Servizi digitali e contratti invisibili: quando i dati personali diventano corrispettivo
Quando utilizziamo una piattaforma online, un social network o una app senza pagare un prezzo in denaro, tendiamo a considerarla gratuita. Ma nel mercato digitale attuale, la gratuità è solo apparente. In realtà, stiamo pagando con qualcosa di estremamente prezioso: i nostri dati personali. Ogni click, ogni consenso prestato, ogni interazione genera informazioni — indipendentemente dal fatto che noi ne siamo consapevoli — che vengono raccolte, elaborate e trasformate in valore economico.
Le imprese digitali, infatti, raccolgono informazioni sul nostro comportamento online, le preferenze, la geolocalizzazione, le interazioni e persino i nostri interessi impliciti, per costruire veri e propri profili utente. Questi profili vengono utilizzati per personalizzare contenuti, mostrare pubblicità mirate e, in molti casi, sono anche oggetto di monetizzazione verso imprese terze, interessate ad attività di marketing, profilazione o analisi di mercato.
È un ecosistema dove l’identità digitale diventa una merce di scambio.
Ed è proprio qui che entra in gioco il concetto di contratto digitale: anche in assenza di una transazione monetaria, la cessione dei dati personali costituisce una controprestazione. In altre parole, quando navighiamo online, anche se non acquistiamo nulla, stiamo stipulando un contratto, che genera obblighi e diritti. La normativa europea, con la Direttiva (UE) 2019/770, ha formalmente riconosciuto questa realtà, attribuendo tutele concrete al consumatore digitale anche quando il “prezzo” pagato è costituito esclusivamente dai nostri dati personali.
Non si tratta solo di una questione economica, ma di un nodo giuridico centrale nella regolazione del mercato digitale: riconoscere i dati personali come moneta significa attribuire agli utenti un ruolo attivo e protetto nei rapporti contrattuali online.
Contratto digitale e protezione dei dati personali: i diritti del consumatore
La Direttiva (UE) 2019/770, entrata in vigore in Italia nel gennaio 2022, segna un cambiamento fondamentale nel mercato digitale, riconoscendo che anche i dati personali possano essere considerati un corrispettivo contrattuale nei servizi digitali. Questo approccio innovativo stabilisce che chi paga con i propri dati personali deve godere delle stesse garanzie previste per chi paga in denaro.
Tra i diritti riconosciuti dalla direttiva in capo al consumatore digitale, che cede i propri dati personali come corrispettivo, troviamo:
- il diritto a ricevere un servizio conforme: il consumatore ha il diritto di ottenere un servizio che rispetti gli standard previsti dal contratto. Questo è stabilito dagli articoli 5 e 6 della direttiva, che garantiscono che i servizi digitali siano conformi alle caratteristiche descritte e funzionanti come promesso;
- il diritto a ricevere aggiornamenti regolari: l’articolo 7 stabilisce che i servizi digitali devono essere aggiornati regolarmente per garantire sicurezza e funzionalità nel tempo. Anche se l’accesso al servizio non prevede un pagamento in denaro, il consumatore ha diritto alla manutenzione continua del servizio;
- il diritto alla risoluzione del contratto in caso di difetti o mancata fornitura: se il servizio digitale non viene fornito come previsto, o presenta difetti, il consumatore ha il diritto di risolvere il contratto e chiedere rimedi. Gli articoli 12, 13 e 14 stabiliscono i rimedi previsti in caso di non conformità, tra cui il ripristino del servizio, la riduzione del prezzo o la risoluzione del contratto;
- il diritto di revocare il consenso: come previsto dall’articolo 3, par. 1 della direttiva, che richiama il GDPR, il consumatore ha il diritto di revocare il consenso dato per il trattamento dei propri dati. In tal caso, il trattamento deve cessare e gli effetti sul contratto saranno regolati, consentendo al consumatore di interrompere l’accesso al servizio;
- Il diritto al rimborso e ad altri rimedi in caso di inadempimento: qualora il fornitore non adempia agli obblighi contrattuali, l’articolo 15 della direttiva consente al consumatore di chiedere il rimborso o altri rimedi previsti dal contratto, come sconti o la risoluzione dell’accordo.
Accanto alla protezione prevista dalla Direttiva 2019/770, il consumatore digitale beneficia anche della protezione offerta dal Regolamento GDPR (Reg. UE 2016/679), che si concentra principalmente sulla tutela dei dati personali.
In altre parole, l’interessato gode di una doppia tutela: come parte contrattuale ai sensi della Direttiva 2019/770 e come titolare dei dati personali ai sensi del GDPR.
I diritti riconosciuti all’interessato dal Regolamento nell’ambito della protezione dei dati personali sono i seguenti:
- diritto a essere informato (articoli 13 e 14): l’interessato ha il diritto di essere informato su come i suoi dati vengono raccolti, trattati e utilizzati;
- diritto di revocare il consenso (articolo 7.3): l’interessato può revocare in qualsiasi momento il consenso dato per il trattamento dei suoi dati personali, senza che ciò pregiudichi la liceità del trattamento precedente;
- diritto di opposizione al trattamento (articolo 21): l’interessato può opporsi al trattamento dei propri dati personali in determinati casi, per motivi legittimi e specifici;
- diritto alla cancellazione dei dati (articolo 17): l’interessato può richiedere la cancellazione dei propri dati personali, a meno che non sussistano motivi legittimi per conservarli.
Per comprendere meglio le tutele previste dalla Direttiva 2019/770 e dal GDPR, possiamo fare un confronto tra i diritti riconosciuti ai consumatori che pagano in denaro e quelli che cedono i propri dati personali. Il seguente box riepiloga le principali garanzie legali previste per entrambe le modalità di accesso al servizio.
|
Tutela prevista |
Pagamento in denaro |
Cessione di dati personali |
|
Fornitura del servizio |
Il professionista è obbligato a fornire il contenuto o servizio pattuito. |
Il professionista è obbligato a fornire il contenuto o servizio pattuito. |
|
Conformità del servizio |
Il servizio deve rispettare le caratteristiche promesse, in termini di qualità e uso. |
Il servizio deve rispettare le caratteristiche promesse, in termini di qualità e uso. |
|
Aggiornamenti |
Aggiornamenti regolari per garantire sicurezza e funzionalità. |
Aggiornamenti regolari per garantire sicurezza e funzionalità. |
|
Rimedi in caso di difetti |
Ripristino, riduzione del prezzo o risoluzione del contratto. |
Ripristino, riduzione del servizio o risoluzione del contratto. |
|
Effetti della risoluzione |
Rimborso in proporzione al prezzo pagato per il periodo non conforme. |
Cessazione del trattamento dei dati personali e, se previsto, loro cancellazione. |
|
Ambito di applicazione |
Sempre applicabile. |
Applicabile solo se i dati personali sono forniti con consenso e trattati per scopi diversi dalla mera fornitura del servizio digitale. |
Questi diritti contribuiscono a riequilibrare un rapporto che altrimenti rischierebbe di essere troppo sbilanciato a favore del fornitore di servizi, soprattutto in presenza di modelli di business fondati sulla profilazione e sull’economia del dato.
Come funziona la profilazione (e perché ci riguarda tutti)
La profilazione dei dati personali è ormai una pratica costante nei servizi digitali. Consiste nell’analisi automatizzata delle attività online di un utente — cronologia, click, interazioni, geolocalizzazione — per costruire un profilo personalizzato che viene poi utilizzato per fini di marketing, personalizzazione dei contenuti o persino predizione del comportamento.
Secondo l’articolo 4, punto 4 del GDPR, la profilazione è il trattamento automatizzato di dati personali volto a valutare aspetti personali, come preferenze, interessi o comportamento. La finalità principale è la monetizzazione dell’attenzione e dell’identità dell’utente: ciò che vediamo online viene adattato in base a ciò che siamo — o, meglio, a ciò che l’algoritmo crede che siamo.
Questa pratica solleva importanti questioni giuridiche, soprattutto in tema di consenso. Il GDPR impone che il consenso sia libero, specifico, informato e inequivocabile (art. 4.11 e 7.4 GDPR). Tuttavia, in molti casi, l’accesso al servizio digitale è condizionato all’accettazione della profilazione, con il rischio che il consenso non sia davvero libero.
Un passaggio importante è arrivato con la sentenza della Corte di Giustizia dell’Unione Europea del 4 luglio 2023, causa C-252/21 (Meta Platforms e altri / Bundeskartellamt) (link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:62021CJ0252).
La Corte ha affermato che, quando un’impresa in posizione dominante condiziona l’accesso a un servizio alla raccolta estesa di dati personali, il consenso al trattamento potrebbe non essere considerato libero, in particolare se l’utente non può rifiutarlo senza subire pregiudizi (punti 145-149 della sentenza). La Corte ha inoltre osservato che trattamenti di dati così ampi possono generare negli utenti una sensazione di sorveglianza continua della vita privata (punto 118), mettendo in discussione la reale libertà della scelta espressa.
Questa interpretazione rafforza un principio centrale del diritto digitale europeo: i dati personali, quando diventano corrispettivo, vanno trattati con le stesse cautele del denaro.
Il consumatore digitale ha dunque diritto a:
- rifiutare la profilazione senza perdere l’accesso al servizio (ove tecnicamente possibile),
- ricevere informazioni chiare su finalità e logiche del trattamento,
- esercitare in ogni momento la revoca del consenso, il diritto di opposizione (art. 21 GDPR) e il diritto alla limitazione del trattamento (art. 18 GDPR).
Sapere cosa accade ai propri dati personali è oggi un atto di autodifesa digitale. Comprendere i meccanismi della profilazione e i propri diritti è il primo passo per non essere trattati solo come “oggetti di monetizzazione verso imprese terze”.
Caso Meta©: pagare per la privacy o acconsentire alla profilazione?
Un esempio concreto delle conseguenze giuridiche della sentenza della Corte di Giustizia dell’Unione Europea (C-252/21, luglio 2023) è rappresentato dal caso Meta.
In risposta alle crescenti pressioni normative europee, Meta ha introdotto, a partire da novembre 2023, un abbonamento mensile a pagamento per gli utenti di Facebook e Instagram che desiderano evitare la pubblicità personalizzata. Il costo è di circa 9,99 €/mese per la versione web e 12,99 €/mese per l’app mobile.
Questo modello “no ads” è stato presentato come una modalità per ottenere un consenso al trattamento dei dati più conforme al GDPR, in particolare ai requisiti di libertà del consenso previsti dall’articolo 7 e chiariti dalla Corte. Tuttavia, questa soluzione solleva dubbi sull’effettiva libertà dell’utente: il pagamento per evitare la profilazione rappresenta davvero un’alternativa libera e paritaria, oppure introduce una forma di consenso condizionato, cioè subordinato a un onere economico?
Il dibattito è ancora aperto.
Secondo alcuni, l’abbonamento rappresenterebbe un escamotage per rendere il consenso formalmente valido; secondo altri, perpetua uno squilibrio informativo ed economico, ponendo il consumatore di fronte a una scelta forzata.
In ogni caso, il modello di Meta conferma che il dato personale è ormai equiparato al denaro, sia in termini di valore economico che di rilevanza giuridica. E rafforza la centralità del principio secondo cui ogni trattamento dati deve poggiare su un consenso davvero libero, informato e non subordinato a pressioni implicite o costi alternativi.
Conclusioni: consapevolezza e trasparenza nel contratto digitale
Nel nuovo ecosistema dei servizi digitali, la vera moneta di scambio non è sempre l’euro, ma spesso sono i nostri dati personali. Questo comporta un cambiamento sostanziale nel rapporto tra utente e fornitore: ogni click, ogni accesso, ogni consenso prestato costituisce un atto contrattuale con conseguenze giuridiche concrete.
Il diritto dell’Unione Europea ha compiuto passi significativi verso l’equiparazione tra chi paga in denaro e chi accede ai servizi cedendo i propri dati personali, come dimostrano il Regolamento GDPR e la Direttiva (UE) 2019/770.
Oggi, anche quando un servizio appare “gratuito”, il consumatore digitale beneficia di tutele rafforzate, simili a quelle previste per i contratti a titolo oneroso.
Tuttavia, la protezione normativa, da sola, non è sufficiente. Serve una cultura della consapevolezza digitale: una maggiore trasparenza nelle condizioni contrattuali, una chiarezza informativa reale e strumenti accessibili per esercitare i propri diritti. Le imprese devono impegnarsi a informare in modo chiaro e comprensibile i propri utenti, mentre gli utenti hanno il diritto — e forse anche il dovere— di leggere e comprendere prima di cliccare “accetto” e autorizzare il trattamento dei propri dati personali.
Il futuro delle relazioni digitali si gioca proprio su questo equilibrio: innovazione e tutela dei diritti fondamentali. Perché, nel mondo digitale, il prezzo invisibile che paghiamo — i nostri dati personali — ha un valore reale e merita di essere trattato con la stessa serietà con cui trattiamo il denaro.
