“Con questa sentenza i giudici del Consiglio di Stato riconoscono che le vicende che coinvolgono operazioni sui dati non possono essere lette esclusivamente nell’ottica del trattamento dei dati, delle sue dinamiche e della sua rilevanza come diritto fondamentale (la c.d. privacy). Difatti, se ogni volta in cui viene in gioco un trattamento dovesse prevalere solo la dimensione del diritto alla protezione dei dati, si finirebbe col sottrarre tali situazioni al sindacato di altre autorità aventi competenza in settori diversi, come ad esempio l’Agcm in materia di tutela dei consumatori”. Così l’avvocato Rocco Panetta, tra i massimi esperti a livello nazionale e internazionale di diritto delle nuove tecnologie e avvocato della data economy, commenta in una intervista con CorCom la recente pronuncia del Consiglio di Stato che ha confermato la sentenza con la quale il Tar per il Lazio si era pronunciato sul ricorso proposto da Facebook nei confronti del provvedimento adottato nel 2018 dall’Autorità garante della concorrenza e del mercato (Agcm).
Avvocato Panetta, qual è il punto giuridico di maggiore innovazione desumibile dalle quarantotto pagine della sentenza del Consiglio di Stato?
Occorre innanzitutto puntualizzare che con questa pronuncia è stata ribadita la correttezza delle conclusioni del Tribunale amministrativo regionale per il Lazio nel caso che ha visto l’Agcm contrapposta a Facebook. Al di là dei rilievi descrittivi, i giudici del Consiglio di Stato ci consegnano un importante ragionamento e posizionamento sullo stato attuale, la reciproca autonomia e le correlazioni di due normative di rilevanza nazionale ed europea, vale a dire quella a tutela dei consumatori e quella a tutela dei dati personali. Si tratta di una sentenza estremamente singolare – e in un certo senso anche piacevole da leggere – che fa emergere in un sol colpo quanto noi operatori della data economy riconosciamo e sosteniamo da sempre. E cioè il fatto che i dati personali abbiano un’indiretta rilevanza proprio sul fronte dei mercati, sul fronte economico. Questo è un aspetto tutt’altro che scontato, la cui ricostruzione è decisamente complessa.
Che cosa ci dice a questo proposito la sentenza?
Posto che viene riaffermata la rilevanza economica del trattamento dei dati personali, la stessa viene correttamente identificata dal Consiglio di Stato come un elemento rilevante ai sensi della normativa sulla tutela del consumatore. A dirla tutta, qualcuno potrebbe vedere in questa sentenza un vulnus alla tutela costituzionale del diritto alla protezione dei dati e alla natura di res extra commercium del dato personale. Così invece non è. I giudici infatti riconoscono chiaramente questa dimensione, ma ci dicono anche che le vicende che coinvolgono operazioni sui dati non possono essere lette esclusivamente nell’ottica del trattamento, delle sue dinamiche e della sua rilevanza come diritto fondamentale. Non esiste ambito umano che possa ormai prescindere dal trattamento di dati, ma se ogni volta in cui viene in gioco un trattamento dovesse prevalere sempre e solo la dimensione del diritto alla protezione dei dati si finirebbe col sottrarre tali situazioni al sindacato di tutte le autorità aventi competenza in settori diversi. In altre parole, il diritto alla protezione dei dati resta una materia costituzionalmente tutelata a livello europeo e la competenza in tale ambito rimane quella delle relative autorità di controllo e garanzia; tuttavia, laddove un trattamento si caratterizzi per avere una rilevanza diversa ed ulteriore, come nel caso dell’ambito consumeristico, è giusto che sussista (anche) la competenza dell’Agcm. Ed è esattamente quello che è avvenuto nel caso di specie. Il tema rilevante qui è come evitare che si crei una sorta di “Bis in idem”, cioè che le Autorità si sovrappongano o si contraddicano o addirittura che l’una strabordi nelle competenze dell’altra. Mentre c’è senz’altro spazio e bisogno di percorsi paralleli di tutela e regolamentazione, ciò che va evitato ad ogni costo è l’iper controllo e regolamentazione (sebbene l’Agcm non ha poteri di regolamentazione in senso stretto, a differenza di Agcom e Garante Privacy).
Come dovrebbero allora strutturarsi i rapporti tra autorità indipendenti per affrontare una tematica che sta diventando sempre più cruciale?
Ritengo sia estremamente importante introdurre presidi e meccanismi per evitare che con la “scusa” che il dato personale è da considerarsi un bene extra commercium se ne possa invece fare un commercio surrettizio, non regolamentato, e che quindi sfugge al controllo delle autorità antitrust o che viceversa, sul presupposto che la materia abbia una rilevanza di mercato essa possa essere sottratta al sindacato essenziale del Garante Privacy. Nella dinamica attuale dei mercati e nella complessità crescente della società in cui viviamo è dunque giusto e necessario che esistano queste due autorità, così come è giusto e necessario che si mantengano separati ambiti di competenze profondamente differenti, che tuttavia possono avere dei momenti di sovrapposizione. È proprio su questo ultimo aspetto che occorre intervenire. Bisogna iniziare ad affrontare simili situazioni evitando drammi e senza la paura di sconfinare l’una nelle competenze dell’altra. Le due autorità devono imparare a coesistere perché la storia della eventuale sovrapposizione si continuerà a ripetere. E di certo non è la prima volta che si pongono situazioni di competenze, per così dire, concorrenti.
Ci potrebbe fare un esempio?
Ricordo che quando lavoravo all’Autorità Garante per la protezione dei dati personali come assistente del Presidente Stefano Rodotà si pose la questione del riordino della normativa sugli elenchi telefonici e sui dati in essi contenuti. Ovviamente la materia aveva tratti di chiara competenza dell’Autorità per le garanzie nelle comunicazioni (Agcom) così come del Garante privacy. Entrambe le Autorità avrebbero dovuto pronunciarsi e, onde evitare prese di posizione fuori sincrono o contraddittorie, insieme ad Antonio Amendola (all’epoca assistente del presidente dell’Agcom Enzo Cheli) ci venne l’intuizione di fare incontrare i vertici delle due Autorità. Ne scaturì un utile tavolo di lavoro che produsse il famoso doppio provvedimento sugli elenchi telefonici. Quindi già quasi vent’anni fa possiamo trovare degli esempi concreti e virtuosi di azioni parallele di autorità operanti in ambiti diversi ma su temi sovrapposti, affrontati e risolti sempre e comunque sulle base e nel rispetto delle esigenze delle rispettive normative di riferimento.
Un altro tema importante è quello relativo alla monetizzazione e alla valorizzazione dei dati personali. Qual è la sua posizione a riguardo?
Io da sempre non vedo difficoltà nel considerare la rilevanza, anche economica, del dato personale. Si negherebbero altrimenti dinamiche già presenti da tempo nella stessa normativa sulla protezione dei dati. Quando infatti il Regolamento (UE) 2016/679 (Gdpr) individua tra i presupposti di liceità del trattamento diversi strumenti, come il consenso o l’esecuzione contrattuale, ci fa capire che il dato personale è pressoché ovunque e, soprattutto, che esso ricopre un ruolo importante proprio in quello che è lo strumento principe per disciplinare le relazioni patrimoniali, vale a dire il contratto. Pertanto, che il dato personale sia già l’attore principale della vicenda contrattuale non è qualcosa che scopriamo oggi. Qui però si deve evitare di cadere in errore. La valorizzazione economica del dato è qualcosa che deve essere sempre mantenuta in considerazione, anzi sarebbe opportuno che la stessa Autorità Garante, come in tante occasioni ha già fatto, tenga in estremo riguardo anche l’impatto economico della propria regolamentazione. La monetizzazione, invece, è qualcosa di completamente diverso, che viene a volte strumentalmente confusa con la valorizzazione economica. Emerge in questa sede quella diffusa semplificazione per cui quando non ti fanno pagare un prezzo vuol dire che il prezzo sei tu con il tuo dato personale. Ebbene, questo in determinati ambiti inizia ad avere una propria tangibilità, ma non è sempre così. Basti pensare alle carte fedeltà, laddove gli operatori che mettono in piedi programmi di fidelizzazione non usano il dato personale come una controprestazione, trovandosi pertanto il dato del tutto svincolato da logiche di monetizzazione. Ecco che dunque esiste già una contro narrativa per cui il dato personale a rilevanza patrimoniale svolge delle funzioni diverse da quella che si vorrebbe far credere essere sempre e soltanto la bieca monetizzazione. Al tempo stesso, aprire e accettare ineluttabilmente il fenomeno del pagamento con il dato personale per ottenere un servizio sicuramente genererebbe delle dinamiche di nuova schiavitù tecnologica. Non siamo ai soliti allarmismi dei soliti conservatori retrogradi. Vendere i propri dati, e quindi pezzi della propria vita, per avere in cambio un servizio digitale o un qualsiasi altro servizio o bene genererebbe delle logiche di svendita e di prostituzione dell’identità personale che sappiamo non essere considerate generalmente accettabili dalla costituzione comunitaria e, di conseguenza, dall’ordinamento italiano. Dico “generalmente” perché la stessa sentenza che siamo qui oggi a commentare pone l’accento su una monetizzazione mascherata del dato personale per avere accesso ad un servizio. È chiaro che non siamo ancora nella fase degenerata in cui in cambio di un dato personale si offre qualche decina di euro. Ma avviandosi su questo percorso in maniera non selettiva e non razionale si rischia di mettere un prezzo ad ogni cosa, dalla propria opinione politica ad ogni libera manifestazione del pensiero, finendo così per introdurre una modalità di condizionamento della società che è proprio ciò che la nostra Costituzione vuole evitare ponendo l’accento sull’intangibilità delle libertà personali.
Il fenomeno, sempre più frequentemente sponsorizzato da alcune aziende, di “data ownership” è secondo lei compatibile con il bilanciamento che, in punto di accountability, il legislatore europeo ha operato tramite il Gdpr tra tutela dei diritti individuali e legittime esigenze di mercato?
Il tema della data ownership è stato ormai destituito di ogni fondamento dalle regole dettate dal Gdpr, il quale pone l’accento sul tema del controllo. Tant’è che colui che tratta i dati non ne diventa proprietario, ma è un semplice data controller, un soggetto che ne ha un controllo temporaneo per ottenere una finalità, così come non è proprietario neanche l’interessato, colui al quale il dato fa riferimento, perché è nei fatti un soggetto che gode dei propri diritti in funzione di come i dati che lo definiscono ed identificano vengono trattati. È dunque una discussione radicalmente fuori dal dibattito europeo. Ma c’è di più. La data ownership veniva diffusamente considerata un’opzione percorribile negli Stati Uniti. In quel mercato l’appropriazione del dato, e quindi la sua cessione e la sua vendita, è stata spesso ritenuta una pratica possibilmente governabile anche da logiche di tutela della proprietà intellettuale. Tuttavia, anche oltre oceano il dibattito inizia a focalizzarsi più sulla tutela di un diritto fondamentale. Anche Cameron Kerry, con cui una decina di anni fa ebbi modo di confrontarmi su questi temi e che aveva un’impostazione che seguiva quella più diffusa nel contesto americano, ha di recente sposato una posizione più europeista sul tema dell’uso del dato come diritto fondamentale e non come diritto di proprietà. Ciò è accaduto proprio perché si è cominciato ad assistere ad alcune importanti e pericolose derive legate all’uso del dato inteso come dato proprietario e quindi come dato monetizzabile (vedasi il caso Cambridge Analytica) che hanno generato grande allarme sociale, con il conseguente rifiuto, allo stato attuale, di tale schema da parte del legislatore americano che sta provando a scrivere le nuove norme in materia di data protection.
In conclusione, ritiene che i tempi siano maturi per una presa di posizione netta sulla possibile “commerciabilità” dei dati personali? E, in caso affermativo, quale dovrebbe essere secondo lei la sede più opportuna per metterla nero su bianco?
Io credo che gli elementi ci siano già tutti. Questa sentenza ci offre esattamente la linea di demarcazione sulla quale occorre lavorare. I dati personali sono beni extra commercium, non possono essere acquistati o venduti, non possono essere il corrispettivo per un pezzo di libertà. In tal senso si sono già espresse tutte le massime istituzioni europee (Edps, Edpb e Corte di Giustizia) e anche il nostro Garante. Al tempo stesso le dinamiche fluide e l’enorme e dirompente accelerazione delle piattaforme digitali nella fruibilità di beni e servizi pongono in alcune circostanze degli elementi che sembrano apparentemente in contraddizione con tali conclusioni. Lo stesso legislatore europeo con la Direttiva (UE) 2019/770 apre alla possibilità che in determinati settori si possa utilizzare il dato come una componente della controprestazione contrattuale, ancorché non si tratti di una vera e propria monetizzazione. La pronuncia del Consiglio di Stato ci aiuta anche a comprendere che i regimi di tutela del consumatore, da un lato, e di tutela del dato personale, dall’altro, sono complementari e non in contrapposizione. Di conseguenza, l’azione delle due Autorità non deve essere intesa secondo rapporti di prevalenza. Al contrario, si tratta di attività complementari e parallele con alcuni momenti di inevitabile incontro determinati dalla natura dei servizi e dall’evoluzione della specie tecnologica. Alla luce di tutto questo, non credo che l’intervento di un legislatore da questo punto di vista possa aggiungere nuove carte decisive al mazzo. È più l’opera delle corti che dovrebbe crescere. Questa sentenza deve diventare un precedente fondamentale per permettere ai tribunali di conoscere e comprendere sempre più il fenomeno del mercato e dell’economia dei dati, il quale, laddove porti con sé anche un tema di economia del dato personale, richiede di mettere in campo tutti i presidi che le normative consumeristica e di protezione dei dati già offrono. E’ dunque più semplice di quanto si immagini.