L’ammissibilità del consenso al trattamento come oggetto d

La possibilità e l’opportunità di un regime proprietario avente ad oggetto il dato personale è tematica strettamente connessa al ruolo da attribuire al consenso reso dall’interessato nei confronti del potenziale titolare del trattamento. Precipitato diretto di una ricostruzione in termini dominicali del rapporto dell’utente con il proprio dato personale è infatti il carattere negoziale del consenso83_.

In quest’ottica, l’autorizzazione al trattamento dei propri dati darebbe vita ad un contratto di scambio84_{, suscettibile di assumere natura onerosa o}

gratuita a seconda delle prestazioni dedotte nel contratto.

Si è infatti evidenziato che la promessa di una contropartita costituita da benefici di vario tipo in favore dell’utente, quali condizioni contrattuali preferenziali, estensioni della garanzia sul prodotto acquistato, ma anche un corrispettivo in denaro, permetterebbe di individuare un vero e proprio scambio satisfattivo dei rispettivi interessi delle parti85_.

Al contrario, nel contratto concluso, ad esempio, per accedere ad un

social network, la totale assenza di obblighi di prestazione impedirebbe di

83 _{Cfr., V. Z}

ENO-ZENCOVICH, Una lettura comparativa della L. 675/96, cit., p. 169; A. MANTELERO, Data protection ed attività di impresa. verso dove guardano gli USA?, in Dir.

informatica, 2011, 3, pp. 457 ss.; S.SICA –G.GIANNONE CODIGLIONE, Social network sites e

il «labirinto» delle responsabilità, cit., pp. 2717 ss..

84 _{Alcuni Autori hanno individuato nell’art. 20 del Regolamento n. 679 del 2016, dedicato alla} portabilità dei dati direttamente riconducibili all’interessato “one of the biggest symbols of the

propertisation of data”. Cfr. G. MALGIERI, Property and (Intellectual) Ownership of

Consumers’ Information: A New Taxonomy for Personal Data, 20 aprile 2016, Privacy in Germany - PinG, n. 4, 2016, pp. 133 ss.; N. PURTOVA, The Illusion of Personal Data as No One’s Property, Law, Innovation and Technology, vol. 7, n. 1, 2015, pp. 83 ss..

85 _{Cfr. F. A}

NAGNINO, Fino a che punto è possibile disporre contrattualmente dei propri diritti?, cit., p. 2563; C. PERLINGIERI, L'informazione come bene giuridico, in Rass. dir. civ., 1990, pp.

326 ss.; C. CAMARDI, Mercato delle informazioni e privacy, Riflessioni generali sulla legge n.

675/1996, in Eur. dir. priv., 1998, 1049 ss.; F. BILOTTA, Consenso e condizioni generali di

contratto, in V. CUFFARO- V.RICCIUTO (a cura di), La disciplina del trattamento dei dati

personali, II, Profili applicativi, Utet, Torino, 1999, pp. 87 ss.; V. CUFFARO, A proposito del

ruolo del consenso, in V.CUFFARO-V.RICCIUTO-V.ZENO ZENCOVICH (a cura di), Trattamento

dei dati e tutela della persona, cit., pp. 201 ss.; F. OLIVO, Dati personali e situazioni giuridiche

34

ascrivere veri e propri adempimenti sia all’utente che al gestore, il quale non sarebbe obbligato a fornire il servizio, né ad assicurare il corretto funzionamento della piattaforma86_.

Tuttavia, nell’attribuire il connotato della gratuità ad un contratto che implica il trattamento dei dati personali è necessario procedere con particolare cautela, in considerazione della perversa pratica in base alla quale, secondo alcuni, siti quali i social network, scelgono appositamente di non prospettare il regolamento di accesso ed utilizzo della piattaforma come uno scambio sinallagmatico per non andare incontro a censure in merito all’impossibilità di disporre dei propri diritti da parte dell’utente87_.

Già negli anni Novanta, la dottrina dubitava della libertà del consenso «in contesti in cui il soggetto sia in realtà necessitato a fornire le

informazioni richieste e ad acconsentire alla loro circolazione ed utilizzazione»88_.

Più di recente, osservazioni in tal senso sono state riproposte nel senso che «si può anche parlare di presunzione di invalidità del consenso prestato

al fine di accedere a beni o servizi, ma deve esser chiaro che si tratta di una presunzione iuris tantum e non, invece, iuris et de iure»89.

86 _{Cfr. C. P}

ERLINGIERI, Gli accordi tra i siti di social network e gli utenti, in C. PERLINGIERI –

L.RUGGERI (a cura di) Internet e Diritto civile, cit., p. 208. Di diverso avviso, S. F., BONETTI,

La tutela dei consumatori nei contratti gratuiti di accesso ad internet, cit., p. 1091, secondo il

quale “il ricorso alla corrispettività, quale elemento distintivo dell'onerosità, sembra

rappresentare una soluzione non pienamente corretta. Corrispettività e onerosità non possono, infatti, considerarsi concetti "omogenei" quali termini di un'equivalenza, perché l'onerosità sembra emergere anche in assenza "della reciprocità di impegni giuridicamente vincolanti" se dalla "sopportazione di uno svantaggio economico" l'autore consegue "un vantaggio dal soggetto o dai soggetti ai quali egli abbia volto un'attribuzione patrimoniale". Circa la

distinzione fra onerosità e corrispettività cfr. P. MOROZZO DELLA ROCCA, Gratuità, liberalità

e solidarietà, Giuffrè, Milano, 1998, p. 2; R. SACCO, La qualificazione del contratto, in P. RESCIGNO (a cura di), Trattato di diritto privato, Obbligazioni e contratti, vol. X, Tomo 2, 1993, pp. 457 ss..

87 _{In tal senso, cfr. C. PERLINGIERI, Gli accordi tra i siti di social network e gli utenti, cit., p.} 211.

88 _{Così G. COMANDÈ, Consenso. Casi di esclusione del consenso, in E. GIANNANTONIO,M.G.} LOSANO,V.ZENO-ZENCOVICH (a cura di), La tutela dei dati personali: commentario alla L.

675/1996, p. 113. 89 _{G. R}

ESTA - V. ZENO-ZENCOVICH, Volontà e consenso nella fruizione dei servizi in rete, cit., p. 418.

35

Peraltro, si è suggerito di non attribuire minor rilievo al requisito della «specificità» del consenso, come suo ulteriore requisito di validità. E ciò in quanto «una manifestazione di volontà generica non permette un reale

apprezzamento delle concrete conseguenze dell'atto dispositivo, mentre un consenso espresso in maniera distinta e in relazione a ciascuna delle finalità rilevanti costituisce maggiore garanzia di ponderatezza delle scelte coinvolte»90_.

Oggi, il GDPR non lascia più alcun margine di dubbio e, dunque, di flessibilità a riguardo. All’art. 7, comma 4, afferma infatti che «nel valutare

se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto».

L’enunciato del Regolamento europeo è, peraltro, del tutto in linea con il concetto di consenso «freely given» enucleato dal Working Party 29, secondo il quale l’unica situazione in cui l’accettazione possa considerarsi libera è quella in cui il soggetto si determini senza temere di incorrere in conseguenze intimidatorie o comunque negative, che siano d’ostacolo alla sua libera determinazione91_.

A riguardo, è eloquente anche l’orientamento del Garante per la protezione dei dati personali. Nelle pronunce precedentemente citate, infatti, il Garante ha impedito che un contratto di accesso ad internet venisse pubblicizzato come gratuito nel momento in cui imponeva all’utente di acconsentire al trattamento dei propri dati con finalità pubblicitarie per accedere effettivamente al servizio.

90 _{G. R}

ESTA - V. ZENO-ZENCOVICH, op. cit., p. 419.

91 _{Article 29 Data Prot. Working Party, Opinione 15/2011, “The definition of consent”, 13 luglio}

2011, (WP 187), disponibile al sito

36

L’Autorità indipendente italiana, dunque, si affianca al legislatore comunitario nel contrasto a quella «gratuità interessata» già smascherata nei suoi precedenti provvedimenti. Simile presa di coscienza non giunge ad escludere la possibilità che l’autorizzazione del trattamento sia remunerata, ma collega la libertà del consenso alla circostanza che questo assuma il connotato di vera e propria controprestazione.

Ed invero, si tratta di un’impostazione suscettibile di due interpretazioni. Da un lato, si potrebbe ritenere che il Regolamento, non avendo impedito là dove poteva impedire, abbia invece ammesso un’eventuale remunerazione del consenso al trattamento dei dati personali, limitandosi piuttosto a vietarne una surrettizia acquisizione.

Si è del resto ritenuto che alla base delle pronunce del Garante, oltre all’esigenza di evitare una mercificazione dell’individuo, vi sia la primaria preoccupazione di scongiurare il rischio di una concentrazione in capo ad un medesimo soggetto di grandi quantità di dati che permettano la profilazione delle persone, anche a fini discriminatori. Pertanto, se quest’ultimo obiettivo emerge come prioritario, si deve dubitare che «la soluzione sia quella di

evitare tout court la commercializzazione del consenso al trattamento dei dati intervenendo sul requisito della libertà del consenso»92_.

Eppure, il comma 4 dell’art. 7 potrebbe anche essere letto come una consacrazione di quell’orientamento dottrinario che equipara la libertà alla gratuità93_{, richiedendole entrambe quali indefettibili requisiti del consenso al}

trattamento dei dati. Infatti, secondo quest’impostazione, l’attributo «libero» dovrebbe necessariamente implicare il disinteresse rispetto ad un qualsiasi riscontro, anche economico.

92 _{S.THOBANI, Il consenso al trattamento dei dati come condizione per la fruizione dei servizi} online, in Aa. Vv., Internet e diritto civile, 2015, p. 483.

93 _{Cfr. S. R}

ODOTÀ, Gratuità e solidarietà tra impianti codicistici e ordinamenti costituzionali,

in A.GALASSO e S.MAZZARESE (a cura di), pp. 103 ss.; S. RODOTÀ, Tecnologie e diritti, Il

Mulino, Bologna, 1995, pp. 111 ss.; DE CUPIS, I diritti della personalità, in A. CICU e F. MESSINEO (diretto da), in Tratt. dir. civ. e comm., Giuffrè, Milano, 1982, pp. 93 ss..

37

Da ciò discenderebbe che la prestazione del consenso non possa mai essere posta quale condizione per accedere a un bene o servizio, salvo che sia necessario per l’esecuzione del contratto94_.

Quest’ultima interpretazione sembra coincidere con quella adottata dal Working Party 29 nelle più recenti “Guidelines on Consent under

Regulation 2016/679”95_{, le quali forniscono una vera e propria}

interpretazione teleologica dell’art. 7, comma 4, nel senso che la norma assicura che «the processing of personal data for which consent is sought

cannot become directly or indirectly the counter-performance of a contract. The two lawful bases for the lawful processing of personal data, i.e. consent and contract cannot be merged and blurred»96_.

In questo senso, porre il consenso al trattamento dei dati come precondizione per l’accesso ad un servizio permetterebbe di presumerne l’invalidità, qualora i dati personali richiesti non siano strettamente attinenti alle finalità del trattamento sul quale il servizio stesso si basa.

Eppure, se il binomio «consenso-accesso al servizio» è certamente visto con sfavore da parte dell’organismo consultivo, è pur vero che quest’ultimo non è giunto ad un’esplicita esclusione della remunerazione del consenso, che, invece, darebbe vita al diverso binomio «consenso remunerato-accesso al servizio», con un conseguente riequilibrio delle posizioni dei contraenti.

Chiaramente, se si parte dal presupposto che un consenso richiesto come necessario ai fini dell’accesso ad un servizio, non solo non sia gratuito, ma, per ciò solo, non sia nemmeno libero, allora un’eventuale remunerazione dello stesso sarebbe di certo da considerarsi insufficiente a qualificare quel

94 _{Per una ricostruzione delle diverse impostazioni dottrinarie cfr. S. THOBANI, La libertà del} consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti della personalità, in Europa e Diritto Privato, 2016, 2, p. 523.

95 _{Article 29 Data Prot. Working Party, “Guidelines on Consent under Regulation 2016/679”,}

28 novembre 2017, (WP 259), disponibile al sito

http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48849. 96 _{Article 29 Data Prot. Working Party, (WP 259), cit., cit., p. 9.}

38

consenso come liberamente prestato e, dunque, il corrispondente trattamento come ammissibile.

Una visione del consenso come contropretazione può forse trasparire dalla citata proposta di direttiva concernente la fornitura di contenuti digitali, la quale, come già evidenziato nei precedenti paragrafi, all’art. 3 estende il suo campo di applicazione «ai contratti in cui il fornitore fornisce contenuto

digitale al consumatore, o si impegna a farlo, e in cambio del quale il consumatore corrisponde un prezzo oppure fornisce attivamente una controprestazione non pecuniaria sotto forma di dati personali o di qualsiasi altro dato», eppure, si è parimenti ricordato come il GEPD abbia invitato le

Istituzioni europee a procedere con cautela nell’introdurre disposizioni che in qualche modo individuino nei dati personali un mezzo di pagamento assimilabile al denaro, non trattandosi di mera merce97.

L’ammissibilità o meno di un trattamento dei dati personali seguito ad un consenso comunque condizionato da un corrispettivo è allora preliminare rispetto all’analisi delle diverse ricostruzioni giuridiche concernenti la configurabilità del consenso al trattamento dei dati personali come oggetto di un contratto di scambio o comunque come controprestazione rispetto all’accesso ad un servizio digitale.