NEWS

Proteggere e valorizzare i dati personali con un 'privacy new deal'

È un tema delicatissimo, all’ordine del giorno delle Autorità come dei board di grandi e piccole imprese, e, soprattutto, cruciale per il futuro pandigitale e metaversale che ci attende: si può concepire una valorizzazione economica dei dati personali – per esempio tramite profilazione comportamentale o marketing personalizzato – senza il consenso dell’interessato? O, perfino, senza fondare il trattamento su nessuna delle basi giuridiche indicate nell’articolo 6 del GDPR?


In gioco non c’è un mero braccio di ferro regolatorio e interpretativo: c’è una visione di mondo, una Weltanschauung, c’è il corretto equilibrio tra diritti, libertà, interessi nelle nostre vite di domani. E mi sia consentita un’autocritica: ho la sensazione che molti di noi privacyisti – nelle istituzioni e nel settore privato – tendiamo spesso a radicalizzare e mono-focalizzare i pesi delle tutele nelle materie che ci competono, operando sillogismi perfettamente razionali, in astratto, ma, alla prova dei fatti, sproporzionati, scollegati dalla realtà corrente. Allo specialista manca, talvolta, la big picture.

Chiariamo subito alcuni punti e fissiamo qualche paletto, per orientarci e fugare scivolose ambiguità.

Primo: la formula “senza il consenso dell’interessato” non potrà né vorrà mai significare “contro la volontà dell’interessato”.

Secondo: come giustamente sottolineato dal Garante Privacy italiano, nel Provvedimento del 7 luglio 2022 rivolto a TikTok, nel caso si proceda ad archiviare o leggere informazioni sul terminale dell’utente/contraente, si applicherà, inevitabilmente, la disciplina speciale cd. ePrivacy – derivante dall’art. 5.3 della Direttiva 2002/58/EC e, in Italia, dall’art. 122 del Codice in materia di protezione dei dati personali. Quella disciplina, però, si applica alla fase di raccolta del dato (per cui è d’obbligo richiedere un consenso ad hoc, se non si tratta di archiviazione tecnica o di accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio) e non al trattamento successivo dei dati, ormai “liberati” dal primo consenso. Se si hanno dubbi, si possono leggere – tra le altre – le Linee guida 01/2020 sul trattamento dei dati personali nel contesto dei veicoli connessi e delle applicazioni legate alla mobilità del Comitato Europeo per la Protezione dei Dati.

Terzo: il diritto alla protezione dei dati personali non è un diritto assoluto, ma deve contemperarsi con altri diritti e altre libertà fondamentali, sia di persone fisiche sia di altri soggetti giuridici, come riconosciuti dalle Costituzioni e, volendo rimanere eurocentrici, dalla Carta dei Diritti Fondamentali dell’Unione Europea. Basta leggere il Considerando 4 del GDPR, per averne conferma inequivocabile: “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.”

Se lo combiniamo con l’art. 52 della Carta dei Diritti UE, in materia di principio di proporzionalità cui sono tenuti in primis i legislatori e le istituzioni (quindi anche le Autorità), il quadro si completa: “eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”. Ciò, si noti, vale sia a tutela della privacy e dei dati personali, sia, viceversa, a salvaguardia di diritti e libertà altrui, che non possano essere soffocati da privacy e protezione dei dati personali, ove interpretati e applicati in modo tiranno e massimalista.

Quarto: nessuno, tantomeno il sottoscritto, potrebbe mai desiderare un mondo nel quale l’essere umano – e i suoi diritti fondamentali e inviolabili, compresa la privacy ma non solo – vengano sviliti e trasformati in meri mezzi per perseguire fini tecnologici e di business.

Quinto: il consenso dell’interessato (base giuridica prevista dagli artt. 6.1.a), 7 e 9.2.a) GDPR) è un istituto giuridico prezioso ma non un passe-partout; esso non costituisce sempre e immancabilmente la chiave idonea a proteggere davvero gli interessati – che possono mancare di tempo, volontà, forza, competenza, prudenza, e tante altre piccole o grandi doti, per capire a cosa stiano dicendo “sì” con un banale flag – né è sempre utile a bilanciare correttamente il diritto alla protezione dei dati con altri diritti, libertà, interessi nell’era del “tutto digitale” (si pensi all’usabilità dei servizi da parte degli utenti/contraenti, alla libera iniziativa economica, alla ricerca e allo sviluppo innovativi, ecc.).

Sesto: a prescindere dalle questioni relative alle basi giuridiche, si deve comunque, sempre, trattare i dati personali nel rispetto dei principi generali di diritto (anche quelli previsti dall’art. 5 GDPR).

Luca Bolognini, presidente dell'Istituto Italiano per la Privacy

(Nella foto: l'Avv. Luca Bolognini, presidente dell'Istituto Italiano per la Privacy)

Dunque, diamo per accettabili e fermi i 6 punti elencati sopra. Chiediamoci, ora, se sia possibile, in linea di principio e fatte salve ulteriori regolazioni speciali applicabili caso per caso, ipotizzare una valorizzazione economica dei dati personali – ad esempio il trattamento di dati per fini di profilazione commerciale online o di marketing diretto con strumenti non automatizzati – senza il consenso dell’interessato.

Senza consenso, i casi residui ipotizzabili – muovendosi all’interno dei margini fissati dalle basi giuridiche del GDPR – sono fondamentalmente due e cioè che la valorizzazione economica dei dati avvenga: 1. su base giuridica di necessità per esecuzione del contratto di cui è parte l’interessato o per l’esecuzione di misure precontrattuali adottate su richiesta dello stesso (art. 6 par. 1. lett. b) GDPR) o 2. su base giuridica di legittimo interesse del titolare o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore (art. 6 par. 1 lett. f) GDPR).

Apparentemente, tertium non datur, che in tale contesto – data-driven – pare un’espressione latina dal felice, appropriato, duplice senso.

Iniziamo dalla prima ipotesi, quella relativa alla possibilità che un trattamento di dati personali sia “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”: essa contiene, in verità, due possibili distinte declinazioni; l’una, più avanzata, che arriva a contemplare come possibile uno scambio sinallagmatico tra prestazione (servizio reso dal fornitore/titolare) e controprestazione (valorizzazione economica della licenza di usare i propri dati per uno scopo, resa dall’interessato). L’altra declinazione, più classica e “ortodossa”, nella quale la necessità del trattamento si riferisce solo alle elaborazioni di dati strettamente indispensabili e strumentali rispetto al servizio stesso reso dal titolare, non essendo parte sostanziale di una controprestazione dell’interessato ma, unicamente, componente strumentale essenziale della prestazione dovuta dal titolare.

La licenza di usare i propri dati come controprestazione contrattuale dell’interessato: l’exchange commerce - Su questi aspetti, ho scritto e presentato saggi giuridici da più di dieci anni (teorizzando una possibile forma di negoziazione che ho denominato “exchange-commerce”) e, nel 2018, ho toccato con Isabella de Michelis di Slonghello questi temi nel paper “An Introduction to the Right to Monetize Data (RTM)”.

Nell’exchange-commerce e nel RTM, si vuole monetizzare e rendere commerciabile (e rinunciabile!) il diritto alla protezione dei dati personali? No. I diritti privacy sono fondamentali, inviolabili, indisponibili:

ogni rinuncia ad essi da parte degli interessati sarebbe nulla, in cambio di soldi o di niente. Anche per questa ragione, destano non poche perplessità i business, perché di business si tratta, fondati sulla monetizzazione dell’esercizio dei diritti privacy in nome e per conto altrui: come si può abusare commercialmente, a fini di profitto, dell’esercizio di un diritto fondamentale e inviolabile, che, asseritamente, si vorrebbe aiutare a esercitare e proteggere? Finché i dati sono personali, essi non saranno mai espropriabili all’interessato, il quale non potrà fare a meno dei relativi diritti, neppure volontariamente.

Quando parliamo di exchange-commerce e di RTM, il discorso è ben diverso e riguarda la possibilità di prevedere, nell’oggetto essenziale del contratto, una controprestazione a carico dell’interessato, che permetta (come una licenza) di utilizzare temporaneamente alcuni suoi dati personali per finalità di profilazione e/o marketing da parte di terzi titolari del trattamento. Questa licenza vedrebbe riconosciuto un controvalore economico; al controvalore economico della licenza, corrisponderebbe una controprestazione in termini di beni o servizi, da parte dei titolari del trattamento. Uso il condizionale, ma è chiaro che questo rappresenta già oggi il modello di business di moltissimi operatori digitali. Nessuno toccherebbe i diritti fondamentali e inviolabili, sempre e comunque esercitabili dall’interessato e mai oggetto di cessione né di licenza. Ed ecco che, nell’intervallo di utilizzabilità dei dati personali per scopi commerciali, quel valore potrebbe costituire un “mezzo di scambio in natura” alternativo al denaro, per fruire di servizi digitali. Importante, da notare e sottolineare: sarebbe il valore dell’obbligazione di lasciar utilizzare il dato per certi fini e in certi contesti, a rilevare, e non il valore del dato in sé. Non si realizzerebbe alcuna cessione della proprietà dei dati (nessuna data commoditization, insomma) o, peggio, dei diritti, nell’exchange-commerce.

Nello schema di exchange-commerce e valorizzazione (dell’uso) dei dati personali, che ho appena descritto, si potrebbe scegliere fra differenti modelli di remunerazione: il valore della licenza potrebbe essere calcolato secondo logiche di mercato, senza aggravarlo del plus-valore generabile dal titolare del trattamento nella trasformazione e “lavorazione” di quegli stessi dati (dopotutto, gli investimenti e le tecniche di elaborazione sono know how del titolare del trattamento, che può essere più o meno bravo a sfruttare quelle informazioni); oppure, si potrebbero immaginare scenari nei quali all’interessato è riconosciuto una sorta di diritto di utilizzazione economica dei dati personali, in percentuale, come accade in casi di copyright con attori, modelli, esecutori, artisti e così via. Quello che conta è che non c’è un solo e unico modello di remunerazione possibile e auspicabile: alcuni operatori offriranno un buon servizio, semplicemente senza chiedere pagamenti in denaro agli utenti/contraenti/interessati, in cambio della licenza provvisoria allo sfruttamento di alcuni dati; altri, riconosceranno in aggiunta dei premi o delle percentuali. Dipenderà dai contesti di mercato e dalle opzioni imprenditoriali.

I trattamenti di dati personali, peraltro, non hanno lo stesso valore per tutti e in ogni caso; motivo, questo, per il quale pare pressoché impossibile concepire l’esperibilità di class action privacy strettamente intese, per la non omogeneità dei valori in gioco, dipendente dal fatto che i diritti privacy (e le loro violazioni) sono, appunto, personalissimi e non stimabili per categorie generali.

Il focus del confronto, tra giuristi, dovrebbe concentrarsi non già sull’illiceità generale e sul divieto fondamentalista di scenari di exchange-commerce e RTM ma, viceversa, sull’identificazione delle condizioni che potrebbero rendere quegli scenari sicuri, corretti ed equilibrati per gli interessati.

Alla stregua di quanto già accade per la tutela dei consumatori e della concorrenza, dovrebbero rilevare condizioni quali: la possibile discriminazione tra interessati (per evitare che la privacy diventi un lusso solo per chi può pagare in denaro, certi trattamenti di certi dati in determinati ambiti d’interesse pubblico, collettivo o generale – cioè non in qualsiasi ambito, a mio avviso – non dovrebbero essere permessi, ove non siano disponibili alternative gratuite e privacy-proof per servizi equivalenti), lo squilibrio nel sinallagma (dati sensibili o troppi dati in cambio di servizi di poco valore), lo squilibrio e l’inidoneità delle parti in gioco (soggetti vulnerabili e deboli, poca trasparenza, pratiche sleali di offerta e contrattualizzazione), lo squilibrio negli effetti di un recesso o una risoluzione contrattuale basata sull’esercizio – sempre possibile – dei diritti privacy, che romperebbe l’incantesimo del data ut des, lo squilibrio concorrenziale dovuto a capitalizzazione asimmetrica informativa, e altri criteri ancora, relativi e non assoluti. Il Digital Services Act, il Digital Markets Act e il Data Act stanno andando proprio in questa direzione, almeno in linea di principio e malgrado numerose criticità.

L’esecuzione contrattuale classica - C’è poi la sotto-ipotesi, più classica e meno “spinta” del modello di exchange-commerce, che deve essere presa in considerazione per la base giuridica ex art. 6.1.b) GDPR: cioè che, pur non essendo valorizzato economicamente come controprestazione dell’interessato, il trattamento dei dati sia, in ogni modo, considerabile indispensabile all’esecuzione del contratto di cui è parte l’interessato o per eseguire misure precontrattuali adottate su richiesta dello stesso. Il trattamento dei dati personali non è, in questo scenario, esso stesso l’oggetto della licenza (cioè della controprestazione dell’interessato), ma rimane interamente dalla parte del titolare, cioè costituisce una componente strumentale essenziale del servizio contrattualizzato che il titolare deve rendere all’interessato. La censura mossa, in più occasioni, anche dalle Autorità europee di protezione dei dati, in tali casi, è che il trattamento dei dati non si riveli strettamente ed essenzialmente necessario al servizio contrattualizzato. Qui, a volte, il ragionamento sembra portare verso conclusioni discutibili e poco moderne.

Usiamo una metafora facile da cogliere, che può aiutare a comprendere la questione. Immaginate la richiesta, contrattualizzata da un interessato-passeggero con un’impresa di trasporti, di essere trasferito da Milano a Vienna; un’interpretazione restrittiva o sbilanciata a favore di diritti ambientali, porterebbe a considerare che, in mancanza della chiara specificazione nel contratto di trasporto del tipo di mezzo da utilizzarsi oppure per assicurare il rispetto (estremo) dei principi di salvaguardia dell’ambiente, quel viaggio debba intendersi a bordo di un cavallo, o di un veicolo a pedali. E non in automobile o treno o aereo. Sarebbe, questo approccio, ragionevole e proporzionato, negli anni ’20 del XXI secolo? Terrebbe conto della declinazione viva e materiale dei principi costituzionali, nonché delle consuetudini legate ai tempi che corrono, allo stato dell’arte e della tecnica? A meno di non volere proibire aerei, treni e auto in nome di un malinteso rispetto di altri diritti, libertà e interessi, o di un altrettanto equivoca e integralista interpretazione dei principi generali di diritto, la risposta non potrebbe che essere: no, prevedere by default il trasporto a cavallo o su bicicletta, da Milano a Vienna (ma anche su distanze più brevi), risulterebbe irragionevole e anacronistico.

Il legittimo interesse come base per la valorizzazione economica dei dati personali - Occupiamoci ora, brevemente, dell’ipotesi del legittimo interesse, quale possibile base giuridica per la valorizzazione secondaria dei dati. L’art. 6.1.f) GDPR ammette il trattamento di dati personali quando “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”.

La definizione di legittimo interesse può essere di due tipi, ben distinti. Una prima opzione è considerare i “legittimi interessi” non già diritti soggettivi o libertà fondamentali del titolare o di terzi, quanto forme di “diritti e libertà affievoliti” o “quasi-diritti/quasi-libertà”, comunque meritevoli di protezione nell’ordinamento giuridico ma per loro natura incapaci di assurgere al rango di pieni diritti: questa opzione mutua frammenti definitori dall’istituto dell’”interesse legittimo”, tipico del diritto amministrativo italiano. È chiaro che, per la sua intrinseca debolezza, inteso in questo modo, il “legittimo interesse” potrebbe difficilmente reggere dinnanzi al peso di diritti e libertà fondamentali di un interessato, i cui dati siano in gioco: il legittimo interesse come “quasi-diritto/quasi-libertà” potrà essere riconosciuto e “respirare” solo se totalmente innocuo e indifferente per i diritti e le libertà fondamentali degli interessati.

In tal senso, ho trovato deludente ma dopotutto comprensibile (perché evidentemente legata a quella prima opzione definitoria di “legittimo interesse” come debolissimo “quasi-diritto/quasi-libertà”) la decisione del 2020 dell’Autorità di protezione dei dati olandese, nel caso VoetbalTV, nella quale il Supervisor dichiarò che il legittimo interesse del titolare del trattamento non si sarebbe potuto riconoscere come una valida base giuridica per il trattamento di dati personali, in caso di finalità puramente commerciali d’impresa; quella decisione è poi stata ribaltata dalla Corte presso cui era stata impugnata, che aveva smentito la tesi dell’Autorità olandese sull’impossibilità di riconoscere un legittimo interesse come valida base giuridica del trattamento di dati per finalità puramente commerciali. In ultimo, nel mese di luglio 2022, è intervenuto il Consiglio di Stato dei Paesi Bassi, che non ha, purtroppo, risolto definitivamente la questione nel merito, ma si è limitato a confermare la sentenza d’impugnazione e a riscontrare, nell’uso secondario dei dati personali operato da VoetbalTV, anche interessi non puramente commerciali. La diatriba rimane aperta.

Pensare che un legittimo interesse, di un titolare o di terzi, sia in grado di supportare trattamenti di dati personali solo se non puramente commerciale equivarrebbe a considerare l’attività economica come non meritevole di protezione giuridica, e comunque non “degna” di un reale bilanciamento. Questo orientamento, a parere di chi scrive e per parafrasare Fouché, sarebbe peggio di un crimine, sarebbe un errore. Che si debba reputare una finalità puramente commerciale come a priori inidonea a soddisfare i requisiti di legittimo interesse, senza neppure passare dal three-part test e dalla valutazione caso per caso, non è ragionevole e rischia di tradire lo spirito stesso del GDPR. Non a caso, proprio nel Regolamento 679/2016, oltre all’ormai celebre Considerando 4, troviamo espressamente e incondizionatamente scolpito nel Considerando 47 che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”. Più esplicita di così, la ratio legis, non si può. Si tratta di riflessioni de iure condendo, ed è pur vero che la disciplina e-privacy esige ancora il consenso per il marketing diretto con strumenti automatizzati, fatta eccezione per quella fattispecie tipizzata di sostanziale “legittimo interesse ex lege” che è il soft-spam.

Tra legittimo interesse “forte” e legittimazioni extra-privacy - È necessario allargare pensiero e visione. Il GDPR non esaurisce, in sé, l’interezza delle tutele giuridiche nelle relazioni tra esseri umani. Proprio per questo motivo, la seconda opzione definitoria di “legittimo interesse” si può slegare da quella di “quasi-diritto/quasi-libertà”, fragile, rigida e incapace di sostenere il trattamento di dati personali se non in rarissimi e fortunosi casi. Il “legittimo interesse” previsto nel GDPR potrebbe, invece, essere inteso in maniera forte e resiliente, come un istituto dotato di peso e di senso: un “ponte attuativo di varco e bilanciamento” tra privacy e altri diritti e libertà fondamentali di cui al Considerando 4 del Regolamento generale sulla protezione dei dati.

I casi sono due, infatti: o concepiamo che – accanto all’universo della protezione dei dati personali – ci siano altri universi, con pianeti e stelle (i diritti e le libertà fondamentali di diversa natura, per esempio la libertà di espressione o informazione, la libertà d’impresa, ecc.) a legittimare trattamenti di dati personali extra-GDPR e a prescindere dalle basi giuridiche in esso elencate; o ammettiamo che l’unico modo per far rientrare quei pianeti e quelle stelle, di altri universi, nell’universo privacy sia, appunto, il ponte del “legittimo interesse”. Se così è, ecco che questa base giuridica può assumere, a seconda dei casi, una dimensione importante e un ruolo sistematico significativo, in grado di sorreggere i trattamenti di dati personali con robustezza ed elasticità. Quanto al fatto che l’attività d’impresa non sia esercitata, in molti frangenti, da persone fisiche, questo non toglie nulla alla legittimità e meritevolezza del bilanciamento tra differenti diritti e libertà fondamentali, e alla loro riferibilità a persone giuridiche: che i diritti e le libertà fondamentali debbano riconoscersi anche a formazioni sociali e quindi a soggetti giuridici diversi dalle persone fisiche è, francamente, difficilmente contestabile nel Terzo Millennio.

Privacy new deal: libertà, gestione del rischio e responsabilizzazione - La scelta di una modalità di erogazione di un servizio (contrattualizzato) e degli elementi secondari a contorno (che potremmo ricondurre ai “legittimi interessi”, meglio se intesi in senso forte come “ponti di varco e bilanciamento” tra privacy e altri diritti/libertà fondamentali), in ambito privato, non corrisponde a un capriccio disinvolto e famelico – e pensarlo sarebbe un pregiudizio; tale libera scelta d’impresa non è equiparabile né sovrapponibile alla rigidità della previsione dei poteri, dei procedimenti e dei margini d’azione amministrativi per una PA.

Non dovrebbe essere necessaria una legge o una regolazione o un’inflessibile e capziosa pattuizione contrattuale, per legittimare un modello di business privato, mentre dovrebbe contare l’incontro leale fra le volontà e le ragionevoli aspettative – esplicite o implicite – delle parti in gioco. Per esempio, fatta eccezione per quanto sia espressamente vietato dalla legge e/o si riveli obiettivamente nocivo (ma andrebbe valutato il rischio e il quantum, per operare un bilanciamento), nessuna Autorità di regolazione – ex ante o ex post – dovrebbe poter impedire o contestare a un ristorante le ricette, i menu, i modi di cottura e di servizio al tavolo dei cibi ai suoi avventori. Tantomeno, si potrebbero sindacare e imporre le modalità di relazione con la clientela (CRM) da parte del personale di servizio.

In ogni caso, anche valutando i profili extracontrattuali, si dovrebbe tener conto dello stato dell’arte e della tecnica, della Costituzione materiale e delle consuetudini. Questo ragionamento – che ho intenzionalmente semplificato con la ristorazione – vale, a fortiori, in ambito digitale: che senso avrebbe imporre dimensioni cartacee ed analogiche, in contesti ormai nativamente digitali? Poter attuare un modello di erogazione del servizio, anziché un altro, corrisponde a un meccanismo di valorizzazione economica degli asset materiali e immateriali – quindi, anche dei dati personali e non – che appartiene ai margini della libertà d’impresa, della libertà di espressione, del diritto all’informazione, e la lista potrebbe allungarsi. Diversamente, tutte le attività economiche che prestano gli stessi servizi non potrebbero differenziarsi, in modo competitivo, e dovrebbero attenersi, come enti pubblici, alle prescrizioni procedimentali statutarie. Irreale, dirigista, dannoso proprio per le libertà e i diritti fondamentali di tutti, per primi degli interessati, dei consumatori, dei cittadini, degli utenti e dei contraenti.

È naturale e ovvio che, a maggiori libertà, debbano corrispondere proporzionalmente maggiori attenzioni ai rischi e maggiori responsabilità da parte di chi svolge attività d’impresa digitale. Nessuno auspicherebbe mai l’assenza di tutele, salvaguardie e rimedi per le persone e le loro informazioni. Ma, piuttosto che ancorarsi all’idealizzazione del consenso come unica base giuridica idonea per legittimare la valorizzazione commerciale dei dati personali (non lo è, in molti frangenti, nei fatti) e che tentare d’imporre dall’alto i modelli di business – sindacando in chiave imperativa e pubblicistica la bontà dell’uno o la cattiveria dell’altro – se non nei casi previsti dalla legge o di conclamata, e non solo astrattamente e remotamente potenziale, nocività per i diritti e le libertà fondamentali degli interessati, avrebbe senso puntare sulla responsabilizzazione (accountability) dei titolari del trattamento e indirizzare le dinamiche di tutela dei dati personali, nel contesto digitale, secondo un criterio aquiliano, da un lato, e tollerando l’inevitabile atipicità contrattuale e regolatoria, dall’altro. Questo significherebbe anche offrire agli utenti/contraenti/interessati nuove e potenti funzionalità, più trasparenti, personalizzate e mirate, per esercitare il loro diritti in ambiente digitale, sfruttando le stesse tecnologie profilanti normalmente usate per fini commerciali.

Come ben illustrato da Giovanni De Gregorio e Pietro Dunn nel lavoro premiato dalla rassegna My Data is Mine 2021, sarebbe possibile promuovere l’avvicinamento metodologico a un nuovo costituzionalismo digitale, bilanciando tra loro diritti, libertà e interessi in competizione, attraverso il filtro bilanciante della valutazione e gestione dei rischi. Pare inutile e dannoso insistere nell’esazione di una base giuridica come il consenso preventivo, poiché l’immersione metaversale[18] totalizzante e nativa dei rapporti e delle interazioni umane, imprenditoriali, istituzionali, sociali, consumeristiche, civiche, professionali, accademiche, creative, et al., renderà via via il consenso uno strumento, il più delle volte, farraginoso, affaticante, fittizio o, peggio, confusivo, quindi controproducente per le tutele stesse degli interessati. Superare l’impasse della base giuridica – legata a una benintenzionata ma troppo rigida applicazione del principio di liceità; ammettere la libertà dei modelli di business; accettare il legittimo interesse come “ponte di varco e bilanciamento” nella valorizzazione economica dei dati personali – salvo che in casi particolari e sensibili o di rischio troppo elevato; tutto questo implicherebbe un innalzamento dei livelli di trasparenza, correttezza, responsabilizzazione, fiducia.

Un Privacy New Deal per la protezione e valorizzazione dei dati personali nel “tutto digitale”, che potrà assicurare il massimo grado possibile – mai assolutizzante, sempre relativizzato ed equilibrato – di salvaguardia dei diritti e delle libertà fondamentali data-driven, senza soffocare, anzi incentivando l’iniziativa economica e l’innovazione.

di Luca Bolognini (Fonte: Agenda Digitale)

Note sull'Autore

Luca Bolognini Luca Bolognini

Presidente Istituto Italiano per la Privacy, founder di Ict Legal Consulting - Twitter: @lucabolognini

Prev Data breach da burnout per CISO e Data Protection Officer
Next Verso l’euro digitale come necessità della Digital Age: nuova tappa di un nuovo mondo in costruzione che potrebbe richiedere un ripensamento del GDPR

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy