Intervista alla Dott.ssa Marina Federico. Tutela collettiva e vulnerabilità digitale: tra protezione dei dati e diritti fondamentali nell’ecosistema europeo

Marina Federico è ricercatrice post-doc (titolare di contratto di ricerca) presso il Dipartimento di Studi Economici e Giuridici dell’Università di Napoli “Parthenope” e docente a contratto presso l’Università “Ca’ Foscari” di Venezia, dove ha conseguito con lode il dottorato di ricerca in “Diritto, mercato e persona”. Durante la sua formazione, ha trascorso diversi periodi di studio e ricerca all’estero. Vincitrice di una borsa di studio Fulbright e Resident Fellow presso l’Information Society Project Center della Yale law school (New Haven, Stati Uniti), ha rivestito la posizione di visitor presso la Digital Policies Unit del servizio ricerca del Parlamento europeo (Bruxelles) e di visiting researcher presso il Max Planck Institute for Comparative and International Private Law (Amburgo).

È autrice del volume Protezione dei dati personali e tutela collettiva. Itinerari di comparazione tra Europa e Stati Uniti (Giappichelli, 2024) e di numerosi contributi in materia di diritto privato europeo e comparato. Ha partecipato a conferenze nazionali e internazionali e collabora con riviste scientifiche. Recentemente ha tenuto un training sul Digital Services Act presso la Commissione europea.

 

 

la Dott.ssa Marina Federico

 

 

Dott.ssa Federico, il progetto PRIN sulla vulnerabilità digitale muove dall’idea che il trattamento dei dati personali si intrecci oggi con forme strutturali di fragilità sociale ed economica. In che misura ritiene che il diritto debba evolversi per dare risposta a queste nuove vulnerabilità digitali?

Il progetto PRIN (“Digital vulnerability. An intergenerational path between personal rights and market relations”, PRIN_2022) si propone di considerare le diverse forme di vulnerabilità – non solo socioeconomica, ma anche intergenerazionale – delle persone fisiche e delle imprese, nel mercato digitale.

In particolare, la mia ricerca, culminata nel lavoro monografico: “Protezione dei dati personali e tutela collettiva. Itinerari di comparazione tra Europa e Stati Uniti”, è stata rivolta ad indagare sulla sussistenza di un apparato rimediale adeguato a garantire l’effettività della tutela dei consumatori in tale contesto.

Di fronte al rapido sviluppo delle nuove tecnologie, le persone, in specie se vulnerabili, appaiono prive degli strumenti per fronteggiare la situazione di asimmetria – economica, di potere contrattuale, etc. – in cui si trovano, soprattutto nei confronti dei principali attori del mercato online e, in particolare, delle piattaforme. Il diritto deve certamente favorire l’innovazione e la libera circolazione dei dati, ma comunque assicurare la tutela dei diritti fondamentali degli individui.

A tal fine, la tecnica normativa adottata dal legislatore europeo dovrebbe, oggi, essere “tecnologicamente neutrale”, in modo da stare al passo dell’innovazione. Per salvaguardare la persona nell’infosfera, andrebbe anche sviluppata una nozione europea di “vulnerabilità” che si estenda oltre quella strettamente consumeristica. Certamente, è essenziale anche la prevenzione dei rischi, di portata non più soltanto individuale, ma realmente sistemica, ai diritti e interessi fondamentali delle persone. Tuttavia, un approccio basato solo sulla prevenzione non è sufficiente, e rischia di lasciare vuoti di tutela. In questo senso, è essenziale il potenziamento del private enforcement e della prospettiva rimediale, in una prospettiva di diritto europeo. La duttilità dei rimedi può contribuire ad assicurare la tutela della persona di fronte a tecniche digitali che, per loro natura, sfuggono alle maglie della regolazione.

 

Lei ha sottolineato come l’attuale architettura europea di tutela, fondata sul consenso individuale, sia spesso inadeguata a fronte delle asimmetrie tra piattaforme digitali e utenti. Quali strumenti collettivi possono meglio rappresentare soggetti esposti a fragilità generazionali o socioeconomiche?

A mio avviso, la tutela processuale collettiva, intesa come insieme di strumenti giustiziali collettivi inibitori e risarcitori, può rivelarsi fondamentale. Non solo il requisito del consenso individuale viene spesso “aggirato” ma, anche quando è regolarmente prestato, finisce per non concretizzarsi in un’effettiva manifestazione di volontà dell’interessato. Nell’era del capitalismo informazionale, appare infatti quantomeno legittimo interrogarsi se sia davvero la volontà individuale a poter salvaguardare la persona e la sua dignità.

In questo senso, occorre non solo apprestare regole rivolte alla data governance, ma anche completare i diritti soggettivi attribuiti agli interessati, ai consumatori e, in generale, ai soggetti “vulnerabili”, con gli strumenti processuali.

Da un lato, la tutela collettiva inibitoria può evitare che si verifichino danni dalla portata “massiva”, incoraggiando anche soggetti diversi da quelli coinvolti in giudizio all’adozione di buone pratiche, assicurando l’effettività delle norme giuridiche. Dall’altro, anche la tutela risarcitoria dischiude importanti opportunità. Questa consente di aggregare small claims e garantisce ai soggetti deboli un effettivo accesso alla giustizia. Per tutela risarcitoria, possiamo far riferimento sia ai rimedi volti ad ottenere il risarcimento del danno “in senso stretto”, sia in senso, per così dire, lato, agli strumenti processuali collettivi con cui possa richiedere non solo il risarcimento del danno, ma anche la restituzione di profitti illecitamente percepiti, o il ripristino dei pregiudizi subiti. Le posizioni giuridiche dei soggetti deboli i cui diritti si trovino ad essere violati da parte di pochi, grandi players hanno spesso, infatti, carattere di serialità. Si pensi ad una pluralità di consumatori che usufruisce dei servizi di una piattaforma, accettandone i termini d’uso, le cui prerogative (i.e. il diritto di accesso ai dati) non vengano rispettate. Peraltro, è essenziale anche l’integrazione tra strumenti processuali collettivi strettamente consumeristici, ed eventuali strumenti processuali collettivi nazionali di portata “generalista”; nonché tra gli strumenti processuali in senso stretto e i metodi di risoluzione alternativa delle controversie.

 

La protezione dei dati personali sembra ormai travalicare la dimensione della riservatezza, investendo direttamente dinamiche di disuguaglianza nell’accesso al mercato e nella fruizione di servizi. Come si può declinare, in chiave collettiva, un’effettiva tutela dei diritti fondamentali nell’ambiente digitale? 

Occorre distinguere, principalmente, due piani. A livello processuale, l’effettiva tutela dei diritti fondamentali può avvenire proprio mediante strumenti quali le azioni di gruppo (rappresentative, di classe, collettive) risarcitorie e inibitorie. Nella sede del processo, infatti, tali istanze possono trovare forma ed essere messe in luce, da un lato come diritti individuali seriali, ma anche e soprattutto, come interessi sopraindividuali (collettivi e diffusi), di gruppi di soggetti e della società, ad un trattamento dei dati lecito, corretto e trasparente, essenziale per la tenuta del sistema democratico.

Sul piano, invece, del diritto sostanziale, appare sempre più importante assicurare un’effettiva governance dei dati, personali e non; spingersi, quindi, oltre l’idea del “controllo” dei singoli sulle informazioni che li riguardano. Ciò può verificarsi, ad esempio, attraverso i “servizi di intermediazione” nel trattamento dei dati, di cui fa menzione il Data Governance Act, che affiancano al controllo individuale la gestione collettiva dei dati stessi. Tali servizi infatti sono preposti ad agire nell’interesse “superiore” dei titolari dei dati e facilitarli nell’esercizio dei propri diritti. Una prospettiva, quindi, collettiva e relazionale, in cui il singolo è considerato parte integrante di gruppi definiti dalle tecniche digitali stesse in maniera inedita.

Non è difficile immaginare un certo numero di interessati azionare in via collettiva, dentro e fuori il processo, i propri diritti, quali l’oblio, la rettifica, l’opposizione a trattamenti automatizzati. In presenza di pratiche di sorveglianza o discriminatorie, oltre alle lesioni alla sfera individuale dei singoli, si genera, in questi casi, un danno sociale, che la dimensione meramente “individualistica e volontaristica” del consenso e del rimedio contrattuale e aquiliano inteso in senso tradizionale non è in grado di contrastare.

 

Guardando al modello statunitense di privacy litigation, dove le class actions si sono consolidate anche nel settore dei data breach, crede sia possibile un’armonizzazione con i meccanismi europei? Quali adattamenti sarebbero necessari per renderli efficaci nel nostro ordinamento?

Non si tratta tanto di “armonizzazione”, trattandosi di sistemi giuridici assolutamente diversi, che però possono comunque “imparare” l’uno dall’altro, quanto di guardare al sistema statunitense per riflettere sull’ordinamento europeo, e viceversa. Ciò è particolarmente necessario in un contesto, come quello attuale, in cui i data breaches, come, in generale, le violazioni dei diritti degli individui, avvengono in maniera transfrontaliera e su scala globale.

Una class action “US style”, naturalmente, difficilmente può dirsi compatibile con il nostro sistema di civil law. Alcuni dei suoi tratti, come la pre-trial discovery, il ruolo “manageriale” del giudice, le regole sulle spese di lite e sulle contingency fees, il finanziamento delle liti e il sistema dell’opt-out, e altri di diritto “latente”, quali il ruolo del ceto forense e il funzionamento pratico del sistema delle corti, nonché le differenze culturali tra i due ordinamenti, rischiano di rendere la class action statunitense un “legal irritant” nel nostro sistema giuridico.

D’altra parte, però, è possibile immaginare una tutela collettiva adatta ai sistemi europei. A ben guardare, vi sono già delle basi giuridiche per impiegare le azioni di gruppo sia nel settore dei data breaches, che nel caso di altre condotte illecite dirette verso gli interessati/consumatori, relative al trattamento dei loro dati. Anzitutto, mi riferisco all’art. 80 del GDPR, dedicato alla rappresentanza degli interessati, che consente a determinati enti, dotati delle caratteristiche legislative, di far dedurre in giudizio le istanze degli interessati, con o senza mandato.  Quest’ultimo può essere implementato negli ordinamenti nazionali attraverso norme specifiche, o tramite le normative generali sui procedimenti collettivi. Oltre all’articolo 80 GDPR, disponiamo anche della normativa di derivazione europea sulle azioni rappresentative a tutela degli interessi collettivi dei consumatori (la Dir. UE/2020/1828), che include il Regolamento sulla protezione dei dati personali tra gli atti normativi per cui essa può essere esperita. Considerato che la qualifica di consumatore e quella di interessato molto spesso coincidono, l’azione rappresentativa consumeristica può, in questi casi, rivelarsi fondamentale.

Nell’ordinamento italiano in particolare, le normative principali sui procedimenti collettivi sono l’azione rappresentativa del codice del consumo (artt. 140 ter ss.), che attua la Direttiva europea, e la normativa sui procedimenti collettivi, di cui agli artt. 840 bis ss. c.p.c. Queste presentano alcuni connotati che le distinguono dalla class action statunitense (ad esempio, in punto di finanziamento delle liti, di compenso premiale, o di estensione degli effetti del giudicato), volti a renderle compatibili con il nostro sistema. Per renderle effettive occorre però, soprattutto, un cambiamento “culturale”, e superare lo scetticismo che da sempre circonda le azioni di gruppo nei contesti di civil law. Essenziale è anche riflettere sui procedimenti collettivi transfrontalieri; non soltanto tra gli Stati europei, ma anche tra Europa e Stati Uniti, soprattutto considerato l’ampio ambito di applicazione degli atti europei “digitali”.

 

Il contesto regolativo europeo è sempre più attraversato da nuove normative digitali (come il Digital Services Act e il Digital Markets Act). Ritiene che questi strumenti offrano nuove possibilità di tutela collettiva, anche in relazione a soggetti digitalmente vulnerabili? E come potrebbero interagire con il GDPR?

Ritengo di sì. Dal Digital Markets Act (DMA) è espressamente richiamata la Direttiva europea sulle azioni rappresentative. Ciò è particolarmente interessante; la Direttiva, infatti, non si occupa del danno ai consumatori derivato da violazioni di diritto delle concorrenza ma, poiché include il DMA, ciò consente di far valere in via aggregata il danno antitrust quantomeno nel contesto digitale.

La tutela collettiva sembra ancor più rilevante per il Digital Services Act (DSA). Non solo il DSA richiama la direttiva sulle azioni rappresentative consumeristiche, ma prevede anche un’ulteriore azione rappresentativa, da poter esperire per far valere “un interesse legittimo a garantire che sia rispettato il Regolamento”, secondo uno schema simile a quello dell’art. 80 GDPR.

Le interazioni tra il GDPR e gli atti appena menzionati sono numerose. Si pensi, per quanto riguarda il DMA, alle previsioni su portabilità dei dati, trasparenza, informazioni precontrattuali e raccolta dei dati a fini commerciali; per quanto riguarda il DSA, alle previsioni sulle violazioni dei termini d’uso delle piattaforme, sulla tutela dei minori online, sui dark patterns, sulla prevenzione dei rischi sistemici. Ciò è significativo nell’ottica di costruire un sistema integrale ed integrato di tutele del consumatore digitale, in cui diritto della concorrenza, dei consumi e dei dati si rafforzino a vicenda.