Premessa.
La profilazione online è un problema che ha origini nel passato e continua a rappresentare una sfida attuale.
Già nel provvedimento del Garante del 19 marzo 2015, si era cominciato a parlare del fenomeno della profilazione online.
Il Garante ha spiegato che le diverse funzionalità sul web , quali il motore di ricerca sul web, la posta elettronica, le mappe online, i servizi di social network, i servizi di gestione di pagamenti online, i negozi virtuali per l’acquisto di applicazioni, la musica, i film, i libri e le riviste, vengono offerti gratuitamente agli utenti finali, poiché le società che forniscono tali servizi spesso basano il loro modello di business sugli introiti derivanti dalla pubblicità.
Ciò che guida la strategia aziendale di Facebook, Google e altri attori dell’economia digitale è in parte uno scambio che non coinvolge denaro: vengono raccolti i dati personali dei consumatori in cambio della fornitura di servizi digitali. I consumatori non solo rinunciano ai loro dati (che a volte odiano), ma ottengono anche dei servizi che generalmente apprezzano.
Che cosa è successo? Una svolta senza precedenti
La nuova policy di Meta propone un abbonamento per continuare a stare sui suoi social senza essere profilati.
Meta ha dato agli utenti la possibilità di scegliere tra due opzioni: sottoscrivere un abbonamento mensile di 12,99 euro per evitare la pubblicità o continuare a utilizzare il social network con le stesse condizioni, previo consenso al marketing comportamentale.
Se verrà avallata dalle autorità, saremo di fronte ad uno scenario inedito in cui verrà esplicitato quello che già era una situazione di fatto: i dati personali diventeranno un metodo di pagamento alternativo al denaro
In Europa, il settore della tecnologia pubblicitaria sta attraversando un cambiamento significativo.
Meta si sta adattando alle esigenze dei Digital Service Act e ha introdotto in Europa una versione a pagamento di Facebook e Instagram senza pubblicità.
Meta Platforms ha annunciato che offrirà agli utenti in Europa un piano di abbonamento per utilizzare Facebook e Instagram senza pubblicità, in conformità con le normative dell’Unione Europea. I piani di abbonamento mensile avranno un costo di 9,99 euro per gli utenti web, mentre gli utenti iOS e Android dovranno pagare 12,99 euro al mese.
“Crediamo in un internet supportato dagli annunci, che dia alle persone l’accesso a prodotti e servizi personalizzati indipendentemente dal loro status economico. Inoltre, questo modello permette alle piccole imprese di raggiungere potenziali clienti, far crescere il proprio business e creare nuovi mercati, favorendo la crescita dell’economia europea. Come altre aziende, anche noi continueremo a sostenere la necessità di un internet ad-supported, anche con la nostra nuova offerta di abbonamento nell’UE, nel SEE e in Svizzera. Ma rispettiamo lo spirito e lo scopo di queste normative europee in evoluzione e ci impegniamo a rispettarle”, si legge nella nota ufficiale di Meta.
ATTENZIONE sarà ancora disponibile la versione gratuita con pubblicità.
Per coloro che scelgono di non abbonarsi, non ci saranno cambiamenti e potranno continuare ad utilizzare Facebook e Instagram con le pubblicità come sempre. Inoltre, avranno la possibilità di gestire gli annunci tramite le Preferenze annunci per controllare quali pubblicità vengono visualizzate sulle piattaforme.
Anche per un utente con un solo account su Facebook o Instagram, è possibile proteggere la propria privacy dal tracciamento e dalla profilazione di Meta.
Per fare ciò, è necessario pagare un costo annuale di circa 120 euro per l’utilizzo su web o poco più di 155 euro per l’utilizzo su dispositivi mobili.
La reazione della rete
«La protezione dei nostri dati ora si paga»; «la privacy è diventata un lusso»; «10 dollari è il costo per l’intimità e la libertà»; «il rispetto dei diritti non riguarda più i potenti, ma solo i poveri».
Commenti simili, apparsi di recente su Internet, dimostrano come la decisione radicale di Meta di offrire solo due opzioni per l’accesso alle piattaforme – pagare e non essere profilato, oppure non pagare e essere profilato per ricevere pubblicità personalizzata – abbia generato controversie non solo in Europa, ma in tutto il mondo.
Le ragioni principali dietro questo cambiamento sono la necessità di Meta di conformarsi alle normative europee che mirano a limitare la capacità delle aziende di utilizzare i dati personali per la pubblicità personalizzata. È probabile che altre aziende tecnologiche seguiranno l’esempio di Meta nei prossimi mesi, quando l’UE sposterà la propria attenzione su di loro.
La decisione della EDPB
Il consenso al marketing comportamentale, di fatto, è il corrispettivo per il servizio e per questa ragione veniva inteso come parte del contratto tra Meta e utente.
Tuttavia, questo metodo è stato considerato non conforme al GDPR in quanto assumeva implicitamente un consenso per le attività di marketing, che invece devono essere espresse, esplicite e informate.
Il Comitato europeo per la protezione dei dati (EDPB) ha emesso una decisione urgente e vincolante che proibisce a Meta di trattare i dati per la pubblicità comportamentale.
Nel dicembre 2022, l’European Data Protection Board (EDPB) ha emesso delle decisioni vincolanti che hanno chiarito che il contratto utilizzato da Meta non è considerato una base giuridica adeguata per il trattamento dei dati personali nell’ambito della pubblicità comportamentale.
Questa decisione rappresenta un importante cambiamento nell’approccio dell’adtech alla privacy e al consenso per la pubblicità personalizzata.
La decisione dell’EDPB riguarda gli utenti di Facebook e Instagram di Meta negli Stati membri dell’UE e nei paesi dello Spazio economico europeo.
Il divieto deriva da una richiesta dell’autorità norvegese per la protezione dei dati, Datatilsynet, di estendere un divieto provvisorio precedentemente emesso in Norvegia a tutta Europa.
La Commissione irlandese per la protezione dei dati, principale autorità di controllo di Meta nell’UE, ha notificato a Meta la decisione vincolante dell’EDPB il 31 ottobre.
Meta è stata multata per 390 milioni di euro all’inizio di quest’anno dal Garante irlandese per la privacy. La multa è stata imposta perché Meta non può utilizzare il cosiddetto “contratto” come base legale per inviare agli utenti annunci pubblicitari basati sulla loro attività online.
Le reazione di Meta
Prima della pubblicazione della decisione dell’EDPB, Meta ha annunciato il lancio di un nuovo modello di abbonamento per i servizi Facebook e Instagram nell’Unione Europea. Questo nuovo modello di abbonamento è stato ideato da Meta come una strategia per adeguarsi alle normative sulla privacy e mantenere un modello di business conforme alla pubblicità.
Questo modello, a parere di Meta, permetterà agli utenti di usufruire dei servizi senza pubblicità, in conformità al Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). Meta ha proposto un piano che offrirà agli utenti dell’UE la possibilità di scegliere di rinunciare alla pubblicità, culminando in un modello di abbonamento completamente privo di annunci pubblicitari.
L’inciso della sentenza della Corte di Giustizia Europea
La conformità del nuovo modello di abbonamento si basa su una decisione della Corte di giustizia dell’Unione europea riguardante la validità dell’affidamento di Meta sui contratti di utilizzo per l’elaborazione dei dati.
La Corte di giustizia dell’Unione europea ha emesso una sentenza che impone restrizioni alle aziende Big Tech riguardo alla raccolta e all’utilizzo dei dati degli utenti per scopi di microtargeting.
Secondo la sentenza, le aziende Big Tech non possono raccogliere dati sull’attività online degli utenti senza il loro consenso esplicito né utilizzare tali dati per fini di microtargeting basati sul proprio “legittimo interesse”.
Questa decisione è stata presa al fine di tutelare maggiormente la privacy degli utenti e garantire un controllo più rigoroso sulla gestione dei loro dati personali.
Secondo tale decisione, tuttavia, sarebbe consentito addebitare una “tariffa adeguata” per un servizio alternativo equivalente, nel caso in cui sia necessario, senza tracciabilità e profilazione.
Secondo Meta, quindi, la sentenza potrebbe offrire agli utenti “se necessario dietro un compenso adeguato” un’alternativa per accedere alle sue piattaforme senza raccogliere i loro dati per la pubblicità.
In verità la sentenza è un testo di quasi 20.000 parole. All’interno di questo testo, c’è una postilla di meno di 10 parole. Questo richiamo, infatti, sembra essere solo un’osservazione incidentale che dovrebbe essere valutata tenendo conto dell’intera esposizione e delle norme di diritto pertinenti.
La sentenza, infatti, ha stabilito che gli approcci di Meta per avere una “base giuridica” per il trattamento dei dati personali ai sensi dell’articolo 6 del GDPR sono illegali.
Come detto, tuttavia, nel paragrafo 150 si afferma che può essere prevista un’alternativa agli annunci, eventualmente a pagamento. Ecco che Meta, oggi, sta utilizzando queste poche parole della sentenza come base per introdurre una nuova tassa per gli utenti che non desiderano acconsentire all’utilizzo dei propri dati personali.
La replica di Schrems
Secondo l’attivista per la privacy Max Schrems,
“La Corte di Giustizia dell’Unione Europea ha stabilito che l’alternativa alla pubblicità deve essere ‘necessaria’ e la tariffa deve essere ‘adeguata’. Non credo che un costo di 160 euro all’anno sia ciò che avevano in mente. Questa affermazione costituisce anche un “obiter dictum”, un elemento non vincolante che va oltre il caso principale sottoposto alla Corte di Giustizia dell’Unione Europea. Per Meta, questa non rappresenta una giurisprudenza stabile e noi combatteremo chiaramente contro un approccio simile.”
I diritti fondamentali non dovrebbero essere messi in vendita. Si chiede se in futuro dovremo pagare anche per il diritto di voto o per la libertà di parola, poiché ciò significherebbe che solo le persone ricche potrebbero godere di tali diritti. Questo è particolarmente problematico in un momento in cui molte persone lottano per arrivare a fine mese.
L’introduzione di questa idea nel contesto del diritto alla protezione dei dati rappresenta un cambiamento significativo e noi, come NOYP, ci opporremo a questa proposta in tutti i tribunali.”
Il pensiero della commssione
Non è ancora chiaro se il piano soddisferà le autorità di vigilanza irlandesi e di altri paesi, così come la Commissione.
Tuttavia, le autorità per la protezione dei dati hanno già raggiunto un ampio consenso per consentire agli editori di richiedere agli utenti di pagare abbonamenti o di accettare di fornire i propri dati affinché gli annunci pubblicitari possano visualizzare i loro contenuti.
Pertanto, la lotta legale contro il tracciamento e la profilazione continua degli utenti da parte di Meta dipenderà da ciò che è considerato necessario e appropriato in questo contesto.
La Norvegia dice ancora no
La Norvegia non riconosce l’iniziativa di abbonamento di Meta come conforme al GDPR.
Secondo Tobias Judin, responsabile internazionale di Datatilsynet, ci sono preoccupazioni significative riguardo al meccanismo proposto da Meta per ottenere il consenso degli utenti. Judin di Datatilsynet ha affermato che valutare caso per caso se “pagare o ok” sia accettabile, e in questo specifico caso, non lo è.
Datatilsynet ritiene che la validità del consenso basato su “pagare o ok” debba essere valutata caso per caso. Tuttavia, a causa dello squilibrio di potere tra Meta e i suoi utenti, si dubita che i consensi siano ‘liberamente prestati’ come richiesto dal GDPR.
La principale preoccupazione della CGUE, come evidenziato nella sentenza del Bundeskartellamt, riguarda lo squilibrio di potere tra Meta e i suoi utenti. Pertanto, è dubbia la possibilità che i presunti consensi saranno ‘liberamente prestati’ come richiesto dal GDPR.
Il modello proposto da Meta solleva questioni giuridiche significative, poiché potrebbe non essere compatibile con l’attuale sistema dei diritti e la normativa sul trattamento dei dati personali.
Il DPC irlandese sta attualmente valutando il nuovo approccio al consenso di Meta. Greet Gysen, responsabile dell’informazione e della comunicazione dell’EDPB, ha dichiarato che è troppo presto per l’EDPB per giudicare la conformità del nuovo approccio. La valutazione avverrà in stretta collaborazione con le autorità di vigilanza interessate.
Una idea che arriva dal giornalismo
Una nota storica: l’idea di un modello basato su una tariffa mensile per evitare la pubblicità non è del tutto nuova e non può essere attribuita esclusivamente ai giganti dell’online.
L’adozione in Italia avvenne intorno alla metà dell’anno 2022. Numerose testate giornalistiche, appartenenti a diversi gruppi editoriali, decisero contemporaneamente di adottare questa strategia. Da allora, questa nuova forma di comunicazione si è dimostrata un successo, senza conseguenze negative. Infatti, il giornale austriaco Der Standard è stato il primo a introdurre questa opzione, offrendo agli utenti la possibilità di scegliere tra acconsentire al trattamento dei dati personali per la pubblicità o pagare un abbonamento di 8,90 euro al mese.
L’idea è stata poi ripresa da Repubblica e altre testate del gruppo GEDI, seguiti da altri editori di quotidiani e riviste.
Sembra che le autorità preposte alla protezione della privacy (prima in Austria, poi in Germania e ora anche in Francia) abbiano visto in questo approccio un’opzione per sostenere i siti web giornalistici che stavano soffrendo per la perdita di introiti pubblicitari a favore delle grandi piattaforme Web.
Sia nel modello Meta che nel metodo paywall, l’obiettivo è lo stesso: pagare per evitare di essere profilati a fini di marketing.
Non solo GDPR
Oltre ad essere tenuta a rispettare il GDPR, che stabilisce i requisiti necessari affinché il consenso sia legale (come ad esempio la specificità, l’informativa e la libertà di prestazione del consenso), Meta è ora soggetta anche al pan-EU Digital Services Act (DSA).
Questo atto stabilisce condizioni anche per le piattaforme più grandi riguardo al tracciamento e al profilazione delle persone per scopi pubblicitari.
La Commissione europea è responsabile della supervisione della conformità DSA delle grandi piattaforme online.
La legislazione europea richiede oggi alle società come Meta, TikTok e X di consentire agli utenti di negare il permesso per l’utilizzo dei propri dati per la personalizzazione delle pubblicità.
Anche X ha adottato la stessa strategia con il piano Premium+ che permette agli utenti di non visualizzare più le pubblicità nel feed al costo di 16 euro al mese.
Meta ha precisato che l’abbonamento sarà disponibile esclusivamente per gli utenti maggiorenni e che le informazioni dei paganti non saranno utilizzate per scopi pubblicitari. Tuttavia, sorge il dubbio su come l’azienda rispetterà i requisiti del DSA (Digital Services Act) e del DMA (Digital Markets Act) per evitare l’elaborazione dei dati dei minori per il targeting degli annunci.
Ricordiamo che Meta è stata designata come “gatekeeper” secondo il regolamento gemello del DSA, noto come Digital Markets Act (DMA). Questo regolamento impone anche limiti sull’uso dei dati personali delle persone per la pubblicità. La Commissione è l’ente responsabile dell’applicazione del DMA
In Australia e Nuova Zelanda i social sono già a pagamento
Ricordiamo che all’inizio dell’anno in Australia e Nuova Zelanda, Meta ha introdotto Meta Verified, un’iniziativa volta a migliorare la sicurezza e garantire l’autenticità degli account. Questa iniziativa prevedeva il pagamento di una tariffa mensile di 19,99 dollari per gli utenti desktop e 24,99 dollari per gli utenti iOS o Android.
Alcuni hanno interpretato questa tariffa come un possibile test per un progetto globale. Inoltre, il servizio subscription no ads potrebbe essere un ulteriore indizio di questa direzione, a condizione che sia compatibile con il GDPR e la Corte di Giustizia Europea
Il codice del consumo, la Monetizzazione dei Dati Personali
Dal 1° gennaio 2022, sono entrate in vigore nuove norme importanti aggiunte al Codice del Consumo dal decreto legislativo 173/2021. Queste norme implementano la direttiva 2019/770/UE e introducono importanti cambiamenti nel rapporto tra protezione dei consumatori e protezione dei dati personali.
Il decreto legislativo aggiunge una serie di nuovi articoli (dal 135-octies al 135-vicies ter) al codice del consumo (dlgs n. 206 del 2005). Questi nuovi articoli recepiscono la direttiva europea e regolamentano l’attività comune che avviene quotidianamente su Internet: lo scambio di beni digitali in cambio di dati personali.
Quello che più spicca nella manovra, ai fini della presente disquisizione, è l’ambito di applicazione della mini-novella, il quale comprende anche i contratti, in cui non si paga con valuta, ma con dati.
Il decreto in questione si applica anche nel caso in cui un’impresa fornisce o si impegna a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali al professionista.
E’ importante precisare che la consegna dei dati personali deve essere strettamente finalizzata al pagamento del servizio e non deve essere necessaria per l’utilizzo del servizio stesso. In altre parole, i dati personali forniti dal consumatore vengono trattati esclusivamente per la fornitura del contenuto digitale o del servizio digitale, non influenzando in alcun modo il processo di pagamento.
Per effetto del Decreto Legislativo, viene ufficialmente introdotta nel sistema giuridico la possibilità di utilizzare i dati come forma di pagamento, facendo riferimento al Regolamento UE sulla privacy n. 2016/679 (GDPR), senza fornire ulteriori dettagli.
Si ricorda, tuttavia, che in caso di conflitto tra le nuove norme del Codice del consumo e il GDPR o altre norme in materia di protezione dei dati personali, sono sempre queste ultime a prevalere.
La norma del codice del consumo
“Art. 135-octies
(Ambito di applicazione e definizioni)
2. g) prezzo: la somma di denaro o una rappresentazione digitale del valore dovuto come corrispettivo per la fornitura di contenuto digitale o di servizio digitale; (…)
3. Le disposizioni del presente capo si applicano a qualsiasi contratto in cui il professionista fornisce, o si obbliga a fornire, un contenuto digitale o un servizio digitale al consumatore e il consumatore corrisponde un prezzo o si obbliga a corrispondere un prezzo.
4 Le disposizioni del presente capo si applicano altresì nel caso in cui il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.”
Una norma dibbatuta
È innegabile che nella previsione in esame si fa riferimento a una situazione in cui un consumatore fornisce i suoi dati personali a un professionista, il quale si impegna a fornire un contenuto digitale o un servizio digitale.
Sicuramente non è automatico ritenere che il legislatore abbia voluto conferire legittimità a un contratto che preveda lo scambio di dati per servizi, ma non per questo tale ipotesi è da scartare
La tesi contraria
A favore della tesi contraria soccorre il comma 6 dell’articolo 135-novies successivo fa esplicitamente riferimento alle disposizioni nazionali e dell’UE in materia di trattamento dei dati personali. Afferma che, in caso di conflitto tra le disposizioni contenute nell’articolo 135-octies e le norme sopracitate, le disposizioni a tutela dei dati personali hanno la precedenza.
Inoltre, è importante sottolineare che nella versione definitiva della Direttiva UE 2019/770, dalla quale è derivata la modifica al Codice del Consumo sopra citata, è stata rimossa la parola “controprestazione” dall’articolo 3.
Questo termine si riferiva all’azione del consumatore che concede il consenso al trattamento dei dati per usufruire di un servizio o contenuto digitale. La rimozione di questa parola è stata fatta appositamente per evidenziare che non si tratta di un contratto a titolo oneroso, in cui i dati personali costituiscono il prezzo del servizio.
Se così fosse, lo scopo della Direttiva non sarebbe quello di consentire il pagamento di servizi digitali tramite dati personali, ma piuttosto garantire ai consumatori i diritti contrattuali previsti dalla legge, anche nel caso in cui il contratto per la fornitura di servizi digitali non preveda un pagamento in denaro ma richieda comunque la condivisione di dati personali.
È innegabile che siamo di fronte a un importante riconoscimento di principio:
La normativa in materia di protezione dei dati personali – richiamata quale prevalente dalle nuove norme – richiede che il trattamento si fondi sempre su una delle sei basi giuridiche elencate tassativamente dall’art. 6 GDPR
Ma questa base giuridica potrebbe essere il consenso?
Inutile sottolineare che l’utilizzo del consenso in combinazione con la conclusione di un contratto è considerato problematico e fortemente scoraggiato sia dal quadro normativo che dal WP29 e dall’EDPB. Ciò è dovuto alla facilità con cui la libertà viene compromessa in tali contesti, considerando il consenso come un elemento di qualità sostanziale.
Soccorre in questo senso l’EDPB che, nelle Linee guida 5/2020, parr. 26 s., precisa che:
“L’articolo 7, paragrafo 4, mira a garantire che la finalità del trattamento dei dati personali non sia mascherata né accorpata all’esecuzione di un contratto o alla prestazione di un servizio per il quale i dati personali non sono necessari.
In tal modo, il regolamento assicura che il trattamento dei dati personali per cui viene richiesto il consenso non possa trasformarsi direttamente o indirettamente in una controprestazione contrattuale” e che “L’obbligo di acconsentire all’uso di dati personali aggiuntivi rispetto a quelli strettamente necessari limita la scelta dell’interessato e ostacola l’espressione del libero consenso.
Poiché la legislazione in materia di protezione dei dati mira a tutelare i diritti fondamentali, è essenziale che l’interessato abbia il controllo sui propri dati personali;
inoltre sussiste una presunzione forte secondo cui il consenso a un trattamento di dati personali non necessario non può essere considerato un corrispettivo obbligatorio dell’esecuzione di un contratto o della prestazione di un servizio.”
La tesi a favore
Una posizione differente rispetto a quella del Garante europeo è stata recentemente più volte assunta dall’Autorità Garante per la Concorrenza e il Mercato italiana (AGCM)
L’Autorità non solo ha riconosciuto possibile la conclusione di contratti aventi ad oggetto la fornitura di dati personali, rilevando «la natura di controprestazione non pecuniaria dei dati degli utenti dei social media», ma li ha qualificati come contratti dei consumatori, applicando agli stessi la tutela in tema di pratiche commerciali scorrette.
La stessa ricostruzione è stata effettuata dal giudice amministrativo al fine di applicare le norme sulla tutela dei consumatori riguardo alle pratiche commerciali scorrette relative alla mancata corretta informazione da parte del fornitore di un servizio di social network riguardo all’affermazione della gratuità del servizio. In realtà, il servizio è solo apparentemente gratuito, ma non lo è effettivamente.
La posizione del giudice amministrativo di primo grado ha ricevuto il definitivo avallo del Consiglio di Stato con la sentenza n. 2631 del 29 marzo 2021.
il Consiglio di Stato ha deciso di «affrontare, in prima battuta, il tema della non commercialità dei dati personali e quindi della non riconducibilità del loro trattamento con riguardo al diritto consumeristico, di modo che (secondo tale prospettiva coltivata dalla società appellante» – che lucrava dai dati personali raccolti come gestore di un social network- «la non patrimonialità del dato personale rende inapplicabile la disciplina in materia consumeristica alla tutela dei dati personali, cui è rivolta, in via esclusiva, la specifica normazione recata dal Regolamento eurounitario n. 679/2016».
Dopo questa premessa, il Consiglio di Stato ritiene che allorquando il gestore di un social network non informi «l’utente con chiarezza e immediatezza in merito alla raccolta e all’utilizzo, a fini remunerativi, dei dati dell’utente da parte del Professionista e, conseguentemente, dell’intento commerciale perseguito, volto alla monetizzazione dei medesimi» sia integrata l’ipotesi di pratica commerciale ingannevole.
Tale comportamenti, per il Consiglio di Stato, « lasciano supporre che sia possibile ottenere immediatamente e facilmente, ma soprattutto “gratuitamente” (e per tutto il periodo in cui l’utente manterrà l’iscrizione in piattaforma), il vantaggio collegato dal ricevimento dei servizi tipici di un social network senza oneri economici, omettendo di comunicare che, invece, ciò avverrà (e si manterrà) solo se (e fino a quando) i dati saranno resi disponibili a soggetti commerciali non definibili anticipatamente ed operanti in settori anch’essi non preindicati per finalità di uso commerciale e di diffusione pubblicitaria»; contratti «gratuiti ma che, evidentemente, gratuiti non sono, finendo per rappresentare il “corrispettivo” della messa a disposizione dei dati personali del singolo utente a fini commerciali».
Risulta definitivamente riconosciuta la natura dei dati personali come corrispettivo contrattuale.
Non a caso, il Garante europeo della protezione dei dati con parere n. 4/2017 aveva invitato il legislatore eurounitario ad omettere il riferimento alla natura della controprestazione in dati personali nell’ambito dei contratti di fornitura di contenuti e servizi digitali ai consumatori disciplinati nella dir. 770.
Il Garante ha espressamente invitato il legislatore a non includere nel diritto dell’UE un riconoscimento che consideri i dati personali come forma di pagamento per la fornitura di contenuti o servizi digitali. Secondo il Garante, questa disposizione minerebbe l’idea di protezione dei dati personali nell’UE, poiché il controllo sui propri dati è fondamentale per lo sviluppo libero della propria personalità.
Si osserva quindi una contraddizione da parte delle istituzioni stesse. Da un lato, respingono l’idea che i dati personali, essendo legati ai diritti fondamentali della persona, possano essere considerati come un corrispettivo contrattuale.
Dall’altro lato, affermano che le norme consumeristiche si applicano ai contratti di fornitura dei servizi digitali, poiché comportano un costo per gli utenti, che consiste nella condivisione dei loro dati personali.
Sembra che Tar e Consiglio di Stato abbiano accettato la tesi sulla patrimonializzazione dei dati personali. Di conseguenza, queste decisioni consentono alle persone di utilizzare anche gli strumenti del diritto patrimoniale, in particolare la disciplina delle pratiche commerciali
Conclusione
Se questo modo di procedere verrà approvato dall’EDPB e dai Garanti nazionali, ci troveremo di fronte a uno scenario completamente nuovo. Verrà finalmente esplicitato ciò che già era diventato una situazione di fatto: i dati personali diventeranno un metodo di pagamento alternativo al denaro.
Questo significa che le persone potranno utilizzare i propri dati personali come forma di pagamento invece di utilizzare denaro contante o carte di credito.
Solo il legislatore potrà decidere il confine, ma i parallelismi tra diritti di rango analogo apriranno scenari di incostituzionalità o di illegittimità in sede comunitaria o CEDU.
Il problema, tuttavia, non è richiedere un pagamento in denaro per un servizio, ma piuttosto l’assenza di alternative al pagamento.
Se si sceglie di non pagare, non si può usufruire del servizio, come avviene in qualsiasi transazione in cui non si raggiunge un accordo tra le parti.
Tuttavia, è importante sottolineare che la mancata accettazione del pagamento non implica automaticamente l’accettazione di una profilazione massiva dei propri dati personali.
In diritto, profilazione e comunicazioni di marketing sono due trattamenti distinti. Ora, anche questo secondo trattamento appare in contrasto con la normativa.
Il prezzo da pagare e la questione della profilazione sono due aspetti separati, ognuno appartenente a piani logici differenti. Questa distinzione è di fondamentale importanza dal punto di vista giuridico e logico.
È necessario sottolineare che la profilazione non ha alcuna relazione con il servizio offerto.
Si tratta di un trattamento dei dati non necessario, che viola l’articolo 5.1.c) del GDPR.
È importante notare che il trattamento descritto va in contrasto con l’articolo 25 del GDPR, che stabilisce che il trattamento dei dati personali deve essere limitato al minimo necessario.
Il servizio base offerto include automaticamente una profilazione approfondita, mentre il servizio premium a pagamento consente di escluderla.
Questo significa che il servizio base delle piattaforme social in questione viola il principio di protezione dei dati predefinito, poiché la profilazione è impostata come predefinita e può essere superata solo tramite il pagamento.
A parte le considerazioni sull’articolo 25 del GDPR, è importante notare che l’articolo 13.1 della direttiva 2002/58 richiede il consenso esplicito per l’invio di comunicazioni elettroniche di marketing. È fondamentale che questo consenso sia libero e che il rifiuto di dare il consenso non abbia conseguenze negative per l’interessato.
È interessante notare che anche il considerando 68 del DSA conferma questa disposizione, affermando che “le prescrizioni del presente regolamento… non pregiudicano l’applicazione delle pertinenti disposizioni del regolamento (UE) 2016/679… e in particolare la necessità di ottenere il consenso dell’interessato prima del trattamento dei dati personali per la pubblicità mirata”.
Veniamo ora all’attrito con un altro pilastro normativo, l’art. 6 GDPR.
E’ evidente che la base contrattuale non sia utilizzabile, dato che l’utilizzo di un servizio social generalista non ha nulla a che fare con la profilazione.
La profilazione è un trattamento aggiuntivo, un trattamento che va oltre. Questo è stato confermato nella recente sentenza della Corte di Giustizia dell’Unione Europea, Meta Platforms and Others, C-252/21, del 4 luglio 2023, ai punti 102 e 125.
Come è noto, la normativa richiede qui un “test di necessità”, che è reso estremamente semplice dalla presenza dell’opzione premium senza pubblicità mirata: se si elimina la profilazione, i social network in questione funzionano perfettamente, come dimostra la disponibilità dell’opzione premium.
Resta comunque la possibilità di richiedere il consenso per la profilazione, anche se è una possibilità limitata. Nel caso in cui il consenso venga rifiutato, non ci saranno penalizzazioni per l’interessato, né sarà escluso dal servizio.
Questo è il modo in cui funziona il GDPR.
Infatti, la normativa vieta espressamente di condizionare un servizio “alla prestazione del consenso al trattamento di dati personali non necessario per la sua esecuzione”. Questo è stabilito nell’articolo 7.4 del Regolamento.
Da ultimo, ma non meno importante, sembra che il modello di business scelto sia incompatibile con l’esercizio del diritto di opposizione alla finalità di marketing. Questo significa l’esclusione automatica dell’articolo 21.3 del GDPR.
