In California i dati personali sono fonte di reddito

I dati personali sono l’oro del futuro. Sono un bene non rivale, che generiamo senza investimenti, senza limiti di razza, genere, censo. Sono un reddito di cittadinanza, nel senso autentico del termine, in quanto incondizionato, universale, di cui godiamo dalla nascita alla morte[1].

Sono un bene, però, di cui per il momento stanno godendo i frutti solo i fornitori di servizi della società dell’informazione. Scambiato su mercati “nascosti”, per partite che, ne sono certo, valgono già oggi nel loro complesso decine di miliardi di dollari e, in un prossimo futuro, addirittura somme per maggiori ordini di grandezza (si veda parere del Garante europeo del 17 marzo 2017 – Opinion 4/2017 on the Proposal for a Directive on certain aspects concerning contracts for the supply of digital content).

Pur questa essendo la prospettiva prossima, il GDPR, fortemente – e giustamente aggiungo – condizionato dalla cultura giuridica europea votata innanzi tutto alla tutela dei dati personali come diritto fondamentale dell’individuo, non ha mai voluto trattare il tema della loro patrimonializzazione, temendo forse di scadere nella loro mercificazione.

La nuova legge della California.

La nuova legge sulla privacy dello stato della California (di cui lo studio statunitense Venable ha fatto una comoda sintesi), probabilmente ispirata dalla prospettiva tipicamente mercatista degli USA, entrerà in vigore a gennaio del 2020 e contiene degli spunti interessanti su come, oltre oceano, approcciano il tema del trattamento dei dati personali (che lì definiscono, personal information) e in particolare la questione della loro commercializzazione.

Innanzi tutto il California Consumer Privacy Act (2018/AB 375 – CCPA) già nel delimitare l’ambito di sua applicazione (CCPA 1798.140(c)), punta il dito sui soggetti for-profit che possiedono uno o più dei seguenti requisiti:

utile lordo superiore a 25 milioni l’anno, oppure
compra, riceve, vende o condivide ogni anno informazioni personali di almeno 50.000 persone (o loro device), oppure;
ottiene almeno il 50% dei propri profitti dalla vendita di informazioni personali.

Come si vede, il CCPA manifesta la sua preoccupazione non tanto verso i soggetti che trattano dati personali, ma verso coloro che lo fanno a fini di lucro, e soprattutto allorché il trattamento consiste nel comprare e vendere dati.

Do not sell my data.

Corollario dell’impostazione negoziale del CCPA, è il riconoscimento al soggetto interessato (definito consumer) di un particolare diritto di opt-out, ovvero quello di vietare al titolare la vendita dei suoi dati personali a terzi. Addirittura, il titolare deve pubblicare un pulsante (link) sul proprio sito web titolato «Do Not Sell My Personal Information», a cui segue una semplice procedura di blocco del trattamento.

La portata di questa disposizione (CCPA 1798.120, 1798.135) è enorme. La facilità e gratuità di esercizio di tale diritto è tale che sarà la chiave di volta di un mercato dei dati personali che vedrà finalmente condividere con i soggetti interessati parte degli enormi profitti conseguiti dai titolari.

Infatti, l’unico modo che i titolari avranno per garantirsi un ritorno dall’investimento di raccolta dei dati personali, sarà quello di allettare i soggetti interessati con beni e servizi concessi solo a condizione che non sia revocato il consenso alla commercializzazione. Altri soggetti, che non forniscono beni o servizi, ma il cui business è solo quello della compravendita di dati personali (c.d. data transfer model, si veda per esempio Datacoup), dovranno invece convincere i consumatori con offerte di denaro. Ed ecco che siamo nel pieno di un contratto oneroso di scambio di denaro contro dati personali.

E nel vecchio continente?

Il tema della dimensione negoziale dei dati personali era già stato traguardato da Stefano Rodotà oltre venti anni fa quando scriveva: «Io credo che noi dobbiamo lavorare molto nella dimensione negoziale, non ho nessun dubbio. Negoziale vuol dire per esempio: il consenso può essere oneroso, può essere condizionato, può essere a termine? Io come risposta generale direi di sì, e perché no?»[2]

Si potrebbe addirittura andare oltre: il consenso è atto di disposizione di diritti patrimoniali? Siamo cioè all’interno di un rapporto obbligatorio di matrice meramente contrattuale? E se sì, può tale atto dispositivo conciliarsi con la natura assoluta e irrinunciabile dei diritti fondamentali?

L’art. 4, punto 11, del GDPR, non diversamente dal precedente art. 23 del Codice Privacy (D.Lgs. 196/2003), dispone che «Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13».

Ebbene, a differenza del Garante per la protezione dei dati personali (in «Linee Guida in materia di attività promozionale e contrasto allo spam» del 4 luglio 2013 [doc. web n. 2542348]), la Suprema Corte (Cass., Sez. I Civ., 2 luglio 2018, n.17278, già commentata in questa rivista) ha interpretato quel «liberamente e specificamente» in senso non ostativo all’instaurazione di un rapporto sinallagmatico tra servizio e dati personali, purché il servizio sia fungibile e rinunciabile.

Quindi, anche nel nostro ordinamento una prima e timida apertura al concetto di dato personale come asset disponibile in senso negoziale è stata fatta e si affaccia l’idea che la protezione del dato è sì un diritto fondamentale, ma sui generis. Disponibile, ma non rinunciabile; quindi negoziabile, ma pur sempre soggetto a “ripensamento” del soggetto interessato. In tale prospettiva, i contratti aventi ad oggetto dati personali (rectius, il diritto del titolare di disporre dei dati in qualunque modo e per qualunque fine) sarebbero sempre soggetti a recesso ad nutum dell’interessato, nonché all’esercizio da parte di quest’ultimo degli altri diritti di cui agli artt. 15 e ss. GDPR.

Conclusioni.

Si sta sviluppando sotto i nostri occhi una nuova personal data economy e forse, come sostiene un autore (V. Ricciuti, La patrimonializzazione dei dati personali. Contratto e mercato nella ricostruzione del fenomeno, in Dir. Inf. 2018, 689) occorre «prendere atto che l’idea di privacy che discende dal modello comunitario è un quid novi, che il dibattito sull’indisponibilità dei diritti della personalità appare superato ed obsoleto» e che quindi serve fare i conti con la prospettiva economica dell’istituto.

I dati personali sono e saranno sempre di più oggetto di compravendita non solo tra operatori del mercato, ma tra operatori e soggetti interessati. Si tratta quindi di un bene il cui diritto alla protezione deve conciliarsi con le esigenze e le dinamiche del mercato, una sorta di diritto fondamentale attenuato, nel senso che il suo oggetto (il dato personale) è bene disponibile e negoziabile, ma al tempo soggetto a regole imperative che prevalgono sul rapporto contrattuale di disposizione, limitandolo. In altri termini, si può disporre dei propri dati personali in ambito negoziale, ma fatti sempre salvi i diritti di revoca del consenso e gli altri diritti di accesso, rettifica, portabilità, oblio, ecc.

Su tutti questi, a mio avviso, si imporrà come leva fondamentale di riequilibrio del mercato (a favore del “proprietario” del dato), il diritto di blocco della vendita, sul modello della legge californiana.