La sentenza del 29 marzo 2021 del Consiglio di Stato – che ha concluso il primo filone degli addebiti mossi dall’AGCM a Facebook per le pratiche commerciali scorrette compiute in relazione all’uso dei dati personali dei propri utenti – contiene alcune importanti valutazioni giuridiche che rivestono rilevanza di carattere generale.

In questa seconda puntata, ne esaminiamo i contenuti. 

Sintesi

Figura 1 – Il lungo percorso del contenzioso in atto tra AGCM e Facebook.

Valutazioni del CdS

In aggiunta alle questioni specifiche che hanno riguardato la condotta tenuta da FB, il Consiglio si è soffermato su alcune pregiudiziali che rendono la pronuncia un precedente di interesse generale, tra cui:

• l’ammissibilità giuridica della patrimonializzazione del dato personale, cioè se esso possa essere commercializzato alla stessa stregua di una merce
• la portata applicativa del GDPR, inteso come disciplina speciale ed esclusiva (anche nel senso che esclude l’applicazione di altre discipline, come quella consumeristica). 

Patrimonializzazione del dato personale

Il dibattito riguardo alla possibilità giuridica di considerare il dato personale come un bene mobile di valore economico e, quindi, commercializzabile è quasi contemporaneo al riconoscimento della relazione esistente tra dato personale e interessato, come diritto fondamentale dell’individuo. Se si prescindesse dalla natura giuridica di tale relazione, infatti, l’interrogativo troverebbe un’agevole risposta affermativa, in quanto l’informazione è un bene mobile che, se ha valore economico, ben può formare oggetto di una transazione commerciale. 

Quindi, è proprio la natura di tale relazione – giuridicamente tutelata ai più alti livelli in quanto prerogativa fondamentale dell’individuo “data subject” – a far nascere l’interrogativo se questi ne possa disporre, allo stesso modo di una normale merce di scambio.

Il caso Weople

L’Editoriale del 3 ottobre 2019 diede conto del caso Weople, quando nel luglio 2019 l’Autorità Garante per la privacy pose all’attenzione del Comitato europeo per la protezione dei dati personali (EDPB) la questione relativa a “Weople”, l’app che promette ai propri iscritti una remunerazione in cambio della cessione dei loro dati personali.

L’aspetto centrale di questa operazione – che ha sollevato la richiesta del Garante verso una posizione comune in sede di EDPB – «riguarda il delicato tema della “commerciabilità” dei dati, causata dall’attribuzione di un vero e proprio controvalore al dato personale».

Weople è un’app mediante la quale verrebbero condivisi con gli utenti i guadagni (a regime, il 90% degli utili) ottenuti tramite la vendita a terzi dei servizi di analisi e profilazione basati sui dati di consumo registrati nelle fidelity card rilasciate agli stessi utenti ed emesse da operatori commerciali. I dati di origine verrebbero acquisiti da Weople, in parte, tramite conferimento diretto da parte degli interessati ed in parte tramite l’esercizio su delega della portabilità da altri operatori economici.

In questo caso la remunerazione economica dei dati personali sarebbe manifesta, attribuendo un vero e proprio “controvalore” al dato personale.