UNIVERSITÀ DEGLI STUDI DI FOGGIA UNIVERSITÀ DEGLI STUDI DI SIENA
DI
UNIVERSITÀ DEGLI STUDI DI FOGGIA UNIVERSITÀ DEGLI STUDI DI SIENA
Dottorato di ricerca in Scienze Giuridiche
Persone e mercati nell’esperienza giuridica (s.s.d. IUS/01, IUS/02) Ciclo XXXII
Coordinatore: Xxxxx.xx Xxxx. Xxxxxxxx Xxxxxxx
DATI DEL CONSUMATORE TRA PERSONA E CONTRATTO
Una prospettiva italo-europea
Tutor:
Xxxxx.xx Xxxx. Xxxxxxxxxx Xxxxxxxx
Cotutor:
Xxxxx.xx Xxxx. Xxxxxxx Xxxxxxxxxxx
Dottorando: Xxxxxxxx Xxxxxxx
Anno accademico 2018-2019
A mia madre
Indice
Introduzione 4
1. I dati: “buco nero” del XXI secolo? 4
2. L’evoluzione di un settore disciplinare a cavallo tra proprietà e personalità. E il contratto? 5
3. L’esigenza di una prospettiva disciplinare integrata per un migliore enforcement e un’adeguata distribuzione degli oneri economici tra privati. Piano della ricerca 6
Capitolo I. Dati personali e attività economica. I modelli commerciali «dati- centrici» 10
1. Personal data is the new currency? 10
2. Dati personali e attività economica: diverse declinazioni del campo di indagine 15
2.1. L’analisi economica della privacy nel dibattito nordamericano 27
2.1.1. (Segue) Critiche e scenari operativi nel contesto giuridico europeo 37
2.2. La (parabola della) categoria dei dati personali di contenuto economico nell’ordinamento italiano 40
2.2.1. (Segue) Il trattamento dei dati personali avente finalità economica tra RGPD e spunti dall’ordinamento tedesco 46
2.3. Il valore economico dei dati personali nell’era dei Big Data 51
3. I modelli commerciali incentrati sul trattamento dei dati personali 57
3.1. La fornitura “gratuita” di servizi e contenuti digitali: note sulla ratio economica e cenni (con rinvio) sulle principali questioni giuridiche 60
4. Il trattamento commerciale dei dati personali tra condizioni generali di contratto e privacy policies: qualche esempio dalla prassi 66
Capitolo II. Dati personali e autonomia privata. Consenso e dimensione economico- partecipativa dell’interessato 75
1. La protezione dei dati personali. Spazi angusti per letture “sostanzialiste” 75
1.1. Dati personali e proprietà 83
1.2. Dati personali e personalità… 88
1.2.1. Il diritto (fondamentale) alla protezione dei dati personali 92
1.3. I rapporti tra la disciplina di protezione dei dati personali e il diritto civile patrimoniale. Critiche a prospettive rigidamente unidirezionali 97
2. Dati personali e autonomia privata. La circolazione dei dati personali tra interessi e meccanismi pubblicistici e privatistici 106
2.1. Il consenso al trattamento dei dati personali 108
2.1.1. Natura giuridica 112
2.1.1.1. (Segue) La tesi negoziale 113
2.1.1.2. (Segue) La tesi anti-negoziale 116
2.1.1.3. (Segue) La tesi della duplicità della natura e/o dei consensi 118
2.2. Relativizzazione delle diversità qualificatorie e utilità di un’interpretazione sistematica 120
3. La disponibilità degli attributi immateriali della personalità: il paradigma del nome e dell’immagine 122
4. Il rigetto della natura “rinunciativa” del consenso dell’interessato e la qualifica di atto di esercizio del diritto alla protezione dei dati personali 126
4.1. Il consenso dell’interessato nella teoria dell’attribuzione normativa dei beni 131
4.2. Il mercato dei dati personali: un problema più politico che concettuale 138
Capitolo III. Dati personali e contratto. La fattispecie di «prestazione contro dati personali» nella direttiva 2019/770/UE 142
1. Il crescente interesse giuridico verso diverse fattispecie di «prestazione (patrimoniale)
contro dati personali» 142
1.1. L’opportunità di distinguere le fattispecie in base alla finalità di trattamento dei dati personali 146
2. L’introduzione della direttiva 2019/770/UE: la rilevanza della fornitura dei dati da parte del consumatore nell’ottica di un ampliamento delle tutele 149
2.1. (Segue) Un percorso di armonizzazione massima rimediale alle frontiere del contratto (nazionale) 153
3. Struttura del contratto di fornitura di contenuti o servizi digitali a fronte della fornitura dei dati personali del consumatore 159
3.1. La fornitura dei dati personali e la base giuridica del trattamento ai sensi dell’art. 6, RGPD 161
3.1.1. Il problema della libertà del consenso al trattamento dei dati personali nelle ipotesi di “condizionalità” per l’accesso a una prestazione del titolare 169
3.1.2. (Segue) La “giurisprudenza” del Garante (rectius, dei Garanti) alla protezione dei dati personali e l’interpretazione della Corte di Cassazione 170
3.1.3. (Segue) Qual è la ratio dell’art. 7, par. 4, RGPD? 174
3.2. La fornitura/trattabilità dei dati personali dedotta in contratto: le possibili ricostruzioni giuridiche 180
3.2.1. La via tedesca: dati personali come oggetto di prestazione (Personenbezogene Daten als Leistungsgegenstand) 181
3.2.2. Una possibile via italiana: un collegamento negoziale tra il contratto di fornitura di contenuti/servizi digitali e il consenso al trattamento dei dati personali 183
4. (In)efficacia, (in)validità e (non) conformità del contratto di fornitura alla luce di “vizi” nel trattamento dei dati personali 187
4.1. Invalidità del consenso al trattamento dei dati personali ed effetti sul contratto 189
4.1.1. (Segue) Consenso invalido per “causa imputabile” all’operatore economico: eccezione alla regola simul stabunt, simul cadent? 191
4.2. Revoca del consenso al trattamento dei dati personali ed effetti sul contratto 193
4.2.1. (Segue) Tecniche di contrasto al rischio di abuso del consumatore nel caso di fornitura
definitiva di un contenuto digitale 196
4.3. Trattamento dei dati personali illecito o abusivo tra vizi dell’atto e vizi del rapporto 198
4.3.1. Trattamento dei dati personali illecito o abusivo oggetto di una clausola negoziale: mancanza di vincolatività della clausola per illiceità dell’oggetto, intrasparenza e vessatorietà 199
4.3.2. Trattamento dei dati personali illecito in executivis: difetto di conformità del contenuto o servizio digitale 207
5. Il senso di un tentativo di integrazione tra protezione dei dati personali e diritto privato patrimoniale 209
Conclusioni 212
Bibliografia 223
Giurisprudenza citata 247
Decisioni citate di autorità amministrative indipendenti 249
Ringraziamenti 250
Introduzione
1. I dati: “buco nero” del XXI secolo?
Se si dovesse scegliere una parola-chiave della seconda decade del XXI secolo, la scelta potrebbe tranquillamente ricadere su «dati». La pervasità di tale termine è dimostrata dal fatto che nell’arco dell’ultimo decennio i discorsi di ogni ambito epistemologico ruotano intorno ad esso. Non si tratta certamente di un vocabolo nuovo, ma l’uso che di questo viene fatto ha subito una crescita esponenziale, tanto da fargli assumere le sembianze di una sorta di mantra.
L’analisi dei dati è divenuta l’oggetto di una branca scientifica, la c.d. data science o data analytics, per l’apprendimento della quale proliferano i corsi di formazione, a vari livelli di complessità. L’economia globale è sempre più dipendente dalla capacità delle imprese di generare profitto attraverso tecniche e sistemi di elaborazione di ingenti masse di dati di diversa natura. L’efficienza delle amministrazioni pubbliche non può fare a meno di trasformare in dati le informazioni di cui sono in possesso al fine di poterle analizzare meglio e, di riflesso, offrire servizi più idonei a soddisfare le esigenze dei cittadini. L’avvento della maggior parte delle nuove tecnologie appare in stretta connessione con il miglioramento delle capacità computazionali e, dunque, con l’incremento dei dati raccolti. Le abitudini di vita delle persone hanno sempre più a che fare con l’utilizzo di dispositivi elettronici il cui funzionamento è intrinsecamente basato sul trattamento di dati. La società dei servizi in costante progresso affonda le sue radici più profonde non solo nell’informazione, ma ancor di più nei dati. D’altronde, in termini informatici, i dati altro non sono che informazione “allo stato brado”, bit che si cumulano da cui estrarre elementi utili a costuire comunicazioni o conoscenze. La centralità dei dati nei processi di produzione dei beni e di organizzazione dei servizi, se da un lato ha fatto nascere la domanda di nuovi attori sul piano operativo delle tecniche di elaborazione e analisi, dall’altro ha dato vita – su impulso del legislatore europeo – anche a nuove figure professionali deputate alla prevenzione dei rischi e al controllo del rispetto della normativa in materia, ossia il data protection officer.
Di fronte a uno scenario di tal genere, il formante legislativo prova ad aggiornarsi. Ormai da qualche decennio, infatti, interviene, nella sua nota dimensione multilivello, tipica del contesto europeo, attraverso discipline volte a garantire, da una parte, la libera circolazione dei dati e, dall’altra, la protezione della persona rispetto ai pericoli insiti nel trattamento dei dati aventi natura personale.
2. L’evoluzione di un settore disciplinare a cavallo tra proprietà e personalità. E il contratto?
La Convenzione di Strasburgo del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, la direttiva 95/46/CE, la direttiva 2002/58/CE e il regolamento (Ue) 2016/679 (Regolamento Generale per la Protezione dei Dati personali: RGPD) rappresentano le discipline europee facenti parte del processo di costruzione di un diritto riguardante la protezione dei dati personali. A monte di tali discipline vanno inoltre menzionati, da un lato, l’articolo 8 della Convenzione europea per la protezione dei diritti dell’uomo (CEDU) e, dall’altro, gli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16 del Trattato sul funzionamento dell’Unione europea. Nel tempo, dunque, si è venuto formando un settore disciplinare che, seppure non del tutto omogeneo per le diversità che intercorrono tra l’ordinamento dell’Unione europea e il sistema CEDU, comunque presenta una linea evolutiva dai tratti abbastanza identificabili. La Convenzione del 1981 è certamente diversa dalla direttiva 95/46, così come quest’ultima viene innovata in diversi aspetti, anche concettuali, dal recente regolamento generale; tuttavia, il fil rouge di tali provvedimenti risiede nell’emersione di situazioni giuridiche soggettive che si muovono in un limbo ibrido tra i poli della proprietà e della personalità, tra la prospettiva individuale e la prospettiva collettiva, tra il diritto pubblico con la difesa del singolo dall’abuso del pubblico potere e il diritto privato con l’azionabilità orizzontale dei rimedi. Si è soliti ricondurre tali discipline al pioneristico right to privacy di Xxxxxx e Xxxxxxxx inteso come right to be let alone, ma in realtà il padre putativo sembra essere piuttosto Westin, che alla fine degli anni Sessanta del secolo scorso già concepiva l’information privacy come un più moderno diritto di controllare le informazioni che ci riguardano.
Il diritto alla protezione dei dati personali, quindi, ha preso le sembianze di un diritto di difesa dai pericoli posti in essere da terzi, ma anche di un diritto di partecipazione nella costruzione dell’identità personale e nell’affermazione del principio di autodeterminazione. Rispetto a tali tecniche di tutela e a tali dispositivi di estrinsecazione della personalità, è rimasto fuori il tema della patrimonialità. Invero, le discipline sulla protezione dei dati personali non si sono occupate della distribuzione delle utilità economiche derivanti dal trattamento di tali dati. Come si vedrà nel presente lavoro, le ragioni di tale lacuna sembrano da rintracciarsi sia nelle incrostazioni dogmatiche che concepiscono gli aspetti della personalità come indisponibili, sia nell’assenza – fino a qualche tempo fa – di fenomeni economici che richiedessero una puntuale messa a punto di regole deputate a disciplinare, per un verso, gli obblighi dei soggetti che creano la loro principale ricchezza dal trattamento dei dati dei propri utenti e, per altro verso, i diritti di tali utenti che si relazionano con siffatti operatori economici. In particolare, fino al decennio scorso non era ancora così diffusa la prestazione di servizi digitali che prescinde dal pagamento di un corrispettivo pecuniario in quanto remunerata dal trattamento dei dati personali dei consumatori.
Le circostanze appena menzionate hanno fatto sì che la letteratura giuridica europea non si sia interessata particolarmente, a parte qualche eccezione, ai rapporti tra la protezione dei dati personali e l’autonomia privata. Dinanzi a una normativa di data protection di stampo imperativo, non si vedeva d’altronde l’utilità di dedicare attenzione alle categorie contrattuali per affrontare le problematiche relative al trattamento dei dati personali.
3. L’esigenza di una prospettiva integrata per un migliore enforcement e un’adeguata distribuzione degli oneri economici tra privati. Piano della ricerca
Ci sono almeno due ragioni che richiedono di rivedere l’impostazione finora descritta.
In primo luogo, se si continua a ritenere che il diritto contrattuale non può intercettare i profili relativi al trattamento dei dati personali, si finisce per riservare ai consumatori che ottengono la fornitura di un bene o di un servizio, in virtù della
fornitura dei dati personali che li riguardano, un trattamento peggiorativo rispetto ai consumatori che ottengono la medesima prestazione pagando un prezzo. È noto, infatti, che nel diritto contrattuale italiano, ma non solo, le obbligazioni discendenti da un contratto gratuito hanno uno statuto più affievolito rispetto a quelle che hanno origine in un contratto oneroso, sia sotto il profilo della responsabilità contrattuale che sotto l’aspetto delle tutele esperibili da parte del contraente non obbligato.
In secondo luogo, ma in termini connessi, finché non si riflette sulle modalità di regolazione dei circuiti di circolazione della ricchezza generata dal trattamento dei dati personali, bisogna aspettarsi un sempre maggiore incremento della concentrazione del potere economico nel mercato di tali dati. Infatti, sembra lecito inferire che la concentrazione attuale delle c.d. data companies (Google e Facebook su tutte) è dovuta, oltre che all’indubitabile network effect, anche all’assenza di regole puntuali relative allo scambio di dati personali. L’accesso ai dati degli utenti sembra essere facilitato dalla logica che vede i dati personali come un qualcosa di assimilabile ai beni pubblici, per il carattere di non rivalità degli stessi, e rispetto ai quali l’escludibilità dall’utilizzo è data dalla legge piuttosto che dal contratto. In un approccio del genere, dove i confini legali appaiono abbastanza incerti, l’enorme potere economico assunto da determinate piattaforme digitali fa sì che l’accesso ai dati dei consumatori dipenda de facto dalla discrezionalità di queste ultime invece che da chiari meccanismi circolatori.
Può riconoscersi, pertanto, che il sempre crescente valore economico dei dati personali imponga un’indagine più articolata dei fenomeni in cui questi ultimi rappresentano, di fatto, una merce di scambio. Orbene, appare opportuno compiere tale indagine non solo attraverso le categorie e le tecniche rimediali della data protection, ma anche attraverso le categorie del diritto civile patrimoniale, in particolare quelle contrattuali intinte con la consumer protection. Detto diversamente, occorre una prospettiva integrata al fine di badare, oltre che alle insopprimibili esigenze di tutela puramente personalistica, anche alle esigenze di ripartizione delle utilità e dei rischi connessi alle operazioni economiche che vedono attualmente alcuni attori del mercato digitale muoversi in un contesto di sostanziale laissez-faire.
La ricerca in esame intende assumere tale prospettiva, suggerita altresì dalla recente introduzione della direttiva 2019/770/UE, la quale, protesa a disciplinare i rimedi consumeristici nei casi di mancata fornitura di contenuti o servizi digitali e nelle
ipotesi in cui gli stessi abbiano un difetto di conformità, rappresenta il primo atto normativo del panorama europeo che prende in considerazione i dati personali del consumatore in una logica prettamente contrattuale. Infatti, l’articolo 3, paragrafo 1 prevede che la direttiva in questione si applica non solo quando il consumatore, a fronte della fornitura di un contenuto o di un servizio digitale, paga un prezzo, ma anche quando fornisce all’operatore economico alcuni dati personali che lo riguardano. Il presente lavoro muoverà da una preliminare messa a punto del fenomeno economico, ossia dei modelli commerciali incentrati sul trattamento dei dati personali, inframezzata da alcuni cenni all’evoluzione diacronica dei diversi modi con cui il formante normativo ha declinato il rapporto tra dati personali e attività economica. Si vedrà come la materia non è stata ancora compiutamente tematizzata in un’ottica di ampio respiro, né è stata incardinata in una tassonomia concettuale ben definita. Si avrà inoltre modo di evidenziare come la dottrina ha seguito con moto ondivago l’emersione dei nuovi fenomeni economici, lasciandosi influenzare eccessivamente, in taluni casi, dal linguaggio del legislatore a discapito di più stringenti esigenze di sistematica concettuale. Un esempio emblematico, in tal senso, è costituito dalla scarsa attenzione dedicata alla possibile ricostruzione – in realtà, di difficile realizzazione per la presenza di scarsi appigli normativi – di uno statuto del trattamento dei dati personali avente una finalità commerciale. I richiami finali alle condizioni generali e alle privacy policies praticate dalle principali data companies serviranno ad avere maggiore
contezza del fenomeno in esame.
Al primo capitolo seguirà un focus sulle oscillazioni qualificatorie delle situazioni giuridiche soggettive emergenti dalla disciplina in materia di protezione dei dati personali. Si avvertirà, dunque, l’esigenza di soffermarsi sul positivizzato diritto fondamentale alla protezione dei dati personali ai sensi dell’articolo 8 della Carta di Nizza. È in questa fase del lavoro che si porrà il primo accento forte sulla convinzione dell’opportunità di un approccio integrato di differenti corpi disciplinari. Sulla scia di tale prospettiva, si cercherà di verificare se la normativa in materia di protezione dei dati personali lasci degli spazi ad eventuali meccanismi di autonomia privata. Lo sguardo, quindi, non potrà che essere rivolto all’istituto del consenso al trattamento dei dati personali, ripercorrendo le diverse tesi sulla sua natura giuridica e indagando altresì i possibili rapporti dello stesso consenso con la teoria attributiva dei beni,
quest’ultima intesa in stretta relazione al problema dell’appropriazione privata della ricchezza.
Le ricostruzioni compiute nel primo e nel secondo capitolo serviranno a inquadrare opportunamente i problemi interpretativi posti da alcune disposizioni contenute nella già citata direttiva 2019/770. Il terzo e ultimo capitolo, infatti, sarà dedicato, da un lato, all’esegesi di alcune norme significative rinvenibili nella direttiva e, dall’altro, alla risoluzione di alcune questioni non espressamente affrontate dal legislatore europeo, per la quale sarà necessario attingere a principi ed argomentazioni di ordine sistematico, talora ricavabili direttamente dall’ordinamento eurounitario, talaltra dall’ordinamento nazionale, quest’ultimo ancora centrale sul piano del diritto contrattuale generale. Nello specifico, si cercherà di comprendere, in primo luogo, qual è la base giuridica che giustifica il trattamento dei dati personali nell’ambito delle operazioni economiche di “contenuti/servizi digitali vs dati personali”. A tal proposito, sarà nuovamente preso in esame il consenso al trattamento, questa volta tuttavia con l’intento di dipanare le incertezze interpretative del requisito di libertà, per come esso è modellato dall’articolo 7, paragrafo 4 del RGPD. Successivamente, ci si interrogherà su come la trattabilità dei dati personali vada ricondotta al contratto (nazionale), tema sul quale la dottrina tedesca è quella che ha compiuto gli studi più avanzati. La ricostruzione che verrà suggerita si ripercuoterà inevitabilmente su alcune questioni concernenti l’interazione tra il RGPD e la disciplina contrattuale, in particolare sulle sorti del contratto nei casi in cui il consenso al trattamento dei dati personali è invalido o viene revocato, così come sulle tecniche rimediali a livello negoziale quando il trattamento dei dati personali posto in essere dall’operatore economico si rivela illecito o, in modo più sfumato, abusivo.
L’analisi che ci si accinge a svolgere ha lo scopo di attribuire un senso alla prospettiva da cui si muove. Si cercherà di dimostrare che le sfide che la rivoluzione digitale ci presenta richiedono l’assunzione di approcci ermeneutici fin qui inusuali. La combinazione di statuti disciplinari aventi finalità diverse e dotati di strumentari difformi indubbiamente può scoraggiare l’interprete, ma non deve frenarlo dal tentativo di percorrere sentieri ancora poco battuti.
Capitolo I
Dati personali e attività economica. I modelli commerciali «dati-centrici»
Sommario: 1. Personal data is the new currency?; 2. Dati personali e attività economica: diverse declinazioni del campo di indagine; 2.1. L’analisi economica della privacy nel dibattito nordamericano;
2.1.1. (Segue) Critiche e scenari operativi nel contesto giuridico europeo; 2.2. La (parabola della) categoria dei dati personali di contenuto economico nell’ordinamento italiano; 2.2.1 (Segue) Il trattamento dei dati personali avente finalità economica tra RGPD e spunti dall’ordinamento tedesco;
2.3. Il valore economico dei dati personali nell’era dei Big Data; 3. I modelli commerciali incentrati sul trattamento dei dati personali; 3.1. La fornitura “gratuita” di servizi e contenuti digitali: note sulla ratio economica e cenni (con rinvio) sulle principali questioni giuridiche; 4. Il trattamento commerciale dei dati personali tra condizioni generali di contratto e privacy policies: qualche esempio dalla prassi
1. Personal data is the new currency?
Nel panorama internazionale è particolarmente in voga l’espressione «personal data is the new currency», o in alternativa, «the new oil». Entrambe le formule vengono richiamate frequentemente in contributi accademici1, report specialistici2, così come in una vasta serie di articoli di taglio più o meno divulgativo3, e finanche in discorsi istituzionali4. Si tratta di metafore alle quali, sebbene parecchio contestate sul
1 Ex multis, P.M. XXXXXXX, Property, Privacy, and Personal Data, in Harvard Law Review, 2004, p. 2056.
2 X. XXXXXX, Data: the new currency, EuropeanVoice, Xxxxxxxx, 0000.
3 Tra i tanti, v. THE ECONOMIST, The world’s most valuable resource is no longer oil, but data, 6 May 2017, disponibile online su: xxxxx://xxx.xxxxxxxxx.xxx/xxxx/xxxxxxx/00000000-xxxx-xxxxxxx- demands-new-approach-antitrust-rules-worlds-most-valuable-resource; W.D. XXXXXX E AL., Data as the new currency: Government’s role in facilitating the exchange, in Deloitte Review, n. 13, 2013, p. 18 ss.; X. XXX, Is Personal Data the New Currency?, MIT Technology Review, 30 novembre 2011, disponibile online su: xxxxx://xxx.xxxxxxxxxxxxxxxx.xxx/x/000000/xx-xxxxxxxx-xxxx-xxx-xxx- currency/; E. DUMBILL, Data is a currency, O’Xxxxxx Radar, 23 febbraio 2011, disponibile online su: xxxx://xxxxx.xxxxxxx.xxx/0000/00/xxxx-xx-x-xxxxxxxx.xxxx.
4 Si fa riferimento, in particolare, ai discorsi pronunciati da tre diversi (in due casi ex) componenti della Commissione europea: M. VESTAGER, Competition in a Big Data World, Speech, Munich 17 January 2016, disponibile online su: xxxxx://xx.xxxxxx.xx/xxxxxxxxxx/xxxxxxxxxxxxx/0000- 2019/vestager/announcements/competition-big-data-world_en; X. XXXXXX, The EU Data Protection Reform 2012: Making Europe the Standard Setter for Modern Data Protection Rules in the Digital Age, Speech, Munich 22 January 2012, disponibile online su: xxxx://xxxxxx.xx/xxxxx/xxxxx-xxxxxxx_XXXXXX- 12-26_en.htm; X. XXXXXX, Keynote Speech in Roundtable on Online Data Collection, Targeting and Profiling, Speech, Brussels 31 March 2009, disponibile online su: xxxx://xxxxxx.xx/xxxxx/xxxxx- release_SPEECH-09-156_en.htm.
piano strettamente economico5, può comunque riconoscersi un’indubbia efficacia comunicativa, nella misura in cui riproducono plasticamente l’importanza assunta dai dati personali nella dimensione economica odierna e, al tempo stesso, restituiscono l’immagine di un’economia che si spinge oltre le categorie esistenti. Discorrendo di new currency e new oil, pur facendosi riferimento, nel primo caso, a un concetto economico tradizionale (la moneta) e, nel secondo caso, alla materia prima più rilevante dell’economia industriale (il petrolio), lo scopo non è affatto quello di trasmettere l’idea di una certa continuità con il passato, la cui soluzione piuttosto è rappresentata dall’accostamento di tali figure-chiave della sfera economica a una entità, i dati personali, finora appartenente, già sul piano semantico, ad un campo diverso da quello mercantile, concorrendo questi alla costruzione dell’identità personale di un individuo.
A dispetto delle nitide suggestioni evocate dalle suddette metafore, il fenomeno che traspare sullo sfondo risulta avere tinte molto sfocate. Xxxx, può dirsi che i fenomeni affioranti siano certamente più di uno. L’importanza assunta dai dati nell’attuale contesto socio-economico non può non richiamare, ad esempio, il fenomeno dei c.d. Big Data6, così come quello dell’Internet of Things7; fenomeni diversi tra di loro, aventi come minimo comune denominatore il fatto di avere origine da innovazioni tecnologiche che hanno portato alla ribalta il tema dell’elaborazione
5 I peculiari caratteri dei dati, che ne fanno un bene né rivale né di consumo, sono alla base delle principali obiezioni mosse al parallelismo con il denaro e il petrolio. Tra gli articoli di taglio divulgativo,
v. A.G. XXXXXXXX, No, Data Is Not the New Oil, in Wired, 26 febbraio 2019, disponibile online su: xxxxx://xxx.xxxxx.xxx/xxxxx/xx-xxxx-xx-xxx-xxx-xxx-xxx/; X. XXXX, Here's Why Data Is Not The New Oil, in Xxxxxx, 5 maggio 2018, disponibile online su: xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxxxxxx/0000/00/00/xxxxx-xxx-xxxx-xx-xxx-xxx-xxx- oil/#67ff4cf73aa9. Per una critica al paragone dei dati con il petrolio e con la moneta, optando per una loro qualificazione come infrastructure, v. OECD, Data-Driven Innovation: Big Data for Growth and Xxxx-Xxxxx, XXXX Xxxxxxxxxx, Xxxxx, 0000, p. 177 ss. Esclude invece anche questa opzione X. XXXXXXXXX, Data is not the new oil or the infrastructure of the digital economy, in CIO, 24 gennaio 2018, disponibile online su: xxxxx://xxx.xxx.xxx/xxxxxxx/0000000/xxxx-xx-xxx-xxx-xxx-xxx-xxx-xx-x-xxx- the-infrastructure-of-the-digital-economy-either.html.
6 Per una ricognizione del dibattito scientifico circa gli elementi che caratterizzerebbero l’economia dei Big Data, con uno sguardo altresì alle implicazioni più significative sul piano delle politiche della concorrenza e delle politiche industriali, v. X. XXXXXXXXX, X. XXXXX, Economia dei big data: lineamenti del dibattito in corso e alcune riflessioni di policy, in L’industria, 2018, pp. 3-16.
7 L’Internet of Things è «un'architettura dell'informazione che facilita lo scambio di beni e servizi e si traduce in un network informatico che collega tra loro oggetti — fisici o virtuali — che si rendono riconoscibili e acquisiscono intelligenza grazie alla possibilità di comunicare dati su se stessi e sull'ambiente che li circonda»: v. M.C. GAETA, La protezione dei dati personali nell’Internet of Things: l’esempio dei veicoli autonomi, in Dir. inf., 2018, p. 148, cui si rimanda per gli opportuni riferimenti bibliografici. In particolare, sulla mercificazione dei dati personali in quest’ambito, v. S-A. ELVY, Commodifying Consumer Data in the Era of the Internet of Things, in Boston College Law Review, 2018, p. 423 ss.
dei dati sotto vesti nuove rispetto al passato8. Non costituisce, infatti, una novità che le imprese raccolgano ed elaborino dati, personali e non, nello svolgimento delle loro attività, tuttavia mai fino ad ora si era ritenuto che i dati potessero costituire addirittura l’oggetto di un’economia. «Costruire un’economia dei dati» è un obiettivo prefissosi dalla Commissione europea, la quale in una comunicazione e in un documento di lavoro presentati nel 2017 ha indicato le linee di policy alla base di una futura regolamentazione che possa garantire un’adeguata infrastruttura normativa per il risultato auspicato9. A tale iniziativa ha fatto seguito l’introduzione del reg. (UE) 2018/1807 del 14 novembre 2018 che delinea il quadro applicabile alla libera circolazione dei dati non personali nell'Unione europea, presentandosi quindi come
8 La c.d. «data revolution» pienamente in atto è divenuta oggetto d’attenzione anche delle Nazioni Unite nell’ottica di indirizzare l’utilizzo sempre più dirompente delle masse di dati in circolazione verso gli obiettivi di uno sviluppo sostenibile indicati nell’Agenda 2030 (v. UNITED NATIONS SECRETARY- GENERAL’S INDEPENDENT EXPERT ADVISORY GROUP, A World that Counts. Mobilising the Data Revolution for Sustainable Development, 2014, disponibile online su xxxx://xxx.xxxxxxxxxxxxxxxx.xxx/xx-xxxxxxx/xxxxxxx/0000/00/X-Xxxxx-Xxxx-Xxxxxx.xxx). Tuttavia, come viene riconosciuto dagli stessi estensori del documento in questione, la sostenibilità dello sfruttamento dei dati, in una prospettiva sia di amministrazione pubblica delle risorse che di strategie commerciali delle imprese, deve essere garantita attraverso la messa a punto di alcuni principi chiari sulla data protection (v. UNITED NATIONS DEVELOPMENT GROUP, Guidance Note on Big Data for Achievement of the 2030 Agenda: Data Privacy, Ethics and Protection, 2017, disponibile online su xxxxx://xxxx.xxx/xx-xxxxxxx/xxxxxxx/0000/00/XXXX_XxxXxxx_xxxxx_xxx.xxx). Si tratta, in fondo, di assicurare la «sostenibilità», concetto notoriamente sfuggente, in virtù del rispetto dei diritti umani, tra i quali può farsi rientrare il diritto alla privacy. A tal proposito, quanto meno con riguardo ai modelli commerciali basati sullo sfruttamento dei dati personali, bisognerebbe chiedersi se la sostenibilità di tali modelli possa dipendere esclusivamente dall’armamentario, normativo e concettuale, dei diritti umani. La questione investe la selezione dei metodi più appropriati per assicurare un reale rafforzamento del potere economico degli individui. Questi ultimi necessitano di strumenti sul mercato che spesso vengono forniti da enti collettivi che prendono parte ai c.d. Personal Information Manegement Systems (PIMS); non a caso il Garante europeo per la protezione dei dati personali, occupandosi dei PIMS, ha coniato l’espressione di «a sustainable business model in the interest of the individuals» (v. EUROPEAN DATA PROTECTION SUPERVISOR, Opinion 9/2016 on Personal Information Management Systems. Towards more user empowerment in managing and processing personal data, 20 October 2016, disponibile online su: xxxxx://xxxx.xxxxxx.xx/xxxxx/xxx/xxxxx/xxxxxxxxxxx/00-00- 20_pims_opinion_en.pdf). Sebbene il presente lavoro non intenda focalizzarsi sulla «sostenibilità» dei modelli commerciali, le riflessioni che seguiranno potranno, in certi casi, interessare il tema sollevato. 9 Commissione europea, Costruire un’economia dei dati europea, COM(2017) 9 final. Tale documento, tuttavia, si riferisce ai soli dati non personali per evitare rischi di interferenze con il regime predisposto dal reg. (UE) 2016/679. Per un commento all’iniziativa della Commissione, con riflessioni sulla difficoltà di distinguere i dati personali da quelli non personali alla luce dell’amplia definizione dei primi nell’art. 4, par. 1, RGPD, e sulle sfide relative alla partecipazione economica dei consumatori con riguardo alla ricchezza generata dal trattamento dei dati, v. C. XXXXXXXXXX, Consumers and the Data Economy, in EuCML, 2017, p. 2; xxxxxxx, per una critica nei confronti della scelta (illusoria) di tener separati i dati personali da quelli non personali nell’ambito delle problematiche inerenti i «data collected by sensors», v. ID., Of Elephants in the Room and Paper Tigers: How to Reconcile Data Protection and the Data Economy, in S. LOHSSE, X. XXXXXXX, X. XXXXXXXXXXXX (eds.), Trading Data in the Digital Economy: Legal Concepts and Tools, Xxxxx-Xxxxx, 0000, x. 000 xx.
xxxxxxxxxxx (xxx più modesto per lunghezza e portata) del reg. (UE) 2016/679 (d’ora in avanti indicato con l’acronomico RGPD).
Dinanzi a una tematica così vasta, che potenzialmente interessa in modo trasversale ogni settore economico, e più in generale di vita sociale, la lente giuridica avverte il bisogno di ritagliare aree fattuali rispetto alle quali i tentativi di analisi e comprensione concettuale possano condurre a risultati di una qualche utilità sul piano sia pratico che teorico. Si intende dire che il presente lavoro focalizzerà l’attenzione solo su determinati aspetti della c.d. economia dei dati10.
In particolare, lo sguardo sarà rivolto alle problematiche giuridiche discendenti dalle operazioni economiche che rispondono a un modello commerciale incentrato sul trattamento dei dati personali dei consumatori. Il qualificativo «personali» ci proietta nell’ambito del diritto delle persone, mentre le categorie di «operazione economica»11 e di «consumatore» ci inducono a maneggiare lo strumentario del diritto contrattuale e del diritto del consumo. La prospettiva prescelta, dunque, è quella del contratto che si incontra, e in taluni casi si scontra, con la disciplina di protezione dei dati personali12. L’opzione è suggerita, oltre che dal substrato socio-economico sempre più ricco di modelli commerciali basati sul trattamento dei dati, soprattutto dal formante normativo13. Invero, il 22 maggio 2019 è stata pubblicata nella Gazzetta Ufficiale dell’Unione europea la direttiva 2019/770/UE riguardante alcuni aspetti dei contratti di fornitura di contenuti digitali, la quale include nel suo campo di applicazione materiale non solo i contratti nei quali il consumatore riceve un contenuto o un servizio digitale dietro il pagamento di un corrispettivo monetario, ma anche quelle operazioni in cui il consumatore ottiene la prestazione del professionista “limitandosi” a fornire a quest’ultimo i propri dati. Può anticiparsi fin d’ora che tale novità normativa ha
10 A livello transnazionale, il forte interesse giuridico verso la materia in questione è dimostrato, tra l’altro, dalla costituzione di un gruppo di ricerca operante sotto l’egida di due prestigiose associazioni accademiche, quali lo European Law Institute e l’American Law Institute, avente lo scopo di individuare dei «Principles for a Data Economy»: v. xxxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxx- publications/current-projects-feasibility-studies-and-other-activities/current-projects/data-economy/.
11 Sui caratteri della categoria di «operazione economica», v. X. XXXXXXXXX, L'operazione economica nella teoria del contratto, in Riv. trim. dir. proc. civ., 2009, p. 905 ss.
12 Cfr. X. XX XXXXXXXXXX, La circolazione dei dati personali tra privacy e contratto, Napoli, 2017, p.12 ss. e passim.
13 Com’è noto, i formanti sono un concetto tipico del metodo della comparazione giuridica, entrato a far parte del lessico giuridico grazie alla produzione scientifica di Xxxxxxx Xxxxx: ex multis, v. X. XXXXXXX, X. XXXXX, Sistemi giuridici comparati, III ed., Torino, 2008, pp. 3-6. È evidente che nel testo sopra si è utilizzato il termine con una valenza generica, senza un intento comparatistico tra sistemi giuridici.
richiamato l’attenzione, nel suo percorso di approvazione, di soggetti istituzionali, del sapere specialistico e dell’opinione pubblica in generale14. Essa, infatti, ha acceso i riflettori su un terreno, da un lato, ancora poco esplorato dalla dottrina giuridica e, dall’altro, di grande delicatezza socio-politica per la natura degli interessi in gioco.
Il presupposto di una simile ricerca è, innanzitutto, quello di comprendere le molteplici sfaccettature del fenomeno in questione, il quale, sebbene non possa dirsi ignoto alla letteratura giuridica, è stato esaminato con meno imbarazzo e maggiore disinvoltura dagli studiosi di altre scienze sociali. Non potrà, quindi, farsi a meno di prendere in considerazione anche i contributi provenienti da altre branche, che hanno già avviato una riflessione sui meccanismi di funzionamento dei modelli commerciali che fondano la propria base remunerativa sul trattamento economico dei dati personali. Fermo restando quanto appena detto, per un’opportuna messa a punto dei problemi giuridici discendenti dalle nuove fattispecie, non può non tenersi conto di come i molteplici attori del diritto abbiano finora articolato il discorso relativo al trattamento dei dati personali nella sfera economica. Le differenti prospettive dalle quali si è osservato il tema, complice la polisemia dei termini di riferimento15, quest’ultima
14 Nella prima versione della direttiva proposta dalla Commissione europea era stato utilizzato il termine “controprestazione” in riferimento ai dati forniti dal consumatore in cambio del contenuto o servizio digitale. A tal riguardo, si è acceso un intenso dibattito. Il timore che si legittimasse una deriva mercantile è stato alla base del parere negativo espresso dal Garante europeo per la protezione dei dati personali, v. EUROPEAN DATA PROTECTION SUPERVISOR, Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content, disponibile online su: xxxxx://xxxx.xxxxxx.xx/xxxxx/xxx/xxxxx/xxxxxxxxxxx/00-00-00_xxxxxxx_xxxxxxx_xxxxxxx_xx.xxx; per una sintesi del parere in lingua italiana, v. Gazzetta ufficiale dell’Unione Europea, 2017/C, 200/10.
Nella dottrina europea vi sono stati diversi commenti: cfr. X. XXXXXXX, Data as Counter-Performance: What Rights and Duties do Parties Have?, in Journal of Intellectual Property, Information Technology and E-Commerce Law, 2017, p. 2 ss.; X. XXXXXXXXX, F.Z. XXXXXXXXX, X. XXXXX, The Perfect Match? A Closer Look at the Relationship between EU Consumer Law and Data Protection Law, in Common Market Law Review, 2017, in part. pp. 1461-1463; X. XXXXXXX, ‘Gratuitous’ Digital Content Contracts in EU Consumer Law, in Journal of European Consumer and Market Law, 2017, pp. 202-206; X. XXXXXXX-XXXXX, Personal data is not a counter-performance!, in Tijdschrift voor Consumentenrecht en handelspraktijken, 2018, pp. 74-76; X. XXXXX, X. XXXX-ZENCOVICH, Volontà e consenso nella fruizione dei servizi in rete, in Riv. trim dir. proc. civ., 2018, in part. pp. 421-439; X. XXXXXX, Fornitura di contenuti digitali e controprestazione non pecuniaria: luci e ombre sulla tutela del consumatore nella prospettiva del diritto contrattuale europeo, in F. DI CIOMMO, X. XXXXXXX (a cura di), Giurisprudenza e autorità indipendenti nell’epoca del diritto liquido. Studi in onore di Xxxxxxx Xxxxxxxxx, Piacenza, 2018, p. 269 ss. Sul concetto di dati come consideration, già prima che la proposta di direttiva venisse presentata, v. C. XXXXXXXXX, X. XXXXXXX XXXXXX, Consumer data as consideration, in Journal of European Consumer and Market Law, 2015, pp. 218-223. Per una sintesi delle questioni relative all’utilizzo della nozione di «controprestazione», v. X. XXXXX, X. XXXXXXXXXX, Contracts for the supply of digital content and personal data protection, EPRS Briefing, PE 603.929, May 2017. Nel prosieguo del testo, ci si soffermerà sui principali nodi problematici.
15 Sulla polisemanticità del termine «informazione», mettendo in evidenza le difficoltà classificatorie sul piano giuridico, v. X. XXXX-ZENCOVICH, Informazione (profili civilistici), in Dig. disc. priv., sez. civ., IX, Torino, 1993, p. 420 ss.
dovuta anche alle costanti evoluzioni tecnologiche16, hanno reso la materia recalcitrante ad una metrica concettuale ben definita. Tener presente tale fattore è di fondamentale importanza per una ricerca che si prefigge di indagare alcuni risvolti della complessa e delicata relazione che intercorre tra dati di natura personale e agire economico.
2. Dati personali e attività economica: diverse declinazioni del campo di indagine
I confini del tema che si intende sviluppare sono delimitati da due locuzioni: dati personali e attività economica.
La prima, dati personali, è da ritenersi a tutti gli effetti una nozione giuridica, potendosi riscontrare una sua definizione in diverse fonti, alle quali è d’uopo riferirsi17. Si tratta di fonti sovranazionali e internazionali, il cui intervento si giustifica in ragione dell’evidente transnazionalità del fenomeno di raccolta e circolazione dei dati. Le normative attualmente vigenti contenenti una definizione di dati personali sono: la Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale del 28 gennaio 1981, n. 108, adottata a Strasburgo dal Consiglio d’Europa e di recente emendata con il Protocollo del 18 maggio 2018 (c.d. Convenzione 108+)18, e il regolamento 2016/679 adottato dall’Unione europea19 (già
16 Per una riflessione relativa agli effetti che le trasformazioni tecnologiche producono sui concetti di ordine politico-giuridico, v. X. XXXXXX, Tecnologie e diritti, Bologna, 1995, pp. 42-43, il quale sottolinea come le difficoltà nell’individuare soluzioni giuridiche di lungo periodo derivino non solo
«dal fatto che si tratta di regolare una realtà in continuo mutamento», ma anche dal fatto che si assiste ad «una trasformazione tecnologica dei termini stessi delle [tradizionali] contrapposizioni [autoritarismo/democrazia, accentramento/decentramento, regolamentazione/deregolamentazione, decisione/partecipazione]».
17 Sul quadro delle fonti relative alla protezione dei dati personali v. X. XXXXXXXXX, Il sistema delle fonti normative in materia di tutela dei dati personali, in X. XXXXXXX, X. X’XXXXXX, X. XXXXXXXX (a cura di), I dati personali nel diritto europeo, Torino, 2019, p. 85 ss.
18 La ratifica italiana della Convenzione è avvenuta con la l. 21 febbraio 1989, n. 98, mentre l’adesione al Protocollo modificativo è stata firmata il 5 marzo 2019.
19 Xxxxx competenza dell’Unione europea in materia di protezione dei dati personali, va segnalata l’importanza assunta dall’art. 16 del TFUE nel processo riformatore del Trattato di Lisbona, che ha spianato la strada alla normazione tramite regolamenti nel settore in questione. Su tali profili, v. G.F. XXXXXX, La protezione dei dati personali dopo il Trattato di Lisbona: natura e limiti di un diritto fondamentale «disomogeneo» alla luce della nuova proposta di General Data Protection Regulation, in Oss. dir. civ. comm., 2015, pp. 426-429, ove si dubita che «il nuovo Trattato faccia della tutela dei dati personali una vera e propria materia di competenza dell’Unione» (p. 428) e si afferma la permanenza di una residua competenza statale in materia. Tali considerazioni hanno trovato piena conferma nella
identificato come RGPD). A livello interno, il codice in materia di protezione dei dati personali (d.lgs. n. 196/2003), a seguito dello stravolgimento attuato dal d.lgs. n. 101/2018 contenente le norme di adeguamento al regolamento europeo20, non prevede più una definizione di dato personale, essendo quella prevista dal RGPD immediatamente efficace ed applicabile.
Bisogna quindi far riferimento all’art. 4, n. 1) di tale regolamento, che definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile» (persona definita «interessato» ai fini del trattamento dei dati), precisando che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale»21.
La medesima definizione, al netto di alcune differenze in ordine ai profili di identificabilità della persona (ove si è aggiunto l’esplicito riferimento al nome, ai dati relativi all’ubicazione e a un identificativo online), era contenuta nell’art. 2, lett. a) della direttiva 95/46/CE22, la quale veniva altresì richiamata sul punto dalla direttiva 2002/58/CE (c.d. direttiva e-privacy). Quest’ultima dovrebbe essere a breve sostituita dal regolamento e-privacy, che comunque, almeno nella versione della proposta attuale, non opera alcuna distinzione con riguardo alla definizione (generale) di dato personale contenuta nel RGPD. In termini sostanzialmente analoghi, inoltre, si esprimono anche l’art. 2, lett. a) della suddetta Convenzione di Strasburgo e gli strumenti di soft law che popolano la materia della protezione dei dati personali, quali le Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
necessità di approntare una normativa nazionale di adeguamento al GDPR, predisposta dal d.lgs. n. 101/2018.
20 Su tale intervento legislativo, v. X. XXXXXXX, X. XXXXXXXXX, G.B. XXXXXX (a cura di), Il processo di adeguamento al GDPR, Milano, 2018; particolarmente critico nei suoi confronti X. XXXXXXX, Quel che resta di un codice: il D.Lgs. 10 agosto 2018, n. 101 detta le disposizioni di adeguamento del codice della privacy al regolamento sulla protezione dei dati, in Corr. giur., 2018, p. 1181 ss.
21 Per una puntuale specificazione della definizione di «dato personale» contenuta nel GDPR, v. X. XXXXXXXXX, Art. 4, § III, in G.M. XXXXXX, X. XXXXXX, X. XXXXXXXXX (a cura di), GDPR e Normativa Privacy (commentario), Milano, 2018, pp. 36-38; C. DEL XXXXXXXX, X.X. POPOLI, Disposizioni generali, in X. XXXXXXXXXXX (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, pp. 58-72.
22 In tale articolo si declinava la definizione al plurale «dati personali», ma ciò può ritenersi assolutamente irrilevante.
(art. 1, co. 1, lett. b)) dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) del 1980, anch’esse recentemente riviste nel 2013.
Il primo elemento ricavabile da tali definizioni è che il dato personale è informazione23 e, al pari di altre informazioni, può essere oggetto di attività di vario genere, che, nel linguaggio normativo riguardante i dati personali, assumono la denominazione di «trattamento». Quest’ultimo viene definito dal RGPD come
«qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione
23 Tuttavia, il rapporto tra dato personale e informazione è oggetto di diverse ricostruzioni. A monte, è fondamentale comprendere cosa si intende per informazione.
Secondo Xxxxxxx Xxxx (X. XXXX, Information as Property, in JIPITEC, 2015, pp. 192-197), sfruttando gli insegnamenti della semiotica, è importante distinguere tre livelli relativi all’informazione: il livello semantico (il significato), il livello sintattico (l’insieme di segni) e il livello strutturale (il contenitore fisico). Esemplificando il discorso, lo stesso autore indica il primo livello con le notizie o il contenuto di un libro, il secondo livello con il file di un pc, il terzo livello con un CD o un libro stampato. In questa classificazione, i dati personali attengono al livello semantico in quanto informazioni dotate di un certo significato nel riferirsi a una certa persona, tuttavia nella loro oggettivizzazione sotto forma di immagini fotografiche, di registrazioni vocali o di sequenze di geni acquista rilievo il livello sintattico, che a sua volta potrebbe sfociare nel livello strutturale, sotto forma di contenitore fisico. Secondo Xxxx, la distinzione dei tre livelli da lui proposta è da tenere nella massima considerazione nell’elaborazione di riflessioni economiche e giuridiche sull’informazione.
Per di più, l’informazione è solitamente tenuta distinta dal concetto di conoscenza, alla quale si riconosce pure un ruolo centrale in ambito economico. Essa viene ritenuta «il maggior input del processo produttivo, più delle materie prime e dello stesso capitale, ed una delle variabili fondamentali nel cammino di espansione di qualsiasi impresa» (così X. XXXX-ZENCOVICH, G.B. XXXXXXXXX, L'economia della conoscenza ed i suoi riflessi giuridici, in Dir. inf., 2002, p. 972). La distinzione tra informazione e conoscenza, quest’ultima definibile come “meta-informazione”, ovverosia come capacità di impiegare l’informazione come strumento per generarne altra, viene tracciata soprattutto per attribuire un’autonoma valenza all’espressione «economia della conoscenza» rispetto alla c.d. economia dell’informazione. È da segnalare, peraltro, che a queste due espressioni (economia della conoscenza ed economia dell’informazione) c’è chi preferisce quella di «capitalismo cognitivo», ritenendola più efficace nel cogliere «la connessione totale tra lo sviluppo delle forze produttive e quello dei rapporti sociali di produzione», cfr. X. XXXXXXX, Note minime in tema di trattamento di dati personali, in Eur. dir. priv., 2018, pp. 293-294.
Ritornando adesso ai rapporti tra informazione e dato personale, essi vengono spesso descritti, con un’interpretazione che potremmo dire antiletterale delle definizioni normative riportate nel testo, in senso contrario ad una piena coincidenza tra i due concetti. Secondo una certa dottrina (X. XXXXXXXXXXX, Privacy e protezione dei dati personali. Disciplina e strumenti operativi, Bologna, 2012,
p. 33), il dato o l’insieme di dati è ciò da cui l’informazione viene estratta o inferita e, dunque, l’informazione è da considerarsi l’elaborazione del dato. In questa ricostruzione, sembra tornare la distinzione tra livello semantico e livello sintattico; a tali livelli, tuttavia, vengono assegnate due nozioni differenti (informazione, per il primo livello, e dato, per il secondo). In senso parzialmente diverso si esprime chi, premettendo che l’informazione è da intendersi come un messaggio comunicabile ad altri, vede nei dati (qui intesi come categoria generale che prescindere dal carattere personale) dei componenti di un’informazione processata, che si rapportano ad essa quindi in termini di parte del tutto o elementi dell’insieme (così X. XXXXXX, Essay at Synthesis, in X. XXXXXX (ed.), Freedom of Data Flows and EEC Law, Deventer, 1988, p. 39).
mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione»24. Dalla definizione di trattamento, in combinato con quella di dati personali, si evince che l’area normativamente coperta è piuttosto vasta25, comprendendo qualsiasi attività possa avere ad oggetto informazioni riguardanti persone fisiche senza che rilevi la modalità tecnica utilizzata («con o senza l'ausilio di processi automatizzati»26), con il solo limite dell’esclusione dei trattamenti a carattere esclusivamente personale o domestico (art. 2, par. 2, lett. c)). Se ciò vale sul piano oggettivo, qualche limitazione in più emerge sul piano soggettivo. Non tanto tra i soggetti “attivi”, che effettuano il trattamento dei dati (e determinano le finalità e i mezzi dello stesso) sotto la denominazione di «titolari», potendo essi indossare le vesti di persone fisiche o giuridiche, tra cui autorità pubbliche, servizi e qualsiasi altro organismo, quanto piuttosto tra i soggetti “passivi”, gli interessati del trattamento, che il RGPD restringe alle sole persone fisiche27.
24 Per ulteriori precisazioni sulla definizione di «trattamento» nel Regolamento, v. DEL XXXXXXXX, XXXXXX, Disposizioni generali, cit., pp. 73-79; X. XXXXXXX, Art. 4, § XI, in G.M. XXXXXX, X. XXXXXX,
X. XXXXXXXXX (a cura di), GDPR e Normativa Privacy (commentario), cit., p. 46.
25 Lo segnala anche X. Xxxxxxxxx, Il consenso al trattamento dei dati personali nell’era digitale. Sfide tecnologiche e soluzioni giuridiche, Napoli, 2019, p. 94.
26 La restrizione della disciplina ai trattamenti automatizzati di dati personali si rinveniva nella Convenzione n. 108 del 1981 del Consiglio d’Europa. La direttiva 95/46, invece, abbandonava il criterio del carattere automatizzato del trattamento a favore del più generico riferimento ad un trattamento di dati «contenuti, o destinati ad essere contenuti, in un archivio strutturato» (considerando 15). La legge italiana del 1996 ha seguito la scelta del legislatore comunitario, con la dottrina che ha enfatizzato il fatto che si era di fronte a «una legge sulle informazioni personali, e non sulle banche dati», v. X. XXXXXX, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in Riv. crit. dir. priv., 1997, p. 588.
27 La limitazione alle persone fisiche si pone in linea con la direttiva 95/46, ma in contrasto con la scelta che il legislatore italiano aveva compiuto con la l. n. 675/1996, e poi (inizialmente) confermata con il d.lgs. n. 196/2003, di estendere la normativa anche ai dati riguardanti persone giuridiche o altri enti collettivi. Tuttavia, già nel 2011, con il d.l. 6 dicembre 2011, n. 201 conv. nella l. 22 dicembre 2011, n. 214, lo stesso legislatore era tornato sui suoi passi eliminando dalla definizione di «dato personale» (con riflessi ovviamente anche sulla nozione di «interessato») ogni riferimento agli enti sovraindividuali. Come si vedrà più avanti (§ 2.2), l’inclusione delle informazioni relative agli enti collettivi nell’ambito della protezione dei dati personali era stata alla base del tentativo di costruire una categoria di dati personali «economici», in quanto riferiti ad enti svolgenti un’attività economica. D’altra parte, anche a livello di ricostruzione della ratio della disciplina, la dottrina italiana aveva attribuito particolare rilievo a tale scelta legislativa (v. G. RESTA, Il diritto alla protezione dei dati personali, in X. XXXXXXXXXX, X. XXXX, X. XXXX-XXXXXXXXX (a cura di), Il codice dei dati personali. Temi e problemi, Milano, 2004, pp. 29-31). Ci si potrebbe, quindi, domandare se il cambio di rotta del 2011, imposto ormai per via di un regolamento europeo vincolante e immediatamente efficace in tutte le sue parti, possa fornire appigli per una diversa lettura della disciplina di protezione dei dati personali. Tali problematiche saranno in parte riprese nel cap. II a proposito delle diverse prospettive dalle quali è possibile inquadrare la normativa sulla protezione dei dati personali.
Le maglie larghe delle definizioni appena citate fanno sì che la loro effettiva portata non può che essere determinata sulla base dell’interpretazione giurisprudenziale, oltre che sulla base della produzione decisoria e regolamentare affidata alle autorità indipendenti nazionali28. Nell’arco dei quasi venticinque anni trascorsi dall’emanazione della direttiva 95/46 può dirsi che l’opera delle corti, italiane ed europee, così come del Garante per la protezione dei dati personali, ha confermato l’approccio estensivo già insito nel tenore delle disposizioni definitorie29.
Che la disciplina di protezione dei dati personali abbia un’estensione così ampia, attraverso le definizioni-chiave di «dato personale», «trattamento» e «titolare del trattamento», non stupisce. Infatti, è noto che le preoccupazioni di tutela della
28 Alle autorità indipendenti, definite «autorità di controllo», il RGPD dedica una serie di disposizioni (artt. 51-59), innovando rispetto alla direttiva 95/46 che prevedeva il solo art. 28. Un’ulteriore novità introdotta dal RGPD è quella di aver sostituito il Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali (c.d. Gruppo art. 29, che prendeva il nome dall’articolo della dir. 95/46 che ne sanciva l’istituzione e disciplinava le funzioni e la composizione) con il Comitato europeo per la protezione dei dati personali, noto anche come EDPB per l’acronimo inglese di European Data Protection Board.
29 A titolo meramente esemplificativo, si possono citare alcuni casi giurisprudenziali europei. La Corte di giustizia dell’Unione europea, in una delle primissime pronunce (sentenza 6 novembre 2003, causa X-000/00, Xxxxxxxxx, in Foro it., IV, 2004, p. 57, con nota di X. XXXXXXXX, X. XXXXXXXXX, Il codice in materia di protezione dei dati personali e l’intangibilità della «privacy» comunitaria) ha stabilito, dopo aver tenuto a precisare che l’ambito di applicazione della direttiva 95/46 è molto ampio (paragrafo 88), che il trattamento di dati personali include anche certe attività non lucrative compiute sul web, per cui
«l’operazione consistente nel fare riferimento, in una pagina Internet, a diverse persone e nell'identificarle vuoi con il loro nome, vuoi con altri mezzi, ad esempio indicando il loro numero di telefono o informazioni relative alla loro situazione lavorativa e ai loro passatempo, costituisce un ‘trattamento di dati personali interamente o parzialmente automatizzato’ ai sensi dell'art. 3, n. 1, della direttiva del Parlamento europeo e del Consiglio 24 ottobre 1995, 95/46/CE», e non costituisce un’eccezione ai sensi dell’art. 3, n. 2, della direttiva 95/46. L’approccio estensivo della CGUE si scorge anche nella sentenza del 20 dicembre 2017, causa C-434/16, Nowak, in Dir. comun. scambi intern., 2017, p. 618, ove i giudici di Lussemburgo hanno affermato che la nozione di dato personale
«comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o di valutazioni, a condizione che esse siano «concernenti» la persona interessata» (paragrafo 34), così che le risposte scritte fornite da un candidato durante un esame professionale e le eventuali annotazioni dell’esaminatore relative a tali risposte possono costituire, sulla base delle circostanze del caso concreto, dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE (nel caso di specie, le circostanze concrete conducevano in tal senso). E, sempre nella stessa direzione estensiva, si può richiamare altresì Corte giust. UE 19 ottobre 2016, causa C‑582/14, Xxxxxx, disponibile online su: xxx.xxxxx.xx, la quale ha asserito che «un indirizzo di protocollo Internet dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale [ai sensi dell’ articolo 2, lettera a), della direttiva 95/46], qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone» (paragrafo 49).
A livello nazionale, sull’inclusione dei dati “valutativi” nella nozione di dati personali da parte della “giurisprudenza” del Garante della privacy, secondo un approccio poi recepito anche a livello legislativo, v. le considerazioni di X. XXXXX, Identità personale e identità digitale, in Dir. inf., 2007, pp. 524-525.
privacy30 si sono storicamente affermate, in un primo momento, a seguito della diffusione degli stampati e, successivamente, in modo decisivo, a seguito dell’impiego degli elaboratori elettronici31, che hanno permesso la creazione di banche dati tanto nella dimensione privata, quanto in quella pubblica32. Fin dalle origini, pertanto, il baricentro delle normative, quanto meno europee, in tema di protezione dei dati personali è gravitato intorno all’esigenza di salvaguardare l’individuo dalle ingerenze che le nuove tecnologie avrebbero potuto determinare nella sua sfera individuale, influenzando in tal modo l’angolo di visuale da cui osservare il problema33.
30 Come si vedrà più avanti (§ 2.1), il termine privacy designa una nozione giuridica controversa e polisemica. Le traduzioni del termine sono state parecchie, ma, per la forza evocativa di cui è esso portatore, fin dagli studi più risalenti diversi autori hanno preferito utilizzare tale lemma anche in contesti geografici diversi da quelli di origine: cfr. X. XXXXXXXXXX, La difesa della ‘privacy’, in Pol. dir., 1973, p. 756; X. XXXX, Privacy e statuto dell’informazione, in AA.VV., Banche dati, telematica e diritti della persona, Padova, 1984, p. 201.
31 Cfr. X. XXXXXXX, Riservatezza e tutela della personalità, Milano, 1978, pp. 4-9, il quale tuttavia restringe l’analisi al sorgere dell’interesse al riserbo; X. XXXXXXXXX, Dalla riservatezza alla protezione: una storia di evoluzione e discontinuità, in Id. (a cura di), Diritto alla riservatezza e circolazione dei dati personali, Milano, 2003, p. 3, il quale rileva che «il legame con il progresso tecnologico spiega perché l’esigenza di tutela della vita privata sia stata avvertita dapprima nei paesi di lingua inglese – i primi, infatti, ad essere interessati (e perché no?, innervati) dalla rivoluzione industriale – e solo più tardi si è diffuso, non senza contrasti, negli altri ordinamenti liberal-democratici». Più in generale, sullo
«stretto legame fra ampliamento dei mezzi di comunicazione e del pubblico da essi raggiunto, e sviluppo dei mezzi giuridici volti alla protezione della personalità», v. X. XXXX-ZENCOVICH, Personalità (diritti della), in Enc. dir., Milano, 1995, p. 434.
32 Nel settore privato, le prime banche dati sono state segnalate principalmente nel settore creditizio, dove la raccolta di informazioni sui clienti assume chiaramente un valore particolare. Nel settore pubblico, invece, l’acquisizione di una mole sempre maggiore di informazioni relative a persone fisiche e giuridiche è da ricondurre soprattutto alla preparazione e alla gestione di programmi di intervento amministrativo, in particolar modo nella sfera fiscale e in quella di sicurezza sociale. Per riferimenti storici rispetto al sorgere delle prime banche dati, v. X. XXXXXX, Elaboratori elettronici e controllo sociale, Bologna, 1973, pp. 9-10, 29-30. Per una tendenza a percepire diversamente, in base al momento storico, i rischi derivanti dal trattamento dei dati personali nel settore pubblico e nel settore privato, v.
X. Xxxxxxx, Il contesto giuridico e politico della tutela della privacy, in Riv. crit. dir. priv., 1997, p. 573, il quale segnala che «mentre all’inizio degli anni ’70 il settore pubblico era considerato il destinatario principale, se non l’unico, dei principi sul trattamento dei dati, e conseguentemente il settore privato era soggetto a norme più miti, alla fine degli anni ’90 l’attenzione si è concentrata più che mai sul settore privato e gli organi pubblici reclamano la posizione privilegiata che una volta era dei privati».
33 Già con riguardo al Progetto di Convenzione del Consiglio d’Europa sulla protezione delle persone dal trattamento automatizzato dei dati a carattere personale, si segnalava che «il documento […] si inserisce nella evoluzione degli strumenti giuridici – via via definiti nelle diverse esperienze – che si sono congegnati per tutelare l’individuo dall’uso illecito di elaboratori elettronici» (corsivo aggiunto): così X. XXXX, Raccolta di informazioni, protezione dei dati e controllo degli elaboratori elettronici (in margine a un progetto di convenzione del Consiglio d’Europa, in Foro it., 1981, V, p. 27.
Va segnalato, tuttavia, che le prime leggi nazionali in materia (v. più avanti nota 22) dovevano considerarsi «leggi sui dati personali», più che «leggi a tutela della personalità», dal momento che si concentravano sul fenomeno del trattamento automatizzato per mezzo di banche dati, finendo per porre i valori della persona non sempre in posizione preminente. Su tali aspetti, v. X. XXXX-ZENCOVICH, Una lettura comparatistica della l. 675/96 sul trattamento dei dati personali, in X. XXXXXXX, X. XXXXXXXX,
X. XXXX XXXXXXXXX (a cura di), Trattamento dei dati e tutela della persona, Milano, 1998, pp. 164- 165.
Sono state, dunque, le istanze di protezione personalistica a imporre una tale prospettiva (così ampia) sul tema del trattamento dei dati personali. Tuttavia, prima che si giungesse a una compiuta disciplina per mezzo della direttiva 95/4634, negli ordinamenti, come quello italiano, che non avevano ancora una normativa nazionale in xxxxxxx00, l’espressione «dati personali» riusciva ad evocare orizzonti concettuali ancora più vasti, per di più molto diversi tra loro.
Orbene, nel lungo periodo di assenza di riferimenti di diritto positivo dovuto alla poca solerzia del nostro legislatore a intervenire su tali problematiche, la riservatezza era l’oggetto su cui ricadeva il maggiore interesse della dottrina, a cui però si affiancavano questioni, in qualche modo limitrofe, che potevano condurre il discorso
34 È vero che già dal 1981 era presente la Convenzione di Strasburgo del Consiglio d’Europa sulla protezione delle persone dal trattamento automatizzato dei dati a carattere personale, tuttavia, nel caso dell’Italia, essa fu ratificata solo nel 1989 (l. 21 febbraio 1989, n. 98) e fino alla legge n. 675/1996 non venne adottata nessuna normativa per adeguarsi alla Convenzione. Pertanto, la l. n. 675/1996 servì per porre termine al difetto di adeguamento alla Convenzione, ma finì per subire una netta influenza della direttiva 95/46 nel frattempo adottata, sebbene non potesse reputarsi strictu sensu una legge di recepimento della direttiva. Xxxxx «sorte bizzarra» della l. 000/00, x. X. XXXXXXXXXX, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali, in X. XXXXXXX, X. XXXXXXXX, X. XXXX ZENCOVICH (a cura di), Trattamento dei dati e tutela della persona, cit., pp. 189-190.
35 Le prime normative sul trattamento dei dati risalgono al 1970, anno in cui due stati federali tedeschi, l’Assia e la Baviera, hanno approvato leggi regionali regolanti la materia in questione. Successivamente, vanno menzionate in ordine cronologico: la Datalag svedese dell’11 maggio 1973; la Bundesdatenschutzgesetz della Repubblica federale tedesca del 27 gennaio 1977, Gesetz zum Xxxxxx vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung (legge per la protezione contro gli usi illeciti di dati personali); la legge francese del 6 gennaio 1978, n. 78-17, loi relative à l'informatique, aux fichiers et aux libertés (legge sulla informatica, sugli archivi e sulle libertà); la legge norvegese del 9 giugno 1978, n. 48, sui registri dei dati personali e altro; le leggi danesi del 8 giugno 1978, nn. 293 e 294, rispettivamente Lov om private registre e Lov om offentiliche myndigheders registre; la Datenschutzgesetz DSG austriaca del 18 ottobre 1978, n. 565; la legge lussemburghese del 30 marzo 1979, sull’identificazione numerica delle persone fisiche e giuridiche; il Data Protection Act inglese del 12 luglio 1984; le leggi finlandesi del 30 aprile 1987, nn. 471 e 474, rispettivamente sugli schedari dei dati personali e sulla Direzione per la tutela dei dati e sull’Ombusdman preposto alla loro protezione; il Data Protection Act irlandese n. 25/1988 del 13 luglio 1988; il Wet persoonregistraties olandese del 28 dicembre 1988, n. 665; la legge islandese del 28 dicembre 1989, n. 121, concernente la registrazione e il trattamento dei dati personali; la legge portoghese del 29 aprile 1991, n. 10; la legge slovena del 7 marzo 1990 sulla sicurezza dei dati; la legge del 29 aprile 1992, n. 256/92, adottata dalla Repubblica Ceca, sulla protezione dei dati personali nei sistemi d’informazione; la Loi fédéral sur la protection des données (LPD) della Svizzera del 19 giugno 1992; la legge ungherese del 27 ottobre 1992, n. 63; la Ley organica 5/1992, de 29 de octubre, de regulaciòn del tratamiento automatizado de los datos de caracter personal adottata in Spagna; la Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel del Belgio. Al di fuori dei confini europei, gli Stati Uniti si sono dotati del Privacy Act del 31 dicembre 1974 e del Fair Credit Reporting Act del 26 ottobre 1970, recante una disciplina sulla correttezza dei dati per il credito.
Alcune di queste normative sono riportate, tradotte in italiano, nella prima appendice che si ritrova in RODOTÀ, Tecnologie e diritti, cit., pp. 251-298. Per una panoramica completa del quadro storico sulle discipline di protezione dei dati personali in ambito internazionale ed europeo, v. X. XXXXXXXXXX, Banche dati e tutela della riservatezza, Milano, 1997, pp. 3-8, 71-79. Più di recente, in sintesi, v. X. XXXXXXXX, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Torino, 2016, pp. 59-60.
su terreni anche parecchio distanti dalla tutela della persona36. Si pensi al prestigioso convegno tenutosi a Macerata nel 1982, dal titolo «Il riserbo e la notizia»37, nel quale gli illustri relatori e intervenienti spaziarono dal diritto alla riservatezza38, da poco riconosciuto dalla giurisprudenza di legittimità39, al diritto di cronaca40, passando per il regime di privacy negli ordinamenti angloamericani41, e finendo per soffermarsi su temi specialistici, di ambito più propriamente commerciale, come le notizie industriali e la tutela delle invenzioni42. A conferma di tale approccio, che potremmo definire quasi olistico, i dati personali venivano spesso esaminati nell’ambito delle disquisizioni riguardanti il genus «informazione», soprattutto da parte di quella dottrina che si è sforzata di ricostruire lo statuto giuridico di quest’ultima43 e ha riflettuto sulla possibile riconducibilità della stessa alla categoria dei beni44.
In tale contesto, l’introduzione in ambito nazionale di un corpo normativo rivoluzionario come la l. n. 675/1996 ha segnato una svolta che non poteva non avere
36 Impostando le questioni in termini di diritto dell’informatica, quest’ultima intesa come informazione trattata in forma automatica, va rilevato che in tale branca del diritto, negli anni ’80, si includevano i seguenti temi: «la contrattualistica informatica, i reati informatici, la protezione giuridica del software, la tutela della privacy, il valore probatorio delle elaborazioni informatiche»: così X. XXXXXX, Aspetti economici e giuridici delle banche dati, in G. ALPA, X. XXXXXXX (a cura di), Banche dati, telematica e diritti della persona, Padova, 1984, p. 124.
37 AA.VV., Il riserbo e la notizia. Atti del convegno di Studio di Macerata, 5-6 marzo 1982, Napoli, 1983.
38 X. XXXXXXX, Diritto alla riservatezza e calcolatori elettronici, in AA.VV., Il riserbo e la notizia, cit.,
p. 31 ss.; X. XXXXXXXX, Il diritto alla riservatezza nella prospettiva degli strumenti di tutela, in AA.VV.,
Il riserbo e la notizia, cit., p. 139 ss.
39 Il primo riconoscimento nella giurisprudenza di legittimità si riconduce al celebre “caso Xxxxxx”, deciso dalla sentenza della Cassazione del 27 maggio 1975, n. 2129, in Foro it., I, p. 2895, con nota di
X. XXXXXXXXXX. Per alcuni appunti sul vivace dibattito dottrinale intorno al diritto alla riservatezza, si rinvia al cap. II.
40 X. XXXXXXXXXX, Xxxxxxx, privato e cronaca, in AA.VV., Il riserbo e la notizia, cit., p. 85 ss.
41 G.B. XXXXX, Persona e privacy, AA.VV., Il riserbo e la notizia, cit., p. 61 ss.; X. XXXX-ZENCOVICH, Recenti orientamenti giurisprudenziali americani in materia di privacy, in AA.VV., Il riserbo e la notizia, cit., p. 279 ss.
42 X. XXXXX, Intervento, in AA.VV., Il riserbo e la notizia, cit., p. 273 ss.
43 ZENO-ZENCOVICH, Informazione (profili civilistici), cit., pp. 12-13.
00 X. XXXX-XXXXXXXXX, xxxx Cosa, in Dig. disc. priv., Torino, 1988, pp. 34-37; X. XXXXXXXXXXX,
L’informazione come bene giuridico, in Rass. dir. civ., 1990, p. 326 ss.; X. XXXXXXXXX, C. MOTTI,
«L’idea è mia»: lusinghe e misfatti dell’economics of information, in Dir. inf., 1990, p. 345 ss. La teorizzazione unitaria dell’informazione come bene giuridico si deve soprattutto alla dottrina francese:
v. X. XXXXXX, Xxxxxxx d’une théorie de l’information, in Inf. e dir., I, 1983, p. 15 ss.; X. XXXXXX, La nozione di informazione e la sua rilevanza giuridica, in Dir. inf., 1987, p. 445 ss.; in senso critico X. XXXX, Information. Data and Continental Law, in X. XXXXXX (ed.), Freedom of Data Flows and EEC Law, cit., x. 00 xx. (xxxx. 00-00).
Di recente, in un’ottica europea, si è riacceso il dibattito sui dati come bene giuridico: v. X. XX XXXXXXXXXX, X. XXXXXXX, Data as Tradeable Commodity and New Measures for their Protection, in The Italian Law Journal, 2015, p. 51 ss.; X. XXXX, Data as a tradeable commodity, in X. XX XXXXXXXXXX (ed.), European contract law and the Digital Single Market: the implications of the digital revolution, Cambridge, 2016, p. 51 ss. Sul punto, si tornerà nel cap. II trattando dei rapporti tra dati personali e proprietà.
ripercussioni anche sull’approccio dottrinale relativamente alla tematica del trattamento dei dati personali45. Non si è proseguito, ad esempio, con i tentativi di qualificazione dell’informazione sotto l’egida unificante del bene giuridico e, di pari passo, le riflessioni circa la rilevanza economica dei dati personali, pur essendo spesso accennate come punto di partenza per segnalare i rischi di invasione della sfera personale, sono divenute recessive46 rispetto alla mole di lavori scientifici che, occupandosi della protezione dei dati, si sono soffermati sugli aspetti più propriamente personalistici discendenti dalla normativa introdotta e dalla giurisprudenza intervenuta sul tema47. Emblematica, in tal senso, è la presa di posizione di una dottrina particolarmente sensibile al tema della tutela personalistica e contraria a un certo
«pragmatismo sociologico» generalizzante:
«La fase dell’unificazione del tema dell’informazione è stata importante per segnalare l’imponenza dei fenomeni che accompagnano l’avvento della società informatica. Ma ad essa, mi sembra debba farsi seguire una nuova fase in cui questi fenomeni imponenti vengono nuovamente disaggregati per ritornare agli istituti ove solo si può pensare di trovare schemi e principi normativi in grado di orientare correttamente la soluzione»48.
Può, adesso, richiamarsi la seconda locuzione che delimita il nostro tema: l’attività economica. Essa non può considerarsi un concetto normativo in senso stretto, né si vuole utilizzarla come se lo fosse49. Si intende, piuttosto, evocare un campo di interessi
45 In termini drastici, cfr. X. XXXXXXXX, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Dir. inf., 2018, pp. 691-692, il quale rimarca che «la riflessione del giurista italiano si è appuntata pressoché esclusivamente sul tema della sfera morale del soggetto cui i dati si riferiscono, senza offrire una lettura ulteriore del fenomeno studiato, in termini patrimonialistici, senza voler considerare l’ipotesi che quel soggetto ben potrebbe disporre dei propri dati ricavandone profitto, secondo i modelli e gli schemi giuridici propri dello scambio economico; e senza considerare l’attività economica di impresa che è alla base, nella prospettiva di chi “acquista” e compie operazioni economicamente valutabili, del trattamento di quegli stessi dati».
46 Tra le (non molte) riflessioni sul tema, v. X. XXXXXXX, Mercato delle informazioni e privacy. Riflessioni generali sulla l. n. 675/1996, in Eur. dir. priv., 1998, p. 1049 ss.
47 Può segnalarsi, a tal proposito, il crescente interesse della dottrina costituzionalistica: ex multis, v. X. XXXXXXXX (a cura), Il caso del diritto all’oblio, Torino, 2013; ID., Privacy e il diritto europeo alla protezione dei dati personali, Torino, 2016; X. XXXXXXXXX, X. XXXXXXX, Art. 8 – Protezione dei dati di carattere personale, in X. XXXXXXXXXXX, X. XXXXXXXXX, S. ALLEGREZZA, X. XXXXXXXXXX, X.
XXXXXXXXX (a cura di), Carta dei diritti fondamentali dell’Unione europea, Milano, 2017, p. 134 ss.
48 X. XXXXXXXXXX, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, in Riv. crit. dir. prit., 1998, p. 345. In particolare, l’autore si riferisce criticamente alla dottrina francese citata nella nota 44 e, in parte, alla stessa dottrina italiana affascinata dalle tendenze unificatrici sotto la categoria dei beni giuridici.
49 Parlando di concetto normativo “in senso stretto” si allude alla categoria dei c.d. «concetti legislativi» che, com’è noto, si distinguono dai c.d. «concetti teorici», o «costruzioni scientifiche». Su tale distinzione, v. X. XXXXXXXX, Materiali del corso di Diritto civile 2011-12, Catania, 2011, p. 229.
e di fenomeni, prescindendo da puntuali riferimenti a nozioni giuridiche – quali quelle di impresa o di professionista – presenti nell’ordinamento nazionale ed eurounitario. Non può trascurarsi, tuttavia, che il termine «attività» richiama uno schema concettuale ben noto alla dottrina giusprivatistica e sullo sfondo di tali studi si pongono le note che seguono50. D’altra parte, non è certo nuova la tesi secondo la quale il trattamento dei dati personali consisterebbe proprio in un’attività, ossia in una serie di atti funzionalmente coordinati e collegati in vista di uno scopo unitario51.
Nella moltitudine delle attività sociali e istituzionali in cui si fa uso di dati personali, con la succitata definizione di «trattamento» che fa da solida sponda giuridica per una concezione ampia del fenomeno, la focalizzazione sull’attività economica si prefigge, innanzitutto, lo scopo di restringere l’ambito d’indagine. Per essere più chiari, nel presente lavoro, pur occupandoci di problematiche attinenti ai dati personali, non si volgerà lo sguardo alle pratiche di trattamento dei dati poste in essere dai soggetti che esercitano un potere pubblico, né si intende esaminare quei trattamenti privati di dati che non rispondono a un fine economico. Esemplificando: non troveranno spazio, dunque, né la raccolta di dati operata dall’ufficio anagrafe di un qualsiasi comune, né l’archivio di dati tenuto da un’associazione sportiva riguardante le generalità ed altre eventuali informazioni dei propri atleti, né il trattamento di dati che un’impresa effettua per adempiere a un obbligo di legge. In tal modo, si sta compiendo una restrizione sia sul piano soggettivo (esclusione dei soggetti che esercitano poteri pubblici e, più in generale, che non svolgono un’attività economica), sia sul piano oggettivo (esclusione degli usi di informazioni personali che perseguono fini diversi da quelli economici)52.
Se l’intento restrittivo è quello più evidente, non può tacersi tuttavia il secondo obiettivo di tale scelta metodologica. Accostando al sintagma «dati personali» l’evocativo di una dimensione economica, si vogliono allargare gli orizzonti intingendo il discorso nel magma di quei rapporti socio-economici in cui i dati
50 Per tutti, v. X. XXXXXXX, Attività (dir. priv.), in Enc. dir., III, Milano, 1958, p. 982 ss.
51 X. XXXXX, Il contenuto dell’attività di trattamento dei dati personali, in X. XXXXXXX, X. XXXXXXXX (a cura di), La disciplina del trattamento dei dati personali, Torino, 1997, pp. 61-95, spec. pp. 73-75. Su una lettura del trattamento dei dati personali svolto nell’ambito di un’attività economica, v. R. FRAU, Profili del consenso al trattamento dei dati personali per fini economici. Raffronto con la normativa spagnola, in Resp. civ. prev., 2010, p. 2598 ss.
52 Una simile delimitazione del campo d’indagine, sebbene volta a fini parzialmente diversi rispetto a quelli qui perseguiti, è compiuta da F. BRAVO, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, Milano, 2018, pp. 28-29.
personali sempre di più hanno assunto una chiara rilevanza patrimoniale, senza però trovare solidi appigli sistematici nell’ordito normativo della data protection. Allargare l’angolo di visuale, in tal senso, può significare spingersi oltre il lessico e le categorie (liquide) della disciplina di protezione dei dati personali, nel tentativo di sistematizzare (una parte del)la materia del trattamento dei dati personali anche in altri settori dell’ordinamento giuridico. Non si tratta di recuperare una logica unificante dell’informazione intorno alla categoria di bene giuridico, piuttosto si tratta – riprendendo le parole di Xxxxxxxxxx, ma rivolgendole a fini diversi da quelli da lui immaginati – di proseguire in un’opera di disaggregazione, questa volta all’interno della categoria di dati personali, posto che sulla base della stessa disciplina di data protection non tutti i dati personali hanno il medesimo statuto normativo53. A tal proposito, però, una precisazione – per quanto ovvia – è d’obbligo: il tentativo in questione non ha per nulla l’intento di superare la disciplina di protezione dei dati personali con riguardo al trattamento dei dati per fini economici, né mira a suggerire una riforma della stessa. L’obiettivo prefissosi è quello di verificare la possibilità di affiancare alla normativa di protezione dei dati personali concetti aventi una natura diversa per consentire un migliore inquadramento di fattispecie già presenti nella prassi.
Delineato il campo d’indagine, si ritiene opportuno, in primo luogo, compiere una ricognizione degli studi che hanno già accostato, in vario modo, l’informazione personale all’attività economica. Si sceglie così di individuare tre declinazioni che si reputano particolarmente significative, in quanto simbolo di tre approcci diversi tra loro. Le si introduce adesso per sommi capi, prima di esaminarle singolarmente più in dettaglio.
§ 2.1) Le prime riflessioni sulla rilevanza economica delle informazioni personali sono da attribuire agli esponenti americani dell’economic analysis of law54. Negli Stati
53 Circa l’esistenza di statuti differenziati delle informazioni personali, cfr. X. XXXXXX, Conclusioni, in
X. XXXXXXX, X. XXXXXXXX, X. XXXX XXXXXXXXX (a cura di), Trattamento dei dati e tutela della persona, cit., p. 304; sulla stessa linea, rimarcando le differenze tra informazioni «tradizionali» e dati genetici, XXXXXXX, Il contesto giuridico e politico della tutela della privacy, cit., p. 576. Sul punto, con accenti diversi ma con un comune approccio “disaggregante”, v. anche X. XXXXXXX, Qualche appunto su circolazione, appartenenza e riappropriazione nella disciplina dei dati personali, in Danno e resp., 1998, p. 613 ss.; X. XXXXX, Il consenso al trattamento dei dati personali, Padova, 2001, passim; X. XXXXXXX, Lo statuto giuridico dei dati personali, in X. XXXXXXX (a cura di), Libera circolazione e protezione dei dati personali, I, Milano, 2006, p. 531, passim.
54 Per tutti, v. R.A. XXXXXX, Economic Analysis of Law, VIII ed., Wolters Xxxxxx, 0000.
Uniti, infatti, il dibattito sulla privacy è sfociato, a partire dagli anni Settanta del secolo scorso, anche sul piano economico, generando opinioni parecchio divergenti sugli effetti – in termini di efficienza – di un regime di controllo individuale delle informazioni rispetto ad un regime di piena disclosure delle stesse. Volendo definire tale approccio, potremmo dire che in questo caso l’economico riguarda il tipo di analisi che si effettua sulle informazioni personali, verificando attraverso i classici argomenti dell’analisi economica quale sia la disciplina giuridica preferibile.
§ 2.2) Come si è già accennato, una volta intervenuta la normativa comunitaria, con a seguito le discipline nazionali di recepimento, sono state le norme introdotte dal legislatore interno a richiamare principalmente l’attenzione della dottrina italiana. Tra i passaggi più discussi della l. n. 675/1996, val la pena di ricordare l’ambigua formula
«dati personali relativi allo svolgimento di attività economiche», utilizzata dagli artt. 12, co. 1, lett. f) e 20, co. 1, lett. e) della stessa legge per riservare a tale tipologia di dati una disciplina differenziata sotto alcuni profili, nonostante la direttiva non prevedesse nulla sul punto. È sembrato, dunque, che il legislatore italiano abbia voluto garantire una disciplina ad hoc alle informazioni economiche (con notevoli differenze, tuttavia, a seconda che ci si riferisca – come vedremo più avanti – al contenuto o al soggetto cui le informazioni appartengono) rispetto alle altre tipologie di informazioni personali, così come suggerito da una parte della dottrina già prima dell’introduzione della legge. Risulta chiaro che, in questo caso, l’economico viene affiancato all’informazione personale sotto forma di attributo della stessa, con l’intento di (ri)costruire, a partire da un’indicazione di diritto positivo, una categoria particolare di dati personali. Con la riforma del d.lgs. n. 196/2003, e adesso con l’adeguamento di quest’ultimo all’entrata in vigore del RGPD, sembra essersi attenuato l’interesse scientifico verso questo tipo di approccio. Potrebbe, invece, sortire esiti più felici una valorizzazione del concetto di trattamento di dati personali avente finalità economica: in tale direzione si trarranno degli spunti dall’ordinamento tedesco.
§ 2.3) Una prospettiva meno statica di quella precedente è quella di coniugare l’economico con riferimento al valore che hanno assunto i dati personali nella realtà sociale odierna. Valore economico dimostrato dalla funzione imprescindibile che il trattamento di dati personali riveste in una moltitudine di modelli commerciali, soprattutto in ambito digitale, ma ancor di più dalla comparsa di veri e propri mercati sulla rete telematica, nei quali grandi aggregatori di dati personali offrono gli stessi
alle imprese che intendono sfruttarli per le loro attività. Quest’approccio è quello più sociologico, rispetto al quale, mentre la letteratura economica si sta già muovendo per organizzare il dato fattuale all’interno dei suoi modelli, la letteratura giuridica si trova ancora impreparata, timorosa probabilmente di “stressare” le categorie tradizionali in nome di un eccessivo (gius)realismo.
La trattazione che segue non ha la pretesa di fornire un quadro onnicomprensivo di tutti i possibili approcci attraverso i quali si può osservare l’intreccio tra dati personali e attività economica55. Si intende, invero, offrire soltanto una panoramica che tratteggi, secondo un ordine grosso modo diacronico, alcune tappe ritenute significative del rapporto in questione.
2.1. L’analisi economica della privacy nel dibattito nordamericano
Prima di soffermarci sulle tesi partorite dalla scuola giuseconomica americana in ordine alla disciplina giuridica più efficiente in tema di privacy, è doveroso chiarire cosa si intende con quest’ultima nozione, anticipando da subito la sua natura controversa e le difficoltà di traduzione nel linguaggio giuridico italiano56.
Nella sua stessa terra d’origine, infatti, essa ha conosciuto accezioni differenti57. La prima apparizione si fa comunemente risalire al celeberrimo saggio del 1890 pubblicato da Xxxxxx e Xxxxxxxx sulla Harvard Law Review col titolo «The right to
55 In tema di dati personali e attività economica, un’altra possibile declinazione di questo rapporto è quella relativa ai costi che la disciplina sulla protezione dei dati personali impone all’impresa: v. X. Xxxxxxxxx, Il costo della privacy tra valore della persona e ragione d'impresa, Milano, 2007. Si tratta, in realtà, di una prospettiva rientrante nell’analisi economica della normativa, tuttavia non è un angolo di visuale cui si dedicherà particolare attenzione nel paragrafo dedicato all’analisi economica del diritto alla privacy.
56 Si è già anticipato (v. nota 30) che diversi autori hanno suggerito di utilizzare il termine autoctono per le sue forti peculiarità, evitando così traduzioni fallaci. Tuttavia, se proprio lo si volesse tradurre in italiano, sarebbe più appropriato parlare di «diritto generale della personalità», invece che di «diritto alla riservatezza», cfr. X. XXXXX, I diritti della personalità, in X. XXXX, X. XXXXXXX (a cura di), Banche dati, telematica e diritti della persona, cit., p. 62. Per l’accezione oggi assunta nell’ordinamento europeo, in virtù dei riferimenti contenuti nella CEDU (art. 8) e nella Carta dei diritti fondamenti dell’UE (art. 7), sembra corretto intendere il diritto alla privacy come «protezione della vita privata»: così X. XXXXXX, Diritto alla privacy, in A. BARBA, X. XXXXXXXXXXX (a cura di), Delle persone, in Commentario del codice civile diretto da X. XXXXXXXXX, Torino, 2013, p. 200.
57 Per una panoramica delle diverse definizioni di privacy nella dottrina statunitense, v. X. XXXXXXXXX,
Privacy, in Contr. e impr., 2008, pp. 757-779; X. XXXXXXXX, Privacy, in Riv. pol. econ., 2005, p. 319 ss.
privacy»58. Il diritto alla privacy, declinato come diritto di essere lasciati soli (the right to be let alone), sorgeva come un’esigenza derivante dalla diffusione, per mezzo del giornalismo di impresa su carta stampata59, di fatti privati principalmente riguardanti persone note, tutelabile riservando una sfera di intangibilità alla dimensione personale secondo schemi pressoché riconducibili alla proprietà privata. In tale contesto socio- fattuale, sotto una spinta ideologica di stampo liberale, il diritto alla privacy delle origini è stato visto come un portato prevalentemente della classe borghese60. Va segnalato, inoltre, che le prime pronunce delle corti nordamericane hanno inteso il diritto in questione in un senso funzionale all’attribuzione di una tutela dallo sfruttamento economico altrui degli attributi della personalità61. In tal modo, esso finiva per garantire una protezione a quegli interessi, di tipo commerciale, che a distanza di qualche tempo sarebbero stati separati con il riconoscimento autonomo del right of publicity, che può essere definito come «a celebrity's right to the exclusive use of his or her name and likeness»62. Invero, il right to privacy sviluppato da Xxxxxx e Xxxxxxxx non rispondeva in modo soddisfacente alle esigenze di Broadway e Hollywood, dove le celebrità sono attratte dalla «publicity, which may be regarded as
58 S.D. XXXXXX, X.X. XXXXXXXX, The Right to Privacy, in Harvard Law Review, 1890, pp. 193-220. Si è evidenziato, tuttavia, che lo scritto dei due giuristi bostoniani non ha rappresentato una creazione ex novo, ma una rifondazione di un diritto già noto all’ordinamento statunitense, discendente dal principio per cui l’individuo deve essere tutelato nella persona e nella proprietà, riconosciuto dagli stessi autori del saggio come un principio «as old as the common law»: per simili notazioni, x. XXXXXXXXX, Xxxxxxx, cit., p. 758; G.B. Xxxxx, Persona e privacy, in AA.VV., Il riserbo e la notizia. Atti del convegno di Studio di Macerata, 5-6 marzo 1982, cit., p. 59. D’altra parte, l’origine storica della privacy è da taluni ricondotta alla prassi britannica, a partire dal case Prince Xxxxxx x. Strange del 1849, e da altri all’opera di Xxxxxx «Das Autorrecht»: v. X. XXXXXXXXX, Dalla riservatezza alla protezione dei dati personali: una storia di evoluzione e discontinuità, in ID. (a cura di), Diritto alla riservatezza e circolazione dei dati personali, Milano, 2003, pp. 4-5.
59 Evidenzia che il right to privacy prende forma verso la fine dell’Ottocento, quando si diffonde la stampa in offset, la fotografia e il giornalismo di impresa, PIZZETTI, Privacy e il diritto europeo alla protezione dei dati personali, cit., pp. 46-47.
60 RODOTÀ, Tecnologie e diritti, cit., pp. 21-24: in particolare, si è notato che «la nascita della privacy non si presenta come la realizzazione di una esigenza “naturale” di ogni individuo, ma come l’acquisizione di un privilegio da parte di un gruppo. Non è un caso che gli strumenti giuridici di tutela siano prevalentemente modellati su quelli caratteristici del diritto borghese per eccellenza, la proprietà; e che esigenze analoghe a quelle fatte valere dalla borghesia sotto l’etichetta della privacy o non siano affatto riconosciute alla classe operaia o vengano più tardi realizzate attraverso strumenti giuridici completamenti diversi (si pensi, ad esempio, alla tutela della personalità)». Sull’origine dell’interesse al riserbo, da individuarsi principalmente nel «passaggio da una società rurale a una società industrializzata e dal conseguente esodo dalla campagna alla città», x. XXXXXXX, Riservatezza e tutela della personalità, cit., pp. 1-7 (in part. 2-3). Peraltro, per un’interpretazione dell’articolo di Xxxxxx e Xxxxxxxx nel senso invece di una critica che i giuristi bostoniani hanno inteso muovere alla concezione proprietaria della privacy, a favore di una visione personalistica ed individuale della stessa (privacy- dignity), v. MANTALERO, Privacy, cit., p. 759 (in part. nota 7).
61 Segnala quest’aspetto MANTELERO, op. ult. cit., p. 759.
62 G.R. XXXXXX, The right of publicity, in Glendale Law Review, 1995, p. 93.
the reverse side of the coin of privacy»63. Nonostante il sopravvento del right of publicity, intorno agli anni Sessanta del secolo scorso la dottrina americana fu colta da un rinnovato interesse verso la privacy. In particolare, a riaccendere il dibattito sono stati, da un lato, Prosser, con il suo tentativo di fornire una sistematizzazione all’estesa law of privacy, la quale garantisce tutela a diversi tipi di invasione della sfera personale attraverso quattro distinte figure di torts (intrusion, public disclosure of private facts, false light in public eye, appropriation)64, e, dall’altro lato, Westin, con la sua rivoluzionaria declinazione di privacy alla luce della mutata realtà socio-economica, cioè privacy intesa nel senso di diritto di controllare i propri dati personali65, che a quei tempi iniziavano ad essere oggetto di raccolta automatizzata per mezzo delle banche dati dei colossi imprenditoriali statunitensi. Il cambio di prospettiva di quest’ultima opera ha riscosso notevole successo anche nella letteratura europea, che ha ripreso la felice intuizione dell’autore nordamericano66.
A seconda dell’angolo di visuale assunto dagli autori che nell’arco di quasi un secolo e mezzo hanno scavato nella miniera della privacy, si sono enfatizzati di volta in volta aspetti diversi. Un gruppo di studiosi, ad esempio, ha voluto associare la privacy al tema dell’informazione, intendendo la stessa come «the concealment of
63 M.B. XXXXXX, The Right of Publicity, in Law and Contemporary Problems, 1954, p. 204.
64 X. XXXXXXX, Privacy, in California Law Journal, 1960, pp. 383-423. Come si è detto nel testo, l’opera di Prosser ha stimolato un vivace dibattito accademico oltreocaeno: si veda, ad esempio, E.J. XXXXXXXXX, «Privacy as an Aspect of Human Dignity - An Answer to Xxxx Xxxxxxx», in New York University Law Review, 1964, pp. 962-1007.
65 A.F. WESTIN, Privacy and Freedom, London, 1970 (si tratta di una ristampa europea del testo originario Privacy and Freedom, New York: Athenum. 1967), in part. p. 7, dove l’autore definisce la privacy come «the claim of individuals, groups, or institutions to determine for themselves when, how, and to what extent information about them is communicated to others».
66 In ambito italiano, la rielaborazione più lucida del cambio di prospettiva si trova nelle pagine di RODOTÀ, Tecnologi e diritti, cit., passim (spec. pp. 22-29 nel capitolo «La privacy tra individuo e collettività», pp. 50-52 nel capitolo «Protezione dei dati e circolazione delle informazioni», pp. 101- 105 nel capitolo «Privacy e costruzione della sfera privata»). Magistrali le seguenti considerazioni che vanno oltre la stessa prospettiva di Xxxxxx, svincolando l’angolo di visuale da ogni pretesa rigidamente definitoria: «Una delle possibili definizioni funzionali della privacy è […] quella che la descrive come uno strumento per limitare la circolazione delle informazioni. Tuttavia, proprio seguendo le molteplici vicende della definizione della privacy, ci accorgiamo ormai come essa, considerata isolatamente, sia inidonea a costituire una precisa regola per la circolazione delle informazioni: quel che conta è soprattutto il contesto, sociale ed istituzionale, all’interno del quale la questione della privacy si trova storicamente collocata. Il riferimento della privacy esprime l’indicazione di un valore tendenziale più che una vera e propria definizione legislativa. E questo è confermato dal fatto che tutta la legislazione sulla protezione dei dati non contiene al suo interno formali definizioni della privacy». (ID., op. ult. cit., pp. 79-80). Più di recente, v. ID., Il diritto di avere diritti, Roma-Bari, 2012, pp. 395-398.
Tra i primi a segnalare il passaggio da una concezione statica a una concezione dinamica della privacy incentrata sul controllo, v. anche FROSINI, Diritto alla riservatezza e calcolatori elettronici, cit., p. 22- 23.
information»67; in altri termini, come contrario di disclosure. Si tratta della prospettiva assunta dagli economisti e dai giuristi aderenti a quella corrente metodologica, nota come analisi economica del diritto, attenta a riflettere sulle conseguenze economiche discendenti dagli istituti giuridici68.
Ecco, dunque, come si è giunti all’interesse economico per la privacy. Letta quest’ultima in chiave di informazione, o meglio di non-informazione, le riflessioni economiche su di essa possono farsi rientrare tra gli studi circa l’importanza dell’informazione nell’economia69.
Una recente ricognizione dell’economics of privacy distingue tre fasi di tale area di ricerca: la prima riconducibile alla fine degli anni ‘70 e ai primi anni ‘80 del secolo scorso; la seconda protagonista negli anni ‘90; e infine la terza caratterizzante i nostri tempi70. Le prime due fasi sono simili in quanto caratterizzate da studi basati sull’utilizzo dei tipici argomenti dell’analisi economica, rapportati al tema della privacy; la terza fase, invece, ha un’impronta diversa, essendo gli ultimi studi focalizzati sulla ricerca empirica e sulla costruzione di modelli più che sull’utilizzo di argomenti economici. In questa sede, in coerenza, da un lato, al significato classico attribuito all’analisi economica del diritto e, dall’altro, alla dimensione lato sensu diacronica che si è scelto di adottare, passeremo in rassegna le tesi riconducibili principalmente alle prime due fasi, stando alla classificazione operata da Xxxxxxxx, Xxxxxx e Xxxxxx, rinviando più in avanti (§ 2.3) per una considerazione degli studi sul valore economico dei dati personali nella società contemporanea.
Il primo studio giuseconomico avente ad oggetto la privacy risale a Xxxxxxx A. Xxxxxx, il quale, pur riconoscendo che in astratto l’assegnazione agli individui di un
67 R.A. XXXXXX, The right of privacy, in Georgia Law Review, 1978, p. 393. A voler essere precisi, la barriera al flusso di informazioni determinata dalla privacy può avvenire sotto un duplice versante: sia come informazione che l’individuo rifiuta di ricevere («the protection against intrusion by unwanted information»), sia come informazione che l’individuo rifiuta di concedere («the ability to control information about oneself and one's activities»); così E.M. NOAM, Privacy and self-regulation: Markets for electronic privacy, in Privacy and Self-regulation in the Information Age, US Department of Commerce, 1997.
68 Com’è noto, la nascita dell’economic analysis of law si fa risalire alla scuola di Chicago, la quale, per l’appunto, ha ospitato il famoso convegno su «The Law and Economics of Privacy» del 1979, i cui atti sono stati pubblicati in un fascicolo monografico del Journal of Legal Studies (vol. 9, no. 4, dec. 1980).
69 L’economia della privacy è considerata una sotto-branca dell’economia dell’informazione da X. XXXXXXXX, X. XXXXXX, X. XXXXXX, The economics of privacy, in Journal of Economic Literature, 2016, p. 443. Tra i molteplici contributi sull’economia dell’informazione, v. a titolo esemplificativo J.E. XXXXXXXX, The contributions of the economics of information to twentieth century economics, in The Quaterly Journal of Economics, 2000, pp. 1441-1478.
70 XXXXXXXX, XXXXXX, XXXXXX, The Economics of Privacy, cit., pp. 450-462.
diritto proprietario sulle informazioni che li riguardano potrebbe garantire, attraverso lo scambio volontario, di far utilizzare l’informazione a chi attribuisce ad essa il maggior valore, ha sostenuto che l’informazione personale che gli individui intendono tenere riservata non è comunque il prodotto di un significativo investimento, come nel caso dei segreti d’impresa. Solitamente, infatti, la domanda di privacy – secondo Xxxxxx e Xxxxxxx00 – riguarda l’informazione negativa, quella che screditerebbe gli individui, e in tal modo si tradurrebbe in un tentativo di inganno. Da queste premesse, la conclusione degli esponenti della scuola di Chicago è che la restrizione della circolazione delle informazioni personali, attuata mediante la privacy, è inefficiente perché limita l’uso di informazioni rilevanti nel circuito economico, con costi superiori a quelli determinati da un regime di pubblicità e libera circolazione72. In linea con quest’approccio critico, un altro autore ha evidenziato che una maggiore disponibilità di informazioni da parte delle imprese eviterebbe anche il costo di “annoiare” gli individui con offerte di marketing che non incontrano gli interessi dei destinatari. Se, infatti, le imprese conoscessero quanto più possibile le preferenze dei consumatori, la stessa domanda di privacy – nel senso di «right not to be annoyed» – verrebbe quasi meno73. Per altro verso, evocando il teorema di Coase74, si è notato che la riservatezza o la pubblicità delle informazioni personali, in assenza di costi di transazione, non dovrebbe dipendere dall’iniziale allocazione dei diritti sulle informazioni stesse, ma dalle valutazioni economiche delle parti interessate a quelle informazioni: se un consumatore, quindi, valuta la sua privacy più di quanto l’azienda, che tratta i suoi dati personali, valuta questi ultimi, i dati di quel consumatore verranno protetti perché, anche in assenza di un intervento regolatorio, costui sarà disposto a pagare per il diritto di proteggere i suoi dati75, e viceversa.
È evidente che le due tesi appena enunciate avversano il riconoscimento del diritto alla privacy: nel primo caso, infatti, si ritiene inefficiente l’attribuzione di diritti
71 G.J. XXXXXXX, An introduction to privacy in economics and politics, in The Journal of Legal Studies, 1980, pp. 623–644.
72 In questa prospettiva, gli europei sono stati spesso accusati dagli statunitensi di avvalersi delle leggi sulla tutela della privacy per ostacolare il flusso internazionale dei dati: v. X. XXXXXX, Aspetti economici e giuridici delle banche dati, in Inf. dir., 1983, 3, p. 94.
73 H.R. VARIAN, Economic Aspects of Personal Privacy, in W.H. XXXX, X. XXXXXXX (eds.), Cyber Policy and Economics in an Internet Age, Boston, 2002, p. 127 ss.
74 Per la prima illustrazione del teorema, v. R.H. XXXXX, The Problem of Social Cost, in Journal of Law and Economics, 1960, pp. 1-44.
75 Cfr. NOAM, Privacy and Self-Regulation: Markets for Electronic Privacy, cit.
proprietari agli individui, preferendo un regime di pubblicità delle informazioni; nel secondo caso, si ritiene che il benessere aggregato è indifferente rispetto all’allocazione dei diritti proprietari sulle informazioni personali, avendo essa un’incidenza solo sul benessere delle parti individuali con ricadute su chi deve pagare per accedere alle informazioni (le imprese), o per proteggerle (gli individui consumatori).
Tali orientamenti sono stati oggetto di critica sul piano strettamente economico. Una prima critica è giunta sul piano del metodo, da parte chi ha fatto notare che il modello dell’agente pienamente razionale, ossia perseguitore di un interesse puramente egoistico, non è sufficiente al di fuori dei tradizionali contesti di mercato, come nel caso in questione della privacy76. Inoltre, si è obiettato che, in un regime di pubblicità delle informazioni personali, gli individui tenderebbero a distorcere le loro azioni per rafforzare o preservare la loro reputazione, mentre, in un regime di controllo sulle stesse (privacy), essi sceglierebbero di compiere liberamente le azioni che incontrano le loro preferenze77. Il desiderio di privacy degli individui, secondo una dottrina che ha compiuto una vera e propria economic defence of privacy, non può comunque essere ridotto alla salvaguardia della reputazione, essendovi altri fattori psicologici che possono spiegare le scelte degli individui, come la vergogna di rendere noti certi fatti personali o il desiderio di non essere disturbati da terzi78. D’altra parte, il riconoscimento giuridico della privacy produrrebbe anche dei «dynamic benefits» (incentivi positivi) che risiederebbero, innanzitutto, nel fatto di evitare che gli individui, in assenza di una tutela garantita dal diritto, si ritrovino a sostenere costi socialmente improduttivi per mantenersi autonomamente un certo grado di privacy79. Infine, anche l’applicabilità del teorema di Xxxxx è stata messa in discussione per la presenza di asimmetrie informative che renderebbero tutt’altro che superfluo – ragionando sempre in termini economici – un intervento di regolazione allocativo della
76 X. XXXXXXXXXXX, Privacy: Its origins, function and future, in Journal of Legal Studies, 1980, p. 654 ss. Tale critica può essere oggi rinvogorita in considerazione delle contestazioni generalizzate (non solo quindi all’ambito settoriale della privacy) mosse nei confronti dell’economic analysis of law da parte della behavioural law and economics: v. X. XXXXX, X.X. XXXXXXXX, X. XXXXXX, A Behavioral Approach to Law and Economics, in Stanford Law Review, 1998, p. 1471 ss.
77 X. XXXXXXXX, X. XXXXXXXXX, Public goods, social pressure, and the choice between privacy and publicity, in American Economic Journal: Microeconomics, 2010, pp. 191-221.
78 X. XXXXXX, Property Rights in Personal Information: An Economic Defense of Privacy, in
Xxxxxxxxxx Law Review, 1996, p. 2386.
79 ID., op. ult. cit., p. 2397.
risorsa iniziale80. La massimizzazione del benessere complessivo dipende, infatti, dalla capacità individuale di operare una corretta valutazione economica della risorsa, nel caso di specie l’informazione personale. Se i consumatori non hanno sufficienti informazioni, ad esempio, sugli usi secondari che possono avere ad oggetto i loro dati personali (gli usi che potrebbe compiere un terzo, diverso dal primo utilizzatore), o non si avvedono della capacità delle imprese di sfruttare le loro informazioni, ad esempio, per condurre campagne di discriminazione sui prezzi, il surplus discendente dalla disclosure delle informazioni sarà tutto a favore delle imprese e a discapito dei consumatori81. A ciò si aggiunga che, oltre ad asimmetrie informative, vi possono essere altri fallimenti di mercato che inducono a preferire un’allocazione dei diritti sulle informazioni personali in capo agli individui interessati. A tal proposito, è stata segnalata la presenza di esternalità negative sempre in riferimento agli usi secondari delle informazioni: i terzi acquirenti potrebbero usare le informazioni personali in modi che impongono costi agli individui cui l’informazione si riferisce82. Inoltre, si è evidenziato che l’allocazione iniziale a favore delle imprese sarebbe inefficiente in quanto gli individui dovrebbero sostenere costi ingenti per scoprire quali loro informazioni sono stata raccolte e trattate. Al contrario, con un’allocazione iniziale in capo agli individui, le imprese non dovrebbero sostenere tali costi di ricerca considerato che sono esse stesse che operano il trattamento delle informazioni personali. E ancora, la mancanza di un diritto alla privacy sarebbe pure inefficiente dal momento che le imprese non imposterebbero le loro attività sulla base delle preferenze di privacy di ciascun individuo, con il risvolto negativo, per i singoli, di affrontare i noti problemi relativi alle azioni collettive (ad es. la presenza di free riders) in questo caso necessarie per negoziare le condizioni di trattamento dettate dalle imprese83.
Le tesi fin qui esposte rispondono, in modo più o meno esplicito, alla questione concernente chi deve vantare, per una migliore efficienza economica, diritti proprietari sulle informazioni personali, dando praticamente per scontato che l’informazione è, o
80 Cfr. XXXXXXXX, XXXXXX, XXXXXX, The Economics of Privacy, cit., p. 453.
81 X. XXXXXX, Consumer Privacy and the Market for Customer Information, in RAND Journal of Economics, 2004, pp. 631-650.
82 Cfr. VARIAN, Economic Aspects of Personal Privacy, cit., p. 127 ss.; K.C. XXXXXX, Markets and Privacy, in Communications of the ACM, 1996, p. 92 ss.
83 X. XXXX, Information Privacy in Cyberspace Transactions, in Stanford Law Review, 1998, p. 1193 ss.
può essere, oggetto di proprietà84. Un altro filone di ricerca, invece, si è posto il problema circa la preferibilità – sempre in un’ottica utilitaristica – di tutelare l’informazione personale con diritti proprietari o con regole di responsabilità. Gli autori statunitensi che si sono confrontati con la questione enunciata hanno preso le mosse dalla nota distinzione tra property rules e liability rules tracciata da Xxxxx Xxxxxxxxx e Xxxxxxx Xxxxxxx. Entrambe le regole sono mezzi per proteggere un entitlement, con la differenza che «an entitlement is protected by a property rule to the extent that someone who wishes to remove the entitlement from its holder must buy it from him in a voluntary transaction in which the value of the entitlement is agreed upon by the seller», mentre «whenever someone may destroy the initial entitlement if he is willing to pay an objectively determined value for it, an entitlement is protected by a liability rule». Nel primo caso, «it is the form of entitlement which gives rise to the least amount of state intervention: once the original entitlement is decided upon, the state does not try to decide its value», al contrario le «liability rules involve an additional stage of state intervention: not only are entitlements protected, but their transfer or destruction is allowed on the basis of a value determined by some organ of the state rather than by the parties themselves»85. La scelta tra i due regimi può dipendere da vari fattori, tra cui va certamente annoverato quello dell’efficienza. Pertanto, nonostante il modello proprietario sia ritenuto in astratto il più efficiente, il modello della responsabilità può essergli preferito sia quando una «market valuation of the entitlement is deemed inefficient», in quanto «either unavailable or too expensive compared to a collective valuation», sia nell’ipotesi in cui «facilitates a combination of efficiency and distributive results which would be difficult to achieve under a property rule»86.
Applicando tale quadro teorico alla materia dei dati personali, si è argomentato a favore del regime proprietario, oltre che per inefficienze interne al sistema nordamericano dei torts, per la sua capacità di tutelare meglio, nel caso di specie, gli
84 Cfr. X. XXXXXXX, Property rights in personal data: Learning from the American discourse, in Computer Law & Security Review, 2009, p. 515, la quale mette bene in evidenza un passaggio emblematico dello scritto di Xxxxxx sopra citato: «[Personal] information, like all information, is property. The question the law must answer is: Who owns the property rights to such information – the individual involved, the person who obtains the information, or some combination?».
85 X. XXXXXXXXX, A.D. XXXXXXX, Property Rules, Liability Rules and Inalienability: One View of the Cathedral, in Harvard Law Review, 1972, p. 1092.
86 IID., op. ult. cit., p. 1110.
interessi degli individui e della società in generale87. Se, invero, potrebbe dirsi che è più efficiente attribuire all’informazione personale un valore oggettivo al di fuori di una logica di scambio, evitandosi così i costi di negoziare il valore con ciascun individuo, si è controbattuto che la tutela dei soggetti interessati avverrebbe solo attraverso il meccanismo ex post di litigation, su base case-by-case, che comporterebbe notevoli costi per le parti in causa e per il sistema giudiziale; a ciò andrebbero aggiunti anche i problemi in ordine all’onere probatorio sui danni subiti88. A favore di una propertizzazione dei dati personali si sono schierati anche altri studiosi americani89, non tutti però seguendo un approccio di mera efficienza economica. A parte gli argomenti basati sulla natural rights theory90 e sulla forza retorica della proprietà nel contesto socio-culturale in questione91, argomenti che esulano dall’analisi economica di cui si sta trattando, è opportuno richiamare le tesi – comunque di stampo utilitaristico-economico92 – di coloro che punterebbero su un regime proprietario per innescare un meccanismo di incentivi per le imprese a investire in tecnologie più rispettose della privacy. Infatti, se gli individui avessero un diritto di proprietà sui dati personali, ciò costringerebbe le imprese a negoziare con essi, tenendo conto dei loro interessi, con la conseguenza ulteriore che le imprese potrebbero prevenire la negoziazione investendo, a monte, nello sviluppo di tecnologie privacy-
friendly93.
Non mancano, peraltro, opinioni diverse rispetto all’efficienza del modello proprietario. Una parte della dottrina giuseconomica ha evidenziato analiticamente i difetti di un siffatto regime94. Innanzitutto, ha rimarcato che l’introduzione di diritti proprietari necessita della creazione di un’architettura istituzionale che permetta il
00 X. XXXXXXXXX, Xx’s Personal But Is It Mine? Toward Property Rights in Personal Information, in
UC Xxxxx Law Review, 2003, p. 414 ss.
88 ID., op. ult. cit., pp. 417-418.
89 Cfr. XXXXXXX, Property, Xxxxxxx, and Personal Data, cit., p. 2056 ss.; X. XXXXXX, Privacy as Property, in Social Research, 2002, p. 247 ss.
90 Cfr. D. XXXXXX, Privacy and Power: Computer Databases and Metaphors for Information Privacy, in Stanford Law Review, 2001, p. 1446.
91 Lessig, Privacy as Property, cit., p. 247.
92 Cfr. PURTOVA, Property Rights in Personal Data: Learning from the American discourse, cit., p. 508 la quale presenta gli argomenti economici a favore del riconoscimento di diritti proprietari sulle informazioni personali, precisando di utilizzare i termini «utilitarian», «instrumental» e «economic» come sinonimi (in part. nota 7).
93 LESSIG, Privacy as Property, cit., p. 263.
94 X. XXXXXX, Information Privacy/Information Property, in Stanford Law Review, 2000, p. 1283 ss.; X. XXXXXXXXX, Privacy as Intellectual Property, in Stanford Law Review, 2000, pp. 1136-1146; SOLOVE, Privacy and Power: Computer Databases and Metaphors for Information Privacy, cit., pp. 1450-1455.
funzionamento del mercato, comportando inevitabilmente dei costi sociali sottovalutati dalla maggior parte degli autori che si sono schierati a favore della propertizzazione. In secondo luogo, il modello proprietario non potrebbe raggiungere l’obiettivo di un maggior controllo delle informazioni personali, e quindi di una maggiore privacy, se non si prevede una regola che impedisca l’alienazione dei dati a terzi da parte del primo acquirente senza il consenso del soggetto interessato, primo alienante. In terzo luogo, la più comune giustificazione per l’attribuzione di un diritto di proprietà, ossia la possibilità di permettere al mercato di allocare risorse scarse, nel caso di specie non varrebbe posto che è la privacy ad essere scarsa, non i dati personali su cui ricadrebbero i poteri dominicali. Né può dirsi che vi sia un’analogia con la logica che presiede la proprietà intellettuale, considerato che non è in gioco la necessità di recuperare i costi di investimento nella produzione di una certa risorsa: i dati personali, infatti, sono una risorsa già presente nella società a prescindere da un’attività “creatrice” delle persone cui i dati si riferiscono.
Una ricognizione degli argomenti economici, favorevoli e contrari al riconoscimento giuridico della privacy e all’introduzione di un modello proprietario sui dati personali, può ritenersi potenzialmente valida anche al di fuori del contesto geografico in cui tali argomenti sono stati partoriti, proprio in virtù del loro carattere economico. Tuttavia, è stato opportunamente segnalato che risulta difficile, in concreto, separare le tesi di analisi economica dall’ordinamento giuridico di riferimento, in particolare per la specifica concezione della proprietà e la specifica debolezza dell’information privacy di marca statunitense95. La portata della questione può essere ridimensionata evidenziando come dagli studi che si sono compendiati non emerga comunque una linea economica unitaria dalla quale poter attingere. Riprendendo le note conclusive dello scritto più volte richiamato di Xxxxxxxx, Xxxxxx e Xxxxxx, «the path towards optimally balancing privacy protection and benefits from disclosure is, at the very least, uncertain», posto che «both the sharing and the protecting of personal data can have positive and negative consequences at both the individual and societal levels».
95 PURTOVA, Property Rights in Personal Data: Learning from the American Discourse, cit., p. 515.
2.1.1. (Segue) Critiche e scenari operativi nel contesto giuridico europeo
Nella letteratura giuridica italiana, ma più in generale potremmo dire in quella europea, la prospettiva nordamericana di analisi economica del diritto alla privacy non ha avuto particolare xxxxxxx00. Le ragioni di tale diffidenza sono pressoché intuitive, tanto che già in ambito statunitense si è riconosciuto che «[w]hile utilitarian considerations weigh heavily in the minds of many Americans who have written on information privacy issues, […] [t]hose who conceive of personal data protection as a fundamental civil liberty interest, essential to individual autonomy, dignity, and freedom in a democratic civil society, often view information privacy legislation as necessary to ensure protection of this interest»97. Lo stesso argomento è utilizzato dalla nostra dottrina per rigettare la logica economico-proprietaria con riguardo ai dati personali, con l’ulteriore precisazione che, anche a ragionare in termini economici, essendo le “transazioni” (nel senso inglese di transactions) riguardanti la privacy caratterizzate da una marcata disparità di potere contrattuale, «un intervento legislativo sarebbe comunque necessario proprio per consentire un funzionamento corretto delle regole di mercato»98.
Volendo provare a rendere più esplicita la diffidenza del vecchio continente verso l’approccio di analisi economica del diritto, si potrebbe dire che siccome la ratio della disciplina europea di protezione dei dati personali è ispirata alla tutela del valore della persona e alla garanzia di diritti e libertà fondamentali99, la materia in questione, e le norme insistenti sulla stessa, non potrebbero essere osservate con le lenti giuseconomiche, se l’intento è quello di indirizzare attraverso di esse l’attività di interpretazione e applicazione del diritto100, nonché l’attività di creazione di nuove
96 In generale, segnala che in Europa i giuristi aderenti all’analisi economica del diritto non sono la maggioranza X. XXXXXXX, Il modello dell’analisi economica del diritto: come si spiega il tanto successo di una tanto debole teoria?, in Ars interpretandi, 2013, p. 49.
97 XXXXXXXXX, Privacy as Intellectual Property, cit., p. 1128, la quale richiama la direttiva europea sulla protezione dei dati personali osservando che quest’ultima si fonda sulla garanzia di un fundamental civil liberty interest (op. ult. cit., nota 15). In generale, sulle differenze tra l’approccio statunitense e l’approccio europeo alla privacy, v. J.Q. XXXXXXX, The Two Western Cultures of Privacy: Dignity versus Liberty, in Yale Law Journal, 2004, p. 1153 ss.; P.M. XXXXXXXX, The EU-U.S. Privacy Collision: A Turn to Institutions and Procedures, in Harvard Law Review, 2013, p. 1966 ss.
98 RODOTÀ, Tecnologie e diritti, cit., p. 55.
99 Ibidem, ove si parla di privacy come «parte integrante della più generale dimensione della garanzia dei diritti civili e dell’organizzazione della democrazia».
100 Intendendo l’analisi economica del diritto come un tipo di interpretazione orientata alle conseguenze: così X. XXXXXXX, L’argomentazione orientata alle conseguenze, in Riv. trim. dir. proc. civ., 1994, pp. 9-11, il quale ammonisce circa l’esistenza di limiti per un giurista positivo in merito all’utilizzo di
regole giuridiche. Le lenti giuseconomiche – si potrebbe proseguire – sarebbero adatte, invece, per analizzare settori dell’ordinamento aventi una diretta incidenza patrimoniale, quali il diritto antitrust, la responsabilità civile, la proprietà, il diritto dei contratti. Rispetto ai diritti della personalità, pertanto, un’analisi economica risulterebbe «dissacrante»101. In altri termini, sintetizzando brutalmente: se, a monte, la scelta legislativa di garantire un diritto alla protezione dei propri dati non ha seguito ragioni di efficienza economica, dovrebbe concludersi, a valle, che la materia non dovrebbe essere analizzata con argomenti puramente economici.
Posta così la questione, il discorso, per quanto apparentemente lineare, rischia di risultare riduttivo e forse fuorviante, non essendo così scontata la premessa circa i rapporti tra la ratio di una disciplina giuridica102 e l’utilità/legittimità di un’analisi
questo tipo di argomentazione in un’ottica giusformalista. Sul punto, cfr. anche DENOZZA, Il modello dell’analisi economica del diritto, cit., p. 46 ss., il quale limpidamente osserva che «l’indicazione per l’interprete è quella di preferire interpretazioni che esaltino l’autodeterminazione delle parti interessate e la possibilità per queste di contrattare direttamente tra loro le migliori soluzioni dei conflitti. L’idea è che nessuno meglio delle parti coinvolte è in grado di valutare esattamente le conseguenze di un dato corso di eventi ed è perciò auspicabile che sia l’accordo tra le parti a determinare tale corso. Là dove non sia opportuno il perseguimento di questo obiettivo, e cioè quando […] siano presenti effetti che le parti non sono in grado di apprezzare esattamente e di governare efficacemente, l’indicazione è nel senso di dare ai vari conflitti la stessa soluzione che il mercato avrebbe verosimilmente dato loro se avesse potuto funzionare correttamente» (p. 47).
101 X. XXXX, Il diritto all’identità personali ieri e oggi. Informazione, mercato, dati personali, in X. XXXXXXX (a cura di), Libera circolazione e protezione dei dati personali, cit., p. 276. Nello stesso senso,
X. XXXXXX, Analisi economica del diritto alla riservatezza, in X. XXXX (a cura di), Da costo a risorsa. Attività produttive e protezione dei dati personali, Roma, 2002, p. 248, ove si segnala altresì il sospetto di inutilità dell’analisi economica.
102 Con riguardo alla ratio della disciplina sulla protezione dei dati personali, deve prendersi atto che essa risponde, oltre che a un’evidente finalità personalistica, anche ad una logica di tipo economico, sintetizzabile nel favorire la circolazione di informazioni personali nel mercato unico dell’UE. Non può negarsi, dunque, che lo statuto europeo del trattamento dei dati personali è retto non solo dall’esigenza di assicurare un soddisfacente livello di protezione della persona, soprattutto in termini di garanzia della propria identità, ma anche da esigenze diverse, che potremmo definire mercantili. Basti pensare che la base giuridica della direttiva 95/46/Ce era costituita dall’ex art. 100 A del Trattato Cee, riguardante la competenza per l’instaurazione e il funzionamento del mercato interno; per di più, i considerando 3, 4 e 5 della medesima direttiva certificavano in modo esplicito la rilevanza economica del flusso di dati personali all’interno del mercato della Comunità europea. Con il regolamento (Ue) 2016/679, pur essendo cambiata la base giuridica, che ora trova riscontro nell’espressa competenza dell’Unione a dettare norme relative alla libera circolazione dei dati di carattere personale ai sensi dell’art. 16 TFUE, non sono affatto venute meno le ragioni economiche sottese alla normativa. Ad esempio, il considerando 2 del regolamento dichiara l’obiettivo di contribuire alla realizzazione «di un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno [oltre che al benessere delle persone fisiche e alla realizzazione di uno spazio di libertà, sicurezza e giustizia]» (corsivi aggiunti); coerentemente, il considerando 7 afferma «l'importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno». Ad avviso di alcuni autori, il regolamento pone addirittura l’enfasi maggiore proprie sulle esigenze di circolazione delle informazioni nel mercato rispetto alle istanze di tutela personalistica: F. BRAVO, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, Padova, 2018, passim (in part. pp. 188-199), ove addirittura si riscontra nel considerando 4 del Regolamento «il germe di una norma […] dalla portata astrattamente demolitoria del principio personalistico». In generale, su posizioni simili, ma
giuseconomica e soprattutto circa le conseguenze giuridiche che si vogliono far discendere da questo tipo di analisi103.
Più realisticamente, dovrebbe prendersi contezza, piuttosto, che le nette prese di posizione della nostra dottrina contro l’opportunità di applicare la logica economica al tema della privacy nascono (e si spiegano) soprattutto dalla necessità di rispondere alle provocazioni di Xxxxxx di analizzare le relazioni personali come se fossero rapporti di mercato. Scisso il giudizio sull’analisi economica della privacy dalle riflessioni suscitate dagli scritti del celebre esponente della scuola di Chicago, ai quali deve riconoscersi di aver monopolizzato gran parte del dibattito scientifico sul tema, appare opportuno, per verificare l’utilità e la legittimità di un discorso giuseconomico sui dati personali, disarticolare i riferimenti normativi, ponendosi in una prospettiva che non insegue pretese generalizzanti104. In tale ottica, si possono valorizzare le considerazioni di quella dottrina che, pur criticando certe distorsioni e abnormità dell’economics of privacy, ritiene opportuno distinguere le informazioni «neutre» dalle
con xxxx critici verso la complessiva impalcatura regolamentare, v. X. XXXXXXX, Il regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, in Nuove leggi civ. comm., 2017, p. 375 ss., e X. XXXXXXX, Note minime in tema di trattamento dei dati personali, in Eur. dir. priv., 2018, p. 305; sembra accogliere, invece, positivamente l’impronta mercantilistica del RGPD, in quanto più coerente allo stato della prassi, X. XXXXXXXX, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Dir. inf., 2018, p. 716 ss.
103 Non si possono trascurare i diversi approcci di analisi economica già presenti nel contesto nordamericano. Com’è noto, l’economic analysis of law della scuola di Chicago è ben diversa dalla law and economics della scuola di Yale. Su tali differenze, v. X. XXXXXXXXX, The Future of Law and Economics: Essays in Reform and Recollection, New Haven, CT, Yale University Press, 2016, pp. 9- 17, il quale con la consueta nitidezza chiarisce: «What I call Economic Analysis of Law uses economic theory to analyze the legal world. It examines that world from the standpoint of economic theory and, as a result of that examination, confirms, casts doubt upon, and often seeks reform of legal reality. In effect, it acts as an Archimedean place to stand and upon which to place a lever, a lever that permits the scholar, when appropriate, to argue for change in that legal reality. In its most aggressive and reformist mode, having looked at the world from the standpoint of economic theory, if it finds that the legal world does not fit, it proclaims that world to be “irrational.” […] What I call Law and Economics instead begins with an agnostic acceptance of the world as it is, as the lawyer describes it to be. It then looks to whether economic theory can explain that world, that reality. And if it cannot, rather than automatically dismissing that world as irrational, it asks two questions. The first is, are the legal scholars who are describing the legal reality looking at the world as it really is? Or is there something in their way of seeing the world that has led them to mischaracterize that reality? This question is what Xxxxxxx and I were led to ask by our article now commonly known as “The Cathedral.”». A tal proposito, va rilevato che diverse critiche mosse contro l’analisi economica del diritto hanno ad oggetto uno specifico punto di vista e non implicano un rifiuto dell’«idea di utilizzare i metodi e le acquisizioni della scienza economica al fine di meglio comprendere le caratteristiche della realtà cui le norme devono essere applicate»: così DENOZZA, Il modello dell’analisi economica del diritto, cit., p. 44, nota 2.
104 L’attribuzione di cittadinanza a letture strumentali nell’ambito della disciplina sul trattamento dei dati personali dovrebbe essere scissa dal giudizio sull’analisi economica del diritto. Lo iato che separa l’economic analysis of law da altre concezioni strumentali del diritto, quanto meno quelle discendenti dal pensiero di Xxxxxxx, è tratteggiato incisivamente da X. XXXXXXX, Le situazioni soggettive nelle concezioni strumentali del diritto: un’incursione teorica tra Xxxxxxx e l’Economic Anlysis of Law, in Politeia, 2016, p. 84 ss.
informazioni «delicate», asserendo che «è quantomeno dubbio che si possano mettere sullo stesso piano dati personali quali, ad esempio, l’essersi diplomato in una certa scuola e l’essere affetto da una certa malattia»105. Sulla stessa scia, sempre in un’ottica critica rispetto all’approccio puramente mercantile che deresponsabilizza il formante normativo, ma allo stesso tempo diffidente verso un eccessivo livello di rigidità e paternalismo, s’è osservato che «un’impostazione multi-dimensionale – aperta, cioè, al riconoscimento che una persona può avere interessi differenti rispetto alle informazioni che la riguardano, anche in ragione del contesto rispetto al quale opera le valutazioni di circostanza – si candida come prospettiva più acconcia a gestire la complessità dei problemi legati alla data collection e postula un grado di flessibilità che una rigorosa predeterminazione normativa non è comunque idonea a garantire»106.
2.2. La (parabola della) categoria dei dati personali di contenuto economico nell’ordinamento italiano
Il fatto che l’analisi economica applicata alla privacy non abbia attecchito nella nostra cultura giuridica non deve far pensare che non vi siano state riflessioni sulla rilevanza delle informazioni personali nel fenomeno economico. Nei primi scritti pionieristici sulla materia, in particolare nel saggio del 1974 intitolato La privacy tra individuo e collettività, Xxxxxx ha dedicato alcune note all’«informazione economica». Tra le considerazioni più significative, val la pena di riportare le seguenti:
«La liberalizzazione dell’accesso all’informazione economica, la sua
«socializzazione», è indispensabile per porre su un piano di parità tutti coloro i quali sono interessati a concorrere, attraverso la libera discussione, alla determinazione della politica del proprio paese. […] Una tendenza visibile in tutti i paesi mostra una divaricazione crescente tra la tutela concessa a quelle che, in senso lato, possiamo chiamare le «opinioni» di un soggetto, e alle altre sue caratteristiche e abitudini, e la garanzia riconosciuta ai dati riguardanti la sua attività economica. Quest’ultima tende ad indebolirsi, determinando un vero e proprio capovolgimento della scala di valori a
105 XXXX, Il diritto all’identità personali ieri e oggi. Informazione, mercato, dati personali, cit., p. 280.
106 PARDOLESI, Dalla riservatezza alla protezione dei dati personali: una storia di evoluzione e discontinuità, cit., pp. 56-57.
cui era stata finora ispirata, nella gran parte dei casi, la disciplina della privacy. […] Il privilegio accordato alle informazioni economiche sotto il profilo della segretezza, costituisce appunto uno strumento che rafforza la posizione di proprietari e imprenditori, così sottratti a continui e sostanziali controlli da parte della collettività»107.
Il discorso del Maestro aveva l’impronta di una linea d’indirizzo in chiave di politica del diritto, essendo, a quel tempo, l’ordinamento italiano ancora privo di una normativa di diritto positivo in materia di privacy. Le suddette riflessioni sono state fatte proprie da una parte della dottrina giuscommercialistica, attenta a ricostruire lo statuto delle informazioni riguardanti (la persona fisica o giuridica svolgente) l’attività d’impresa. Il rischio da scongiurare era l’affermazione di un diritto alla privacy economica che permettesse alle imprese di frenare il flusso delle informazioni che le riguardassero, ostruendo così il buon funzionamento del mercato108. Il discorso veniva svolto de iure condendo, riferendosi ai “dati economici” come «qualcosa di più e di maggiormente complesso dei semplici dati aziendali noti ad amministratori, dipendenti, sindaci, revisori, professionisti, ecc.; né si ha riguardo esclusivamente (o prevalentemente) alle informazioni necessarie per la vita dell’impresa e per una sua corretta gestione»109. Nell’accezione ampia suggerita da Alagna, andava assicurato un regime speciale per i «dati economici (non coperti da vincoli e obblighi di segreto) su soggetti (individuali e collettivi), sugli assetti del capitale e sulle conformazioni societarie, sulle vicende delle imprese, sulla loro posizione nel mercato, sui capitali disponibili, sui crediti attinti e disponibili, sui finanziamenti ordinari e speciali, sui programmi e sulle prospettive di sviluppo e di investimento, sugli utili previsti, ecc.: dati, questi, dai quali è possibile dedurre per così dire l’immagine del soggetto o dell’impresa, come del resto (dopo i necessari accorpamenti di dati di base) un quadro dei vari settori e dell’intero mercato»110. Dati, insomma, che si riferiscono principalmente alle imprese, senza tuttavia rifiutare l’inclusione di «notizie economiche riferite ai singoli», nella misura in cui – appare implicito – siano
107 RODOTÀ, Tecnologie e diritti, cit., pp. 30-31.
108 X. XXXXXX, Banche dati e notizie commerciali: spunti di riflessioni sulla compatibilità della tutela della persona e della immagine dell'impresa col diritto alle informazioni economiche, in Dir. Inf., 1988, pp. 701-720 (in part. 707-709); cfr. anche X. XXXXX, La tutela della persona dall’informazione alla informatica economica, in Rass. dir. civ., 1992, p. 312.
109 ALAGNA, op. ult. cit., p. 705.
110 Ibidem.
funzionali alla trasparenza del mercato, che impone il riconoscimento di un generalizzato (ma non illimitato) diritto di accesso alle informazioni economiche di individui e imprese111.
A distanza di qualche anno dagli scritti testé citati, l’emanazione della legge del 31 dicembre 1996, n. 675 ha costituito un banco di prova per verificare se i suggerimenti dottrinali erano stati accolti dal legislatore. La norma dell’abrogata legge su cui ricade immediatamente l’attenzione è l’art. 12, il quale disciplinava i casi in cui il consenso dell’interessato era escluso (rectius, non era richiesto112) ai fini del trattamento, tra i quali alla lett. f) si menzionava l’ipotesi in cui il trattamento «riguarda dati relativi allo svolgimento di attività economiche raccolti anche ai fini indicati nell´articolo 13, comma 1, lettera e), nel rispetto della vigente normativa in materia di segreto aziendale e industriale». Si tratta di una delle norme su cui maggiormente si è discusso sotto la vigenza della legge in questione, per la sua «non chiara formulazione legislativa»113 o se si vuole, con maggiore incisività, perché «oggettivamente ambigua»114.
L’espressione «dati relativi allo svolgimento di attività economiche», utilizzata anche dall’art. 20, co. 1, lett. e) per affermare l’ammissibilità della comunicazione e la diffusione di questi dati anche in assenza di consenso dell’interessato (arg. ex art. 20, co. 1, lett. a)), è suscettibile di almeno due significati: secondo il primo, le attività economiche vanno intese come svolte dal soggetto che effettua la raccolta dei dati, cioè il titolare del trattamento; in base al secondo, invece, le stesse attività vanno considerate come svolte dal soggetto cui i dati si riferiscono, vale a dire l’interessato. La dottrina maggioritaria ha optato per quest’ultima interpretazione115, se non altro perché «la più logica»116, in quanto a dar per buona la prima interpretazione si sarebbe dovuto concludere che ogni qualvolta un soggetto avesse effettuato un trattamento di
111 ID., op. ult. cit., pp. 715.
112 V. le acute osservazioni di XXXXXXXXXX, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali, cit., pp. 198-199, il quale fa notare che «poiché il significato intende essere la non necessarietà del consenso dell’interessato ai fini del trattamento, molto meglio si sarebbe detto ‘trattamenti non richiedenti consenso’, ché l’esclusione del consenso per sé dovrebbe significare tutto il contrario di quello che la legge intende dire: cioè il difetto di potere del titolare o del responsabile relativamente al trattamento, nonostante il consenso dell’interessato».
000 X. XXXXXXXX, Xx trattamento dei dati relativi allo svolgimento di attività economiche, in Eur. dir. priv., 1998, p. 691.
114 XXXXXXXXXX, op. ult. cit., p. 199.
115 RICCIUTO, Il trattamento dei dati relativi allo svolgimento di attività economiche, cit., p. 691; X. XXXXXXXX, Il trattamento dei dati economico-patrimoniali nella recente legge sulla tutela della privacy, in Resp. civ. prev., 1997, p. 978; XXXXXX, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, cit., p. 593.
116 XXXXXXXX, op. ult. cit., p. 691.
dati personali nello svolgimento un’attività economica, non vi sarebbe stato bisogno del consenso dell’interessato, con il risultato di una «evidente vanificazione della normativa» di protezione dei dati personali117. La ratio della norma, infatti, ad avviso di tale dottrina, andava ricostruita in chiave di tutela della concorrenza e della trasparenza del mercato, considerato che, se si fosse dovuto richiedere a una impresa il consenso per il trattamento delle informazioni che la riguardassero, quest’ultima avrebbe avuto l’interesse a negarlo, con il rischio ulteriore di sperequazioni tra imprese più forti e imprese più deboli118.
In termini più dubbiosi sull’interpretazione da preferire, si è espressa un’altra parte della dottrina, secondo la quale le norme della l. n. 675/96 ponevano di fronte a «una vera e propria interpretatio duplex, espressiva dell’incapacità di ciascuno dei significati contrapposti di sopraffare l’altro»119. Infatti, se, da un lato, a favore dell’interpretazione che considerava l’attività economica come quella svolta dal soggetto i cui dati vengono raccolti, cioè dall’interessato, si poteva citare soprattutto il richiamo dell’art. 12, lett. f) al rispetto della normativa in materia di segreto aziendale e industriale, che certamente attiene alla circolazione dei dati del soggetto economico120; dall’altro lato, l’interpretazione storica (il confronto con la direttiva comunitaria), così come l’interpretazione logica (il riferimento all’art. 13, lett. e)) e sistematica (le altre ipotesi enumerate dall’art. 12), suggerivano di intendere l’attività economica come svolta dal titolare del trattamento121.
Delle due interpretazioni enunciate, è evidente che solo la prima avrebbe fornito, in qualche modo, una base normativa a quell’orientamento dottrinale che, come si è visto, inneggiava da tempo a una (più) libera circolazione dei dati personali di carattere economico. Questi ultimi, tuttavia, a differenza di quanto ci si auspicava negli scritti degli anni ’70 e ’80, sarebbero stati intesi come “economici”, e quindi sottoposti a un regime giuridico differenziato, per la semplice referenza a un soggetto che svolge attività d’impresa, non invece per il loro contenuto.
117 ID., op. ult. cit., p. 692. Critico nei confronti di questa argomentazione, nel senso che essa «non può meritare consenso di per sé», XXXXXXXXXX, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali, cit., p. 206.
118 XXXXXXXX, op. ult. cit., pp. 692-693; XXXXXX, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, cit., p. 593.
119 XXXXXXXXXX, op. ult. cit., p. 200.
120 ID., op. ult. cit., p. 206.
121 ID., op. ult. cit., pp. 201-205.
Ciononostante, una parte della dottrina ha tentato ugualmente di fornire una definizione di «dati economico-patrimoniali» più estensiva122. Le difficoltà da essa incontrate sono state notevoli, soprattutto nel tracciare la linea di confine con i dati personali inerenti alla sfera intima. Se, infatti, l’informazione circa un avvenuto pagamento potrebbe apparire un’informazione tipicamente economico-patrimoniale, è facile ravvedersi che da quel pagamento potrebbero essere estrapolate informazioni strettamente personali, a seconda del luogo in cui è stato effettuato, del soggetto beneficiario, dell’importo, ecc. Si spiega, dunque, il motivo per cui si è opportunamente osservato che una disciplina differenziata dei dati economico- patrimoniali «potrebbe giustificarsi – anche da un punto di vista costituzionale – solo nei limiti in cui il trattamento dei dati economico-patrimoniali coinvolga interessi del soggetto cui si riferiscono diversi da quelli di natura personale che vengono normalmente invocati a giustificazione dei limiti dall’ordinamento posti all’accesso ed alla circolazione dei dati afferenti alla sua vita privata»123.
Con l’entrata in vigore del codice per la protezione dei dati personali (d.lgs. n. 196/2003), si è ampliato il numero delle disposizioni che, in vario modo, hanno affrontato il tema del trattamento di «informazioni a contenuto economico»124. In dottrina, peraltro, si è continuato a ritenere valida la distinzione tra dati attinenti alla sfera personale e dati economici125.
A dire il vero, nel codice del 2003 il dettato normativo è risultato tanto articolato da necessitare una “destrutturazione” per una sua migliore comprensione. Più che di norme relative al trattamento di (veri e propri) dati economici, sarebbe meglio dire che il legislatore, in primo luogo, ha mantenuto ferma l’indicazione sul trattamento speciale riservato al soggetto economico (v. art. 24, co. 1, lett. d): «il consenso non è richiesto quando […] riguarda dati relativi allo svolgimento di attività economiche,
122 GRANELLI, Il trattamento dei dati economico-patrimoniali nella recente legge sulla tutela della privacy, cit., p. 971 ss., il quale include nei dati economico-patrimoniali quelli attinenti alla attività economica e alla situazione patrimoniale dei consociati. Al termine di un’analisi meticolosa, l’autore sembra ricomprendere in questa categoria, certamente, i dati relativi alla capacità professionale, alla solidità finanziaria e alla correttezza commerciale, che, sebbene possano influire sulla reputazione personale in virtù dei giudizi nascenti in forza degli stessi, sono da considerare afferenti alla sfera meramente economica.
123 ID., op. ult. cit., pp. 973-974.
124 X. XXXX-ZENCOVICH, Privacy e informazioni a contenuto economico, in X. XXXXXXXXXX, X. XXXX, X. XXXX-XXXXXXXXX (a cura di), Il codice dei dati personali. Temi e problemi, cit., p. 446.
125 C.M. XXXXXX, Note introduttive, in ID., F.D. BUSNELLI (a cura di), La protezione dei dati personali. Commentario al d.lgs. 30 giugno 2003, n. 196 («Codice della privacy»), Padova, 2007, XXIV-XXV.
trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale»); in altri casi, ha badato all’interesse economico del titolare del trattamento (v. art. 24, co. 1 lett. g): «il consenso non è richiesto quando […] il trattamento, con esclusione della diffusione, è necessario per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate»); altre volte, ha prestato attenzione ai dati personali di contenuto economico (v. art. 37, co. 1, lett. f): obbligo di notifica al Garante per i «dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni»); in altri casi ancora, è stato il fine economico del trattamento a meritare una considerazione legislativa (v. art. 37, lett. d): obbligo di notifica al Garante per «dati trattati con l'ausilio di strumenti elettronici volti […] ad analizzare abitudini o scelte di consumo»)126.
Con l’adeguamento del codice per la protezione dei dati personali al reg. (UE) 2016/679, avvenuto con il d.lgs. 10 agosto 2018, n. 101, sono state abrogate le disposizioni appena citate, così che appare (sempre) più difficile oggi parlare di «dati economici» come di un concetto avente una qualche pregnanza normativa.
Da questa breve parabola della categoria (rectius, del tentativo di costruire una categoria) di dati economici, emerge dunque come in passato, nell’ordinamento italiano, a livello dottrinale e legislativo, preminente attenzione sia stata prestata al soggetto cui i dati si riferiscono (secondo l’interpretazione maggioritaria della formula
«dati relativi allo svolgimento di attività economiche») e/o al contenuto dei dati personali. Si trattava di una prospettiva che potremmo definire “statico-passiva”, nel senso che non si è cercato di costruire un concetto di dato economico in connessione al tipo e al fine di trattamento dei dati effettuato dal titolare. D’altronde, non stupisce che quando si intende fornire un attributo a una certa entità, si tenga conto dei caratteri il più possibile intrinseci, risultando più difficile da sostenere che un dato personale sia economico sol perché utilizzato per finalità di tal genere. Infatti, ragionando in termini di tecnica normativa, la logica della fattispecie tende a prediligere concetti “statici”, attraverso i quali è più agevole operare il meccanismo sussuntivo; di contro, ponendo l’accento sulla funzione e sul contesto del trattamento, si finisce per aprire le
126 Le disposizioni citate vengono richiamate da X. XXXX-XXXXXXXXX, Xxxxxxx e informazioni a contenuto economico, cit., pp. 447-449.
maglie della disposizione con l’effetto di relativizzare la portata della regola127. Tuttavia, non può disconoscersi che è proprio questa la direzione intrapresa dalla disciplina di protezione dei dati personali, sempre più improntata alla relazionalità e alla dinamicità delle disposizioni regolatrici128.
2.2.1. (Segue) Il trattamento dei dati personali avente finalità economica tra RGPD e spunti dall’ordinamento tedesco
Se quanto appena detto è vero, deve evidenziarsi che, nonostante l’impronta funzionalistica della disciplina europea di data protection, non si è ancora affermato un concetto generale, alternativo a quello (sfuggente e desueto) di «dato (di contenuto) economico», che prenda in considerazione, con ricadute sistematiche in prospettiva più efficaci, il trattamento economico dei dati personali, cioè quello svolto dal titolare per il perseguimento di finalità eminentemente mercantili129. Da questo punto di vista, il RGPD ha rinunciato a unificare le problematiche connesse a fattispecie di tal genere, preferendo ricorrere ad altri criteri selettivi di disciplina, tra cui la tipologia dei dati (distinguendo tra categorie particolari di dati personali – art. 9, RGPD, sottoposte a un regime di armonizzazione più che di vera uniformazione130, e categorie
127 Sul tentativo fallito di giungere a una puntuale indicazione delle regole a cui sottoporre ciascuna categoria dei dati, con una sempre maggiore rilevanza attribuita al contesto e alla funzione del trattamento, cfr. RODOTÀ, Tecnologie e diritti, cit., pp. 83-84.
128 Si approfondirà meglio quest’aspetto nel cap. 2.
129 Segnala la mancanza di un’indagine sistematica sulla situazione giuridica soggettiva del titolare del trattamento, che opera nello svolgimento di un’attività economica, BRAVO, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, cit., pp. 22-23, il quale giustifica così l’opportunità di uno studio in tale direzione. Tuttavia, la prospettiva assunta dall’autore assume un raggio di ipotesi ben più ampio rispetto alla fattispecie di “trattamento avente finalità economica” suggerita nel testo. Infatti, il trattamento svolto nel contesto di un’attività economica, per quanto limitato ai casi in cui possa dirsi, seconda la tesi sostenuta dall’autore, espressione di un “diritto” del soggetto imprenditoriale, se ben si intende, prescinde dal perseguimento di una specifica finalità economica, rilevando maggiormente il contesto del trattamento. A dimostrazione di ciò, si tenga in considerazione, a titolo esemplificativo, che l’autore fa rientrare nella fattispecie da lui delineata «i trattamenti volti ad accertare, esercitare o difendere un diritto in sede giudiziaria […], nei limiti in cui il trattamento rilevi nell’ambito dello svolgimento dell’attività libero professionale o di difesa giudiziale di un proprio diritto, rientrante nella libertà di impresa» (p. 76), così come «il trattamento […] connesso all’esecuzione di interesse pubblico, ove [l’attività] sia comunque svolta da soggetti privati o con strumenti giusprivatistici, come nel caso di funzioni notarili o dell’agire iure privatorum della pubblica amministrazione» (p. 78).
130 L’art. 9, par. 4, RGPD prevede che «[g]li Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».
implicitamente ordinarie di dati personali, sottoposte alla disciplina generale uniformata) e il criterio dei mezzi, o delle forme, del trattamento (v. le disposizione ad hoc sulla profilazione, la quale è ritenuta, per l’appunto, una particolare forma di trattamento più che una finalità dello stesso, trattandosi di un «trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica» – art. 4, n. 4), RGPD, con la possibilità di potervi ricorrere sia per fini economici, sia per fini che non possono dirsi tali). Le finalità economiche perseguite dal titolare, senza che il legislatore ne fornisca una definizione nel vocabolario di cui all’art. 4 del RGPD, rilevano solo in specifici ambiti disciplinari: ad esempio, l’art. 21 prevede che qualora i dati siano trattati per finalità di marketing diretto, l’interessato ha diritto ad opporsi al trattamento, ottenendo immediatamente (sembra questo il senso dei due parr. 2 e 3 in contrapposizione al par. 1) l’astensione del titolare dal trattamento stesso.
In realtà, il quadro è ancora più composito di quanto appare da questa prima panoramica. Si prenda in esame l’art. 6, par. 1, lett. f), RGPD: esso contempla come base giuridica del trattamento il perseguimento di un «legittimo interesse del titolare», non specificando tuttavia che tipo di interesse dev’essere, in quanto l’unica precisazione attiene al fatto che, da un lato, tale interesse deve essere bilanciato con
«gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali» e, dall’altro lato, che tale ipotesi non riguarda il
«trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti». Ci si potrebbe domandare, a questo punto, se il legittimo interesse del titolare possa essere di natura economica e, quindi, coprire (anche) il raggio d’azione di un trattamento effettuato per il perseguimento di finalità commerciali. Un’indicazione in senso positivo viene fornita dal considerando 47 del RGPD, ove si prevede che «può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto».
Di fronte a una tale disposizione, di portata potenzialmente dirompente nel sistema costruito dal RGPD, il ruolo dell’interprete diventa fondamentale131. A meno di non voler legittimare un totale stravolgimento del rapporto tra ratio economicista e ratio personalistica della disciplina132, in direzione di una sopraffazione della prima sulla seconda, sembra doveroso rimarcare con opportuna enfasi la circostanza che la (semplice) legittimità dell’interesse perseguito dal titolare non è di per sé sufficiente per trattare i dati personali dell’interessato. È vero, infatti, che il legislatore europeo avrebbe potuto escludere a priori il bilanciamento tra un interesse (puramente) economico del titolare e un interesse personalistico dell’interessato, tuttavia ciò non toglie che è quanto meno difficile immaginare che il bilanciamento, in concreto, di meri obiettivi di marketing (o in generale di meri obiettivi commerciali del titolare) con gli interessi, i diritti e le libertà fondamentali dell’interessato, possa avere un esito diverso dalla prevalenza di questi xxxxxx000. Il titolare del trattamento, in virtù del principio di responsabilizzazione, sarà pure deputato ad essere il primo autore del bilanciamento in esame134, ma ciò non legittima alcuna deduzione circa l’esito dello stesso, essendo comunque possibile un vaglio giudiziale. Deve considerarsi, inoltre, che uno scopo di trattamento lato sensu economico, qual è l’esecuzione di un contratto o di misure precontrattuali adottate su richiesta dell’interessato, riceve un’autonoma considerazione nella lett. b), par. 1 dell’art. 6 del RGPD, in quel caso costituendo una base giuridica del trattamento dei dati personali che prescinde dal bilanciamento, in concreto, con gli interessi o altre situazioni giuridiche fondamentali dell’interessato,
131 Nella dottrina di area germanica, sono stati sollevati dubbi circa la coerenza di tale disposizione nel sistema complessivo del RGPD: v. C. XXXXXXXXXX, X. XXXX VON XXXXXXXXXX, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, in XXX, 0000, p. 3746.
132 Si consideri che gran parte dei meccanismi di protezione dell’interessato, previsti dal RGPD, presuppongono il consenso come base giuridica di trattamento. Lo fanno opportunamente notare IID., Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, cit., p. 3747.
133 Sembra muovere in questa direzione GRUPPO DI LAVORO PER LA PROTEZIONE DEI DATI PERSONALI
(ARTICOLO 29), Xxxxx guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, 3 ottobre 2017, versione emendata il 6 febbraio 2018. Esse, infatti, precisano innanzitutto che «Article 6(1) (f) does not automatically apply just because the controller or third party has a legitimate interest. The controller must carry out a balancing exercise to assess whether their interests are overridden by the data subject’s interests or fundamental rights and freedoms» (p. 14). Inoltre, richiamando l’opinione espresso dallo stesso Gruppo sulla nozione di “legittimo interesse del titolare” (espressa, tuttavia, sotto la vigenza della Dir. 95/46), si ricorda che quest’ultima «suggests it would be difficult for controllers to justify using legitimate interests as a lawful basis for intrusive profiling and tracking practices for marketing or advertising purposes, for example those that involve tracking individuals across multiple websites, locations, devices, services or data- brokering» (p.15).
134 Cfr. BRAVO, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, cit., 2018, p. 215 ss.
proprio in virtù della stretta necessità del trattamento stesso rispetto ad un’attività che risponde, tra l’altro, ad un interesse non esclusivo del titolare135. D’altronde, la stessa necessità di trattamento per l’esecuzione di un contratto va intesa restrittivamente, così da non permettere l’inclusione al suo interno di trattamenti di dati puramente commerciali che non rispondono a criteri oggettivi di necessità136.
Da tali disposizioni si potrebbe abbozzare la seguente illazione interpretativa: che un trattamento avente finalità puramente economica, che risulti essere non strettamente necessario e risponda altresì a un interesse soggettivo (quanto meno prevalente) del titolare, tendenzialmente richiede come base giuridica, in concreto, il consenso dell’interessato137. A parte una tale conclusione, prodotto di un’interpretazione orientata alla miglior tutela dei diritti fondamentali dell’interessato138, è difficile ricavare dal RGPD altre indicazioni in merito ai trattamenti che possano dirsi avere un fine prettamente economico. Né può dirsi altrimenti a livello di ordinamento italiano. Alcuni spunti, invece, sembrano potersi trarre volgendo lo sguardo ad altre discipline nazionali. In particolare, è possibile ritrovare un riferimento al trattamento di dati personali avente finalità commerciale nell’ambito di una disciplina tedesca molto settoriale, quella sugli atti di ingiunzione (Unterlassungsklagengesetz)139. Quest’ultima, nell’indicare le normative sulla protezione dei consumatori, richiama le regole che disciplinano l'ammissibilità del trattamento dei dati personali relativi a un
135 L’esecuzione di un contratto o di misure precontrattuali adottate su richiesta dell’interessato evidentemente risponde ad un interesse che non può dirsi esclusivo del titolare del trattamento, essendo l’interessato, nel primo caso, anch’egli parte del contratto e, nel secondo caso, promotore della richiesta che ha fatto sorgere la necessità del trattamento dei suoi dati.
136 GRUPPO DI LAVORO PER LA PROTEZIONE DEI DATI PERSONALI (ARTICOLO 29), Linee guida sul consenso ai sensi del regolamento (UE) 2016/679, 28 novembre 2017, versione emendata il 10 aprile 2018, p. 9. In dottrina, cfr. X. XXXXXXX, Xxxx, si tu exploitais tes données?, in X. XXXXXXX, C. XX XXXXXXXXX, X. XXXXXXXXX, X. XXXXX (eds.), Xxx, norms and freedoms in cyberspace – Liber amicorum Xxxx Xxxxxxx, Bruxelles, 2018, pp. 663, 674-675, 677-678.
137 Xxxxx basi di argomentazioni parzialmente differenti, sembrano giungere alla medesima conclusione (o quanto meno, si auspicano che la CGUE sposi la riduzione teleologica suggerita con riguardo alle basi giuridiche di trattamento di cui alle lett. b) e f) dell’art. 6, RGPD) XXXXXXXXXX, GRAF VON XXXXXXXXXX, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, cit., pp. 3747, 3749.
138 Si segnala che una simile operazione è stata compiuta da un autore con riferimento all’art. 1, par. 3 del RGPD, speculando anche sul dettato dell’art. 52, par. 1 della Carta dei diritti fondamentali dell’UE: BRAVO, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, cit., p. 210 ss. 139 Un richiamo a tale disciplina si rinviene nella relazione tenuta da Xxxxxxxxxx Xxxxxxxxxx alla “XXXII Nordic Conference on Legal Informatics” del 13 novembre 2017, dal titolo «The Proposed Digital Content Directive and its Implications for the Data Economy». Le diapositive sono disponibili online su: xxxxx://xxx.xxx.xxx.xx/xxx/xx/xxxxxxxxxxxx/xxxx/xxxxxxxxxxxxx/0000/xxxxxxxxxx.xxx. Per ulteriori cenni alla disciplina sull’uso commerciale dei dati personali, v. XXXXXXXXXX, GRAF VON XXXXXXXXXX, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, cit., p. 3747.
consumatore. In particolare, si fa riferimento al trattamento effettuato da un imprenditore, se i dati sono raccolti, elaborati o utilizzati a scopi pubblicitari, per la ricerca di mercato o di opinione, per la gestione di un ufficio di credito, per la creazione di profili di personalità e di utilizzo, per il commercio di indirizzi, altri scambi di dati o per simili scopi commerciali. A quest’ultimo riguardo, si precisa che l’espressione
«simile scopo commerciale» non comprende l’ipotesi in cui i dati personali del consumatore vengono raccolti, elaborati o utilizzati da un imprenditore esclusivamente per la conclusione, l'esecuzione o la risoluzione di un contratto o di un simile rapporto giuridico con il consumatore (§ 2(2), n. 11(b))140. Orbene, la presenza di tale disposizione nell’ordinamento tedesco ha permesso alla Corte d’appello di Berlino di affermare che le previsioni di protezione dei dati personali devono essere considerate anche come previsioni di tutela consumeristica, con la conseguenza che le organizzazioni collettive dei consumatori possono agire in giudizio per i casi di violazione della data protection e, inoltre, le norme sulle pratiche commerciali scorrette e sulle clausole vessatorie possono essere applicate anche a situazioni che riguardano il trattamento dei dati personali141.
Non può nascondersi che una simile nozione di «trattamento dei dati personali con scopo commerciale» potrebbe fruttuosamente designare – a livello di ordinamento eurounitario, così come nel sistema giuridico italiano – l’area di intersezione tra la disciplina di protezione dei dati personali e il diritto contrattuale dei consumatori o, più genericamente, il diritto privato patrimoniale. Infatti, è proprio quando il trattamento dei dati concorre a integrare la ragione economica dell’operazione negoziale che l’interessato può acquisire l’ulteriore veste di consumatore-contraente, soprattutto in termini di rimedi contrattuali esperibili. Per dirla con le parole di una
140 «(2) Verbraucherschutzgesetze im Sinne dieser Vorschrift sind insbesondere […] 11. die Vorschriften, welche die Zulässigkeit regeln […] b) der Verarbeitung oder der Nutzung personenbezogener Daten, die über einen Verbraucher erhoben wurden, durch einen Unternehmer, wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden. […] Eine Datenerhebung, Datenverarbeitung oder Datennutzung zu einem vergleichbaren kommerziellen Zweck im Sinne des Satzes 1 Nummer 11 liegt insbesondere nicht vor, wenn personenbezogene Daten eines Verbrauchers von einem Unternehmer ausschließlich für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Verbraucher erhoben, verarbeitet oder genutzt werden».
141 XXXXXXXXX, XXXXXXXXX, XXXXX, The Perfect Match? A Closer Look at the Relationship between EU Consumer Law and Data Protection Law, cit., p. 1452.
dottrina tedesca, l’uso commerciale dei dati personali rende il documento di informativa sulla privacy una disposizione contrattuale142.
2.3. Il valore economico dei dati personali nell’era dei Big Data
Che i dati personali costituiscano sempre di più una risorsa economica143, somigliante ad una materia prima144, non è certo una novità. Risulta comunque opportuno comprendere come si è giunti a questa fase storica e quali sono le analogie e le discontinuità con il passato.
Il trattamento dei dati personali per scopi imprenditoriali è un fenomeno certamente antecedente all’avvento degli elaboratori elettronici. La semplice archiviazione di informazioni relative a determinate persone, fisiche e/o giuridiche, può ritenersi da tempo immemore una tipica attività strumentale all’esercizio di un’impresa. Basti pensare, ad esempio, alla tenuta di registri, di vario genere, contenenti informazioni relative ai propri clienti, lavoratori dipendenti o partner commerciali: tutte informazioni qualificabili come personali. Inoltre, non può dirsi che l’attività di marketing personalizzato sia un fenomeno del tutto nuovo nella commercializzazione dei prodotti di massa145. Va rilevato, insomma, che l’informazione ha sempre avuto un valore economico146.
Con la diffusione delle tecnologie informatiche, tuttavia, sono mutati i paradigmi di riferimento147. Sono state esse ad aver consentito che i dati personali divenissero
142 WENDEHORST, GRAF VON XXXXXXXXXX, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, cit., p. 3748.
143 Nella letteratura giuridica italiana, cfr. CAMARDI, Mercato delle informazioni e privacy. Riflessioni generali sulla l. n. 675/1996, cit., p. 1049 ss.; nel contributo citato, è emblematico il titolo del terzo paragrafo: «Il dato personale come oggetto di diritti e come risorsa economica» (corsivo aggiunto). Cfr. anche XXXXXXX, Lo statuto giuridico dei dati personali, cit., p. 532.
144 Sulla qualifica di materia prima, v. già X. XXXXXX, Aspetti economici e giuridici delle banche dati, in X. XXXX, X. XXXXXXX (a cura di), Banche dati, telematica e diritti della persona, cit., p. 110.
000 X.X. XXXXXXX, Xxxxx Rules: The Commercialization of Personal Information, in Journal of Law, Technology and Policy, 2003, p. 183, dove l’autore osserva: «The use of personal information for marketing purposes is not new. In the 1920s, for example, General Motors targeted potential customers by identifying owners of two-year-old Ford automobiles».
146 Cfr. X. XXXXXXX, Diritto alla riservatezza e calcolatori elettronici, in AA.VV., Il riserbo e la notizia. Atti del convegno di Studio di Macerata, 5-6 marzo 1982, cit., p. 22, il quale riporta come esempio più famoso l’informazione «fornita da Xxxxx Xxxxxxxxx su Xxxx Xxxxxx, che venne pagata con trenta denari».
147 XXXXXXX, Argus Rules: The Commercialization of Personal Information, cit., p. 183, il quale completa il discorso accennato nella nota 110 affermando: «Modern technology has, however, made the commercial collection and use of personal information much more effective».
«oggetto istituzionale di attività professionalmente organizzate di elaborazione»148, inseribili nei processi produttivi di ricchezza e, dunque, assimilabili a una risorsa economica. Per di più, per mezzo dell’informatica, le informazioni hanno ottenuto un plusvalore economico derivante dalla loro trasformazione da materia prima in prodotto industriale, con il risultato di poter «metterle letteralmente in scatola»149. L’utilizzo di tecnologie sempre più sofisticate ha reso il processo di trattamento di dati personali sempre più raffinato e, al tempo stesso, sempre più essenziale nelle imprese operanti nel settore digitale. Un punto di svolta è indubbiamente costituito dall’avvento delle reti telematiche, ed in particolare dalla diffusione di internet150. Secondo uno dei pionieri della data protection, «la commercializzazione [dei dati personali] ha davvero preso piede da quando Internet ha subito una trasformazione, da forum d’élite a mercato di massa», tanto da rendere gli utenti «al contempo fornitori di dati e recettori delle informazioni, il che consente di avere una conoscenza delle loro abitudini, opinioni e interessi»151.
La recente affermazione del fenomeno dei c.d. Big Data si inserisce in questo trend d’innovazione tecnologica. E se la domanda spontanea è: «Cosa cambia?», si può già rispondere con le parole di una dottrina particolarmente attenta a tali tematiche: «Many things, because the sheer size of data modifies their role, use and value»152. Parlando di Big Data, si fa riferimento a un miglioramento delle tecnologie determinato dalla crescita esponenziale della capacità dei computer di acquisire ed elaborare rapidamente grandi volumi di dati, questi ultimi a sua volta in aumento per xxx xxxxx xxxxxxxx xxxxx xxxxxxxx online determinata dal proliferare di servizi forniti da providers
c.d. over-the-top (OTT)153, oltre che dal sempre più diffuso utilizzo di dispositivi di
148 CAMARDI, Mercato delle informazioni e privacy, cit., p. 1057.
149 Così FROSINI, Diritto alla riservatezza e calcolatori elettronici, cit., p. 22.
150 Cfr. X. XXXXXX, La tutela dei dati personali in Internet: la questione dei logs e dei cookies alla luce delle dinamiche economiche dei dati personali, in Dir. inf., 2001, p. 763 ss., secondo il quale Internet ha influenzato la tutela dei dati personali da un duplice punto di vista: «da una parte, sotto un profilo che potremmo definire statico, ha fornito a soggetti pubblici e privati nuove possibilità di intercettazione e sorveglianza elettronica ovvero di raccolta “occulta” dei dati personali [a tal proposito, si evidenzia che a differenza delle reti tradizionali caratterizzate dalla passività e dalla unicità della trasmissione dei dati, la rete Internet si connota per l’interattività e la tendenziale illimitatezza di comunicazioni simultaneamente attuabili]; dall’altra, introducendo una dimensione dinamica del problema, ha reso difficilmente controllabile la circolazione, lo scambio e l’aggregazione delle informazioni».
151 SIMITIS, Il contesto giuridico e politico della tutela della privacy, cit., pp. 573-574.
152 X. XXXX-ZENCOVICH, Do “Data Markets” Exist?, in MediaLaws, 2019, 2, p. 23.
153 Sono definiti over-the-top i servizi offerti da soggetti economici che, privi di una propria infrastruttura di telecomunicazioni, agiscono al di sopra della rete (da cui, per l’appunto, la definizione over-the-top). Per un inquadramento generale delle imprese che operano nel settore ICT (Information and Communication Tecnology) e un’analisi dei difficili rapporti tra OTT e Telco, v. X. XXXXXXXXX,
nuova generazione come smartphone e tablet. Se poi, al volume dei dati e alla velocità computazionale, si aggiunge la varietà delle sorgenti attraverso cui viene operata l’aggregazione dei dati e il valore che tali aggregazioni assumono in virtù dei caratteri precedentemente elencati, si spiega il motivo per cui la definizione di Big Data sembra al momento sintetizzabile nelle c.d. «4 Vs»: volume, velocità, varietà e valore154.
Peraltro, a fianco delle trasformazioni tecnologiche si attestano, in modo strettamente connesso, le evidenti trasformazioni del sistema di produzione e distribuzione delle merci, che accrescono la domanda di dati personali a causa del passaggio «da un sistema prevalentemente di produzione di massa a uno di c.d. personalizzazione di massa»155.
Nello scenario tecnologico e socioeconomico appena descritto, le imprese, in particolare nel settore digitale156, utilizzano i dati personali per attività di vario tipo: dalla profilazione degli utenti per generiche finalità di marketing alla profilazione mirata, più specificamente, all’offerta di prodotti o servizi su misura dei propri clienti157, o addirittura a quella strumentale alla personalizzazione dei prezzi158; e ancora, dalla concessione a terzi di spazi pubblicitari, personalizzabili in base alle informazioni degli utenti (c.d. target advertising)159, alla concessione sempre a terzi di trattare in prima persona i dati in questione (la c.d. cessione di dati). A ciò va
Internet e le dinamiche dei ruoli degli OTT (“Over The Top”) e Telco nel panorama ICT, in Mondo Digitale, novembre 2015, pp. 1-19, disponibile online su: xxxx://xxxxxxxxxxxxx.xxxxxxx.xxx/0000- 5/articoli/02_internet_dinamiche_ruoli_OTT.pdf.
154 In questi termini, v. (anche per i riferimenti bibliografici) X. XXXXXXXXXXX, La storia dei Big Data, tra riflessioni teoriche e primi casi applicativi, in Merc. conc. reg., 2017, p. 309. Sui caratteri dei Big Data, con annesse riflessioni in termini di diritto antitrust, cfr. X. XXXXXXXXX, Big data, piattaforme digitali e antitrust, in Merc. conc. reg., 2016, pp. 425-460; X. XXXXXXXXXX, I big data e il diritto antitrust, Milano, 2018. Per un’analisi approfondita del fenomeno dei Big Data, che tiene conto anche dei risvolti in ambito economico e socio-politico, v. il report dell’OCSE: Data-driven innovation: Big Data for Growth and Xxxx-Xxxxx, XXXX Xxxxxxxxxx, Xxxxx, 0000, disponibile online su: xxxx://xxx.xxxx.xxx/xxx/xxxx-xxxxxx-xxxxxxxxxx-0000000000000-xx.xxx.
155 X. XXXXXX, Analisi dei dati personali presenti su Internet. La legge n. 675/1996 e le reti telematiche, in Riv. crit. dir. priv., 1997, pp. 640-641.
156 Le ragioni per cui i dati personali sono più preziosi per le piattaforme digitali, rispetto ad altri tipi di imprese, possono essere sintetizzate nel fatto che, da un lato, esse generalmente hanno accesso a un più vasto catalogo di informazioni e, dall’altro, sono più abili nell’elaborare i dati per una varietà di fini: in questi termini X. XXXXXXXXX, Information, Innovation, and Competition Policy for the Internet, in University of Pennsylvania Law Review, 2013, p. 1678.
157 Si pensi, in particolare, al trattamento dei dati effettuato da aziende come Amazon e Netflix, che proiettano sulla loro piattaforma i prodotti o servizi sulla base di informazioni precedentemente rilasciate dagli utenti.
158 Cfr. F.J.Z. XXXXXXXXX, Online Price Discrimination and Data Protection Law, Amsterdam Law School Research Paper, 2015, n. 32, pp. 1-21.
159 Il pensiero volge al modello di business di molti social networks, ma anche a quello dei motori di ricerca. V. amplius § 3.1.
aggiunto che stanno prendendo forma dei veri e propri mercati dei dati personali, ossia delle piattaforme in cui avvengono scambi di dati per mano dei c.d. data brokers160. In tali piattaforme, di cui già nel 2013 se ne contavano centottanta con sede negli Stati Uniti, i data brokers si fanno carico di raccogliere i dati di singoli utenti da pubblici registri o da altre fonti dove gli individui rilasciano le loro informazioni, con l’obiettivo successivo di scambiare tali dati, solitamente “raffinati” a seguito di un’attività di aggregazione e analisi compiuta dagli stessi brokers, con le imprese- clienti interessate a trattarli per finalità aziendali161. Nel modello “data brokers” qui descritto, deve evidenziarsi che i profitti provenienti dagli scambi dei dati sono di esclusivo appannaggio di tali intermediari, senza alcuna partecipazione attiva dei singoli utenti cui i dati si riferiscono. Contrastando tale tendenza di esclusione dei consumatori dagli immensi guadagni derivanti dall’economia dei dati personali (personal data economy), di recente sono sorte delle imprese, solitamente in versione di start-up, aventi lo scopo di porre gli utenti nelle condizioni di controllare a pieno i propri dati fino al punto di ricevere una remunerazione dal fatto di concedere alle imprese l’utilizzo degli stessi dati162.
Per rendere l’idea della rilevanza del fenomeno complessivo, si può richiamare uno studio del 2012 condotto dal Boston Consulting Group163, secondo il quale il trattamento economico dei dati personali può raggiungere un rendimento annuale per le imprese di 330 bilioni di euro entro il 2020, prevedendosi altresì che entro la stessa data esso possa rappresentare addirittura l’8% del Pil europeo. I settori economici maggiormente interessati sono: le comunicazioni e il gioco online, il commercio elettronico e le c.d. web-communities.
160 La più grande piattaforma di questo genere sembra essere BlueKai, appartenente ad Oracle, la quale possiede 750 milioni di profili di utenti e processa più di 30.000 attributi su di essi: cfr. X. XXXXXXXXXXX ET AL., Personal data markets, in Electron Markets, 2015, p. 91; X. XXXXXXXXXX ET AL., Personal data markets, TNO report R11390, 2014, p. 6.
161 Per approfondimenti, v. FEDERAL TRADE COMMISSION, Data Brokers: A Call for Transparency and Accountability, 2014, disponibile online su: xxxxx://xxx.xxx.xxx/xxxxxx/xxxxx/xxxxxxxxx/xxxxxxx/xxxx- brokers-call-transparency-accountability-report-federal-trade-commission-may- 2014/140527databrokerreport.pdf.
162 Di tali imprese la più nota sembra essere Datacoup, la cui missione è «to help people unlock the value of their personal data. […] Datacoup is changing this asymmetric dynamic that exists around our personal data. The first and most important step is getting people compensated for the asset that they produce. We are building for a future where individuals like you are in control of your data and are the chief beneficiaries of its value»: così nel suo sito web xxxx://xxxxxxxx.xxx/xxxx#xxxxx. Sul tema generale , v. S-A. ELVY, Paying for Privacy and the Personal Data Economy, in Columbia Law Review, 2017, p. 1369 ss.
163 BOSTON CONSULTING GROUP, The value of our digital identity, Liberty Global Policy Series, 2012, disponibile online su: xxxx://xxx.xxx.xxx/XXX/xxxxxx-xxxxxx/Xxx-Xxxxx-xx-Xxx-Xxxxxxx-Xxxxxxxx.xxx.
Sulla base di tali elementi fattuali, la letteratura specialistica non esita ad affermare che i dati personali costituiscono ormai un importante asset aziendale164, chiarendo tuttavia che si tratta di un asset critical165, di certo non ordinario166. In particolare, i dati degli utenti di una piattaforma digitale possono essere considerati: a) un input di produzione, che permette all’impresa di migliorare la fornitura dei propri servizi incrementando così i propri ricavi; b) un asset strategico, che consente all’impresa, da un lato, di mantenere una posizione di leadership rispetto ai concorrenti che non dispongono della stessa quantità di dati sui propri utenti e, dall’altro, di limitare l’ingresso di new comers che si scontrano inevitabilmente con la mancanza di informazioni sui potenziali clienti; c) una merce, che l’impresa può vendere ad altre imprese che non sono in grado di raccogliere da sé certi dati personali167. Tuttavia, secondo alcuni studi, in considerazione delle proprietà economiche dei dati, questi ultimi andrebbero considerati una «risorsa infrastrutturale»168: i dati, infatti, non sono né un bene rivale, né un bene di consumo169.
In un tale quadro di riferimento, definire il valore monetario dei dati personali diventa un’operazione particolarmente complessa, sia perché sono diversi i criteri che si possono adottare (assumere la prospettiva delle imprese o dei consumatori, evidentemente, non è lo stesso)170, sia perché il valore dei dati risulta molto dipendente dal contesto di utilizzo171. Si è osservato, inoltre, che i dati in sé non avrebbero valore,
164 A tal proposito, si segnala altresì che i dati degli utenti e gli algoritmi di profilazione possono essere oggetto di tutela giuridica tramite le norme sui segreti aziendali: v. X. XXXXXXXX, X. XXXXXXX, Pricing privacy – the right to know the value of your personal data, in Computer Law & Security Law, 2018, p. 290.
165 XXXXXXXXX, Information, Innovation, and Competition Policy for the Internet, cit., p. 1678.
166 XXXXXXXXXXX ET AL., Personal data markets, cit., p. 91.
167 XXXXXXXXX, op. ult. cit., pp. 1678-1682.
168 OCED, Data-driven innovation: Big Data for Growth and Well-Being, cit., p. 177 ss.
169 ID., op. ult. cit., pp. 179-180.
170 Cfr. ROOSENDAAL ET AL., Personal data markets, cit., pp. 7-13; X. XXXXXXXX ET AL., Study on monetising privacy - An economic model for pricing personal information, European Network and Information Security Agency (ENISA), 2012, disponibile online su: xxxxx://xxx.xxxxx.xxxxxx.xx/xxxxxxxxxxxx/xxxxxxxxxx-xxxxxxx; OECD, Exploring the Economics of Personal Data - A Survey of Methodologies for Measuring Monetary Value, OECD Digital Economy Papers, n. 000, XXXX Xxxxxxxxxx, Xxxxx, 0000, disponibile online su: xxxxx://xxx.xxxx- xxxxxxxx.xxx/xxxxxxx-xxx-xxxxxxxxxx/xxxxxxxxx-xxx-xxxxxxxxx-xx-xxxxxxxx-xxxx_0x000xxxxxxx-xx.
171 Sull’importanza del contesto nel trattamento dei dati peronali, cfr. WORLD ECONOMIC FORUM, Unlocking the Value of Personal Data: From Collection to Usage, Geneve, 2013, p. 11, disponibile online su:
xxxx://xxx0.xxxxxxx.xxx/xxxx/XXX_XX_XxxxxxxxxXxxxxXxxxxxxxXxxx_XxxxxxxxxxXxxxx_Xxxxxx_00 13.pdf; XXXXXXXXXXX ET AL., Personal data markets, in Electron Markets, 2015, p. 92.
piuttosto è solo grazie al loro utilizzo, in particolare grazie al ruolo svolto dagli algoritmi, che un certo valore economico viene creato172.
Non sono mancati, comunque, studi che hanno provato a definire quanto meno delle metodologie di stima del valore attribuibile ai dati. Tra questi, va certamente menzionato quello condotto dall’OCSE173, che tuttavia rimarca l’assenza di una metodologia di calcolo comunemente accettata. Distinguendo tra stime basate sulle valutazioni delle imprese e stime basate sulle valutazioni degli individui, tra le prime vengono presi in considerazione i seguenti parametri: la capitalizzazione o il reddito netto di un’impresa che opera con i dati, diviso per il numero di utenti di cui sono stati raccolti i dati; i prezzi di mercato negli scambi effettuati dai data brokers legali; i costi di un eventuale furto di dati; le valutazioni dei mercati illegali. Tra le seconde, invece, si è dato rilievo, sulla base di sondaggi ed esperimenti economici, a indici quali: il prezzo che le imprese dovrebbero pagare ai consumatori per avere i loro dati rivelati; il prezzo che gli individui sarebbero disposti a pagare per avere i loro dati protetti sotto forma di assicurazione per furti di dati.
Alla luce dello scenario appena descritto, se il valore aggiunto ricavabile dallo sfruttamento dei dati personali, con possibilità che agli stessi venga attribuito addirittura un prezzo, è un fattore di cui prendere consapevolezza, va comunque tenuto conto fin d’ora che, come è stato opportunamente osservato, ciò «non autorizza di per sé l’interprete a trarre alcuna conclusione sul regime giuridico degli atti di disposizione degli stessi»174. In altre parole, si tratta di un fatto al quale l’interprete, tramite l’attività qualificatoria, deve dare voce giuridica175, senza con ciò sminuire l’importanza che, in sede interpretativa e argomentativa, può (e deve) rivestire l’ancoraggio alla realtà fattuale delle soluzioni giuridiche prospettabili. Il punto da rimarcare è che il fatto, senza la mediazione giuridica, resta (rectius, non può che restare) muto sul piano degli effetti giuridici producibili. Chiarito l’ovvio, si tratta di verificare il meccanismo di mediazione giuridica, cioè se questa possa avvenire già per mano dell’interprete sulla
172 ID., op. ult. cit., p. 12; X. XXXXXXXXXXX, Big Data Fades to the Algorithm Economy, in Xxxxxx, 2015, disponibile online su xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxxxxxxx/0000/00/00/xxx-xxxx-xxxxx-xx- the-algorithm-economy/#11f7036751a3.
173 OECD, Exploring the Economics of Personal Data - A Survey of Methodologies for Measuring Monetary Value, OECD Digital Economy Papers, n. 000, XXXX Xxxxxxxxxx, Xxxxx, 0000.
174 XXXXXX, La protezione dei dati personali dopo il Trattato di Lisbona, cit., 2015, p. 423.
175 Cfr. X. XXXXXXXXXX, Recenti orientamenti sulla tutela della persona. La moltiplicazione dei diritti e dei danni, in Riv. crit. dir. priv., 1992, pp. 181-182, ove si rimarca come il momento qualificatorio sia il connotato fondamentale che rende la scienza giuridica una scienza valutativa.
base del ius conditum o se, per il tipo di risultato che si vuol raggiungere, sia necessario un intervento legislativo, che comunque non può esimersi da un filtro di compatibilità sistematica.
Quanto appena assunto aiuta a comprendere le proposte dottrinali che vengono avanzate in merito alle problematiche riguardanti il valore commerciale dei dati personali. In questo scenario, può segnalarsi la proposta, presentata da alcuni autori, di introdurre de lege ferenda un nuovo diritto dell’interessato di ricevere dal titolare del trattamento informazioni circa il valore monetario dei dati personali176.
3. I modelli commerciali incentrati sul trattamento dei dati personali
La rilevanza economica dei dati personali è pienamente dimostrata dalla presenza di modelli commerciali che non solo fanno ricorso al trattamento di tali dati per ottimizzare o facilitare l’attività aziendale ricadente nei più vari settori di commercio, ma fanno dello stesso trattamento addirittura il loro core business o, comunque, un’attività essenziale per il tipo di business prescelto177.
Una ricerca del 2014 del TNO (Netherlands Organisation for Applied Scientific Research) sui mercati dei dati personali (personal data markets) classifica i servizi digitali basati sul trattamento dei dati in tre categorie: i servizi digitali “gratuiti”, le
176 XXXXXXXX, CUSTERS, Pricing privacy – the right to know the value of your personal data, cit., pp. 289-303. Gli autori di questo contributo sostengono che la proposta in questione, a differenza di altre soluzioni avanzate in dottrina (ad es: gli «active choice models» che permetterebbero al consumatore di scegliere tra il pagare con denaro e il “pagare con i propri dati”), è compatibile con la normativa europea di protezione dei dati personali.
177 Il passaggio del trattamento dei dati da elemento “accidentale” ad elemento “essenziale” dei modelli commerciali è descritto efficacemente da X. XXX XXX XXXXX, Money Does Not Grow on Trees, It Grows on People: Towards a Model of Privacy as Virtue, in X. XXXXXXXXX ET AL. (eds), Digital consumers and the law towards a cohesive European framework, The Hague, 2013, p. 162, così come da X. XXXXXXXX XXXXXXXXXX, Libertà d’impresa, concorrenza e neutralità della rete nel mercato transnazionale dei dati personali, in X. XXXXX, X. XXXX-ZENCOVICH (a cura di), La protezione transnazionale dei dati personali. Dai “safe harbour principles” al “privacy shield”, Roma, 2016, pp. 272-273, ove lucidamente si osserva che «[n]egli ultimi anni, il regime di utilizzo dei dati da parte dei prestatori ha superato la mera funzione di volano delle strategie commerciali (si pensi alle preferenze d’acquisto desumibili dal c.d. profiling e alle proposte individuali effettuabili attraverso il behavioural advertising): sono i dati stessi l’oggetto principale dell’attività imprenditoriale. Il dato – sia personale che anonimo – viene captato, veicolato, trattato e nella maggior parte conservato ed accumulato, rappresentando una forma di ‘capitale’ diverso e alternativo al plusvalore ottenuto dalla vendita dei servizi o degli spazi pubblicitari». Più indietro nel tempo, già coglieva il punto X. XXXXX, Note in tema di trattamento dei dati personali e di disciplina dell’impresa, in X. XXXXXXX, X. XXXXXXXX, X. XXXX- XXXXXXXXX (a cura di), Trattamento dei dati e tutela della persona, cit., p. 107. Più di recente, cfr. anche
X. XXXX-ZENCOVICH, Do “Data Markets” Exist?, cit., pp. 23-24.
offerte personalizzate di beni e servizi e i c.d. servizi aggregati178. In realtà, tali categorie costituiscono degli “idealtipi”, in quanto nella prassi le imprese digitali di frequente adottano dei modelli misti che presentano caratteri appartenenti a più di una delle categorie individuate179. Dei servizi menzionati, i free digital services presentano i profili di maggior interesse nell’ambito dei rapporti tra protezione dei dati personali e diritto contrattuale, soprattutto alla luce delle questioni sollevate dalla direttiva sui contratti di fornitura di contenuti e servizi digitali; per tale motivo, meritano una trattazione separata (infra § 3.1). In questo studio, tuttavia, non si tiene conto dei più recenti modelli commerciali che non si limitano a utilizzare i dati degli utenti “as payment”, come avviene nei servizi digitali “free”, ma si prefiggono di ristorare direttamente gli utenti che rilasciano dati personali attraverso un corrispettivo monetario. Sebbene sia indubbio che l’aumento del valore economico dei dati personali è da attribuirsi principalmente al loro trattamento di massa (Big Data), l’avvento di intermediari – di cui si è parlato in sopra (v. l’esempio di Datacoup) – che agevolano lo scambio diretto di dati personali tra singoli individui e operatori economici, contrariamente quindi a quanto fanno i data brokers che escludono dal circuito gli interessati, può permettere ai singoli di diventare parte attiva del mercato in questione180.
Prima di procedere alla trattazione separata dei free digital services, è opportuno offrire una rapida panoramica delle altre categorie di servizi incentrati sul trattamento dei dati. Per quanto concerne le offerte personalizzate, esse consistono nel differenziare il display di prodotti o servizi offerti all’utente sulla base dei suoi dati “storici” (ad es. gli acquisti effettuati in precedenza) e “comportamentali” (ad es. i clicks su un determinato prodotto o servizio). Esempi tipici di aziende che adottano tale modello commerciale sono Amazon e Netflix: il primo nel commercio elettronico generalista, il secondo nella distribuzione online di film, serie televisive e altri contenuti di intrattenimento. Per questo tipo di trattamento di dati personali, la base giuridica solitamente è rappresentata dal consenso del soggetto interessato, cioè
178 ROOSENDAAL ET AL., Personal data markets, cit. p. 21.
179 Ibidem.
180 V. nuovamente ELVY, Paying for Privacy and the Personal Data Economy, cit., p. 1369 ss.
l’utente del servizio, o dal perseguimento di un legittimo interesse del titolare del trattamento, cioè la piattaforma181.
Passando ai servizi “aggregati”, secondo la descrizione del report cui si sta facendo riferimento, essi si basano su un’analisi di dati c.d. inferred, cioè elaborati sulla base sia delle informazioni volontariamente fornite dai consumatori che di quelle ottenute osservando il comportamento degli stessi, di modo che da tale analisi si possano ricavare indicazioni destinate alla propria azienda o ad aziende terze182. I dati trattati sono il più delle volte anonimizzati, pertanto il loro trattamento spesso ricade al di fuori del campo di applicazione della disciplina sulla protezione dei dati personali183.
181 Così ROOSENDAAL ET AL., op. ult. cit., p. 22. A tal proposito è opportuno ricordare che, ai sensi dell’art. 6, par. 1 del RGPD, le basi giuridiche del trattamento dei dati, oltre al consenso dell’interessato (lett. a)), sono le seguenti: la necessità del trattamento per l’esecuzione di un contratto di cui l’interessato è parte o per l’esecuzione di misure precontrattuale adottate su richiesta dello stesso (lett. b)); la necessità del trattamento per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (lett. c)); la necessità del trattamento per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica (lett. d)); la necessità del trattamento per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (lett. e)); la necessità del trattamento per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore (lett. f)).
182 Per una classificazione dei dati in: volunteered data (creati ed esplicitamente condivisi dagli individui), observed data (ottenuti dalla registrazione delle azioni degli individui) e inferred data (dati elaborati sulla base di analisi delle informazioni volunteered e observed), v. WORLD ECONOMIC FORUM, Personal Data: The Emergence of a New Asset Class, Geneve, 2011, p. 7.
Alla luce di tale classificazione meramente descrittiva, si può scorgere un elemento fattuale che può rilevarsi non indifferente per la qualificazione giuridica: la “volontà” (da intendere qui in senso chiaramente atecnico) è presente solo nella prima classe di dati. Ciò non significa che, nella misura in cui i dati in questione siano di carattere personale, non sia necessario un consenso (preventivo) al trattamento degli stessi, qualora non vi siano altre basi giuridiche che lo legittimino sulla base della disciplina in materia di protezione dei dati. Tale circostanza è altamente probabile che si verifichi soprattutto per gli observed data. Tuttavia, nel momento in cui si intende ricondurre le operazioni compiute su tali dati nell’ambito di un rapporto contrattuale, bisognerebbe domandarsi se la volontà negoziale abbracci anche tali aspetti o se invece, quanto meno sul piano contrattuale, questi stessi vadano considerati alla stregua di semplici fatti. In altri termini, un fatto che risulta giuridicamente rilevante per la normativa sulla protezione dei dati personali, potrebbe tranquillamente non superare il vaglio della rilevanza giuridica in un altro settore dell’ordinamento, quale sarebbe il diritto contrattuale.
183 ROOSENDAAL ET AL., Personal data markets, cit. p. 25. Stando alle esemplificazioni contenute in tale studio, può segnalarsi che un’azienda che fornisce la tipologia dei servizi in questione è Equens, operante nel settore bancario, la quale analizza i dati relativi ai pagamenti elettronici al fine di fornire indicazioni, ad esempio, sulla percentuale di clienti che generano la maggior parte di fatturato.
Per quanto riguarda l’affidabilità delle tecniche di anonimizzazione dei dati, il dibattito scientifico in realtà è aperto. Si discute, in particolare, dell’opportunità di escludere dal campo di applicazione della data protection quei dati anonimizzati che, attraverso l’utilizzo di nuove tecnologie, potrebbe tornare ad essere “personali”, nel senso di identificabili di una certa persona. Su tali problematiche, cfr. F. XXXXXXXXX, Singling out People without Knowing Their Names – Behavioural Targeting, Pseudonymous Data, and the New Data Protection Regulation, in Computer Law & Security Review, 2016, x. 000 xx.
0.0. (Segue) La fornitura “gratuita” di servizi e contenuti digitali: note sulla
ratio economica e cenni (con rinvio) sulle principali questioni giuridiche
I servizi fin qui descritti, che come si è visto hanno un legame strettissimo con il trattamento dei dati, prevedono comunque un pagamento per i fruitori: i servizi offerti da Amazon e Netflix, stando agli esempi di cui sopra, ne sono una dimostrazione. Vi sono, tuttavia, contenuti e servizi digitali184 che, in virtù del trattamento dei dati personali degli utenti, vengono forniti dagli operatori economici senza richiedere in cambio un corrispettivo pecuniario. Basti pensare ai servizi di motore di ricerca, posta elettronica, archiviazione cloud, oltre al frequentatissimo mondo dei social networks. In quest’ultimo settore, è emblematico il noto slogan di Facebook: «It’s free and always will be».
Sul fatto che tali servizi siano realmente free, gratuiti, si nutrono parecchi dubbi, sia sul piano economico che su quello giuridico. Tuttavia, se sul piano economico il “pagamento tramite dati personali” può risultare quasi un truismo185, sul piano giuridico la qualificazione è tutt’altro che scontata.
Dal punto di vista della “sostenibilità lucrativa” dell’impresa, la fornitura di tali servizi digitali senza oneri pecuniari in capo agli utenti si giustifica proprio grazie allo sfruttamento dei dati personali di questi ultimi186. A tal proposito, la letteratura economica rileva come nelle piattaforme digitali si riscontra spesso un mercato a due o più versanti187. Mentre in un modello commerciale che potremmo definire “basico”
184 Per la definizione di contenuto digitale e servizio digitale si può ricorrere a quanto disposto dalla direttiva 2019/770/UE, dove per «contenuto digitale» si intende i dati prodotti e forniti in formato digitale (art. 2, n. 1) e per «servizio digitale»: a) un servizio che consente al consumatore di creare, trasformare, archiviare i dati o di accedervi in formato digitale; oppure b) un servizio che consente la condivisione di dati in formato digitale caricati o creati dal consumatore e da altri utenti di tale servizio o qualsiasi altra interazione con tali dati (art. 2, n. 2). Più avanti si tornerà su tali definizioni.
185 X. XXXXXXX-XXXXXX, X. XXXXX, Unentgeltlich oder entgeltilich? – Der vertragliche von Austausch von digitalen Inhalten gegen personenbezogene Daten, in ZpPW, 2017, p. 84.
186 Cfr. X. XXXX, X. XXXX-XXXXXXXXX, Legislazione, giurisprudenza e dottrina nel diritto dell’Internet, in Dir. inf., 2010, p. 377, secondo i quali «[p]er i meno ingenui dovrebbe essere chiaro che i dati personali sono una commodity – una delle principali commodities – che si scambia quotidianamente sulla rete. La maggior parte degli utenti trova questo normale e non trova nulla di male nello scambio privacy contro servizi».
187 Il principale studio sul funzionamento dei mercati a due versanti nelle piattaforme digitali si deve a
J.C. XXXXXX, X. XXXXXX, Platform Competition in Two-Sided Markets, in Journal of the Eur. Econ. Ass., 2003, 1/4, p. 990 ss. Nella dottrina giuridica italiana, per accenni sul punto cfr. X. XXXXXXXXX, Facebook credits e commercializzazione di beni virtuali per social games: l’abuso di posizione dominante alla prova di un mercato con piattaforma plurilaterale, in AIDA, 2011, pp. 146-148. Per quanto concerne le piattaforme digitali, c’è chi evidenzia che non sempre si rinviene un vero e proprio mercato a due versanti, in particolare quando «there is simply an exchange of data against services, and the service
è lecito attendersi che il singolo fornitore, per offrire certi servizi a una moltitudine di utenti, richieda il pagamento di un prezzo, sia per sostenere i costi di produzione e gestione che per ottenere un guadagno, in un mercato a due versanti il medesimo fornitore può comportarsi diversamente dal momento che si relaziona con due gruppi di soggetti, che finiscono per caratterizzare la conformazione del mercato in due segmenti, un lato c.d. low price e un altro c.d. high price. Il primo versante del mercato è rappresentato dai consumatori che beneficiano dei servizi gratuitamente o a un prezzo molto basso per una duplice ragione: in primo luogo, il servizio fornito viene finanziato da coloro che agiscono sul secondo versante del mercato, che il più delle volte sono inserzionisti pubblicitari; in secondo luogo, ma in stretta connessione al primo, il finanziamento avviene grazie ai dati, personali e non, rilasciati dagli utenti del servizio, nel senso che la piattaforma digitale che fornisce il servizio attrae gli inserzionisti (riuscendo così a finanziarsi ead offrire, quindi, servizi “gratuiti”) proprio in virtù del fatto che essa è in grado di trattare i dati dei propri utenti per fini commerciali (ad es. il target adversiting)188.
Oltre che sul versante economico, un’architettura così congegnata presenta dei lati oscuri anche sul versante psicologico-comportamentale dell’utente. Com’è stato opportunamente sottolineato, i free online services possono rivelarsi «enabling, disenfranchising, disempowering»189. Essi, infatti, non solo diventano una parte essenziale dell’esistenza virtuale degli utenti (enabling), ma soprattutto, in quanto gratuiti, assumono le sembianze di un “dono” e, pertanto, come tutti i doni non hanno bisogno né di giustificazione, né di legittimazione: nell’immaginario comune si perde il “diritto” di rivendicare pretese di ogni specie perché non si è pagato nulla per usufruire del servizio (disenfranchising). Infine, tornando al piano più propriamente
provider, subsequently, uses the data to provide separate and unrelated services to third parties. A typical example can be the “Street View” service offered by Google, which creates it sending vehicles with fish-eye lenses around a town and subsequently offers it to its clients who pay for it through their data»: ZENO-ZENCOVICH, Do “Data Markets” Exist?, cit., p. 32. Sulle difficoltà definitorie in relazione all’espressione «piattaforme digitali», v. G. RESTA, Digital platforms and the law: contested issues, in MediaLaws, 2018, 1, pp. 232-233.
188 X. XXXXXXXX, The Diversity of the Services provided by Online Platforms and the Specificity of the Counter-performance of these Services – A double Challenge for European and National Contract Law, in EuCML, 2016, pp. 42-43. Cfr. anche X. XXXXX, Inadempimento di contratto e sanzioni private nei social network, in AIDA, 2011, p. 232, il quale, con riferimento ai social networks, osserva che «per il gestore del servizio gli utenti, in realtà, non rappresentano altro che la contropartita offerta agli inserzionisti a fronte del loro investimento».
189 X. XXXXXXX, Free Online Services: Enabling, Disenfranchising, Disempowering, in Philos. Technol., 2015, p. 163 ss.
economico, si è evidenziato che le imprese digitali che forniscono tali servizi indeboliscono le imprese che richiedono un corrispettivo monetario, ponendo in tal modo la concorrenza al di fuori dei prezzi (disempowering).
Quest’idea di offrire un servizio “gratuito”, come se fosse appunto una liberalità, è stata analizzata anche da una prospettiva di law and economics. Intendendo la gratuità nel senso di esenzione da costi, uno studio americano, che adotta un approccio basato sulla teoria economica dei costi transattivi190, sostiene che il concepire le transazioni in questione come free può nuocere gravemente alla concorrenza, essendovi in tali transazioni numerosi costi non pecuniari, nascosti per i consumatori191. Si tratta di costi ex post, nascosti appunto in una logica che considera esclusivamente il prezzo, ossia il tipico costo ex ante. Tali costi possono essere di vario genere: possono consistere, ad esempio, nel dover spendere tempo e risorse per ridurre l’impatto delle marketing practices basate sull’utilizzo delle proprie informazioni192, o per riparare i danni subiti a causa di un uso abusivo delle stesse, rispetto al quale dovesse risultare difficile accertare il responsabile193. Secondo tale dottrina, possono definirsi realmente free soltanto quei servizi e prodotti nei quali l’impresa non trasferisce sui consumatori il rischio di recuperare i costi da essa sostenuti194. A tal proposito, è vero che le imprese che forniscono i servizi digitali di cui si discute non affrontano costi marginali nella distribuzione (o comunque quelli che affrontano sono too cheap to matter), per via di una «tripletta di tecnologie più veloci, migliori e meno care»195, tuttavia i costi di produzione a cui le imprese vanno (ancora) incontro non sembrano essere del tutto slegati da una sorta di traslazione sui consumatori, nel senso che, come si è visto, è proprio il trattamento dei dati di questi ultimi a consentire alle imprese di reggersi a livello finanziario.
190 Secondo tale teoria, i costi generatisi nella formazione del contratto proseguono anche con l’esecuzione dello stesso, potendosi quindi distinguere i costi che sorgono in corso, c.d. ex post, da quelli iniziali, c.d. ex ante. La teoria si fonda sulla tesi di Xxxxxxxxxx secondo la quale i soggetti sono sì razionali, ma non possono prevedere tutto ciò che accadrà durante l’esecuzione del contratto, cfr. C.J. XXXXXXXXX, X. XXXXXXXXXXX, Free: Accounting for the Costs of the Internet’s Most Popular Price, in Ucla Law Review, 2014, pp. 614-619.
191 ID., op. ult. cit., p. 608 ss.
192 ID., op. ult. cit., p. 625.
193 ID., op. ult. cit., p. 610, nota 13.
194 ID., op. ult. cit., pp. 624-626.
195 X. XXXXXXXX, Xxxxxx: come funzionerà l’economia del futuro, Milano, 2013 (trad. it. di Xxxxxxxxx),
p. 103, secondo il quale sono proprie le nuove tecnologie digitali «il motore dietro al nuovo Gratis, quello che va oltre i trucchi del marketing o il sovvenzionamento incrociato».
Dal fenomeno sinteticamente descritto196 emergono svariate questioni strictu sensu giuridiche, per nulla di poco conto: da quelle di ordine teorico – i) innanzitutto, può davvero dirsi che le operazioni che ricalcano il modello commerciale testé descritto integrino a pieno gli elementi della fattispecie contrattuale?197; ii) come corollario della domanda precedente, la natura e lo statuto del consenso al trattamento dei dati personali sono d’ostacolo a una sua “contrattualizzazione”, e in che termini la teoria dei diritti della personalità può influire sulla questione?198; iii) nell’ipotesi in cui si riescano a sciogliere i dubbi iniziali, tali contratti sarebbero da qualificare come gratuiti (secondo il diritto contrattuale italiano, ed europeo?), posto che il trattamento dei dati personali quanto meno colora la loro ragione economica?199; iv) da cui poi segue: ai contratti che non prevedono un corrispettivo pecuniario si applica il diritto dei consumatori?200; – a quelle di ordine pratico, ma strettamente connesse all’approccio teorico prescelto – v) le privacy policies fanno parte del regolamento contrattuale, tanto da poterle sottoporre alla disciplina sulle clausole vessatorie laddove unilateralmente predisposte?201; vi) che succede al contratto nel caso di revoca
196 Per approfondimenti, v. G.A.M. XXXXXXX, “There ain’t no such thing as a free lunch”. Una riflessione sui meccanismi di mercato dell’economia digitale e sull’effettività delle tutele esistenti, in Conc. merc., 2016, p. 205 ss.
197 Cfr. X. XXXXX, Fishing for an Agreement: Data Access and the Notion of Contract, in S. LOHSSE, X. XXXXXXX, X. XXXXXXXXXXXX (eds.), Trading Data in the Digital Economy: Legal Concepts and Tools, Oxford, 2017, pp. 273-280; RESTA, ZENO-ZENCOVICH, Volontà e consenso nella fruizione dei servizi in rete, cit., pp. 418-420.
198 Cfr. X. XXXXXXX, X. XXXXXXXX, Data Extra Commercium (June 7, 2019), in S. LOHSSE, X. XXXXXXX,
X. XXXXXXXXXXXX (eds.), Data as Counter-Performance – Contract Law 2.0?, Oxford, 2019 (Forthcoming), disponibile online su: xxxxx://xxxx.xxx/xxxxxxxxx0000000, pp. 2-14; F. AGNINO, Fino a che punto è possibile disporre contrattualmente dei propri diritti? (vedi contratto FB), in Giur. mer., 2012, p. 2555 ss. (in part. 2564-2568).
199 Cfr. X. XXXXXXX, ‘Gratuitous’ Digital Content Contracts in EU Consumer Law, in EuCML, 2017,
p. 198 ss.; X. XXXXXXXXXXX, Profili civilistici dei social networks, Napoli, 2014, pp. 55-62; X. XXXXXX,
Il rapporto tra gestore e singolo utente: questioni generali, in AIDA, 2011, p. 102 ss. (in part. 107-111);
S.F. XXXXXXX, La tutela dei consumatori nei contratti gratuiti di accesso ad Internet: i contratti dei consumatori e la privacy tra fattispecie giuridiche e modelli contrattuali italiani e statunitensi, in Dir. inf., 2002, p. 1087 ss. (in part. 1095-1110); X. XXXXXXX DELLA ROCCA, Autonomia privata e prestazioni senza corrispettivo, Torino, 2004, pp. 95-98. Per l’ordinamento tedesco, cfr. XXXXXXX- XXXXXX, XXXXX, Unentgeltlich oder entgeltilich? – Der vertragliche von Austausch von digitalen Inhalten gegen personenbezogene Daten, cit., p. 84 ss.
200 Cfr. XXXXXXXXX, XXXXXXXXXX, XXXXX, The perfect match? A closer look at the relationship between EU consumer law and data protection law, cit,., p. 1442; X. XXXX, X. XXXXX, Wanted: a Bigger Stick. On Unfair Terms in Consumer Contracts with Online Service Providers, in Journal of Consumer Policy, 2016, p. 67; X. XXXXXXXX, Le clausole contrattuali di esonero e trasferimento della responsabilità inserite nei termini d’uso dei servizi del web 2.0, in Dir. inf., 2010, pp. 639-640.
000 Xxx. XXXXXXXXXX, XXXX XXX XXXXXXXXXX, Xxx Xxxxxxxxxx zwischen Datenschutz- Grundverordnung und AGB-Recht, cit., p. 3745 ss. (in part. 3748-3750); X. XXXXXXXX, X. XXXXX, X. XXXXXX, Pre-formulated Declarations of Data Subject Consent – Citizen-Consumer Empowerment and the Alignment of Data, Consumer and Competition Law Protections, in German Law Journal, 2019, p. 679 ss. (in part. 687-698).
del consenso al trattamento da parte dell’interessato/consumatore202 e nell’ipotesi di contrasto di una clausola con la normativa sulla protezione dei dati personali203?; vii) a parte i rimedi previsti dalla direttiva 2019/770/UE, il consumatore di un contratto di fornitura di contenuti o servizi digitali, in cui non paga un prezzo ma fornisce dati che lo riguardano, ha a disposizione altri rimedi?; viii) la pubblicizzazione dei servizi e contenuti digitali in questione come gratuiti costituisce una pratica commerciale sleale del professionista?204.
Delle questioni elencate, può segnalarsi che quelle di cui ai punti ii), v) e vi), pur avendo specifico rilievo nell’ambito dei servizi e contenuti digitali forniti “gratuitamente”, possono avere una portata più generale, interessando tendenzialmente tutti i modelli commerciali incentrati sul trattamento dei dati personali. Ad ogni modo, il minimo comune denominatore degli interrogativi che ci si è posti è che essi si inscrivono nell’ambito dei rapporti tra il diritto sulla protezione dei dati personali e il diritto privato patrimoniale. Rispetto a quest’ultima branca dagli ampi confini, deve chiarirsi, come d’altronde emerge già dal tipo di domande, che l’attenzione sarà rivolta quasi esclusivamente al diritto contrattuale. La scelta, come si è già accennato, è dettata dalla circostanza che la recente emanazione della direttiva 2019/770 richiede uno studio proprio su tale fronte, posto che, nonostante il tentativo di intercettare alcune delle problematiche sopracitate, si tratta di un atto normativo molto carente sul piano del coordinamento dei concetti coinvolti, la cui ricostruzione sistematica non può che essere compito della dottrina e della giurisprudenza205.
Ciò non vieta, comunque, di tenere uno sguardo più lungo. Infatti, al di fuori delle questioni propriamente contrattuali, si può qui segnalare il dibattito concernente la possibile integrazione della fattispecie di pratica commerciale sleale relativamente ai
202 Cfr. C. XXXXXXXXX, X. XXXXXXX-XXXXXX, Consumer Data as Consideration, in EuCML, 2015, p. 222.
203 Cfr. P. HACKER, Regulating the Economic Impact of Data as Counter-Performance: From the Illegality Doctrine to the Unfair Contract Terms Directive, in S. LOHSSE, X. XXXXXXX, X. XXXXXXXXXXXX (eds.), Data as Counter-Performance – Contract Law 2.0?, cit., disponibile online su: xxxxx://xxxx.xxx/xxxxxxxxx0000000, pp. 10-12.
204 V. più avanti nel testo.
000 Xxx. XX XXXXXXXXXX, Xx circolazione dei dati personali tra privacy e contratto, cit., p. 77 e passim. L’autore, scrivendo quando ancora la direttiva era in fase di proposta, prevedeva che anche con la sua adozione poco sarebbe cambiato sul piano del coordinamento tra la disciplina sulla protezione dei dati personali e la disciplina generale sulle obbligazioni e sui contratti. In altri termini, la direttiva 2019/770/UE accende i riflettori sul tema più che fornire gli strumenti di risoluzione del problema.
riferimenti di gratuità contenuti nei messaggi pubblicitari dei servizi in esame206. Nell’ambito della dottrina europea, vi è chi sostiene che la suddetta condotta vada qualificata come ingannevole207. Tuttavia, la questione è stata al centro di alcuni, ancora sporadici, procedimenti amministrativi e giudiziari con esiti controversi 208.
Con riguardo alle pratiche commerciali di Facebook, di recente si è pronunciata in primo grado la Corte regionale di Berlino (Landgericht Berlin)209. Quest’ultima, nonostante abbia giudicato una parte dei termini di servizio e delle privacy policies del social network in contrasto con il diritto del consumo, in particolare con la normativa sulle clausole abusive210, non ha ritenuto ingannevole lo slogan sulla gratuità del servizio in quanto un corrispettivo immateriale non può essere considerato un costo, rigettando così la tesi sostenuta dalla Federazione delle organizzazioni dei consumatori tedeschi (VZBV)211.
Di recente, l’Autorità garante per la concorrenza e il mercato ha affrontato la medesima questione giungendo a conclusioni differenti rispetto alla Corte tedesca212. Essa ha sostenuto, infatti, che la pratica di Facebook di esaltare la gratuità del servizio, senza fornire adeguate informazioni in ordine alla propria attività di raccolta e utilizzo a fini commerciali dei dati dei propri utenti, risulta ingannevole poiché non permette ai consumatori di «assumere una decisione consapevole di natura commerciale quale è quella di registrarsi nella Piattaforma Facebook per usufruire dell’omonimo servizio
206 Il n. 20 dell’Allegato I (richiamato dall’art. 5, par. 5) della Direttiva 2005/29/Ce considera ingannevole la pratica di «descrivere un prodotto come gratuito, senza oneri o simili se il consumatore deve pagare un sovrappiù rispetto all’inevitabile costo di rispondere alla pratica commerciale e ritirare o farsi recapitare l’articolo».
207 XXXX, LUZAK, Wanted: a Bigger Stick. On Unfair Terms in Consumer Contracts with Online Service Providers, cit., p. 64, nota 15.
208 Tali casi sono citati nel documento della Commissione Europea sugli “Orientamenti per l’attuazione/applicazione della Direttiva 2005/29/CE relativa alle pratiche commerciali sleali”, COM(2016) 320 final, p. 102, disponibile online su: xxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/IT/TXT/PDF/?uri=CELEX:52016SC0163&from=EN. La Commissione prende posizione affermando che «[l]a commercializzazione di tali prodotti come "gratuiti" senza informare i consumatori del modo in cui saranno utilizzati i dati relativi alle loro preferenze, i dati personali e i contenuti generati dagli utenti in alcune circostanze può essere considerata una pratica ingannevole».
209 Landgericht Berlin, 16.01.2018, 16 O 341/15, disponibile online su: xxxxx://xxx.xxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxxxxx/0000/00/00/xxxxxxxx_xx_xxxxxx.xxx.
210 Sul punto ci si soffermerà nel cap. III.
211 Per un breve resoconto (in inglese) della decisione, v. il comunicato della VZBV, Facebook in breach of German data protection law, disponibile online su: xxxxx://xxx.xxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxxxxx/0000/00/00/00-00-00_xxxx_xx_xxxxxxxx- urteil_en.pdf.
212 AGCM, Provvedimento 29 novembre 2018, n. 27432, PS11112, Facebook – condivisione dati con terzi.
di social network»213. D’altronde, già in passato, in un settore di servizi diverso dai social networks, l’AGCM si era schierata su posizioni simili. Il messaggio pubblicitario di poter fruire di un servizio online gratuitamente è stato reputato ingannevole nella misura in cui erano sottaciute le onerose condizioni di fruibilità dell’offerta, che nel caso di specie erano ravvisate nei seguenti elementi: l’accettazione di ricevere pubblicità commerciale nella propria posta elettronica; l’autorizzazione al monitoraggio della propria navigazione su internet; la visualizzazione, a pena di risoluzione del contratto, di un numero minimo di email pubblicitarie sul proprio terminale214. In un altro provvedimento, la medesima Autorità ha proseguito lungo la stessa linea, concludendo in maniera ancora più netta che «l’obbligo […] di tollerare l'invio per posta elettronica di messaggi pubblicitari, “profilati” sulla base del proprio utilizzo della rete via Internet, può configurarsi come una vera e propria prestazione passiva»215.
4. Il trattamento commerciale dei dati personali tra condizioni generali di contratto e privacy policies: qualche esempio dalla prassi
Fin qui si è cercato di descrivere il fenomeno dei modelli commerciali «dati- centrici» da una prospettiva principalmente socio-economica, con accenni da ultimo alle questioni giuridiche che meritano un’analisi accurata nei prossimi capitoli. Prima di procedere in tal senso, per avere un quadro delle problematiche il più completo possibile, non sembra si possa fare a meno di considerare il piano giuridico-empirico. Quanto finora descritto trova, infatti, base giuridica nelle condizioni generali di contratto e nelle privacy policies che le imprese predispongono esercitando quello che viene efficacemente definito il «potere regolamentare privato d’impresa»216.
Com’è noto, le principali società che adottano modelli commerciali basati sul trattamento dei dati personali (gestori di piattaforme e fornitori degli altri servizi
213 AGCM, Provvedimento 29 novembre 0000, x. 00000, XX00000, cit., paragrafo 55.
214 AGCM, Provvedimento n. 8051/2000, PI2671, Libero Infostrada, paragrafo 6, quarto e quinto capoverso.
215 AGCM, Provvedimento n. 10276/2001, PI3501, Messaggio La settimana su Internet, paragrafo 6, quinto capoverso.
216 X. XXXXXXXXX, Autonomia individuale e autonomia d’impresa, in X. XXXXX, M.R. XXXXXXX, X. XXXXXX (a cura di), I contratti per l’impresa, I, Bologna, 2012, p. 60. Sul diritto “creato” dagli uffici legali delle multinazionali, cfr. X. XXXXXXX, Lex mercatoria, Bologna, 2001, p. 238.
digitali sopra menzionati) hanno dimensioni che trascendono i confini nazionali, così che l’individuazione della giurisdizione competente e della legge applicabile diventa una questione particolarmente rilevante, puntualmente disciplinata nelle condizioni generali217. Tuttavia, su tali aspetti l’autonomia privata incontra i limiti previsti dalle norme di diritto privato internazionale e dal RGPD.
Per quanto riguarda quest’ultimo, va rilevato che esso ha un ambito di applicazione territoriale molto vasto, includendo sia il trattamento dei dati personali effettuato da soggetti titolari e responsabili stabiliti in Unione europea, a prescindere dal fatto che esso ivi avvenga (art. 3, par. 1, RGPD), sia il trattamento dei dati personali di soggetti interessati che si trovano nell’Unione, effettuato da titolari e responsabili che non sono ivi stabiliti, purché riguardi a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato, oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione (art. 3, par. 2, RGPD). Per quanto concerne, invece, le norme di diritto privato internazionale, bisogna rivolgersi al reg. (CE) 2008/593 (c.d. Roma I). Quest’ultimo, sebbene preveda che le parti sono libere nella scelta della legge applicabile, purché la scelta sia espressa o risulti chiaramente dalle disposizioni del contratto o dalle circostanze del caso (art. 3, par. 1), impone dei limiti con riguardo ai contratti conclusi da consumatori (art. 6). In particolare, il paragrafo 2 di tale articolo dispone che la legge eventualmente scelta dalle parti non può privare il consumatore della tutela assicuratagli dalla «legge che, in mancanza di scelta, sarebbe stata applicabile a norma del paragrafo 1», ossia la legge del paese nel quale il consumatore ha la residenza abituale, con la sola condizione che il professionista: a) svolga le sue attività commerciali o professionali nel paese in cui il consumatore ha la residenza abituale; o b) diriga tali attività, con qualsiasi mezzo, verso tale paese o vari paesi tra cui quest’ultimo.
Dalle disposizioni passate in rassegna si intuisce che il diritto europeo sulla protezione dei dati personali e il diritto nazionale di protezione dei consumatori (anch’esso, comunque, di chiara matrice eurounitaria) sono frequentemente applicabili
217 Cfr. X. XXXXXXXX, Le clausole ricorrenti nei contratti dei social networks dal punto di vista della disciplina consumeristica dell’Unione europea, in AIDA, 2011, p. 127; X. XXXXXXX, X. XXXXXXX, X. XXXXXX, Towards a better protection of social media users:a legal perspective on the terms of use of social nretworking sites, in International Journal of Law and Information Technology, 2014, pp. 272- 278; XXXX, LUZAK, Wanted: a Bigger Stick. On Unfair Terms in Consumer Contracts with Online Service Providers, cit., pp. 82-86.
ai contratti predisposti dai gestori di piattaforme digitali e dai fornitori degli altri servizi digitali sopra menzionati. Tale circostanza, quindi, giustifica un’analisi delle condizioni contrattuali che si prenderanno in esame anche in una prospettiva italo- europea.
In particolare, si vuole verificare come le società che offrono i principali servizi digitali disciplinano nelle loro condizioni generali di contratto e nelle loro privacy policies (queste ultime solitamente costituenti un documento separato, ma ritenute comunque facenti parte del regolamento contrattuale218) il trattamento economico dei dati personali, intendendo con questa espressione quel trattamento che permette all’impresa di disporre dei dati personali dei propri utenti come una risorsa da cui ottenere profitto, così come esplicitato nei paragrafi precedenti. Se si vogliono esaminare le principali data companies, la scelta ricade su Google, Amazon, Facebook e WhatsApp.
Tutte e quattro le piattaforme prevedono, nelle proprie condizioni generali di contratto (variamente definite: «Termini di servizio» per Google219 e WhatsApp220;
«Condizioni d’uso» per Facebook221 e «Condizioni generali d’uso» per Amazon222), l’obbligo in capo all’utente di concedere una licenza d’uso223 in relazione ai contenuti inviati, condivisi, pubblicati, caricati, trasmessi, memorizzati o ricevuti durante l’utilizzo del servizio224. Tale licenza è semplicemente «globale» per Google; le altre piattaforme specificano che è anche non esclusiva, trasferibile, sub-licenziabile, non
218 Così GRANIERI, Le clausole ricorrenti nei contratti dei social networks, cit., p. 134.
219 xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxx?xxxxx (versione in vigore dal 22 gennaio 2019).
220 xxxxx://xxx.xxxxxxxx.xxx/xxxxx?xxxx0#xxxxx-xx-xxxxxxx (versione modificata il 24 aprile 2018).
221 xxxxx://xxx.xxxxxxxx.xxx/xxxxx/xxxxx/xxxxx_xxxx_xxxxx (versione revisionata il 31 luglio 2019).
222 xxxxx://xxx.xxxxxx.xx/xx/xxxx/xxxxxxxx/xxxxxxx.xxxx?xxxxXxx000000000 (versione aggiornata l’11 luglio 2019).
223 In realtà, gli usi dei contenuti oggetto della licenza vengono articolati nel dettaglio. Nei termini di servizio di Google, si prevede di «utilizzare, ospitare, memorizzare, riprodurre, modificare, creare opere derivate (come quelle derivanti da traduzioni, adattamenti o altre modifiche apportate in modo tale che i contenuti funzionino al meglio con i nostri Servizi), comunicare, pubblicare, eseguire pubblicamente, visualizzare pubblicamente e distribuire» i contenuti degli utenti. Amazon li intende «utilizzare, riprodurre, pubblicare, rendere disponibile, tradurre e modificare tali contenuti in ogni parte del mondo (incluso il diritto di sub-licenza a terzi)». Facebook se ne vuole avvalere «per la trasmissione, la distribuzione, la modifica, l'esecuzione, la copia, la pubblica esecuzione o la visualizzazione, la traduzione e la creazione di opere derivate». WhatsApp, infine, si “limita” a «utilizzare, riprodurre, distribuire, creare lavori derivativi, visualizzare ed eseguire».
224 Per essere precisi, Google si riferisce ai contenuti che «l’utente carica, trasmette, memorizza, invia o riceve»; Amazon considera «le recensioni cliente, commenti, domande o risposte cliente» che l’utente decide di pubblicare e gli «altri tuoi contenuti […] creati per la visualizzazione sul sito» che l’utente decide di inviare; Facebook richiama i contenuti che «l'utente condivide, pubblica o carica»; WhatsApp fa riferimento alle «informazioni (compresi i contenuti) che [l’utente] carica, invia, memorizza o riceve».
soggetta a royalty (così Facebook, ma in termini molto simili anche Amazon e WhatsApp). È evidente che essa venga richiesta per evitare violazioni dei diritti di proprietà intellettuale vantati dagli utenti sui propri contenuti. Questi ultimi, tuttavia, sono altresì (fonti di) informazioni personali e, pertanto, il trattamento operato dalle imprese su di essi è sottoposto anche alla normativa sulla privacy. Non a caso, Facebook esplicita tale rilievo nella sezione delle condizioni d’uso relativa alle autorizzazioni concesse dall’utente (che costituisce, a sua volta, una sottosezione degli
«impegni dell'utente nei confronti di Facebook e della sua community»), tra le quali autorizzazioni rientra anche quella ad usare «il proprio nome, l'immagine del profilo e le informazioni relative alle azioni intraprese su Facebook in relazione o in connessione a inserzioni, offerte e altri contenuti sponsorizzati che Facebook mostra all’interno dei suoi Prodotti, senza alcuna remunerazione a suo vantaggio».
Per quanto riguarda le privacy policies, che Facebook chiama «Normativa sui dati»225, in modo simile a Google con le sue «Norme sulla privacy»226 e a differenza di Amazon e WhatsApp che parlano di «Informativa sulla privacy»227, si è soliti distinguere la sezione relativa ai dati raccolti, nella quale si forniscono indicazioni sui modi in cui tale raccolta avviene, dalla sezione dedicata alle modalità di utilizzo delle informazioni, a cui ne segue spesso un’altra che informa l’utente circa la condivisione dei dati in questione. Inoltre, in una pagina web separata, le piattaforme in esame (ad eccezione di WhatsApp) forniscono spiegazioni più dettagliate sull’utilizzo dei cookies228 a fini pubblicitari.
La parte che interessa di più, ai fini della nostra indagine, è evidentemente quella relativa alle modalità di utilizzo dei dati personali, ma talvolta – come vedremo – si trovano indicazioni rilevanti anche in altre sezioni delle suddette policies.
Partendo da Google, come incipit esso dichiara con tono trionfante di utilizzare «i dati per creare servizi migliori», salvo poi specificare i diversi scopi di taglio
225 xxxxx://xxx.xxxxxxxx.xxx/xxxxx/xxxxxxx/xxxxxx/xxxxxxxxx (versione revisionata il 19 aprile 2018).
226 xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx?xxxxx (versione in vigore dal 15 ottobre 2019).
227 Per Amazon: xxxxx://xxx.xxxxxx.xx/xx/xxxx/xxxxxxxx/xxxxxxx.xxxx/xxxxxx_xxxx_x0_xxx?xxxXXX0&xxxxXxx000000 010 (versione aggiornata il 12 settembre 2019). Per WhasApp: xxxxx://xxx.xxxxxxxx.xxx/xxxxx?xxxx0#xxxxxxx-xxxxxx (versione modificata il 24 aprile 2018).
228 I cookies sono brevi file di testo che vengono inviati da un web server al browser dell’utente che effettua l’accesso a un sito web; essi vengono memorizzati sul computer dell’utente e poi essere ritrasmessi al server ad ogni successivo collegamento a quel sito in modo tale che il server riconosca il pc dell’utente. Tuttavia, i cookies non sono creati solo dal sito che sul quale l’utente sta navigando ma anche da altri siti che pubblicano annunci pubblicitari o altri elementi sulla pagina web caricata.
comunque piuttosto generico («fornire i nostri servizi», «mantenere e migliorare i nostri servizi», «sviluppare nuovi servizi», «offrire servizi personalizzati, inclusi contenuti e annunci», «misurare il rendimento», «comunicare con te», «proteggere Google, i nostri utenti e il pubblico»)229. Non manca comunque una certa commistione di finalità; ad esempio, sotto lo scopo relativo alla protezione degli utenti, il colosso di Mountain View, dando del tu al proprio utente230, prevede di utilizzare «sistemi automatizzati che analizzano i tuoi contenuti per fornirti ad esempio i risultati di ricerca su misura per te, gli annunci personalizzati o altre funzionalità modellate in base a come utilizzi i nostri servizi» oltre ad analizzare «i tuoi contenuti per riuscire a rilevare i comportamenti illeciti quali spam, malware e contenuti illegali», mettendosi quindi sostanzialmente sullo stesso piano la protezione da malware e la ricezione di pubblicità su misura. Sul piano del trattamento dei dati a fini commerciali, va segnalata la previsione che consente l’utilizzo dei «dati sugli annunci con cui interagisci per aiutare gli inserzionisti a capire il rendimento delle loro campagne pubblicitari». Viene fornita tuttavia la rassicurazione che gli annunci personalizzati, facenti affidamento principalmente sui dati raccolti tramite cookies e tecnologie simili, non si basano su categorie sensibili di dati quali etnia, religione, orientamento sessuale o salute. I cookies possono anche essere disattivati, ma in tal caso Google avverte che i propri servizi potrebbero non funzionare correttamente, senza però specificare quali, eccetto che per un solo esempio. Per maggiori informazioni sull’utilizzo dei cookies a fini pubblicitari bisogna visitare un’altra pagina web (la voce «Pubblicità» nella sezione
«Tecnologie»), distinta da quella contenente le disposizioni in tema di privacy. Solo qui Google ammette che grazie alla pubblicità riesce ad offrire “gratuitamente” i propri servizi.
Soffermandoci ancora sull’utilizzo dei cookies, un’attenzione particolare verso di essi è posta da Amazon che, come si è detto in precedenza, struttura il proprio modello commerciale sul differenziare il display dei prodotti e servizi offerti sulla base dei dati storici e comportamentali degli utenti. Amazon, infatti, dichiara di utilizzare i cookies per fornire contenuti, soprattutto pubblicitari, pertinenti agli interessi dei propri utenti,
229 Ad ogni modo, la “Normativa” attuale è più trasparente di quelle precedenti. Ad esempio, in quella del 1° marzo 2017 non si distinguevano in modo chiaro (già sul piano grafico, oltre che linguistico) i diversi scopi di utilizzo dei dati.
230 Caratteristica comune nelle condizioni contrattuali delle piattaforme online, «scritte con uno stile volto a far sembrare il testo meno tecnico e più accessibile all’utente», come segnala GRANIERI, Le clausole ricorrenti nei contratti dei social networks, cit., p. 128.
sia sui propri siti che su quelli di terzi. In particolare, specifica: «Per offrirti pubblicità definita in base agli interessi utilizziamo informazioni quali, ad esempio, le tue interazioni con i siti, i contenuti o i servizi di Amazon. Non usiamo informazioni d'identificazione personale come il nome o l'e-mail per offrire pubblicità definita in base agli interessi». Ad ogni modo, la parte più interessante delle policies di Amazon riguarda la comunicazione dei dati a terzi, contenuta in una sezione dell’«Informativa sulla privacy». Qui si riconosce che i dati dei propri clienti sono una componente fondamentale dell’attività dell’azienda e, pertanto, non rientra tra le attività di quest’ultima venderli ad altri231. Tuttavia, dopo essersi precisato che in realtà vi possono essere dei casi di condivisione dei dati con terzi, si considera l’ipotesi del trasferimento d’azienda, ove si prevede che «i dati personali della clientela rientrano nel patrimonio aziendale che viene trasferito, ma rimangono soggetti agli impegni assunti in qualsiasi precedente Informativa sulla Privacy», salvo che il cliente non dia il suo consenso a procedere diversamente. Una tale disposizione non fa altro che confermare che i dati personali, come si è detto a più riprese, costituiscono un asset aziendale imprescindibile.
Passando ad esaminare la «Normativa sui dati» di Facebook, in essa si dichiara di utilizzare i dati dell’utente sia «per personalizzare le funzioni e i contenuti (fra cui la sezione Notizie, il feed di Instagram, le storie di Instagram e le inserzioni232) e per fornir[gli] suggerimenti (ad es. gruppi o eventi che [gli] potrebbero interessare o argomenti che potresti voler seguire)», sia «per aiutare gli inserzionisti e gli altri partner a misurare l'efficacia e la distribuzione dei loro servizi e delle loro inserzioni e a comprendere il tipo di persone che usa i loro servizi e come le persone interagiscono con i loro siti web, app e servizi». Nella sezione dedicata alla condivisione dei contenuti con partner terzi, Facebook riconosce che è proprio tale attività (più precisamente, si riferisce alla collaborazione con partner terzi che usano gli strumenti di Facebook Business per far crescere le loro aziende) che «rende possibile la gestione
231 In realtà, la storia di Amazon dimostra che l’azienda non è sempre stata così sensibile alla cessione dei dati dei propri clienti a terzi. Come riferisce Xxxxxxxx Xxxxxx in un celebre saggio già citato (XXXXXX, Privacy as property, cit., pp. 249-250), fino al 2000 la privacy policy di Amazon era di non cedere i dati dei propri clienti a terzi, o almeno era sufficiente che un cliente inviasse un’email all’azienda perché ciò non accadesse. Alla fine del 2000, Amazon ha modificato la propria politica stabilendo non solo che i dati personali potessero essere ceduti o condivisi con terzi, a prescindere dal volere dei clienti, ma che tale cambiamento avesse effetto retroattivo, essendo ciò consentito da una clausola di salvaguardia contenuta nella propria normativa sulla privacy.
232 È noto, infatti, che Instagram rientra nel gruppo societario di Facebook.
delle [sue] aziende e l'offerta di servizi gratuiti». Sebbene – come si è già detto in precedenza – il riferimento alla gratuità faccia discutere, la dichiarazione di Facebook sembra più rispondente al vero rispetto a quella di Google sopra citata: a ben vedere, infatti, non è la “mera pubblicità”, intesa come pubblicità tradizionale, a finanziare tali servizi, piuttosto è la messa a disposizione costante dei dati degli utenti per fini pubblicitari (condividendo tali dati con gli insersezionisti), o più genericamente per fini commerciali, che consente alle imprese digitali di non richiedere un corrispettivo pecuniario per la fruizione del loro servizio233.
Infine, WhatsApp. È bene subito rilevare che può apparire discutibile la scelta di prendere in esame tale piattaforma considerato che si tratta di una società controllata da Facebook. Tuttavia, su scala globale si tratta della principale azienda che offre il servizio di messaggistica istantanea, rappresentando quindi un modello commerciale di indubbio interesse proprio perché adottato in un settore diverso da quelli in cui operano le piattaforme precedentemente analizzate. D’altronde, l’acquisizione da parte di Facebook permette di dedicare attenzione anche ad alcuni profili problematici relativamente a quello che può definirsi – come vedremo – un trattamento indirettamente commerciale dei dati personali.
233 Con “mera pubblicità” si fa riferimento a quella che finanzia il sistema tradizionale dei media quali radio e televisione. In questi casi, infatti, la pubblicità prescinde dal trattamento dei dati personali degli utenti dei servizi e quindi si presenta come indifferenziata, cioè non targettizzata e personalizzata. Cfr. XXXX-ZENCOVICH, in RESTA, ZENO-ZENCOVICH, Volontà e consenso nei servizi in rete, cit., p. 415, il quale spiega opportunamente la differenza dei servizi digitali “gratuiti” sostenuti dal trattamento dei dati degli utenti dai servizi “gratuiti” offerti dai media tradizionali: «L’esempio classico [di mercato a due versanti] è quello delle radio e delle televisioni commerciali che «vendono» agli inserzionisti pubblicitari il pubblico che esse riescono a conquistare con programmi di successo. In questo modello di business l’ampliamento del parco degli utenti da un lato del mercato aumenta simmetricamente il valore prodotto nell’altro segmento di mercato, per via degli effetti di rete coinvolti; pertanto è ben comprensibile che il ricorso alla tecnica della (apparente) gratuità è uno strumento utilizzato al fine di attrarre un maggior numero di clienti e dunque indirettamente incrementare il rilievo economico della partecipazione al mercato dal lato dell’offerta. […] All’interno della [categoria dei servizi digitali], vi è un ulteriore livello che, forse, pone i problemi più complessi in termini sia teorici che pratici. Nella fruizione di servizi in rete, sia al momento del primo accesso che in séguito e quale condizione per la continuità della fruizione, all’utente viene chiesto — ma talvolta neanche questo — di accettare l’installazione sul proprio terminale, o sul sistema che sta utilizzando, programmi informatici dalla più varia denominazione (app, cookies); oppure programmi che gli consentono di «aprire» allegati in una certa estensione digitale (word, pdf, excel, ecc.); oppure che consentano di essere connessi o navigare con maggiore sicurezza (gli anti-virus, accessi anonimi o in incognito)». La differenza tra i due modelli commerciali cui si sta facendo riferimento è espressa dal medesimo autore in termini ancor più sintetici e incisivi in un altro contributo in lingua inglese: «The difference is that with TV programmes there is no exchange between broadcasters and viewers (the latter can switch to a different channel or turn off the set when commercials are broadcast). In the case of digital services, instead, in order to take advantage of the services offered, users must be constantly connected and therefore are paying the service with their data: pay-as-you-go»: così ZENO-ZENCOVICH, Do “Data Markets” Exist?, cit., p. 29.
WhatsApp, a differenza delle precedenti piattaforme, non prevede l’utilizzo delle informazioni dei propri utenti per l’inserzione di annunci pubblicitari. Nell’«Informativa sulla privacy» afferma di non adottare tale politica, ma non esclude di farlo in futuro («se mai lo faremo, aggiorneremo la presente Informativa»). Ad ogni modo, essendo comunque possibile per le aziende comunicare con gli utenti- consumatori tramite l’app, si prevede che le informazioni degli utenti potranno essere trattate per aiutare «le aziende che usano WhatsApp a misurare l'efficacia e la distribuzione dei loro servizi e messaggi e a comprendere il modo in cui le persone interagiscono con loro». È evidente dunque che, pur non permettendo l’inserzione di annunci pubblicitari, WhatsApp riesce comunque a ricevere finanziamenti da aziende terze per i servizi loro offerti. A tal proposito, con l’obiettivo di far interagire persone e aziende tramite la piattaforma, si dice espressamente che «questo potrebbe includere una collaborazione con le aziende di Facebook per consentire alle persone di trovare le aziende a cui sono interessate e comunicare con esse tramite WhatsApp». La condivisione dei dati con Facebook è un argomento scottante: WhatsApp ripete costantemente che, ad oggi, non è previsto l’utilizzo delle informazioni dei propri utenti al fine di migliorare le loro esperienze con i prodotti di Facebook o per fornire loro contenuti pubblicitari più pertinenti su Facebook. Non viene tuttavia escluso che ciò possa avvenire tra qualche tempo, con la sola rassicurazione che in tal caso servirà un accordo con l'Irish Data Protection Commissioner (la Commissione per la protezione dei dati irlandese). Peraltro, la società di messaggistica tiene a precisare che, dopo l’acquisizione da parte di Facebook, coloro che erano già utenti, al momento in cui è stato effettuato l’aggiornamento dell’app ad agosto 2016, avevano la possibilità di usare un comando, presente nell’app stessa, per impedire l’utilizzo incrociato dei dati tra le due società.
In realtà, va segnalato che proprio tale modalità di acquisizione del consenso degli utenti è stata valutata come pratica commerciale aggressiva dall’Autorità garante per la concorrenza e il mercato234. Quest’ultima, in primis, ha qualificato la condotta di WhatsApp come commerciale, ritenendo che «il patrimonio informativo costituito dai
234 AGCM, Provvedimento 11 maggio 2017, n. 26597, PS10601, WhatApp-Trasferimento dati a Facebook, in Dir. inf., 2017, p. 371 ss., con nota di X. XXXXXXXX XXXXXXXXXX, I dati personali come corrispettivo della fruizione di un servizio di comunicazione elettronica e la “consumerizzazione” della privacy. Su tale provvedimento, v. anche le osservazioni di RESTA, Digital platforms and the law: contested issues, cit., pp. 237-238.
dati degli utenti di WhatsApp, utilizzato per la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing, acquista, proprio in ragione di tale uso, un valore economico idoneo, dunque, a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente»235. In secondo luogo, l’Autorità ha reputato la medesima condotta aggressiva, avendo la piattaforma «di fatto, forzato gli utenti di WhatsApp Messanger ad accettare integralmente i nuovi Termini contrattuali, in particolare la condivisione dei dati con Facebook, facendo loro credere che sarebbe stato, altrimenti, impossibile proseguire nell’uso dell’applicazione laddove coloro che erano già utenti alla data della modifica dei Termini avevano, invece, la possibilità di accettarne “parzialmente” i contenuti»236, nello specifico decidendo di non fornire il consenso a condividere le informazioni del proprio account WhatsApp con Facebook. Siffatta opzione, infatti, non veniva rappresentata nella schermata principale dedicata all’accettazione dei nuovi Termini di utilizzo, venendo mostrata solo in una schermata successiva, cui si poteva accedere in via eventuale solo cliccando sul link che rimandava alla lettura dei termini di servizio e dell’informativa sulla privacy.
A parte le valutazioni sull’aggressività della condotta commerciale, alla luce dei rilievi dell’AGCM è facile sottolineare come la condivisione dei dati degli utenti da parte di WhatsApp con Facebook, per finalità commerciali di quest’ultimo, trasforma de facto – nel senso che avviene indirettamente – il trattamento dei dati effettuato dall’azienda di messaggistica in un trattamento di chiaro stampo economico, indebolendo le rassicurazioni, fornite agli utenti, di non permettere inserzioni pubblicitarie sulla propria piattaforma.
235 AGCM, Provvedimento 11 maggio 0000, x. 00000, XX00000, cit., paragrafo 54.
236 AGCM, Provvedimento 11 maggio 0000, x. 00000, XX00000, cit., paragrafo 58.
Capitolo II
Dati personali e autonomia privata. Consenso e dimensione economico- partecipativa dell’interessato
Sommario: 1. La protezione dei dati personali. Spazi angusti per letture “sostanzialiste”; 1.1. Dati personali e proprietà; 1.2. Dati personali e personalità; 1.2.1. Il diritto (fondamentale) alla protezione dei dati personali; 1.3. I rapporti tra la disciplina di protezione dei dati personali e il diritto civile patrimoniale. Critiche a prospettive rigidamente unidirezionali; 2. Dati personali e autonomia privata. La circolazione dei dati personali tra interessi e meccanismi pubblicistici e privatistici; 2.1. Il consenso al trattamento dei dati personali; 2.1.1. Natura giuridica; 2.1.1.1. (Segue) La tesi negoziale; 2.1.1.2. (Segue) La tesi anti-negoziale; 2.1.1.3. (Segue) La tesi della duplicità della natura e/o dei consensi; 2.2. Relativizzazione delle diversità qualificatorie e utilità di un’interpretazione sistematica; 3. La disponibilità degli attributi immateriali della personalità: il paradigma del nome e dell’immagine; 4. Il rigetto della natura “rinunciativa” del consenso dell’interessato e la qualifica di atto di esercizio del diritto alla protezione dei dati personali; 4.1. Il consenso dell’interessato nella teoria dell’attribuzione normativa dei beni; 4.2. Il mercato dei dati personali: un problema più politico che concettuale
1. La protezione dei dati personali. Spazi angusti per letture «sostanzialiste»
Se si va a guardare la collocazione sistematica della protezione dei dati personali nella manualistica giusprivatistica, non vi dovrebbero essere seri dubbi nel prendere atto che il diritto delle persone, e più precisamente il campo dei diritti della personalità, è la sua sedes materiae237. Nonostante il chiaro intento di tutela della persona riscontrabile nella disciplina sulla protezione dei dati, si può rilevare che la collocazione in questione sconta comunque una semplificazione. Fin dalla comparsa, infatti, delle prime elaborazioni dei formanti giuridici che si sono occupati delle informazioni personali238, l’inquadramento sistematico all’interno delle categorie tradizionali non è risultato per nulla agevole239.
237 Ex multis, X. XXXXXXXX, X. XXXXXXXXXXX, Manuale di diritto privato, a cura di X. XXXXXX, X. XXXXXXXX, XXXXX xx., Xxxxxx, 0000, p. 144 ss.; X. XXXXXXXX, X. XXXXXX, Diritto privato, VII ed., Torino, 2018, p. 330 ss.; X. XXXX, Manuale di diritto privato, X ed., Padova, 2017, p. 195 ss.
238 Si usa l’espressione (ampia) di formanti giuridici perché, come si è già detto in precedenza, la materia della privacy è stata caratterizzata dal protagonismo dottrinale e giurisprudenziale, prima ancora che da norme di diritto positivo. Val la pena di ribadire che fino alla l. n. 675/1996 l’ordinamento italiano era praticamente sfornito di alcun tipo di disciplina.
239 La difficoltà classificatoria è ravvisabile sia nel modello statunitense che nel modello europeo. In termini approssimativi, può dirsi che nel primo modello – come si è visto nel capitolo precedente – è
Lo stesso termine scelto per designare il tipo di rilevanza giuridica attribuita dai diversi ordinamenti intervenuti (internazionale, eurounitario e nazionale240) in materia di dati personali, ossia il vocabolo di protezione, è particolarmente indicativo.
«Protezione» potrebbe sembrare un termine giuridicamente neutrale, ma così inteso si finisce per non cogliere il senso della disciplina. Piuttosto, si tratta di un termine volutamente trasversale con una forte enfasi puntata sull’aspetto della tutela, con la conseguenza di far passare in secondo piano gli aspetti più propriamente sostanzialistici. In tale contesto lessicale, è il qualificativo «personali», affibbiato ai dati oggetto di protezione, a suggerire una più accomodante relazione della disciplina con il concetto di persona, divenendo così il referente più sicuro per un inquadramento sistematico, che, comunque, patisce il deficit di una chiara qualificazione delle situazioni giuridiche soggettive in rilievo.
La ricostruzione di queste ultime è affidata al lavoro dell’interprete, il quale si trova di fronte a un compito non certo di facile natura. Una prima domanda da porsi è se i dispositivi normativi improntati, in chiave rimediale, alla tutela della persona assorbano così tanto la materia del trattamento dei dati personali da non lasciare spazio a integrazioni e accostamenti con le categorie tipiche della dimensione attributivo- soggettiva, massimizzando in questo modo la forza precettiva, oltre che retorica, della nota formula anglosassone “remedies precede rights”. Un simile interrogativo può ritenersi in qualche modo complementare ad un’altra questione con la quale l’interprete deve confrontarsi: bisogna comprendere, infatti, se la disciplina sulla protezione dei dati personali debba considerarsi autosufficiente o se, invece, si presti ad un “completamento” funzional-sistematico con altre aree dell’ordinamento241.
stata la contrapposizione tra property rules e liability rules, nella loro accezione prevalentemente economica, a costituire il principale oggetto di dibattito. Nel secondo modello, invece, come vedremo, è stato il campo della personalità a fare da protagonista, senza tuttavia risultare l’unico attore in scena. L’intreccio tra i diversi interessi da bilanciare, le innovative tecniche di tutela positivizzate e la trasversalità della materia, sul piano fenomenologico prima ancora che giuridico, ha rappresentato una croce per il giurista continentale, propenso a ricostruire sistematicamente i dati normativi e i fenomeni sottostanti, che, in questo caso, appaiono non solo frammentati, ma soprattutto poco “identitari” sul piano delle categorie tradizionali.
240 Per il quadro delle fonti operanti in materia si rinvia al cap. I, § 2.
241 Per una consapevolezza del problema circa l’autosufficienza della disciplina di protezione dei dati personali, benché declinato in termini di rapporti tra disciplina (speciale) di protezione degli interessi di natura personale e disciplina (comune) riguardante gli interessi di natura patrimoniale, cfr. P.M. VECCHI, Articoli 1-2, in C.M. XXXXXX, X.X. BUSNELLI (a cura di), La protezione dei dati personali. Commentario al D.Lgs. 30 giugno 2003, n. 196 («Codice della privacy»), Padova, 2007, pp. 7-15 (in part. 14-15). Per ulteriori considerazioni si rinvia al § 1.3.
Per chiarire il discorso che si sta svolgendo, è d’uopo segnalare che la prima domanda ha costituito l’oggetto di riflessione di un’autorevole voce della dottrina italiana242. Il fulcro di tale tesi è stato brillantemente spiegato con il seguente argomentare:
«La machinery della tutela, nel suo vario e complesso dispiegarsi, occupa lo intero scenario della fattispecie del “trattamento dei beni personali”: senza che sia dato di distinguere, come accade in altre situazioni, un prima e un dopo, e cioè per intenderci, la definizione, in chiave sostantiva, della situazione soggettiva e i rimedi che seguono alla violazione di essa»243.
Si osserva, infatti, che alla conformazione di una sfera di appartenenza si sostituisce la
«tecnica di bilanciamento di interessi, le cui coordinate normative sono affidate in buona parte al rispetto di doveri di comportamento»244.
La presenza di un tale bilanciamento, che nel caso di specie vedrebbe contrapporsi, da un lato, l’interesse economico alla libera circolazione delle informazioni e, dall’altro, l’interesse della persona alla garanzia che la circolazione si svolga entro il limite del pregiudizio alla propria personalità (nelle declinazioni della dignità, della riservatezza e dell’identità personale)245, avrebbe come corollario che il trattamento dei dati personali
«mai assurge a fattispecie […] conchiusa e definita ma è vicenda sempre aperta ai controlli, xxxxxxxxxx e distruttivi, da parte dell’interessato e del garante»246.
Tale lettura, definibile come la «tesi della tutela in forma oggettiva»247, si accomuna, sul piano del risultato, seppur da una diversa prospettiva teorica di partenza248, a una visione altrettanto oggettivista riguardante le forme di rilevanza
242 Si fa riferimento a X. XX XXXX, Il trattamento dei dati personali tra diritto sostanziale e modelli di tutela, in X. XXXXXXX, X. XXXXXXXX, X. XXXX XXXXXXXXX (a cura di), Trattamento dei dati e tutela della persona, cit., p. 225 ss.
243 A. DI MAJO, Il trattamento dei dati personali tra diritto sostanziale e modelli di tutela, cit., p. 245.
244 ID., op. ult. cit., p. 236.
245 Tuttavia, per una rivisitazione critica della lettura di netta contrapposizione tra gli interessi del titolare e quelli dell’interessato, v. BRAVO, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, cit., passim, in part. pp. 31, 61.
246 ID., op. ult. cit., pp. 232-233.
247 Per riscontri di tale tesi nella letteratura francese, v. i riferimenti bibliografici in RESTA, Il diritto alla protezione dei dati personali, cit., p. 16.
248 Fa notare quest’aspetto X. XXXXXXXX, Profili applicativi dell’interesse legittimo di diritto privato nella legge n. 675/1996, in U. XXXXXXX, X. XXXXXXXXXX, F.D. BUSNELLI (a cura di), Il diritto privato
giuridica che assume il valore della persona nell’ordinamento249. Contestando la tendenza a far assurgere troppo semplicisticamente interessi della persona al rango di diritti soggettivi, si è sostenuto che è solo sul terreno rimediale che «si manifestano variabili contenutistiche nelle espressioni del valore normativo della persona», senza che vi sia bisogno di caricare l’ambito dei diritti soggettivi di una valenza ordinante, la quale andrebbe, invece, riposta sul piano dei doveri, ai quali sono sottoposti determinati soggetti in funzione della tutela personalistica, sotto forma sia di comportamenti astensivi che di comportamenti positivi250. In una siffatta sistematizzazione, anche la presenza di poteri positivi in capo alla persona tutelata non costituirebbe un tradimento della logica di fondo, posto che ad essi andrebbe riconosciuta una funzione pur sempre rimediale251.
Concretizzando il discorso, di valenza generale, nel contesto della disciplina della protezione dei dati personali, non solo i «diritti dell’interessato» – di accesso (art. 15, RGPD) rettifica (art. 16, RGPD), cancellazione (oggi nella versione forte sfociante nel
c.d. «diritto all’oblio» ex art. 17, RGPD252), blocco (oggi divenuto «diritto di
nel prisma dell’interesse legittimo, Torino, 2001, p. 15. Nel pensiero di Xx Xxxx, invero, si muove dalla centralità del rimedio in una logica di bilanciamento degli interessi, mentre nel pensiero di Xxxxxxxxxx (v. nota successiva e supra nel testo) è l’oggettività del valore della persona e l’idea di una doverosità scissa da una logica attributiva a costituire il fulcro dell’imbastitura critica verso la qualificazione tramite lo schema del diritto soggettivo. La diversa impostazione, sebbene non precluda ai due autori di offrire modelli di tutela entrambi propriamente di tipo oggettivo, si riflette sull’estensione dell’area di tutela della persona.
249 X. XXXXXXXXXX, Recenti orientamenti sulla tutela della persona. La moltiplicazione dei diritti e dei danni, in Riv. crit. dir. priv., 1992, p. 173 ss. Per una elaborazione più completa, v. ID., Personalità (diritti della), in Enc. dir., XXXIII, Milano, 1983, p. 355 ss.
250 ID., Recenti orientamenti sulla tutela della persona, cit., p. 186, ove si precisa, in relazione al facere, che esso, «come comportamento positivo, non meno che il non facere, come comportamento astensivo, non esprime in sé alcuna necessità assiologica: tale necessità, nella forma di una razionalità positiva o negativa, dipende dall’idea di doverosità da cui hanno origine».
251 ID., op. ult. cit., pp. 186-187, ove si osserva che «anche i poteri positivi virtualizzano quei riferimenti alla rilevanza della persona come valore normativo nei quali le azioni del soggetto si inseriscono grazie alla loro forza e funzione rimediale» (corsivo aggiunto). A tal riguardo, può aggiungersi che siffatti poteri positivi possono avere anche una valenza preventiva: si pensi, nell’ambito della disciplina di protezione dei dati personali, al diritto di cancellazione dei dati personali (art. 17, RGPD), la cui attivazione non dipende necessariamente dalla lesione dell’interesse giuridicamente protetto in capo all’interessato da parte del titolare del trattamento (emblematica l’ipotesi di cui al par. 1, lett. b), relativa alla semplice revoca del consenso). In questa visione, dunque, esso andrebbe considerato come un congegno di tutela di tipo preventivo.
252 Sul diritto all’oblio, pre- e post-positivizzazione nel RGPD, con il passaggio imprescindibile della arcinota sentenza della Corte di giustizia del 13 maggio 2014, causa C-131/12, Google Spain SL e Google Inc. c. AEPD e Xxxxx Costeja Xxxxxxxx, la letteratura è copiosa. Tra i contributi più recenti, v.
X. XXXXXXXX, X. XXXXXXXXX, GDPR e diritto di cancellazione (oblio), in Danno e resp., 2018, pp. 269- 281; X. XXXXXX, Il diritto all’oblio dell’articolo 17 Regolamento (UE) 2016/679: una grande novità? Una denominazione opportuna?, in X. XXXXXXXXX, X. XXXXXXX (a cura di), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa, 2018, pp. 455-465; tra gli più studi più approfonditi, cui si rinvia anche per i riferimenti bibliografici, v. G. RESTA,
limitazione di trattamento» ex art. 18, RGPD), opposizione (art. 21, RGPD), cui si è aggiunto il nuovo diritto alla portabilità dei dati (art. 20, RGPD) – non vengono considerati veri e propri diritti253, ma si dubita altresì, nonostante il linguaggio utilizzato dal legislatore italiano, che gli aspetti della riservatezza e dell’identità personale, largamente riconosciuti come diritti della personalità si possano davvero spiegare con il nomen «diritto di»254.
Tra le posizioni critiche a inquadrare la disciplina di protezione dei dati personali sotto la lente (unica) del diritto soggettivo, vanno menzionati inoltre quei contributi che si sono ispirati alla feconda teoria dell’interesse legittimo privatistico255 per fornire una chiave di lettura ad alcune norme contenute nella disciplina sul trattamento dei dati personali. In particolare, in tale ottica, si sono affrontati i seguenti problemi: l’opposizione al trattamento per motivi legittimi, con un focus sul c.d. diritto all’oblio (pre-positivizzato)256; la revoca del consenso dell’interessato in un regime (ancora) carente di espliciti riferimenti normativi (oggi ricavabili, invece, dall’art. 7, par. 3 del
X. XXXX-ZENCOVICH (a cura di), Il diritto all’oblio su Internet dopo la sentenza Google Spain, Roma, 2015; X. XXXXXXXXXXX, Il diritto all’oblio nel quadro dei diritti della personalità, in Dir. inf., 2014, pp. 591-604; X. XXXXXXXX, X. XXXXXXXXX, Dal diritto all’oblio all’occultamente in rete: traversie dell’informazione ai tempi di Google, in Nuovi quaderni del Foro italiano, quaderno n. 1, 2014.
253 Risulta chiaramente sottinteso in MESSINETTI, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, cit., p. 339 ss. (in part. pp. 348-350); tra i tanti che esplicitano, con toni diversi, i dubbi sull’uso dell’espressione «diritti dell’interessato», v., senza pretesa di completezza,
X. XXXX, La normativa sui dati personali. Modelli di lettura e problemi esegetici, in X. XXXXXXX, X. XXXXXXXX, X. XXXX-XXXXXXXXX (a cura di), Trattamento dei dati e tutela della persona, cit., pp. 25-26, per il quale la posizione giuridica soggettiva più congrua a cui riferirsi è quella di potere; X. XXXX- ZENCOVICH, Una lettura comparatistica della l. 675/96 sul trattamento dei dati personali, cit., p. 172, il quale vede in essi una «panoplia di rimedi in forma specifica»; XXXXXXXXXX, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali, cit., p. 197, il quale utilizza il corsivo per l’espressione «diritti dell’interessato» con l’intento intuibile di rimarcare una distanza tra il linguaggio del legislatore e il linguaggio dogmatico, e qualifica gli stessi come «una raggiera di tutela interprivata»; DI MAJO, Il trattamento dei dati personali tra diritto sostanziale e modelli di tutela, cit., p. 236, ove si osserva che tali diritti altro non sarebbero che «diritti rimedi». Sul versante opposto, non manca tuttavia chi addirittura si spinge a configurare come diritto soggettivo il “diritto” del titolare di trattare i dati personali altrui: v. BRAVO, Il “diritto” a trattare dati personali nello svolgimento dell’attività economica, cit., p. 61.
254 MESSINETTI, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, cit.,
p. 350. Sul punto, cfr. VECCHI, Articoli 1-2, cit., pp. 4-6, il quale reputa legittimo, almeno dal punto di vista letterale, il dubbio che riservatezza e identità personale non siano state prese in considerazione dal legislatore come oggetto di diritti, ma come interessi, sia pur fondamentali, della persona; tuttavia, la questione viene risolta dall’autore riconducendo la riservatezza e l’identità personale al novero dei diritti soggettivi fondamentali sulla base di altre fonti, ordinarie e costituzionali, dell’ordinamento interno, oltre che sulla base delle fonti internazionali ratificate, dunque a prescindere dalla l. n. 675/96 e dal successivo d.lgs. n. 196/03.
255 X. XXXXXXXXX XXXX, Contributo a una teoria dell’interesse legittimo nel diritto privato, Milano, 1967. 256 BARGELLI, Profili applicativi dell’interesse legittimo di diritto privato nella legge n. 675/1996, cit., pp. 21-33. Sul diritto all’oblio ex art. 17, RGPD, si rinvia alla nota 252.
RGPD)257; i modi di intendere la correttezza quale criterio-guida nel giudizio di comparazione degli interessi in gioco nel trattamento dei dati personali, traducibili nella dialettica tipicamente relazionale tra potere (del titolare del trattamento) e interesse legittimo (del soggetto interessato)258. Va precisato, tuttavia, che tali prospettive critiche rispetto alla categoria (rigida) di diritto soggettivo, in favore della categoria (più flessibile) di interesse legittimo di diritto privato, sono state mosse solo sul piano limitato (di alcuni) dei c.d. diritti dell’interessato e della correttezza come criterio di bilanciamento degli interessi, senza contestare la qualificazione della riservatezza e dell’identità personale come diritti della personalità259. Si tratta, dunque, di posizioni decisamente più circoscritte e meno radicali di quelle espresse in precedenza, con un’attenzione comunque rivolta al piano soggettivo (nella specie, la situazione giuridica soggettiva di interesse legittimo), così che non sembra che esse, al pari della teoria-madre cui fanno riferimento, possano essere inserite tout court
257 X. XXXXX, Revoca del consenso ed interesse al trattamento nella legge sulla protezione dei dati personali, in U. XXXXXXX, X. XXXXXXXXXX, F.D. BUSNELLI (a cura di), Il diritto privato nel prisma dell’interesse legittimo, cit., pp. 34-70.
258 C. LO SURDO, La correttezza e gli strumenti di tutela apprestati dagli artt. 13 e 18 della legge n. 675/1996, in U. XXXXXXX, X. XXXXXXXXXX, F.D. BUSNELLI (a cura di), Il diritto privato nel prisma dell’interesse legittimo, cit., pp. 82-93.
259 I rapporti tra diritto soggettivo e diritti della personalità rappresentano una questione dogmatica particolarmente complessa, su cui un filone della civilistica italiana si è interrogato a lungo. Com’è noto, infatti, la centralità del diritto soggettivo ha dominato la fase delle grandi codificazioni liberali ed è ritenuta essere una delle principali ragioni che ha frenato l’attribuzione di una cittadinanza civilistica alla tutela degli attributi della personalità. Paradigmatiche, sul punto, le considerazioni di Xxxxxxx Xxxxxxxxxx (X. XXXXXXX XXXXXXXXXX, Dottrine generali del diritto civile, VII ed., Milano, 1962, p. 50):
«l’ordinamento giuridico stabilisce gli attributi essenziali della personalità con norme che sono di diritto pubblico (costituzionale, amministrativo e penale) e non conferiscono alla persona un potere di volontà in ordine alla spettanza degli attributi medesimi: essi costituiscono beni per il soggetto, ma non sono oggetto di altrettanti diritti soggettivi». Con la svolta personalistica della cultura giuridica, italiana e non solo, passante soprattutto per la valorizzazione del dettato costituzionale e per le tendenze di “depatrimonializzazione” del diritto privato (a titolo esemplificativo, v. A. DE XXXXX, Xxxxx
«depatrimonializzazione» del diritto privato, in Riv. dir. civ., 1982, II, pp. 482 ss.; X. XXXXXXXXXXX,
«Depatrimonializzazione» e diritto civile, in Rass. dir. civ., 1983, p 1 ss., ma v. già ID., La personalità umana nell’ordinamento giuridico, Napoli, 1972, p. 175 ss.) non si è più dubitato della rilevanza (anche) civilistica della tutela della personalità; tuttavia, ci si è continuati a interrogare su come la categoria del diritto soggettivo potesse adattarsi alla nuova area di protezione. I termini del dibattito, suddivisi in tre orientamenti, sono ripercorsi in sintesi da X. XXXX, Teorie e dottrine dei diritti della personalità, in Materiali per una storia della cultura giuridica, 2003, pp. 253-255, cui si rinvia anche per i puntuali riferimenti bibliografici. Si noti, a tal riguardo, che, secondo la ricostruzione dell’autore, sono proprio le tesi di Xxxxxxxxxx (espresse in termini generali in MESSINETTI, Personalità (diritti della), cit., pp. 362- 363, e passim) a costituire l’orientamento più critico verso lo schema del diritto soggettivo nell’ambito della tutela personalistica. Xxxx si discosta da tali tesi, sostenendo che se si abbondona la concezione del diritto soggettivo come signoria del volere su un’entità del mondo esterno, e ci si limita a intenderlo, in modo meno enfatico, come complessa posizione di vantaggio riconosciuta dall’ordinamento ad un certo soggetto in relazione ad un certo bene, non vi sarebbero «seri ostacoli concettuali a configurare un diritto soggettivo che abbia per contenuto un attributo della personalità».
nell’ambito delle tesi oggettiviste260. Né ad esse si possono ricondurre quei modelli di lettura imperniati principalmente sul rimedio risarcitorio261. La tutela in forma oggettiva di cui si sta parlando, infatti, è una tutela che affonda, soprattutto, sul riconoscimento di doveri di comportamento in via preventiva, che vengono riscontrati dai propugnatori di tale ricostruzione in molteplici disposizioni contenute nella disciplina di protezione dei dati personali262, con la conseguenza che una lettura in chiave meramente risarcitoria appare, in tale ottica, «una rappresentazione riduttiva e parziale», oltre che «una interpretazione prevalentemente “patrimonialistica” della tutela»263.
Sunteggiando, può dirsi che le insofferenze mostrate dalle tesi oggettiviste nei confronti della categoria del diritto soggettivo, benché abbiano un’origine dogmatica di ampia portata nell’intento di fornire una rilettura di larghi settori dell’ordinamento, con riguardo alla disciplina sulla protezione dei dati personali trovano facile sponda nell’impianto spiccatamente rimediale di quest’ultima. Di fronte a un ordito normativo di tal guisa, plasmato dalla tecnica del bilanciamento di interessi in sostituzione alla tecnica della fattispecie dai contorni definiti264, è comunque opportuno verificare se vi
260 A tal riguardo, appare opportuno evidenziare che il Messinetti, coordinatore, all’interno del già citato volume «Il diritto privato nel prisma dell’interesse legittimo» a cura di U. Xxxxxxx, X. Xxxxxxxxxx, F.D. Busnelli, della sezione riguardante la disciplina sul trattamento dei dati personali, ha individuato comunque dei limiti all’«utilizzazione della categoria dell’interesse legittimo nel raffronto con le esigenze di tutela della persona». Tali esigenze, secondo l’autore, si possono manifestare anche in una logica di resistenza e di opposizione (contro attività di aggressione e di sopraffazione), che mal si concilia col carattere “relazionalmente” inclusivo, mai definitivo, dell’interesse legittimo: X. XXXXXXXXXX, Considerazioni introduttive, in Il diritto privato nel prisma dell’interesse legittimo, cit., p. 5.
261 Si rammenti che il modello statunitense di tutela della privacy si è basato storicamente sul sistema dei torts, x. XXXXXXX, Privacy, cit.
262 Nell’ambito del RGPD, si potrebbe pensare soprattutto ai doveri di trasparenza di cui agli artt. 12- 14, così come agli obblighi in capo al titolare e al responsabile del trattamento di cui agli artt. 24-43.
263 DI MAJO, Il trattamento dei dati personali tra diritto sostanziale e modelli di tutela, cit., p. 240. Reputa, invece, centrale la tutela risarcitoria nella l. n. 675/96 F.D. XXXXXXXX, Il “trattamento dei dati personali” nella vicenda dei diritti della persona, in X. XXXXXXX, X. XXXXXXXX, X. XXXX XXXXXXXXX (a cura di), Trattamento dei dati e tutela della persona, cit., pp. 181-184; lo stesso autore è sembrato riscontrare conferme sul punto anche nel Codice della privacy del 2003 ID., Dalla legge al “codice”: un dilemma, una sfida, un consolidamento normativo, una (imperfetta) razionalizzazione delle tutele. Nota introduttiva, in C.M. XXXXXX, X.X. BUSNELLI (a cura di), La protezione dei dati personali, cit., XXXV-XLI.
264 Sulle scelte di tecnica normativa in tema di protezione dei dati personali, v. X. XXXXXXX, Codice della privacy e bilanciamento di interessi, in X. XXXXXXX (a cura di), Libera circolazione e protezione dei dati personali, I, Milano, 2006, p. 695 ss. La tecnica del bilanciamento di interessi richiama soprattutto il modo di legiferare del legislatore costituzionale, in particolare di quello deputato a comporre i valori di una società pluralista. La letteratura sul tema è sconfinata: per tutti X. XXXXX, Teoria dei diritti fondamentali, Bologna, 2012 (trad. it. di Di Carlo); X. XXXXX, Proportionality. Constitutional Rights and Their Limitations, Cambridge University Press, 2012; nella dottrina italiana, v. X. XXXXXXXX,
siano spazi per offrire letture ispirate alle categorie ordinanti del diritto tipicamente sostanziale e, in caso di risposta affermativa, se da queste possano discendere dei benefici in termini di ricostruzione del sistema265.
Per provare a rispondere a tali quesiti, si passeranno in rassegna i modelli di lettura che hanno affiancato al sintagma «dati personali» le categorie della proprietà, della personalità e dell’autonomia privata266. Mentre sui rapporti con le prime due, in particolar modo la personalità, la letteratura italiana ed europea è molto vasta ed è possibile tracciare degli orientamenti non sempre convergenti, ma quanto meno trasparenti nelle loro linee generali, i rapporti tra dati personali e autonomia privata sono stati approfonditi solo in tempi più recenti267, rivelandosi quelli maggiormente avvolti da una foschia concettuale, frutto di condizionamenti ideologici spesso derivanti dalla teorica sui diritti della personalità. Pur essendo l’oggetto del presente capitolo dedicato principalmente a quest’ultima rete di rapporti, l’analisi intende prendere le mosse dalle tesi che hanno colorato le norme in materia di protezione dei dati personali con le tinte delle altre due categorie menzionate, le quali possono ergersi ad allegorie giuridiche dei poli dell’essere e dell’avere. Attorno ad essi, infatti, nell’arco degli ultimi cinquant’anni, si è fatto oscillare, a cavallo tra le due sponde atlantiche, il pendolo dei dati personali268. Inoltre, la scelta di esaminare il campo di
Distinguendo. Studi di teoria e metateoria del diritto, Torino, 1996, p. 142 ss., e X. XXXX, Diritti fondamentali e ragionamento giuridico, Torino, 2008, p. 96 ss.
265 Si condividono, a tal proposito, le considerazioni di X. XXXXXXX, Identità della persona e potere di disposizione, Napoli, 2014, p. 64 ss., ove, con riguardo al più generale campo dei diritti della personalità, si rimarca che l’alternativa tra concezione oggettiva e concezione soggettiva non va più proposta «in termini di pura teoria della conoscenza», ma va sondata sul piano del diritto applicabile, esaminando le diverse ricadute operative.
266 Per una panoramica dei diversi modelli di lettura della disciplina sulla protezione dei dati personali, tra tutti v. ALPA, La normativa sui dati personali. Modelli di lettura e problemi esegetici, cit., p. 3, ss.; RESTA, Il diritto alla protezione dei dati personali, cit., p. 14 ss.
267 Gli studi più rilevanti possono considerarsi: DE XXXXXXXXXX, La circolazione dei dati personali tra privacy e contratto, cit.; F.G. VITERBO, Protezione dei dati personali e autonomia negoziale, Napoli, 2008; MESSINETTI, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, cit., p. 339 ss. In una prospettiva più ampia, estesa a tutti i diritti della personalità morale, v. X. XXXXXXX, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, Milano, 2018; XXXXXXX, Identità della persona e potere di disposizione, cit.; G. RESTA, Autonomia privata e diritti della personalità, Napoli, 2005; X. XXXX-ZENCOVICH, Profili negoziali degli attributi della personalità, in Dir. inf., 1993, p. 545 ss., ove si denuncia come (almeno fino agli anni ’90) «il tema dell’utilizzazione economica degli attributi della personalità, nella vastità degli studi e delle ricerche, sia, se non ignorato, sicuramente relegato in un secondo e modesto piano non ritenuto, finora, meritevole di autonoma considerazione».
268 Sulle relazioni tra proprietà e personalità, la letteratura è vastissima. Ci si può limitare qui a segnalare che, sebbene sia stata la personalità a modellarsi a lungo sugli schemi della proprietà, negli ultimi tempi si sta assistendo a un processo inverso, definito come «la rivincita storica» della personalità. Per quest’ordine di considerazioni, v. X. XXXXXXXXX, Le persone fisiche, in Trattato di diritto privato, diretto da X. XXXXXXX, Torino, 2014, pp. 507-509.
indagine da più angoli di visuale è mossa dalla convinzione – lo si anticipa fin da adesso – che la materia trattata non può che sottoporsi a prospettive congiunte, complementari e non necessariamente alternative tra loro. Con una metafora senza dubbio efficace e suggestiva, si è osservato che la disciplina sul trattamento dei dati personali – all’epoca contenuta nella l. n. 675/1996, ma la notazione risulta ancora attuale anche dopo i successivi processi di riforma attuati, prima dal d.lgs. n. 196/2003 a livello nazionale e adesso dal reg. (UE) 2016/679 a livello eurounitario – «rivela un metabolismo complesso. […] Si tratta del metabolismo delle prospettive, del metabolismo dei ruoli, del metabolismo delle qualificazioni giuridiche degli interessi incisi, e così via»269.
1.1. Dati personali e proprietà
Alla luce dei caratteri testé esposti della c.d. tutela in forma oggettiva, è facile dedurre quale sia la logica diametralmente opposta: il riconoscimento di un diritto soggettivo, assoluto, di contenuto patrimoniale, sui dati personali. L’identikit appena tracciato non può che rispondere al diritto di proprietà.
Il legame tra dati personali e proprietà ha radici antiche in quanto affonda nella dimensione proprietaria della privacy della “prima ora”270. Come si è accennato nel precedente capitolo, essa nasce come il bisogno della classe borghese di riservarsi (e appropriarsi di) uno spazio privato, tradotto efficacemente come «diritto alla proprietà ‘solitaria’»271, così che nella definizione del suo ambito di tutela è stata forte la tentazione di riferirsi ad elementi materiali e spazi fisici (ad es. l’abitazione) come
269 ALPA, La normativa sui dati personali. Modelli di lettura e problemi esegetici, cit., p. 3, nota 1. A proposito del metabolismo degli interessi che vengono in gioco nella disciplina di protezione dei dati personali, l’autorevole dottrina lucidamente evidenzia che «[s]i tratta di interessi che hanno contenuto morale, oppure contenuto patrimoniale, oppure contenuto bivalente. L’ambito geografico di questi interessi può essere solo interno, oppure comunitario, oppure internazionale: il mercato dei dati (cioè il mercato delle informazioni riguardanti persone fisiche ed enti) conosce confini labili, superati in modo agevole dalle sofisticate tecniche informatiche e telematiche. L’informazione singola o complessa, diretta o correlata, […] è considerata di volta in volta un un «bene» appartenente alle c.d. new properties, l’oggetto di un servizio offerto allo stesso interessato o a terzi, il modo di essere di una persona» (p. 31).
270 Sui rapporti (di somiglianza e divergenza) tra property e privacy, v. X. XXX, Property, Privacy, and the Human Body, in Boston University Law Review, 2000, pp. 418-443.
271 RODOTÀ, Tecnologie e diritti, cit., p. 23.
logica estensione dell’area di property272. Nel sistema statunitense, il passaggio dalla privacy/property alla privacy/liberty, per quanto fosse in parte intuibile nel right to be alone di Xxxxxx e Brandeis273, si è realizzato pienamente diversi decenni più tardi274. Con queste notazioni ci si sta riferendo, comunque, più alla matrice giuridico-culturale della privacy che ad un’effettiva ricostruzione delle informazioni personali sotto l’ombrello del diritto di proprietà. Infatti, le tesi circa l’esigenza di riconoscere un vero e proprio diritto dominicale sui dati personali hanno avuto sì una genesi pur sempre nordamericana, ma, questa volta, nell’orbita degli studi di analisi economica del diritto, su cui ci si è già soffermati. Come si è visto, l’introduzione di diritti proprietari sulle informazioni personali si è posta principalmente come una prospettiva de iure condendo, in un sistema che, seppure per diversi aspetti deregolamentato sul versante del trattamento dei dati personali operato dai privati, non riconosce apertamente un diritto proprietario sui dati personali.
Passando a considerare, invece, il contesto giuridico europeo e nazionale, l’entrata in vigore ravvicinata della dir. 95/46 e della l. n. 675/96 ha fatto interrogare gli interpreti circa la possibilità di ravvisare nelle norme, contenute nei due testi in questione, degli appigli per il riconoscimento di un diritto proprietario, o para- proprietario, sui dati personali, in una prospettiva dunque de iure condito.
A dire il vero, già prima dell’emanazione della direttiva 95/46, una parte della dottrina europea, in particolar modo quella francese, che aveva già come riferimento una disciplina nazionale sul trattamento dei dati personali, si era soffermata sul punto. Significativa in tal senso è la nota posizione di Xxxxxx Xxxxxx, il quale riconosce nei diritti della persona interessata, attribuiti dall’allora legge francese sulla privacy del 1978, «des prérogatives relevant du droit réel», concludendo che la protezione accordata agli individui riflette un diritto sui dati personali piuttosto che un diritto a questo tipo di informazione275. Come si è già anticipato nel primo capitolo, gli scritti
272 XXXXX, I diritti della personalità, cit., p. 64-66, ove si richiama il caso Xxxxxxxx v. United States (227 U.S. 438 (1928)) come emblema della «subordinazione della tutela della privacy alla tutela di luoghi e cose materiali appartenenti al soggetto».
273 MANTELERO, Privacy, cit., p. 759.
274 PARDOLESI, Dalla riservatezza alla protezione dei dati personali, cit., p. 5, il quale segnala che è solo a partire dal 1965, con il caso Xxxxxxxx v. Connecticut, che la privacy si emancipa dalla tradizionale afferenza alla proprietà.
275 XXXXXX, Ebauche d’une théorie de l’information, cit., pp. 26-27. Nella letteratura di area francese, diverse critiche alle tesi di Xxxxxx sono giunte da autori belgi: v. X. XXXXXXX, Le fondement du droit à la protection des données nominatives: “propriété ou libertés”, in X. XXXXXXX, J.L. BAUDOUIN, Nouvelles technologies et propriété: actes du colloque tenu à la Faculté de droit de l'Université de
francesi hanno sollecitato anche la dottrina italiana che, tra la fine degli Ottanta e gli inizi degli anni Novanta, si è interrogata sulla possibilità di qualificare l’informazione, non solo quella personale, come bene giuridico, giungendo a risultati non proprio convergenti276.
L’introduzione del primo atto comunitario in materia di protezione dei dati personali, la direttiva del ‘95, ha fatto riaccendere il dibattito, con la possibilità di assumere una prospettiva europea e non più solo strettamente nazionale. Ciononostante, gli studi che hanno assunto sul punto una prospettiva autenticamente europea sono rimasti pochi per lungo tempo, e si è continuato a commentare per lo più le disposizioni delle leggi interne di recepimento della direttiva invece che le disposizioni di quest’ultima. Tale approccio è stato seguito dalla dottrina italiana, la quale ha focalizzato l’attenzione principalmente sul dato normativo della l. n. 675/96. Tra i primi commenti alla legge va senz’altro segnalato quello di chi ha visto emergere, tra le maglie normative, un diritto sui propri dati personali, riferendosi al potere giuridico attribuito all’interessato soprattutto tramite lo strumento del consenso, che permetterebbe di configurare un ius arcendi. Dunque, un diritto dell’interessato che, benché non si ritenga qualificabile in senso tecnico come diritto di privativa, sembra avere (non tutti, ma quanto meno alcuni) dei tratti di stampo dominicale277.
Xxxxxxxx, xxx 0 xx 00 xxxxxxxx 0000, Xxxxx, Litec, 1991, pp. 175-203; di recente, X. XXXXXXXX, X. XXXXXXXX XXXXXX, L’éternel retour de la propriété des données: de l’insistance d’un mot d’ordre, in
X. XXXXXXX, X. XX XXXXXXXXX, X. XXXXXXXXX, X. XXXXX (eds.), Xxx, norms and freedoms in cyberspace – Liber amicorum Xxxx Xxxxxxx, cit., pp. 118-140, in part. pp. 126-127; gli autori appena citati, per loro stessa ammissione, risentono dell’approccio dell’opera di X. XXXXXX, La protection de la vie privée et des autres biens de la personnalité, Bruxelles/Paris, 1990. Non mancano, comunque, critiche alle tesi proprietarie sui dati personali da parte della stessa dottrina francese: x. X. XXXXXXXX, Contre l’hypothèse de la qualfication des données personnelles comme des biens, in Les biens numériques, Ceprisca, 2015, p. 226 ss.; sulla posizione assunta dal Conseil National du Numérique, v.
X. XXXXXX, Le CNNum s’est prononcé contre l’instauration d’un droit de propriété privée sur les données personnelles, 19 juin 2014, disponibile online su: xxxxx://xxxxxxxxx.xxx/0000/00/00/xx-xxxxx- sest-prononce-contre-linstauration-dun-droit-de-propriete-privee-sur-les-donnees-personnelles/; per una sintesi dei diversi orientamenti in materia, v. X. XXXXXX, Pour ou contre la patrimonialité des données personnelles, in Revue Xxxxxxxxxx xxx Xxxxxx xx xx Xxxxxxxxx, xx 00-00, printemps-été 2018, pp. 90-96.
276 È noto l’acceso scambio di vedute tra Xxxxxxxxxx e Xxxx-Xxxxxxxxx: v. X. XXXX-ZENCOVICH, Sull’informazione come “bene” (e sul metodo del dibattito giuridico), in Riv. crit. dir. crit., 1999, p. 485 ss., ove si fa riferimento al lavoro di MESSINETTI, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, cit.
277 X. XXXX-ZENCOVICH, I diritti della personalità dopo la legge sulla tutela dei dati personali, in Studium iuris, 1997, p. 469. Per ricostruire, tuttavia, il pensiero di tale Autore, è opportuno segnalare che questi, commentando il RGPD, osserva che «[d]a questo complesso è comunque chiaro che sui dati non si vanta un diritto dominicale. Senza scomodare Xxxxxxx (dominus nemo membrorum suorum videtur) il rapporto giuridico che si instaura è piuttosto di controllo sull’uso che terzi possono fare di tali dati, assistito da uno ius arcendi che si concretizza nell’ordine di cancellazione dei dati illegittimamente trattati»: v. ID., Xxxx, grandi dati, dati granulari e la nuova epistemologia del giurista,
Ancora più netta, in tal senso, quella dottrina che, pur riconoscendo che sui dati personali non è proponibile il modello proprietario delle res corporales, essendo riscontrabile solo il diritto di escludere i terzi e non anche il diritto di pieno godimento della cosa, ha finito per «ricondurre il diritto alla riservatezza informatica allo schema dei diritti esclusivi di contenuto patrimoniale»278. In queste ricostruzioni, riproposte in parte anche all’indomani del d.lgs. n. 196/2003, è il ruolo del consenso al trattamento dei dati personali ad essere esaltato, tanto da reputarlo capace di introiettare una
«logica proprietaria»279 che altrimenti resterebbe estranea alla protezione dei dati personali, considerando la separazione che il verbo «proteggere» crea tra l’oggetto della tutela e il titolare del diritto che ne beneficia280.
La lettura proprietaria appena descritta è rimasta minoritaria per molteplici ragioni. Sul piano dogmatico, si è già detto dell’insofferenza mostrata da buona parte della dottrina italiana verso l’utilizzo dello schema del diritto soggettivo, per di più rigido come il diritto di proprietà, se l’obiettivo è quello di riassumere un fascio di situazioni giuridiche caratterizzate dalla relazionalità e dal bilanciamento di interessi281. A ciò si aggiungano due rilevanti considerazioni. In primo luogo, va evidenziato che il consenso è solo una delle basi giuridiche per il trattamento dei dati: troppo poco per inquadrare l’intero fenomeno in questione in una prospettiva proprietaria tout court282. In secondo luogo, sul piano strettamente tecnico, non può passare inosservato il fatto che i poteri che residuano all’interessato (c.d. diritti dell’interessato) dopo che quest’ultimo presta il consenso al trattamento dei dati – poteri accresciuti con la recente attribuzione del diritto di revoca ad nutum del consenso (art. 7, par. 3, RGPD) e del correlato c.d. diritto all’oblio (art. 17, RGPD) di più ampia portata rispetto al diritto di opposizione per motivi legittimi (art. 7, co. 4, lett. a), d.lgs. n. 196/2003, adesso sostituito con diverso ambito operativo dall’art. 21, RGPD)283 – difficilmente
in MediaLaws, 2018, 2, p. 4; nel medesimo senso, ID., Do “Data Markets” Exist?, in MediaLaws, 2019, 2, p. 25.
278 L.C. XXXXXXXXX, Riservatezza informatica ed industria culturale, in ID., I diritti d’autore e connessi: scritti, Milano, 2000, p. 185. In senso contrario sembra porsi CAFAGGI, Qualche appunto su circolazione, appartenenza e riappropriazione nella disciplina dei dati personali, cit., p. 619.
279 X. XXXXXXX, Lo statuto giuridico dei dati personali, cit., p. 560.
280 ID., op. ult. cit., p. 550.
281 Cfr. nota 259.
282 Cfr. X. XXXXXXXXX, Il principio del consenso e il problema della revoca, in X. XXXXXXX (a cura), Libera circolazione e protezione dei dati personali, I., cit., p. 997. Sul consenso, si rinvia per un’analisi più ampia al § 2 del presente capitolo.
283 È bene sottolineare che l’esercizio di tali diritti può risultare produttivo di effetti anche nei confronti di terzi destinatari dei dati, così come sembra ricavarsi dall’art. 19 del RGPD (fermo restando il
sembrano conciliabili con una logica, quale quella proprietaria, che postula una cesura successiva al momento della cessione del diritto284. Invero, anche chi vede nell’ipotesi di «circolazione vincolata» dei dati personali, cioè quella che avviene tramite il consenso dell’interessato, una “regola di proprietà”, ha cura di precisare che si tratta di una regola che non coincide né con il modello del diritto di proprietà conosciuto dal nostro ordinamento, né con la property rule definita secondo la prospettiva tradizionale di Calabresi e Xxxxxxx, pur avendo con quest’ultima maggiori tratti in comune285.
Si potrebbe dire, peraltro, che, oltre alle difficoltà di configurare i dati personali come un vero e proprio bene giuridico286, è la propensione della proprietà verso una
considerevole limite dello «sforzo sproporzionato», che esonera il titolare del trattamento dall’obbligo di notifica a terzi). A tal riguardo, cfr. A. ORESTANO, La circolazione dei dati personali, in X. XXXXXXXXX (a cura di), Diritto alla riservatezza e circolazione dei dati personali, II, cit., pp. 141-143, il quale rimarca, sotto questo profilo, una notevole differenza rispetto alla circolazione dei beni materiali: l’art. 1379 c.c., infatti, non consente all’alienante di opporre ai terzi subacquirenti del bene le eventuali pattuizioni, raggiunte con il primo acquirente, circa le limitazioni relative alla circolazione.
284 RODOTÀ, Conclusioni, cit., p. 307; ORESTANO, op. ult. cit., p. 166. Tuttavia, vi è pure chi vede nell’attuale revocabilità del consenso ad nutum (art. 7, par. 3, RGPD) un ritorno della logica proprietaria, intesa però non in senso propriamente tecnico, ma nel senso che verrebbe veicolata l’idea di un’appropriazione/riappropriazione esclusiva dei dati personali: cfr. X. XXXXXXXX, Il consenso come condizione di liceità, in X. XXXXXXX, X. XXXXXXXXX, G. B. XXXXXX, F.P. MICOZZI (a cura di), Il processo di adeguamento al GDPR, Milano, p. 108. Ancor di più, si riscontra una logica proprietaria nel diritto alla portabilità dei dati di cui all’art. 20 del RGPD: si ritiene, infatti, che «la portabilità del dato sancisce l’estensione di una regola di protezione di un diritto “inalienabile” ad una dimensione proprietaria dello stesso, attribuita, di default, al cittadino inteso come “produttore del proprio dato”» (così X. XXXXXX, Il dato profilato nella prospettiva economica, tra privacy, propertization, secrecy, in
X. XXXXXXX, X. X’XXXXXX, X. XXXXXXXX (a cura di), I dati personali nel diritto europeo, Torino, 2019, p. 1178).
285 CAFAGGI, Qualche appunto su circolazione, appartenenza e riappropriazione nella disciplina dei dati personali, cit., p. 619. Tuttavia, l’autore precisa che la bipartizione tra regole di proprietà e regole di responsabilità risulta inadeguata rispetto alla circolazione dei dati personali, considerando che le premesse di tale bipartizione (cioè l’unità di analisi fondata sull’individuo, e non sulla relazione, sia in fase di assunzione della decisione che in fase di ripartizione dei costi decisionali) si rivelano insufficienti per un modello di godimento delle risorse incentrato sulla dimensione relazionale, quale quello caratterizzante i dati personali (in part. p. 624). Cfr. anche X. XXXXXXXX, Personal Data Privacy nell’Information Age tra diritti, regole e mercato: spunti di riflessione, in Politeia, 2000, pp. 112-113.
286 Per una critica feroce alla possibilità di configurare i dati personali come bene giuridico, x. XXXXXXXXXX, Circolazione dei dati personali e dispositivi di regolazione dei poteri individuali, cit., pp. 346-347, ove si evidenzia la mancanza della necessaria oggettività, finché i dati rimangono legati alla persona, e l’esigenza dell’investimento di un terzo per giustificare il passaggio di «quanto fa parte semplicemente del valore giuridico della persona» ad «autonomo bene giuridico». Favorevole, invece, ad un inquadramento nella categoria dei beni, precisando tuttavia che i dati personali «si differenziano da tutti gli altri», in quanto «da un lato, si atteggiano come elementi costitutivi dell’identità personale dell’interessato; dall’altro, contengono in sé l’attitudine a rilevare come risorsa oggetto, non di appropriazione bensì di accesso, non di un’attività di godimento bensì di un’attività di trattamento da parte di terzi per specifiche finalità meritevoli», VITERBO, Protezione dei dati personali e autonomia negoziale, cit., pp.153 ss.; sui dati personali come bene, v. anche DE XXXXXXXXXX, La circolazione dei dati personali tra privacy e contratto, cit., p. 30 ss. e X. XXXXXXXXX, Dati personali e tecniche di organizzazione degli interessi. Uno studio a partire dalla nozione di bene (tit. provv.), in corso di
logica di puro scambio di mercato a suscitare le maggiori perplessità, le quali, tuttavia, non si pongono solo su un piano di stretta compatibilità di statuti normativi. Infatti, è facile che il discorso sfoci sul terreno (più scivoloso) dei principi, e dei valori, emergenti dalla disciplina in tema di protezione dei dati personali: quest’ultima è ritenuta irriducibile ad una sopraffazione della sfera dell’avere sulla sfera dell’essere, che avrebbe il suo massimo riferimento simbolico nel riconoscimento di un diritto proprietario (diritto patrimoniale per eccellenza) sui dati personali287.
Le considerazioni appena svolte valgono non solo in ambito nazionale, ma anche in una prospettiva europea. Ciò trova conferma in un ampio studio sui «property rights in personal data», condotto assumendo un angolo di visuale autenticamente europeo, incentrato sulla disciplina dell’Unione e sulla disciplina (e giurisprudenza) della CEDU288. Tale indagine di xxxxxx impronta funzionalistica, distinguendo tra una dimensione “protettiva” (basata sull’effetto erga omnes) e una dimensione “mercantile” della proprietà (per la sua vocazione a circolare secondo gli schemi dello scambio di mercato), reputa il sistema giuridico europeo (all’epoca sotto la vigenza della direttiva 95/46, ma non sembra possano mutare le conclusioni con l’entrata in vigore del RGPD) compatibile solo con la prima dimensione della proprietà e non anche con la seconda. In altri termini, per gli evidenti vincoli (imperativi) imposti dalla disciplina di data protection, non potrebbero ammettersi – in un eventuale intervento di riforma289 – dei diritti proprietari sui dati personali «if these only adhere to the market freedom of the parties and account for no other interest than the market exchange»290.
1.2. Dati personali e personalità
pubblicazione. Per alcune considerazioni sulle funzioni del concetto di bene giuridico e sulla riconducibilità dei dati personali a tale categoria, si rinvia al § 4.1.
287 Cfr. PARDOLESI, Dalla riservatezza alla protezione dei dati personali, cit., p. 56, il quale, richiamando le tesi proprietarie sui dati personali, parla di «inanità di un approccio, che privilegia l’avere là dove dovrebbe campeggiare l’essere».
288 X. XXXXXXX, Property rights in personal data: A European perspective, Oisterwijk: BOXPress BV, 2011.
289 Una delle domande di ricerca da cui muove lo studio citato è se sia possibile, alla luce della normativa europea vigente, l’introduzione di diritti proprietari sui dati personali. Sebbene lo studio assuma dunque una prospettiva de iure condendo, il riferimento alle norme giuridiche vigenti consente di trarne delle riflessioni di ordine sistematico sul piano della compatibilità tra data protection e modello proprietario. 290 XXXXXXX, op. ult. cit., p. 186.
Un terzo modello di lettura, risultante il prevalente in dottrina, riferisce la tematica della protezione dei dati personali nell’ambito del sistema dei diritti della personalità291, che può considerarsi grosso modo corrispondente al sistema tedesco del Persönlichkeitsrechte, a quello francese dei droits xx xx xxxxxxxxxxxx x x xxxxxx xxxxxxxx xxx xxxxxxxx xx xx xxxxxxxxxxxx000. Tale lettura si fonda principalmente sul dettato normativo della disciplina, europea e nazionale, che richiama ad incipit, ormai costantemente dalla dir. 95/46 in avanti, la tutela dei diritti e delle libertà fondamentali delle persone293; da qui l’inferenza per cui la protezione dei dati personali sarebbe da saldare, concettualmente, alla sfera dell’essere piuttosto che alla sfera dell’avere294.
In particolare, nell’ordinamento italiano, l’introduzione della l. n. 675/1996 e il riassetto normativo attuato dal d.lgs. n. 196/2003 sono stati accolti principalmente come «leggi sulla tutela della personalità»295. L’esplicito riferimento alla riservatezza
291 Com’è noto, la categoria dei diritti della personalità, espressione della concettualistica di civil law, ha avuto una forte ascendenza tedesca, considerato anche il totale disinteresse mostrato dal Code Napoléon verso la tutela della persona. In particolare, l’opera di Xxxx xxx Xxxxxx (X. XXXXXX (VON), Deutsches Privatrecht, I, Leipzig, 1895) costituisce la base da cui muovono tutte le ricostruzioni dottrinali. Nell’arco della seconda metà del Novecento, tuttavia, la categoria ha assunto dei connotati specifici sulla base delle peculiarità degli ordinamenti giuridici in cui essa si è sviluppata. Come si vedrà più avanti, la separazione tra monisti e pluralisti ha rappresentato la cifra tipica del dibattito avutosi in seno alla dottrina italiana, mentre in altri ordinamenti l’attenzione si è concentrata su altri aspetti. Ad esempio, in Germania, patria della concezione di un (unico) diritto generale della personalità, è stato valorizzato molto il dettato della Costituzione di Bonn circa l’affermazione del diritto fondamentale alla libera esplicazione della persona, che ha favorito l’enucleazione di una dimensione partecipativa della personalità, oltre che di quella difensiva da attuare tramite i diversi strumenti di tutela giuridica. In Francia, invece, il droit à la vie privée, che ha svolto un ruolo di rilievo nell’elaborazione transalpina sui diritti della personalità, si è affermato con una forte marca civilistica, assurgendo in un secondo momento al rango di droit fondamental. Siffatte differenze, tra le principali esperienze giuridiche continentali, non hanno comunque impedito di giungere a una sostanziale comunanza sul piano delle soluzioni da parte delle giurisprudenze nazionali. Per la trattazione di tali profili storico-comparatistici sui diritti della personalità nei sistemi di civil law, x. XXXXX, I diritti della personalità, cit., pp. 73-87;
X. XXXXXXXX, Personalità (diritti della), in Enc. giur., Xxxx, 0000, pp. 1-14; X. XXXX-ZENCOVICH,
Personalità (diritti della), in Enc. dir., Milano, 1995, pp. 431-444.
292 X. XXXXX, Personnalité, Persönlichkeit, Personality, in European Journal of Comparative Law and Governance, 2014, p. 215 ss.
293 Al richiamo, di fonte europea, alla tutela dei diritti e delle libertà fondamentali, la normativa italiana ha aggiunto il richiamo alla dignità (fin dalla l. n. 675/96) e al diritto alla protezione dei dati personali (a partire dal d.lgs. n. 196/2003), che peraltro oggi trova esplicito riscontro anche nel RGPD, a dimostrazione del fatto che la scelta del legislatore italiano del 2003, ai tempi inusuale, si è rivelata assolutamente antesignana.
294 In realtà, già prima che il legislatore comunitario intervenisse con la direttiva 95/46 e il legislatore italiano con la l. n. 675/1996, si era soliti inquadrare il problema della raccolta delle informazioni e dell’accesso alle banche dei dati nell’ambito dei diritti (o del diritto generale) della personalità. Così X. XXXX, X. XXXXXXX, Introduzione, in IID. (a cura di), Banche dati, telematica e diritti della persona, cit.,
p. 3 ss.
295 Cfr. ZENO-ZENCOVICH, Una lettura comparatistica della L. 675/96, cit., p. 163, ove ci si pone l’interrogativo se la legge n. 675 del 1996 sia una legge che disciplina il trattamento dei dati personali ovvero una legge a tutela della personalità. La domanda, per quanto definita dallo stesso autore
e all’identità personale è stato considerato dai più come un fondamento positivo di diritti della personalità fino a quel momento riconosciuti solo in via giurisprudenziale296. Così intesa, la novella legislativa ha finito per riaprire l’antica diatriba sull’approccio pluralista o monista in merito ai diritti della personalità297. Secondo il primo approccio, la tutela giuridica non può prescindere da una tipizzazione delle situazioni protette o, comunque, da un solido richiamo – eventualmente anche mediante il ricorso all’analogia – ai frammenti normativi presenti nell’ordinamento; solo così è possibile enucleare, sotto forma di autonomo diritto, un contenuto specifico per ogni attributo afferente alla personalità298. Per i sostenitori del secondo approccio, invece, considerata l’unitarietà della persona e, dunque, anche della personalità, non è opportuno scindere la tutela giuridica in una pluralità di situazioni soggettive, le quali non sarebbero altro che semplici estrinsecazioni di un unico diritto generale della personalità, sullo stampo del Persönlichkeitsrechte tedesco, che nel nostro ordinamento poggerebbe soprattutto sulla forza propulsiva dell’art. 2 della Costituzione299. La distinzione tra i due orientamenti è stata relativizzata sul piano
«capziosa», è volta ad individuare la linea di indirizzo seguita dalla normativa. Sebbene i commentatori non abbiano sempre preso una posizione esplicita sul punto, risulta spesso implicito l’ambito sistematico in cui si fa confluire la disciplina: cfr. nota 237. Esplicitamente, x. XXXXXXXXXX, Situazione soggettive e tutela nella legge sul trattamento dei dati personali, cit., pp. 194-195; F.D. BUSNELLI, Spunti per un inquadramento sistematico, in C.M BIANCA, X.X XXXXXXXX ET AL. (a cura di), Tutela della privacy (l. 31 dicembre 1996, n. 675). Commentario, in Nuove leggi civ. comm., 1999, p. 228 ss.; ID., Dalla legge al “codice”: un dilemma, una sfida, un consolidamento normativo, una (imperfetta) razionalizzazione delle tutele. Nota introduttiva, in C.M. XXXXXX, X.X. BUSNELLI (a cura di), La protezione dei dati personali, cit., LIX.
296 Per il diritto alla riservatezza, x. Xxxx., 27 maggio 1975, n. 2129, cit.; per il diritto all’identità personale, x. Xxxx. 00 xxxxxx 0000 x. 0000, xx Xxxx xx., 1985, I, p. 2111.
297 La divisione tra pluralisti e monisti si ha tra coloro che «riconoscono (o presuppongono) la natura di diritti soggettivi» dei diritti della personalità, così XXXX, Xxxxxx e dottrine dei diritti della personalità, cit., p. 255, il quale, tuttavia, precisa che «alcune versioni della teoria monista cercano di astrarre la configurazione dei diritti della personalità dallo schema del diritto soggettivo» (p. 258).
298 A. DE CUPIS, I diritti della personalità, Milano, 1959-61; X. XXXXXXXX, Aspetti civilistici della tutela del diritto della personalità nell’ordinamento italiano, in AA.VV., Alcuni problemi sui diritti della personalità, Milano, 1964, pp. 3-37; X. XXXXXXXXXX, Personalità (diritti della), in Noviss. dig. it., Torino, 1965, vol. XII,, p. 1084. Si noti che De Cupis e Xxxxxxxx hanno condiviso l’approccio pluralista, ma hanno assunto prospettive totalmente divergenti sul riconoscimento del diritto alla riservatezza, dando vita a un vivace scambio di vedute: X. XXXXXXXX, Il preteso diritto alla riservatezza e le indiscrezione cinematografiche, in Foro it., 1954, I, p. 116 ss.; A. DE CUPIS, Il diritto alla riservatezza esiste, in Foro it., 1954, IV, p. 89 ss.; poi proseguito nei commenti alla sentenza della Xxxxx xx Xxxxxxxxxx 00 dicembre 1956, n. 4487, in Giur. it., 1957, I, p. 366 ss., con nota adesiva di X. XXXXXXXX, Una messa a punto della Cassazione sul preteso diritto alla riservatezza, e in Foro it., 1957, I, p. 232 ss., con nota critica di A. DE CUPIS, Sconfitta in Cassazione, del diritto alla riservatezza.
299 In passato, si trattava di un orientamento minoritario in dottrina, dove emergeva principalmente la posizione di X. XXXXXXXXXXX, La tutela giuridica della persona umana e il cd. diritto alla riservatezza, in Riv. trim. dir. e proc. civ., 1958, p. 458 ss. Successivamente sembrano aderire alla tesi monista X. XXXXXX, Onore (diritto all’), in Enc. dir., vol. XXX, 1980, pp. 202-209; XXXXXXXXX, Le persone fisiche, cit., pp. 66-70.
storico-concettuale, riconducendola soprattutto alla nota evoluzione della configurazione dell’illecito civile nell’ordinamento interno: un tempo strettamente legato alla lesione di diritti soggettivi assoluti ben identificabili, cui corrispondeva l’esigenza “pluralista” di delineare specifici e distinti diritti personalissimi; in seguito apertosi ad offrire tutela a tutte le situazioni giuridicamente protette, fornendo ispirazione alla tesi monista, più attenta a privilegiare l’esigenza sostanziale di tutela di fronte al “progresso” dei mezzi offensivi della personalità. Ad ogni modo, si è evidenziato che le ricadute operative dell’adesione all’una o all’altra concezione, in termini di estensione dell’ambito di tutela della personalità, sono sempre più labili, posto che i sostenitori dell’approccio pluralista non esitano a ricorrere al meccanismo analogico per colmare le eventuali lacune di protezione, giungendo così a riconoscere ai diversi diritti della personalità un perimetro applicativo pressoché assimilabile a quello discendente da un unico diritto generale300.
La legge n. 675 del 1996 e il successivo codice per la protezione dei dati personali (d.lgs. n. 196/2003) si sono prestati a inserirsi nel dibattito in questione nel seguente modo: da una parte, si è sostenuto, in modo piuttosto intuitivo, che la menzione di singoli diritti, quali quelli alla riservatezza e all’identità personale, andava nel senso della tipizzazione di marca pluralista301; dall’altra fazione, invece, l’art. 1 della l. n. 675/96 è stato interpretato, in chiave antiletterale e «antagonista all’idea che lo ha ispirato», come «un diritto su diritti», posto che «unica è la personalità, anche quando per migliore perspicuità descrittiva facciamo uso di una molteplicità variabile in funzione del mutare delle situazioni e dei mezzi di offesa possibili»302. Vi è, tuttavia, più di un dubbio che la legge in esame – al pari degli interventi normativi successivi (d.lgs. n. 196/2003 e d.lgs. n. 108/2018) – abbia realmente inciso su una tale questione di ordine dogmatico, la cui effettiva portata, come si è detto, tende ad essere sempre più ridimensionata303.
A prescindere da una ricostruzione come diritti autonomi o come mere estrinsecazioni di un diritto generale, è pacifica ormai la riconduzione della riservatezza e dell’identità personale allo statuto della personalità. Se questo è vero, lo
300 PINO, Teorie e dottrine dei diritti della personalità, cit., p. 259.
301 ZENO-ZENCOVICH, I diritti della personalità dopo la legge sulla tutela dei dati personali, cit., p. 467. 302 XXXXXXXXXX, Situazioni soggettive e tutela nella legge sul trattamento dei dati personali, cit., p. 194.
303 X. XXXXXXXX, Protezione dei dati e diritti della personalità, in X. XXXXXXX, X. XXXXXXXX , X. XXXX XXXXXXXXX (a cura di), Trattamento dei dati e tutela della persona, cit., p. 278.
stesso non può dirsi per «il diritto alla protezione dei dati personali», la cui natura autonoma, nel senso di separabile dagli altri profili della personalità, è ancora fortemente discussa. La discussione sul punto nasce a seguito dell’emanazione del codice per la protezione dei dati personali, che, nei suoi primi due articoli, ha innovato rispetto alla precedente l. n. 675/96 proprio in virtù dell’introduzione del nomen
«diritto a» precedente alla locuzione «protezione dei dati personali», sotto la chiara influenza dell’art. 8 della Carta dei diritti fondamentali dell’Unione europea. Sul significato da assegnare a tale novità legislativa vi sono state molteplici interpretazioni diverse tra loro. In estrema sintesi, il panorama dottrinale italiano vede fronteggiarsi chi sostiene che il diritto alla protezione dei dati personali abbia un carattere autonomo e chi, invece, gli disconosce tale qualifica; peraltro, all’interno degli stessi orientamenti, le argomentazioni, e talune conclusioni conseguenti, non coincidono del tutto.
1.2.1. Il diritto (fondamentale) alla protezione dei dati personali
Tra i sostenitori dell’autonomia del diritto alla protezione dei dati personali, si è fatto leva, a parte che sull’argomento letterale della sua declamazione, sulla circostanza che le sanzioni previste dal codice del 2003 parevano attivarsi direttamente per effetto di una violazione del diritto in questione, a prescindere dall’accertamento della violazione di altri diritti304. Non sembra, tuttavia, che questo solo argomento possa rappresentare un criterio risolutivo in quanto è proprio l’actio finium regundorum con gli altri diritti della personalità, o comunque con gli altri diritti fondamentali, la questione sulla quale si appuntano i maggiori nodi problematici e dalla quale può risultare la pregnanza contenutistica del diritto.
Orbene, è evidente che il diritto alla protezione dei dati personali, avente come precipuo referente normativo l’art. 8 della Carta dei diritti fondamentali dell’Unione europea, debba confrontarsi in primo luogo con quello che può ritenersi, già a livello topografico in seno alla Carta, il fratello maggiore, o il padre putativo (a seconda dei punti di vista), ossia l’art. 7 statuente il diritto al rispetto della vita privata.
304 C.M. XXXXXX, Note introduttive, cit., XXIV.
Quest’ultimo riproduce, in modo pressoché pedissequo, l’art. 8 della CEDU, pacificamente ritenuto l’archetipo della privacy europea. A tal proposito, deve rilevarsi che mentre, secondo alcuni, il rapporto tra l’articolo 7 e l’articolo 8 della Carta di Nizza è un rapporto di genus a species, non risultando tuttavia univoco quale sia il genere e quale sia la specie305, secondo altri, si tratta di un rapporto tra due entità indipendenti tra loro, pur avendo esse tratti di reciproca influenza, oltre che spazi di parziale coincidenza, che però non si traducono in una continenza306. Ad ogni modo, è pressoché pacifica l’associazione dell’articolo 8 con una dimensione dinamico- relazionale, al contrario dell’articolo 7 che si ritiene veicolare una dimensione tipicamente statico-difensiva della tutela della privacy307.
Inoltre, va segnalato che, a fronte di un pieno riconoscimento del diritto alla protezione dei dati personali quale (nuovo) diritto della personalità308, una parte significativa della dottrina, pur rimarcando l’autonomia del diritto in questione, non si sofferma sulla sua inclusione nello statuto tradizionale della personalità309.
Dovizioso di argomenti si presenta anche l’orientamento opposto, cioè quello che nega un’autonoma rilevanza giuridica al diritto alla protezione dei dati personali,
305 Secondo Xxxxxx (ID., Note introduttive, cit., XXII-XXIII) il diritto alla protezione dei dati personali è una species del diritto alla tutela della vita privata. Secondo altre prospettive, invece, è il diritto alla protezione dei dati personali ad avere un ambito applicativo più ampio per via della sua dinamicità (lo riconosce lo stesso Xxxxxx, ibidem, nota 10).
306 Cfr. X. XXXXXXXXXXX, Introduzione al regolamento europeo sulla protezione dei dati personali, in
Nuove leggi civ. comm., 2017, pp. 2-5.
307 Si può rinviare, a tal riguardo, alla nota 66 del cap. I sull’evoluzione della nozione di privacy.
308 BIANCA, Note introduttive, cit., XXII; in termini più sfumati, X. XXXXXX, Diritto alla privacy, cit.,
p. 222 ss., il quale finisce per riconoscergli, al pari degli altri diritti della personalità, la natura di diritto soggettivo sui generis (p. 233). Già prima dell’emanazione del codice del 2003, v. X. XXXXXXXXX, Le posizioni soggettive nell’elaborazione elettronica dei dati personali, in Dir. inf., 1993, pp. 322-323.
309 In particolare X. XXXXXX, Tra diritti fondamentali ed elasticità della normativa: il nuovo sulla privacy, in Eur. dir. priv., 2004, p. 1 ss. (in part. pp. 2-5), il quale riconosce al diritto alla protezione dei dati personali la capacità di individuare «una ulteriore dimensione della personalità», senza esplicitare tuttavia come questo si ponga nel sistema dei diritti della personalità. Se con riguardo alla dottrina in questione, ciò non stupisce considerando lo scarso entusiasmo manifestato verso lo schema dei diritti della personalità nell’arco della sua produzione scientifica (cfr. il commento di X. XXXX-XXXXXXXXX, Xxxxxxx Xxxxxx e i diritti della personalità: una prospettiva non conformista, in Il Diritto Privato nella Società Moderna – Seminario in onore di Xxxxxxx Xxxxxx, Napoli, 2005, p. 463), va comunque evidenziato che il rapporto tra diritti fondamentali e diritti della personalità risulta particolarmente ambiguo. Come si è visto, la natura di diritti soggettivi è discussa con riguardo ai diritti della personalità (v. nota 259); più certa, invece, appare la distanza tra diritti soggettivi e diritti fondamentali: non sono
«diritti allo stesso modo», così X. XXXXXXX, A proposito de «il diritto soggettivo», in Riv. dir. civ., 2004,
p. 356, il quale osserva che mentre il diritto soggettivo discende da disposizioni che pongono regole, finendo per essere, esso stesso, «la regola del caso», i diritti fondamentali si fondono su principi e condividono la natura di questi ultimi, rappresentando dunque non la soluzione di un conflitto, bensì
«una delle premesse forti della sua soluzione». Sull’esigenza di riconsiderare le categorie tradizionali, adeguandole alla tematica dei diritti fondamentali, v. X. XXXXXX, Diritti fondamentali e categorie civilistiche, in Xxx. xxx. xxx., 0000, x. 000 xx.
xxxxxxxxxxxxx un ruolo meramente declamatorio310. Deve evidenziarsi, tuttavia, che alcune di queste deduzioni, espresse a stretto giro dall’emanazione del codice del 2003, sembrano aver perso vigore nel corso degli anni, soprattutto in virtù delle novità contenute nel RGPD.
Se in passato, ad esempio, poteva affermarsi che il rapporto interno tra fonti, in particolare tra l. n. 675/1996, l. n. 127/2001 (recante delega per l’emanazione di un testo unico in materia di trattamento dei dati personali) e d.lgs. n. 196/2003, faceva dubitare che un decreto legislativo, in assenza di un esplicito riferimento nella legge- delega, potesse modificare radicalmente i principi proclamati nella legge del ’96, dove non figurava un diritto alla protezione dei dati personali in linea con la direttiva 95/46311, non potrebbe dirsi altrettanto nel sistema odierno. Oggi, infatti, l’art. 1, par. 2 del RGPD dichiara solennemente che «il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali» (corsivo aggiunto). È evidente, inoltre, che, a seguito dell’introduzione del regolamento europeo avente efficacia diretta in tutti gli Stati membri dell’Ue, risulta fortemente indebolito anche l’argomento comparatistico, secondo il quale la mancanza di un’esplicita menzione del diritto alla protezione dei dati personali nell’ordinamento francese e in quello tedesco avrebbe dovuto ridimensionare l’eccentricità del codice italiano sulla privacy312, che, in realtà, si è mostrato antesignano sul punto.
Pertanto, se gli argomenti appena passati in rassegna possono essere ormai messi da canto, essendo desueto far leva sul criterio gerarchico delle fonti e sulla coerenza comparatistica, non è vano invece valutare la forza persuasiva degli altri argomenti addotti dalla medesima dottrina. Ad esempio, si è invocata la natura relazionale del diritto in questione per sostenere un suo più facile inquadramento nello schema dell’interesse giuridico qualificato, a meno non di voler attribuire allo stesso diritto un ruolo di mera sintesi del complesso di relazioni di situazioni giuridiche emergenti dalla disciplina sulla protezione dei dati. Ciò troverebbe ulteriore riscontro nel par. 2
310 F.D. XXXXXXXX, Xxxxx legge al “codice”: un dilemma, una sfida, un consolidamento normativo, una (imperfetta) razionalizzazione delle tutele. Nota introduttiva, in C.M. XXXXXX, X.X. BUSNELLI (a cura di), La protezione dei dati personali, cit., XXXVII-XLI. Su posizioni simili, sebbene col precipuo fine di escludere al diritto alla protezione dei dati personali una portata proprietaria nel senso di diritto sul o al dato personale, anche VECCHI, Articoli 1-2, cit., p. 15 ss., il quale, con riferimento all’art. 1 del codice, parla di previsione testuale «enfatica».
311 XXXXXXXX, Dalla legge al “codice”: un dilemma, una sfida, cit., XXXVIII.
312 ID., op. ult. cit., XL.
dell’art. 8 della Carta di Xxxxx che contempla la necessità di una base giuridica che legittimi il trattamento dei dati personali. Infatti, la presenza di basi giuridiche che trovano fondamento direttamente nella legge, risultando quindi sottratte alla disponibilità dell’interessato, avrebbe l’effetto – secondo la dottrina in esame – di ridurre la portata altisonante del paragrafo 1 del medesimo articolo, che letteralmente sancisce il diritto alla protezione dei dati personali come un diritto fondamentale di ciascun individuo313.
A dire il vero, quest’ultima argomentazione sembra riporre un eccessivo valore al nesso tra l’importanza attribuita al consenso come base giuridica del trattamento dei dati e l’autonomia riconoscibile al diritto alla protezione dei dati personali, come se, una volta depotenziato il dispositivo consensuale nell’ambito della circolazione degli stessi dati, venisse, di riflesso, indebolita la prospettiva che considera il diritto alla protezione dei dati personali come diritto autonomo314. A tal riguardo, pur essendo necessario condurre un’indagine sulla natura e sulla funzione del consenso, su cui ci si soffermerà in seguito, è possibile sostenere fin d’ora che il diritto alla protezione dei dati personali può meritare un’autonoma considerazione a prescindere dalla prevalenza attribuita al consenso tra le condizioni legittimanti il trattamento. Anche quando quest’ultimo trova fondamento in altre basi giuridiche previste a livello legislativo, l’interessato può comunque esercitare (una buona parte de)i c.d. “diritti- rimedi”, i quali, pur non avendo i crismi della fattispecie chiusa e definita, permettono di identificare, a livello superiore, una posizione soggettiva di protezione accordata dall’ordinamento che non può ritenersi mera risultante di un bilanciamento di interessi,
313 Così sembra svolgersi il ragionamento di ID., op. ult. cit., XLI.
314 Cfr. X. XXXXXXXX XXXXXX, The Emergence of Personal Data Protection as a Fundamental Right of the EU, Cham-Heidelberg-New York-Dordrecht-London, Springer, 2014, p. 261, la quale lucidamente segnala che una «oscillation concerns the possibility of envisioning the EU right to personal data either as established by the Charter’s Article 8 as a whole, or solely by its first paragraph. In the first case, the right to personal data protection is understood as compromising the six basic constituents described in its second and third paragraphs: the requirement of fair processing; the requirement of processing for specified purposes; the requirement of legimate basis (a basis laid down by law, or the consent of the person concerned); a right of access to data; a right to have data rectified; and independent supervision. In the second case, the right is conceived of as being set out in the Charter’s Article 8(1) (reading ‘Everyone has the right to the protection of personal data concerning him or her’), whereas Articles 8(2) and 8(3) would describe requirements for the right’s limitations to be lawful, applicable whenever personal data are processed. This reading implies that to have personal data protected would mean, in principle, to have personal data un-processed».
ma va piuttosto considerata come parametro di riferimento per un eventuale bilanciamento con altri diritti o libertà fondamentali in capo a terzi315.
In questi termini si pone la Corte di giustizia, la quale, sebbene non sia ancora riuscita a distinguere chiaramente l’ambito operativo del diritto alla protezione dei dati personali da quello del diritto al rispetto della vita privata316, non esita a porre l’art. 8 della CDFUE a bilanciamento con altri diritti aventi il qualificativo di fondamentale, trovando sede nella medesima Carta, o con norme cui sono sottesi interessi particolarmente rilevanti di stampo pubblicistico (ad es., la sicurezza pubblica)317. Si pensi ai casi Promusicae v Telefónica de España (C-275/06)318, Xxxxxx und Xxxxxx Xxxxxxx GBR and Xxxxxxx Xxxxxx v Land Hessen (cause riunite C-92/09 e C-93/09)319, Xxxxxxx Xxxxxxx v Stadt Bochum (C-291/12)320, Digital Rights Ireland Ltd v Ireland and Kärntner Landesregierung, Xxxxxxx Xxxxxxxxxxx, Xxxxxxxx Xxxxxxx and others (cause riunite C-293/12 and C-594/12)321, Google Spain SL, Google Inc v Agencia Española de Protección de Datos (C-131/12)322, nei quali la Corte lussemburghese si è trovata a operare un contemperamento del diritto alla protezione dei dati personali
315 Con riguardo alla conformazione dei diritti dei privati nella Carta dei diritti fondamentali dell’Unione europea, v. G. VETTORI, Carta europea e diritti dei privati, in Id. (a cura di), Carta europea e diritti dei privati, Padova, 2002, p. 85, ove si osserva che «il diritto soggettivo, da sempre figura controversa, perde definitivamente centralità ed emerge l’esigenza di diversificare gli interessi umani secondo due parametri concreti. Il collegamento con una norma sostanziale o processuale e l’esistenza di un certo grado di intensità della tutela accordata dall’ordinamento».
316 Cfr. X. XXXXXXXX XXXXXX, X. XXXXXXX, The Fundamental Right of Data Protection in the European Union: in search of an uncharted right, in International Review of Law, Computers & Technology, 2012, p. 73 ss.; X. XXXXXXXX XXXXXX, Fighting For Your Right to What Exactly? The Convoluted Case Law of the EU Court of Justice on Privacy and/or Personal Data Protection, in Birkbeck Law Review, 2014, p. 263 ss.; X. XXXXXXX, Deconstructing Data Protection in the EU Legal Order, in International and Comparative Law Quarterly, 2014, pp. 579-581.
317 Sul bilanciamento dei diritti nel quadro europeo della protezione dei dati personali, x. XXXXXXXX,
Privacy e il diritto europeo alla protezione dei dati personali, cit., pp. 225-237.
318 Xxxxx xxxxx. XX 00 gennaio 2008, Promusicae v Telefónica de España, C-275/06, in Giur. it, 2008,
p. 1425, con nota di X. XXXXXXXXX, L’“ingegneria interpretativa” della Corte di giustizia delle comunità europee in soccorso della tutela on-line del diritto d’autore.
319 Corte giust. UE 9 novembre 2010, Xxxxxx und Xxxxxx Xxxxxxx GBR and Xxxxxxx Xxxxxx v Land Hessen, C-92/09 e C-93/09, disponibile online su: xxx.xxxxx.xxxxxx.xx.
320 Corte giust. UE 17 ottobre 2013, Xxxxxxx Xxxxxxx v Stadt Bochum, C-291/12, in Dir. pen. proc., 2014, p. 1482, con nota di X. XXXXXXXX, Passaporto biometrico e impronte digitali.
321 Corte giust. UE 8 aprile 2014, Digital Rights Ireland Ltd v Ireland and Kärntner Landesregierung, Xxxxxxx Xxxxxxxxxxx, Xxxxxxxx Xxxxxxx et xxxx, C-293/12 e C-594/12, in Giur. it., 2014, p. 1850, con nota di X. XXXXXX, Data retention: la Corte di giustizia si appella alla Carta UE dei diritti fondamentali. 322 Corte giust. UE, 13 maggio 2014, Google Spain SL, Google Inc v Agencia Española de Protección de Datos, C-131/12, in Foro it., 2014, p. 317, con nota di X. XXXXXXXX, X. XXXXXXXXX, Diritto all'oblio: il futuro dietro le spalle.
con diritti323, libertà324 o interessi325 confliggenti, postulando quindi un contenuto specifico e autonomo del suddetto diritto, tale da poter essere assunto a parametro di riferimento di un bilanciamento con altre situazioni giuridiche soggettive qualificate, un bilanciamento cioè esterno e non interno al diritto stesso.
È evidente che la dimensione in cui rintracciare un’autonoma rilevanza del diritto alla protezione dei dati personali non è (più tanto) quella nazionale delle normative di recepimento, ma è quella autenticamente europea della CDFUE, del RGPD e della giurisprudenza della Corte di giustizia.
1.3. I rapporti tra la disciplina sulla protezione dei dati personali e il diritto civile patrimoniale. Critiche a prospettive rigidamente unidirezionali
Le prospettive proprietarie e personalistiche, testé esposte, inducono a richiamare la questione, posta ad inizio del capitolo, circa i rapporti tra la disciplina sulla protezione dei dati personali e gli altri settori dell’ordinamento civilistico, in particolare quelli di carattere patrimoniale e aventi vocazione pressoché generale326. I principali raccordi, pertanto, vanno verificati con riguardo al codice civile e al codice del consumo.
323 Nel caso Promusicae, vi era un conflitto con il diritto di proprietà (intellettuale) riconosciuto dall’art. 17, CDFUE.
324 Nel caso Google Spain, la libertà confliggente era la libertà d’impresa sancita dall’art. 16, CDFUE. Sul rapporto tra libertà economiche e diritto alla protezione dei dati personali, v. X. XXXXXXXXX, X. XXXXXXX, Bridge is Down, Data Truck Can’t Get Through . . . A Critical View of the Xxxxxxx Judgment in The Context of European Constitutionalism, in The Global Community - Yearbook of International Law and Jurisprudence, New York, 2017, pp. 252-257.
325 Nei casi Xxxxxx und Xxxxxx Xxxxxxx GBR, Schwarz e Digital Rights Ireland il diritto alla protezione dei dati personali si poneva in contrasto con interessi pubblici di vario genere: rispettivamente l’interesse a garantire la trasparenza degli atti dell’Unione e ad assicurare il migliore utilizzo dei fondi pubblici (nel primo caso), l’interesse alla prevenzione di ingressi illegali nel territorio dell’Unione europea (nel secondo caso), l’interesse a contrastare gravi crimini (nel terzo caso).
326 Nella dottrina europea, si avverte l’esigenza di trovare un coordinamento, soprattutto nell’ottica di un migliore enforcement, tra la protezione dei dati personali e il diritto dei consumatori: v. XXXXXXXXX, XXXXXXXXX, XXXXX, The Perfect Match? A Closer Look at the Relationship between Eu Consumer Law and Data Protection Law, cit., pp. 1427-1466. In una prospettiva ancora più ampia, includendo anche il diritto della concorrenza, v. X. XXXXXX, Digital Markets, Data, and Privacy: Competition Law, Consumer Law and Data Protection, in X. XXXXX, X. XXXXXXX, X. XXXXXXX (a cura di), Informazione e Big Data tra informazione e concorrenza, Milano, 2018, p. 1 ss.; I. XXXXX, Blurring Boundaries of Consumer Welfare: How to Create Synergies between Competition, Consumer and Data Protection law in Digital Markets, in X. XXXXXXX, X. XXXXX GALLEGO, M.O. XXXXXXXXXX, X. XXXXXXXX-
XXXXXXXXXXX (eds.), Personal Data in Competition, Consumer Protection and Intellectual Property Law: Towards a Holistic Approach?, Springer, 2018, p. 121 ss.