Un’app può usare gli altrui dati personali in cambio del servizio?

I dati personali diventano moneta di scambio: la privacy può essere oggetto di rinuncia e di cessione a terzi. 

«La privacy non esiste più» si ripete spesso, con ciò sottintendendo però che sono gli stessi privati a rinunciarvi in cambio dell’apertura di un account su un social, dell’utilizzo di una piattaforma web, del download gratuito di un’app. Ma se è vero che non ci vuole nulla a convincere l’utente a fornire il proprio nome, cognome, data di nascita e numero di cellulare, bisogna anche chiedersi se è legittimo, dall’altro lato, il comportamento del gestore che subordina lo sblocco del proprio servizio alla cessione dei dati personali. Possono le informazioni relative alla vita di una persona, normalmente coperte da privacy, costituire merce di scambio o, per dirla in parole economiche, una vera e propria “moneta”? Un’app può usare gli altrui dati personali in cambio del servizio?

Fino a ieri la risposta era dubbia. Difatti il codice della privacy stabiliva che, intanto la richiesta di dati personali del fruitore del servizio era lecita in quanto la stessa fosse necessaria all’«esecuzione del contratto» (ossia al funzionamento del servizio stesso). Così, ad esempio, un’app che riesca ad invecchiare le forme del viso di una persona deve poter accedere alla galleria delle foto presenti sullo smartphone; il venditore di un biglietto per un concerto deve conoscere l’email dell’acquirente a cui inviare il ticket; un hotel ha diritto a fare la fotocopia della carta d’identità dell’ospite ai fini delle comunicazioni alle autorità competenti per come la legge gli impone. 

Erano invece da ritenere illegittime tutte le richieste non essenziali all’esecuzione del contratto. Così, ad esempio, un sito di e-commerce non avrebbe mai potuto chiedere la copia del passaporto dell’acquirente. Così come illegittime erano, e sono tutt’ora, le cessioni di tali dati a terzi: anche se forniti dall’utente, infatti, le informazioni personali non possono essere vendute o date in prestito ad altre aziende. Ragion per cui sono da ritenere illegali tutti i servizi di email marketing effettuati con banche dati reperite dal web o acquisite da società terze.

Alcuni di questi concetti però sono stati ormai superati dal decreto legislativo del 29 ottobre 2021, che ha attuato la direttiva Ue n. 2019/770 sui contratti di fornitura di contenuti digitali [1]. La riforma, che va a modificare il codice della privacy ed il famoso Gdpr (ossia la direttiva europea sul trattamento dei dati personali) legittima la cessione delle informazioni personali in cambio di un servizio digitale. In pratica viene legalizzata una forma di commercio tipica dei nostri tempi: i dati diventano moneta. La privacy stessa diventa moneta di scambio e può essere usata per comprare servizi digitali. 

Sicché chi lamenterà spam, sms ed email pubblicitarie non potrà che prendersela con se stesso, per aver cliccato su troppe caselle, per aver accettato le condizioni e, soprattutto, per non averle lette. Perché se è vero che, senza la cessione dei dati – anche quelli non pertinenti al contratto – il servizio potrà essere negato, l’utente avrà sempre la possibilità di non accettare le condizioni e disinstallare l’app o rinunciare alla visibilità di un social. Allora il punto sarà stabilire che valore dà un privato cittadino ai propri dati personali e quale invece lo danno le aziende che fanno marketing e profilazione. 

La nuova normativa, se da un lato legittima lo scambio dei dati personali, dall’altro lato offre una serie di garanzie all’utente dalle frodi o comunque dai servizi farlocchi. Si pensi, ad esempio, ad un’app che, appena scaricata e prima dell’utilizzo, raccolga i dati dell’utente e dopo gli offra un’utilità minima, se non ridicola. L’utilizzatore la disinstallerà immediatamente, ma solo una volta dopo aver ormai firmato l’informativa sulla privacy e ceduto le proprie informazioni. Dunque, se è vero che la privacy diventa moneta, dall’altro lato è giusto che, a fronte di tale pagamento, l’utente abbia una prestazione effettiva, efficiente, funzionante e utile. Il consumatore ha poi diritto di avere un bene che non lo esponga a rischi informatici, virus, malware e così via. Ed è l’impresa che deve dimostrare di avere fornito qualcosa di sicuro e che non metta a repentaglio il consumatore.

Così alle forniture di contenuto digitale o di servizi digitali, a partire dal 1° gennaio 2022, si applicheranno clausole di garanzia della conformità del bene al contratto, prescrizioni a riguardo di rimedi in caso di difetto di conformità o di mancata fornitura. Sono istituti tipici della disciplina dei contratti del consumatore, che si adattano ora al particolare oggetto, digitale, della fornitura: diritti di recesso, di rimborsi e risarcimenti.

Torniamo alla domanda iniziale: un’app può usare i tuoi dati personali in cambio del servizio? Oggi può farlo: per effetto del dlgs viene ufficialmente inserita nell’ordinamento giuridico la possibilità dell’utilizzo dei dati quali corrispettivo. 

A questo punto si apriranno tutta una serie di interrogativi a cui le istituzioni e i giudici dovranno fornire risposta. Ad esempio, è legittimo chiedersi quali tipi di dati possano essere usati come mezzo di pagamento, se cioè si debbano escludere i dati sensibili e quelli particolari (si pensi alle informazioni relative alla salute). Altro tema è se sui dati consegnati in pagamento si possano esercitare i diritti previsti dal Gdpr quali la cancellazione. Ed ancora si dovrà chiarire se tali dati possono essere oggetto di cessione a terzi soggetti oppure devono restare nell’esclusivo possesso del cessionario.