Il decreto legislativo approvato dal Consiglio dei ministri il 29 ottobre 2021, che attua la Direttiva UE 2019/770 relativa a determinati aspetti dei contratti di fornitura di contenuti e servizi digitali, introduce nel nostro ordinamento giuridico la possibilità di utilizzare una nuova moneta on-line: il dato personale.
Il Considerando 24 della Direttiva stabilisce che “la fornitura di contenuti digitali o di servizi digitali spesso prevede che, quando non paga un prezzo, il consumatore fornisca dati personali all’operatore economico. Tali modelli commerciali sono utilizzati in diverse forme in una parte considerevole del mercato” ed elenca alcuni dati personali che possono essere usati come strumenti di pagamento, tra cui il nome e l’indirizzo e-mail, forniti da un consumatore/utente al momento della creazione di un account sui social media, fotografie e post che il consumatore pubblica on-line e che mette a disposizione per il trattamento a fini commerciali dall’operatore economico.
In sostanza, secondo la prospettiva della Direttiva europea, non si tratta di vendita di dati ma di utilizzabilità del dato personale come un corrispettivo, avente un valore commerciale.
Tale prospettiva sembra proiettarci verso una mercificazione del dato e dello scambio che necessita, inevitabilmente, di essere regolamentata da una normativa corretta e trasparente, a tutela dei diritti e delle libertà del consumatore/interessato.
Con il decreto legislativo del 29 ottobre 2021 sono stati aggiunti alcuni nuovi articoli al d.lgs. 206/2005, c.d. Codice del consumo (precisamente gli articoli da 135-octies a 135-vicies) al fine di regolamentare proprio quello scambio di beni digitali verso dati personali che già avviene sistematicamente sul web.
A partire dal 1° gennaio 2022, alle forniture di contenuti o servizi digitali verranno applicate clausole di garanzia della conformità del bene al contratto e prescrizioni riguardo ai rimedi in caso di difetto di conformità o di mancata fornitura.
Ciò che risulta essere maggiormente interessante è l’ambito di applicazione della normativa, che riguarda i contratti in cui si paga con i dati e non con la valuta.
La nuova normativa, infatti, si applica ai casi in cui l’impresa fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e quest’ultimo fornisce o si obbliga a fornire dati personali al professionista. I dati personali potrebbero essere forniti al momento della conclusione del contratto o successivamente, ad esempio nel caso in cui il consumatore autorizzi l’operatore economico ad utilizzare i suoi dati personali per proprie finalità.
Ciò che è senza dubbio necessario è che vi sia una consegna di dati direttamente finalizzata al pagamento del servizio, non semplicemente funzionale all’uso del servizio.
L’introduzione di tale possibile impiego dei dati pone una serie di questioni delicate: è possibile utilizzare tutti i dati a tal fine? Anche quelli rientranti nelle categorie particolari (i c.d dati sensibili)? Su tali dati è possibile esercitare i diritti previsti dal GDPR a favore dell’interessato?
L’altro problema che si pone riguarda il diritto alla sicurezza del bene e del servizio digitale, ovvero il diritto del consumatore ad essere protetto da rischi informatici, virus e malware.
È fondamentale chiarire, fin da subito, che è responsabilità dell’impresa dimostrare di aver fornito un servizio sicuro, che non metta a rischio il consumatore. Si creano, quindi, le basi per una responsabilità per i vizi dei prodotti digitali simile alla responsabilità per vizi dei beni materiali.
