Il dato personale: valuta o non valuta? Analisi della direttiva UE 2019/770

La Direttiva (UE) 2019/770 relativa ai contratti di fornitura di contenuti e di servizi digitali, il cui termine di recepimento era fissato per il 1° luglio 2021 e le cui disposizioni dovranno essere applicabili a decorrere dal 1° gennaio 2022 è oggetto di uno schema attuativo al vaglio del Parlamento.

Il dato personale come valuta

La Direttiva 2019/770 sui contratti di fornitura di contenuti e di servizi digitali va di pari passo con la Direttiva 2019/771 sui contratti di vendita di beni e per ciò che concerne il loro recepimento la legge di delegazione europea non prevede criteri particolari circa la trasposizione delle relative previsioni normative nell’ordinamento italiano.

In relazione alla direttiva 770, dovranno essere recepite norme relative alla armonizzazione di alcuni aspetti dei contratti di fornitura di contenuto o servizi digitali, volte a garantire un elevato livello di protezione dei consumatori.

L’aspetto innovativo che implica non poche perplessità è l’introduzione dell’espressa qualificazione del trasferimento di dati personali quale corrispettivo nel contratto di fornitura di contenuti o servizi digitali e come obbligazione in tutto assimilabile al pagamento del prezzo.

In tal modo, può dirsi espressamente regolata, nel senso di una traduzione in termini giuridici della realtà dei rapporti economici, la prassi ormai dilagante dello scambio di contenuto o servizio digitale contro dati personali, fenomeno che tuttavia continua ad essere percepito in termini di gratuità

Nuovo Regolamento sulla Privacy: la soluzione formativa per la compliance aziendale

Scopri il corso in E-learning

Il Regolamento Europeo sancisce un obbligo di formazione in capo ad imprese e PA in materia di protezione di dati personali. Tutte le figure inserite all’interno dell’organizzazione (dipendenti e collaboratori) devono essere adeguatamente formate al fine di acquisire un quadro generale sui principali adempimenti previsti e conseguentemente avviare un piano di assessment per la propria struttura in modo da essere coinvolte nelle attività di trattamento di dati personali.

In cosa si incorre?

La Direttiva prevede che il dato personale è ammesso come valuta che si può usare per acquistare contenuti digitali. La direttiva e il decreto legislativo italiano di recepimento, che entrerà in vigore dal 1° gennaio 2022, hanno l’obiettivo di estendere la rete di protezione per il consumatore di contenuti digitali, ma, allo stesso modo, descrivono nuovi modelli contrattuali, in cui si inserisce il dato personale quale strumento di pagamento.

Un esempio è la disposizione sulla mancata fornitura, (il considerando n. 61 e l’art. 13 della Direttiva) ove si pone sullo stesso piano il caso in cui il corrispettivo del contratto di fornitura sia costituito dai dati personali e quello in cui sia pecuniario.

Un aspetto rilevante e che desta non poca attenzione da parte di operatori di beni digitali e consumatori; il Considerando 24 della Direttiva 770 disciplina: “la fornitura di contenuti digitali o di servizi digitali spesso prevede che, quando non paga un prezzo, il consumatore fornisca dati personali all’operatore economico. Tali modelli commerciali sono utilizzati in diverse forme in una parte considerevole del mercato”. Lo stesso Considerando elenca alcuni dati personali che possono essere usati come strumenti di pagamento, tra questi: indirizzo e-mail e nome forniti da un consumatore al momento della creazione di un account sui social media o materiale, (come fotografie o post), che il consumatore pubblica on line e che lo stesso consumatore mette a disposizione per il trattamento a fini commerciali dall’operatore economico.

Una prospettiva che sembra proiettarsi verso una mercificazione del dato e dello scambio e che necessita, inevitabilmente, di una normativa corretta e trasparente a tutela di tutti i diritti e le libertà del consumatore.

La Direttiva e il GDPR

Lo stesso Considerando 24 della Direttiva menziona, poi, la protezione dei dati personali definendola “un diritto fondamentale e che tali dati non possono dunque essere considerati una merce”, anche se, poi, va oltre questo riconoscimento. In sostanza, secondo la prospettiva della Direttiva europea non si sta parlando della vendita di dati, ma, certamente, si sta dicendo che il dato personale è utilizzabile come un corrispettivo, avente un valore commerciale. Dovrebbe, pertanto, applicarsi ai contratti in cui l’operatore economico fornisce, o si impegna a fornire, contenuto digitale o servizi digitali al consumatore e in cui il consumatore fornisce, o si impegna a fornire, dati personali. I dati personali potrebbero essere forniti all’operatore economico al momento della conclusione del contratto o successivamente, ad esempio nel caso in cui il consumatore acconsente che l’operatore economico utilizzi gli eventuali dati personali.

É d’obbligo tener conto del Regolamento europeo in materia alla protezione dei dati personali 2016/679 ed in particolare la Direttiva 770 al Considerando 37 prevede: “i dati personali dovrebbero essere raccolti o altrimenti trattati esclusivamente nel rispetto del regolamento (UE) 2016/679 e della direttiva 2002/58/CE. In caso di conflitto tra la presente direttiva e il diritto dell’Unione in materia di protezione dei dati personali, quest’ultimo dovrebbe prevalere.

Successivamente, al Considerando 38, par. 8, si legge che: “La presente direttiva non dovrebbe disciplinare le condizioni per il trattamento lecito dei dati personali, dal momento che tale questione è specificamente disciplinata dal regolamento (UE) 2016/679.” Infatti, nei casi in cui il trattamento dei dati personali deve basarsi sul consenso, segnatamente a norma dell’articolo 6, paragrafo 1, lettera a), del regolamento (UE) 2016/679, si applicano le disposizioni specifiche di tale regolamento, comprese quelle relative alle condizioni per valutare se il consenso sia stato o meno liberamente prestato.

Pertanto, in virtù del rapporto con il GDPR, la direttiva omette di disciplinare i casi e le modalità del consenso al trattamento dei dati rinviando, a tutti gli effetti, l’applicazione al GDPR.

Conclusioni

Il recepimento di tale normativa varca un territorio complesso e che normativamente andrebbe definito in modo accurato e tenendo conto della normativa in materia di protezione dei dati personali garantendo, al contempo, l’innovazione del mercato digitale e la tutela dei diritti e delle libertà dell’interessato.

Infine, degno di nota è l’art. 16 della Direttiva in questione che prevede, tra gli obblighi dell’operatore economico, in caso di risoluzione e/o recesso un rinvio al GDPR sostenendo che per ciò che riguarda i dati personali, in tal caso, gli operatori dovranno rispettare gli obblighi previsti dal GDPR.

Rinviando, quindi, al legislatore l’arduo compito di verificare quali debbano essere, effettivamente, gli obblighi di un operatore in caso di recesso o risoluzione circa le conseguenze del trattamento dei dati personali utilizzati quale prezzo della fornitura.