La Corte di Giustizia dell'Unione Europea ha annullato la decisione della Commissione Europea del 2019…
Piattaforme digitali e dati. Intervista al Prof. Riccardo Omodei Salè
Il Prof. Riccardo Omodei Salè è professore associato di Diritto privato presso il Dipartimento di Scienze Giuridiche dell’Università di Verona. Si occupa di Diritto privato in generale, nel cui ambito coltiva, in particolare, i seguenti settori: obbligazioni e contratti, responsabilità civile, diritti reali, successioni “mortis causa”. Oggetto di specifico interesse sono, altresì, il Diritto privato europeo e la comparazione giuridica.
Nel 2015 ha vinto il Premio “Ladislao Mittner” in Giurisprudenza conferito dal “Deutscher Akademischer Austausch Dienst” (DAAD) e finanziato dal Ministero Federale Tedesco per l’Istruzione e la Ricerca (BMBF). Sempre nel 2015 è stato insignito del titolo di “Huésped de Honor” dalla Universidad Nacional de Còrdoba (Argentina) – Faculdad de Derecho y Ciencias Sociales.
Il Prof. Riccardo Omodei Salè
Potrebbe brevemente illustrare il tema di ricerca curato dall’unità locale dell’Università di Verona, da Lei coordinata, nell’ambito del PRIN 2020 intitolato “E-AGORÀ – Online Platform Contracts”?
Il tema di ricerca di cui intende occuparsi l’unità locale dell’Università di Verona è quello relativo ai dati nell’ambito delle piattaforme digitali.
È, infatti, noto come le piattaforme raccolgano e trattino una enorme quantità di dati degli utenti (c.d. “Big Data”). Tali dati, singolarmente considerati, non hanno di regola un particolare valore, che viene, peraltro, dai medesimi acquistato proprio in seguito alla loro aggregazione e rielaborazione, che ne consente il successivo utilizzo per le più varie finalità commerciali (es. profilazione dei clienti, personalizzazione di prodotti e servizi, pubblicità mirata, etc.). Sennonché, chi entra in possesso dei dati personali penetra nelle nostre menti, condiziona le nostre scelte, addirittura prevede i nostri comportamenti, e tutto ciò pone evidentemente una fondamentale questione di tutela dell’individuo.
L’ambito delle piattaforme costituisce, pertanto, un osservatorio privilegiato da cui considerare non solo l’avvenuta evoluzione del concetto di privacy dall’originario diritto alla riservatezza (inteso come right to be let alone) all’attuale diritto alla protezione dei dati personali, ma anche la tensione oggigiorno esistente tra l’esigenza, da un lato, di garantire la tutela dei dati personali, e la necessità, dall’altro lato, di assicurare la libera circolazione degli stessi, nell’ottica della costituzione e del rafforzamento di un mercato unico digitale.
Questa dialettica tra persona e mercato si trova, d’altronde, enunciata pure nell’art. 1 del GDPR, e dovrebbe complessivamente caratterizzare l’intera ricerca condotta nell’ambito del PRIN 2020 (di cui è capofila l’Università di Napoli “Parthenope”), progetto che è stato, infatti, significativamente sottotitolato “Economic efficiency and rights’protection of service users”.
Come si inquadrano giuridicamente i dati personali, e come si caratterizzano, in generale, i dati nel contesto delle piattaforme digitali?
Volendo brevemente inquadrare, da un punto di vista giuridico, i dati personali, mi sembra non sia possibile ritenere che gli stessi siano oggetto di un diritto di stampo proprietario, trattandosi, piuttosto, di un diritto fondamentale della persona, nonostante che i dati personali siano, come accennato, suscettibili di circolazione, e così oggetto anche di un’attività economica, riconosciuta e tutelata dallo stesso legislatore europeo.
Nel contesto delle piattaforme e dello scenario Big Data, la tradizionale distinzione tra dati personali (ossia riferibili ad una persona fisica identificata o identificabile) e dati non personali (ovvero non direttamente associabili ad una persona fisica) tende, tuttavia, a diventare piuttosto evanescente, in quanto anche i dati non personali possono essere talmente numerosi e arricchiti di metadati, da condurre comunque all’identificazione della persona fisica cui si riferiscono, e finire, così, per diventare, a loro volta, dati personali.
Si tratta, pertanto, di capire quale esito potrà avere una simile evoluzione: secondo alcuni, infatti, la circostanza appena rilevata potrebbe comportare che un insieme di regole di protezione complesso e gravoso come quello previsto dal GDPR, venendo a disciplinare una gamma sempre più ampia di situazioni, rischi di diventare, a lungo termine, non più sostenibile.
Con quali modalità trovano protezione i dati personali degli utenti immessi nelle piattaforme digitali?
La protezione dei dati personali è assicurata, anche nell’ambito delle piattaforme digitali, dagli strumenti di tutela del GDPR, e quindi si applicano, anche in tale contesto, i princìpi, i diritti, gli obblighi e le sanzioni ivi previsti.
Tra le forme di tutela dell’interessato si segnala, in particolare, quella per cui, qualora il trattamento dei dati personali non sia necessario per l’esecuzione del contratto (come sarebbe, ad esempio, il trattamento degli estremi della carta di credito per eseguire il pagamento online), ma venga effettuato per finalità ulteriori, pubblicitarie o di marketing (come tipicamente avviene, appunto, nelle piattaforme digitali), il trattamento medesimo richiede il consenso dell’interessato, che deve avere i requisiti previsti dal GDPR, il quale esige una «manifestazione di volontà libera, specifica, informata e inequivocabile» (cfr. art. 4, n. 11).
Uno dei principali problemi legati al consenso digitale è proprio quello della sua libertà ed effettività, problema dovuto al fatto che, tra il gestore della piattaforma e gli utenti della stessa, vi è un’asimmetria non solo contrattuale, ma anche tecnologica, in quanto le modalità con cui gli utenti rilasciano il consenso al trattamento dei dati sono, appunto, tecnicamente “veicolate” dal gestore della piattaforma.
Potenzialmente frutto di asimmetria contrattuale sono, ad esempio, le operazioni c.d. di tying, vale a dire quelle operazioni con cui l’offerta di una prestazione viene condizionata alla richiesta del consenso al trattamento dei dati personali per finalità non necessarie all’erogazione della prestazione. Di tali operazioni (viste con sospetto dallo stesso GDPR, che le considera come una della circostanze da tenere «nella massima considerazione» nel valutare la libertà del consenso: cfr. art. 7, 4° co.), si è di recente occupata anche la Corte di Cassazione, con la pronuncia n. 17278/2018, che ha ritenuto simili operazioni valide, purché la prestazione condizionata al rilascio del consenso al trattamento dei dati personali consista in un servizio fungibile e rinunciabile senza grave sacrificio per l’interessato.
Una manifestazione dell’asimmetria, viceversa, tecnologica sussistente tra i gestori delle piattaforme e i loro utenti è rappresentata dal frequente uso, da parte dei primi, dei c.d. “dark patterns”, ovvero elementi grafici fuorvianti che manipolano gli utenti, inducendoli ad effettuare scelte involontarie e potenzialmente dannose con riguardo al trattamento dei dati personali (si pensi, ad esempio, al pulsante di accettazione dei cookies impostato con un colore più evidente rispetto a quello di rifiuto del consenso). Allo scopo di tutelare la libertà del consenso anche a fronte di pratiche così insidiose come quella appena ricordata, il recente Digital Services Act vieta di utilizzare i “dark patterns” nelle interfacce delle piattaforme online.
Parlando di circolazione dei dati personali nelle piattaforme digitali, con quali modalità si può realizzare?
La circolazione dei dati personali nelle piattaforme digitali può realizzarsi, innanzi tutto, mediante lo scambio del consenso, da parte dell’utente, al trattamento dei dati personali in funzione di corrispettivo (non pecuniario) per un bene o un servizio fornito dal gestore della piattaforma.
In dottrina si discute circa l’ammissibilità di tale schema negoziale, ma il medesimo sembra essere, ormai, una inevitabile realtà, sostanzialmente confermata anche dalla Direttiva 2019/770/UE sulla fornitura di contenuti e servizi digitali (cfr. art. 3). Con la pronuncia poc’anzi ricordata, la Corte di Cassazione ha, peraltro, precisato a quali condizioni siffatto scambio di dati vs beni o servizi può essere considerato lecito, collocandosi nella prospettiva, che mi pare condivisibile, secondo cui l’ordinamento non vieta tale scambio, ma esige che il medesimo sia frutto di un consenso dell’interessato in alcun modo coartato.
I dati personali possono, inoltre, circolare in seguito all’esercizio, da parte dell’interessato, del diritto alla portabilità dei dati, consistente nella facoltà di trasferire i propri dati da un titolare del trattamento all’altro (cfr. art. 20 GDPR).
L’effettività del diritto alla portabilità dei dati dipende, tuttavia, dall’interoperabilità del formato dei dati, che, nel contesto del GDPR, è soltanto incoraggiata, senza che siano previsti vincoli o doveri coercibili in capo ai titolari del trattamento (cfr. considerando n. 68).
Il diritto alla portabilità dei dati risulta rafforzato nell’ambito del recente Data Act, una proposta di Regolamento presentata dalla Commissione Europea lo scorso 23 febbraio, che intende disciplinare l’accesso e l’utilizzo dei dati generati dai dispositivi connessi (es. elettrodomestici smart, assistenti vocali, etc.) e dai servizi a questi correlati. All’interno di questa nuova proposta di Regolamento, la portabilità viene, infatti, estesa anche ai dati non personali o che si riferiscono a persone giuridiche, e si prevede, inoltre, che l’utente possa richiedere che tali dati siano messi a disposizione dei soggetti terzi in maniera continuativa ed in tempo reale (cfr. art. 5). Tra i terzi beneficiari di un simile trasferimento di dati, non possono, però, figurare le piattaforme di grandi dimensioni (c.d. “gatekeeper”), in quanto il legislatore europeo ha ritenuto opportuno non consolidare ulteriormente la posizione di potere di cui già godono le Big Tech, per favorire, piuttosto, l’accesso a tali dati da parte di start-up e di PMI dei settori tradizionali (cfr. considerando n. 36).