App e giochi si pagano con i dati personali
Sdoganato il pagamento con dati di servizi digitali. Il dato personale è ammesso come valuta che si può usare per acquistare programmi, applicazioni, contenuti digitali. È quanto si desume dalla direttiva europea 2019/770, per la cui attuazione il governo, in data 29 luglio 2021, ha approvato, in via preliminare, uno schema di decreto legislativo, ora all'esame del parlamento. La direttiva e il decreto legislativo italiano di recepimento, che entrerà in vigore dal 1° gennaio 2022, hanno l'obiettivo di stendere la rete di protezione per il consumatore di contenuti e programmi digitali, ma, nel contempo, descrivono schemi contrattuali, in cui si inserisce il dato personale come strumento di pagamento.
In questa sede ci si limita a una illustrazione delle linee evolutive di una legislazione che ammette una configurazione del dato personale quale elemento di una transazione commerciale. E da questo punto di vista l'articolato della direttiva 2019/770 e il decreto legislativo italiano in itinere non lasciano dubbi. L'ordinamento europeo e quello nazionale prevedono la liceità di un negozio giuridico, nel quale alla cosa ceduta segue un pagamento non in denaro, ma in informazioni riferite alla persona fisica che acquista.
La normativa Ue e italiana, di cui stiamo trattando, riveste interesse per tutti i consumatori e tutti i venditori di beni e servizi digitali.
Per tali beni si intendono prodotti il cui acquisto e uso sono quotidiani per tutte le fasce di consumatori. Ci si riferisce, infatti, a titolo di esempio, a programmi informatici, applicazioni, file video, audio, giochi digitali, libri elettronici, ai servizi digitali per la creazione e archiviazione dei dati, ai software per la condivisione file, a file hosting, videoscrittura, servizi su cloud e social media. La normativa, in fase di costruzione, oltre ad approfondire le tutele spettanti al consumatore, in maniera da fargli avere un bene e un servizio idoneo all'uso, descrive le possibili modalità di svolgimento dello scambio commerciale.
Una prima ipotesi, più tradizionale, vede lo scambio del bene digitale contro una somma di denaro. L'acquirente assume un'obbligazione pecuniaria che viene assolta nella valuta convenuta tra le parti. Il prezzo è, in questo caso, pagato con moneta. Ma la direttiva e lo schema di decreto legislativo citati descrivono esplicitamente un altro modello contrattuale. Si legga, a questo proposito, il «considerando» (una premessa) n. 24 alla direttiva 2019/770, la quale prende le mosse da una descrizione di un dato di fatto: «La fornitura di contenuti digitali o di servizi digitali spesso prevede che, quando non paga un prezzo, il consumatore fornisca dati personali all'operatore economico. Tali modelli commerciali sono utilizzati in diverse forme in una parte considerevole del mercato».
(Nella foto: Antonio Ciccia Messina, legale esperto di protezione dati e presidente di Persone & Privacy)
In sostanza lo scambio beni e servizi digitali contro informazioni personali è qualcosa che capita tutti i giorni nella vita delle imprese e dei consumatori e la legislazione si limita a prenderne atto e a regolare il mercato. Il considerando n. 24, poi, delinea la finalità perseguita dalla direttiva 2019/770 e cioè dotare i consumatori di rimedi contrattuali, nell'ambito di «tali modelli commerciali».
La direttiva, dunque, riconosce che ci sono più modelli contrattuali, tutti leciti e vuole definire lo scudo a protezione del consumatore, inteso come contraente debole.
E c'è bisogno dello scudo protettivo anche per un particolare modello di contratto, ovvero quello, descritto dal citato Considerando con queste parole: «l'operatore economico fornisce, o si impegna a fornire, contenuto digitale o servizi digitali al consumatore» e «il consumatore fornisce, o si impegna a fornire, dati personali».
C'è uno scambio dati contro un prodotto e questo scambio nella prassi può avvenire in momenti diversi. I dati personali possono essere chiesti dall'operatore economico e forniti dal consumatore contestualmente alla conclusione del contratto; oppure i dati sono versati successivamente, ad esempio nel caso in cui il consumatore acconsente a che l'operatore economico utilizzi gli eventuali dati personali caricati o creati dal consumatore utilizzando il contenuto digitale o il servizio digitale.
In questi casi, i dati, che fungono da prezzo, non ci sono ancora e non possono essere versati; i dati sono creati dall'interazione del consumatore con il bene/servizio digitale e quando diventano virtuale abbiamo il versamento del prezzo (cioè i dati).
Il Considerando passa in rassegna alcuni esempi di dati da usare come strumento di pagamenti: il nome e l'indirizzo e-mail forniti da un consumatore al momento della creazione di un account sui social media; materiale, come fotografie o post, che il consumatore carica on line e che contiene dati personali, e che lo stesso consumatore mette a disposizione per il trattamento a fini commerciali dall'operatore economico.
In ogni caso, precisano direttiva e bozza del decreto legislativo, deve trattarsi di dati utilizzati per scopi diversi dalla mera fornitura di contenuti o servizi digitali: se servono per far funzionare il programma non sono utilizzabili come corrispettivo del servizio.
Fin qui la direttiva 2019/770, che lascia ai singoli stati Ue il dettaglio sui requisiti per la stipulazione e la validità del contratto. Al Considerando n. 24 segue l'articolo 3 della direttiva 2019/770, e ora l'articolo 135-octies, comma 4, di cui lo schema di dlgs italiano, propone l'inserimento nel Codice del consumo (dlgs n. 206/2005).
Lo schema di decreto legislativo si occupa dell'ambito di applicazione delle tutele per i consumatori digitali e include in questo perimetro i casi in cui vengono forniti beni digitali e il consumatore fornisce o si obbliga a fornire dati personali al professionista, salvo il caso in cui i dati servano per fornire il bene o per obbligo di legge e i professionisti si limiti a questi usi.
La norma italiana riprende anche l'altra opzione sopra descritta e cioè l'ipotesi di scambio di beni digitali contro il pagamento di un prezzo. Ma la liceità del modello «beni digitali contro dati» è confermata. Non si tratta di vendita di dati personali contro un prezzo.
E il Considerando 24 della direttiva Ue si preoccupa di dire che «la protezione dei dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce», anche se, poi, va «oltre» questo riconoscimento. In sostanza, non si sta parlando della vendita di dati, ma, certamente, si sta dicendo che il dato personale è utilizzabile come un corrispettivo, avente un valore commerciale. E, quindi, occorre pensare a come calcolare il valore dei dati, magari partendo dall'analisi di quanto oggi si ricava dagli stessi (secondo una ricerca del sito Chartr), ad esempio, Facebook ha ottenuto, nel 2021, una resa di 16 dollari al mese dalla raccolta e l'analisi dei dati di ciascun utente nordamericano).
di Antonio Ciccia Messina (Italia Oggi, 6 settembre 2021)