Il dato personale nell’era dell’Internet of things: l’ipotesi dello schema proprietario

1

Classe accademica di Scienze Sociali Settore di Scienze Giuridiche

Diploma di licenza

Il dato personale nell’era dell’Internet of things:

l’ipotesi dello schema proprietario

Candidata Relatore

Francesca Grotteria Chiar.mo Prof. Giovanni Comandè

Allieva Ordinaria di II livello Scuola Superiore Sant’Anna

Tutor

Chiar.ma Prof.ssa Erica Palmerini

Scuola Superiore Sant’Anna

Anno accademico 2016/2017

2

INDICE

1. Introduzione ... 3

2. Oggetto e declinazioni del diritto al trattamento dei dati

personali ... 6

3. L’ipotesi del regime proprietario sui dati personali ... 19

3.1. Il valore economico dei dati... 19

3.2. Il dato personale come bene giuridico oggetto di un diritto di

proprietà ... 26

3.3. L’ammissibilità del consenso al trattamento come oggetto di

scambio negoziale ... 33

3.4. L’eventuale qualificazione giuridica del negozio ... 38

3.5. La negoziabilità del consenso alla luce delle norme

codicistiche ... 43

3.6. La tutela del “legittimo interesse del titolare” in assenza del

consenso dell’interessato ... 52

3.7. L’interessato al trattamento come consumatore ... 57

4. Conclusioni ... 66

3

1. Introduzione

La tematica intuitivamente e storicamente connessa al trattamento dei dati personali è la tutela della privacy. La diffusione dei social network e dei servizi online il cui funzionamento è strettamente legato ai dati dell’utente ha destato l’interesse del legislatore, della giurisprudenza e delle autorità indipendenti ai diversi livelli territoriali circa le nuove ed emergenti modalità di trattamento dei dati e le rispettive discipline.

De iure condito, si tratta di stabilire come collocare le nuove modalità

di trattamento dei dati personali all’interno delle categorie e delle regole previgenti. De iure condendo, è invece interessante ipotizzare quali schemi regolatori e quali lacune e antinomie potrebbero scaturire da un’evoluzione delle tipologie di dati e dagli scambi degli stessi tra utenti e impresa e tra le imprese stesse.

L’esponenziale aumento degli utenti del web, in particolare dei social

network, e la diffusione di dispositivi digitali dotati di sensori intelligenti ha

permesso ai giganti del web di raccogliere e, dunque, disporre, di un enorme quantitativo di dati provenienti da fonti eterogenee ed analizzati in via rapidissima e tendenzialmente automatica1.

Simile processo si alimenta attraverso due macro-fenomeni: la “datizzazione”, ossia la raccolta di informazioni su un fenomeno al fine di convertirle in forma quantitativa così da poterle analizzare ed archiviare e la “digitalizzazione”, che consiste nel convertire le informazioni in un formato leggibile dal computer2_.

In questo scenario, se per il singolo utente le informazioni così diffuse continuano a rappresentare a tutti gli effetti un dato personale, anche,

1 _{Per una compiuta analisi del fenomeno cfr. Big data e privacy, la nuova geografia dei poteri}

– Atti del Convegno del 30 gennaio 2017, consultabile presso

http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6494810. 2 _{Cfr. S.F}

ARO.–N. LETTIERI, Big data e Internet delle cose: opportunità, rischi e nuove

esigenze di tutela per gli utenti della Rete, in C. PERLINGIERI – L.RUGGERI (a cura di), Internet

4

eventualmente, sensibile, per i titolari del trattamento costituiscono piuttosto elementi portatori di un valore economico nel momento in cui assumono la veste di merce di scambio sul mercato.

La rilevanza economica dei dati personali si manifesta sotto vari profili. Da un lato, sono informazioni necessarie per la stipula o l'adempimento di un contratto, nonché uno dei presupposti per la sua conclusione, come nel caso delle informative precontrattuali3_{. D’altra parte,}

permettono all’impresa che li detiene di personalizzare l’orientamento delle politiche commerciali non solo nei confronti del singolo utente, ma, attraverso la profilazione, anche di gruppi di utenti.

La circostanza che ai nostri fini più interessa è quella in cui la trasmissione del dato personale da presupposto di validità del contratto e conseguenza dell’accettazione delle condizioni dello stesso, finisce per assumere la valenza di vero e proprio oggetto dell'operazione negoziale. Si tratta di quelle ipotesi in cui il consenso al trattamento dei propri dati è richiesto dall’utente al fine di poter accedere ad un determinato servizio, ovvero a servizi ulteriori rispetto a quello principale, oppure, ancora, per permettere un migliore funzionamento dell’applicazione o del dispositivo nell’interesse generale dell’insieme degli utenti, quindi senza offrire all’interessato una controprestazione diretta. Inoltre, il singolo dato o i gruppi di dati sono potenziale oggetto di tutti quei contratti finalizzati al trasferimento di informazioni tra imprese private, e dunque destinati ad avvantaggiare economicamente la società destinataria.

Nel corso della trattazione si tenterà un’analisi delle singole intersezioni e dei conflitti di disciplina risultanti dall’applicazione delle regole codicistiche e comunitarie riservate ai contratti in un campo governato dalla disciplina dedicata al trattamento dei dati personali, peraltro

3 _{Cfr. F. A}

NAGNINO, Fino a che punto è possibile disporre contrattualmente dei propri diritti, in Giur. merito, 2012, pp. 2555 ss..

5

recentemente rinnovata ad opera del Regolamento 679 del 20164 _ed

influenzata dalla Proposta di direttiva relativa a determinati aspetti dei contratti di fornitura a contenuto digitale5_.

Chiaramente, non tutte le informazioni comunque riconducibili agli utenti meritano la qualifica di dato personale. Pertanto, è preliminarmente opportuno attribuire una definizione alla categoria in esame, così da delimitare l’ambito di applicazione della normativa europea di protezione.

4 _{Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,} relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

5 _{Proposta di direttiva della Commissione europea e del Consiglio relativa a determinati aspetti} dei contratti di fornitura a contenuto digitale, 9 dicembre 2015, COM (2015) 634, 2015/0287

6

2. Oggetto e declinazioni del diritto al trattamento dei dati personali

Il valore economico assunto dal dato personale ha determinato, di fatto, un’evoluzione della stessa disciplina del trattamento dei dati personali. Invero, mentre la direttiva 95/46/CE pare caratterizzata da uno stampo difensivo della privacy del singolo interessato, il più recente Regolamento 2016/679 tratta il dato personale come un bene immateriale, la cui circolazione merita una disciplina ad hoc, modellata sulle sue peculiarità6_.

Del resto, il diritto alla riservatezza si è sempre prestato ad essere semanticamente e normativamente distinto dal diritto al trattamento dei dati personali. In particolare, sotto quest’ultimo profilo, si noti come, mentre il primo è tutelato dall’art. 7 della Carta europea dei diritti dell’uomo, è l’art. 8 la disposizione specificatamente dedicata alla protezione dei dati «di

carattere personale che riguardano l’individuo»7_.

La distinzione è peraltro esplicitata nella Relazione di accompagnamento al Codice in materia di protezione dei dati personali, la quale chiarisce che il diritto alla protezione dei dati personali è un «diritto

fondamentale della persona, autonomo rispetto al più generale diritto alla riservatezza già richiamato dall’articolo 1 della legge n. 675/1996», si

tratterebbe cioè di un diritto «che tiene conto delle molteplici prerogative

6 _{Per alcune considerazioni in merito all’evoluzione della tutela dei dati personali cfr. R.} PARDOLESI, Dalla riservatezza alla protezione dei dati personali: una storia di evoluzione e

discontinuità, in R. PARDOLESI (a cura di), Diritto alla riservatezza e circolazione dei dati personali, vol. 1, Giuffré, Milano, 2003; A. OTTOLIA, Privacy e social networks: profili

evolutivi della tutela dei dati personali, in AIDA, vol. XX, 2011, pp. 360 ss..

7 _{La stessa Corte di Giustizia ha trattato distintamente i due diritti ed i rispettivi fondamenti} normativi. Cfr. ex multis, Corte di Giustizia, sentenza del 13 maggio 2014, causa C-131/12,

Google Spain, Google Inc. e Agencia Española de Protección de Datos (AEPD), punto 68;

Corte di giustizia, sentenza dell’11 dicembre 2014, causa C-212/13, Ryneš, punto 29 e Corte di giustizia, sentenza del 6 ottobre 2015, causa C-362/14, Schrems, punto 38.

7

legate al trattamento dei dati personali, anche oltre quelle attinenti al riserbo e alla tutela della vita privata»8.

Da ultimo, il Regolamento 679 del 2016 ha disciplinato il diritto ad un corretto trattamento dei dati personali in senso strumentale rispetto alla tutela della riservatezza, nella consapevolezza che «i rischi per i diritti e le libertà

delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale»9_.

Anche la nostra giurisprudenza di merito ha avuto modo di attribuire al diritto alla protezione dei dati personali il rango di diritto fondamentale della persona, sacrificabile non alla luce di interessi collettivi, quale quello generale all’informazione, ma soltanto di interessi primari della collettività10_.

La dottrina più autorevole ha ritenuto che, il diritto alla protezione dei dati personali, più che acquisire autonoma rilevanza come diritto fondamentale distinto dal diritto alla riservatezza (e/o da altri diritti fondamentali), sembra essersi delineato, quantomeno con riguardo alla disciplina delineata dal legislatore del 1996, prima della Carta di Nizza, in una sorta di “diritto sui diritti”11_.

Si rimarca, infatti, che la categoria dei diritti della personalità possa diventare «una costruzione fatta a strati sovrapposti di diritti volti a rendere

effettivi altri diritti, di grado in grado a loro volta oggetto di tutela di questi ultimi secondo una logica che di per sé non conosce un limite e anzi, con lo stesso avanzare della costruzione sempre più esigerà accorgimenti di tutela,

8 _{Relazione parlamentare di accompagnamento al testo del “Codice in materia di protezione dei} dati personali”, Commento all’articolato, Parte I, Titolo I, art. 1.

9 _{Così il considerando n. 75 del Regolamento n. 679 del 2016.}

10 _{Cfr. Trib. Milano, 17 giugno 2013, in mass. red. 2013. In tema di bilanciamento tra diritto} alla riservatezza e diritto di cronaca cfr., da ultimo, Cass. civ., sez. III, 25 maggio 2017, n. 13151.

11 _{C. C}

ASTRONOVO, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali,

in V.CUFFARO,V.RICCIUTO,V.ZENO-ZENOVICH (a cura di), Trattamento dei dati e tutela

8

con il diritto precedentemente posto ad aver bisogno di un altro diritto che serva a proteggerlo»12.

In questo senso, «l’unicità e unità della personalità si traduce sul

piano della tutela giuridica in un diritto di attuazione della stessa, un diritto unico come unica è la personalità, anche quando per migliore perspicuità descrittiva facciamo uso di una molteplicità variabile in funzione del mutare delle situazioni e dei mezzi di offesa possibili»

Il diritto alla protezione dei dati personali ha avuto poi una definitiva ed esplicita affermazione non solo nell’art. 1 del Codice in materia di protezione dei dati personali e nel Regolamento n. 679 del 2016, ma anche nell’art. 8 della Carta dei diritti fondamentali dell’UE, ove s’è proclamato il diritto, di chiunque, alla protezione dei dati personali che lo riguardano.

In questa disposizione normativa, «si manifesta una precisa assiologia

della Carta, che ha voluto far emergere i più importanti tra i “nuovi” diritti dell’età tecnologica (...), senza però confinarli nello schema classificatorio che fa di essi un’ultima generazione dei diritti, ma collocandoli in un quadro d’insieme di indivisibilità dei diritti fondamentali. Il suo trasferimento nel sistema italiano produce una chiarissima innovazione legislativa, che rende non più probabili le interpretazioni riduttive del significato e della portata della protezione dei dati personali avanzate, sia pure con argomenti sostanzialmente deboli, con riferimento alla l. 675/1996»13.

Così, il diritto alla protezione dei dati personali viene aggiunto a diritti già nominati, come quello alla riservatezza o all’identità personale, così da individuare «una dimensione ulteriore della personalità»14.

12 _{C. CASTRONOVO, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali,} cit., pp. 193-194.

13 _{S. R}

ODOTÀ, Tra diritti fondamentali ed elasticità della normativa: il nuovo codice della

privacy, in Eur. e dir. priv., 2004, 1, pp. 3 ss.. 14 _{S. R}

ODOTÀ, Tra diritti fondamentali ed elasticità della normativa: il nuovo codice della

9

In realtà, secondo quest’altra dottrina, oggetto della garanzia normativa sarebbe non tanto il dato personale, quanto piuttosto il “trattamento”15_.

La relazione tra diritti fondamentali è dunque articolata non tanto nella logica del diritto sui diritti, ma nella logica della “precondizione”, nel senso che «il rispetto del diritto alla protezione dei dati personali si configura come

una precondizione per il pieno godimento di altri diritti fondamentali»16_.

Il contenuto del diritto alla protezione dei dati personali si presenta poi particolarmente vasto, come desumibile dalla stessa definizione riservata dall’art. 4 del Regolamento al dato personale17_{, coincidente con «qualsiasi} informazione riguardante una persona fisica identificata o identificabile».

La stessa disposizione precisa poi che «si considera identificabile la persona

fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale».

Simile specificazione è, ai nostri fini, di notevole importanza, in quanto permette non solo di comprendere quali informazioni meritino la qualifica di dato personale, ma segna anche il confine tra quelle ipotesi in cui l’utente possa o meno rivendicare un diritto alla riservatezza.

Tra le informazioni che comunque riguardano una persona fisica, infatti, la normativa vigente non considera dati personali quelli che non ne permettono l’identificazione.

15 _{S. RODOTÀ, cit., p. 4.}

16 _{S. RODOTÀ, idem.}

17 _{Come evidenziato in dottrina, da tutte le espressioni utilizzate per individuare il diritto alla} protezione dei dati personali (quali «information privacy», «informational privacy», «data

privacy»), emerge che l’oggetto del diritto è rappresentato dall’informazione o dato. Cfr. G.

FINOCCHIARO, La Giurisprudenza della Corte di Giustizia in materia di dati Personali da

10

In particolare, una lettura combinata dei considerando n. 26 e n. 30, nonché del documento appositamente dedicato dall’Article 29 Data

Protection Working Party alle “Anonymisation Techniques”18_{, permette di}

chiarire quando un dato consenta l’identificazione del soggetto al quale si riferisce.

Il considerando n. 26 chiarisce che «per stabilire l'identificabilità di

una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici».

Ebbene, il summenzionato organo consultivo indipendente istituito con l’art. 29 della Direttiva 95/46/CE (cd. Working Party 29) è intervenuto a dettare alcuni parametri funzionali al processo di anonimizzazione dei dati personali, nonché alla valutazione della sua effettività, non molto tempo prima che entrasse in vigore il nuovo Regolamento (ossia, in data 10 aprile 2014).

A riguardo, premessa l’imprescindibilità di una valutazione caso per caso, il documento individua alcuni “key factors” che devono essere presi in considerazione dal titolare del trattamento che intenda (o debba) rendere anonimi i dati di cui dispone19.

In primo luogo, suggerisce di tener conto del continuo sviluppo tecnologico, fattore che potrebbe impedire di considerare un dato definitivamente anonimo.

18 _{Article 29 Data Prot. Working Party, Opinione 05/2014, “Anonymisation Techniques”, 10} aprile 2014, (WP 216), disponibile al sito http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

11

L’anonimia deve, inoltre, essere garantita non solo separando il dato in sé dalle informazioni personali connesse all’utente che l’ha generato, ma anche preoccupandosi di eliminare ogni possibile collegamento ed inferenza, realizzabile qualora il titolare del trattamento o un terzo dispongano di un database contenente altri dati dell’utente20_.

Si evidenzia, peraltro, la notevole e spesso trascurata distanza intercorrente tra presudonimizzazione ed anonimizzazione, solo quest’ultima capace di preservare l’effettivo anonimato del soggetto, sempre che il titolare del trattamento si affidi ad un’appropriata ed integrata combinazione delle principali tecniche a tal fine disponibili e monitori costantemente il rischio di reidentificazione21_.

Nella prassi giudiziale, si rinvengono recenti decisioni in cui la Corte di Giustizia si è interrogata in merito alle ipotesi di identificabilità di un soggetto partendo da un dato formalmente anonimo.

In particolare, nel caso Breyer22_{, la Corte ha chiarito che nella}

definizione di «dato personale» possono essere inclusi anche gli indirizzi IP dinamici, ossia quelli provvisoriamente assegnati ad ogni connessione a Internet e sostituiti in caso di successive connessioni.

Una volta escluso che simile indirizzo costituisca un dato personale riferibile ad una persona «identificata», la Corte ne ha comunque riconosciuto la natura di dato personale in ragione del fatto che, nel caso di specie, il soggetto risultava pur sempre identificabile.

Infatti, secondo la Corte, anche se le informazioni aggiuntive necessarie per individuare l’utente di un determinato sito Internet sono detenute non dal fornitore di servizi di media online, ma dal fornitore di accesso a Internet di tale utente, «esistono strumenti giuridici che consentono

20 _{Opinione 05/2014, cit., p. 9.}

21 _{Opinione 05/2014, cit. p. 10. Cfr. anche pp. 20 ss., che trattano compiutamente della} “Pseudonymisation”.

22 _{Corte di Giustizia, sentenza 19 ottobre 2016, causa C-582/14, Patrick Breyer v.} Bundesrepublik Deutschland.

12

al fornitore di servizi di media online di rivolgersi, in particolare in caso di attacchi cibernetici, all’autorità competente affinché quest’ultima assuma le iniziative necessarie per ottenere tali informazioni dal fornitore di accesso a Internet e per avviare procedimenti penali»23_.

Di notevole interesse ed attualità è poi il considerando n. 30 del Regolamento, il quale ammonisce che, attraverso alcuni dispositivi o applicazioni, le persone fisiche possono essere associate a marcatori temporanei (cd. cookies) o ad identificativi di altro tipo. Questi possono rivelarsi idonei a permettere, in un secondo momento, l’identificazione, nonché la profilazione, del soggetto attraverso la combinazione del marcatore con dati ulteriori ed univoci.

Attraverso simile constatazione, il legislatore europeo sembra prendere coscienza della pervasività del cd. fenomeno dell’Internet of

things24_{, definibile come la capacità dell’insieme interconnesso degli oggetti}

che materialmente ci circondano nella quotidianità di trasmettere dati relativi al loro utilizzo e all’ambiente circostante, anche in via continuativa, senza

23 _{Corte di Giustizia, causa C-582/14, cit..} 24 _{In tema, cfr. A. C}

OLLINS,A.J.FLEISHER,D.R.FREEMAN JR.&A.MAUGHAN, The Internet

of Things Part 1: Brave New World, MORRISON FOERSTER CLIENT ALERT, 1 (Mar. 18,

2014), http://www.jdsupra.com/legalnews/the-internet-of-things-part-1-brave-new-23154, http://perma.cc/6G95-L8LU; A. THIERER, The Internet of Things and Wearable Technology:

Addressing Privacy and Security Concerns without Derailing Innovation, 21 RICH. J.L. &

TECH. 6 (2015), http://jolt.richmond.edu/v21i2/article6.pdf; WEBER R.H., Internet of Things:

Privacy Issues Revisited, Computer Law & Security Review 31, 2015, 625; NOTO LA DIEGA

G., WALDEN I, Contracting for the ‘Internet of Things’: Looking into the Nest, Queen Mary School of Law Legal Studies Research Paper No. 219/2016, 1 febbraio 2016. Nella dottrina italiana, cfr. S. FARO –N.LETTIERI, Big data e Internet delle cose: opportunità rischi e nuove

esigenze di tutela per gli utenti della Rete, in C.PERLINGIERI–L.RUGGIERI, Internet e diritto

civile, ESI, Napoli, 2015, p. 287, il quale riferisce il concetto di “Internet delle cose” ad “una infrastruttura in cui miliardi di sensori incorporati in dispositivi di uso quotidiano […] sono progettati per registrare, elaborare, archiviare e trasferire dati e, in quanto sono associati a identificatori univoci, per integrare con altri dispositivi o sistemi che utilizzano le funzionalità della Rete”.

13

che l’utilizzatore, una volta accettati i cd. terms of use25_{, ne sia davvero}

consapevole26.

Le opportunità scaturenti dall’IoT si manifestano in una pluralità di ambiti: dal sistema sanitario sino al settore energetico e dei trasporti, nonché senza dubbio nel mercato in generale.

Siffatti dispositivi sono infatti in grado di raccogliere, trattare e conservare una grande quantità di dati (c.d. big data) per poi trasmetterli attraverso i vari canali di riferimento27_{, cosicché l’originario creatore}

dell’informazione, da un lato non ne sarà più il titolare esclusivo, dall’altro

25 _{L’accettazione delle condizioni contrattuali stabilite unilateralmente dal gestore che fornisce} l’applicazione è, nel concreto, sostanzialmente inevitabile qualora l’utente desideri utilizzare la singola applicazione, come emerge dal provvedimento del Garante Privacy n. 1819937,

Smartphone e tablet: scenari attuali e prospettive operative, 23 giugno 2011.

26 _{Carenze nell’informativa indirizzata agli utenti emergono dall’indagine “Privacy Sweep} 2016”, avviata nel maggio 2016 dalle Autorità per la protezione dei dati personali appartenenti

al Global Privacy Enforcement Network (GPEN), di cui fa parte anche il Garante italiano, per verificare il rispetto della privacy nell'Internet of things. Disponibile al sito: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/5443681. 27 _{Risalire ad una definizione precisa di “Big data” non è semplice. F}

ALCONE M., Big data e

pubbliche amministrazioni: nuove prospettive per la funzione conoscitiva pubblica, in Riv. Trim. Dir. Pubbl., 2017, 3, p. 603, aderisce a quella dottrina che definisce i big data come «high volume, high velocity, and/or high variety information assets that require new forms of processing to enable enhanced decision making, insight discovery and process optimization» ,

come proposto da (LANEY, D., 3D data management: Controlling data volume, velocity, and

variety. Technical report, META Group, February, 2001). L’Autore nostrano ritiene, infatti,

che simile definizione permetta di evidenziare le caratteristiche fondamentali dei big data i quali si presentano, allora, come un insieme di dati enorme, in quanto non trattabile attraverso le tradizionali tecnologie di conservazione ed elaborazione dei dati; eterogeneo, perché formato da dati provenienti da fonti molto differenti tra di loro (ossia sensori, rilevatori tecnici e scientifici e umani); e, infine, prodotto in tempo reale da siffatti sensori.

In tema cfr. anche, V.MAYER-SCHÖNBERGER-K.CUKIER, Big Data: A Revolution That Will

Transform How We Live, Work, and Think, Boston-New York, 2013, 6. Secondo gli Autori, «big data refers to things one can do at a large scale that cannot be done at a smaller one, to extract new insights or create new forms of value, in ways that change markets, organizations, the relationship between citizens and governments». Cfr. anche G. D’Acquisto – M. Naldi, Big Data e privacy by design, Giappichelli Editore, Torino, 2017; S. FARO –N.LETTIERI, Big data

e Internet delle cose, cit.; A.MANTELERO, Big data: i rischi della concentrazione del potere

informativo digitale e gli strumenti di controllo, in Dir. inf., 2012, I, 135; C. DE PADOVA, Big

data, la nuova frontiera dell’IT, in Riv. infortuni malattie prof., 2013, I-II, 1, pp. 247 ss.; D.

BOYD -K.CRAWFORD, Six Provocations for Big Data, A Decade in Internet Time: Symposium

on the Dynamics of the Internet and Society, 2011; BAROCAS S. e SELBST A. D., Big Data's

Disparate Impact, 104 California Law Review 671, 2016; TENEO.,POLONETSKYJ., Big

Data for All: Privacy and User Control in the Age of Analytics, 11 Nw.K. Tech. & Intell. Prop.,

239, 2013, 257; LUNDQVIST B., Big Data, Open Data, Privacy Regulations, Intellectual

Property and Competition Law in an Internet of Things World, 29 dicembre 2016, Faculty of Law, University of Stockholm Research Paper No. 1.

14

subirà le conseguenze favorevoli o sfavorevoli del trattamento dei propri dati ed assisterà, a fianco alla collettività degli utilizzatori, alle ripercussioni dell’analisi sul funzionamento dei devices28_.

Il Garante dei Dati Personali si è specificatamente interrogato sulla legittimità delle pratiche di acquisizione delle informazioni trasmesse dagli utilizzatori di applicazioni installate sui dispositivi tradizionali idonee a rilevare la geolocalizzazione o la salute dell’individuo, evidenziando carenze a livello di sicurezza informatica, di trasparenza nelle modalità e nelle finalità di raccolta dei dati e nelle possibilità per gli interessati di esercitare o recuperare il controllo sui propri dati e sul modo in cui essi vengono comunicati a terzi29_.

La questione è di particolare interesse, in quanto l’utilizzatore di applicazioni per smartphone è esposto ad essere identificato senza troppe difficoltà attraverso l’analisi combinata di «informazioni obiettive e concrete,

non autonomamente modificabili (ad esempio il numero di telefonino, il codice IMEI, i dati anagrafici dei contatti registrati nella rubrica archiviata sul proprio dispositivo etc.)»30_.

Alla luce della dell’ampia definizione di dato personale che emerge dall’orientamento giurisprudenziale comunitario, dell’analisi delle “Anonymisation Techniques” operata dal WP29, nonché dei parametri ai quali fa riferimento il considerando n. 26, ai fini di stabilire la ragionevole possibilità di identificazione del soggetto, tra i quali il livello di sviluppo tecnologico, i costi ed i tempi necessari per conseguire il risultato31_{, sembra}

potersi ritenere che i dati ai quali l’utente consente, più o meno

28 _{Per approfondire, cfr. E. GERMANI ,L.FEROLA, Il wearable computing e gli orizzonti futuri} della privacy, in Dir. inf., 2014, 1, pp. 75 ss..

29 _{Cfr. Provvedimento del Garante Privacy n. 1819937, cit..} 30 _{Cfr. Provvedimento del Garante Privacy n. 1819937, cit..}

31 _{Parametri analoghi per giudicare del grado di anonimizzazione di un dato erano già rinvenibili} nella Raccomandazione n. R. (85) 20, relativa alla protezione dei dati a carattere personale utilizzati al fine di direct marketing, adottata dal Comitato dei Ministri il 25 ottobre 1985.

15

consapevolmente, l’accesso al fine di utilizzare un’applicazione siano veri e propri dati personali.

Tuttavia, ci si potrebbe chiedere se questi siano o meno passibili di un “declassamento” a semplici informazioni qualora vengano sottoposti ad un processo di anonimizzazione e trattati soltanto a fini statistici o con l’intento di controllare il corretto funzionamento del sito, dell’applicazione o del dispositivo.

La parte finale del considerando n. 26 sottrae infatti all’ambito di applicazione del Regolamento le informazioni anonime «vale a dire

informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato», precisando che la

disciplina non si applica nemmeno quando simili dati sono trattati «per

finalità statistiche o di ricerca».

Peraltro, alcuni Autori, con riferimento alla legge 675/9632_{, che}

operava analoga esclusione dei dati anonimi dal proprio campo applicativo, hanno suggerito che si trattasse di una scelta dovuta all’impostazione della legge, la quale affida gran parte della tutela all’iniziativa dell’interessato

(cui i dati si riferiscono), circostanza questa che rende problematico riferire anche ai dati anonimi norme e poteri “tagliati su misura” per i dati personali»33.

L’esclusione dei dati anonimi dalla sfera di controllo dell’utente risulta oggi evidente dalla disciplina introdotta dall’art. 20 del Regolamento 2016/679, concernente il diritto alla portabilità dei dati. Il primo comma della disposizione attribuisce, cioè, all'interessato «il diritto di ricevere in un

formato strutturato, di uso comune e leggibile da dispositivo automatico i

32 _{Legge n. 675 del 31 dicembre 1996, Tutela delle persone e di altri soggetti rispetto al} trattamento dei dati personali, Gazzetta Ufficiale n. 5 dell´8 gennaio 1997, abrogata ai sensi

dell´articolo 183, comma 1, lettera a), del Codice in materia dei dati personali. 33 _{M. G}

AGLIARDI, La tutela della persona rispetto al trattamento dei dati anonimi, in G. COMANDÈ (a cura di), Persona e tutele giuridiche, Giappichelli Editore, Torino, 2003.

16

dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti».

Le linee guida emesse a riguardo dal Working Party 2934 _{circoscrivono}

l’oggetto dell’esercizio del diritto ai dati personali riferiti al soggetto, escludendo esplicitamente i dati anonimi, i quali non rientrano nello scopo per il quale il diritto è stato attribuito, ossia «empowering data subjects

regarding their own personal data as it facilitates their ability to move, copy or trasmit personal data easily from one IT enviroment to another», anche al

fine di riequilibrare la relazione tra l’interessato ed il titolare del trattamento35_.

Eppure, la nozione di dato anonimo è molto ristretta, in quanto si ammette che possano rientrare tra i dati personali accessibili anche quelli sottoposti a procedura di pseudonimizzazione, se risultanti ancora connessi al soggetto dal quale provengono.

Con riferimento alla provenienza dei dati, peraltro, le linee guida includono non solo quelli appositamente forniti dal soggetto al titolare del trattamento, ma anche quelli acquisiti al database tramite i sensori connessi all’utilizzo di un servizio o dispositivo utilizzato dall’utente (come, ad esempio, la cronologia delle ricerche, la localizzazione, il battito cardiaco e gli indicatori di salute)36.

Al contrario, vengono esclusi dalla categoria dei «dati forniti dal

soggetto» gli «inferred data» ed i «derived data» ossia i dati non direttamente

provenienti dal soggetto, ma scaturenti da un’analisi, un’elaborazione,

34 _{Cfr. Article 29 Data Prot. Working Party, “Guidelines on the right to data portability”, 13}

dicembre 2016, (WP 242), disponibile al sito

http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf.

35 _{Cfr. Article 29 Data Prot. Working Party, “Guidelines on the right to data portability”, cit.,} p. 4.

17

operata dal titolare del trattamento, anche servendosi dell’operato di un algoritmo, con finalità di personalizzazione o categorizzazione37.

Sono comunque fatti salvi i diritti attribuiti all’interessato dall’art. 22 del Regolamento, che gli permette di conoscere l’esistenza di un processo di decisione automatica a suo carico (comma 1) ed, eventualmente, di «ottenere

l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione» (comma 3).

Ebbene, se non è questa la sede per chiedersi se il diritto alla riservatezza sia effettivamente garantito dal trattamento di un dato personale «reso sufficientemente anonimo» o quali tecniche soddisfino effettivamente tale livello di sufficienza38_{, è invece necessario indagare la possibilità per}

l’utente di esercitare comunque il proprio diritto al trattamento dei dati ed il corrispondente dovere delle imprese private di richiedere uno specifico consenso.

Una volta escluso che i dati anonimi siano assoggettabili alla disciplina in esame, resta allora da chiarire quale sia quella effettivamente applicabile e se, in considerazione del loro ormai innegabile valore economico, possano essere trattati come res in patrimonio, piuttosto che come res extra commercium.

Del resto, in coerenza con quanto sostenuto dalla dottrina statunitense39, si potrebbe identificare il diritto alla protezione dei dati personali come il riconoscimento della possibilità di esercitare un controllo

37 _{Article 29 Data Prot. Working Party, “Guidelines on the right to data portability”, p. 9.} 38 _{Alcuni parametri per stabilire se un soggetto sia o meno identificabile possono dedursi} dall’art. 3 del Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, 31 luglio 2002, come modificato il 12 giugno 2014. Tra i vari fattori, si suggerisce di tener conto, ad esempio, delle risorse economiche; delle risorse di tempo; della presenza di archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione e di archivi, anche non nominativi, che forniscano ulteriori informazioni oltre a quelle oggetto di comunicazione o diffusione.

39 _{Cfr. L. L}

AMBO, La disciplina del trattamento dei dati personali: profili esegetici e

comparatistici delle definizioni, in R. PARDOLESI (a cura di), Diritto alla riservatezza e

18

sui propri dati, ossia «l'esercizio di un dominio su di essi tale da evitare che

terzi possano compiere qualsiasi operazione in mancanza del proprio consenso, a meno che ciò non sia consentito da una norma di legge»40_.

Si tratterebbe dunque di un diritto «ben diverso dal diritto alla

riservatezza, nel senso che non protegge la segretezza della persona, evitando la rappresentazione esterna indesiderata, bensì tutela l'identità dell'individuo nel caso di raccolta di informazioni sulla sua persona, consentendogli di disporre dei dati che lo riguardano, a prescindere dalla natura privata o meno di essi»41_.

Ci si deve allora chiedere se sui dati anonimi o asseriti tali, l’interessato possa vantare comunque questo diverso diritto, quali siano le eventuali caratteristiche dello stesso, con particolare riguardo alla possibilità di disporne contrattualmente e trarne profitto.

40 _{F. B}

ALDUCCI ROMANO, La protezione dei dati personali nell'unione europea tra libertà di

circolazione e diritti fondamentali dell'uomo, in Riv. it. dir. pubb. com., 2015, 6, p. 1626. 41 _{F. B}

ALDUCCI ROMANO, La protezione dei dati personali nell'unione europea tra libertà di

19

3. L’ipotesi del regime proprietario sui dati personali

3.1. Il valore economico dei dati

Come accennato, non è certo un mistero che i dati immessi dagli utenti nei dispositivi, nei siti internet o nelle applicazioni rappresentino un arricchimento, sia indiretto che diretto, per il titolare del trattamento. Diretto, nel momento in cui incrementano il valore di avviamento dell’impresa, con profitto del titolare che decida di cederli o di concedere una licenza di trattamento onerosa ad un responsabile del trattamento da esso distinto, ovvero che ceda l’intera attività imprenditoriale42_{; indiretto in quanto i dati}

risultano strumentali ad attività connesse a scopi quali il profiling del soggetto, a loro volta finalizzate al marketing o ad altra attività di natura statistica.

Di conseguenza, si è evidenziato come «le attività concernenti il

trattamento dei dati si pongono a cavallo tra due settori, poiché foraggiano indirettamente la pubblicità sulle piattaforme e aumentano il patrimonio complessivo dell'impresa stessa»43_.

Siffatte considerazioni trovano immediato riscontro sia sul piano economico che su quello giuridico, specialmente comunitario. Sotto un primo profilo, come evidenziato in un recente report realizzato per la Commissione europea, il mercato europeo di prodotti e servizi digitali connessi ai dati è stato stimato in euro 54,351 milioni nel 2015 ed in euro 59,539 milioni in 2016, con una crescita del 9,5% in un solo anno44_.

42 _{Cfr. A. M}

ANTELERO, Attività di impresa in Internet e tutela della persona, Cedam, Padova, 2004, pp. 152 ss.. Sul punto, cfr. anche F. MORANDO - R. IEMMA - E. RAITERI, Privacy

evaluation: what empirical research on users' valuation of personal data tells us, in Int. Pol'y Rev., 2, 2014.

43 _{Cfr. G. G}

IANNONE CODIGLIONE, Libertà d'impresa, concorrenza e neutralità della rete nel

mercato transnazionale dei dati personali, in Dir. inf., 2015, 4-5, p. 912.

44 _{The European Data Market Study: Final Report, 2 maggio 2017, reperibile al link:} http://www.datalandscape.eu/. Con il termine “data market” lo studio intende riferirsi ad un

20

Peraltro, simile rilevanza è stata riconosciuta da più di un operatore giuridico. In particolare, l’Autorità Garante per la concorrenza ed il mercato, in ossequio a quanto già statuito dalla Commissione europea45_{, ha}

espressamente affermato la rilevanza economica dei dati personali degli utenti di WhatsApp che quest’ultima intendeva trasferire a Facebook in virtù di una transazione privata.

Il Garante, nel sanzionare WhatsApp per aver tenuto una condotta aggressiva nei confronti dei propri utenti, impedendo la formazione del loro libero consenso circa la condivisione di alcuni dati con Facebook, ha espressamente riconosciuto la rilevanza economica di tali informazioni personali, considerandoli come “controprestazione non pecuniaria” rispetto al servizio ricevuto dall’utente.

Lo stesso Garante italiano, nel trattare un caso più risalente, aveva peraltro già configurato “l'obbligo in capo al destinatario di tollerare l'invio

per posta elettronica di messaggi pubblicitari, “profilati” sulla base del proprio utilizzo della rete via Internet […] come una vera e propria prestazione passiva” idonea ad escludere la millantata gratuità del servizio di

accesso ad internet proposto da Infostrada s.p.a..

Dunque, nelle ipotesi in cui il consenso al trattamento sia condizione necessaria per accedere ad un determinato sevizio online, quest’ultimo non potrebbe più dirsi gratuito. Si tratterebbe, piuttosto, di una gratuità «interessata»46 _{o «mascherata»}47_{, estranea al concetto di liberalità}48_.

ambito più ampio rispetto al solo mercato dei Big data, includendo anche il valore creato, più in generale, dalle ricerche connesse con i dati.

45 _{Caso n. COMP/M.7217 – FACEBOOK/WHATSAPP, 3 ottobre 2014.} 46 _{Cfr. F. A}

STONE, Il rapporto tra gestore e singolo utente: questioni generali, in AIDA, 2011, pp. 102 ss..

47 _{Cfr. S. SICA – G. GIANNONE CODIGLIONE, Social network sites e il «labirinto» delle} responsabilità, in Giur. merito, fasc.12, 2012, 12, pp. 2717 ss..

48 _{La più recente dottrina ha proposto, per l’ipotesi di asserita gratuità, ma di effettiva onerosità} della prestazione in ragione della cessione di dati personali e dell’autorizzazione al loro trattamento, di verificare se il comportamento del professionista abbia caratteri idonei a concretizzare fattispecie previste nella direttiva 2005/29/CE sulle pratiche commerciali scorrette e nelle relative disposizioni nazionali di attuazione. Cfr. A. DE FRANCESCHI, La

21

Del resto, in dottrina si esclude che l'assenza di un sacrificio economico immediato coincida necessariamente con lo spirito di liberalità e si ammette, anzi, che possa essere «perfino interno ad una logica dello scambio

patrimoniale che domina tutta la materia dei rapporti sociali ed economici nel sistema dei codici civili»49_.

In questo senso, si rimanda all’ormai consolidato orientamento della Commissione europea volto a riconoscere che «[i] dati personali, le

preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto e vengono venduti a terzi»50_.

Simile posizione ha trovato collocazione, proprio per mano della Commissione europea, nella proposta di direttiva concernente la fornitura di contenuti digitali, la quale, pur rinviando integralmente alla direttiva 95/46/CE del Parlamento europeo e del Consiglio (rinvio oggi da intendersi come riferito al Regolamento UE 2016/679), nonché alla direttiva 2002/58/CE, per quanto attiene al trattamento dei dati personali, all’art. 3 estende il suo campo di applicazione «ai contratti in cui il fornitore fornisce

contenuto digitale al consumatore, o si impegna a farlo, e in cambio del quale il consumatore corrisponde un prezzo oppure fornisce attivamente una controprestazione non pecuniaria sotto forma di dati personali o di qualsiasi altro dato»51_.

Tra i propositi della Proposta di direttiva è di particolare interesse, ai nostri fini, l’intento di stabilire un’omogeneità di disciplina circa i contratti di fornitura dei contenuti digitali ai quali corrisponda il pagamento di un

circolazione dei dati personali: la complessa relazione tra privacy e contratto, Edizioni

Scientifiche italiane, 2017, pp. 101 ss..

49 _{Cfr. A. GALASSO, Proposte di sintesi, in A. GALASSO -S.MAZZARESE (a cura di), Il principio} di gratuità, Giuffrè, Milano, 2008, p. 496.

50 _{Commissione europea, “Orientamenti per l’attuazione/applicazione della direttiva} 2005/29/CE relativa alle pratiche commerciali sleali”, Bruxelles, 25 maggio 2016 p. 28. 51 _{Art. 3, comma 1, Proposta di direttiva della Commissione europea e del Consiglio relativa a} determinati aspetti dei contratti di fornitura a contenuto digitale, 9 dicembre 2015, COM (2015) 634, 2015/0287.

22

prezzo in denaro e quelli in cui l’accesso digitale sia concesso in cambio della legittimazione al trattamento di dati personali o altri dati52.

Come efficacemente osservato, la proposta di direttiva «si connota per

un approccio dichiaratamente realistico»53_{. Difatti, non si trascura}

l'evoluzione dei rapporti di mercato e lo straordinario valore che i dati personali hanno assunto nel contesto dell'economia dell'informazione.

In particolare, la proposta muove dalla constatazione che, in presenza di ampie e varie porzioni di mercato, la logica della gratuità ha una profonda razionalità economica: «non è certo per spirito di liberalità o per

disinteressata generosità che molti servizi, che pure hanno un costo economico, sono offerti for free; la realtà è invece che essi sono remunerati adeguatamente — sebbene in maniera alquanto opaca — attraverso il flusso dei dati personali connesso alla singola transizione o alla serie di transazioni rese possibili dall'attivazione del servizio»54_.

Di qui l'esigenza di sottoporre tali rapporti alla normativa posta a tutela del consumatore. Il primo comma dell’art. 3 stabilisce infatti che la direttiva sarebbe applicabile ai «contratti in cui il fornitore fornisce contenuto digitale

al consumatore, o si impegna a farlo, e in cambio del quale il consumatore corrisponde un prezzo oppure fornisce attivamente una controprestazione non pecuniaria sotto forma di dati personali o di qualsiasi altro dato».

Il ragionamento di policy sotteso a tale norma è esplicitato nel considerando n. 13 della proposta, secondo il quale «nell'economia digitale,

gli operatori del mercato tendono spesso e sempre più a considerare le

52 _{Cfr. considerando n. 13 della Proposta 2015/0287, il quale spiega che “introdurre una} differenziazione a seconda della natura della controprestazione significherebbe discriminare alcuni modelli commerciali e incoraggerebbe in modo ingiustificato le imprese ad orientarsi verso l'offerta di contenuti digitali contro la messa a disposizione di dati. Vanno garantite condizioni di parità eque. Inoltre, è possibile che una cattiva prestazione del contenuto digitale fornito in cambio di una controprestazione non pecuniaria abbia ripercussioni sugli interessi economici dei consumatori”.

53 _{G. R}

ESTA - V. ZENO-ZENCOVICH, Volontà e consenso nella fruizione dei servizi in rete, in

Riv. trim. dir. proc. civ., 2018, 2, p. 417. 54 _{G. R}

ESTA - V. ZENO-ZENCOVICH, Volontà e consenso nella fruizione dei servizi in rete, cit., p. 417.

23

informazioni sulle persone fisiche beni di valore comparabile al denaro. I contenuti digitali sono spesso forniti non a fronte di un corrispettivo in denaro ma di una controprestazione non pecuniaria, vale a dire consentendo l'accesso a dati personali o altri dati. Tali specifici modelli commerciali si applicano in diverse forme in una parte considerevole del mercato. Introdurre una differenziazione a seconda della natura della controprestazione significherebbe discriminare alcuni modelli commerciali e incoraggerebbe in modo ingiustificato le imprese ad orientarsi verso l'offerta di contenuti digitali contro la messa a disposizione di dati. Vanno garantite condizioni di parità eque».

Il considerando n. 14 precisa, tuttavia, che la direttiva non è applicabile alle ipotesi in cui il consumatore non abbia «attivamente fornito i dati

personali», escludendo, dunque, tutte quelle circostanze in cui il

professionista sia entrato in possesso dei dati a prescindere da un comportamento attivo del soggetto, per esempio mediante Cookies, e ne tragga il relativo profitto.

In particolare, nella medesima sede, si considera che «Per quanto

riguarda la fornitura di contenuto digitale non in cambio del pagamento di un prezzo ma di una controprestazione non pecuniaria, la presente direttiva dovrebbe applicarsi solo ai contratti in cui il fornitore richiede dati, quali il nome e l'indirizzo e-mail o foto e il consumatore glieli fornisce attivamente, in modo diretto o indiretto, ad esempio attraverso una procedura di registrazione individuale o sulla base di un contratto che consente l'accesso alle fotografie dei consumatori. La presente direttiva non dovrebbe applicarsi alle situazioni in cui il fornitore raccoglie i dati necessari affinché il contenuto digitale funzioni in conformità al contratto, ad esempio la localizzazione geografica se tale dato è necessario per il corretto funzionamento di un'applicazione mobile, o al solo scopo di soddisfare obblighi di legge, ad esempio nei casi in cui la registrazione del consumatore è obbligatoria ai fini di sicurezza e di identificazione. La presente direttiva

24

non dovrebbe nemmeno applicarsi a situazioni in cui il fornitore raccoglie le informazioni, compresi i dati personali, quali l'indirizzo IP, o altre informazioni generate automaticamente, ad esempio le informazioni raccolte e trasmesse mediante un cookie, senza che il consumatore le fornisca attivamente, anche se accetta il cookie».

Dal punto di vista dell’osservatore giuridico non è dato comprendere le ragioni della distinzione, del resto ampiamente criticata in dottrina55_.

La proposta, infatti, «introduce due categorie artificiose, che da un lato

scolorano nella prassi operativa dando vita ad ibridi difficilmente catalogabili: ad es. quando un consumatore «scarica» sul proprio smartphone una app o un ebook gratuito, sta ponendo in essere intenzionalmente un comportamento positivo, ma non è chiaro se è consapevole di fornire automaticamente dati e metadati connessi alla procedura di accesso al servizio»56_.

Ebbene, seppur con esiti incerti e, dunque, criticabili, si potrebbe forse ritenere che anche simile limitazione sia da ricondurre all’intento di circoscrivere il campo di applicazione della direttiva ai soli casi in cui tra le parti si instauri un vero e proprio assetto contrattuale.

Peraltro, non può prescindersi dall’autolimitazione che la proposta di direttiva opera rispetto al proprio campo di applicazione.

L’art. 3, ai commi 8 e 9, infatti, precisa che la direttiva «non pregiudica

la tutela delle persone fisiche con riguardo al trattamento dei dati personali»

e «le disposizioni normative generali nazionali in materia contrattuale, quali

le norme sulla formazione, validità o efficacia del contratto, comprese le conseguenze della risoluzione del contratto, nella misura in cui gli aspetti in questione non sono disciplinati dalla presente direttiva».

55 _{G. RESTA - V. ZENO-ZENCOVICH, op. cit., p. 418. Critica la scelta di limitare in tal senso} l’ambito di applicazione della direttiva anche A. DE FRANCESCHI, La circolazione dei dati

personali, cit., p. 81, secondo il quale, “qualora il consumatore si limiti semplicemente ad accettare il prelievo dei propri dati mediante i cd. Cookies, si può a mio avviso affermare che egli stia fornendo «attivamente» dati personali”.

56 _{G. R}

25

Del resto, la dottrina ha ravvisato già da tempo la possibilità di ricondurre il rapporto bilaterale così ingeneratosi alla categoria civilistica classica dei contratti a prestazioni corrispettive57_{, quali quelli di scambio o}58_,

soprattutto con riferimento ai contratti di accesso ad internet, ai contratti di appalto o di somministrazione di servizi59_.

Chiaramente, prima di interrogarsi circa la natura dello scambio tra l’utente ed il prestatore del servizio, è necessario chiarire se, ed in che misura, il primo possa disporre dei propri dati personali in ottica proprietaria, soprattutto alla luce degli specifici requisiti di validità del consenso individuati nel nuovo Regolamento 2016/679 ed approfonditi nella documentazione emessa dal Working Party 29, requisiti tra i quali assume particolare rilievo la gratuità e, dunque, la libertà da qualsivoglia condizionamento.

Si tratta cioè di stabilire se il consenso al trattamento dei dati personali sia un atto di disposizione ammesso nel nostro ordinamento e quali limiti ponga la normativa speciale a simili facoltà.

È sin d’ora opportuno, a riguardo, dare conto del cauto atteggiamento del Garante europeo per la protezione dei dati (European Data Protection

Supervisor), il quale, in relazione alla summenzionata proposta di direttiva

ha Bevidenziato che «un aspetto problematico, dal momento che sarà

applicabile alle situazioni in cui per i contenuti digitali viene corrisposto un prezzo, ma anche quando un contenuto digitale viene fornito a fronte di una

57 _{V. Z}

ENO-ZENCOVICH, Una lettura comparativa della L. 675/96, in V. CUFFARO, V. RICCIUTO,V.ZENO-ZENOVICH (a cura di), Trattamento dei dati e tutela della persona, Giuffrè, Milano, 1998, p. 170.

58 _{Cfr. A. D}

E FRANCESCHI, La circolazione dei dati personali, cit., pp. 75 ss., il quale suggerisce una configurazione in termini di contratto di compravendita con controprestazione atipica avente ad oggetto l’autorizzazione al trattamento dei dati personali.

59 _{Cfr. S. CERRATO, I rapporti contrattuali (anche associativi) tra i soggetti del social network,} in AIDA, 2011, pp. 189 – 191; L. ALBERTINI, I contratti di accesso ad internet, in Giust. civ., 1997, pp. 105 ss.; G. DE NOVA, I contratti per l'accesso ad internet, in AIDA, 1996, p. 40. Cfr.

anche S. F., BONETTI, La tutela dei consumatori nei contratti gratuiti di accesso ad internet: i

contratti dei consumatori e la privacy tra fattispecie giuridiche e modelli contrattuali italiani e statunitensi, in Dir. inf., 2002, 6, pp. 1087 ss..

26

controprestazione non pecuniaria sotto forma di dati personali o di qualsiasi altro dato. Il GEPD mette in guardia contro nuove disposizioni che introducono il concetto che le persone possono pagare con i propri dati, nello stesso modo in cui pagano in denaro. I diritti fondamentali, come il diritto alla protezione dei dati personali, non possono essere ridotti a semplici interessi dei consumatori e i dati personali non possono essere considerati una mera merce»60_.

3.2. Il dato personale come bene giuridico oggetto di un diritto di proprietà

L’indagine concernente la possibilità di rendere i propri dati personali oggetto di un contratto sinallagmatico deve necessariamente muovere dalla configurabilità di un diritto di proprietà dell’interessato sui propri dati personali, talché gli permetta di disporne contrattualmente, si dirà poi entro quali limiti.

Secondo alcuni Autori, il diritto del titolare a subordinare il trattamento dei dati personali al proprio consenso, “evidenzia una struttura proprietaria

in senso civilisticamente atecnico”, trattandosi di uno ius escludendi alios

dall’utilizzazione61_{. Secondo questa prima ricostruzione, più che di un diritto}

reale insistente su un bene, si tratterebbe di un diritto negativo assimilabile ai diritti di proprietà intellettuale.

Ed invero, è difficile ravvisare un senso nella costruzione di un modello proprietario che non implichi anche la possibilità di alienarne l’oggetto62_{. Se infatti la ratio fondante l’opzione per il modello dominicale}

60 _{EDPS, Opinion on the Proposal for a Directive on certain aspects concerning contracts for} the supply of digital content, n. 4/2017 - Sintesi del parere sulla proposta di direttiva relativa a

determinati aspetti dei contratti di fornitura di contenuto digitale, 23 giugno 2017, p. 1. 61 _{Cfr. A. OTTOLIA, Proprietà intellettuale e trattamento dei dati personali: riflessioni su} privacy “per il sistema” e “nel sistema”, in AIDA, 2010, p. 325.

62 _{Chiaro, in tal senso, il ragionamento di J. L}

ITMAN, Information Privacy/Information

Property, in 52 Stan. L. Rev., (2000), p. 1296, «It would be unnecessary to treat an interest as property in order merely to protect it from invasion. Such protection is the traditional province

27

fosse unicamente ravvisabile nell’esigenza di proteggere i dati personali dalle indebite inferenze altrui, parrebbe più confacente quel modello di tutela proprio dei diritti fondamentali della persona, quali appunto il diritto alla riservatezza e alla tutela dell’identità personale63_.

Questo, ovviamente, se l’unico profilo di rilevanza giuridica dell’uso dell’informazione consti nel pregiudizio che dal suo sfruttamento l’interessato potrebbe ricevere64_{. Al contrario, qualora l’interesse del}

soggetto a cui i dati si riferiscono coincida piuttosto con una circolazione, sì controllata, ma pur remunerata, degli stessi, la creazione di un vero e proprio dominio cedibile sarebbe da riconsiderare.

Del resto, la dottrina più critica nei confronti della «reificazione» del dato personale collega l’osteggiato fenomeno esclusivamente all’esigenza di conferire un riconoscimento giuridico autonomo al mercato delle informazioni65_.

Simile esigenza, tuttavia, emerge con crescente prepotenza nella prassi, tanto che lo stesso Regolamento 2016/679, al considerando n. 6, dà atto di come la tecnologia abbia trasformato l’economia e le relazioni sociali «e dovrebbe facilitare ancora di più la libera circolazione dei dati personali

all'interno dell'Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello

of tort law […] We deem something property in order to facilitate its transfer. If we don’t intend the item to be transferred, then we needn’t treat it as property at all. If we do intend to encourage its sale, a property model does the job admirably. Thus, we have resorted to the property model for intangible interests when we want to make it easy to sell them. Intellectual property is the paradigmatic example».

63 _{Cfr. A.D}

I MAJO, Il trattamento dei dati personali tra diritto sostanziale e modelli di tutela, in V.CUFFARO,V.RICCIUTO,V.ZENO-ZENOVICH (a cura di), cit., pp. 225 ss.. L’Autore illustra vantaggi e profili critici dell’adozione del modello dominicale, piuttosto che quello di tutela o quello di ispirazione tedesca della “legge di protezione”, giungendo alla conclusione che il modello individuato dalla l. 675/1996 persegue lo scopo di realizzare “un bilanciamento di

interessi che possono trovarsi a collidere”, in cui i “diritti della persona non sono oggetto immediato del modello di tutela”, ma “forniscono piuttosto i criteri o i parametri alla cui stregua va effettuato il bilanciamento di interessi”.

64 _A.D

I MAJO, Il trattamento dei dati personali tra diritto sostanziale e modelli di tutela, cit.,

p. 241. 65 _{A. F}

ICI –E.PELLECCHIA, Il consenso al trattamento, in R. PARDOLESI (a cura di), Diritto alla

28

di protezione dei dati personali». L’atteggiamento del legislatore europeo,

dunque, mira a garantire, allo stesso tempo, la protezione dei dati personali e la loro libera circolazione.

L’art. 1, par. 3, inoltre, prevede che «La libera circolazione dei dati

personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali».

Una presa di posizione così netta è stata criticata e ridimensionata dalla più attenta dottrina, secondo la quale saremmo di fronte ad un «errore

di impostazione metodologica», in quanto «il legislatore europeo, forse mosso dall’idea di far prevalere in senso gerarchico la libera circolazione dei dati sul diritto alla protezione dei dati dell’interessato, ha esordito con una disposizione che può essere facilmente letta in uno con quanto dichiarato nel considerando n. 4 del reg. cit. – ove si afferma che il diritto alla protezione dei dati personali non costituisce una prerogativa assoluta che può andare incontro a limitazioni – e, ancora, con quanto previsto dall’art. 52, par. 1, della Carta – là dove si reclama l’intervento del legislatore europeo per limitare la portata di un diritto fondamentale, nel contemperamento con altri diritti e libertà»66_.

Con riguardo al profilo circolatorio del dato personale sul mercato, è interessante far cenno alle considerazioni di quella parte della dottrina statunitense che ha prospettato per i dati personali un regime analogo a quello dell’Intellectual Property67_.

66 _{F. B}

RAVO, Il “diritto” a trattare i dati personali nello svolgimento dell’attività economica, Cedam, Padova, 2018, p. 209.

67 _{D’altro canto, gli stessi Autori nordamericani hanno evidenziato che la dottrina europea è} ben lontana dal considerare i dati personali come merce suscettibile di appropriazione. Cfr. V. MAYER – SCHÖNBERGER, Beyond Privacy, beyond Rights - Toward a Systems. Theory of

Information Governance, 98 Cal. L. Rev., p. 1862, (2010). Disponibile al sito:

http://scholarship.law.berkeley.edu/californialawreview/vol98/iss6/4: “Whether such common

ground between intellectual property and information privacy can be achieved rests on propertization, and thus ultimately on the concept of property as the mechanism of choice to govern these types of information. Propertization will fail where information privacy is based on theoretical foundations other than property. This is the case in continental Europe. In

29

Si è infatti sostenuto che un approccio basato sui diritti di proprietà intellettuale consentirebbe agli interessati di negoziare con i gestori dei servizi digitali in merito alle condizioni di utilizzo dei dati loro ceduti a titolo oneroso e, d’altra parte, costringerebbe le imprese ad internalizzare una percentuale più elevata dei costi sociali del trattamento dei dati personali68_.

Tuttavia, si è al contempo evidenziato che, in considerazione dell’essenzialità dell’interesse alla circolazione dell’oggetto nei regimi proprietari, garantire la libera alienabilità del diritto al trattamento dei dati personali sarebbe più un ostacolo che uno strumento di tutela rispetto alla riservatezza del singolo69.

Dal punto di vista gius-economico, l’accento si è posto principalmente sullo squilibrato potere contrattuale che caratterizzerebbe un’eventuale compravendita di dati personali, soprattutto in considerazione del possibile consolidarsi di un’offerta di condizioni tendenzialmente sfavorevoli per l’interessato, il quale, come singolo, non ha certo una forza contrattuale assimilabile a quella della sua controparte70.

A ciò si aggiunga la tendenziale inerzia dei consumatori di fronte ad una forte e pervasiva limitazione della libera scelta. In quest’ottica, ammettere una “vendita” del dato personale anche in quelle ipotesi in cui oggi è gratuitamente concesso, sortirebbe il paradossale esito di

contrast to the situation in the United States, information privacy in Europe is seen as a fundamental right and accordingly afforded continent wide as well as national constitutional protection”.

68 _{Così P.S}

AMUELSON, Privacy as intellectual property, Stanford Law Review, 2 Nov. 2000, disponibile al sito: https://ssrn.com/abstract=239412.

69 _P.S

AMUELSON, Privacy as intellectual property, Stanford Law Review, cit., pp. 225 ss.. Analoghi ammonimenti sono espressi da P. M. SCHWARTZ, Property, Privacy, and Personal

Data, Harv. L. Rev., (2004), p. 2077. A.L. ALLEN, Coercing Privacy, 40 WM. & MARY L.

REV. 723, (1999), pp. 750 ss.; S. K. SANDEEN, Relative Privacy: What Privacy Advocates Can

Learn From Trade Secret Law, 2006, MICH. ST. L. REV. 667; J. E. COHEN, Examined Lives:

Informational Privacy and the Subject as Object, 52 Stan. L. Rev. 1373, pp. 1423 ss., (2000);

M.A.LEMLEY, Private Property: A Comment on Professor Samuelson’s Contribution, 52 Stan.

L. Rev., (2000), pp. 1545-1551 ss.; M. ROTENBERG, Fair Information Practices and the

Architecture of Privacy (What Larry Doesn’t Get), Stan. Tech. l. Rev. 1, (2001), pp. 92–97. 70 _{P. M. S}