Intervista alla Prof.ssa Avv. Claudia Irti: Consenso “negoziato” e circolazione dei dati personali

11 Febbraio 2022
Redazione DIMT

In occasione della pubblicazione “Consenso “negoziato” e circolazione dei dati personali“, la redazione di DIMT ha intervistato la Prof.ssa Avv. Claudia Irti, avvocato civilista e professore Associato di Diritto Privato presso il Dipartimento di Economia di Ca’ Foscari, Università di Venezia.

Prof.ssa Avv. Claudia Irti

L’uso diffuso di device elettronici per i servizi telematici o per le utilities, come ad esempio applicazioni basilari del telefono quali la torcia, espone ad un rischio: quello della raccolta, della elaborazione e dell’analisi dei dati personali che gli utenti rilasciano agli operatori economici per istallare sui propri device dette applicazioni. Molti dei servizi che possono sembrare gratuiti per l’utente sono, in realtà, forniti in cambio del rilascio del consenso al trattamento dei suoi dati personali per finalità di interesse economico dell’operatore (ad esempio l’utilizzo ai fini della profilazione commerciale). A Suo avviso, e in relazione alla Sua recente pubblicazione, qual è l’inquadramento per questo fenomeno? Come il giurista può e deve approcciarlo?

La diffusione di internet e di strumenti tecnologici di uso quotidiano che forniscono agli utenti svariate tipologie di prodotti o servizi digitali – giochi, informazioni, utilities – senza che sia necessario il pagamento di un prezzo pongono all’attenzione del giurista una nuova tipologia di “scambi” definiti in ambito europeo come “non-monetary transaction”. Tali scambi si caratterizzano per il fatto che l’accesso al servizio o prodotto digitale è consentito all’utente non in cambio di un corrispettivo in denaro, ma del suo rilascio del ‘consenso al trattamento’ dei dati personali che egli presta all’operatore al momento dell’accesso al servizio/prodotto e durante l’utilizzo dello stesso (c.d. tracciamento dell’utente). In molti casi solo dopo aver acconsentito al trattamento dei dati – mediante la spunta di una casella o il click su di un tasto virtuale – l’utente ha libero accesso al prodotto o servizio, che altrimenti non viene fornito o resta sottoposto ad alcune limitazioni. Nel mio lavoro di ricerca ho ritenuto di poter ricondurre detta operazione di “scambio” alla categoria del contratto, di modo da rendere operativa rispetto a tali scambi la disciplina contrattuale di matrice consumeristica che ha lo scopo di riequilibrare rapporti che – come quelli qui descritti – sono fondati su di una strutturale disparità di potere tra utente e operatore professionale.

Parlando di consenso informato, l’accettazione intesa come scambio, potrebbe spiegarci cosa comporta effettivamente e in cosa si traduce?

Il Regolamento europeo n. 679 del 2016 pone un generico divieto al trattamento dei dati personali degli interessati-utenti (salvo eccezioni legislativamente ivi previste); tale divieto può essere superato dall’operatore economico ottenendo il consenso dell’interessato – utente. Acconsentendo al trattamento dei propri dati personali per le finalità indicate dell’operatore economico (trattamento a fini di marketing diretto, ai fini della profilazione, etc.) l’utente autorizza il titolare del trattamento al data processing, permettendogli di “sfruttare” legalmente il valore economico che quei dati, solo ove trattati, sono effettivamente in grado di produrre. Nelle non-monetary transaction l’operatore, consapevole del fatto che il suo tornaconto è rappresentato proprio dalla possibilità di trattare i dati degli utenti, offre loro servizi o prodotti digitali senza chiedere alcun corrispettivo monetario, ma subordinando la fruizione degli stessi al rilascio del consenso al trattamento da parte dell’interessato. Così facendo si dimostra in grado di poter condizionare la volontà dell’utente – interessato che, sollecitato dall’idea di ricevere un servizio “gratuito”, è portato a rilasciare il consenso al trattamento dei suoi dati personali senza prestare attenzione a ciò che tale gesto comporta e alle conseguenze che potrebbe determinare sulla sua sfera personale.

Da un punto di vista socio-economico è impossibile negare l’esistenza di tali operazioni di scambio e l’interesse che gli utenti hanno nel porle in essere; dal punto di vista giuridico è necessario operarsi affinché non restino sottratte alla applicazione della specifica disciplina multilivello che il legislatore europeo ha apprestato per regolamentarle. Oltre al Regolamento n. 679 del 2016 questo tipo di transazioni, in quanto riconducibile alla categoria di scambi contrattuali, sono assoggettate alla disciplina della direttiva n. 770 del 2019 (relativa a determinati aspetti dei contratti di fornitura di contenuti e servizi digitali, recentemente recepita in Italia) e alla direttiva n. 2161 sempre del 2019 (c.d. direttiva omnibus); più in generale a tutta la disciplina di matrice consumeristica che il legislatore eurounitario sta in questi ultimi anni emanando per far fronte alle incalzanti esigenze di tutela di quei consumatori che, sempre più numerosi, accedono al mercato digitale ‘scambiando’ il consenso al trattamento dei propri dati personali con servizi e prodotti digitali.

Rispetto all’interazione tra diritto e tecnica, ritiene davvero possibile da parte dell’utente esprimere un consenso informato e consapevole?

Nell’ambiente cibernetico le dichiarazioni degli utenti sono sostituite da attività e gesti: tasti virtuali, ‘spunta’ di caselle, se non addirittura la mera prosecuzione dell’attività di navigazione a fronte di un semplice messaggio di avvertimento, tutti considerati sufficienti a rivelare la volontà dell’individuo.

Quel che è necessario rilevare – mi sembra – è che la peculiarità all’uso della tecnologia per la realizzazione degli scambi on line non si riduce nella constatazione che la manifestazione di volontà atta a vincolare l’utente sia ‘racchiusa’ nel gesto materiale a ciò preordinato secondo la volontà del fornitore, ma risiede, ancor più, nella indiscussa riconosciuta capacità degli strumenti informatici di influire sul processo di formazione, prima che di esternalizzazione, della volontà dell’utente; di sollecitare o dissuadere, in base al design utilizzato dalla piattaforma e/o dal sito, l’azione, il gesto che conduce alla transazione.

A valle di questa constatazione, quello che sostengo nel mio lavoro è che debba essere l’operatore economico, colui che vuole ottenere il rilascio del consenso dell’interessato al trattamento dei suoi dati, a fare in modo che l’utente sia informato e consapevole di cosa comporta quel “gesto”. Il fatto che il consenso sia rilasciato attraverso una interfaccia predisposta dall’operatore economico attribuisce al “predisponente” un enorme potere di influenza sull’utente, un potere che deve essere controbilanciato dall’attribuzione di specifici limiti e corrispondenti responsabilità, nonché dalla possibilità riservata agli utenti -consumatori di agire, anche contrattualmente, contro l’operatore che non li rispetti.

È dunque l’operatore economico a dover predisporre una interfaccia “rispettosa” della normativa privacy, a dover fare in modo che il consenso dell’interessato che rende lecito il trattamento dei suoi dati da parte dell’operatore economico si concretizzi in una manifestazione di volontà libera, specifica, informata e inequivocabile (art. 4 par.1, n. 11 del Regolamento). Rientra tra i suoi obblighi (contrattuali) quello di dotarsi di una strumentazione tecnica e di adottare un design progettuale che siano in grado di garantire la realizzazione di uno scambio rispettoso del quadro normativo in materia di protezione dei dati, chiamato a operare in funzione conformativa della intera operazione economica. Ragion per cui è indispensabile riconoscere al consumatore il diritto di azionare i rimedi contrattuali specifici anche nel caso in cui le modalità in cui avviene lo scambio tra fornitura del contenuto o del servizio digitale e il rilascio del consenso al trattamento non siano ‘conformi’ alle prescrizioni in tema di tutela dei dati personali.

In relazione alle recenti linee guida pubblicate dal GPDP, a Suo avviso quanto incidono le modalità di presentazione della comunicazione relativa alla privacy di un sito per agevolarne la comprensione degli utenti e, conseguentemente, garantire la tutela dei loro diritti?

Le più recenti linee guida rilasciate dal Garante Privacy riguardano l’utilizzo dei cookie e di altri strumenti di tracciamento, dispositivi che raccolgono i dati dell’utente grazie all’uso di tecnologie di identificazione che sfruttano l’apparecchiatura terminale dell’utente-consumatore.

Un primo pregio di queste nuove linee guida risiede nell’aver individuato nel consenso dell’interessato l’unica base giuridica che legittima l’utilizzo dei dati raccolti mediante l’utilizzo di suddetti ‘dispositivi’, non essendo più possibile per l’operatore economico ricorrere al “legittimo interesse”. Le linee guida si occupano poi di fornire dettagliate indicazioni sulle modalità con cui deve essere predisposta l’informativa privacy destinata agli interessati, distinguendo tra cookie tecnici, per l’uso dei quali non è richiesto il consenso dell’interessato, e cookie di profilazione o altri strumenti di tracciamento, per l’utilizzo dei quali è invece necessario il consenso dell’interessato. Qualora l’operatore economico intenda utilizzare cookie diversi da quelli tecnici, dovrà utilizzare un design progettuale del c.d. cookies banner che osservi tutte le indicazioni dettagliatamente fornite dalle linee guida (alle quali si rinvia) ivi compresa la necessità di prendere “ogni più opportuno accorgimento affinché le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistite o configurazioni particolari, in linea con quanto previso dalla legge 9 gennaio 2004, n. 4”.

Per quel che più ha interessato il mio lavoro di ricerca, mi sembra opportuno rilevare come le linee guida si soffermino su di alcune specifiche pratiche di raccolta del consenso, quali lo “scrolling” e i “cookie wall” per segnalarne l’illegittimità. Il semplice “scroll down” del cursore di pagina – la mera prosecuzione dell’attività di navigazione – è ritenuto inadatto alla raccolta di un consenso all’installazione di strumenti di tracciamento che possa considerarsi rispettoso della normativa a tutela dei dati personali. Pratica alla quale è ritenuto legittimo ricorrere, tuttalpiù, solo se inserita in un processo più articolato che consenta all’utente di manifestare una scelta inequivocabile e consapevole rispetto al trattamento dei cookie, una scelta che sia registrabile e documentabile.

Quanto ai “cookie wall”, meccanismo che consiste nel prevedere l’obbligo senza alternativa per l’utente di prestare un consenso alla ricezione dei cookie per poter accedere al sito, le linee guida ne confermano l’illiceità con la sola eccezione – da verificare di volta in volta – del caso in cui il titolare sia in grado di dimostrare che l’utente abbia la possibilità di accedere comunque ad un contenuto o servizio equivalente senza dover prestare il consenso all’installazione di cookie o altri strumenti di tracciamento.

Nel complesso queste linee guida sembrano muovere nella direzione auspicata anche nel mio lavoro di ricerca, ovvero di addossare all’operatore economico l’onere di apprestare “sistemi di raccolta” dei dati che garantiscano all’utente una scelta libera e consapevole, scevra da indebiti condizionamenti.

Se solo la tecnologia adottata per garantire l’accesso al servizio e al prodotto può mettere l’utente/interessato nelle condizioni di compiere le sue scelte in piena consapevolezza e al riparo da indebite pressioni, dal punto di vista giuridico solo il ricostruire una concatenazione di obblighi e responsabilità a cavallo tra la normativa a tutela della autodeterminazione economica e quella a tutela della autodeterminazione informativa, può avere l’effetto di sortire l’implementazione di tecnologie atte a garantire la tutela della privacy dell’interessato-consumatore (le c.d. Privacy Enhancing Technologies (PETs),) rendendo effettivo quel principio che vuole il diritto, una volta fissati gli obiettivi di tutela, essere in grado di influenzare lo sviluppo della tecnica nella direzione voluta.

Intervista alla Prof.ssa Avv. Claudia Irti: Consenso “negoziato” e circolazione dei dati personali

Redazione DIMT

Ultimi articoli

Intervista al Prof. Antonio Cassatella. La discrezionalità amministrativa nell’età digitale: più dati, meno scelte?

Conferme e novità del ddl IA secondo la Prof.ssa Finocchiaro

Partenariato digitale UE-Giappone: cooperazione per una trasformazione digitale condivisa

Analisi e regolamentazione dei mercati dell’accesso alla rete fissa di TIM per il periodo 2024-2028: una visione coordinata

Prossimi eventi

Salute Globale e Cooperazione sanitaria internazionale

Software come dispositivi medici. Dialogo tra intelligenza artificiale e diritto

Private Autonomy of Online Platforms and the Legitimate Interests of Users under the EU Digital Services Act

Premio Dona: partecipa al Premio di laurea 2024

Condividi