L’evoluzione tecnologica e la crescente digitalizzazione hanno trasformato radicalmente il settore della pubblicità, favorendo la stabile affermazione dell’online behavioral advertising, ossia la pubblicità basata sulla profilazione degli utenti. Le sfide più attuali riguardano la preservazione del consenso dell’interessato al trattamento dei dati. Il contributo analizza il modello “pay or consent”, che offre agli utenti la scelta tra il pagamento per un servizio senza pubblicità personalizzata e il consenso alla profilazione per accedervi gratuitamente, esaminando criticamente le posizioni delle autorità europee ed evidenziando il conflitto tra protezione della riservatezza e dell’autodeterminazione dell’utente e sostenibilità economica del data-driven marketing.

SOMMARIO:

1. Pubblicità comportamentale online e patrimonializzazione delle informazioni personali - 2. Il ruolo del consenso al trattamento quale base giuridica della pubblicità comportamentale - 3. La condizionalità del consenso e i margini di “negoziazione” - 4. Il modello pay or consent - 5. Il parere dell’EDPB sul modello pay or consent e libertà del consenso. Critica - 6. Online behavioural advertising e raccordo imperfetto con il GDPR tra paternalismo ed esigenze di regolazione - NOTE

1. Pubblicità comportamentale online e patrimonializzazione delle informazioni personali

L’innovazione tecnologica e la diffusione del digitale hanno da tempo modificato profondamente la società in cui viviamo. Si è assistito, infatti, all’ingresso di internet e della tecnologia nella quotidianità per mezzo delle più varie declinazioni, dall’impiego ormai necessitato degli smartphone all’utilizzo generalizzato di piattaforme cc.dd. Big Techs e alla diffusione dell’intelligenza artificiale e dell’Internet of Things [1].

La tecnologia si trova a stretto contatto con l’utente e ne accompagna la maggior parte delle attività abituali, generando un ecosistema di iperconnessione [2] che rende sempre più fragile e artificiosa la distinzione tra il mondo offline e quello online [3].

Tutto ciò, si sa, consente ai fornitori dei servizi digitali di raccogliere informazioni preziose sulle preferenze e sul comportamento dell’utente, le quali possono essere utilizzate per diversi scopi, tra cui finalità di marketing personalizzato dal fornitore medesimo o da terzi a cui essi sono ceduti.

L’online behavioural advertising [4], ossia la pubblicità comportamentale online basata sulla profilazione degli utenti, pare aver da tempo soppiantato i tradizionali paradigmi di comunicazione commerciale basati sul general o sul contextual advertising, e ad oggi costituisce una delle forme più diffuse di sorveglianza digitale [5].

Difatti, al suo nucleo, la pubblicità comportamentale implica il monitoraggio delle attività degli utenti per personalizzare le pubblicità in base ai loro interessi, preferenze e comportamenti. Questa personalizzazione mira a rendere le pubblicità più rilevanti e coinvolgenti, aumentando così la probabilità di interazione tra gli utenti commerciali e i consumatori [6]. Sfruttando i dati sulla cronologia di navigazione, le query di ricerca, le interazioni sui social media e altri comportamenti online, le aziende possono creare campagne pubblicitarie altamente mirate.

I dati personali sul comportamento degli utenti costituiscono per le piattaforme una risorsa “spendibile” sul secondo versante del mercato [7], attraendo l’interesse di utenti commerciali e inserzionisti, giacché la possibilità di raggiungere i consumatori mediante la personalizzazione della promozione di prodotti e servizi genera un discreto vantaggio competitivo [8]. Ciò costituisce esemplare rappresentazione della patrimonializzazione delle informazioni, concetto ormai acquisito nella letteratura in materia di protezione dei dati personali [9].

Non è un caso che dall’attività istruttoria dell’AGCM sia emerso che il business model del gruppo Facebook sia essenzialmente fondato sul trattamento delle informazioni degli iscritti, e che i ricavi provenienti dalla pubblicità basata sulla profilazione degli stessi costituiscano pressocché l’intero fatturato di Facebook Ireland Ltd. e di Facebook Inc [10].

A ciò si aggiunga la diffusione dell’intelligenza artificiale nel settore pubblicitario e di tecniche di Big Data Analytics utilizzate per analizzare ed estrarre informazioni utili da grandi volumi di dati complessi e variabili, (noti appunto come Big Data [11]) la quale agevola la c.d. mass customization dei prodotti sul mercato [12].

Va da sé che, posto l’enorme potenziale del data-driven marketing, piccoli e grandi players del mercato digitale hanno tutto l’interesse alla raccolta della maggior quantità possibile di dati personali dei loro utenti.

Tale capacità remunerativa dei dati personali si accosta, specialmente con riguardo alle grandi piattaforme, all’irrinunciabilità dell’interazione virtuale, nelle vesti di contemporanea espressione della natura dell’uomo quale animale sociale; la realtà così descritta è stata a ragione definita come la rinnovazione contemporanea di un Patto Faustiano [13].

2. Il ruolo del consenso al trattamento quale base giuridica della pubblicità comportamentale

Giacché l’online behavioural advertising si compone di pratiche integralmente alimentate dalla raccolta di dati personali dell’utente da profilare, queste non possono che ricadere nell’ambito di applicazione del regolamento sulla protezione dei dati personali (GDPR) [14].

Dunque, l’interesse alla raccolta delle informazioni degli utenti di siti web e piattaforme incontra il limite del rispetto del regolamento, il cui denso sistema di regole e principi bilancia l’interesse allo sfruttamento dei dati con la protezione dei soggetti interessati dal trattamento, garantendo agli stessi – in misura variabile – la signoria e il controllo sulle informazioni che li riguardano [15].

Tuttavia, la disciplina in materia non regolamenta specificamente il fenomeno della pubblicità comportamentale, limitandosi ad alcune disposizioni – fra tutte, l’art. 21 GDPR – in materia di marketing diretto [16]. Il secondo paragrafo, in particolare, disciplina il diritto di opposizione dell’interessato nell’ambito di un trattamento di dati personali basato sul legittimo interesse (art. 6, lett. f) e sull’adempimento di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri (art. 6, lett. e) [17].

L’individuazione della base giuridica per il trattamento dei dati ai fini dell’online behavioural advertising è da tempo oggetto di un dibattito volto a soppesare le esigenze di remunerazione dei servizi digitali e quella di limitazione di un uso indiscriminato e abusivo delle informazioni dell’utente [18].

Sul punto si è poi pronunciata la Corte di giustizia [19], a valle della vicenda giudiziaria che ha riguardato Meta e l’Autorità garante della concorrenza tedesca (Bundeskartellamt) [20].

La Corte predilige, per esclusione, il consenso quale base giuridica per la personalizzazione dei contenuti e anzitutto quelli pubblicitari [21], scartando invece l’ipotesi dell’esecuzione di un contratto tra il titolare e l’interessato [22] (art. 6, par. 1, lett. b, GDPR) e il legittimo interesse del titolare (art. 6, par. 1, lett. f, GDPR) [23].

Ciò tuttavia non sorprende, se si osserva la posizione previlegiata che la Corte ha a più riprese riservato al consenso tra le diverse condizioni di liceità previste dal GDPR [24]. Nonostante il rapporto tra queste ultime e il consenso non possa formalmente ascriversi a quello di regola-eccezione [25], è altresì vero che a mente del case law europeo, le condizioni di liceità di cui all’art. 6, par. 1, comma 1, lett. da b ad f, del regolamento devono essere interpretate restrittivamente, in quanto consentono di rendere lecito un trattamento di dati personali effettuato in assenza del consenso dell’interessato [26].

È lo stesso GDPR, d’altronde, a garantire alla volontà del singolo la sua speciale elevazione [27]. Difatti, oltre ad essere la prima delle condizioni di liceità elencate dall’art. 6, la stessa rimane sempre utilizzabile anche per le attività più delicate e impattanti sull’interessato, come il trattamento di dati particolari ex art. 9 [28] o i processi totalmente automatizzati ex art. 22 [29].

E difatti, il caso in cui il trattamento si fonda sul consenso dell’interessato è l’unico in cui la normativa assegna allo stesso (e non alle disposizioni normative o al titolare) il ruolo di protagonista nella valutazione del bilanciamento tra gli interessi coinvolti nel trattamento [30].

Dato il potenziale impatto sulla riservatezza e sulla vita privata dell’interessato, lo stesso dovrebbe poter consapevolmente acconsentire all’utilizzo delle informazioni sul suo comportamento al fine di ricevere pubblicità personalizzata.

3. La condizionalità del consenso e i margini di “negoziazione”

Si è potuto fino ad adesso notare come la volontà dell’interessato del trattamento dei dati giochi un ruolo di prim’ordine tra i presupposti di liceità della pubblicità basata sulla profilazione.

Tuttavia, ove sia il consenso la base giuridica su cui si fonda l’attività, il titolare è esposto al rischio che lo stesso non sia prestato dall’utente, o che quest’ultimo lo revochi in un secondo momento [31], pur usufruendo (o continuando a usufruire) del servizio.

Al contrario, il titolare ha interesse ad attrarre la clientela, magari in forza della formale gratuità del servizio, per poi ricavare successivamente un lucro per mezzo della spendita dei dati nel mercato pubblicitario [32].

Insomma, affinché la raccolta dei dati sul comportamento degli utenti possa efficacemente costituire principale fonte di remunerazione di una certa attività imprenditoriale, può rendersi necessario condizionare l’erogazione del servizio offerto alla possibilità di trattare le informazioni di chi ne usufruisce.

In ossequio a tale premessa, non sempre i singoli utenti sono liberi di scegliere se acconsentire a determinati trattamenti delle loro informazioni. Difatti, è pratica diffusa quella di subordinare l’acces­so a un determinato servizio o pagina web alla prestazione del consenso al trattamento dei dati personali, assicurandosi la possibilità di sfruttare economicamente le informazioni raccolte quantomeno per tutta la durata di erogazione del servizio.

E ciò avviene tanto con riguardo a complessi servizi di piattaforma, quali social network [33], ma anche con riferimento alla quotidiana navigazione su siti web, i quali talvolta non concedono l’accesso all’utente che non accetti l’istallazione di cookies di tracciamento sul proprio dispositivo.

Un siffatto modello, a prescindere dalla sua riconducibilità al dominio proprio di una cornice contrattuale [34], evoca se non altro un paradigma di corrispettività: l’utente potrà usufruire del servizio soltanto accettando di autorizzare lo sfruttamento delle proprie informazioni, sicché le stesse si fanno, lato sensu, controprestazione non pecuniaria [35].

Quanto alla fattibilità giuridica di tale operazione, non assistiamo a una vera e propria presa di posizione del regolamento sul punto, che anzi rimane quanto mai equivoco [36].

Anzitutto, la normativa definisce il consenso come una manifestazione di volontà “libera, specifica, informata e inequivocabile dell’interessato” [37].

In particolare, il requisito della libertà va vagliato con riferimento a presupposti differenti e più rigidi rispetto alla volontà negoziale codicistica [38].

Ai sensi dell’art. 7, par. 4, nell’apprezzamento del requisito della libertà del consenso, va tenuta nella “massima considerazione” la circostanza che lo stesso sia richiesto per l’erogazione di un servizio. Cosa si intenda per “tenere nella massima considerazione” rimane poco chiaro fino a che non si legge la predetta disposizione in uno con il considerando 43, a mente del quale “si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

Seppur non vietata, dunque, la pratica dei cc.dd. tying agreements si presume non conforme al GDPR, nel senso che si suppone che l’interessato non abbia prestato liberamente il proprio consenso al trattamento [39].

È ammessa tuttavia la prova positiva – non facile, specialmente avendo riguardo a condizioni standard predisposte nei confronti di n utenti in assenza di negoziazione – che il soggetto avrebbe autorizzato il trattamento anche a prescindere dalla circostanza che lo stesso fosse necessario per accedere all’affare.

Prova che è posta in capo al titolare in virtù del principio generale di accountability, il quale trova espressa applicazione anche a tale fattispecie in forza dell’incipit dell’art. 7, talché spetta al titolare dimostrare che l’interessato ha prestato il proprio consenso (e che lo ha prestato liberamente) [40].

Proprio in relazione alla personalizzazione dei contenuti pubblicitari, è intervenuta, si diceva, anche la Corte di giustizia, la quale ha stabilito che la posizione dominante nel mercato dei social network è elemento da tenere in considerazione al fine di vagliare la libertà del consenso al trattamento. Inoltre, a mente della pronuncia, gli utenti della piattaforma dovrebbero essere liberi di rifiutarsi di prestare il proprio assenso a trattamenti dei dati non necessari all’esecuzione del contratto – nonché particolarmente invasivi e impattanti, come la pubblicità personalizzata – senza per questo essere costretti a rinunciare integralmente alla fruizione del servizio offerto dal titolare [41].

Quanto riferito dalla Corte sin qui si assesta, essenzialmente, sulla falsariga di quella interpretazione restrittiva fornita dall’European Data Protection Board (EDPB) nelle proprie linee guida [42], la cui posizione sulla libertà del consenso al trattamento si è a più riprese mostrata notevolmente severa. Il Comitato precisa che la manifestazione di volontà, di cui all’art. 6, par. 1, lett. è invalidata da “qualsiasi azione di pressione o influenza inappropriata sull’interessato (che si può manifestare in vari modi) che impedisca a quest’ultimo di esercitare il suo libero arbitrio” [43].

Sulla scorta di tale principio, il Comitato censura la pratica consistente nel subordinare la fornitura di un contratto o servizio al consenso al trattamento di dati personali [44]. In tal caso, si presume che il consenso prestato non sia stato espresso liberamente, in linea con la previsione del Considerando 43 [45].

Si noti che la prospettiva fornita dal Comitato si mostra genericamente più ortodossa finanche del dato testuale: la presunzione di cui al Considerando menzionato sarebbe una presunzione “forte”, alla luce della quale il consenso a un trattamento di dati personali non necessario all’esecuzione di un contratto non deve essere considerato un corrispettivo obbligatorio per il medesimo [46], salvo casi “estremamente eccezionali”, peraltro non specificati e nemmanco vagamente descritti.

Insomma, il combinato disposto tra l’art. 7, par. 4 e il Considerando 43 farebbe da argine alla legittimità di un consenso puramente condizionale.

4. Il modello pay or consent

Nella travagliata vicenda Meta, la Corte di giustizia ha dunque innalzato un argine al proliferare di pratiche contrattuali che “costringano” l’utente ad acconsentire alla pubblicità comportamentale per accedere al servizio di piattaforma offerto.

Allo stesso tempo, nondimeno, la pronuncia pare in un obiter avallare (e finanche suggerire) l’ipotesi in cui all’utente sia proposta, anche a fronte del pagamento di un “adeguato corrispettivo”, una versione alternativa ed equipollente del servizio che non contempli il trattamento dei dati dell’utente ai fini della pubblicità personalizzata [47].

Spiraglio, questo, prontamente richiuso dall’EDPB nel recente parere n. 08/2024 [48] sulla validità del dei modelli “consenso o pagamento” attuati dalle piattaforme online di grandi dimensioni per il trattamento dei dati personali finalizzato alla pubblicità personalizzata. Tale dinamica di negoziazione, alternativa al puro rapporto di condizionalità tra assenso al trattamento e accesso al servizio, si sostanzia nell’offrire all’utente due alternative: o quest’ultimo paga il prezzo del servizio (spesso stabilito in un canone mensile) oppure acconsente al tracciamento a fini pubblicitari [49].

Il Comitato richiama anzitutto l’attenzione sul rispetto di alcuni principi, e segnatamente del principio di minimizzazione, secondo cui i dati personali devono essere adeguati, pertinenti e limitati al quanto necessario rispetto alle finalità per le quali sono trattati, di talché la raccolta delle informazioni ai fini della pubblicità comportamentale non può trasformarsi in una costante sorveglianza sine die dell’interessato, “potenzialmente monitorandone l’intera vita, online e offline” [50].

È altresì sottolineata la necessaria osservanza del principio di correttezza di cui all’art. 5, par. 1, lett. a, GDPR, e pertanto non sono ammesse pratiche di advertising discriminatorie, ingannevoli o manipolatorie [51].

Con riferimento al consenso dell’interessato il Comitato afferma diffusamente che il titolare dovrebbe assicurarsi che la richiesta di pagamento di un prezzo non faccia sentire gli utenti obbligati ad acconsentire al trattamento valutando se la scelta predisposta tra le due alternative sia genuina.

Tuttavia, quella che nella forma sembrerebbe una decisione rimessa alla prudenza del titolare in ossequio al principio di accountability, si dimostra in concreto un sostanziale divieto.

Difatti, già nelle linee guida sul consenso del 2020, il Comitato affermava che lo stesso può costituire condizione di liceità del trattamento solo ove l’interessato sia posto nelle condizioni di scegliere se accettare o meno i termini proposti senza subire pregiudizio [52].

E invero, a mente della prospettiva individuata nel recente parere, se un interessato rifiuta di dare il proprio consenso al trattamento dei dati per scopi di pubblicità comportamentale, e in assenza di ulteriori alternative gratuite che gli permettano di accedere alle medesime condizioni, lo stesso si troverebbe a dover affrontare un pregiudizio di tipo economico, ossia il pagamento della tariffa imposta.

In sintesi, da un lato il titolare è libero di fornire l’accesso al proprio servizio a fronte del pagamento di un corrispettivo in denaro, dall’altro, ove decida in tal senso, non potrà offrire una versione gratuita o a un prezzo più basso a quegli utenti che acconsentano al trattamento dei loro dati personali funzionale alla pubblicità basata sul loro comportamento.

Tant’è che poi, pur precisando come non sia obbligatorio per il sito o la piattaforma offrire il proprio servizio gratuitamente, ammette, in luogo della binaria offerta “pay or consent”, un’altra ipotesi a suo dire più compliant con il regolamento: i titolari dovrebbero considerare anche l’offerta di un’ulteriore alternativa gratuita, che non comporti il trattamento di dati per scopi di pubblicità comportamentale e che potrebbe, segnatamente, contemplare diverse forme di pubblicità implicanti il trattamento di meno dati personali, come la pubblicità contestuale o generale o pubblicità basata su argomenti selezionati dall’utente da una lista di interessi [53].

Insomma, anche il modello “pay or consent” sembra attratto nella medesima prospettiva di difficile compatibilità con il GDPR, seppure, come si proverà a spiegare infra, al di fuori del contorno dell’art. 7, par. 4, GDPR.

5. Il parere dell’EDPB sul modello pay or consent e libertà del consenso. Critica

Nell’intervento dell’EDPB si può scorgere una postura quasi correttiva dell’arresto della Corte nel caso Meta c. Bundeskartellamt, mirata a chiudere ogni possibile spiraglio lasciato aperto da quel passaggio della sentenza che sembrava accordare al titolare la facoltà di fornire un’alternativa onerosa a fianco di quella che prevede il “pagamento” con i dati.

Al cospetto del modello “pay or consent” il Comitato sembra assumere sostanzialmente la medesima posizione di veto già affermata con riferimento a paradigmi che facevano della piena corrispettività tra dati e servizio erogato, e di conseguente condizionalità del consenso, il fulcro dell’operazione.

Vi è però da sottolineare come quella prospettiva, seppur di per sé irrigidita da certe premesse di lettura del diritto alla protezione dei dati personali, trovava comunque conforto nel dato normativo, e precisamente quello relativo al combinato disposto di cui all’art. 7, par. 4 e al Considerando 43.

Nel caso invece dello schema “pay or consent” le predette disposizioni non trovano applicazione, in quanto attengono alla diversa fattispecie in cui l’esercente precluda interamente la fruizione del proprio servizio ove l’utente non abbia acconsentito al trattamento, senza che possa accedervi pagando una somma di denaro.

Vero è che l’art. 7, par. 4 costituisce una tipizzazione non esaustiva dei casi di consenso non libero (o presunto tale), tuttavia lo stesso fornisce un binario di lettura di siffatto concetto di cui non può non tenersi conto.

Giacché al di fuori da questo tracciato, la liceità dell’ipotesi in cui il professionista offra due possibilità, una a pagamento che non contempli pubblicità personalizzata e una gratuita (o fortemente scontata, a seconda delle ipotesi) che invece preveda il trattamento dei dati a tal fine, va vagliata con esclusivo riferimento al generale attributo di libertà del consenso prestato.

Il Comitato, in tal senso, premette che il consenso deve ritenersi non liberamente fornito ove l’interessato subisca un pregiudizio a causa del mancato consenso o della sua revoca [54].

Da tale considerazione preliminare conseguirebbe che, ove un interessato si rifiutasse di prestare il proprio consenso al trattamento dei dati per finalità di pubblicità comportamentale, in assenza di alternative gratuite che consentano di accedere alle medesime condizioni alla prestazione, l’interessato patirebbe una conseguenza finanziaria, poiché si troverebbe altrimenti a dover pagare un corrispettivo in denaro per poter usufruire del servizio [55].

Così strutturato il ragionamento presta il fianco a diverse obiezioni se si osserva la questione in prospettiva rovesciata.

Anzitutto, sul piano del metodo, giova premettere come il professionista non sia costretto in nessun caso ad offrire gratuitamente la propria prestazione. Di talché, prospettare il pagamento del corrispettivo come conseguenza finanziaria pregiudizievole per l’utente è fallace, in quanto postula, in premessa, la gratuità del servizio. Può ben osservarsi l’alternativa (formalmente) gratuita come un plausibile vantaggio per l’utente, in luogo di ritenere, al contrario, la versione a pagamento quale svantaggiosa conseguenza economica per lo stesso [56].

Quanto al merito, in assenza di previsioni normative (anche solo di principio) in tale direzione, non si nascondono alcune perplessità innanzi all’assioma per cui la scelta di acconsentire all’offerta del servizio comprensivo di pubblicità personalizzata in luogo della sua versione a pagamento sia sempre e in ogni caso frutto di un consenso viziato. Rimane intatta, in tal senso, l’obiezione per cui il destinatario di tale pratica potrebbe assolutamente acconsentire, in modo consapevole, informato e assennato, al trattamento dei propri dati per accedere al servizio offerto dal titolare.

Certo, elemento da tenere in considerazione è la congruità del prezzo da corrispondere nella versione a pagamento, posto che un corrispettivo sconsideratamente elevato potrebbe essere offerto con il solo scopo di sospingere l’interessato ad acconsentire al trattamento, così da eludere il dettame dell’art. 7, par. 4, GDPR.

La pratica suddetta, difatti, si pone al labile confine con la sostanziale preclusione del servizio [57], permettendo nei fatti la riemersione di un paradigma di pura condizionalità del consenso prestato.

Qui sì, allora, la posizione più o meno dominante del professionista nel mercato dovrebbe assumere rilievo: non ai fini di vagliare la libertà del consenso sic et simpliciter, quanto relativamente alla valutazione della congruità del prezzo richiesto in alternativa.

Tuttavia, il Comitato non sembra confrontarsi con la selezione di criteri volti ad apprezzare l’adeguatezza del costo della versione a pagamento, limitandosi a ipotizzare la necessità di una terza alternativa ossia quella che, seppur gratuita, non prevede pubblicità comportamentale ma forme di pubblicità meno invasive. Ipotesi, questa, in un certo senso prevista al Considerando 36 del Digital Markets Act [58] (DMA), senza che nondimeno la disposizione specifichi che l’alternativa meno personalizzata debba essere gratuita [59]. Si badi, in ogni caso, che nonostante i requisiti del consenso del­l’utente per la personalizzazione del servizio siano da apprezzarsi sulla scorta di un rinvio esplicito al GDPR [60], le disposizioni contenute nel DMA sono mirate prioritariamente a garantire la contendibilità dei mercati digitali e trovano applicazione soltanto nei confronti dei cc.dd. gatekeepers [61].

6. Online behavioural advertising e raccordo imperfetto con il GDPR tra paternalismo ed esigenze di regolazione

Fatica dunque a decollare una ricognizione normativa della remuneratività dei dati, specialmente nel contesto dell’advertising digitale che richiama invece a sé un costrutto gius-economico fondato su simili dinamiche remuneratorie.

Stando a quanto premesso, non può che rilevarsi come la questione della libertà del consenso al trattamento sembri piuttosto utilizzata da fattore schermante alla mercificazione dell’informazioni [62]. Tale limite, che riecheggia nei provvedimenti delle autorità europee, pone un vincolo di sostanziale indisponibilità sui dati dell’interessato, condizionando l’interpretazione e finanche la produzione del diritto positivo.

Icastico, in tal senso, è il caso della direttiva (UE) 2019/770 [63] in materia di contratti di fornitura di contenuti e servizi digitali [64].

In sede di proposta, la direttiva all’art. 3, par. 1, includeva nel suo ambito di applicazione anche i contratti in cui il fornitore fornisce contenuto digitale al consumatore, o si impegna a farlo, e in cambio del quale il consumatore corrisponde un prezzo oppure fornisce attivamente una controprestazione non pecuniaria sotto forma di dati personali.

La disposizione sarebbe volta a intercettare certi servizi propri dei mercati digitali, solo formalmente gratuiti, ma che in realtà sono remunerati mediante la raccolta dei dati personali dell’interessato-utente, ancorché non fornendo un modello legale di riferimento [65]: la “cessione” dei dati personali era descritta attraverso una rappresentazione puramente funzionale – se non addirittura naif – della concreta operazione economica [66], senza che il legislatore si spingesse oltre nel chiarire i margini di liceità del trattamento dei dati. Tutto ciò con la finalità di assoggettare due fenomeni sostanzialmente uguali alla medesima regola, evitando che modelli commerciali solo formalmente gratuiti lasciassero il consumatore privo di qualsiasi forma di tutela prevista per i contratti onerosi.

La citata formulazione ha fatto presto ad attirare a sé l’attenzione dell’European Data Protection Supervisor (EDPS), che scrive [67], in merito all’art. 3, che “non si può monetizzare e soggiogare un diritto fondamentale a una semplice transazione commerciale, anche se è l’individuo interessato ai dati a essere parte della transazione”, addirittura paragonando l’ipotesi di un mercato dei dati a quello degli organi umani [68]. I rilievi mossi dal Garante sarebbero rivolti maggiormente alla “pericolosità del messaggio”, piuttosto che ai presupposti e agli effetti giuridici della disposizione sul piano pragmatico [69].

Certo è che, a prescindere dalle motivazioni più o meno convincenti dell’EDPS nelle opinioni formulate, alle stesse è conseguito l’immediato dietrofront del legislatore unionale, sicché è svanito il riferimento a un contratto sinallagmatico, modificando la fattispecie astratta nel “caso” [70] in cui il professionista fornisce il contenuto o il servizio digitale e, contestualmente, il consumatore mette a disposizione i propri dati personali (non necessariamente in luogo del prezzo o come corrispettivo [71]).

Al mutamento della formulazione della disposizione, non scevro da diverse conseguenze sul piano pratico, si accompagna la statuizione di principio, al Considerando 24, che la protezione dei dati personali è un diritto fondamentale e che questi non possono considerarsi una merce.

Non si nasconde, come già autorevolmente osservato, che tale visione paternalistica mal si attanaglia al diritto alla protezione dei dati personali, non soltanto perché non trova conforto in nessuna disposizione, neanche della Carta dei diritti fondamentali dell’Unione europea [72], ma soprattutto perché fornisce un’univoca visuale in termini assiologici del diritto alla privacy, non consentendo all’interessato un personale e diverso apprezzamento della caratura delle proprie informazioni. Non è ammesso, pertanto, che l’utente possa dare più valore alla propria vita sociale online piuttosto che alla riservatezza dei dati a lui riferiti [73], nonostante, si aggiunga, l’estrema latitudine a cui si arrestano gli steccati del concetto stesso di “dato personale” stando agli insegnamenti della giurisprudenza eurounitaria [74].

Il fenomeno dell’online behavioural advertising e la pluralità di interessi di mercato che vi orbitano attorno, si ritiene, meritano un approccio di politica legislativa meno rigido e più incentrato sulla reale autodeterminazione dell’individuo.

Giacché l’ordinamento, già dai dettami dell’art. 8 della Carta di Nizza, elegge la volontà del singolo quale presupposto di rilievo per il trattamento dei dati, la normativa secondaria e la sua interpretazione dovrebbero vertere nel senso di emancipare l’individuo e metterlo nelle condizioni di esprimere il suo consenso in modo pieno, intercettando semmai vecchie e nuove vulnerabilità che emergono dal contesto digitale [75]. La consistenza del consenso non va svilita imponendo un certo parametro assiologico, bensì esaltata, consentendo all’interessato di comporre in modo informato il bilanciamento degli interessi in gioco e al contempo mettendolo al riparo da eccessivi squilibri normativi [76].

Pregevoli in tal senso gli artt. 26, par. 3 e 28, par. 2 del Digital Services Act [77], i quali fanno divieto ai fornitori di piattaforme online di presentare pubblicità basata sulla profilazione utilizzando dati particolari ex art. 9 GDPR [78] oppure ove i primi siano consapevoli, con ragionevole certezza, che il destinatario del servizio sia un minore [79]. La collocazione al di fuori del perimetro di liceità di singole e determinate attività ritenute a priori lesive dell’interesse del soggetto (in questo caso scegliendo come confine la diversa tipologia di dati trattati o l’età dell’interessato), è un primo passo per ricalibrare l’approccio alla disciplina normativa dei dati, il cui sfruttamento ormai compenetra il mercato pubblicitario online.

Una volta imboccata la via della regolazione, che tuttavia sicuramente necessiterebbe di ulteriori tasselli, e dunque previsti a monte gli elementi di massima di bilanciamento tra l’esigenza di sfruttamento dell’informazione e quelle di riservatezza e protezione dell’individuo, il singolo può esercitare compiutamente la propria volontà senza che l’ordinamento debba intervenire a vagliarne la genuinità [80].

Insomma, non è da scartarsi una via alternativa alla stigmatizzazione della monetizzazione dei dati personali che individui con maggiore elasticità i confini leciti dell’operazione, così da riconsegnare all’utente uno spazio di libertà in cui esercitare la propria sovranità pur consapevole di stare pagando “un prezzo”.

Per adesso, tuttavia, si preferisce censurare tout court ogni pratica che faccia dei dati un corrispettivo, senza fornire una valida alternativa, sicché in luogo di una duplice scelta che contempli anche una versione gratuita con annessa pubblicità basata sui dati, si esortano le piattaforme a fornire la sola offerta del servizio che preveda un pagamento pecuniario [81]. Visto nel suo insieme, uno scenario siffatto appare, nel tentativo di fare qualche timido passo in avanti, farne altrettanti indietro.

NOTE

[1] Cfr. Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni COM (2015) 192 final, consultabile all’indirizzo eur-lex.europa.eu, a mente della quale “l’economia globale diventa digitale: le tecnologie dell’informazione e della comunicazione (TIC) non costituiscono più un settore a sé stante, bensì il fondamento medesimo di tutti i sistemi economici innovativi moderni”.

[2] Il termine “iperconnessione” (hyperconnectivity) si riferisce alla condizione di costante connessione e utilizzo simultaneo di molteplici canali di comunicazione, come e-mail, messaggistica istantanea, social media e interazioni faccia a faccia. Il concetto è stato ampiamente discusso nella letteratura sociologica e tecnologica, in particolare negli studi di Anabel Quan-Haase e Barry Wellman, che ne hanno approfondito le implicazioni sociali e culturali in contesti organizzativi e di rete. Cfr. Quan-Haase-Wellman, Hyperconnected Net Work: Computer-Mediated Community in a High-Tech Organization, in Heckscher-Adler (a cura di), The Firm as a Collaborative Community: Reconstructing Trust in the Knowledge Economy, Oxford University Press, New York, 2006.

[3] “It is a transformative life world, situated beyond the increasingly artificial distinction between online and offline” scrive Hildebrandt, Smart Technologies and the End(s) of Law: Novel Entanglements of Law and Technology, Cheltenham, 2015, 8. In argomento cfr. anche Floridi (a cura di), The Onlife Manifesto: Being Human in a Hyperconnected Era, Dordrecht, 2015, passim.

[4] In letteratura, relativamente agli aspetti giuridici cfr. D’Ippolito, Profilazione e pubblicità targettizzata on line. Real-time Bidding e behavioural advertising, Napoli, 2021, passim; Margaritis, Online Behavioral Advertising as an Aggressive Commercial Practice, in EuCML, 2023, 243, ss.; Galli, Online Behavioural Advertising and Unfair Manipulation Between the GDPR and the UCPD, in Ebers-Cantero Gamito (a cura di), Algorithmic Governance and Governance of Algorithms, Springer, 2021, 109 ss.; Id., La pubblicità mirata al tempo dell’intelligenza artificiale: quali regole a tutela dei consumatori?, in Contr. e impr., 2022, 919 ss.; Zuiderveen Borgesius, Personal Data Processing for Behavioural Targeting: Which Legal Basis?, in International Data Privacy Law, 2015,163 ss.; Id., Improving Privacy Protection in the area of Behavioural Targeting, in Kluwer Law International, 2015, passim, Noto La Diega, Some Considerations on Intelligent Online Behavioural Advertising, in Revue du droit des technologies de l’information, 2017, 53 ss.; van Eijk-Helberger-Kool-van der Plas-van der Sloot, Online tracking: questioning the power of informed consent, in 22nd European Regional ITS Conference, Budapest 2011: collection home page EconStor, 2011; Laux, Wachter, Mittelstadt, Neutralizing online behavioural advertising. Algorithmic targeting with market power as an unfair commercial practice, in CMLR, 2021, 719 ss.; Zard-Sears, Targeted Advertising and Consumer Protection Law in the EU, in Vanderbilt Journal of Transnational Law, 2023, 799 ss.

[5] Cfr. Vranaki, Social Networking Site Regulation: Facebook, Online Behavioral Advertising, Power and Data Protection Laws, in Rutgers Computer & Technology Law Journal, 1 ss., disponibile a SSRN: ssrn.com. L’A. mette in luce il sistematico monitoraggio degli utenti nell’attività online e offline al fine di modellare l’attività di advertising determini una mass dataveillance (sorveglianza di massa per mezzo della raccolta di dati).

[6] Kotler-Kartajaya-Setiawan, Marketing 4.0, Moving from Traditional to Digital, Hoboken, 2017, 47, spiegano come la segmentazione e la personalizzazione sono alla base di ogni attività di marketing, in quanto semplificano la relazione verticale tra venditore e consumatore, che gli A.A. parificano, metaforicamente, a quello tra predatore e preda. Nel contesto dei social network, è la community che orizzontalmente tiene legati gli utenti a formare il segmento, e le communities sarebbero “immuni” allo spamming e alla pubblicità non rilevante.

[7] La locuzione “mercato a due versanti” (in inglese “two-sided market” o “two-sided platform”) si riferisce a una struttura di mercato in cui due gruppi distinti di utenti interagiscono attraverso una piattaforma comune, e il valore per ciascun gruppo dipende dalla presenza dell’altro gruppo. Questa tipologia di mercati è caratterizzata da forti effetti di rete “incrociati”: il valore del servizio per un gruppo di utenti aumenta con l’aumentare del numero di utenti dell’altro gruppo. L’espressione è stata resa popolare da Charles Rochet e Jean Tirole. Cfr. Rochet-Tirole, Platform Competition in Two-Sided Markets, in Journal of the European Economic Association, Volume 1, 2003, 990 ss.

[8] Camilleri, «Facebook credits» e commercializzazione di beni virtuali per social games: l’abuso di posizione dominante alla prova di un mercato con piattaforma plurilaterale, in Annali italiani del diritto d’autore, della cultura e dello spettacolo, 2012, XX, 144 ss. ma spec. 147, osserva che “l’essenza di un social network riposa in effetti nella costituzione di una community, ossia di un circuito plurilaterale di relazioni che in sé trovano quindi la propria ragion d’essere; ciò non toglie, tuttavia, che su quella medesima rete possano innestarsi, sfruttandone la massa critica ed i network effects, uno o più businesses collaterali e complementari al social networking”.

[9] Su cui, senza pretese di completezza cfr. Bravo, Il diritto a trattare dati personali nello svolgimento dell’attività economica, Padova, 2018, passim; Cuffaro, La patrimonializzazione dei dati personali, in Dir. inf. e informatica, 2018, 689 ss.; Senigaglia, La dimensione patrimoniale del diritto alla protezione dei dati personali, in Contratto e impr., 2020, 760 ss.; Versaci, La contrattualizzazione dei dati personali dei consumatori, Napoli, 2020, passim; D’Ippolito, Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziazione, in Dir. inf. e informatica, 2020, 635 ss.; Speziale, L’ingresso dei dati personali nella prospettiva causale dello scambio: i modelli contrattuali di circolazione, in Contratto e impr., 2021, 602 ss.; Thobani, La libertà del consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità`, in Europ. e d. priv., 2016, 513 ss.; Malgieri-Custers, Pricing Privacy – The Right to Know the Value of Your Personal Data, in Computer Law & Sec. Rev., 2018, 289 ss.; Noto La Diega, Data as digital assets. The case of targeted advertising: towards a holistic approach?, in Bakhoum-Conde Gallego-Mackenrodt-Surblytė-Namavičienė (a cura di), Personal Data in Competition, Consumer Protection and Intellectual Property Law. Towards a Holistic Approach?, Springer, 2018, 445 ss.

[10] AGCM, provv. del 29 novembre 2018, n. 27432.

[11] Cfr. AGCM, AGCOM, AGPDP, Indagine conoscitiva sui Big Data, 2020. In dottrina: Rezzani, Architettura, tecnologie e metodi per l’utilizzo di grandi basi di dati, Milano, 2013, passim; D’acquisto, Naldi, Big data e privacy by design. Anomizzazione, pseudonimizzazione, sicurezza, Torino, 2017, passim; Nazzaro, L’utilizzo dei Big data e i problemi di tutela della persona, in Rass. dir. civ., 2018, 1239 ss.

[12] Kotler-Kartajaya-Setiawan, op. cit., 83. Sulla “massificazione” della protezione dei dati personali, cfr. De Tullio, La privacy e i big data verso una dimensione costituzionale collettiva, in Pol. dir., 2016, 671 ss.; Mantelero, Personal data for decisional purposes in the age of analytics: from an individual to a collective dimension of data protection, in Comp. L. & Sec. Rev., 2016, 1 ss., Id., From group privacy to collective privacy: towards a new dimension of privacy and data protection in the big data era, in Van der Sloot-Floridi-Taylor, Group privacy. New challenges of data technologies, in Floridi-Taylor-Van der Sloot (a cura di), Dordrecht, 2017, 139 ss.; Mittelstadt, From individual to group privacy, in Philos. Technol., 2017, 475 ss.; Andrew e Baker, The General Data Protection Regulation in the Age of Surveillance Capitalism, in Journal of Business Ethics, 2021, 565 ss.

[13] Zuboff, Il capitalismo della sorveglianza. Il futuro dell’umanità nell’era dei nuovi poteri, Roma, 2019, 21. L’A. aggiunge che “Internet è diventato essenziale per avere una vita sociale, ma internet è anche saturo di pubblicità, e la pubblicità è subordinata al capitalismo della sorveglianza”.

[14] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, entrato in vigore il ventesimo giorno successivo alla sua pubblicazione in GUUE (avvenuta il 4 maggio 2016).

[15] Finocchiaro, Introduzione al regolamento europeo sulla protezione dei dati, in Nuove leggi civ. comm., 2017, 1 ss. e spec. 2 rammenta come il diritto alla protezione dei dati personali consiste nel diritto dell’interessato del trattamento di esercitare un controllo attivo sui propri dati personali.

[16] Sulla non sovrapponibilità delle due figure, cfr. Noto La Diega, Some considerations on intelligent online behavioural advertising, cit., 53 ss.

[17] A tal proposito, il Considerando 47 conclude affermando che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

[18] In argomento, per tutti, Zuiderveen Borgesius, Personal data processing for behavioural targeting, cit.

[19] Corte giust. UE, Grande sez., 4 luglio 2023, causa C-252/21, M.P. Inc. c. Bundeskartellamt. Il Bundeskartellamt avviava nei confronti di Meta un procedimento per abuso di posizione dominante in esito al quale l’Autorità vietava alla piattaforma di condizionare l’utilizzo da parte degli utenti del social network Facebook al trattamento dei loro dati personali sulla base delle condizioni generali di contratto predisposte. A mente del provvedimento, l’incorporazione delle clausole di trattamento dati all’interno delle condizioni generali costituiva una violazione del regolamento, in quanto il trattamento medesimo sarebbe risultato privo di una condizione di liceità, come richiesto dall’art. 6 GDPR. L’illegittimità del trattamento integrava, inoltre, uno sfruttamento della propria posizione dominante nel mercato dei social network, e ciò giustificava l’interesse del Bundeskartellamt a far cessare la pratica. Meta, al fine di contestare la sanzione adiva l’Oberlandesgericht Düsseldorf, il quale sospendeva il procedimento interrogando la Corte di giustizia. In letteratura, si vedano i commenti di G. D’Ippolito, Data Economy: la Corte di giustizia precisa il rapporto tra concorrenza e protezione dei dati personali e le norme sulla pubblicità personalizzata, in Medialaws, 2023, 323 ss.; V. Bachelet, La Corte di giustizia sul caso Meta: trattamento dei dati e “prezzo” del consenso, in Pactum, 2023, 484 ss.; A.M. Hriscu, Meta v Bundeskartellamt: The Lawfulness of Big Tech’s Processing of Personal Data and the Relationship Between Data Protection and Competition Law, in EDPL, 2023, 371 ss.

[20] Su cui, per tutti, Osti e Pardolesi, L’antitrust ai tempi di Facebook, in Mercato Concorrenza Regole, 2019, 195 ss.

[21] La Corte premette, al § 28, che il modello imprenditoriale di Facebook si baserebbe interamente sulla remunerazione della pubblicità online, modulata sulle preferenze dei singoli utenti del social network, “del loro comportamento di consumo, dei loro interessi, del loro potere d’acquisto e della loro situazione personale”.

[22] Una diversa posizione sembrava aver assunto l’Irish Data Protection Commission nella DPC Decision of 31 December 2022 sempre in un caso riguardante Meta. L’Autorità ha difatti premesso come al titolare del trattamento non sia precluso in linea di principio dal fare affidamento sull’art. 6(1)(b) GDPR per il finalità di legittimazione delle attività di trattamento dei dati personali coinvolte nella fornitura del suo servizio agli utenti, compresa la pubblicità comportamentale, nella misura in cui essa costituisce una parte essenziale del servizio (p. 36), e che è assolutamente ipotizzabile che, poste determinate condizioni contrattuali che prevedono l’erogazione di un servizio personalizzato (ivi compresa la pubblicità), il trattamento dei dati a tal fine sia legittimo in quanto necessario per l’esecuzione dell’accordo medesimo. Non di stesse vedute si è dimostrato l’European Data Protection Board nella decisione vincolante n. 3/2022, con cui aveva affermato che Meta si è indebitamente basata sull’art. 6(1)(b) GDPR per il trattamento dei dati personali degli utenti nel contesto delle condizioni generali di contratto, e quindi difettando di una base giuridica per il trattamento di questi dati ai fini della pubblicità comportamentale.

[23] Seppur la Corte di giustizia abbia, di recente, stabilito che un trattamento di dati personali consistente nella comunicazione a titolo oneroso di dati personali dei membri di una federazione sportiva, al fine di soddisfare un interesse commerciale del titolare del trattamento, può essere considerato necessario ai fini del legittimo interesse perseguito da tale titolare v. Corte giust. UE 4 ottobre 2024, Koninklijke Nederlandse Lawn Tennisbond v. Autoriteit Persoonsgegevens, causa C-621/22. È tuttavia rilevato, nel caso Meta (§ 117), che “l’utente di quest’ultimo [del titolare del trattamento N.d.R.] non può ragionevolmente attendersi che, senza il suo consenso, l’operatore di tale social network tratti i suoi dati personali a fini di personalizzazione della pubblicità. In tali circostanze, si deve ritenere che i diritti fondamentali e gli interessi di tale utente prevalgano sull’interesse dell’operatore a tale personalizzazione della pubblicità mediante la quale egli finanzia la sua attività, cosicché il trattamento da quest’ultimo effettuato a tali fini non può rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD”.

[24] Le “condizioni di liceità” a cui si riferisce l’art. 6 GDPR, vanno intese quali presupposti necessari di conformità del trattamento, tipizzati dal legislatore, che già contengono un primo bilanciamento di interessi tra titolare e interessato e che consentono un primo vaglio di legittimità. Così Bravo, Il consenso e le altre condizioni di liceità del trattamento di dati personali, in Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, 101 ss. ma spec. 125.

Per un’analisi generale delle condizioni di liceità del trattamento, cfr. Poletti, Le condizioni di liceità del trattamento dei dati personali, in Giur. it., 2019, 2783 ss.; Bolognini-Pelino, Condizioni di liceità, in Pelino-Bolognini-Bistolfi (a cura di) Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016, 277 ss.; Dell’Utri, Principi generali e condizioni di liceità del trattamento dei dati personali, in Cuffaro-D’Orazio-Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, 221 ss.; Thobani, I requisiti del consenso al trattamento dei dati, Santarcangelo di Romagna, 2016, passim.

[25] Sul punto la letteratura sembra concordare. In tal senso, cfr. Caggia, Libertà ed espressione del consenso, in Cuffaro-D’Orazio-Ricciuto, cit., 249 ss. ma spec. 251; Bravo ult. op. cit., 138; Mazzamuto, Il principio del consenso e il potere della revoca, in Panetta (a cura di) Libera circolazione e protezione dei dati personali, Milano, 2006, 993 ss., ma spec. 994.; Basunti, La (perduta) centralità del consenso nello specchio delle condizioni di liceità del trattamento dei dati personali, in Contr. e impr., 2020, 860 ss.

[26] Corte giust. UE 24 febbraio 2022, Valsts ieņēmumu dienests, C-175/20, § 73 e giurisprudenza unionale ivi citata.

[27] Inoltre, un’espressa menzione del consenso si rinviene nella Carta dei Diritti Fondamentali dell’Unione Europea, la quale positivizza il diritto fondamentale alla protezione dei dati personali. L’art. 8, al par. 2, recita che i dati “devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge”.

[28] Sul trattamento dei dati particolari, cfr. per tutti Granieri, Il trattamento di categorie particolari di dati personali nel Reg. UE 2016/679, in Nuove leggi civ. comm., 2017, 165 ss.

[29] Sul trattamento automatizzato di dati personali, cfr. Gruppo di lavoro articolo 29 per la protezione dei dati (WP29), Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, 3 ottobre 2017 (emend. 6 febbraio 2018).

[30] Bravo, Lo “scambio di dati personali” nella fornitura di servizi digitali ed il consenso dell’interessato tra autorizzazione e contratto, in Contratto e impresa, 2019, 34 ss., ma spec. 43. Cfr. anche Mazzamuto, op. cit., 994 secondo cui il consenso al trattamento è “strumento giuridico di composizione del conflitto tra autodeterminazione della propria personalità e libertà informativa in un’ottica che tende a privilegiare la partecipazione dell’interessato alla vicenda circolatoria dei suoi dati personali”.

Basti pensare che l’impostazione tradizionale riconosceva soltanto al consenso il ruolo di strumento per l’esercizio dei diritti della personalità. La ormai abrogata legge 31 dicembre 1996, n. 675 stabiliva all’art. 11 che “il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato”.

[31] La revoca del consenso, oltre a costringere il titolare o il responsabile a interrompere il trattamento, consente all’in­teressato la facoltà di chiedere la cancellazione dei dati che lo riguardano ai sensi dell’art. 17, par. 1, lett. b, GDPR.

[32] Cfr. Libertini, Digital markets and competition policy. Some remarks on the suitability of the antitrust toolkit, in Orizzonti del Diritto Commerciale, 2021, 337 ss. e spec. 339 che tra le peculiarità dei mercati digitali menziona “the possibility to build two-or multi-sided markets makes it possible to insert within them some “Zero Price Markets”, which, on a side of the market, attract lots of free users (often also suppliers of their personal data), essential for the success of the platform operator, but also on the other market sides, act where users pay money to it”.

[33] Nel già citato provvedimento dell’AGCM del 29 novembre 2018, n. 27432, l’Autorità riferisce che i dati degli utenti costituivano “contro-prestazione del servizio offerto dal social network, in quanto dotati di valore commerciale”.

[34] Si confrontino le considerazioni di Resta e Zeno-Zencovich, Volontà e consenso nella fruizione dei servizi di rete, in Riv. trim. dir. e proc. civ., 2018, 411 ss.

[35] Sulla sostanziale onerosità dei servizi che obbligano l’utente ad acconsentire al trattamento dei dati, per tutti, cfr. Speziale, L’ingresso dei dati personali nella prospettiva causale dello scambio: i modelli contrattuali di circolazione, in Contr. e impr., 2021, 602 ss.; Resta-Zeno-Zencovich, ult. op. cit., Battelli, I modelli negoziali di business degli operatori digitali a “prezzo zero” non sono “gratuiti”, in Contratti, 2022, 355 ss.; De Franceschi, il “pagamento” mediante dati personali, in Cuffaro-D’Orazio-Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, 1381 ss.

[36] Bachelet, Il consenso oltre il consenso. Dati personali, contratto, mercato, Pisa, 2023, 27, secondo cui “il GDPR non si occupa, se non in maniera “evasiva”, dei rapporti di scambio aventi ad oggetto dati personali”.

[37] Art. 4, par. 1, lett. 11, GDPR.

[38] Se è vero che nell’ambito contrattuale, la volontà “deve essersi formata liberamente e senza condizioni di sorta” (Alessi, La disciplina generale del contratto, Torino, 2023, 283), la stessa è invalidata soltanto dai più gravi vizi tassativamente positivizzati dal codice, ossia l’errore, la violenza e il dolo ex art. 1427 cod. civ.

[39] Cfr. in senso contrario Lucchini Guastalla, Il nuovo regolamento europeo sul trattamento dei dati personali: i principi ispiratori, in Contr. e impresa, 106 ss. ma spec. 113, secondo cui non si tratta di una presunzione bensì “di un invito di fonte legislativa a prestare attenzione, tra le altre circostanze del consenso, a questa peculiare forma di condizionamento, potenziale indice di una menomata libertà decisionale dell’utente”. Si noti, a tal proposito, che il Parlamento europeo aveva proposto, in una prima fase di gestazione del GDPR, di vietare i tying agreements. Cfr. European Parliament, Committee on Civil Liberties, Justice and Home Affairs, Draft Report del 17 dicembre 2012, 2012/ 0011(COD), amendment n. 107, con cui si proponeva di aggiungere il par. 4 b all’art. 7 GDPR la seguente frase: “the execution of a contract or the prevision of a service may not be made conditional on the consent to the processing or use of data that is not necessary for the execution of the contract or the provision of the service pursuant to Article 6(1)(b)”.

[40] Nel senso per cui il titolare deve dimostrare non solo il consenso, ma anche i suoi requisiti di validità, Corte giust. UE 11 novembre 2020, Orange romania v. Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), causa C-61/19. A commento della pronuncia, per tutti cfr. Versaci, Consenso al trattamento dei dati personali e dark patterns tra opzionalità e condizionalità, in Nuove leggi civ. comm., 2022, 1130 ss.; Purpura, Il consenso nel mercato dei dati personali. Considerazioni al tempo dei big data, in questa Rivista, 2022, 891 ss.

[41] Corte giust. UE causa C-252/21, § 150.

[42] European Data Protection Board (EDPB), Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, Versione 1.1, adottate il 4 maggio 2020.

[43] European Data Protection Board (EDPB), Linee guida 5/2020, 8, par. 14.

[44] Diversa è la posizione della giurisprudenza di legittimità. Cfr. Cass. civ., sez. I, 2 luglio 2018, n. 17278, in Giur. It., 2019, 530 ss., con nota di Thobani, Protezione dei dati personali – Operazioni di tying e libertà del consenso. La pronuncia rileva come nel caso di servizi fungibili e non essenziali, come una newsletter informativa, è lecito condizionare la fornitura del servizio al consenso per finalità promozionali, purché tale consenso sia specifico e inequivocabile. In altre parole, se l’utente può rinunciare al servizio senza un sacrificio significativo, il consenso al trattamento dei dati per scopi pubblicitari può essere considerato valido anche se necessario per accedere al servizio. Sul punto cfr. Irti, Consenso “negoziato” e circolazione dei dati personali, Torino, 2021, 94 ss.

[45] European Data Protection Board (EDPB), Linee guida 5/2020, 11, par. 26. Si noti come il dibattito dottrinale sul tema è ricchissimo di spunti e posizioni differenti. Limitandoci ai lavori monografici, senza pretese di completezza, cfr. Irti, op. cit.; Bachelet, Il consenso oltre il consenso, cit.; Versaci, La contrattualizzazione dei dati personali dei consumatori, Napoli, 2020; Ricciuto, L’equivoco della privacy, cit.

[46] European Data Protection Board (EDPB), Linee guida 5/2020, 11, par. 27.

[47] § 150 della sentenza citata.

[48] Parere 8/2024 dello European Data Protection Board (EDPB) del 17 aprile 2024: www.edpb.europa.eu.

[49] Questa pratica, oltre che da Meta, è attualmente utilizzata da diverse testate giornalistiche online. In dottrina, Montinaro, I cookie paywall e le testate giornalistiche online: si tratta di un “consenti a tutto o paga”?, in Grisi-Tommasi, Mercato digitale e tutela dei consumatori. Prove di futuro, Torino, 2023, 187 ss. Il Garante privacy italiano ha attualmente aperto delle istruttorie nei confronti di alcune testate giornalistiche online, dandone atto con tre comunicati del 18 ottobre 2022 (www.garanteprivacy.it), del 21 ottobre 2022 (www.garanteprivacy.it) e del 12 novembre 2022 (www.garanteprivacy.it).

[50] European Data Protection Board (EDPB), Parere 8/2024, 20-21. Principio di recente condiviso dalla Corte di giustizia, in un caso che ha sempre riguardato Meta (Corte giust. UE 4 ottobre 2024, Maximilian Schrems v Meta Platforms Ireland Limited, causa C-446/21).

La pronuncia rammenta come i principi relativi al trattamento dei dati personali di cui all’art. 5 GDPR, sono da applicarsi cumulativamente all’online behavioural advertising, ivi compresi il principio di minimizzazione dei dati e quello della storage limitation.

Entrambi i principi rispondono alla medesima ratio di riduzione dei rischi connessi al trattamento e di limitazione della sorveglianza dell’utente: meno dati vengono raccolti e per meno tempo gli stessi sono conservati meno gli stessi sono sottoposti a potenziali rischi. Ne consegue che “il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati”.

[51] European Data Protection Board (EDPB), Parere 8/2024, 21, par. 60. Tali condotte possono altresì integrare una pratica commerciale scorretta ai sensi della direttiva 2005/29/CE. In argomento, cfr. Galli, Online Behavioural Advertising and Unfair Manipulation, cit.; Margaritis, op. cit.

[52] European Data Protection Board (EDPB), Linee guida 5/2020, 14 ss.

[53] European Data Protection Board (EDPB), Parere 8/2024, diffusamente ma spec. 45.

[54] European Data Protection Board (EDPB), Parere 8/2024, 23, par. 70.

[55] European Data Protection Board (EDPB), Parere 8/2024, 26, par. 86.

[56] Cfr. Nettesheim, EU Data Protection Law and Pay-or-Consent Business Models, disponibile su SSRN all’indirizzo: ssrn.com – DOI: 10.2139/ssrn.4768419, 10, che osserva come il fatto che la piattaforma fornisca un’alternativa a pagamento e non gratuita ricade al di fuori del diritto alla protezione dei dati personali.

[57] Nettesheim, op. cit.

[58] Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale e che modifica le direttive (UE) 2019/1937 e (UE) 2020/1828 (regolamento sui mercati digitali). Il Considerando 36 precisa che “per non compromettere in modo sleale la contendibilità dei servizi di piattaforma di base, i gatekeeper dovrebbero consentire agli utenti finali di scegliere liberamente di seguire tali pratiche di trattamento dei dati e accesso con registrazione offrendo un’alternativa meno personalizzata ma equivalente, e senza subordinare l’utilizzo del servizio di piattaforma di base o di talune sue funzionalità al consenso dell’utente finale. Ciò non dovrebbe pregiudicare la possibilità per il gatekeeper di procedere al trattamento dei dati personali o di fare accedere con registrazione gli utenti finali a un servizio, avvalendosi della base giuridica di cui all’articolo 6, paragrafo 1, lettere c), d) ed e), del regolamento (UE) 2016/679, ma non di cui all’articolo 6, paragrafo 1, lettere b) ed f), del medesimo regolamento”.

[59] Posto che il Considerando 37 stabilisce soltanto che “l’alternativa meno personalizzata non dovrebbe essere differente o di qualità inferiore rispetto al servizio fornito agli utenti finali che prestano il proprio consenso”. In ogni caso sarebbe l’interpretazione accolta dalla Commissione Europea nell’enforcement del regolamento nei confronti di Meta. Cfr. Commission, Press Release, Commission Opens Non-Compliance Investigations Against Alphabet, Apple and Meta under the Digital Markets Act, 25 March 2024.

[60] Il già citato Considerando 37, afferma che “il consenso dovrebbe essere prestato mediante dichiarazione o azione positiva inequivocabile con cui l’utente finale esprime una manifestazione di volontà libera, specifica, informata e inequivocabile, secondo la definizione di cui al regolamento (UE) 2016/679”.

[61] Ossia, quei soggetti che soddisfano i criteri dimensionali oggettivi previsti dall’art. 3 DMA.

[62] Cfr. Senigaglia, op. cit., 762.

[63] Direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, del 20 maggio 2019, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali.

[64] Su cui, per tutti, Camardi, Prime osservazioni sulla Direttiva (UE) 2019/770 sui contratti per la fornitura di contenuti e servizi digitali. Operazioni di consumo e circolazione di dati personali, in Giust. civ., 2019, 499 ss.; Resta, I dati personali oggetto del contratto. Riflessioni sul coordinamento tra la Direttiva 2019/770 e il Regolamento 2016/679, in Annuario del contratto, 2018, 127 ss.; Tosi, Circolazione dei dati personali tra contratto e responsabilità, Milano, 2023, 94 ss.; Orlando, Il coordinamento tra la direttiva 2019/770 e il GDPR. l’interessato-consumatore, in Persona e Mercato, 2023, 222 ss.; Pagliantini, L’attuazione minimalista della dir. 2019/770/UE: riflessioni sugli artt. 135-octies-135-vicies ter c. cons. La nuova disciplina dei contratti B-to-C per la fornitura di contenuti e servizi digitali, in Nuove leggi civ. comm., 2022, 1507 ss. Bravo, Lo “scambio di dati personali”, cit.; Ferretti, La direttiva (UE) 2019/770: i dati personali quale corrispettivo nei contratti di fornitura di contenuti e servizi digitali e le inerenti ricadute sul diritto della privacy, in Actualidad Jurídica Iberoamericana, 1740 ss.; Thobani, Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente, in Medialaws, 2019, 131 ss.; Versaci, Il valore negoziale dei dati personali del consumatore: spigolature sul recepimento della Direttiva 2019/770/Ue in una prospettiva comparata, in Riv. dir. priv., 155 ss.

[65] Thobani, Il pagamento mediante dati personali, in Orlando-Capaldo, Osservatorio Giuridico sulla Innovazione Digitale. Annuario 2021, Roma, 2021, 361 ss. ma spec. 369, secondo cui “a fronte della prassi dilagante di offrire servizi in cambio di dati, la direttiva ne prende atto e, senza interrogarsi sulla liceità di tali operazioni, si preoccupa unicamente di tutelare i consumatori”.

[66] Ferretti, op. cit., 1745.

[67] European Data Protection Supervisor (EDPS), Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content.

[68] European Data Protection Supervisor (EDPS), Parere 4/2017, secondo cui “there might well be a market for personal data, just like there is, tragically, a market for live human organs, but that does not mean that we can or should give that market the blessing of legislation”.

[69] A confermarlo, la nota 27 del citato parere dell’EDPS: “popular catchphrase like “digital currency” and “paying with data” may not only be misleading, but can also be dangerous, if it is taken literally and turned into a legal principle”.

[70] Camardi ult. op. cit. Cfr. anche Resta, ult. op. cit., 147, secondo cui “dall’assenza di una struttura negoziale unitaria discende l’impossibilità logica di configurare l’atto giuridico di consenso, in quanto tale, elemento costitutivo del sinallagma contrattuale”.

[71] Thobani, Il pagamento cit., 368, la quale osserva come il legislatore europeo abbia espunto dalla versione finale della direttiva qualunque richiamo ai dati come controprestazione.

[72] Al contrario, ad esempio, del diritto all’integrità personale di cui all’art. 3 della predetta Carta, a mente del quale è fatto divieto di fare del corpo umano e delle sue parti in quanto tali una fonte di lucro. Cfr. Resta, ult. op. cit.

[73] Cfr. Athey-Catalin-Tucker, The Digital Privacy Paradox: Small Money, Small Costs, Small Talk, Working Paper Series, National Bureau of Economic Research, 2017, DOI: 10.3386/w23488; Cavoukian-Dix-El Emam, The Unintended Consequences of Privacy Paternalism (Information and Privacy Commissioner, Ontario, Canada, 2014), consultabile in collections.ola.org.

[74] Cfr. ad esempio Corte giust. UE 19 ottobre 2016, Patrick Breyer v. Bundesrepublik Deutschland, Causa C-582/14, secondo cui l’indirizzo IP dinamico di un utente costituisce un dato personale, ove il fornitore di accesso a Internet sia in grado identificare la persona interessata grazie a ulteriori informazioni aggiuntive di cui dispone. In argomento v. Purtova, The Law of Everything. Broad Concept of Personal Data and Future of EU Data Protection Law, in Law, Innovation and Technology, 2018, 40 ss.

[75] Cfr. per tutti Gorgoni, La vulnerabilità nell’ambiente digitale e la protezione della libertà del volere, in Persona e mercato, 2024, 915 ss.; Gentili, La volontà nel contesto digitale: interessi del mercato e diritti delle persone, in Rivista trimestrale di diritto e procedura civile, 2022, 701 ss.

[76] Si vedano, in tal senso, anche le linee guida dello European Data Protection Board (EDPB) 03/2022 sui cc.dd. “dark patterns”. I dark patterns sono strategie di design ingannevoli utilizzate nelle interfacce online per manipolare i comportamenti degli utenti, inducendoli a porre in essere azioni indesiderate o che non sono nel loro miglior interesse. Queste tattiche sfruttano bias cognitivi e la mancanza di consapevolezza degli utenti per promuovere obiettivi commerciali.

Tale tematica viene in rilievo ai fini della compliance con il Regolamento tutte le volte in cui tali architetture dell’interfaccia web siano finalizzate a far sì che gli utenti prestino il loro consenso al trattamento dei dati senza una comprensione completa delle implicazioni. Sui dark patterns in ambito privacy, cfr. per tutti Davola-Malgieri, Data, Power, and Competition Law: The (Im)possible Mission of the DMA?, in Fagan-Langenfeld (a cura di), The Economics and Regulation of Digital Markets, volume 31, Leeds, 53 ss.

[77] Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali).

[78] Specialmente ove il concetto di dato particolare sia osservato alla luce dell’interpretazione che ne dà la Corte di Giustizia. In quest’ottica, cfr. Corte giust. UE 1 agosto 2022, OT v. Vyriausioji tarnybinės etikos komisija, causa C-184/20. Nella citata pronuncia, la Corte ha stabilito che l’art. 9, par. 1, GDPR deve essere interpretato nel senso che la pubblicazione, sul sito Internet dell’autorità pubblica incaricata di raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto, di dati personali idonei a divulgare indirettamente l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali, ai sensi di tali disposizioni. Questa interpretazione amplia la protezione dei dati particolari, includendo informazioni che, pur non rientrando di per sé nella formale definizione di cui all’art. 9(1), possono rivelarne altre propriamente sensibili tramite correlazioni indirette.

[79] Cfr. Tommasi, Approvato il ‘Digital Services Act’: Regolamento (UE) 2022/2065 del 19.10.2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE, in Persona e Mercato, 2022, 698 ss.; Duivenvoorde-Goanta, The regulation of digital advertising under the DSA: A critical assessment., in Computer Law & Security Review, 2023, 51 ss.; Duivenvoorde, Is Prohibiting Targeted Ads for Minors under the Digital Services Act Proportionate? The Need for a Child-rights-based Approach to Protecting Children’s Personal Data Online, in Czarnocki-Palka (a cura di), Proportionality in EU Digital Law: Balancing Conflicting Rights and Interests, Londra, 2024.

[80] In questo modo, la protezione del singolo con riferimento ai suoi dati personali può farsi più efficace strumento di conformazione del mercato. Osserva Senigallia, op. cit., 781, che “specie nell’ambito problematico che vede un soggetto porre nel mercato i propri interessi personali, dimensione patrimoniale e dimensione non patrimoniale della persona appaiono, in nome dell’identità, combinati tra loro, nel senso che l’una attrae l’altra, senza tuttavia sopprimerla”.

[81] Così anche Bachelet, ‘Pay-or-Consent’ and Emerging Trends in Digital Contract Law, in European Review of Private Law, 2024, disponibile su SSRN: ssrn.com – DOI: 10.2139/ssrn.4950785.