Il 2022 sarà portatore di novità in tema privacy e trattamento dei dati personali. Il governo italiano, infatti, ha in cantiere un decreto legislativo che supererà gli ostacoli legati al trattamento dei dati personali dell’utente e ne autorizzerà l’utilizzo per ultimare eventuali movimenti o pagamenti digitali in ambito di e-commerce. Vediamo in che modo si muoverà la normativa.

I dati personali sono le nuove valute! Foto, e-mail e geolocalizzazioni varie sembra che, a partire dal 2022, potranno essere ammessi come moneta effettiva per ultimare acquisti in diversi settori dell’e-commerce come software, programmi, applicazioni o servizi digitali in generale. Verrebbe archiviata, quindi, la disciplina sulla tutela della privacy per consentire l’attuazione della direttiva 2019/770/UE.

Il parlamento italiano sembra che abbia sotto esame (in via preliminare) un decreto legislativo in ottemperanza della suddetta direttiva europea che potrebbe entrare il vigore a partire dal prossimo gennaio 2022. Ma non si tratta solamente di svincolare i dati personali dalle maglie del Garante della Privacy (GDPR), quanto anche di regolamentare il mercato per l’e-commerce e per gli acquisti ad esso legati. 

E-commerce e privacy: la rivoluzione della direttiva europea per i dati personali

La direttiva europea 2019/770 sopracitata va a tutelare non solo la privacy e i diritti dell’“acquirente digitale”, ma contempla anche che i dati personali del consumatore possano essere utilizzati come corrispettivo per ottenere – vale a dire acquistare – beni e servizi digitali. Questo modello di e-commerce non è una novità, anzi, da diverso tempo è alla base di molti business miliardari diffusi in tutto il mondo.

Fino ad ora tale consuetudine non era stata disciplinata dal legislatore che, adesso, supera la trattazione dei dati personali come soggetti a diritto della personalità e va invece a riconoscerli e considerarli alla stregua del denaro, dotati intrinsecamente di un valore commerciale e che possono, pertanto, essere utilizzati per pagare "merce" (nello specifico, prodotti digitali acquistati sui canali di e-commerce).

Dati personali, privacy ed e-commerce: il precedente tra Facebook e il Tar del Lazio

Un pratico approccio simile si era già visto nel 2020 quando il Tar del Lazio aveva notificato a Facebook una multa contro l’utilizzo illecito dei dati personali dei propri utenti, riconoscendo che questi avessero un effettivo valore economico.

La sentenza si basava sul fatto che, nel momento in cui Facebook dichiarava che i suoi servizi fossero gratuiti ma poi andava ad utilizzare i dati personali dei propri users a fini economico-commerciali, allora esso andava a ledere direttamente la privacy degli utenti.

La condanna da parte dell’antitrust per comunicazione ingannevole e furto di dati personali è stata aggravata anche da una ricerca di mercato che stimava che il social network di Mark Zuckerberg normalmente guadagni per ogni utente circa 16-18 dollari al mese!

Nel video YouTube sottostante, l’avvocato Stefano Nardini cita proprio l’episodio che ha coinvolto Facebook nel 2020 e ci parla di come in passato una grande quantità di dati personali provenienti dai social network, siano stati diffusi sul web senza il consenso degli utenti (in aperta lesione della loro privacy) per la vendita di spazi pubblicitari altamente profilati, per scopi di propaganda politica e così via.

E-commerce e tutela della privacy: come calcolare il valore di mercato dei dati personali

Nonostante si stia percorrendo la strada legislativa per il riconoscimento dei dati personali come vera e propria valuta di scambio per l’acquisto dei servizi digitali, lo step precedente dovrebbe essere quello di capire innanzitutto come calcolare il valore reale di tali dati.

La questione è molto complicata perché introdurrebbe un discorso relativo all’effettivo valore di mercato delle informazioni personali del consumatore, oltre che il paragone tra le capacità di spesa di un utente rispetto ad un altro in relazione al valore dei corrispettivi dati personali. Ciò comporterebbe, poi, arrivare a considerare i dati personali come vera e propria "merce", quindi vendibile alla stregua di un qualsiasi prodotto da e-commerce.

Privacy e dati personali sul mercato: come si sta muovendo l’Europa e l’Italia

Da un punto di vista giuridico una gestione simile dei dati personali lederebbe la privacy e la dignità della persona, ma da quello pragmatico è impossibile non riconosce il valore economico dei dati personali che sono già soggetti ad acquisto e vendita, non solo nell’ambito dell’e-commerce ma anche in diversi ambienti e settori economici mondiali. Ma come si sta muovendo l’Italia e l’Europa tutta al riguardo?

La direttiva europea 2019/770 sdogana il pagamento di beni digitali tramite i dati personali del consumatore, ma cosa si intende nello specifico? I dati personali vengono accettati come vera e propria "moneta" per l’acquisto di prodotti e servizi digitali quali applicazioni, software, programmi informatici, contenuti digitali o prodotti di e-commerce. 

Tale normativa, focalizzata sui dati personali in ambito di e-commerce, è stata inoltre approvata dal governo italiano che lo scorso 29 luglio 2021 ha abbozzato un decreto legislativo (attualmente in esame in parlamento) che ha l’obiettivo di rendere valide in Italia – già dal 1° gennaio 2022 – le raccomandazioni trasmesse dal provvedimento europeo. 

Le intenzioni di Europa e Italia, pertanto, vanno a convergere in un'unica finalità, ovverosia: estendere la protezione della privacy del consumer digitale e, allo stesso tempo, creare un reticolato contrattuale che preveda come valuta e strumento di pagamento i dati personali dello stesso.

E-commerce e privacy: le evoluzioni del disegno legislativo italiano sui dati personali

L’ordinamento europeo e quello italiano prevedono, quindi, una legittimità della transazione commerciale di prodotti digitali non tanto tramite denaro ma con informazioni e dati personali relative alla persona fisica che sta effettuando l’acquisto. Sia la normativa EU che quella nazionale, inoltre, riguarderebbe non solo i consumatori ma anche i venditori dei beni e servizi di e-commerce.

Ma quali sono i prodotti digitali che verrebbero pagati con i dati personali dei consumatori? Al di là dei beni presenti sui consueti canali di e-commerce, la normativa fa riferimento a prodotti digitali come: file hosting, servizi in cloud o sui social media, applicazioni, programmi per la condivisione dei file o software, servizi per la creazione e archiviazione dati, giochi online, audio, video, e-book  e così via

E-commerce e privacy: i dettagli operativi della normativa europea sui dati personali

La legislazione in fase di ultimazione, oltre a trattare quelle che saranno le tutele destinate al consumatore in merito al bene (o servizio) da lui richiesto, si occupa di definire in che modalità avverranno gli scambi commerciali prodotto-dati personali che andrà oltre la classica transazione bene (digitale)-denaro e prevederà un modello contrattuale alternativo.

Al punto n. 24 della premessa alla direttiva 2019/770/UE possiamo leggere: «La fornitura di contenuti digitali o di servizi digitali spesso prevede che, quando non paga un prezzo, il consumatore fornisca dati personali all'operatore economico. Tali modelli commerciali sono utilizzati in diverse forme in una parte considerevole del mercato».

Questo dato di fatto sostanzialmente conferma come lo scambio tra beni e servizi digitali e dati personali sia ormai una consuetudine in ambito di e-commerce tra imprese e consumatori; conseguentemente la giurisprudenza ne prende atto e si limita a regolare il mercato di conseguenza.

Inoltre, sempre nel «considerando» n. 24, si va a delineare le finalità della direttiva europea che ha come obiettivo ultimo quello di dotare i consumatori (fornitori dei propri dati personali per le transazioni) dell’appropriata disciplina contrattuale per gestire questi «modelli commerciali».

Dati personali e privacy: la disciplina contrattuale prevista dalla direttiva europea per regolare l’e-commerce

Il provvedimento europeo ammette più modelli contrattuali leciti, ma vuole anche andare a proteggere il consumatore (inteso come "contraente debole") soprattutto in luogo dello specifico istituto che – sempre come riportato dalla premessa n. 24 – prevede che: «l'operatore economico fornisca, o si impegni a fornire, contenuto digitale o servizi digitali al consumatore» e «il consumatore fornisca, o si impegni a fornire, dati personali».

In particolare, tale dottrina contrattuale prevede uno scambio di dati personali – richiesti dall’operatore economico – in risposta alla cessione di un prodotto commerciale. La richiesta può avvenire in diversi momenti:

• Contestualmente alla chiusura del contratto.
• In un momento successivo, quando (ad esempio) il consumatore utilizzi il bene/servizio digitale e quindi l’operatore gli richieda la trasmissione dei propri dati personali.

In entrambi i casi i dati personali non esistono ancora come moneta di scambio, ma vengono creati nel momento in cui avviene interazione tra il consumatore e il bene digitale stesso. Alcuni esempi di dati personali che diventano "mezzo" per il pagamento possono essere:

• Nome e indirizzo e-mail forniti dall’utente nel momento di creazione di un profilo su un sito o sui social network.
• Materiale multimediale caricato online e che contiene dati personali (fotografie, video, post con geolocalizzazioni) a cui l’utente ha già dato autorizzazione per l’utilizzo a fini commerciali.

E-commerce e privacy: le tutele giuridiche previste dal decreto legislativo italiano per proteggere i dati personali dei consumatori digitali

Il disegno del decreto legislativo italiano è finalizzato alla tutela della privacy degli utenti che fruiscono di servizi digitali e contemporaneamente forniscono i loro dati personali al professionista commerciale. Ma la normativa nazionale prevede una tutela anche per l’ipotesi di transazione commerciale beni digitali-pagamento tramite dati personali che viene ormai considerata lecita perché non interpretata come «vendita di dati personali contro un prezzo».

Il «considerando» n. 24 della direttiva 2019/770/UE si premura, inoltre, a specificare che i dati personali siano da tutelare e che non possano essere considerati "merce" da poter essere venduta, quanto piuttosto come "corrispettivo" che possiede un valore commerciale applicabile alle moderne dinamiche di e-commerce. In quest’ottica risulta, quindi, fondamentale pensare a calcolare il valore economico dei dati personali a partire (ad esempio) dall’ammontare dei loro ricavi.

Un approccio al trattamento dei dati personali così concreto appare certamente rivoluzionario e mostra prospettive molto innovative sia sul fronte della legislazione sulla privacy sia su quello relativo all’e-commerce e fa ben sperare in scenari di mercato digitale futuri non troppo distanti.