Entro il 2023 gli utenti di internet saranno 5,3 miliardi, vale a dire il 66% della popolazione mondiale, e ogni persona avrà 3,6 device connessi. I dati del Cisco Annual Internet Report (2018 – 2023) rispecchiano una tendenza inevitabile e prevista da tempo, pertanto non sorprendono. Il risultato però cambia se a questi numeri si associano le statistiche relative alle attività quotidianamente svolte online. La fotografia fornita dalla società Domo rileva che nel 2020 ogni 60 secondi sono caricate su Facebook 147mila foto, condivisi su WhatsApp oltre 41 milioni di messaggi, postate quasi 350mila storie su Instagram, caricate 500 ore di video su YouTube. Nello stesso lasso di tempo l’app del momento, Tik Tok, viene installata 2.704 volte mentre su Zoom sono ospitati oltre 200mila partecipanti ai vari meetings che scandiscono la quotidianità di molti di noi.
La quantità di informazioni e dati personali condivisi su internet ha raggiunto livelli inediti, con numeri destinati a crescere ancora esponenzialmente nell’immediato futuro. La nostra è a tutti gli effetti una società fondata e trainata dai dati, a tal punto da rendere anacronistico l’ormai abusatissimo paragone con il petrolio.
Alcune recenti pratiche commerciali potrebbero tuttavia aver reso nuovamente attuale l’associazione con l’oro nero. Il tema è quello della cosiddetta monetizzazione diretta dei dati personali, vale a dire la remunerazione della cessione, variamente qualificata, dei propri dati a terzi soggetti. Si tratta di un argomento estremamente delicato ma cruciale, non più eludibile nel dibattito nazionale ed internazionale e che si trova spesso ad essere preda di facili e, occorre dirlo, pericolose semplificazioni. In gioco ci sono principi e valori fondamentali, libertà e diritti che rischiano di essere diluiti e svalutati da una mercificazione di difficile inquadramento giuridico.
Ritengo che il modo migliore per analizzare questo nuovo fenomeno sia quello di provare a rispondere a queste tre domande: che cosa abbiamo imparato sulla protezione dei dati personali? A cosa stiamo assistendo oggi? Dove occorre fermarsi per non distruggere il patrimonio di valori e diritti che abbiamo con fatica accumulato?
Che cos’è la protezione dei dati personali?
Quando si parla di privacy, si parla oggi anzitutto di un diritto, il diritto alla protezione dei dati personali, che implica anche il diritto alla riservatezza e che, al pari di altri, come ad esempio quello alla salute, è uno dei diritti fondamentali. In quanto tale, il diritto alla privacy si caratterizza per essere riconosciuto ad ogni persona e per essere un diritto inviolabile e indisponibile, vale a dire che non può essere alienato né andare incontro a prescrizione. Questo carattere viene ribadito anche dal primissimo considerando del Regolamento Generale sulla Protezione dei Dati (Gdpr), dove vengono altresì ricordate le norme di rango superiore che ne sanciscono la portata (“La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea (Tfue) stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”).
Il diritto alla protezione dei dati personali ha però un carattere unico, vale a dire quello di porsi quale precondizione per il godimento di ulteriori diritti e libertà. Usando una proporzione, la privacy sta agli altri diritti fondamentali come il Big Bang sta a tutti i pianeti e alle stelle del firmamento. Si tratta di un valore che, nonostante sia emerso nella sua portata e sia stato codificato solo in tempi recenti in virtù dell’esplosione tecnologica, viene ontologicamente prima degli altri diritti, permettendo a questi ultimi di espandersi e contrarsi a piacere.
Ma in cosa consiste esattamente questo diritto? La privacy regola il trattamento dei dati personali, dove per “trattamento” e per “dati personali” valgono le definizioni contenute all’art. 4 del Gdpr:
- Dato personale:: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale
- Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Il diritto alla privacy, attraverso la disciplina del trattamento dei dati personali, nella dialettica tra protezione e libera circolazione, fotografa e rende plastica la vita di tutti i giorni, diventando così il precursore, l’istante zero di tutti i diritti e le libertà che esercitiamo quotidianamente.
Si tratta di una prospettiva, e di una conquista, tipicamente europea. La protezione dei dati personali intesa come diritto costituzionale è un portato della nostra tradizione, il cui riconoscimento affonda le radici nella terribile negazione dei diritti che ha macchiato in maniera incancellabile la storia del Novecento. Oggi stiamo esportando in tutto il mondo questo immenso valore giuridico e identitario, ma esistono comunque delle sacche di resistenza, blocchi demografici, politici e sociali – come la Cina o gli Stati Uniti – che non concepiscono la privacy come un diritto fondamentale e che, di conseguenza, non considerano il dato personale alla stregua di un bene giuridico meritevole di una tutela di rango costituzionale. Il dato personale viene pertanto concepito, in tali sistemi giuridico-sociali ed economici come un prodotto commerciabile, assoggettabile alle regole del libero mercato, in altre parole una merce, scambiabile ed economicamente valutabile.
E’ questa una importante prospettiva, degna di nota e di discussione, ma non è la nostra, né è quanto prescrive il nostro ordinamento giuridico, nazionale e comunitario.
La valorizzazione economica dei dati personali
La seconda delle tre domande poste all’inizio ci porta a considerare un fenomeno che è sotto gli occhi di tutti da ormai una ventina d’anni. Le informazioni con cui ogni giorno popoliamo la Rete hanno via via acquisito una rilevanza economica sempre maggiore. I dati personali sono diventati per la maggior parte delle aziende un patrimonio inestimabile, capace addirittura di trainare interi mercati.
La raccolta, lo studio, la protezione e la valorizzazione di questi asset informativi sono oggi pratiche diffusissime e quasi imprescindibili. Basti pensare che la ricerca dell’Osservatorio Big Data Analytics & Business Intelligence della School Management del Politecnico di Milano ha quantificato in 1,7 miliardi di euro il valore del mercato dei Big Data Analytics in Italia nel 2019, in crescita del 23%, con il 93% delle grandi aziende che sta investendo in progetti di Analytics.
Nella moderna società dell’informazione facciamo esperienza quotidiana di questa rilevanza economica dei dati, personali e non. Uno spazio pubblicitario viene venduto a prezzi diversi a seconda delle informazioni che si pubblicano, il numero di click – e quindi di introiti pubblicitari – di una notizia varia a seconda del protagonista della vicenda narrata, l’offerta di prodotti diventa più efficace se si conoscono le abitudini di spesa del cliente. L’elenco potrebbe facilmente proseguire.
La valorizzazione dei dati personali non deve pertanto in alcun modo sorprendere o scandalizzare, né tanto meno allarmare. Si tratta di attività lecite, che il legislatore e le autorità, nazionali e dell’Unione Europea, hanno ampiamente studiato e regolamentato. Certo, tutto è migliorabile, ma la nostra base di partenza può dirsi salda, tra norme a tutela della privacy e del copyright e provvedimenti che disciplinano il marketing e la profilazione degli utenti nell’ottica del diritto alla protezione dei dati personali (si pensi a quelli pionieristici della nostra Autorità Garante per la protezione dei dati personali del 2005 in tema, ad esempio, di fidelity card).
In queste forme ed entro tali confini di diritto, la valorizzazione dei dati fa già parte della nostra economia, come dimostrano le filiere di soggetti specializzati proprio nel brokeraggio di informazioni. E non è certo questo ciò che deve essere messo in discussione.
La “monetizzazione” o “mercificazione” del dato personale
Ma fin dove può spingersi la valorizzazione economica delle informazioni personali senza entrare in contraddizione, e quindi violare, la natura di diritto fondamentale della privacy?
Come si è visto, la protezione dei dati personali costituisce una precondizione per il godimento degli altri diritti e libertà. Pertanto, una violazione del diritto alla privacy pregiudica anche l’effettivo esercizio degli ulteriori diritti che grazie ad essa si esprimono nella realtà di tutti i giorni. Si pensi, banalmente, al diritto di voto: potrebbe liberamente e compiutamente esercitarsi se altri soggetti potessero acquistare, dietro adeguata remunerazione, le scelte compiute in cabina elettorale?
Ecco che allora il diritto alla privacy, in quanto diritto costituzionale, sancisce logicamente e giuridicamente il divieto a trasformare il bene giuridico su cui insiste, vale a dire il dato personale, in mera merce, in quanto bene idoneo a rilevare la capacità di godimento dei diritti e delle libertà di un individuo. Monetizzare direttamente un proprio dato personale, scambiarlo come un prodotto in cambio di denaro, oltre a rendere disponibile un diritto che per definizione deve essere indisponibile, comporta una monetizzazione, e quindi una alienazione, di tutti i diritti e le libertà a cui quel dato fa da presidio e ponte.
Più in generale, l’inserimento dell’elemento – in questo caso eversivo – del prezzo finirebbe con il creare un aberrante mercato dei dati personali, con una corsa al ribasso del tutto contraria all’etica pubblica e ad uno stato civile, annientando al tempo stesso tutte le nostre difese di fronte alle minacce di una possibile dittatura algoritmica.
La valorizzazione economica dei dati non può dunque spingersi oltre queste barriere giuridiche e, prima ancora, etiche. Bene allora ha fatto il Presidente dell’Autorità Garante italiana, Pasquale Stanzione, a ribadire in una recente intervista a CorCom che “i dati personali, prima che una risorsa economica, costituiscono un bene giuridico, oggetto di un diritto “di libertà” che come tale non può essere alienato. Una delle sfide più delicate riguarda proprio la monetizzazione dei dati. Se, infatti, si legittimasse la remunerazione del consenso al trattamento, si rischierebbe la rifeudalizzazione dei rapporti sociali, ammettendo che per necessità si possa essere disposti a cedere, con i dati, la propria libertà”.
Anche l’European Data Protection Board (Edpd), nelle Linea guida 2/2019 sul trattamento di dati personali ai sensi dell’art. 6, par. 1, lett. b) del Gdpr nel contesto della fornitura di servizi online agli interessati, adottate l’8 ottobre 2019, ha precisato che “considerando che la protezione dei dati è un diritto fondamentale garantito dall’articolo 8 della Carta dei diritti fondamentali, e che una delle finalità principali del Gdpr è quella di fornire agli interessati il controllo sulle informazioni che li riguardano, i dati personali non possono essere considerati un bene commerciabile. Anche se l’interessato può acconsentire al trattamento di dati personali, non può cedere i propri diritti fondamentali attraverso tale accordo» (e in nota l’Edpd ha aggiunto anche che “oltre al fatto che l’uso dei dati personali è disciplinato dal Gdpr, vi sono altri motivi per cui il trattamento dei dati personali si distingue concettualmente dai pagamenti monetari. Ad esempio, il denaro può essere contato, il che significa che è possibile confrontare i prezzi in un mercato concorrenziale e di norma i pagamenti in denaro possono essere effettuati soltanto con la partecipazione dell’interessato. Inoltre i dati personali possono essere sfruttati da più servizi contemporaneamente. Una volta perduto il controllo sui propri dati personali, non è detto che tale controllo possa essere ripristinato”).
E più volte anche l’European Data Protection Supervisor (Edps) ha sposato tale prospettiva: ne sono un esempio l’Opinion 8/2016, l’Opinion 4/2017 sulla Proposta di Direttiva relativa a determinati aspetti dei contratti di fornitura di contenuto digitale o l’Opinion 8/2018 sul pacchetto legislativo “A New Deal for Consumers”.
Tali indicazioni non sono di poco conto, se si considera che proprio la Direttiva (UE) 2019/770 del 20 maggio 2019 relativa a determinati aspetti dei contratti di fornitura di contenuto digitale e di servizi digitali, al considerando 24, ha espressamente riconosciuto che “la fornitura di contenuti digitali o di servizi digitali spesso prevede che, quando non paga un prezzo, il consumatore fornisca dati personali all’operatore economico. Tali modelli commerciali sono utilizzati in diverse forme in una parte considerevole del mercato. Oltre a riconoscere appieno che la protezione dei dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce, la presente direttiva dovrebbe garantire che i consumatori abbiano diritto a rimedi contrattuali, nell’ambito di tali modelli commerciali”.
Per di più, i citati provvedimenti dell’Edps portano tutti la stessa firma, quella di Giovanni Buttarelli, uno dei Maestri della privacy in Europa. Il suo pensiero sulla monetizzazione dei dati personali è da sempre stato chiaro e netto, come ricordato anche nell’opera postuma “Privacy 2030. Una nuova visione per l’Europa”, recentemente pubblicata sul sito del Garante assieme alla Iapp, International Association of Privacy Professionals, in traduzione italiana: “Logiche “proprietarie” del dato e la legittimazione di un mercato dei dati rischiano di provocare un’ulteriore mercificazione dell’identità individuale aumentando l’atomizzazione sociale. Rischiamo una privatizzazione della privacy, nel senso che solo i potenti avranno la possibilità di tutelare i propri segreti. I modelli di business dovrebbero essere al servizio del patto sociale, e non sostituirvisi. Il diritto alla dignità dell’uomo impone di fissare limiti alla possibilità di scannerizzare, monitorare e monetizzare le persone, a prescindere da ogni affermazione di un presunto “consenso””.
Un pensiero che già Stefano Rodotà, uno dei Padri della privacy europea, aveva espresso con il solito, inesauribile, spirito precursore. Già nel 2006 ne “La vita e le regole. Tra diritto e non diritto” Rodotà scriveva che “consegnando i diritti fondamentali all’area dell’indecidibile, e affermandone l’indivisibilità, si è voluto in primo luogo escludere che il loro nucleo duro possa essere considerato come un titolo giuridico scambiabile sul mercato. Attraverso la ricomposizione unitaria dei diritti fondamentali intorno alla persona si giunge così ad individuare l’area di ciò che non può stare nel mercato. I diritti fondamentali si pongono a presidio della vita, che in nessuna sua manifestazione può essere attratta nel mondo delle merci”.
I limiti che non possono essere travalicati
Assoggettare il dato personale alle regole del mercato, mercificare le informazioni che determinano la nostra identità dinamica, inserire l’elemento sovversivo del prezzo: in definitiva, sono questi i limiti che non devono assolutamente essere travalicati. I dati personali non sono e non possono diventare come il petrolio, una merce da offrire al migliore offerente, il cui valore viene determinato da asettiche leggi economiche e non dal diritto fondamentale che esprimono.
Dunque, si alla valorizzazione, no alla monetizzazione diretta delle informazioni personali. La valorizzazione dei dati personali continuerà ad essere un trend in crescita e l’intervento normativo, nazionale e sovranazionale, dovrà mantenersi sempre al passo con gli ultimi sviluppi tecnologici al fine di consentire il migliore contemperamento tra tutela di un diritto fondamentale e esigenze di mercato. Aprire alla monetizzazione diretta delle informazioni è, invece, un’opzione non percorribile, per tutti i motivi fino a qui evidenziati. Non vedo alcuna possibilità di vendere un dato personale, peggio ancora se sensibile, senza violarne la natura di bene giuridico oggetto di un diritto fondamentale, senza dunque essere contra legem. Se però qualcuno crede di essere in grado di tracciare una terza via sarò più che felice di ascoltarlo.
