Sei sulla pagina 1di 31

RIVISTA TRIMESTRALE DI DIRITTO E PROCEDURA CIVILE

ISSNN0391-1896
AnnoNLXXIINFasc.N2N-N2018

GiorgioNRestaN-NVincenzoNZeno-Zencovich

VOLONTÀ E CONSENSO NELLA


FRUIZIONE DEI SERVIZI IN RETE

Estratto

MilanoN•NGiuffrèNEditore
I SEMINARI DELLA RIVISTA

Pubblichiamo le relazioni svolte alla XXIX giornata di studio della


rivista, tenuta in Bologna il 15 dicembre 2017, su « L’influenza del web
nelle categorie giuridiche ».

GIORGIO RESTA - VINCENZO ZENO-ZENCOVICH


Ordinari dell’Università Roma Tre

Volontà e consenso nella fruizione


dei servizi in rete (*)

SOMMARIO: 1. L’accesso. — 2. I servizi sulla rete. — 3. Quale configurazione giuridica?


a) La sinallagmaticità dei rapporti; b) La tesi della « obbligazione naturale »; c) Il
problema della « intenzione di creare un rapporto giuridico ». — 4. I « consumatori
di dati ». — 5. La proposta di direttiva sulla fornitura di « contenuti digitali ». —
6. La intersezione con la disciplina della tutela dei dati personali. — 7. A cosa serve
un inquadramento contrattuale dei servizi digitali?

1. — Tutti, praticamente tutti i giorni e tutto il giorno, acce-


diamo alla rete pubblica di telecomunicazioni. Anche quando dor-
miamo o siamo assenti qualcuno dei molteplici terminali a nostra
disposizione (identificati con i nomi più svariati: smart-phone, i-
phone, tablet, kindle, pc, mac, ecc.) è connesso alla rete e « lavora
per noi ».
Il giurista, che non è diverso dalle altre persone, si chiede — per
curiosità, per deformazione mentale, per obbligo professionale —
quale sia la dimensione giuridica di tali rapporti, da quelli che gli

(*) Questo scritto è il frutto di una riflessione comune. Nella stesura finale, i
paragrafi da 5 a 7 sono di Giorgio Resta; i restanti di Vincenzo Zeno-Zencovich.
— 412 —

consentono di accedere, a tutti quelli che gli consentono di fruire dei


servizi che sulla rete vengono offerti (1).
Le persone adulte che dispongono di un reddito solitamente
hanno in corso un contratto con un operatore di rete che consente
di utilizzarla per la trasmissione di voce e di dati. Un contratto i cui
contenuti sono minuziosamente regolati da direttive comunitarie e
da provvedimenti dell’autorità nazionale di regolazione. Non ci
occuperemo di questi, se non per verificare se la loro tipologia e
disciplina possa essere estesa ad altre fattispecie.
Nel contempo, però, ci sono molteplici procedure di accesso alla
rete le quali non presuppongono un rapporto dotato di stabilità con
un operatore di rete, o, per essere più precisi, si presentano come un
rapporto fra un utente ed un ente, il quale ha, questo sì, un rapporto
contrattuale con un operatore di rete. I casi sono innumerevoli: i
passeggeri in attesa all’aeroporto o che si trovano sul treno, gli ospiti
di un albergo, gli utenti delle più varie strutture recettizie (bar,
ristoranti, stabilimenti balneari, centri commerciali) che si collegano
alla rete definita gergalmente wi-fi.
Le procedure sono le più svariate: talvolta attraverso la mera
digitazione di un username e di una password, che sono messi in
bella evidenza nel locale o nell’esercizio; talaltra attraverso una
registrazione che richiede la fornitura di dati, i quali potrebbero
essere anche riempiti a caso, tranne uno: il numero di telefono
mobile al quale viene inviata la password per poter accedere al
servizio.
Il giurista affezionato ad antiche e nobili figure si chiede se fra
chi offre il servizio di accesso e l’operatore della rete vi sia un
contratto a favore di terzi (gli utenti che accedono all’aeroporto, al
locale, al treno). E poi si pone una crux di tutti i sistemi giuridici: se
il servizio sia autonomo, oppure sia connesso ed accessorio ad un
rapporto più generale e principale, consistente nell’alloggio, la con-
sumazione, il trasporto, ecc.
Tutti abbiamo incontrato le variegate e anche fantasiose solu-
zioni per le infinite ipotesi che popolano il mondo reale: il cambio

(1) Il tema inizia a formare oggetto di attenta riflessione: v. JANAL, Fishing for an
Agreement: Data Access and the Notion of Contract, in LOHSSE-SCHULZE-STAUDENMAYER (a
cura di), Trading Data in the Digital Economy: Legal Concepts and Tools, Oxford-
Baden Baden, 2017, p. 271.
— 413 —

d’olio ogni tre pieni di benzina; un pallone omaggio per un carrello


di spesa pieno; parcheggio gratuito per i clienti del ristorante; i
« punti fedeltà », ecc. (2).
Peraltro, dal punto di vista pratico, la qualifica del rapporto di
connessione alla rete come accessorio ad un più generale contratto
è concettualmente tranquillizzante, perché lo colloca in un alveo
tradizionale, anche se poi l’utente insoddisfatto del servizio non se
ne fa nulla della ordinata qualificazione del giurista e si guarderà
bene dall’adire il giudice per chiedere i danni da inadempimento.
Tuttavia gli esempi appena fatti sono utili ad evidenziare due
aspetti:
— il primo è la connaturata tendenza a dare veste giuridica ai
rapporti di prestazione di servizio;
— il secondo è che il civilista (a differenza dello Stato fiscale e
del tributarista) non è particolarmente colpito dall’assenza di un
corrispettivo specifico per il servizio. Inserisce questo in un contesto
più ampio e vi applica le regole generali del contratto.
Si tratta di una ben nota path dependence del giurista, che
consente a quello nostrano di stabilire una feconda linea evolutiva
che dal diritto romano porta ai nostri giorni.

2. — Una volta che il soggetto abbia ottenuto — in vario modo,


ma, sembrerebbe, in un contesto contrattuale — la « connessione di
rete », i dubbi fioccano a bizzeffe.
Volendo fare delle partizioni sommarie, incontriamo una varietà
di servizi.
i. Il servizio che consente di ricercare sulla rete (il c.d.
browser).
ii. Il servizio di posta elettronica.
iii. Una piattaforma c.d. di social media attraverso la quale
l’utente comunica ed è il destinatario di comunicazioni.
iv. Siti di archiviazione (generalmente di materiali visivi o

(2) Il tema, com’è ovvio, ha un preminente interesse tributario ed ha formato


oggetto di ripetute decisioni delle sezioni unite volte a dirimere i contrasti insorti: v.
Cass., 29 aprile 1997, n. 3671 e Cass., 15 maggio 1997, n. 4318. Si tratta di questione
che agita anche i giuristi di common law e la loro nozione di contract. Si v. il caso di
scuola Esso Petroleum v. Commissioner of Customs, [HL] [1976] 1 All E. R. 117.
— 414 —

audiovisivi) per uso personale, per condivisione con una cerchia


ristretta, per la pubblica fruizione.
v. Siti che offrono servizi propri o di terze parti diversi da
quelli prima elencati.
La caratteristica di tutti questi servizi è quella di essere forniti
senza la richiesta di un corrispettivo monetario. Il che ha fatto
sostenere — per lungo tempo e chiudendo gli occhi alla realtà — che
si trattasse di servizi « gratuiti ». Addirittura c’è chi continua a usare
come slogan per gli allocchi che il proprio servizio « is free and will
always be ».
Tutto ciò denota una profonda misconoscenza (per dirla eufe-
misticamente) sia del diritto che dell’economia; o, tutt’al contrario,
una sottile conoscenza — ed una strumentale utilizzazione — del
modello contrattuale di common law, nel cui contesto molti di
questi servizi traggono origine, alla stregua del quale una promessa
« gratuita », ossia priva di una simmetrica controprestazione, non è
giuridicamente vincolante (il che è a dire che l’offerente attrae
clienti con la promessa della gratuità, ma alla resa dei conti rimane
libero di adempiere, non adempiere o recedere dal rapporto). Ma
torniamo alla sostanza delle cose.
Da un lato la storia del diritto, dai suoi albori al presente, ci
offre infiniti casi in cui il corrispettivo di una prestazione non ha una
natura monetaria, dalla permuta, al comodato (3), ai fringe bene-
fits (4). Dall’altro la teoria economica ci fornisce tutti gli strumenti
concettuali per distinguere fra attività effettivamente gratuite (tipi-
camente la beneficenza posta in essere da soggetti che non hanno
scopi di lucro) e attività poste in essere da una impresa per finalità
che non hanno un immediato ritorno monetario, ma che ne accre-
scono il valore (la pubblicità istituzionale, la distribuzione di cam-
pioni gratuiti, le attività benefiche).
La scienza economica ha poi indagato a fondo, negli ultimi
trent’anni, i c.d. « mercati a due versanti » in cui un intermediario
opera su entrambi i lati generando utilità per sé stesso e per le altre

(3) Si tratta dei non infrequenti casi in cui il contratto di comodato viene concluso
anche nell’interesse del comodante, istituto ben noto dai tempi di Giulio Paolo (Libro 29
Ad Edictum poi riprodotto nel Digesto XIII, VI).
(4) Questi ultimi qualificati come « retribuzione indiretta » da computarsi nel tfr:
v. Cass., 25 novembre 2004, n. 22264.
— 415 —

parti (5). L’esempio classico è quello delle radio e delle televisioni


commerciali che « vendono » agli inserzionisti pubblicitari il pub-
blico che esse riescono a conquistare con programmi di successo. In
questo modello di business l’ampliamento del parco degli utenti da
un lato del mercato aumenta simmetricamente il valore prodotto
nell’altro segmento di mercato, per via degli effetti di rete coinvolti;
pertanto è ben comprensibile che il ricorso alla tecnica della (appa-
rente) gratuità è uno strumento utilizzato al fine di attrarre un
maggior numero di clienti e dunque indirettamente incrementare il
rilievo economico della partecipazione al mercato dal lato dell’of-
ferta.
Discuteremo se con i clienti dei servizi on line, come già con la
massa indeterminata degli utenti dei servizi radiotelevisivi, si in-
staura un rapporto giuridico di natura privatistica. Ma non mette-
remo in dubbio che si tratti di operazione economica posta in essere
con il precipuo obiettivo di conseguire un lucro. Dovremo valutare
se essa debba essere inquadrata in uno schema giuridico, ed in
quale.
All’interno della tipologia di servizi che si è sopra sommaria-
mente elencata, vi è un ulteriore livello che, forse, pone i problemi
più complessi in termini sia teorici che pratici.
Nella fruizione di servizi in rete, sia al momento del primo
accesso che in séguito e quale condizione per la continuità della
fruizione, all’utente viene chiesto — ma talvolta neanche questo —
di accettare l’installazione sul proprio terminale, o sul sistema che
sta utilizzando, programmi informatici dalla più varia denomina-
zione (app, cookies); oppure programmi che gli consentono di
« aprire » allegati in una certa estensione digitale (word, pdf, excel,
ecc.); oppure che consentano di essere connessi o navigare con
maggiore sicurezza (gli anti-virus, accessi anonimi o in incognito).
Si incontrano diverse modalità di fruizione di questi programmi:
a) talvolta all’utente viene chiesto il consenso da esprimersi attra-
verso un click o per facta concludentia (di solito con la formula
« proseguendo nella navigazione accetti », ecc.); b) talaltra il mero
fatto di fruire di un servizio comporta, automaticamente, la instal-

(5) Per la formulazione che ha poi valso nel 2014 il Nobel per l’Economia al
secondo a. v. ROCHET-TIROLE, Platform Competition in Two Sided Markets, in 2003
Journal of the European Economic Association, 1(4), p. 990.
— 416 —

lazione di questi programmi; c) in altri casi la installazione (soprat-


tutto nel caso di aggiornamenti) è programmata e generalizzata;
l’utente viene avvertito che è in corso l’operazione alla quale non fa
in tempo ad opporsi; o che essa è già, nottetempo, avvenuta (6).

3. — Vanno fatte alcune preliminari precisazioni. Per quanto il


giurista possa essere convinto che il mondo non esisterebbe e non
potrebbe continuare ad esistere senza le regole che egli crea e
aggiorna, le cose non stanno esattamente così e anzi gran parte di ciò
che avviene su e fuori di questo pianeta prescinde totalmente dalla
sua hybris. E questo non solo con riguardo ai fenomeni naturali, al
mondo vegetale e animale, ma anche in larga misura alle condotte
umane. Non vi è dunque alcuna ragione trascendente o morale o
sistematica che impone di attribuire alla installazione di un cookie
una valenza giuridica. Le regole giuridiche servono — o dovrebbero
servire — là dove (e solo in quel caso) sia necessario regolare attività
umane che altrimenti darebbero luogo a conflitti non spontanea-
mente risolubili (se nel camminare urto una persona, chiedo scusa e
la questione si risolve lì).
a) La sinallagmaticità dei rapporti. Il primo punto che va
segnalato è che, in generale, i rapporti che si sono variamente
descritti hanno una natura sinallagmatica. A fronte del servizio di
cui fruisce, l’utente fornisce i propri dati (da quelli anagrafici,
all’indirizzo IP, alla propria localizzazione, al tempo di utilizzo, alle
« pagine » visitate, ecc). Questi dati — ed i « metadati » ad essi
associati — costituiscono un bene oggetto di relazioni economiche e
giuridiche. La circostanza che isolatamente abbiano un valore infi-
nitesimale — secondo alcune stime il valore medio quotidiano dei
dati personali ammonterebbe a circa un dollaro a persona (7) — è
irrilevante. Quel che conta è che un soggetto per ottenerli è disposto
a fornire servizi che comportano un costo. D’altronde è solo ben-

(6) Questo fenomeno sarà l’assoluta normalità nel mondo c.d. dell’Internet of
Things (IoT) nel quale sono gli oggetti (già oggi gran parte delle autovetture di lusso) a
trasmettere automaticamente dati in ordine alla loro posizione, al loro funzionamento,
all’ambiente circostante, ecc., senza alcun intervento umano che « acconsenta »: NOTO
LA DIEGA-WALDEN, Contracting for the « Internet of Things »: Looking into the Nest,
Queen Mary University, Legal Studies Research Paper, No. 219/2016.
(7) MALGIERI-CUSTERS, Pricing Privacy: The Right to Know the Value of Your
Personal Data, in Computer Law & Security Review, 34, 2018, pp. 289 ss., 294.
— 417 —

dandosi e chiudendosi in una stanza buia che non si vede che le più
grandi (in termini di capitalizzazione di borsa) società al mondo
sono data companies, come Google e Facebook. È davvero singolare
la tesi che vorrebbe che tale sterminata fortuna derivasse da opera-
zioni prive di rilievo giuridico-economico perché « gratuite ».
Piuttosto sorge il dubbio che la situazione si possa rovesciare:
sono gli utenti che forniscono un servizio (i dati) a determinate
imprese e vengono da questi remunerati con dei servizi digitali.
Posto che il valore sta nei dati (sub specie « Big Data »), la concor-
renza innovativa sta nel creare nuovi servizi che possano essere
considerati un corrispettivo per la loro cessione. Non ci sarebbe
dunque nulla di strano se una impresa versasse un contributo
monetario (ad es. sotto forma di uno sconto sul prezzo) all’utente
che le fornisce i dati.
A ciò si aggiunga la ulteriore considerazione che in molti casi la
corresponsione di dati va ben oltre il tempo della fruizione del
servizio. Se l’utente non provvede ad una periodica « ripulitura » dei
cookies, questi continueranno a fornire informazioni sul suo conto
senza che egli riceva alcunché in cambio (8).
b) La tesi della « obbligazione naturale ». Da talune parti si
sostiene che lo scambio servizi/dati rientrerebbe fra i molteplici
rapporti sociali privi di rilievo giuridico da collocare nel grande
contenitore delle obbligazioni naturali. L’ipotesi fa sorridere: pen-
sare di essere vicini di casa e intrattenere rapporti di cortesia con
Larry Page, Sergej Brin e Mark Zuckerberg può forse costituire la
versione giuridica dell’immaginario incontro tête-a-tête con l’attore
o l’attrice dei nostri sogni. Si può però dubitare che riesca a portarci
fuori da questa dimensione onirica.
Essa peraltro parte dalla constatazione corretta della patrimo-
nialità del rapporto, ma la sterilizza classificandola con una etichetta
nata e utilizzata per ben altre finalità.
Più nitido, invece, appare applicare l’altrettanto antica e anche
più ampia categoria dei rapporti di mero fatto, insucettibili di
produrre riflessi giuridici in capo ai soggetti, e di cui la vita quoti-

(8) Mette in luce la difficoltà delle procedure per rifiutare in maniera permanente
OPPENHEIMER, Internet Cookies: When is Permission Consent?, in Nebraska L. Rev., 85,
2006, p. 383, alla nota 23 (p. 389).
— 418 —

diana è costellata. Oppure inserirli all’interno di un rapporto esi-


stente di cui costituiscono atto esecutivo.
c) Il problema della « intenzione di creare un rapporto giuri-
dico ». In diversi, importanti, ordinamenti il sorgere di un contratto
richiede che le parti abbiano l’intenzione di porre in essere un
rapporto giuridico. Si viene qui ad uno dei punti centrali della teoria
dell’autonomia privata: che lo si chiami Wille nell’ordinamento
tedesco o intent in quelli di common law, esso funge da cartina di
tornasole per la attribuzione di un rilievo giuridico (9).
Ad applicare queste classiche figure del diritto privato le ipotesi
appaiono due:
i. il prestatore del servizio stabilisce (sia pure ben nascoste e
difficilmente accessibili) delle condizioni generali per l’uso, solita-
mente contenenti ogni sorta di eccezione e limitazione secondo uno
standard tipicamente statunitense. Da ciò si potrebbe inferire che il
prestatore è ben consapevole della natura giuridica del rapporto,
altrimenti non lo regolerebbe, sia pure unilateralmente;
ii. nulla viene detto o scritto da parte del prestatore, il quale
in tal modo vorrebbe configurare il rapporto come di mero fatto,
apparentemente abdicativo dei propri diritti sull’uso. Consapevole
che dal diritto possono derivare per lui solo obblighi e responsabi-
lità, mentre per la tutela erga omnes vale la ipertrofica disciplina
della proprietà intellettuale, tace. D’altronde l’utente non si pone
minimamente il problema se quando « clicca » su « consento »,
« accetto » o « I agree » stia entrando in una relazione giuridica.
Dunque anche da questo lato difetta il requisito della volontà (10).
Questa seconda prospettiva — la relazione di mero fatto — si
scontra però con alcuni fatti. A differenza della cessione senza
corrispettivo di un oggetto (si pensi alle infinite consegne promo-
zionali) nella quale vi è un definitivo e irreversibile trasferimento
della proprietà del bene, nel caso del programma questo è destinato
ad operare senza limiti di tempo sotto il controllo del prestatore, il
quale non solo trae da esso le utilità che sono la funzione economica

(9) Sul punto v. JANAL, Fishing for an Agreement: Data Access and the Notion of
Contract, cit., p. 273 ss.
(10) Nota HOFFMAN, From Promise to Form: How contracting Online Changes
Consumers, in N.Y.U. L. Rev., 91, 2016, p. 1595, che siamo ormai abituati a mentire
serialmente quando ci viene chiesto di confermare che abbiamo letto le condizioni
generali di contratto (a p. 1597).
— 419 —

della cessione (l’acquisizione di dati), ma può decidere se disatti-


varlo, modificarlo, sostituirlo (11). In termini concreti viene a porsi
in essere un rapporto di durata astrattamente illimitata. Non vi è
nessuna « abdicazione » (che consente al barbone di fare incetta di
quotidiani gratuiti per proteggersi dal freddo; al passante di gettare
nel più vicino cestino il campione di profumo a lui sgradito, ecc.)
che possa qualificarsi come uno actu perficitur, bensì l’attivazione di
una relazione duratura. Mero fatto? Contratto? Tertium genus? (12)
Di certo la enunciazione dei princìpi — ai quali certo non vogliamo
rinunciare — della volontà e del consenso non offre soluzioni
immediatamente applicabili.

4. — Si può ragionevolmente sostenere che i classici princìpi


della volontà e del consenso nei rapporti contrattuali hanno preso
una strada diversa nei rapporti fra imprese e consumatori fin da
quando, con la direttiva n. 314 del 1990 si è statuito che il contenuto
del contratto nei viaggi « tutto compreso » è determinato non solo
dal testo sottoscritto fra le parti, ma anche — in modo prevalente —
dalle comunicazioni pubblicitarie (ivi comprese le brochures) del
tour operator. Sicché il consensus in idem viene integrato da atti (o
fatti?) unilaterali giuridicamente vincolanti per una sola delle parti.
La asimmetria è stata poi accresciuta dalle varie forme di diritto
di recesso del consumatore e, più in generale, dalla determinazione
legislativa, regolamentare o amministrativa del contenuto delle pre-
stazioni del « professionista ».
Tutto ciò fa dubitare che nei rapporti fra impresa e utente nella
fornitura di servizi sulla rete possano applicarsi le pur secolari teorie
in ordine alle espressione della volontà negoziale e alla formazione
del consenso fra le parti.
Ciò peraltro richiede che si individui — operazione davvero non
semplice — quando il soggetto possa qualificarsi come « consuma-
tore » secondo il consolidato stilema comunitario. Si pensi solo alla
semplice ricerca di una informazione o all’accesso ad un sito poli-
funzionale, rispetto ai quali è praticamente impossibile stabilire se il

(11) CUSTERS, Click here to consent forever: Expiry dates for informed consent, in
Big Data & Society, 2016, p. 1.
(12) A favore di quest’ultima prospettiva v. JANAL, Fishing for an Agreement: Data
Access and the Notion of Contract, cit., p. 290 ss.
— 420 —

soggetto lo abbia fatto nella qualità di consumatore oppure in una


qualche veste professionale (13).
In concreto v’è da dubitare che, con riguardo alla prima delle
ipotesi, il mero « cliccare » su una icona (ed ancora meno la prose-
cuzione nella fruizione di un servizio) possa qualificarsi come ade-
sione ad un contratto offerto al pubblico. Del resto nessuno pense-
rebbe che entrando in una libreria e sfogliando un libro per capire di
cosa parla (sintomatico che il termine inglese, dove la pratica è
assolutamente comune, è « to browse ») sia tenuto ad acqui-
starlo (14).
In ogni caso non vi è dubbio che le condizioni generali di
contratto che si rinvengono nella maggior parte dei servizi digitali (a
cominciare dalle quattro grandi GAFA — Google, Apple, Facebook,
Amazon) siano radicalmente nulle ai sensi della disciplina consu-
meristica europea (15), trattandosi di sciatte traduzioni di testi
statunitensi, contestabili già in quell’ordinamento (16).

5. — Possiamo immaginare di trovare un qualche ausilio inter-


pretativo nella più recente normativa europea? Si può escludere,
innanzitutto, che qualche indice sistematico utile a costruire una
disciplina affidabile possa rinvenirsi nella direttiva n. 96/9/CE in
materia di tutela giuridica delle banche di dati. Benché a questo testo
si faccia spesso riferimento nell’àmbito del dibattito, da ultimo
riemerso in Germania, in merito alla configurabilità di un « diritto
sui dati » (tema illo tempore già ampiamente studiato dalla dottrina

(13) Su questo punto v. ad es. TWIGG-FLESNER, Disruptive Technology — Disrupted


Law? How the Digital Revolution Affects (Contract) Law, in DE FRANCESCHI (a cura di),
European Contract Law and the Digital Single Market. The Implications of the Digital
Revolution, Cambridge-Antwerp-Portland, 2016, p. 21 ss., pp. 34-36; nonché, tra le
tante, Corte di giustizia, 25 gennaio 2018, C-498/16, Schrems v. Facebook Ireland Ltd.
(14) Per una analisi di « behavioral economics » con riguardo all’atteggiamento
degli utenti rispetto alle varie richieste/imposizioni di consenso digitale v. le tabelle in
appendice a HOFFMAN, From Promise to Form: How Contracting Online Changes
Consumers, in N.Y.U. L. Rev., 91, 2016, p. 1595 (a p. 1645 ss.).
(15) Come accertato analiticamente dall’autorità garante della concorrenza e del
mercato nel caso « WhatsApp II » (CV154, del 12 maggio 2017). In precedenza v.
ZENO-ZENCOVICH-GIANNONE CODIGLIONE, Ten Legal Perspectives on the Big Data Revolu-
tion, in Concorrenza e Mercato, 23, 2016, p. 29 (alla p. 40 ss.).
(16) V. PRESTON, « Please Note: You Have Waived Everything »: Can Notice
Redeem Online Contracts?, in Am. U. L. Rev., 64, 2015, p. 535.
— 421 —

italiana e da quella francese) (17), il dispositivo giuridico di alloca-


zione del valore economico insito nella raccolta può dirci ben poco
in ordine al regime dei singoli dati (o gruppi di dati) in essa
inseriti (18). Nulla, in particolare, se ne può inferire in ordine ai due
profili per i nostri fini maggiormente rilevanti: a) quale tipo di diritto
può vantarsi in ordine al singolo dato o gruppo di dati; b) quale è il
modello di circolazione che governa il trasferimento dall’originario
titolare all’avente causa (19). Per inquadrare con maggior precisione
le due questioni appena formulate è necessario volgere lo sguardo ad
altri testi normativi, approvati o di prossima approvazione, più
direttamente incidenti sulla disciplina della circolazione, e dunque
sui rapporti « a monte » tra l’originario titolare del dato e il suo
utilizzatore professionale. I due più importanti compendi normativi
ai quali è opportuno fare riferimento sono da un lato la proposta di
direttiva sulla fornitura di contenuti digitali (20) e, dall’altro, il
regolamento generale sulla protezione dei dati personali.

(17) Su questo tema v., nell’àmbito di una copiosa letteratura, BECKER, Rights in
Data - Industry 4.0 and the IP Rights of the Future, in Zeitschrift für geistiges Eigentum,
9, 2017, p. 253; BERGER, Property Rights to Personal Data? An Exploration of Commer-
cial Data Law, in Zeitschrift für geistiges Eigentum, 9, 2017, p. 340; nonché i saggi
raccolti nel volume curato da LOHSSE-SCHULZE-STAUDENMAYER, Trading Data in the
Digital Economy: Legal Concepts and Tools, cit., ed in particolare gli scritti di HUGEN-
HOLTZ, Data Property in the System of Intellectual Property Law: Welcome Guest or
Misfit?, p. 75; e MEZZANOTTE, Access to Data: The Role of Consent and the Licensing
Scheme, p. 159; GUTWIRTH-GONZÁLEZ FUSTER, L’éternel retour de la propriété des données:
de l’insistance d’un mot d’ordre, in DEGRAVE-DE TERWANGNE-DUSOLLIER-QUECK (a cura di),
Law, norms and freedoms in cyberspace - Liber amicorum Yves Poullet, Bruxelles 2018,
p. 117 ss.; STROWEL, Les données: des ressources en quête de propriété. Regards sur
quelques développements récents en droit européen, ivi, p. 251 ss.
(18) V. in particolare, sul rilievo della direttiva sulle banche di dati in ordine al
dibattito sulla protezione del valore economico dei dati, ZECH, Data as a Tradeable
Commodity, in DE FRANCESCHI (a cura di), European Contract Law and the Digital Single
Market. The Implications of the Digital Revolution, Cambridge-Antwerp-Portland,
2016, p. 51, spec. pp. 69-74; LEISTNER, Big Data and the EU Database Directive
96/9/EC: Current Law and Potential for Reform, in LOHSSE-SCHULZE-STAUDENMAYER (a
cura di), Trading Data in the Digital Economy: Legal Concepts and Tools, cit., p. 27;
HUGENHOLTZ, Data Property in the System of Intellectual Property Law: Welcome Guest
or Misfit?, cit., spec. p. 85 ss.
(19) Circa il suddetto duplice livello di valutazione v. già ZENO-ZENCOVICH, I diritti
della personalità dopo la legge sulla tutela dei dati personali, in Stud. jur., 1997, p. 466.
(20) Proposal for a Directive of the European Parliament and the Council on the
aspects concerning contracts for the supply of digital content, COM(2015) 634 final. Per
una prima introduzione ai contenuti della proposta v. SPINDLER, Verträge über digitale
Inhalte - Anwendungsbereich und Ansätze - Vorschlag der EU-Kommission zu einer
— 422 —

La proposta di direttiva si connota per un approccio dichiara-


tamente realistico. Essa non ignora, ed è questo uno dei suoi pregi
più evidenti, l’evoluzione dei rapporti di mercato e lo straordinario
valore che i dati personali hanno assunto nel contesto dell’economia
dell’informazione (21). In particolare, essa muove dalla constata-
zione che in vasti segmenti di mercato, e in particolare in presenza
di mercati « a più dimensioni » (22), la logica della gratuità ha una
profonda razionalità economica: non è certo per spirito di liberalità
o per disinteressata generosità che molti servizi, che pure hanno un
costo economico, sono offerti for free; la realtà è invece che essi sono
remunerati adeguatamente — sebbene in maniera alquanto opaca —
attraverso il flusso dei dati personali connesso alla singola transi-
zione o alla serie di transazioni rese possibili dall’attivazione del
servizio. Di qui l’esigenza di sottoporre tali rapporti ad una disci-
plina non divergente da quella ordinaria, in particolare per quanto
concerne i profili di tutela del consumatore. Questo è il senso del
comma 1º dell’art. 3, ove si stabilisce l’applicabilità della direttiva ai
« contratti in cui il fornitore fornisce contenuto digitale al consuma-
tore, o si impegna a farlo, e in cambio del quale il consumatore
corrisponde un prezzo oppure fornisce attivamente una contropre-

Richtlinie über Verträge zur Bereitstellung digitaler Inhalte, in MMR, 2016, p. 147; DE
FRANCESCHI, European Contract Law and the Digital Single Market: Current Issues and
New Perspectives, in DE FRANCESCHI (a cura di), European Contract Law and the Digital
Single Market. The Implications of the Digital Revolution, cit., p. 1, pp. 8-11; SCHULZE,
Supply of Digital Content. A New Challenge for European Contract Law, ivi, p. 127 ss.;
nonché lo Statement (critico) dell’European Law Institute (2016) disponibile alla pagina
https://www.europeanlawinstitute.eu/fileadmin/user_upload/peli/Publications/ELI_
Statement_on_DCD.pdf.
(21) Su questo punto, tra i molti, v. METZGER, Dienst Gegen Daten: Ein Synal-
lagmatischer Vertrag, in AcP, 2016, p. 818; ZECH, Data as a Tradeable Commodity, cit.,
p. 51 ss.; WANDTKE, Ökonomischer Wert von Persönlichen Daten. Diskussion des
« Warencharakters » von Daten aus persönlichkeits- und urheberrechtlicehr Sicht, in
Multimedia und Recht, 2017, p. 6; BISGES, Personendaten, Wertzuordnung und Ökono-
mie. Kein Vergütungsanspruch Betroffener für die Nutzung von Personendaten, ivi,
2017, p. 301 ss.; LANGHANKE-SCHMIDT-KESSEL, Consumer Data as Consideration, in
EuCML, 2015, p. 218.
(22) Il riferimento è alla ricca elaborazione della scienza economica in tema di
piattaforme e multi-sided markets: v. oltre al lavoro di ROCHET-TIROLE, citato retro nota
5, v. HAGIU-WRIGHT, Multi-Sided Platforms, in International Journal of Industrial Orga-
nization, 43, 2015, p. 162; RYSMAN, The Economics of Two-Sided Markets, in Journal of
Economic Perspectives, 23, 2009, p. 125.
— 423 —

stazione non pecuniaria sotto forma di dati personali o di qualsiasi


altro dato ».
Il ragionamento di policy sotteso a tale norma è esplicitato nel
considerando n. 13: « Nell’economia digitale, gli operatori del mer-
cato tendono spesso e sempre più a considerare le informazioni sulle
persone fisiche beni di valore comparabile al denaro. I contenuti
digitali sono spesso forniti non a fronte di un corrispettivo in denaro
ma di una controprestazione non pecuniaria, vale a dire consen-
tendo l’accesso a dati personali o altri dati. Tali specifici modelli
commerciali si applicano in diverse forme in una parte considerevole
del mercato. Introdurre una differenziazione a seconda della natura
della controprestazione significherebbe discriminare alcuni modelli
commerciali e incoraggerebbe in modo ingiustificato le imprese ad
orientarsi verso l’offerta di contenuti digitali contro la messa a
disposizione di dati. Vanno garantite condizioni di parità eque ».
Questa presa d’atto è benvenuta, perché permette di impostare
il discorso in maniera maggiormente aderente alla realtà, dissipando
il velo di ipocrisia che spesso avvolge il tema della gratuità nei
rapporti on line (in particolare quando l’accento venga ad appun-
tarsi sulla c.d. economia della condivisione) (23). Tuttavia, imme-
diatamente dopo, un altro considerando, il n. 14, introduce una
significativa limitazione: « Per quanto riguarda la fornitura di con-
tenuto digitale non in cambio del pagamento di un prezzo ma di una
controprestazione non pecuniaria, la presente direttiva dovrebbe
applicarsi solo ai contratti in cui il fornitore richiede dati, quali il
nome e l’indirizzo e-mail o foto e il consumatore glieli fornisce
attivamente, in modo diretto o indiretto, ad esempio attraverso una
procedura di registrazione individuale o sulla base di un contratto
che consente l’accesso alle fotografie dei consumatori. La presente
direttiva non dovrebbe applicarsi alle situazioni in cui il fornitore
raccoglie i dati necessari affinché il contenuto digitale funzioni in
conformità al contratto, ad esempio la localizzazione geografica se
tale dato è necessario per il corretto funzionamento di un’applica-
zione mobile, o al solo scopo di soddisfare obblighi di legge, ad

(23) Per un approccio di politica del diritto volto a demistificare taluni orienta-
menti correnti v. LOBET-MARIS, Du fétichisme de la donnée personelle. Relecture politi-
que et critique de la vie privée, in DEGRAVE-DE TERWANGNE-DUSOLLIER-QUECK (a cura di),
Law, norms and freedoms in cyberspace - Liber amicorum Yves Poullet, Bruxelles,
2018, p. 685 (in part. p. 693 s.).
— 424 —

esempio nei casi in cui la registrazione del consumatore è obbliga-


toria ai fini di sicurezza e di identificazione. La presente direttiva
non dovrebbe nemmeno applicarsi a situazioni in cui il fornitore
raccoglie le informazioni, compresi i dati personali, quali l’indirizzo
IP, o altre informazioni generate automaticamente, ad esempio le
informazioni raccolte e trasmesse mediante un cookie, senza che il
consumatore le fornisca attivamente, anche se accetta il cookie ».
In termini strettamente giuridici non è dato comprendere le
ragioni della distinzione, che non a caso è stata fortemente criticata
in dottrina (24). Essa introduce due categorie artificiose, che da un
lato scolorano nella prassi operativa dando vita ad ibridi difficil-
mente catalogabili: ad es. quando un consumatore « scarica » sul
proprio smartphone una app o un ebook gratuito, sta ponendo in
essere intenzionalmente un comportamento positivo, ma non è
chiaro se è consapevole di fornire automaticamente dati e metadati
connessi alla procedura di accesso al servizio (25). Dall’altro, tali
categorie inevitabilmente verranno spazzate via dall’evoluzione tec-
nologica e da scelte opportunistiche — ma razionali — degli opera-
tori: servizi con registrazione e servizi senza registrazione. Sembre-
rebbe poi che taluni programmi, pur forniti all’interno di un servizio
« con registrazione », sarebbero esenti da vincoli.
Ma, pur prescindendo da questo non marginale aspetto, il
problema fondamentale che la proposta di direttiva solleva consiste
nel comprendere quale sia il sottostante modello giuridico di prote-
zione dei dati personali. Richiamando la celebre tassonomia di
Calabresi e Melamed, siamo in presenza di property rules o di
liability rules? La lettura della proposta non lascerebbe molti dubbi
al riguardo: all’individuo spetta un potere di controllo sui dati
personali, il quale può esprimersi naturalmente anche nella facoltà
di disposizione, e segnatamente nella (con)cessione dei dati perso-
nali tramite negozi a titolo oneroso. Se uno degli attributi distintivi
dei property rights consiste nell’alienabilità, allora il binomio tutela

(24) V. SPINDLER, Verträge über digitale Inhalte - Anwendungsbereich und Ansätze


- Vorschlag der EU-Kommission zu einer Richtlinie über Verträge zur Bereitstellung
digitaler Inhalte, cit., p. 149; SCHULZE, Supply of Digital Content. A New Challenge for
European Contract Law, cit., p. 141; METZGER, Dienst Gegen Daten: Ein Synallagma-
tischer Vertrag, cit., pp. 821-822.
(25) Sul punto NARCISO, « Gratuitous » Digital Content Contracts in EU Consu-
mer Law, Consumer Law, in EuCML, 2017, p. 198 (a p. 203).
— 425 —

+ disponibilità farebbe chiaramente deporre nel senso della sussi-


stenza di un vero e proprio property right, o meglio di un diritto
esclusivo a contenuto (anche) patrimoniale, sui dati. E tuttavia non
v’è chi non vede come una siffatta conclusione necessiti di essere
verificata alla luce della normativa in materia di dati personali
(espressamente fatta salva dall’art. 3, comma 8o, della proposta di
direttiva), e segnatamente del regolamento generale sulla protezione
dei dati (reg. UE n. 2016/679), al fine di vagliarne l’oggettiva tenuta.
Che il coordinamento tra i due corpi normativi non sia agevole,
è dimostrato dalla netta presa di posizione del garante europeo per
la protezione dei dati (European Data Protection Supervisor) in
relazione alla suddetta proposta di direttiva. Nel suo parere n. 4 del
2017, il garante ha evidenziato « un aspetto problematico, dal
momento che sarà applicabile alle situazioni in cui per i contenuti
digitali viene corrisposto un prezzo, ma anche quando un contenuto
digitale viene fornito a fronte di una controprestazione non pecu-
niaria sotto forma di dati personali o di qualsiasi altro dato. Il GEPD
mette in guardia contro nuove disposizioni che introducono il
concetto che le persone possono pagare con i propri dati, nello
stesso modo in cui pagano in denaro. I diritti fondamentali, come il
diritto alla protezione dei dati personali, non possono essere ridotti
a semplici interessi dei consumatori e i dati personali non possono
essere considerati una mera merce » (26).
Da queste valutazioni traspare non soltanto un diverso apprez-
zamento delle implicazioni sistematiche dell’art. 3 della proposta,
ma il conflitto tra due antitetici modelli di lettura del diritto alla
protezione dei dati: l’uno, riflesso nella proposta, improntato ad una
visione patrimonialistica; l’altro, scolpito nelle parole del garante
europeo, orientato in chiave personalistica. Secondo quest’ultima
prospettiva, i dati non potrebbero essere equiparati ad una merce.

6. — La lettura del regolamento non fa che rafforzare i dubbi


suscitati dalla suddetta presa di posizione del garante. A prescindere
dalla tecnica di drafting prescelta, che certo non si sottrae a rilievi

(26) EDPS, Opinion on the Proposal for a Directive on certain aspects concerning
contracts for the supply of digital content, n. 4/2017, p. 9; v. anche EDPS, Privacy and
competitiveness in the age of big data: The interplay between data protection, compe-
tition law and consumer protection in the digital economy, Brussels, 2014, p. 8 ss.
— 426 —

critici di vario tipo — cinicamente si potrebbe dire che neanche il


più potente motore di ricerca sarebbe in grado di districarsi agevol-
mente nel roveto di 197 « considerando » e 99 articoli e le loro
infinite combinazioni, cui a breve si aggiungerà la direttiva c.d.
e-privacy che dovrebbe prendere in esame proprio il tipo di rapporti
che qui si sono rappresentati —, il vero punctum dolens è rappre-
sentato dall’incrocio tra l’art. 4, n. 11, che definisce il contenuto
della nozione di « consenso » dell’interessato, e l’art. 7, comma 4o,
che fissa con maggior precisione i requisiti sostanziali di validità di
tale atto giuridico. In particolare, la prescrizione più critica è quella
che attiene alla c.d. « libertà » del consenso. Il consenso, secondo
l’art. 4, n. 11, è atto giuridicamente vincolante soltanto se esprime
una manifestazione di volontà « libera ». Quale è l’esatto significato
di tale nozione? (27).
Un cultore della teoria negoziale risponderebbe immediata-
mente: un negozio unilaterale, come il consenso, è da reputarsi
giuridicamente « libero » se non è viziato da uno dei fattori pertur-
bativi della volontà contemplati dal quarto libro del codice civile:
errore, violenza e dolo. Ma a tale assunto si potrebbe agevolmente
obiettare che non v’è alcuna ragione logica di ribadire espressa-
mente in una apposita norma quanto le regole generali del negozio
giuridico (o del contratto, a seconda dei modelli di riferimento) già
prescrivono con cristallina chiarezza. Lo stesso argomento potrebbe
avanzarsi nei confronti di chi ritenga, in una prospettiva dichiara-
tamente anti-paternalistica, che ai fini del giudizio sulla libertà del
consenso è essenziale il parametro dell’informazione: un consenso
informato sarebbe di per sé un consenso libero. Tuttavia l’infor-
mazione, se è una condizione necessaria, non è invece sul piano
normativo una condizione sufficiente ai fini della validità dell’atto,
in quanto tale requisito è già autonomamente prescritto dal legisla-
tore e non avrebbe senso duplicare tale concetto tramite il riferi-
mento alla nozione di « libertà ».
Per inquadrare correttamente la questione, si deve osservare che
la fattispecie del consenso al trattamento dei dati è stata oggetto, a

(27) Per un ventaglio di ipotesi v. il saggio di LÉONARD, Yves, si tu exploitais tes


données?, in DEGRAVE-DE TERWANGNE-DUSOLLIER-QUECK (a cura di), Law, norms and
freedoms in cyberspace - Liber amicorum Yves Poullet, Bruxelles, 2018, p. 659, quasi
interamente dedicato ai contrasti qui evidenziati.
— 427 —

far data dall’introduzione della l. n. 675 del 1996, di una stratificata


attività d’interpretazione da parte dell’autorità di regolazione (oltre
che della giurisdizione ordinaria), che ha finito per attribuire alla
nozione di « libertà » un contenuto più ricco ed implicante di quello
ordinario (28).
In primo luogo al requisito della libertà del consenso si è fatto
ricorso al fine di negare la validità di tutte quelle manifestazioni di
volontà formatesi in condizioni di pressione psicologica legata a
situazioni di vulnerabilità o a strutturali asimmetrie di potere (29).
Tra gli esempi più ricorrenti, possono citarsi alcuni casi di tratta-
mento nell’àmbito dei rapporti di lavoro, quando le finalità di esso
non siano strettamente necessarie all’esecuzione dell’obbligazione
principale (30). È quanto si chiarisce nel considerando n. 43 del
regolamento, ove si legge che il consenso non può ritenersi « valido
presupposto per il trattamento dei dati personali in un caso speci-
fico, qualora esista un evidente squilibrio tra l’interessato e il titolare
del trattamento, specie quando il titolare del trattamento è un’au-
torità pubblica e ciò rende pertanto improbabile che il consenso sia
stato espresso liberamente in tutte le circostanze di tale situazione
specifica ». Non a caso, la direttiva UE n. 2016/680, concernente il
trattamento dei dati personali a fini di contrasto alla criminalità,
investigazione di reati e attività di polizia, muove dall’assunto che il
« consenso dell’interessato, quale definito nel regolamento (UE)
2016/679, non dovrebbe costituire la base giuridica per il tratta-
mento di dati personali da parte delle autorità competenti. Qualora
sia tenuto ad adempiere un obbligo legale, l’interessato non è in
grado di operare una scelta autenticamente libera, pertanto la sua
reazione non potrebbe essere considerata una manifestazione di
volontà libera » (considerando n. 35).

(28) Sul punto merita di essere confrontata l’attenta analisi di THOBANI, La libertà
del consenso al trattamento dei dati personali e lo sfruttamento economico dei diritti
della personalità, in Eur. dir. priv., 2016, p. 513 ss.
(29) ERNST, sub § 4, in PAAL-PAULY, Datenschutz-Grundverordnung, München,
2017, p. 46, Rn. 71; ART. 29 DATA PROTECTION WORKING PARTY, Guidelines on Consent
Under Regulation 2016/679, 28 novembre 2017, 17/EN WP259, p. 7.
(30) In materia lavoristica v. ad es. garante prot. dati, provv. 28 ottobre 1999,
doc. web 47741; nell’àmbito dell’esperienza tedesca, GOLA-KLUG-KÖRFFER-SCHOMERUS,
Bundesdatenschutzgesetz Kommentar, sub § 4a, 12, München, 2015, p. 137, Rn. 22a;
v. inoltre ART. 29 DATA PROTECTION WORKING PARTY, Guidelines on Consent Under
Regulation 2016/679, cit., p. 8.
— 428 —

Anche in assenza di una sostanziale disparità di potere sociale,


e dunque di una sottostante pressione psicologica tale da indurre
all’accettazione delle condizioni poste dal titolare del trattamento, si
è ritenuto che la ponderatezza e la serenità delle scelte compiute
dall’interessato possono essere inficiate dall’essere l’accesso a un
bene o a un servizio — anche se non strumentale all’esercizio di una
libertà fondamentale — subordinato al consenso al trattamento,
qualora questo non sia strettamente necessario all’adempimento
della prestazione contrattuale (c.d. Koppelungsverbot) (31). Tra i
molti esempi offerti dalla giurisprudenza del garante risaltano quelli
della fornitura di servizi di telefonia o altri servizi on line, là dove la
stipula del contratto sia resa dipendente dal consenso al trattamento
dei dati per finalità ulteriori, scollegate dalla causa e non necessarie
all’esecuzione del contratto a monte, come quelle pubblicitarie, di
marketing o di profilazione del cliente. Al cospetto di tali fattispecie,
tutt’altro che marginali sul piano sociale e economico, l’autorità ha
osservato che « il consenso del contraente per l’attività promozio-
nale deve intendersi libero quando non è preimpostato e non risulta
— anche solo implicitamente in via di fatto — obbligatorio per poter
fruire del prodotto o servizio fornito dal titolare del trattamento.
Esemplificando, non è libero il consenso prestato quando la società
condiziona la registrazione al suo sito web da parte degli utenti e,
conseguentemente, anche la fruizione dei suoi servizi, al rilascio del
consenso al trattamento per la finalità promozionale » (32). Non
siamo lontani dal divieto dei tying arrangements iscritto nel diritto
della concorrenza (cfr. art. 101, comma 1º, lett. e, tfue) (33), ma ciò

(31) GOLA-KLUG-KÖRFFER-SCHOMERUS, Bundesdatenschutzgesetz Kommentar, sub


§ 4a, p. 136, Rn. 21.
(32) Provv. 4 luglio 2013 n. 330, doc. web. n. 2542348; questa linea prosegue
senza deviazioni sin dal primo significativo provvedimento del garante nel famoso caso
BNL (Provv. 28 maggio 1997, doc. web 40425), ove si affermava che: « non può
definirsi « libero », ma necessitato, il consenso al trattamento dei dati personali che
l’interessato « deve » prestare (aderendo a un testo predisposto unilateralmente dalla
controparte contrattuale) quale condizione per il conseguimento della prestazione
richiesta. In tal modo, infatti, i dati personali, lecitamente raccolti dal titolare (e conferiti
dall’interessato) per il perseguimento di una determinata finalità (l’esecuzione del
rapporto contrattuale), vengono di fatto piegati ad un utilizzo diverso dallo scopo
originario che ne aveva giustificato la raccolta, in violazione del principio di finalità ».
(33) FRENZEL, sub § 7, in PAAL-PAULY, Datenschutz-Grundverordnung, cit., p. 115,
Rn. 21.
— 429 —

che è ancor più rilevante è che la medesima posizione espressa dal


garante italiano è sostanzialmente condivisa anche dalle omologhe
autorità indipendenti, nonché dalla giurisprudenza nei sistemi tede-
sco (ove peraltro il Koppelungsverbot trova un’espressa formalizza-
zione normativa, relativamente all’uso ulteriore dei dati per finalità
promozionali, nella legge federale sulla protezione dei dati perso-
nali (34)), francese e inglese (35).
Alla luce di queste premesse, e in particolare di questa comune
tendenza delle autorità garanti nazionali, non può sorprendere che
una soluzione analoga sia ora espressamente adottata dal regola-
mento. L’art. 7, comma 4º, nel concretizzare il requisito della
« libertà » del consenso posto dall’art. 4, stabilisce che « nel valu-
tare se il consenso sia stato liberamente prestato, si tiene nella
massima considerazione l’eventualità, tra le altre, che l’esecuzione
di un contratto, compresa la prestazione di un servizio, sia condi-
zionata alla prestazione del consenso al trattamento di dati perso-
nali non necessario all’esecuzione di tale contratto ». Che tale
disposizione offra un formale suggello alle soluzioni applicative sin
qui emerse in diversi paesi europei è indubbio. Molto più com-
plesso, però, è capire quali siano le implicazioni pratiche di tale
norma per il tema che qui rileva, e in particolare per il quesito
relativo all’ammissibilità di una cessione dei dati personali a titolo
oneroso (36). Si possono distinguere a tal riguardo due principali
itinerari interpretativi.

(34) § 28, comma 3b, BDSG: « Die verantwortliche Stelle darf den Abschluss
eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1
abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertra-
glichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich
ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam ». Su questa
disposizione, originariamente contenuta nel Telemediengesetz e poi resa di applicazione
generale dopo la modifica della legge federale sulla protezione dei dati, v. SPINDLER-
SCHUSTER (a cura di), Recht der Elekrtronischen Medien: Kommentar, sub § 28 BDSG,
3, München, 2015, Rn. 15-21.
(35) THOBANI, La libertà del consenso al trattamento dei dati personali e lo
sfruttamento economico dei diritti della personalità, cit., pp. 538-539; cui adde per
un’analisi dell’esperienza tedesca, GOLA-KLUG-KÖRFFER-SCHOMERUS, Bundesdatenschutz-
gesetz Kommentar, sub § 4a, pp. 136-137, Rn. 21 ss.
(36) Per una prima analisi del problema si segnalano in particolare i seguenti
scritti: LANGHANKE-SCHMIDT-KESSEL, Consumer Data as Consideration, in EuCML, 2015,
p. 218; METZGER, Dienst Gegen Daten: Ein Synallagmatischer Vertrag, cit., p. 816 ss.;
DIX, Daten als Bezahlung: Zum Verhältnis zwischen Zivilrecht und Datenschutzrecht, in
ZEuP, 2017, p. 1; WENDEHORST, Of Elephants in the Room and Paper Tigers: How to
— 430 —

Secondo il primo, il vincolo posto dall’art. 7 dovrebbe intendersi


come ostativo alla validità di uno scambio tra dati personali ed altre
prestazioni. Difatti, nell’escludere l’ammissibilità di un consenso
preordinato a finalità ulteriori rispetto a quelle afferenti l’esecuzione
della prestazione principale, ove tale consenso sia configurato dal
titolare quale precondizione per l’accesso a beni e servizi, l’ordina-
mento esprimerebbe un netto giudizio di disvalore, tale da far
ritenere che tale consenso non possa mai essere espressione di una
scelta ponderata e consapevole, dunque « libera ». Ora, questo è
proprio quello che avviene quando servizi della società dell’infor-
mazione siano forniti gratuitamente: lo schema economico sotto-
stante è in realtà quello dello scambio sinallagmatico, ove i dati
personali (da utilizzarsi tipicamente per finalità ulteriori, come la
profilazione e la pubblicità mirata) costituiscono il vero corrispet-
tivo per l’accesso al servizio medesimo. Aderendo ad una lettura
rigida dell’art. 7, si finirebbe necessariamente per sancire l’invalidità
di un siffatto consenso (con effetti a cascata sull’intera intesa
negoziale) (37). È evidente che un risultato ermeneutico di questo
tipo si rivela di fatto convergente con l’assunto per cui i dati
personali non costituiscono delle « merci » e non possono essere
trattati come tali. In sostanza, il modello di circolazione dei dati
sarebbe sostanzialmente analogo a quello della circolazione del
corpo umano: in entrambi i casi l’atto dispositivo dovrebbe infor-
marsi al paradigma della gratuità, in ossequio all’idea per cui un
consenso « remunerato » sarebbe per definizione un consenso « non
libero » (38).
Questa tesi non riesce a persuadere, e ciò non soltanto muo-
vendo da un’ottica giusrealistica (lo scollamento del sistema giuri-
dico con la realtà, che conosce e legittima da lungo tempo il mercato
dei dati personali, si rivelerebbe drammatico), ma già rimanendo

Reconcile Data Protection and the Data Economy, in SCHULZE-STAUDENMAYER-LOHSSE (a


cura di), Trading Data in the Digital Economy: Legal Concepts and Tools, Oxford -
Baden-Baden, 2017, p. 327; NARCISO, « Gratuitous » Digital Content Contracts in EU
Consumer Law, in EuCML, 2017, p. 198.
(37) Pervengono sostanzialmente a questa conclusione, non senza rilievi critici nei
confronti delle scelte del legislatore europeo, VOIGT-VON DEM BUSSCHE, The EU General
Data Protection Regulation (GDPR). A Practical Guide, Cham, 2017, p. 96.
(38) Su questo modello v. RESTA, voce Doni non patrimoniali, in Enc. dir., Annali
IV, Milano, 2011, pp. 510, 516 ss.
— 431 —

aderenti al piano delle norme. Vi sono almeno due argomenti, uno


di natura sistematica e l’altro di natura testuale, che possono essere
opposti alla prima tesi e depongono nel senso dell’ammissibilità
dello schema « servizi contro dati ». Il primo attiene proprio al
confronto tra regime della circolazione delle parti del corpo e regime
della circolazione dei dati personali. Come si è cercato di dimostrare
in altra sede (39), il sistema della Carta dei diritti fondamentali
dell’Unione europea, lungi dall’avvalorare l’idea della de-patrimo-
nializzazione dei dati, la smentisce, sia pure indirettamente. Difatti,
mentre con riferimento al corpo e alle sue parti si prevede espres-
samente che questi non possono costituire, in quanto tali, una
« fonte di lucro », riprendendo letteralmente il modello francese del
corpo oggetto di un diritto extra-patrimoniale (40), nulla di simile è
stabilito con riguardo ai dati personali. L’art. 8, dopo avere garantito
il diritto alla protezione dei dati personali, menziona il consenso
come una delle possibili basi idonee a giustificare il trattamento, ma
non prefissa alcun limite di ordine contenutistico comparabile con
quello dell’art. 3. Il che non implica che la circolazione dei dati
personali debba appiattirsi sullo stesso modello della circolazione
dei beni, come si avrà modo di spiegare a breve, ma certo suggerisce
che l’idea della gratuità come necessario requisito di validità del-
l’atto non abbia ragion d’essere in relazione alla fattispecie del
trattamento dei dati personali.
Il secondo argomento, si diceva, è di natura testuale e attiene
alla lettera dell’art. 7 del regolamento. Qui si prevede, come si è già
ricordato, che nel valutare se il consenso è stato liberamente pre-
stato « si tiene nella massima considerazione l’eventualità, tra le
altre, che l’esecuzione di un contratto, compresa la prestazione di un
servizio, sia condizionata alla prestazione del consenso al tratta-
mento di dati personali non necessario all’esecuzione di tale con-
tratto ». Escludiamo innanzitutto che l’intera questione possa essere
risolta sostenendo che, poiché nello schema « servizi contro dati » il
trattamento è strutturalmente necessario all’esecuzione del con-
tratto, di esso non vi sia necessità ai sensi dell’art. 6 del regolamento.

(39) RESTA, voce Autonomia contrattuale e diritti della persona nel diritto UE, in
Dig., disc. priv., agg. N. 8, Torino, 2013, p. 92, spec. pp. 96-97; e più diffusamente ID.,
La disponibilità dei diritti fondamentali e i limiti della dignità (note a margine della
Carta dei diritti), in Riv. dir. civ., 2002, II, p. 801 ss.
(40) V. ancora RESTA, voce Doni non patrimoniali, cit., pp. 516-517.
— 432 —

Tale argomento sarebbe mal posto, in quanto l’art. 7 parla di libertà


del consenso e ne concretizza il contenuto tramite il divieto di
correlazione tra consenso e finalità ulteriori facendo riferimento alle
ipotesi in cui un consenso sia necessario e dunque l’art. 6 sia
inoperante (41). D’altronde la norma parla di un trattamento « non
necessario all’esecuzione del contratto »; mentre nello schema « ser-
vizi contro dati » il consenso è elemento strutturale dell’intesa, sì che
in assenza di un trattamento lecito dei dati il contratto non verrebbe
nemmeno ad esistenza, connotandosi dunque il consenso come
necessario al perfezionamento dello stesso contratto (42).
L’argomento essenziale, ad ogni modo, sta nel fatto che la
norma non introduce un divieto, bensì fissa un semplice parametro
di valutazione, da considerare insieme ad altri (non meno rilevanti)
parametri, come l’esistenza o meno di condizioni di concorrenza nel
settore di riferimento, la fungibilità del bene o del servizio of-
ferto (43) e la strumentalità rispetto all’esercizio di diritti fondamen-
tali, la funzione di intrattenimento o professionale del servizio,
l’impiego di condizioni generali di contratto senza negoziazione
individuale delle clausole, ecc. (44). Se si vuole si può anche parlare
di presunzione di invalidità del consenso prestato al fine di accedere
a beni o servizi, ma deve esser chiaro che si tratta di una presunzione
iuris tantum e non, invece, iuris et de iure. Aderendo ad una siffatta
interpretazione, vengono meno le ragioni di conflitto tra l’art. 7 del
regolamento e la proposta di direttiva sulla fornitura di contenuti
digitali e lo schema negoziale servizi contro dati può trovare una
solida collocazione nel sistema (45).
Ci pare, in altri termini, che la « monetizzazione » dei dati
personali non abbia in sé nulla di disdicevole né di giuridicamente

(41) FRENZEL, sub § 7, in PAAL-PAULY, Datenschutz-Grundverordnung, cit., p. 114,


Rn. 20; LÉONARD, Yves, si tu exploitais tes données?, cit., pp. 677-678.
(42) Ivi, p. 114, Rn. 21.
(43) La possibilità di accedere altrove al servizio oggetto della negoziazione
costituisce il principale parametro di valutazione adottato dal già citato § 28, comma 3b,
BDSG; v. GOLA-KLUG-KÖRFFER-SCHOMERUS, Bundesdatenschutzgesetz Kommentar, sub §
4a, cit., p. 136, Rn. 21.
(44) Sul punto METZGER, Data as Counter-Performance. What Rights and Duties
do Parties Have?, in JIPITEC, 8, 2017, p. 2, alla p. 5; METZGER, Dienst Gegen Daten: Ein
Synallagmatischer Vertrag, cit., p. 823.
(45) In questo senso anche METZGER, Dienst Gegen Daten: Ein Synallagmatischer
Vertrag, cit., p. 824.
— 433 —

« sospetto », purché però il consenso in oggetto rappresenti una


effettiva espressione della « autodeterminazione informativa ». L’in-
terrogativo da porsi allora è un altro: i mercati in oggetto sono
caratterizzati da un grado sufficiente di trasparenza, e in particolare
il « cedente » è sempre in grado di prevedere tipologie e àmbito del
trattamento ulteriore dei propri dati personali, nonché l’effettivo
valore delle prestazioni coinvolte? A tale interrogativo non può darsi
una risposta sempre positiva. Il grado di opacità che caratterizza tali
mercati è ancora elevato, e non è un caso che le autorità di
regolazione della concorrenza abbiano già avuto modo di segnalare
tale aspetto, condannando per violazione della normativa sulle
pratiche commerciali sleali i fornitori di servizi on line che ottene-
vano l’accesso a miniere di dati personali dei consumatori carpen-
done il consenso attraverso lo specchietto della gratuità e condizioni
generali di contratto tutt’altro che trasparenti. È anche per questa
ragione che si è suggerito di far discendere dagli obblighi di infor-
mazione stabiliti tanto dalla normativa sulla protezione dei dati
(artt. 12-13 regolamento gen. prot. dati) quanto soprattutto da
quella consumeristica (v. ad es. artt. 5, 21-22, 48 c. cons.), uno
specifico obbligo informativo concernente la natura della contropre-
stazione pagata dal consumatore, o persino il suo effettivo valore
monetario (46); e si è auspicato, da parte di altri, la predisposizione
di opzioni di prezzo alternative (c.d. active choice models), com-
prendenti sia lo schema servizio contro dati sia quello servizio
contro corrispettivo monetario (47).
Senza entrare nei dettagli di ciascuna di queste proposte inter-
pretative, l’elemento che qui interessa segnalare è che la tutela degli
interessi fondamentali della persona non deve necessariamente es-
sere perseguita attraverso un’irrealistica de-patrimonializzazione dei
dati (e degli atti giuridici che ne determinano la circolazione), bensì
attraverso un attento controllo dell’atto di autonomia finalizzato ad

(46) Variamente, in questa prospettiva, DE FRANCESCHI, Digitale Inhalte gegen


Personenbezogene Daten: Unentgeltichkeit oder Gegenleistung?, in SCHMIDT-KESSEL-
KRAMME (a cura di), Geschäftsmodelle in der digitalen Welt, Sipplingen, 2017, p. 113,
pp. 125-131; MALGIERI-KUSTERS, Pricing privacy - the right to know the value of your
personal data, cit., pp. 294, 297.
(47) HACKER-PETKOVA, Reining in the Big Promise of Big Data: Transparency,
Inequality, and the New Regulatory Frontiers, in Northwestern J. Techn. Int. Prop. L.,
15, 2017, p. 1, alle pp. 20-27.
— 434 —

assicurare la salvaguardia dei valori incomprimibili della persona-


lità (48). Ora, dell’informazione si è detto, ma non minore è il rilievo
della « specificità » quale ulteriore requisito di validità del consenso:
una manifestazione di volontà generica non permette un reale
apprezzamento delle concrete conseguenze dell’atto dispositivo,
mentre un consenso espresso in maniera distinta e in relazione a
ciascuna delle finalità rilevanti costituisce maggiore garanzia di
ponderatezza delle scelte coinvolte (49). Cruciale, in questo settore,
è dunque un approccio volto a rafforzare la c.d. granularità del
consenso. Lo schema logico che si potrebbe costruire è il seguente:
in generale il trattamento dei dati personali richiede il consenso
espresso, ma esso ha — deve avere — delle finalità ben chiarite e
proporzionate alle ragioni sottese al conferimento. Dunque, se con-
figuriamo i dati personali come il corrispettivo del servizio (o,
all’opposto, l’oggetto del rapporto visto dal lato dell’operatore)
possiamo immaginare che tutto il rapporto — che abbiamo visto
essere di durata — si fonda su un consenso che potrebbe definirsi
non meramente autorizzativo (come solitamente facciamo con ri-
guardo all’uso degli attributi della personalità), ma anche negoziale,
ovverosia costitutivo di relazioni giuridiche a contenuto patrimo-
niale. Ciò non toglie, come si diceva, che tali relazioni siano disci-
plinate dalla legge al fine di salvaguardare i particolari valori coin-
volti.
È particolarmente rilevante a tal scopo notare che questo rap-
porto è non soltanto incisivamente conformato dai diritti di cui agli
artt. 15-20 del regolamento (che attribuiscono all’interessato effi-
caci strumenti preventivi e rimediali atti a controllare l’utilizzazione
dei dati in executivis) (50), ma altresì configurato dal legislatore
come strutturalmente « precario ». Difatti, l’art. 7, comma 4º, del

(48) Per una più compiuta argomentazione, con riferimento all’intero spettro dei
negozi sugli attributi immateriali della personalità, v. RESTA, Autonomia privata e diritti
della personalità, Napoli, 2005, pp. 276-284.
(49) Cfr. THOBANI, I requisiti del consenso al trattamento dei dati personali,
Santarcangelo di Romagna, 2016, p. 71 ss.; e con riferimento all’intero sistema della
circolazione dei diritti della personalità, RESTA, Autonomia privata e diritti della perso-
nalità, cit., pp. 287-292.
(50) Su questi diritti v. VOIGT-VON DEM BUSSCHE, The EU General Data Protection
Regulation (GDPR). A Practical Guide, cit., p. 141 ss.; RICCI, in FINOCCHIARO (a cura di),
Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali,
Bologna, 2017, p. 179 ss.
— 435 —

regolamento chiarisce in maniera espressa quanto la dottrina aveva


sin qui ricavato ragionando sui princìpi e sancisce la regola — non
derogabile dall’autonomia privata — della costante revocabilità del
consenso (51). Dall’esercizio del potere di revoca, che non è subor-
dinato alla prova di un idoneo motivo giustificativo e produce
efficacia ex nunc, discende naturalmente la caducazione del con-
tratto « a valle » — lo si costruisca dogmaticamente come un nego-
zio « di secondo grado », collegato al consenso quale atto unilaterale
a contenuto non patrimoniale (52), o come un’operazione unita-
ria (53) — rispetto al quale il consenso operava come specifica base
negoziale (54). Del pari, l’esercizio da parte del consumatore della
facoltà di risoluzione del contratto nelle ipotesi previste dagli artt.
13 e 16 della proposta di direttiva sulla fornitura di contenuti digitali
sembrerebbe implicare una revoca tacita del consenso all’(ulteriore)
trattamento dei dati personali (55).
Da quanto sin qui espresso si può concludere che, nella circo-
lazione onerosa dei dati personali, il principio della forza di legge del
contratto cede il passo all’esigenza di mantenere in capo al soggetto
il potere di autodeterminarsi in relazione agli attributi della propria
personalità. Si potrà poi discutere se un’obbligazione di indenniz-
zare la controparte possa essere desunta analogicamente dall’art.
142, comma 2º, della legge sul diritto d’autore (56), ma il dato di
fondo non cambia.

(51) In tema v. FRENZEL, sub § 7, in PAAL-PAULY, Datenschutz-Grundverordnung,


cit., p. 113, Rn. 16-17; per una ricognizione dei termini in cui si era sviluppato il
dibattito italiano sulla revocabilità v. RESTA, Revoca del consenso e interesse al tratta-
mento nella legge sulla protezione dei dati personali, in Riv. crit. dir. priv., 2000, p. 299
ss.
(52) Secondo la nota prospettazione di MESSINETTI, Circolazione dei dati personali
e dispositivi di regolazione dei poteri individuali, in Riv. crit. dir. priv., 1998, pp. 339,
365; sul punto v. ora LÉONARD, Yves, si tu exploitais tes données?, cit., pp. 666-668.
(53) Per un’analisi di questo problema v. DE FRANCESCHI, Digitale Inhalte gegen
Personenbezogene Daten: Unentgeltichkeit oder Gegenleistung?, cit., p. 120.
(54) Sulla questione della risoluzione v. in particolare DE FRANCESCHI, Digitale
Inhalte gegen Personenbezogene Daten: Unentgeltichkeit oder Gegenleistung?, cit., pp.
134-135.
(55) In questo senso anche METZGER, Dienst Gegen Daten: Ein Synallagmatischer
Vertrag, cit., p. 824.
(56) Come si era ipotizzato in RESTA, Revoca del consenso e interesse al tratta-
mento nella legge sulla protezione dei dati personali, cit., pp. 327-333.
— 436 —

7. — Per il giurista accademico le lusinghe dell’analisi dei


rapporti che vengono a crearsi fra il fornitore del servizio e gli utenti
sono evidenti, giacché gli consentono di mettere alla prova concetti
costruiti con il lavoro di secoli e la loro capacità di adattarsi alla
evoluzione tecnologica (57). Il giurista « apocalittico » concluderà
che ormai è passato il tempo del consenso e dunque occorre indi-
viduare qualche diversa figura che lo sostituisca. Il giurista « inte-
grato » vedrà nelle forme di accettazione dei tanti rapporti digitali la
conferma del costante rinnovamento ed adeguamento a nuove realtà
del sistema normativo e delle relative categorie concettuali.
Ma su un piano molto più pratico è legittimo chiedersi quali
siano le conseguenze di un inquadramento contrattuale dei servizi
digitali. In altri termini, una volta ammesso che tra il fornitore del
servizio e l’utente si crei pressoché sempre un rapporto sinallagma-
tico (servizi contro dati), cosa ne consegue?
Il primo aspetto che viene in mente è quello dell’esatto adem-
pimento del programma negoziale. A dispetto delle ripetute decla-
mazioni circa l’assenza di ogni garanzia (il servizio è fornito « as is »:
prospettazione coerente, nella logica di common law, con l’appa-
rente assenza di consideration e chiaramente funzionale agli inte-
ressi dell’impresa offerente) (58), non vi è dubbio che, in particolare
nei rapporti con i consumatori, il fornitore si obbliga a fornire il
servizio secondo le correnti regole dell’arte (59). Si potrebbe aggiun-
gere che, pur in difetto di una precisa disposizione normativa al
riguardo, le caratteristiche del servizio sono quelle che il fornitore
presenta, senza alcun caveat, nella sua pubblicità prodromica alla
registrazione dell’utente (60). Se, dunque, il servizio, a dispetto delle
promesse, non avesse quelle funzionalità (di tempo, di luogo, di
spazio digitale, di sicurezza) si potrebbe ipotizzare un inadempi-

(57) In generale v. TWIGG-FLESNER, Disruptive Technology — Disrupted Law?


How the Digital Revolution Affects (Contract) Law, cit., p. 21 ss.
(58) In tema v. LOOS, Standard terms for the use of the Apple App Store and the
Google Play Store, in EuCML, 2016, p. 10, spec. p. 13.
(59) Per un’attenta indagine circa il profilo degli obblighi e dei rimedi conseguenti
all’inadempimento nell’àmbito della fornitura dei contenuti digitali v. METZGER, Dienst
Gegen Daten: Ein Synallagmatischer Vertrag, cit., p. 847 ss.
(60) È questa la tesi di HARTZOG, Website Design as Contract, in Am.U. L. Rev.,
60, 2011, p. 1635, secondo cui sarebbero le pagine le quali si offrono all’utente e che
questi deve compilare a creare un legittimo affidamento prevalente sulle condizioni
generali di contratto.
— 437 —

mento. Questione ancora più complessa si pone là dove la transa-


zione non si svolga secondo il consueto schema bilaterale, bensì
avvenga tramite una piattaforma digitale che svolge un ruolo
« ibrido » di intermediazione, offrendo l’infrastruttura tecnologica e
il capitale reputazionale atti a favorire l’incontro della domanda e
dell’offerta (come nel caso dell’App store o in quello, ancora più
evidente, di Amazon Marketplace) (61). In queste ipotesi si discute
se l’intermediario, che assume la funzione di collettore della do-
manda e del relativo flusso di informazioni, possa essere chiamato a
rispondere del difetto di conformità dei beni o servizi forniti dal
terzo (si pensi ad esempio ai danni arrecati da una app fornita
gratuitamente dallo sviluppatore tramite una piattaforma digitale
gestita da terzi) o di altre ipotesi di violazione di obblighi posti a
tutela del consumatore (62).
Accanto alla generale clausola sull’inadempimento, un’altra eve-
nienza che si potrebbe verificare, concretamente, è quella della
perdita dei dati dell’utente. Un grande numero di servizi digitali
(posta elettronica, social media, archivi) contengono un’infinità di
prodotti digitali dell’utente (messaggi, fotografie, audiovisivi). Quid
iuris se essi vengono persi? Il primo problema che viene da porsi è
se essi costituiscano beni facenti parte del patrimonio del soggetto e
configurabili alla stregua di beni materiali. Va ricordato che non
sono pochi gli ordinamenti (primo fra tutti quello tedesco) i quali
richiedono la materialità/tangibilità della cosa perché questa possa
costituire oggetto di un diritto di proprietà (§§ 90 e 903 BGB) (63).
Dunque non si potrebbe « perdere » quel che non si ha (né si può
avere). Connessa a questa ipotesi vi è quella che la perdita dei dati
impedisca al soggetto di operare (si pensi alla base di dati dei clienti

(61) Sul modello di business di Amazon Marketplace e le relative implicazioni


giuridiche si v. la decisione dell’AGCM, 9 marzo 2016, n. 25911, Amazon-Marketplace-
Garanzia legale, in Bollettino, n. 11/2016, p. 38.
(62) Sul punto SCHULZE, Supply of Digital Content. A New Challenge for European
Contract Law, cit., pp. 129-130; nonché, in una prospettiva più ampia, BUSCH-SCHULTE-
NÖLKE-WIEWIÓROVSKA-DOMAGALSKA-ZOLL, The Rise of the Platform Economy: A New
Challenge for European Consumer Law?, in EuCML, 2016, p. 3, pp. 6-7; COLANGELO-
ZENO-ZENCOVICH, La intermediazione on-line e la disciplina della concorrenza: i servizi
di viaggio, soggiorno e svago, in Dir. inf., 2015, p. 43, pp. 76-85.
(63) V. ad es. GAMBARO, I beni, in Trattato di diritto civile e commerciale
Cicu-Messineo, Milano, 2012, pp. 26, 38, 53; JÄNICH, Geistiges Eigentum - eine Komp-
lementärerscheinung zum Sacheigentum?, Tübingen, 2002, p. 102 ss.
— 438 —

di una impresa). Viene da pensare alla ricca giurisprudenza nei quali


la interruzione della energia elettrica è stata riconosciuta come fonte
di danno (ma in un contesto extracontrattuale) laddove essa abbia
comportato la perdita di oggetti fisici (è il nostro caso « Pasta
Puddu »; non seguìto però dall’inglese « Spartan Steel ») (64). Ipotesi
di danno diretto è invece quella del vizio del programma installato
che paralizza il sistema oppure lo apre ad intrusioni di terzi. A
questo proposito non può dimenticarsi che la violazione del sistema
informatico e la perdita dei dati (almeno ove questi siano riferibili a
una persona fisica e siano oggetto di trattamento) sono suscettibili di
avere significative implicazioni sul piano della tutela dei dati perso-
nali, con la relativa attivazione di obblighi di notifica ai sensi degli
artt. 33-34 del regolamento generale sulla protezione dei dati e la
possibile soggezione alle azioni risarcitorie di cui all’art. 82, nonché
alle sanzioni amministrative pecuniarie previste dall’art. 83 del
medesimo regolamento (65).
Insomma, è facile individuare i casi in cui l’inquadramento
contrattuale potrebbe essere di utilità per l’utente (ed è questa in
fondo la ragione ultima della scelta, compiuta dalla proposta di
direttiva, di assoggettare lo schema negoziale « servizi contro dati »
al medesimo regime dello schema « servizio contro prezzo ») (66).
Tale affermazione deve peraltro essere qualificata in due sensi.
Innanzitutto non si può trascurare che il riconoscimento della
struttura sinallagmatica del programma negoziale, se da un lato
comporta l’aumento delle tutele, dall’altro non può che condurre al
sorgere di obblighi anche in capo al consumatore parte contrattuale.
Tra questi vengono immediatamente in mente, data la natura della
controprestazione coinvolta, gli obblighi di veridicità ed esattezza

(64) In tema WAGNER, Comparative Tort Law - Scope of Protection, in ZIMMMER-


MANN-REIMANN (a cura di), Oxford Handbook of Comparative Law, Oxford, 2006, p.
1012 ss.
(65) Sui problemi posti dal data breach secondo la prospettiva del regolamento v.
MANTELERO, in FINOCCHIARO (a cura di), Il nuovo regolamento europeo sulla privacy e
sulla protezione dei dati personali, cit., pp. 321-323.
(66) In tema v. la riflessione di HOWELLS, Reflections on Remedies for Lack of
Conformity in Light of the Proposals of the EU Commission on Supply of Digital Content
and Online and Other Distance Sales of Goods, in DE FRANCESCHI (a cura di), European
Contract Law and the Digital Single Market. The Implications of the Digital Revolution,
cit., p. 145 ss.
— 439 —

connessi all’ostensione dei dati personali (67). Un consumatore che


« paghi » in dati, in altri termini, dovrà fornire dati personali esatti
e/o corrispondenti alle richieste della controparte: non è un caso che
nelle condizioni generali di contratto di molti top players, come
Facebook e Amazon, si preveda frequentemente l’obbligo per
l’utente di fornire dettagli anagrafici esatti e aggiornati e comunicare
eventuali variazioni (68). In secondo luogo, non può sottacersi che
l’utilità per il consumatore alla quale si faceva riferimento pocanzi si
rivela in molti casi prevalentemente teorica, perché quando si passa
concretamente a trattare i profili del danno risarcibile (contemplato
dall’art. 14 della proposta di direttiva), questi presentano non poche
difficoltà: prima ancora di stabilire il valore di una raccolta di
fotografie o di audiovisivi andata persa, come dimostrare la sua
esatta consistenza? Si ripresentano le questioni ben note in materia
di cassette di sicurezza, il cui contenuto è di impossibile determina-
zione e può essere stabilito solo attraverso presunzioni molto ap-
prossimative. Come pure il danno da inattività produttiva — per il
consumatore indeterminabile — non trova, almeno nel nostro ordi-
namento, grande valutazione da parte delle corti. Alla fine il con-
traente danneggiato rischia di trovarsi con un pugno di mosche. Il
che sollecita la domanda se modelli di tipo compensativo e forfet-
tario — o addirittura modelli di tutela in forma specifica che si
avvalgano degli strumenti tecnologici (69) — non siano molto più

(67) Sul punto METZGER, Dienst Gegen Daten: Ein Synallagmatischer Vertrag,
cit., p. 849.
(68) METZGER, op. loc. ult. cit.
(69) Si pensi ad esempio, sia pure in un diverso ordine di problemi, al riconosci-
mento da parte del BGH dell’obbligo di attivazione in capo all’autore di contenuti
diffamatori al fine di ottenere la cancellazione della notizia da parte di tutti i successivi
fruitori di essa nell’ambiente on line (rimedio a cui ora si ispira anche il regolamento
generale sulla protezione dei dati, all’art. 19): BGH, 28 luglio 2015, in Dir. inf., 2016,
p. 292, con nota di ERAMO PUOTI. Nello schema della proposta di direttiva, l’art. 13,
comma 2º, lett. b) prevede, come conseguenza della risoluzione su iniziativa del
consumatore, l’impossibilità per il fornitore di continuare a far uso dei dati ottenuti
come controprestazione, ma non si precisa il destino dei dati trasferiti a terzi (ad es.
società di direct marketing e profilazione); in questi casi l’ipotesi di un obbligo di
attivazione simile a quella prevista dall’art. 19 del regolamento potrebbe risultare
opportuna. Del pari, deve segnalarsi l’importanza che assume in questo scenario il
diritto alla portabilità dei dati (art. 13, comma 2º, lett. c) della proposta di direttiva e art.
20 del regolamento generale), che rappresenta giusrealisticamente una forma di tutela in
forma specifica dell’interesse del consumatore, specie nel contesto dei servizi di social
— 440 —

efficienti sia dal punto di vista satisfattivo che da quello general-


preventivo.
Dunque anche sotto questo aspetto i rapporti digitali offrono
spunti di riflessione sul ruolo del diritto nella società di massa
sempre e ovunque connessa alla rete.

scoring e rating on line (in tema v. JANAL, Data Portability - A Tale of Two Concepts, in
JIPITEC, 8, 2017, p. 59).