Estratto SIG – Privacy e consumo

La disciplina sulla protezione dei dati personali non è l’unica a regolare l’uso dei dati personali. Quando viene preso in considerazione il valore economico insito nelle informazioni personali può entrare in gioco anche il codice del consumo.

GDPR e consumo

Il regolamento generale sulla protezione dei dati personali cura la tutela di questi ultimi ai fini della protezione delle persone fisiche cui le medesime informazioni si riferiscono. Considerata la stretta connessione tra informazioni e interessati, tramite la protezione dei dati personali quale espressione di un diritto della personalità dell’individuo, il GDPR «protegge i diritti e le libertà fondamentali delle persone fisiche» [art. 1(2), GDPR].

Tale protezione prescinde dall’appartenenza dell’individuo ad un particolare Stato (cittadinanza) o dalla presenza stabile della persona su un territorio (residenza) né discrimina in base a rapporti economici o ad altri elementi.

Su altro fronte, la disciplina del consumo che regola i rapporti commerciali tra professionista e consumatore, si interessa ai dati personali quando gli stessi vengono utilizzati (sfruttati) per il loro intrinseco valore economico, come corrispettivo patrimoniale e possibile oggetto di una compravendita. 

Autonomia delle discipline

Sebbene il bene “dato personale” sia identico, le due discipline affrontano profili differenti e perseguono fini altrettanto diversi: la protezione di diritti e libertà fondamentali, il GDPR; la tutela dei consumatori e degli utenti, il codice del consumo. GDPR e normative di corredo, come anticipato, si applicano in relazione a qualsiasi individuo, senza distinzioni, mentre la disciplina sul consumo trova il proprio ambito applicativo solo nei rapporti economici tra “professionista” e “consumatore”.

Ciascuna disciplina mantiene la sua autonomia, sia nelle condizioni che le rendono applicabili sia nell’individuazione delle autorità indipendenti che le presidiano, sia sotto il profilo sanzionatorio. Se una transazione commerciale tra un professionista e un consumatore ha per oggetto dati personali come corrispettivo patrimoniale, entrambe le discipline (privacy e sul consumo) possono trovare applicazione per i profili di rispettiva competenza. 

Dato personale come bene economico

Per ipotizzare la confluenza della disciplina privacy e di quella del consumo tramite l’elemento di congiunzione del “dato personale”, occorre ammettere che quest’ultimo in linea di principio possa avere natura economica; vale a dire che il “dato personale” non sia solo espressione dell’identità dell’individuo ma anche un bene economico che possa fungere da corrispettivo patrimoniale.

Ammettere la natura economica del “dato personale” significa riconoscere che i “dati personali” «possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto» (Tar Lazio, decisioni 260 e 261 del 10/1/2020, caso Facebook, v. Alert 13/12/2018 e 30/1/2020). Tale ammissione non va certo interpretata nel senso che siano negoziabili diritti e libertà fondamentali non rinunciabili (cioè il diritto alla privacy, ad esempio, come il diritto di revoca del consenso) bensì che il valore economico dell’informazione contenuta nel “dato personale” possa formare oggetto di una transazione commerciale (cioè l’oggetto del cosiddetto diritto alla privacy).

Natura economica del dato personale

Il fenomeno della “patrimonializzazione” del “dato personale” trova riscontro nei fatti. Molti servizi dei mercati digitali, simulatamente “gratuiti”, fondano il proprio modello di business sullo scambio tra dati personali e fruizione dei servizi col conseguente sfruttamento dei dati in senso economico; infatti, «i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico» (Commissione UE “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” 25 maggio 2016), fenomeno riconosciuto anche dall’AGCM nei casi WhatsApp (provvedimento PS10601) e Facebook (provvedimento n. 27432).