NON SOLO DATI PERSONALI, MA ANCHE BENI COMMERCIABILI: ECCO PERCHÉ IL GDPR NON BASTA A PROTEGGERLI
Il contratto fra social network è utenti è stretto con consapevolezza da entrambe le parti? Cosa succede quando un utente pubblica sui social dati relativi a una persona non iscritta? Il dato personale è un bene spendibile? Cosa significa cedere un dato? Tutti i dati sono cedibili? La sproporzione fra la cessione dei dati degli utenti e il ricavo accumulato dai social può portare a un riequilibrio economico? A queste e ad altre domande decisive sulla valorizzazione pecuniaria dei dati rispondono Emilio Girino e Franco Estrangeros in un approfondito saggio sulla rivista Privacy&.
I social network non sono gratuiti: con un primo approfondimento pubblicato in agosto sulla rivista Privacy&, Emilio Girino e Franco Estrangeros avevano dato sostanza giuridica alla famosa frase “Se non stai pagando un prodotto, allora il prodotto sei tu”, resa celebre dal documentario The Social Dilemma. Adesso, con un corposo saggio pubblicato sulla stessa rivista, gli Avv. Girino ed Estrangeros esplorano le implicazioni del principio di commerciabilità del dato personale, tracciandone i limiti e individuando norme che possano risolvere le attuali ambiguità cui vengono sottoposti – ciecamente e inconsapevolmente – gli utenti delle reti sociali.
“Nel nostro precedente intervento su Privacy&”, spiegano gli Autori, “avevamo delineato tre prospettive di ricerca: la possibilità di riconoscere l’insorgere o meno di un vincolo sinallagmatico fra rete sociale e utente, fondato sulla cessione dei dati; il perimetro di cedibilità dei dati a fini di lucro; i rimedi esperibili in caso di patologie nel rapporto rete-utente e la loro effettiva rintracciabilità”.
La loro ricerca parte da due pietre miliari: la riconoscibilità giuridica della commerciabilità del dato personale e la precisa definizione del concetto di cedibilità dei dati. Nonostante la timidezza nel prendere posizione da parte della Direttiva Ue in materia (2019/770), la commerciabilità del dato può essere data per assodata in base a sentenze (Tar Lazio nn. 260-261; Consiglio di Stato n. 2631 29/3/2021), che pur afferendo alla trasparenza dell’informazione da parte dei social network implicano una delibazione sulla sua patrimonializzazione. Il dato è suscettibile di commercializzazione e, di conseguenza, di valorizzazione in termini economici e monetari.
Più sottile è la definizione dell’accezione in cui debba intendersi la cessione dei dati. Cedendo un dato a un social network, l’utente non si priva della titolarità del proprio diritto su di esso, poiché nessuna piattaforma diventa proprietaria dei dati dell’utente. Ciò che accade è invece che il proprietario del dato limiti la propria titolarità in favore dei social che ne acquisiscono l’amministrazione e il potere di servirsene traendone un ricavo. Non si tratta quindi di una cessione di proprietà dei dati bensì di una cessione del diritto d’impiego: una licenza d’uso di un’informazione di cui però il cliente non cessa mai di essere l’unico titolare.
Fissate queste pietre miliari, si ragiona sulla natura del contratto fra rete e utente, domandandosi se ciò costituisca un sinallagma nel senso negoziale del termine: se fra cessione dei dati e utilizzo della piattaforma ci sia una corrispettività. Qui entra in gioco la presunta gratuità dei social network, che si basa su un sillogismo fallace: ciò che non si paga con denaro è gratuito; il social network non richiede denaro; quindi è gratuito. La fallacia si annida nella prima premessa, in quanto, illustrano gli Autori, “nelle società digitali il vero valore risiede nella disponibilità di informazioni ai fini del loro riutilizzo, ove quest’ultimo abbia un contenuto economico”. Quindi, anche se non si trasmette denaro, nessun social network è gratuito: lo si paga con la cessione dei dati, e ciò dimostra la sussistenza di un vincolo sinallagmatico.
Ciò che importa è che il sinallagma presuppone un accordo fondato sull’incontro fra volontà parimenti consapevoli. Quando invece un utente fornisce il consenso alla cessione dei propri dati su un social network, il consenso relativo all’utilizzo lucrativo da parte della piattaforma, se diluito in quello – necessario in quanto richiesto dal GDPR – volto ai soli fini del trattamento dei dati, il problema di un’effettiva coincidenza di volontà si pone.
Non meno determinante è stabilire quale sia il perimetro della cedibilità dei dati personali. Gli autori distinguono cinque tipologie di dati: ciò che l’utente è, possiede, fa, o pensa; e, quinta tipologia, ciò che l’utente sia, possieda, faccia o pensi ma venga manifestato a opera di terzi. Per quanto tutte problematiche, le dolenti note nel rapporto fra piattaforma e utente stanno soprattutto nella quinta tipologia, nell’abbondanza di dati personali che sui social vengono resi noti da utenti terzi a danno dell’utente che non abbia acconsentito alla diffusione di quel dato o, peggio ancora, di un individuo che non sia utente della piattaforma. È il caso, per esemplificare, di chi non è iscritto a un social ma vede la propria immagine pubblicata nella foto di un utente; ma si può arrivare anche alla rivelazione di dati sensibili come lo stato civile, le opinioni politiche, l’orientamento sessuale.
Quando invece si tratta di un iscritto a un social, bisogna considerare un dettaglio non trascurabile: se l’utente è ignaro della portata del dato (com’è inevitabile, se la sottoscrizione del contratto non si fonda su un manifesto incontro di volontà), non è in grado di stimarne un adeguato controvalore. Se i social network si propongono come servizi di intrattenimento e condivisione, il fatto che l’utente debba passivamente approvare l’obbligo di ricevere pubblicità personalizzata è una forzatura del sinallagma. Il continuo superamento del perimetro di cedibilità dei dati porta i social network a perseguire un fine di lucro estraneo alla funzione pubblicamente dichiarata.
Quanto ai rimedi, gli Avv. Girino ed Estrangeros propongono che si basino su un comun denominatore: “Il principio di equità”, spiegano, “percorre l’intero ordinamento dei rapporti contrattuali, ponendosi o come integratore di pattuizioni mancanti o come risolutore di squilibri sinallagmatici. Pur dovendosi pacificamente escludere l’applicazione al contratto rete-utente di disposizioni specifiche obiettivamente non adattabili quali (ad esempio) la rescissione per lesione o per eccessiva onerosità, restano tuttavia spazi per un’eterointegrazione attraverso la regola equitativa”. Ad esempio, il combinato disposto fra l’art. 1374 c.c. – che integra il contratto di là dallo stretto stipulato, obbligando le parti a tutte le conseguenze che ne derivano – e l’art. 1322 c.c. – che propugna una valutazione di meritevolezza di un rapporto fondato su un pesante squilibrio economico – potrebbe essere una prima soluzione. “Potrebbe infatti”, continuano gli Autori, “portare al riequilibrio di quei contratti rete-utente dove la sproporzione fra il ricavo dei social e la contribuzione di dati da parte dell’utente revochi obiettivamente in dubbio l’equità della pattuizione”.
Altre soluzioni vengono proposte da Girino ed Estrangeros sia rifacendosi a spunti offerti dal diritto d’autore (in fin dei conti i social non sono piattaforme su cui gli utenti pubblicano prodotti del proprio ingegno?) sia individuando con maggiore precisione le inadempienze o gli illeciti messi in atto dalle piattaforme, in particolar modo nello sfruttamento dei dati ipersensibili. Né è peregrino immaginare, come qualcuno ha proposto, una modifica del GDPR che sanzioni la violazione accordando un beneficio economico al proprietario del dato.
“Siamo convinti che questo nostro sforzo possa avere schiuso una nuova dimensione, la cui enunciazione potrebbe quasi essere in odore di paradosso”, concludono gli Autori. “La realtà del mercato ci dimostra come la vera protezione patrimoniale del dato personale non risieda né possa risiedere nella normativa settoriale. Nel suo pur ampio raggio regolamentare, il GDPR non garantisce alcuna tutela del dato in quanto bene economico: tant’è che, a mille condizioni e con mille formalità, consente qualsiasi trattamento di qualsiasi dato e per qualsiasi fine. Nessuna però di quelle condizioni o di quelle formalità può di per sé assicurare al dato la difesa sul versante patrimoniale. L’apparente paradosso non può stupire: il mestiere del GDPR è proteggere il dato in quanto dato personale, non in quanto bene commerciabile, perché è il mercato ad aver consegnato al dato (anche) questo attributo. Il mestiere qui appartiene allora alla disciplina generale del contratto”.
Il saggio – intitolato Quanto vale un dato? Qualche modesta proposta di risposta – è disponibile in versione integrale sul sito di Privacy&; il pdf è scaricabile cliccando qui.