di Paolo Balboni

Scenario

Il 14 marzo, il Garante europeo della protezione dei dati personali (“GEPD”), dopo essere stato consultato dal Consiglio europeo, ha emanato l’opinione sulla proposta di Direttiva relativa a determinati aspetti dei contratti di fornitura dei contenuti digitali (“Opinione”). La suddetta Direttiva mira a garantire un’uniforme protezione del consumatore con riguardo alla fornitura di contenuti digitali, stabilendo una serie di regole applicabili in tutti gli Stati Membri ai contratti di fornitura di contenuti digitali.
La Direttiva si applicherà ai “contratti in cui il fornitore fornisce contenuto digitale al consumatore, o si impegna a farlo” ed in cambio il consumatore:

  • corrisponde un prezzo;
  • oppure “fornisce attivamente una controprestazione non pecuniaria sotto forma di dati personali o di qualsiasi altro dato”.

L’obiettivo della Direttiva scaturisce dalla constatazione che le società che forniscono servizi digitali incoraggiano la percezione che la fornitura di servizi avvenga “gratuitamente”, mentre, in realtà, la prestazione è subordinata al conferimento di dati personali.

Questione principale

Il GEPD, da un lato, accoglie con benevolenza l’intenzione del legislatore di garantire che nella fornitura dei cosiddetti “free services” i consumatori ricevano la stessa protezione anche qualora non abbiano pagato un prezzo per la fornitura del servizio o del contenuto digitale; dall’altro, evidenzia come i dati personali non possano essere considerati alla stregua di un “prezzo” o del danaro. La protezione dei dati personali è un diritto fondamentale ed, in quanto tale, indisponibile; ne consegue che il dato personale non può essere considerato alla stregua di un bene mercificabile.
L’Opinione solleva numerose problematiche scaturenti dall’incompatibilità di alcune disposizioni con la natura di diritto fondamentale indisponibile del dato personale prevista dalla normativa europea a protezione dei dati personali:

  • secondo il GEPD bisognerebbe evitare l’utilizzo del termine “contro-prestazione” riferito ai dati personali, dal momento che esso non sembrerebbe conforme alla natura dei dati personali ed, al contrario, sembrerebbe legittimare la “malpractise” diffusa di fornire servizi e contenuti digitali “in cambio” del conferimento del consenso al trattamento dei dati personali da parte dei consumatori. Il GEPD suggerisce alcuni approcci alternativi che permettano di definire lo scopo ed oggetto della Direttiva senza implicare la considerazione del dato personale quale controprestazione per l’utilizzo di un servizio o contenuto digitale. A tal riguardo si potrebbe ricorrere: i) alla nozione di “servizi” contenuta della Direttiva sul commercio elettronico (Direttiva 2000/31/CE), in modo da ricomprendere nel campo di applicazione della Direttiva anche i servizi che non richiedono il pagamento di un prezzo; ii) alla terminologia utilizzata dal Regolamento europeo sulla protezione dei dati (di seguito, “RGPD”) in modo da definire lo scopo della Direttiva senza fare riferimento al dato personale quale controprestazione (“offerta di beni o prestazione di servizi, indipendentemente dall’obbligatorietà di pagamento da parte dell’interessato”);
  • il GEPD consiglia di evitare qualsivoglia riferimento ai dati conferiti (attivamente) dal consumatore, perché in contraddizione con la normativa (vigente e futura) relativa alla protezione dei dati personali. Infatti, non è possibile effettuare una distinzione tra dati personali conferiti “attivamente” e “non attivamente”, dal momento che qualsiasi trattamento di dati personali deve essere basato di regola sul consenso liberamente prestato dall’interessato;
  • il GEPD suggerisce di inserire all’interno degli artt. 13 e 16 della proposta di Direttiva (risoluzione e recesso dal contratto) il riferimento al diritto all’accesso, cancellazione e portabilità dei dati personali previsto dal RGPD;
  • la Direttiva dovrebbe affermare esplicitamente che i dati personali possono essere utilizzati dai fornitori di servizi e contenuti digitali solo conformemente alla normativa in materia di protezione dei dati personali, che includerà il RGPD e la normativa in materia di protezione dei dati personali nelle comunicazioni elettroniche (ePrivacy).

Suggerimenti pratici

Il GEPD consiglia ai legislatori europei di evitare la formulazione di disposizioni normative che possano introdurre l’idea che i consumatori possano “pagare” la fornitura di servizi e contenuti digitali con i propri dati personali, come se fossero danaro. I dati personali sono espressione di un diritto fondamentale indisponibile della persona e non possono essere considerati quale merce di scambio. Non si può monetizzare il dato personale ed assoggettare un diritto fondamentale ad una semplice transazione commerciale, perché il dato personale non è un mero bene economico. Le condizioni di liceità del trattamento dei dati personali sono già stabilite dal RGPD, che prevede che affinché il consenso possa essere considerato liberamente prestato, è necessario che l’esecuzione di un contratto o la prestazione di un servizio, non sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto (Art. 7 RGPD).

Avv. Paolo Balboni
Founding Partner ICT Legal Consulting

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.