Forniture di servizi digitali. Il pagamento con la prestazione dei dati personali? Intervista al Prof. Avv. Vincenzo Ricciuto

La redazione ha intervistato il Prof. Avv. Vincenzo Ricciuto, ordinario di Diritto Civile nell’Università degli Studi di Roma Tor Vergata, presso la Facoltà di Giurisprudenza ed avvocato Cassazionista (iscritto all’Ordine degli Avvocati di Roma), in merito all’evento organizzato dall’Università “Tor Vergata” di Roma, in collaborazione con “Gruppo24Ore”, del quale il Prof. Ricciuto curerà l’introduzione:

Forniture di servizi digitali. Il pagamento con la prestazione dei dati personali?

Con riferimento al provvedimento del Garante per la protezione dei dati personali del 6 maggio 2021, in merito al furto di dati dalla piattaforma social Facebook, potrebbe parlarci dell’impatto di una patrimonializzazione dei dati personali e di una loro contrattualizzazione? Quali sono i diritti che andrebbero tutelati maggiormente di fronte ad un’apertura sul mercato della vendita di dati sensibili?

L’avvertimento rivolto a Facebook dal Garante relativamente ad una possibile violazione dei dati trattati dal social network è esemplare, insieme a tanti altri provvedimenti che hanno avuto destinatari altri soggetti, di come la struttura normativa in tema di protezione dei dati personali sia complessa e operi su più fronti allorquando viene in considerazione la tutela dei diritti  e delle libertà delle persone fisiche che possono essere pregiudicati da un trattamento.

In particolare quell’avvertimento mette in luce non solo gli obblighi di gestione del rischio che, soprattutto nell’impianto del GDPR, gravano sul titolare del trattamento, ma altresì il ruolo della vigilanza dell’Autorità sul settore, che in tal caso si muove nell’indirizzare verso l’adozione di quelle misure che siano utili per mitigare o rimediare ai pregiudizi.

Ciò non toglie che ulteriori misure di tutela, anche della persona così come del suo patrimonio, possano essere rinvenute nello stesso diritto dei contratti, una volta che si accetti ed ipotizzi che questi ultimi possono avere ad oggetto diritti relativi al trattamento dei dati personali. Non parlerei, infatti, di vendita di dati, quanto piuttosto di contratti che attribuiscono diritti di trattamento in cambio di altre utilità. Ecco allora che ogniqualvolta che quel trattamento non sia svolto conformemente al perimetro del diritto riconosciuto ed attribuito ed entro il quale esso è lecito, potrebbero essere attivati non solo i tipici rimedi del diritto della protezione dei dati, ma anche quelli del diritto dei contratti e, qualora ne ricorra l’ipotesi, dei contratti dei consumatori. Di fronte all’ipotesi di una “vendita” di dati sensibili – cioè dati relativi alla salute, alle opinioni politiche, agli orientamenti sessuali, ecc.- occorre che una tale ipotesi di generale possibilità di attività negoziale venga verificata con grande attenzione proprio per la natura di tali particolari dati che, in ogni caso, ove se ne ammetta la possibilità, deve essere circoscritta solo a taluni di essi secondo quanto già prescritto dal GDPR.

A Suo avviso, una circolazione di dati personali regolamentata da strumenti contrattuali potrebbe essere un valido mezzo per diminuire di numero e di gravità i furti di dati sensibili?

Non credo che un potenziale vantaggio di una lettura patrimoniale del fenomeno, se così vogliamo dire, possa essere percepito in termini di diminuzione del numero e della gravità di furti di dati (e d’altra parte non necessariamente di dati sensibili). Sono, questi, aspetti che trovano soluzione in ambito di altre politiche e, non ultimo, in un contesto in cui l’evoluzione tecnologica gioca un ruolo determinante. Si può invece pensare che il contratto possa diventare uno strumento per prevedere tutele ulteriori rispetto a quelle legislative; se non addirittura consentire l’adozione da parte dei titolari di obblighi di assicurazione o simili per le ipotesi in cui i furti di dati si verifichino.  Parlo del contratto interessato-titolare. Ovviamente la galassia contrattuale che ruota attorno al più generale fenomeno del trattamento dei dati prevede una fitta trama di rapporti (contratti tra contitolari, tra titolare e responsabile) in cui il contratto assume un ruolo importante come fonte delle regole del rapporto e dei trattamenti. In definitiva, quindi, il problema in sé relativamente alla patrimonializzazione dei dati personali non è la verificabilità dei furti, quanto l’individuazione degli istituti che spostano questo rischio in capo al titolare del trattamento (e quindi si pensi al tema assicurativo).

Durante l’evento da Lei introdotto, Forniture di servizi digitali. Il pagamento con la prestazione dei dati personali? del 9 giugno 2021, verranno toccati alcuni macro-argomenti di estrema risonanza nell’attuale orizzonte di sviluppo digitale. Ne fanno da esempio alcuni come: la titolarità del dato personale o la configurabilità di un mercato dei dati sensibili. Potrebbe parlarci di come nasce questo evento e a quali esigenze vuole dare risposta?

L’occasione immediata dell’evento è la conclusione di una vicenda giudiziaria riguardante la condanna di Facebook per pratiche commerciali scorrette in ordine al fatto di aver presentato il proprio servizio come gratuito, omettendo di dar evidenza al valore economico dei dati personali degli utenti trattati. La vicenda ha dato concretezza a quella che era una ipotesi scientifica che avevo avanzato qualche tempo fa e che sin da quando, oltre vent’anni fa, avevo iniziato ad occuparmi della disciplina europea in materia di trattamento dei dati personali, ritenevo fosse un modo imprescindibile per leggere la novità rappresentata dalla disciplina europea in materia di protezione dei dati personali. Sono sempre stato convinto che quest’ultima non rappresentasse una semplice normativa a tutela della riservatezza delle persone. Il diritto alla riservatezza esiste ed è tutelato anche al di fuori della disciplina in materia di protezione dei dati personali. La direttiva 46 del 1995 e ora il GDPR hanno sempre avuto interesse a garantire non la riservatezza in sè dei dati personali, ma la loro circolazione regolata in forme tali da bilanciare il traffico dei dati con i diritti delle persone. E allora laddove vi è circolazione, almeno sotto l’ottica del giurista, non si può far finta che non vi sia contratto.