Dati personali come merce di scambio? L’Italia recepisce la Direttiva (UE) 2019/770

Lo scorso 29 ottobre il Consiglio dei Ministri ha dato luce verde al decreto legislativo che attua le disposizioni della Direttiva (UE) 2019/770 del 20 maggio 2019 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali (“Direttiva”).

Nel recepire la Direttiva, il decreto, che entrerà in vigore il 1°gennaio 2022, modifica il D. Lgs. 206/2005 (“Codice del Consumo”), con l’inserimento del nuovo Capo I-bis, composto dagli articoli dal 135-octies al 135-vicies ter, che disciplinano alcuni aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali conclusi tra consumatore e professionista.

La norma declina gli istituti tipici dei contratti dei consumatori in virtù del particolare oggetto digitale della fornitura, prevedendo l’applicabilità, inter alia, delle clausole di garanzia della conformità del bene al contratto, nonché dei rimedi in caso di difetto di conformità o mancata fornitura.

L’aspetto più innovativo e allo stesso tempo più discusso delle nuove disposizioni è rappresentato dalla codificazione di una prassi ormai diffusa nel mondo digitale e recentemente riconosciuta anche dalla giurisprudenza del Consiglio di Stato[1]: l’utilizzo dei dati personali quali corrispettivo per la fruizione dei servizi digitali[2]

Il comma 4 dell’art. 135-octies prevede, infatti, che le disposizioni del Capo I-bis si applichino anche “nel caso in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista”[3].

In altri termini, la disposizione riconosce ai consumatori la possibilità di scambiare i propri dati personali per ottenere in cambio servizi digitali.

Ciò, tuttavia, solo nel caso in cui i dati forniti siano eccedenti rispetto a quelli strettamente necessari per l’esecuzione del contratto o l’assolvimento di obblighi di legge gravanti sul professionista; infatti, la disposizione specifica che resta esclusa l’ipotesi in cui “i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale […] o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti”[4].

Già in sede di approvazione della Direttiva, la norma in esame aveva suscitato un acceso dibattito a livello europeo, in quanto presenta numerosi punti di tensione con le disposizioni in materia di protezione dei dati personali di cui al Regolamento (UE) 2016/679 (“GDPR” o “Regolamento”).

Infatti, la possibilità di considerare i dati personali quali controprestazione contrattuale, come evidenziato a suo tempo dall’European Data Protection Supervisor (“EDPS”) nel proprio parere 4/2017^[5], mal si concilierebbe con l’interpretazione del diritto alla protezione dei dati personali quale diritto fondamentale dell’individuo, e implicherebbe il considerare i dati personali alla stregua di mera merce di scambio.

Il legislatore europeo, anche in considerazione delle perplessità espresse dall’EDPS, ha espunto dalla stesura finale della Direttiva il termine “controprestazione” in riferimento alla fornitura, da parte del consumatore, dei propri dati personali per ricevere un contenuto e/o servizio digitale.

Tale accorgimento, recepito anche in sede di trasposizione a livello nazionale, non sembrerebbe però sufficiente a dirimere i dubbi circa la compatibilità tra la possibilità di utilizzare i dati come moneta e la disciplina prevista dal Regolamento, che viene richiamata dal decreto legislativo attuativo della Direttiva in modo piuttosto generico, senza fornire ulteriori dettagli in merito.

Nel silenzio della norma, è lecito domandarsi, ad esempio, quale sarà la base giuridica idonea per tale attività di trattamento; se tutti i dati potranno essere utilizzati come mezzo di pagamento, o se debbano essere esclusi i dati particolari; come sarà garantito l’esercizio dei diritti degli interessati e, non da ultimo, come verrà determinato il valore dei dati[6].

In conclusione, se da un lato viene ufficialmente inserita nel nostro ordinamento giuridico la possibilità di utilizzare i dati personali quali corrispettivo per la fruizione di un servizio digitale, dall’altro lato, il coordinamento con le disposizioni del GDPR è una questione ancora aperta, che molto verosimilmente comporterà ampi spunti di riflessione e dibattito^[7].