L’accentramento di potere digitale e il crescente valore dei dati personali sono fenomeni ben noti del mercato dei social network. L’opacità degli algoritmi, l’importanza dei Big Data all’interno degli ecosistemi e le conseguenti intersezioni tra piattaforme, consumer welfare e privacy passano necessariamente per un’attenta valutazione dello stato di soggezione del consumatore-utente a schemi di profilazione sempre più pervasivi e intrecciati.
E, d’altra parte, l’advertising targetizzato (fulcro dei social) non potrebbe esistere (o, almeno, non potrebbe essere così efficace) senza la raccolta e l’utilizzo a fini commerciali dei dati personali degli utenti. Sul valore dei dati ha avuto l’opportunità di esprimersi, recentemente, anche il Consiglio di Stato. La questione nasce dall’appello proposto – tanto da Facebook, quanto da AGCM – avverso la sentenza del TAR Lazio n. 260/2020, che aveva parzialmente confermato le sanzioni comminate dall’Antitrust al social network di Menlo Park per pratiche commerciali scorrette.
In sintesi, il Consiglio di Stato ha affermato che, se i dati personali vengono sfruttati commercialmente dalla piattaforma, il servizio non può essere presentato al pubblico come gratuito. Tuttavia, non sembra che la decisione sia giunta a qualificare il trattamento dei dati come un vero e proprio corrispettivo economico per la fruizione del servizio [1].
Il nodo di fondo riguarda, da un lato, l’adeguatezza delle informazioni fornite all’utente - in fase di attivazione dell’account – circa la raccolta e l’utilizzo dei dati per finalità commerciali, dall’altro il meccanismo di pre-attivazione della piattaforma di FB ai fini dell’integrazione con piattaforme di soggetti terzi.
Nel merito è interessante notare che proprio FB – uno dei giganti della data economy – ha tentato di far leva sulla natura extra commercium dei dati personali [2] per escludere nel caso di specie l’esistenza di una pratica commerciale: se i dati personali non sono una merce – è questo il ragionamento – essi non possono rappresentare una controprestazione, eliminando dunque la «necessità di tutelare l’interesse economico dei consumatori».
Tale lettura, finalizzata a sfilare la questione privacy dalle ‘grinfie’ della tutela consumeristica, non ha tuttavia incontrato il favore del CDS proprio in virtù della specifica attività che FB svolge sui dati: «la patrimonializzazione del dato personale … costituisce il frutto dell’intervento delle società (FB, n.d.r.) attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali».
La questione non riguarda dunque una «commercializzazione del dato personale da parte dell’interessato», bensì uno «sfruttamento del dato personale reso disponibile dall’interessato in favore di un terzo soggetto che lo utilizzerà a fini commerciali, senza che di tale destino l’interessato conosca in modo compiuto le dinamiche». In altre parole, è proprio lo sfruttamento commerciale del dato da parte del social network a conferire al dato stesso una veste patrimoniale.
Peraltro, l’ambito privacy in cui si inserisce la fattispecie non vale affatto ad escludere la tutela consumeristica: «una siffatta conclusione sarebbe irragionevole, dal momento che ogni scienza giuridica o comportamento umano … coinvolge inevitabilmente dati personali. Riconoscere dunque la assoluta specialità del settore riferibile alla tutela dei dati personali condurrebbe, inevitabilmente, ad escludere in radice, l’applicabilità di ogni altra disciplina giuridica».
In questo modo, il CDS conferma la natura commerciale della registrazione a un social network. Ma nel caso di FB, la decisione commerciale dell’utente è fuorviata (e resa non consapevole) dall’omissione di informazioni rilevanti da parte del professionista: FB, infatti, non fornisce informazioni chiare ed immediate «in merito alla raccolta e all’utilizzo, a fini remunerativi, dei dati dell’utente … e, conseguentemente, dell’intento commerciale perseguito, volto alla monetizzazione dei medesimi».
Diversa è la valutazione del CDS in merito alla trasmissione da parte di FB dei dati personali degli utenti a siti web e app di terzi, che risulta modificabile dall’utente attraverso un meccanismo di opt-out. Il CDS non riscontra nell’attività menzionata quel «quid pluris» che caratterizza le pratiche commerciali aggressive [3]: «La “pre-attivazione” della piattaforma Facebook … non solo non comporta alcuna trasmissione di dati in modo diretto ed immediato dalla piattaforma di FB a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme».
Una delle affermazioni principali del CDS, come sottolineato anche dal Componente del Garante Privacy Guido Scorza, è che «se il fornitore di un servizio sfrutta commercialmente i dati dei suoi utenti – anche appunto quando il trattamento non si ritenesse configurabile come corrispettivo del servizio – il servizio non può essere presentato al pubblico come gratuito» [4].
Posto dunque che il dato personale - pur non (ancora) considerato come un corrispettivo specifico ed espresso del servizio - costituisce un indubbio valore economico per le piattaforme, occorre tener presente un ulteriore aspetto che rappresenta un possibile punto di tensione, tutt'altro che risolto: e cioè l'assetto proprietario del dato, da cui discende la titolarità della valorizzazione economica dello stesso.
Il punto di tensione sta nel fatto che il riconoscimento della proprietà del dato, se finalizzato a consentirne una valorizzazione economica a beneficio dell'utente finale, ne implicherebbe la piena alienabilità, giungendo così ad uno svilimento di un diritto personalissimo di rilevanza costituzionale.
Per queste ragioni, anche il riconoscimento espresso della possibilità di “pagare” un servizio digitale coi propri dati in maniera consapevole ed effettiva, e non soltanto come situazione di fatto, appare ancora lontana, in considerazione delle ovvie e importanti valutazioni di natura etica, oltre che degli indirizzi regolatori. Basti pensare, sotto quest’ultimo profilo, alle Linee Guida dell’EDPB n. 2/2019, le quali ribadiscono che i dati personali non possono essere considerati un bene commerciabile [5].
Questo, dunque, il principale ostacolo in linea teorico-sistematica. Ciò non toglie, tuttavia, che la circolazione dei dati personali stia di fatto già avvenendo, ma senza che l'utente, cioè l'ipotetico proprietario, ne sia (talvolta) consapevole e (mai) remunerato.
In questo senso, si potrebbe paradossalmente osservare che la ‘monetizzazione’ del dato in favore dell’utente non smuoverebbe poi tanto le acque, limitandosi a rendere quest’ultimo maggiormente protagonista di quello sfruttamento commerciale dei suoi dati personali che già caratterizza i servizi digitali, ma che – come acutamente osservato dal Consiglio di Stato a proposito di Facebook [6] – avviene talvolta all’insaputa del soggetto cui i dati stessi si riferiscono.
© Graziadei Studio Legale
[1] Si può fare commercio di dati personali? Scorza: “Consiglio di Stato boccia ricorso Facebook, ecco le questioni aperte”, pubblicato in Agenda Digitale e consultabile al seguente url: https://www.agendadigitale.eu/sicurezza/privacy/si-puo-fare-commercio-di-dati-personali-scorza-consiglio-di-stato-boccia-ricorso-facebook-ecco-le-questioni-aperte/.
[2] Definiti dal social come «diritti fondamentali della persona che non possono esser venduti, scambiati o, comunque, ridotti a un mero interesse economico».
[3] Come già sottolineato dal TAR, il quale aveva affermato che l’integrazione richiede «numerosi passaggi, che si concludono solo quando, una volta raggiunta tramite il login di Facebook la app di terzi, l’utente decide di procedere alla sua installazione».
[4] Si veda nota 1.
[5] Linea guida 2/2019 sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto della fornitura di servizi online agli interessati, punto 54.
[6] «Orbene, seppure si volesse aderire alla tesi della odierna parte appellante secondo la quale il dato personale costituisce una res extra commercium, la patrimonializzazione del dato personale, che nel caso di specie avviene inconsapevolmente (ad avviso dell’Autorità nel momento in cui accusa una informazione ingannevole nell’esercizio della pratica in questione), costituisce il frutto dell’intervento delle società attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali.» E, ancora, «al contrario ciò che emerge dall’attività [Pratica a)-ingannevole] messa in campo dalle due società è lo sfruttamento, inconsapevolmente per l’utente, dei dati da costui offerti al momento dell’iscrizione.»