre forme di obbligazione che versano in questa stessa condizione per il fatto di essere consegnate alle prerogative del diritto potestativo di recesso, istituite, nel nostro caso, dal potere di revoca del consenso al trattamento dei propri dati [27].

Come dicevamo, la criticità della lettura che tiene separato il consenso (non negoziale) al trattamento e il consenso contrattuale allo scambio si sperimenta, con peculiare evidenza, nel momento in cui la si applica al consenso manifestato da un soggetto minorenne ultraquattordicenne.

Prendendo, come esempio, il consenso al trattamento manifestato da un quindicenne al gestore di una piattaforma ludica o social, al fine di usufruire di contenuti e servizi digitali, è dato osservare che, di fatto, tutto accade contestualmente e si consuma in un’unica fattispecie contrattuale con funzione di scambio. Ora, volendo imporre le categorie alla realtà fattuale, scindendo il consenso (ritenuto non negoziale) al trattamento dal consenso contrattuale, negando così la capacità del minore soltanto rispetto a quest’ultimo significa, nel nostro caso, esporre il contratto all’attivazione del rimedio caducatorio dell’annullabilità con l’effetto, come già poc’anzi osservato, di privare il minore del contenuto e servizio digitale, lasciando invece intatto il diritto del gestore di trattare i suoi dati personali. Ma se fossero questi i termini della questione, la soluzione più rigorosa, sia pure smentita dalla pratica, è che il mercato dovrebbe impedire al minore ultraquattordicenne di stipulare il contratto di fornitura di dati contro la fornitura di contenuti e servizi digitali [28]. Esito questo che, di fatto, si traduce nella neutralizzazione e nello sconfessamento del diritto a manifestare il consenso al trattamento (e quindi a disporre) dei dati personali.

In sostanza, in questo ambito problematico si assiste all’interazione tra la dimensione extracontrattuale e la dimensione contrattuale della persona. Sì che scindere la sfera personale da quella patrimoniale, riconoscendo la capacità di agire soltanto con riguardo alla prima, significa, ancora una volta cadere nell’equivoco dell’endiadi, minimizzando la duplice caratterizzazione patrimoniale e non patrimoniale del dato, così come di altro interesse personale parimenti oggetto di apprezzamento economico [29]. Tant’è che la negazione della capacità di disporre dei propri dati personali per remunerare un contenuto o un servizio digitale finisce inevitabilmente con l’ostacolare pure l’esercizio del diritto personale, sfociando, in definitiva, in una clamorosa eterogenesi dei fini.

Un esito, questo, senz’altro inammissibile anche in ragione del fatto, più volte ricordato, che quando la base di legittimazione è il consenso, specie nell’ambito dei servizi della società dell’informazione, il dato assolve, appunto, alla funzione di remunerare il servizio o il contenuto di cui gode l’interessato. Insomma, si è al cospetto di una situazione paradigmatica in cui persona e mercato non ammettono considerazioni separate, bensì esigono una valutazione unitaria, la cui cifra di ragionevole compatibilità è segnata dalla dignità della persona [30].

In definitiva, al minore quattordicenne non può non essere riconosciuto il potere negoziale di scambiare i propri dati personali con altri beni o servizi. Rispetto a questo approdo non può opporsi la lettura rigida della regola dell’incapacità contrattuale dell’infradiciottenne. Infatti, da un lato è soluzione ragionevole quella di ritenere che così come al minore munito della capacità di discernimento è riconosciuto il potere di esercitare i diritti personali strettamente legati alla sua identità, al medesimo deve essere pure riconosciuta la capacità contrattuale rispetto ad atti patrimoniali funzionali a realizzare la sua personalità (i c.d. contratti identitari della vita corrente [31]); dall’altro sono rintracciabili, nell’ordinamento, altri ambiti in cui è riconosciuta dalla legge la capacità contrattuale a un’età inferiore ai diciotto anni [32].

Per concludere, nella prospettiva del diritto fondamentale alla protezione dei dati personali, alla quale — come decisamente ribadito dall’autore — deve essere indirizzata tutta la disciplina dell’attività di trattamento e del fenomeno della circolazione dei dati personali, le esigenze di tutela della persona non vengono assolte forzando la funzione (e quindi la qualificazione) del consenso al trattamento bensì rafforzando la sua effettività. Il diritto e il giurista sono oggi al cospetto del fatto, ricevuto dal diritto, che chiaramente viene segnalato da Michela Massimi e Guido Scorza in questi termini: «Quanti sono, secondo voi, gli utenti-ragazzini che hanno letto anche solo una parte dei termini d’uso e dell’informativa sulla privacy di TikTok, tanto per fare un esempio? Eppure…, quando si sono registrati su TikTok, quei ragazzini hanno accettato una regola che dice che per poter usare il servizio e condividere una manciata di video devono lasciare che TikTok tratti una quantità industriale di loro dati personali per far soldi. Val la pena scriverlo in termini più chiari: quei ragazzini hanno accettato di pagare il loro intrattenimento con una parte importante della loro identità personale» [33].

Ebbene, dinanzi a questa fattualità, che si traduce in un contratto, il vero problema è: come rendere effettivo il consenso?

NOTE

[1] Si veda, in particolare, S. Patti, Ragionevolezza e clausole generali, Milano, 2013, 20 ss.; P. Grossi, Ritorno al diritto, Roma-Bari, 2015, 33 ss.; G. Perlingieri, Profili applicativi della ragionevolezza nel diritto civile, Napoli, 2015, 16 ss.; C. Camardi, Certezza e incertezza nel diritto privato contemporaneo, Torino, 2017, 18 ss.

[2] N. Lipari, Le categorie del diritto civile, Milano, 2013, 28 ss.

[3] Si rinvia a V. Zeno-Zencovich, profili negoziali degli attributi della personalità, in Dir. inf., 1993, 549 ss.; G. Resta, Autonomia privata e diritti della personalità, Napoli, 2005, 2 s.; N. Zorzi Galgano (a cura di), Persona e mercato dei dati. Riflessioni sul GDPR, Padova, 2019, passim.

[4] V. Ricciuto, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, 54 ss.

[5] Sul punto L. Mengoni, F. Realmonte, voce Disposizione (atto di), in Enc. dir., XIII, Milano, 1964, 189 ss.

[6] Ci sia consentito rinviare al nostro Minore età e contratto. Contributo alla teoria della capacità, Torino, 2020, 75 ss.

[7] Sul punto si veda pure F. Bravo, Lo “scambio di dati personali” nei contratti di fornitura dei servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, in Contr. impr., 2019, 139 ss.; G. Versaci, La contrattualizzazione dei dati personali dei consumatori, Napoli, 2020, passim.

[8] La ricostruzione in questi termini è ampiamente argomentata da C. Irti, Consenso “negoziato” e circolazione dei dati personali, Torino, 2021, passim.

[9] Si veda anche G. Capilli, La tutela dei dati personali dei minori, in R. Panetta (a cura di), Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento UE n. 2016/679 (GDPR) e al novellato d. lgs. n.. 196/2003 (Codice Privacy), Scritti in memoria di S. Rodotà, Milano, 2019, 253; A. Astone, I dati personali dei minori in rete. Dall’internet delle persone all’internet delle cose, Milano, 2019, 25 ss.

[10] V. Ricciuto, L’equivoco della privacy. Persona vs dato personale, Napoli, 2022, 139.

[11] Si rinvia a G. Resta, Autonomia privata e diritti della personalità, cit., 134; A. Nicolussi, voce Autonomia privata e diritti della persona, in Enc. dir., Annali, IV, Milano, 2011, 138.

[12] P. Zatti, Maschere del diritto volti della vita, Milano, 2009, 34; S. Rodotà, Il diritto di avere diritti, Roma-Bari, 2012, 192.

[13] A. Nicolussi, voce Autonomia privata e diritti della persona, cit., 134; G. Resta, Dignità, persone, mercati, Torino, 2014, 102 ss.

[14] V. Ricciuto, op. cit., 48.

[15] V. Ricciuto, op. cit., 164.

[16] V. Ricciuto, op. cit., 51.

[17] F. Bravo, L’«architettura» del trattamento e la sicurezza dei dati e dei sistemi, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), I dati personali nel diritto europeo, cit., 775 ss.

[18] V. Ricciuto, op. cit., 128.

[19] V. Ricciuto, op. cit., 45 e 120.

[20] C. Perlingieri, Profili civilistici dei social networks, Napoli, 2014, 13 ss.; A. De Franceschi, Il «pagamento» mediante dati personali, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), I dati personali nel diritto europeo, cit., 1381 ss.

[21] Cfr. C. Camardi, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione dei dati personali, in Giust. civ., 2019, 499 ss.

[22] Si veda F. Migliarese, voce Atto complesso, in Enc. giur., IV, Roma, 1988, 2.

[23] Sul tema S. Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, Milano, 2018, 19 ss.; G. Versaci, La contrattualizzazione dei dati personali dei consumatori, Napoli, 2020, passim.

[24] V. Ricciuto, op. cit., 143.

[25] V. Ricciuto, op. cit., 139.

[26] Si rinvia a C. Camardi, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione dei dati personali, in Giust. civ., 2019, 499 ss.; G. De Cristofaro, 40 anni di diritto europeo dei contratti dei consumatori: linee evolutive e prospettive future, in I Contratti, 2019, 187 ss.; A. De Franceschi, Il «pagamento» mediante dati personali, cit., 1393 s.; G. Resta, I dati personali oggetto del contratto. Riflessioni sul coordinamento tra la Direttiva 2019/770 e il Regolamento 2016/679, in Annuario del contratto, 2018, 127 ss.; C. Irti, Consenso “negoziato” e circolazione dei dati personali, cit., 79 ss.

[27] S. Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, cit., 186 ss.

[28] Si vedano, in proposito le considerazioni svolte, A. Astone, I dati personali dei minori in rete. Dall’internet delle persone al­l’in­ternet delle cose, cit., 25 ss.; E. Andreola, Minori e incapaci in Internet, Napoli, 2019, 193 s.

[29] G. Resta, Autonomia privata e diritti della personalità, Napoli, 2005, 58 ss.

[30] F.D. Busnelli, La persona alla ricerca dell’identità, in Riv. crit. dir. priv., 2010, 7 ss.

[31] R. Senigaglia, Minore età e contratto. Contributo alla teoria della capacità, Torino, 2020, passim. V. anche D. Di Sabato, Le relazioni economiche del minore, in Dir. succ. fam., 2015, 700 ss.

[32] Si veda, tra l’altro, l’art. 6 della Convenzione di Strasburgo per la protezione degli animali da compagnia del 13 novembre 1987, ratificata dall’Italia con l. 4 novembre 2010, n. 201.

[33] M. Massimi, G. Scorza, “La privacy spiegata semplice ai più giovani (e ai loro genitori), Mondadori università, Milano, 2021, 52.