Il D. Lgs. 173/2021 ha apportato significative modiche al Codice del Consumo consentendo l’uso dei dati personali come corrispettivo per l’acquisto di contenuti e servizi digitali e introducendo maggiori garanzie a tutela del consumatore a partire dal 1° gennaio 2022.
Le modifiche al Codice del Consumo recepiscono la Direttiva (UE) 2019/770 del Parlamento europeo e del Consiglio, relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali.
In questo articolo abbiamo coperto le modifiche del Codice del Consumo relative all’utilizzo dei dati come corrispettivo per beni e servizi e in un altro articolo abbiamo coperto le modifiche relative alle maggiori garanzie per i consumatori.
L’art. 135-octies, comma 4, del Codice del Consumo riconosce la possibilità di utilizzare i dati personali come corrispettivo per l’acquisto di contenuti e servizi digitali, prevedendo che le disposizioni del capo I-bis relativo ai “contratti di fornitura di contenuto digitale e di servizi digitali” sono applicabili anche nel caso in cui “il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista, fatto salvo il caso in cui i dati personali forniti dal consumatore siano trattati esclusivamente dal professionista ai fini della fornitura del contenuto digitale o del servizio digitale a norma del presente capo o per consentire l’assolvimento degli obblighi di legge cui è soggetto il professionista e quest’ultimo non tratti tali dati per scopi diversi da quelli previsti.”
In virtù di tale previsione, si rende, quindi, possibile utilizzare dati personali come corrispettivo per averne in cambio servizi digitali quale parte di un sinallagma contrattuale, solo nel caso in cui si acconsenta ad un trattamento eccedente rispetto a quello minimo necessario per usufruire del servizio o per consentire l’assolvimento degli obblighi di legge.
Tuttavia, a tale principio si applicano una serie di esclusioni, in relazione alle specifiche fattispecie riportate all’art. 135-novies, comma 2. A titolo esemplificativo, sono esclusi i contratti concernenti:
- servizi di assistenza sanitaria, per i servizi prestati da professionisti sanitari a pazienti;
- servizi di gioco d’azzardo;
- servizi finanziari (di natura bancaria, creditizia, assicurativa);
- servizi pensionistici individuali, di investimento o di pagamento; e
- software offerti dal professionista sulla base di una licenza libera e aperta.
Si tratta di un cambiamento rilevante che fa sorgere una serie di quesiti circa la sua compatibilità con il principio di libertà del consenso previsto dal GDPR. Infatti, se il trattamento dei dati personali per una determinata finalità ulteriore rispetto all’esecuzione del contratto è il corrispettivo per i servizi, l’individuo dovrà essere obbligato a consentirne l’utilizzo. Il raggiungimento del giusto equilibrio tra l’esigenza di beneficiare del diritto concesso dal Codice del Consumo e di evitare potenziali contestazioni di violazioni della normativa sul trattamento dei dati personali sarà decisivo, specialmente in sede di prima applicazione delle nuove previsioni.
La tipologia di beni che possono essere “acquistati” tramite i dati personali sono
- un “contenuto digitale” definito come i dati prodotti e forniti in formato digitale, quale il preventivo per l’offerta di un servizio o anche un semplice servizio di aggiornamento o newsletter sui prodotti e servizi offerti da un’azienda; o
- un “servizio digitale” definito come (i) un servizio che consente al consumatore di creare, trasformare, archiviare i dati o di accedervi in formato digitale, quale un servizio di cloud storage; o (ii) un servizio che consente la condivisione di dati in formato digitale, caricati o creati dal consumatore e da altri utenti di tale servizio, o qualsiasi altra interazione con tali dati e su questo il pensiero è subito ai servizi di instant messaging che sono tradizionalmente “gratuiti”.
Di particolare interesse è l’utilizzo dei dati come corrispettivo per l’acquisto di un contenuto digitale quale newsletter e altre comunicazioni sui beni e servizi della società. Infatti, la modifica del Codice del Consumo potrebbe aprire la porta per consentire una profilazione dei clienti, quale finalità ulteriore rispetto a quanto strettamente necessario per l’invio delle comunicazioni commerciali, senza dover fare affidamento più sul legittimo interesse o il consenso come base giuridica.
In tal caso la base giuridica potrebbe essere proprio l’esecuzione del contratto, intesa come controprestazione contrattuale a cui si impegna il consumatore ai sensi dell’art. 135-octies, comma 4, del Codice del Consumo. Si tratta di un aspetto delicato su cui sarebbe utile avere una pronuncia del Garante per la protezione dei dati personali o dell’European Data Protection Board.
Su di un simile argomento, può essere utile l’articolo “Sanzione privacy di € 1,24 milioni nei confronti di una compagnia di assicurazioni in Germania per attività di marketing senza consenso”.