Servizi internet a pagamento
A cura di Giovanni Crea
Il trattamento di dati personali ‘ulteriore’ a quello necessario per la fruizione di un servizio on line (es., accesso a un sito internet) è soggetto al consenso dell’utente-interessato previsto dall’art. 5.3, primo periodo, della direttiva e-privacy . Il consenso dovrebbe derivare da un interesse della persona cui i dati si riferiscono per le finalità di tale ulteriore trattamento (es., ricevere pubblicità durante la navigazione).
La Direttiva (UE) 2019/770, che disciplina alcuni aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali riconosce lo scambio “servizio-dati”; nella prospettiva di tale direttiva il consenso – che si riferisce a una controprestazione in dati personali – è elemento strutturale del contratto.
Premesso che in caso di conflitto tra la Direttiva (UE) 2019/770 e il Regolamento(UE) 2016/679 (GDPR) prevale quest’ultimo, per essere considerato ‘libero’ ai sensi di tale regolamento, il consenso all’ulteriore trattamento non deve essere ‘obbligato’, ad esempio, ponendolo come condizione per l’accesso al servizio.
Come emerge dalle linee guida dell’EDPB , il gestore del sito (titolare del trattamento) deve prevedere un’alternativa con caratteristiche tali che l’eventuale scelta di rilasciare il consenso possa considerarsi libera. Sotto un altro profilo – invero non affrontato dall’EDPB – l’alternativa al consenso può essere portatrice di un diritto fondamentale; in tale evenienza, il diritto alla protezione dei dati personali – di cui, nel caso di specie, il “consenso libero” è espressione – deve trovare un equilibrio con la predetta alternativa. Per questo motivo la controprestazione monetaria, essendo espressione della “libertà d’impresa” riconosciuta dalla Carta dei diritti fondamentali dell’Ue all’art. 16, di per sé non integra una violazione del GDPR con riguardo alle condizioni di validità del consenso.
Peraltro, in quanto alternativa al consenso, il pagamento in moneta descrive uno schema diverso dal cookie wall che, invece, non prevede alcuna alternativa, e che, come indica l’art. 7.4, gdpr, va tenuto nella massima considerazione ai fini della valutazione della libertà del consenso.
Va da sé che, in una prospettiva di bilanciamento degli interessi, la controprestazione monetaria non deve essere sproporzionata rispetto al servizio offerto, tale da far ripiegare l’interessato su un consenso che, con tutta probabilità, rifletterebbe una scelta non libera.
- Ad es., con riguardo ai quotidiani on line, il prezzo praticato all’edicola potrebbe essere un utile riferimento per la fissazione del prezzo on line. Sicché, se il prezzo on line è uguale o anche inferiore al prezzo all’edicola si potrebbe ragionevolmente concludere che l’eventuale ripiego dell’interessato sul consenso sia espressione di una scelta libera.
[1] Cfr. Direttiva 2002/58/CE come modificata dalla Direttiva 2009/136/CE, in GUUE L 337, 18 dicembre 2009, p. 11 ss.
[2] Cfr. Direttiva (UE) 2019/770, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali, in GUUE, L136, 22 maggio 2019, p.1 ss.
[3] Cfr. EDPB, Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679, 4 maggio 2020.
[4] Al riguardo, si rinvia al quarto considerando del GDPR secondo il quale il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Lo stesso considerando afferma che il GDPR rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta dei diritti fondamentali dell’UE, sanciti dai trattati, tra cui la libertà d’impresa.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
Giovanni Crea
Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.
Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” presso Master Universitari e Corsi specialistici.
RIFLESSIONI SULLA NATURA DI ESSENTIAL FACILITIES DEI DATI PERSONALI
A cura di Giovanni Crea
L’esperienza dell’offerta di servizi attraverso internet (comprese le app) ha messo in luce come il loro consumo venga inevitabilmente codificato in dati (es., google maps) e come tali dati siano oggetto di trattamenti effettuati per finalità sia ‘tecniche’ – legate, cioè, alla fornitura e fruizione del servizio – sia di interesse economico del titolare del trattamento.
Con riguardo a quest’ultimo profilo, la disponibilità di grandi masse di dati (big data) rende possibile costruire profili degli utenti-interessati su cui ritagliare i propri servizi ovvero – spostandoci sul versante della raccolta pubblicitaria – per vendere spazi pubblicitari agli inserzionisti consentendo a questi di proporre a livello individuale i loro prodotti e servizi.
I mercati dei servizi internet, dunque, sono data intensive, e le posizioni dominanti che in essi si formano trovano nei dati personali una lèva essenziale [1] la cui replicabilità non è scontata in quanto riguardano i clienti dei provider e che gli stessi provider tendono a non diffondere per ragioni di vantaggio competitivo [2].
Questa prospettiva apre all’ipotesi della natura di essential facilities dei dati personali raccolti nei mercati di internet; profilo che, secondo la dottrina antitrust, è un elemento qualificante della posizione dominante, e la cui inibizione a potenziali concorrenti, da parte dei titolari, prefigura un abuso di tale posizione vietato dall’art. 102 TFUE.
Nel caso Google-Hoda [3], in cui ricorre l’ipotesi di ostacoli, da parte del motore di ricerca, alla portabilità dei dati – e dunque, in definitiva, all’accesso/trasferimento a favore di Hoda – l’Agcm sottolinea la valenza pro-concorrenziale di tale istituto, lasciando intendere come tali dati possano essere inquadrati nella categoria delle “risorse essenziali”.
Se i dati personali, descrittivi delle abitudini di consumo di beni e servizi forniti da un’impresa, fossero facilmente replicabili, la violazione dell’art. 20 del GDPR rileverebbe per il solo profilo di mancato esercizio di un diritto degli interessati e non anche per gli aspetti antitrust.
[1] Cfr. Agcm, Provvedimento n. 28051, Big Data, in Boll., n. 9/2020, 13 ss.
[2] Cfr. Agcm, Provvedimento n. 19140, Sfruttamento di informazioni commerciali privilegiate, in Boll., n. 47/2008, 5 ss.
[3] Cfr. Agcm, Provvedimento n. 30215, Google-ostacoli alla portabilità dei dati, in Boll., n. 27/2022, 83 ss.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
Giovanni Crea
Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.
Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” presso Master Universitari e Corsi specialistici.