Punti di contatto tra GDPR, Codice Privacy e diritto dei consumatori

Introduzione

La rapida crescita della tecnologia e la globalizzazione dei mercati hanno posto diverse sfide alla tutela dei diritti dei consumatori e cittadini, con particolare riguardo al fatto che le imprese stanno raccogliendo, memorizzando e condividendo informazioni sui consumatori come mai prima di ora. Le entità commerciali dovrebbero utilizzare le informazioni condivise dai consumatori per innovare e fornire prodotti e servizi migliori ai consumatori, ma non dovrebbero farlo a spese della protezione dei dati dei consumatori medesimi.

Nelle dinamiche di mercato, pertanto, la centralità dello sfruttamento dei dati si traduce in un'interazione sempre più marcata tra il Regolamento (UE) n. 679/2016 (“RGPD”) e la normativa consumeristica. Perciò, la violazione delle norme del GDPR rileva nel valutare la slealtà di una pratica commerciale ai sensi del d.lgs. n. 206/2005 (“Codice del Consumo”).

Tuttavia, la relazione tra la normativa sulla protezione dei consumatori e quella sulla protezione dei dati risulta complessa e problematica. Infatti, sebbene vi siano significative analogie in termini di fonti, strumenti e finalità, vi sono anche differenze. La principale di esse risiede nel fatto che, mentre la normativa sulla protezione dei consumatori può essere vista come una semplice soglia minima nel perseguire un livello sufficientemente elevato di protezione dei consumatori, la normativa sulla protezione dei dati - a causa delle sue duplici finalità chiaramente articolate di proteggere le persone in relazione al trattamento dei dati personali e assecondare la libera circolazione di tali dati - stabilisce sia una soglia minima che una soglia massima di tutela.

Il ruolo centrale dell’informazione del consumatore e dell’interessato

La persona fisica che agisce come consumatore e al contempo è interessato dal trattamento dei suoi dati personali ha il diritto di ricevere da parte del professionista un’informazione chiara, semplice e completa al riguardo.

Da un lato, il Codice del Consumo stabilisce che sicurezza, composizione e qualità dei prodotti e dei servizi costituiscono contenuto essenziale degli obblighi informativi e che le informazioni al consumatore devono essere adeguate alla tecnica di comunicazione impiegata ed espresse in modo chiaro e comprensibile.

Dall’altro, il combinato disposto degli artt. 12-15 GDPR evidenzia il costante diritto dell’interessato a ricevere un’informativa sul trattamento dei dati personali realizzato dal titolare del trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

I big data tra concorrenza e protezione dei dati personali

Studi economici hanno rilevato che le norme e i regolamenti disciplinanti la raccolta e l’accesso ai dati dei consumatori potrebbero avere, in parallelo, un impatto anche sulla dimensione economica delle imprese e sulla concorrenza. In particolare, le norme volte ad aumentare la tutela dei dati personali potrebbero avere l’effetto perverso di favorire le big tech e ridurre la concorrenza, laddove i costi di conformità in cui incorrono indistintamente tutte le imprese, siano esse grandi o piccole, siano elevati. Inoltre, altre disposizioni, quali ad esempio il diritto alla portabilità dei dati, pensato appositamente per favorire la concorrenza e ridurre gli effetti di lock-in degli utenti, potrebbero non sortire l’effetto desiderato, ove i costi di attuazione siano elevati e il caso d'uso per i consumatori sia limitato.

Le tutele in materia di protezione dei dati personali contenute nel codice del consumo

Dal primo gennaio 2022 sono in vigore delle norme aggiunte al Codice del Consumo dal d.lgs. n. 173/2021 nel Capo I-bis, intitolato “Dei contratti di fornitura di contenuto digitale e di servizi digitali”.

La riforma introduce rimedi contrattuali a vantaggio del consumatore per difetti di conformità del prodotto o del servizio al contratto, inclusi i casi in cui essi riguardino la sfera della protezione dei dati.

In particolare, il nuovo art. 135-octies.4, lett. c) del Codice del Consumo prevede che le disposizioni del Capo I-bis sui contratti di fornitura di contenuto digitale e servizi digitali si applicano anche se il professionista fornisce o si obbliga a fornire un contenuto o servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati al professionista.

Il fenomeno della patrimonializzazione dei dati personali

I dati raccolti in sede di erogazione dei servizi digitali per scopi di marketing o profilazione dell’utente contribuiscono al fenomeno di patrimonializzazione dei dati, in virtù della loro assimilazione al corrispettivo nel rapporto di scambio posto in essere dalle parti. Pertanto, ci si chiede se possa o meno configurarsi un mercato dei dati.

In dottrina, le posizioni si sono polarizzate secondo due modelli contrapposti.

Da una parte, vi è il modello personalistico, per cui è inammissibile l’idea che la persona possa esercitare un diritto di proprietà sui propri dati e ne possa disporre liberamente.

Dall’altra, vi è il modello proprietario, secondo cui tutto è rimesso a una scelta economica di mercato e dunque la questione si sposta sulla necessità di porre la persona nelle migliori condizioni per potere scegliere, in termini di libertà e consapevolezza.

Il caso Facebook

Nel 2018, l’Autorità Garante della Concorrenza e del Mercato (“AGCM”) ha sanzionato Facebook per due pratiche commerciali scorrette, realizzate violando il Codice del Consumo. In primo luogo, secondo l’AGCM, Facebook avrebbe posto in essere una pratica ingannevole, vietata dagli artt. 21 e 22 del Codice del Consumo, adottando una carente informativa nella fase di prima registrazione dell’utente nella piattaforma. Quanto alla seconda condotta accertata, l’AGCM ha rilevato che Facebook avrebbe posto in essere una pratica aggressiva, vietata dagli artt. 24 e 25 del Codice del Consumo, nei confronti degli utenti registrati, i cui dati sarebbero stati trasmessi dalla piattaforma social ai siti Internet e alle applicazioni di terzi e viceversa senza preventivo consenso espresso dell’interessato, per finalità di profilazione e commerciali.

Il doppio binario di tutela

La doppia prospettiva della tutela del mercato e del diritto alla protezione dei dati fa emergere la natura ambivalente delle informazioni personali, considerate ora come bene economico, ora come oggetto di un diritto fondamentale. Trattasi di un’ambivalenza presente nella stessa normativa in materia di protezione dei dati, posta a presidio sia della libera circolazione dei dati, sia della tutela degli interessati.

Tale ambivalenza può portare a esiti contraddittori. Da un lato la normativa in materia di protezione dei dati limita la raccolta dei dati e la possibilità di subordinare l’accesso a un bene o servizio alla prestazione del consenso al trattamento. Dall’altro, invece, la normativa consumeristica tende a riconoscere nella misura più ampia possibile il nesso sinallagmatico instaurato tra servizi e dati personali per tutelare la trasparenza delle operazioni di mercato.

Il valore dei dati nella European Data Strategy

Data l’importanza dei dati nell’odierna società, l’Unione europea (“UE”) ha tracciato una strategia per promuovere e gestire il valore che può essere prodotto tramite gli stessi. La Commissione europea ha pertanto pubblicato, nel febbraio 2020, la Strategia europea in materia di dati, per assicurare la disponibilità e la condivisione di quest’ultimi nell’UE e favorirne l’utilizzo.

L’intento è realizzare uno spazio unico europeo dei dati, facilitando un accesso diffuso a dati di alta qualità per stimolare la crescita e creare valore. Per fare ciò, la strategia individua – tra l’altro - quale criticità su cui l’UE deve intervenire affinché possa esprimere appieno il proprio potenziale di utilizzo dei dati, la presenza di situazioni di squilibrio in termini di potere di mercato, derivanti da un’asimmetrica capacità di accesso e utilizzo dei dati da parte di determinati soggetti, che così sono in grado di acquisire e mantenere una posizione dominante in uno specifico settore.

In conclusione

La protezione dei dati personali e i connessi diritti dei consumatori sono oggetto di sempre maggiore attenzione in tutto il mondo, poiché sempre più consumatori si affidano ai servizi offerti dall'economia digitale. I diritti dei consumatori in materia di dati possono includere i diritti fondamentali di cui al GDPR, nonché le norme che controllano il modo in cui i consumatori acconsentono a condividere i loro dati con le imprese. Le questioni relative alla protezione dei dati e consumeristiche s’intersecano perciò in diverse aree.

Da questo punto di vista, si è sempre discusso delle sovrapposizioni e delle funzioni complementari della normativa sulla protezione dei dati e di quella sulla protezione dei consumatori. Tuttavia, sebbene la maggior parte di queste discussioni sia rimasta a un livello piuttosto astratto, le recenti innovazioni legislative e giurisprudenziali sono indicative di uno spostamento più pratico verso una protezione allineata. Infatti, le agende politiche sulla protezione dei dati e dei consumatori condividono un terreno comune e lo stesso considerando 42 del GDPR contiene un riferimento specifico alla disciplina consumeristica unionale sulle clausole contrattuali abusive.

Del resto, l’economia digitale e dei dati si caratterizza per l’impiego pervasivo delle tecnologie informatiche e delle comunicazioni e l’attività altrettanto diffusa di trattamento dei dati che queste tecnologie generano. Riguardo a quest’ultimo aspetto, Internet ha cambiato i caratteri della pubblicità commerciale, rendendola individuale, e perciò i dati hanno assunto un valore economico de facto, integrando un’utilità per i gruppi presenti sul versante pubblicitario tale da assicurare una remunerazione dei fornitori dei servizi della società dell’informazione.

La funzione d’intermediazione dei dati personali nel processo di generazione dei ricavi dei fornitori trova nel consenso degli interessati un limite che gli stessi tentano di oltrepassare tramite strategie di condizionamento. Sotto questo aspetto, le esperienze della rete riportano condotte fondate su meccanismi di forzatura di tale manifestazione di volontà. Tali meccanismi sono valutabili ai sensi del GDPR, con particolare riguardo ai profili della libertà e specificità del consenso al trattamento dei dati personali, ma presentano anche caratteri rilevanti per la disciplina delle pratiche commerciali scorrette.

Riferimenti

Acquisti A., Taylor C. e Wagman L., (2016), The Economics of Privacy, in Journal of Economic Literature, vol. 54, iss. 2

Akshay, Consumer Protection Data Privacy Rules: Need of the Hour, in Anthology on “Law and Privacy”

Casalini, Data economy, privacy e diritto del consumo, in Diritto del Risparmio, 1/2022

Crea, Profili antitrust del consenso non libero al trattamento di dati personali, in Bolognini (a cura di), Privacy e libero mercato digitale, Giuffrè Francis Lefebvre, Milano, 2021

Cremona, Laviola e Paganelli (a cura di), Il valore economico dei dati personali tra diritto pubblico e diritto privato

Fulco, Codice del consumo, le nuove tutele privacy del 2022, in agendadigitale.eu

Gobbato, Big data e “tutele convergenti” tra concorrenza, GDPR e Codice del consumo, in astrid-online.it

González, Van Brakel e De Hert (a cura di), Research Handbook on Privacy and Data Protection Law

Marino, Il rapporto tra privacy e tutela dei consumatori: norme, giurisprudenza e casi recenti, in agendadigitale.eu

Pica, I dati personali dell’interessato consumatore tra GDPR e Codice del Consumo, in riskmanagement360.it

Svantesson, Enter the quagmire – The complicated relationship between data protection law and consumer protection law, in Computer Law & Security Review, vol. 34, iss. 1

Thobani, Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente, in MediaLaws, 11/19

Zuiderveen Borgesius, Helberger e Reyna, The perfect match? A closer look at the relationship between EU consumer law and data protection law, in Common Market Law Review, vol. 54, iss. 5