Il tema dell’espansione dei mercati digitali e dei relativi servizi di vendita di beni/servizi ad opera dei grandi fornitori sta diventando sempre più importante, soprattutto nell’ottica di tutela dei consumatori che, spesso, oltre ad essere la parte più debole vedono l’utilizzo dei propri dati personali quale corrispettivo del servizio di cui usufruiscono.
Nel 2019 sono state pubblicate tre importanti direttive volte alla regolamentazione degli aspetti di cui sopra, segnatamente, la n. 770/2019, la n. 771/2019 e la n. 2161/2019.
La Dir. 770/2019 concerne i contratti di fornitura di contenuti o servizi digitali stipulati tra consumatori e venditori in cui l’operatore economico fornisca contenuto o servizi digitali al consumatore e questi corrisponda un prezzo. Essa trova applicazione anche quando il consumatore, anziché una somma di denaro, fornisca, quale controprestazione, dati personali. Fanno eccezione i casi in cui l’imprenditore tratti i dati dell’utente esclusivamente ai fini della fornitura del contenuto o del servizio, ovvero per assolvere a specifici obblighi di legge. Il “prezzo”, dunque, deve essere inteso come una somma di denaro oppure la rappresentazione del valore digitale come corrispettivo per la fornitura del contenuto o servizio digitale: quest’ultimo è acquistato tramite un prodotto hardware o software.
Si applica invece la Dir. 2019/771 laddove il contenuto digitale sia incorporato o interconnesso con beni: ciò significa che nel rapporto tra hardware e software prevale l’hardware.
La Dir. 2161/2019 è destinata ad essere applicabile negli Stati membri a decorrere dal maggio 2022 e consolida la tutela dei contraenti più deboli apportando modifiche alle discipline in materia di clausole abusive, di indicazione di prezzi e prodotti offerti ai consumatori, di pratiche abusive e in materia di diritti dei consumatori.
Sintetizzando, i considerando rilevano come la digital age abbia fortemente modificato ampi settori delle contrattazioni, con aumento esponenziale del potere non solo contrattuale ma anche tecnologico dei “professionisti” e che, di conseguenza, i contraenti più deboli necessitino di maggiore tutela, fatta di trasparenza, verificabilità delle informazioni ricevute, dissuasività di sanzioni, azionabilità ed effettività di rimedi concreti.
Per quanto riguarda l’importanza della tutela dei dati personali viene sottolineato come i contenuti/servizi digitali siano spesso forniti online nell’ambito di contratti che non prevedono, da parte del consumatore, il pagamento di un prezzo, bensì la comunicazione di dati personali al professionista.
In aggiunta, i professionisti possono personalizzare il prezzo delle loro offerte sulla base di processi decisionali automatizzati e di profilazione del comportamento dei consumatori che permettono di valutare il potere d’acquisto dei singoli consumatori.
I consumatori, pertanto, dovranno essere chiaramente informati quando il prezzo che è loro offerto è personalizzato sulla base di una decisione automatizzata, in modo da poter poi tenere conto dei potenziali rischi insiti nel loro processo decisionale di acquisto.
Questo obbligo di informazione, quindi, andrà di pari passo con le disposizioni del Reg. UE 2016/679, che stabilisce ex art. 22, tra l’altro, il diritto di non essere assoggettate a processi decisionali automatizzati relativi alle persone fisiche, inclusa la profilazione.
Pertanto, stante l’alto valore economico che tali dati rivestono, sarà necessario da parte del professionista applicare anche il criterio della trasparenza in relazione alle modalità di trattamento del dato della parte più debole.
Quindi, fornire al consumatore un’informativa ex art. 13 GDPR completa ed esaustiva, soprattutto in relazione:
● alle modalità di trattamento;
● alla possibilità di essere sottoposti ad un processo decisionale automatizzato, comportante profilazione o trattamenti valutativi o di scoring;
● all’eventuale comunicazione dei dati a terzi destinatari coinvolti nella filiera di fornitura del servizio;
● al possibile trasferimento dei dati in paesi terzi non appartenenti all’UE e non dotati di un livello di protezione adeguato;
● all’effettiva possibilità di esercitare i diritti di cui agli artt. 15 e ss GDPR, di potere revocare il consenso in relazione a trattamenti troppo invasivi,
è un primo e necessario passo per fornire un indice di affidabilità e credibilità nei confronti dell’acquirente e per garantire una sicura tutela della posizione dell’interessato.
Infine, sempre in un’ottica di protezione dei consumatori, il titolare (fornitore dei beni/servizi nel digital market) dovrebbe sia porre in essere adeguate misure tecniche e organizzative ex art. 32 GDPRP per prevenire eventuali accessi non autorizzati, illecita sottrazione o divulgazione dei dati, sia scegliere adeguatamente fornitori che siano in grado di soddisfare tutti i requisiti di cui al Regolamento UE 679/2016.
A maggior riprova di questo continuo intersecarsi tra tutela del consumatore e tutela dei dati personali nel digitale si deve ricordare che la strategia europea in materia di dati è uno dei quattro documenti della Commissione europea pubblicati lo scorso 19 febbraio nel pacchetto di misure per il futuro digitale dell’Europa.
L’innovazione basata sulla data economy, infatti, ha già portato, e può ulteriormente produrre, grandi benefici per l’economia e per la società, in quest’ottica, quindi, la tutela dei dati personali non può venire meno.