g-docweb-display Portlet

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione, sullo Schema di decreto legislativo recante attuazione della direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE per una migliore applicazione e una modernizzazione delle norme dell'Unione relative alla protezione dei consumatori

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Audizione del Presidente del Garante per la protezione dei dati personali, Prof. Pasquale Stanzione, sullo Schema di decreto legislativo recante attuazione della direttiva (UE) 2019/2161 che modifica la direttiva 93/13/CEE e le direttive 98/6/CE, 2005/29/CE e 2011/83/UE per una migliore applicazione e una modernizzazione delle norme dell'Unione relative alla protezione dei consumatori

 Senato della Repubblica -  9ª Commissione permanente
(Industria, commercio, turismo, agricoltura e produzione agroalimentare)

(10 gennaio 2023)

- IL VIDEO DELL'AUDIZIONE

Consentitemi, anzitutto, di esprimere sincero apprezzamento per la sensibilità, mostrata dalla Commissione, nel voler affrontare l’esame dello schema di decreto anche nella prospettiva della protezione dati. Tale disciplina è, infatti, interessata dalla direttiva in recepimento e, quindi, dal provvedimento in esame, anche più di quanto possa apparire ad una prima lettura. Il tema di fondo, già introdotto dalla direttiva sui contenuti digitali e qui rilanciato con uno spettro anche più ampio è quello dell’estensione delle tutele consumeristiche alle fattispecie, del tutto atipiche, fondate sullo schema servizi-contro-dati (personali).Dietro modifiche puntuali del codice del consumo e quasi “a rime obbligate”, si cela dunque una questione di estremo rilievo, come quella della disponibilità di un diritto fondamentale quale è, appunto, il diritto alla protezione dei dati personali (art. 8 Cdfue).

La direttiva reca modifiche trasversali alla disciplina consumeristica (in particolare, alle 2005/29 sulle pratiche commerciali sleali e 2011/83 sui diritti dei consumatori) per adeguarla, sul piano preventivo, remediale e sanzionatorio alle caratteristiche dell’economia digitale. Si responsabilizzano le piattaforme con specifici obblighi di trasparenza, in particolare rispetto alla remunerazione del posizionamento dei prodotti nelle relative classifiche, all’attendibilità della fonte delle recensioni, alla personalizzazione dei prezzi sulla base della profilazione degli utenti. Ma la modifica più rilevante consiste nell’estensione delle tutele previste dalle sezioni da I a IV della direttiva 2011/83 alle ipotesi in cui il professionista fornisca un contenuto o un servizio digitale e il consumatore fornisca o si impegni a fornire dati personali al primo.

Il decreto traspone, senza sensibili variazioni, la direttiva, modificando il codice del consumo anzitutto riconducendo, al novero delle pratiche commerciali in ogni caso ingannevoli, le omissioni degli obblighi informativi sul posizionamento remunerato dei prodotti nelle relative classifiche o sull’autenticità delle recensioni, nonché il secondary ticketing.

Rilevanti sono le nuove definizioni introdotte, tra le quali quella di dato personale (con rinvio alla corrispondente norma definitoria del Reg. Ue 2016/679), di mercato on line, di interoperabilità, di servizio digitale, modulate, in conformità alla direttiva, sulle corrispondenti nozioni introdotte dalla direttiva sui contenuti digitali e, quindi, dal decreto legislativo di recepimento (n. 173 del 2021).

Si estendono, inoltre, le garanzie comprese nelle sezioni I-IV del capo I, titolo III, parte III, del codice del consumo (sui diritti dei consumatori) alle fattispecie di scambio di servizi (o contenuti) digitali contro dati. Si disciplinano, peraltro, tra gli obblighi del professionista in caso di recesso, anche quelli relativi ai dati personali del consumatore (il cui trattamento deve rispettare, si precisa, le previsioni del Regolamento 2016/679), conformemente alla direttiva.

Dal punto di vista dell’Autorità, la misura più importante, tanto della direttiva quanto del decreto, è indubbiamente l’estensione del nucleo essenziale delle tutele consumeristiche alle ipotesi di scambio di servizi digitali o contenuti digitali, mediante supporto non materiale, a fronte di dati personali. Tale previsione sottende – come già nella direttiva 2019/770- un approccio realistico che, prendendo atto della diffusione dello schema transattivo servizi contro dati, estende le tutele consumeristiche a tali fattispecie (non definite “contratti” in conformità al parere del Garante europeo della protezione dati). Si tratta di una soluzione volta ad evitare il rischio di relegare questo tipo, del tutto particolare, di transazioni nell’area del giuridicamente irrilevante, a fronte di una diffusione ormai capillare delle zero-price strategies.

Resta, tuttavia, la necessità di impedire la degradazione di ciò che, come il dato personale, costituisce l’oggetto di un diritto fondamentale a mera controprestazione da dedurre nel sinallagma contrattuale, come ha sottolineato il Garante europeo della protezione dei dati nei pareri 4/17 sulla direttiva 2019/770 e 8/18 sul complessivo pacchetto di direttive “New deal for consumers” tra cui, appunto, la omnibus. Al di là della soluzione adottata, sul piano della semantica normativa, dal legislatore europeo (estendere le tutele consumeristiche a queste ipotesi senza qualificarle come fattispecie contrattuali) permane, dunque, l’esigenza di fondo di evitare, con la monetizzazione dei dati, la patrimonalizzazione della libertà. La privacy, insomma, non può rischiare di divenire un lusso per pochi.

Naturalmente, si tratta di un tema che meriterebbe una riflessione e un intervento più ampi di quelli consentiti dai criteri di delega, dal momento che la direttiva non disciplina lo scambio servizi contro dati ma si limita a prendere atto della diffusione di questa fattispecie nel formante sociale e le estende, correttamente, le tutele consumeristiche. Ma non vi è dubbio che la tendenza alla commodification dei dati personali vada disciplinata, proprio per evitare abusi e, in ultima istanza, discriminazioni su base censitaria delle persone.

Va considerato che già la Cassazione (sia pur ragionando nell’ottica della direttiva 95/46), con la sentenza Adspray del luglio 2018, negando che l’ordinamento vieti lo scambio di dati personali, ha però ribadito l’esigenza che esso sia il “frutto di un consenso pieno ed in nessun modo coartato”, ulteriore e diverso rispetto a quello contrattuale. La Corte ha, peraltro, precisato come le operazioni di tying siano vietate se la prestazione sia “ad un tempo infungibile ed irrinunciabile per l’interessato”. Si sono, insomma, indicati come limiti di ammissibilità di quello schema la fungibilità della prestazione e l’assenza di reale pregiudizio derivante dalla rinuncia ad essa, con la previsione implicita, dunque, di requisiti ulteriori e diversi da quelli dei vizi della volontà contrattuale, assimilabili più ai presupposti per la rescindibilità del contratto. 

Si potrà discutere – e si discute- dell’ammissibilità di una dissociazione dell’ownership sul dato dalla vera e propria remunerazione patrimoniale del consenso, chiedendosi se sia possibile, come per il copyright o altri attributi della personalità suscettibili di valorizzazione patrimoniale, ammettere una circolazione fondata su di un modello remunerativo, parallelo alla persistenza di diritti extrapatrimoniali sul dato stesso. Si potrà, peraltro, distinguere tra vari modelli economici fondati, a vario titolo, sulla commodification della privacy: lo schema servizi contro dati; il pay for privacy model (ovvero la fornitura di servizi “a valor aggiunto”, remunerati perché più garantisti sotto il profilo della privacy); la remunerazione patrimoniale della corresponsione di dati forniti a vari scopi (la monetizzazione in senso stretto).

Ciò che è certo è che bisogna avere chiara la posta in gioco. In assenza di un controllo effettivo sull’assenza di coartazione del consenso, infatti, si rischia di legittimare lo sfruttamento delle condizioni di fragilità (non solo economica ma anche cognitiva) che possono caratterizzare alcuni ceti sociali. In questo senso, l’applicazione sinergica del Regolamento 2016/679 e della disciplina consumeristica non può che comportare l’attrazione delle transazioni servizi-contro-dati in un regime del tutto peculiare, caratterizzato peraltro dalla strutturale precarietà del vincolo (dovendo l’interessato potere sempre revocare l’autorizzazione1 al trattamento) e dall’azionabilità dei diritti di cui agli artt. da 15 a 22 del Regolamento 2016/679.

Al fine di evitare dubbi interpretativi, si potrebbe pertanto inserire, al comma 1-bis dell’art 46, introdotto dall’art.1, c.10, del decreto, una clausola di salvaguardia rispetto alla disciplina dettata dal Regolamento Ue 2016/679 e dal d.lgs. 196 del 2003 e s.m.i. (fonte che andrebbe richiamata anche al comma 3-bis dell’art. 56 del codice del consumo introdotto dall’art. 1, c.19). In tal modo, il coordinamento sistematico nell’interpretazione e nell’applicazione delle due discipline sarebbe più certo. Analogamente, andrebbero richiamate le garanzie di cui all’art. 22 del Regolamento Ue 2016/679 rispetto alla previsione, di cui all’art. 49, c.1-bis, introdotto dall’art.1, comma 13, della possibilità di personalizzazione del prezzo mediante un procedimento automatizzato.

Al di là di queste suggestioni, che consentono di meglio contestualizzare l’oggetto del decreto, esso potrebbe peraltro, compatibilmente con i limiti della delega, disciplinare le forme della cooperazione tra Garante e Agcm2, con una disciplina speciale rispetto alla previsione di cui all’articolo 27, c.1-bis, del codice del consumo.

Tale cooperazione (auspicata anche dal Garante europeo per la protezione dati), necessaria ogniqualvolta illeciti consumeristici sottendano anche trattamenti illeciti di dati personali, è ancor più opportuna alla luce delle interrelazioni, tra i due plessi normativi, favorite dal recepimento della direttiva. L’obiettivo dovrebbe, dunque, essere, la realizzazione di un’effettiva convergenza tra tutele consumeristiche e rimedi privacy, pur con il limite della sovraqualificazione della fattispecie. In tal senso, del resto, sovviene la sentenza del 29 marzo 2021, n. 2630 della VI Sezione del Consiglio di Stato, secondo cui “Nemmeno sussisterebbe la ravvisata sovrapponibilità del regime sanzionatorio tra i due settori, avendo ad oggetto il primo la violazione delle regole di trattamento dei dati personali […] ed il secondo il condizionamento della consapevolezza dell’utente che per ottenere benefici illustrati come gratuiti deve cedere dati personali che non saranno utilizzati esclusivamente per ottenere i servizi ai quali aspira, ma costituiranno uno strumento di profilazione dell’utente a fini commerciali, in assenza di una adeguata e preventiva informazione del consumatore”. Infatti, secondo il giudice amministrativo, ““ferma (…) la riconosciuta ‘centralità’ della disciplina discendente dal GDPR e dai Codici della privacy adottati dai Paesi membri in materia di tutela di ogni strumento di sfruttamento dei dati personali, deve comunque ritenersi che allorquando il trattamento investa e coinvolga comportamenti e situazioni disciplinate da altre fonti giuridiche a tutela di altri valori e interessi (altrettanto rilevanti quanto la tutela del dato riferibile alla persona fisica), l’ordinamento – unionale prima e interno poi – non può permettere che alcuna espropriazione applicativa di altre discipline di settore, quale è quella, per il caso che qui interessa, della tutela del consumatore, riduca le tutele garantite alle persone fisiche”.

Di qui l’esigenza di “garantire “tutele multilivello” che possano amplificare il livello di garanzia dei diritti delle persone fisiche in queste fattispecie.

In tale prospettiva, al fine di consentire un opportuno coordinamento tra le valutazioni, per i profili di rispettiva competenza, delle due Autorità coinvolte (Agcm e Garante), si potrebbero ipotizzare alcune procedure di raccordo utili a consentire l’innesto, nell’ambito del procedimento principale o comunque precedentemente avviato, di un accertamento incidentale, con eventuale esito prescrittivo, o anche solo di una mera pronuncia consultiva da parte dell’altra Autorità.

Si potrebbe, ad esempio, prevedere il parere obbligatorio del Garante sulla sussistenza di violazioni della disciplina di protezione dati nell’ambito dell’istruttoria Agcm sulla legittimità - a fini consumeristici e/o concorrenziali – della condotta del professionista. Il parere dovrebbe essere reso, naturalmente, in tempi particolarmente celeri. Si potrebbe anche prevedere l’instaurazione incidentale, su segnalazione appunto dell’Agcm, di un’autonoma istruttoria del Garante da concludersi, in tempi contratti, con provvedimento decisorio, dal contenuto anche prescrittivo, di cui possa tenere conto anche l’altra Autorità.

Inoltre, si potrebbe prevedere l’imposizione, da parte del Garante, di condizioni di trattamento e garanzie di tutela dei dati quali presupposti necessari per la realizzazione di transazioni fondate sullo scambio di dati contro servizi, così da assicurare, già in fase preventiva, una opportuna convergenza dei profili consumeristici e di protezione dati.

Ecco, dunque, che la direzione della massimizzazione delle garanzie e della convergenza dei rimedi privacy e di quelli consumeristici può rappresentare la chiave di volta per governare l’economia delle piattaforme, coniugandone esigenza di sviluppo e tutela della persona.

 

_____

(1) Così definita nel parere EPDS 8/2018.

(2) Del tema della ripartizione di competenze tra Autorità di protezione dati e Autorità garanti della concorrenza si occupa peraltro la causa C 252/21 dinanzi alla Corte di giustizia.

Scheda

Doc-Web
9843160
Data
10/01/23

Tipologie

Audizioni e memorie