Il piano diacronico del consenso in materia contrattuale: negoziabilità del diritto al rispetto della vita privata e familiare
Sommario: Premessa – 1. Qualificazione del consenso in ambito digitale: portata applicativa territoriale – 2. Comparative analysis degli artt. 1376 cod. civ. e 7 Regolamento (UE) n. 2016/679. Nuovi riferimenti dottrinali – 3. Compressione del diritto al controllo dei flows delle proprie informazioni – 4. L’eterno ritorno al dibattito sull’autonomia negoziale
Premessa
Il labile modello dell’uomo info-datico, che si profila essere, tramite l’esponenziale progresso delle moderne tecnologie, pervasivo in ogni azione quotidiana, dalla concezione atomistica della routine alla visione totalizzante dell’Internet Of Things (IoT), trova un contraltare nel paradigma ontologico e assiologico del consumatore – inteso come utente navigante in un cyberspazio – meritevole di protezione da contratti ipoteticamente a titolo gratuito e sostanzialmente a titolo oneroso con un corrispettivo inestimabile: le proprie informazioni rectius dati personali.[1]
1. Qualificazione del consenso in ambito digitale: portata applicativa territoriale
L’analisi sulla qualificazione del consenso digitale riscontra la privacy come item centrale, ma non esclusivo, in ragione della caducità di ostacolare l’applicazione della disciplina in materia di trattamento dei dati personali nel world wide web e, in maniera specifica, dalla presenza della sede legale dell’operatore al di fuori dell’Unione europea.
Il c.d. modello consenso-centrico si interfaccia abitualmente alla disciplina del diritto alla protezione dei dati personali; le metamorfosi, rispetto alla normativa previgente, si sostanziano in un prevedibile cambio di modus cogitandi, e.g. si pensi all’abrogazione dell’articolo 20 del D.lgs. 196/2003, rubricato principi applicabili al trattamento di dati sensibili, all’interno di un contesto enucleante, dalla prospettiva civilistica del consenso, parità tra soggetti pubblici e privati[2], nonché contemplante il bilanciamento tra principi di proporzionalità e adeguatezza tanto da non rendere ammissibili discriminazioni derivanti dalla posizione di supremazia da uno degli attori all’interno del trattamento.[3]
Nell’analisi in questione non possono essere elusi i primi due commi dell’articolo 5 del Codice della privacy in quanto sottolineano l’osservanza delle norme interne concernenti il trattamento dei dati ergo del consenso alla base di quest’ultimo: i punti chiave del trattamento mutano a seconda che questo avvenga all’interno di uno Stato UE o di un luogo comunque soggetto alla sovranità dello Stato ovvero al di fuori dell’Unione Europea.
Nel primo caso è prevalente il principio di stabilimento del titolare in virtù del quale qualsiasi dato personale, anche all’estero, se trattato nel territorio italiano, comporta l’applicazione del codice della privacy; al contrario nel secondo caso, il principio di stabilimento concernerà non già il titolare dei dati, ma gli strumenti elettronici e non, mediante i quali avviene il trattamento fuori dell’Unione europea.[4]
Significativa l’assenza, nell’alveo delle definizioni del Codice del 2003, del concetto di consenso; nonostante questa lacuna non sia stata ostativa alla comprensione della disciplina dell’atto poi determinata in disposizioni specifiche[5], l’articolo 4 del RGPD intende ottemperare all’obbligo positivo di protezione ergo a tale mancanza, definendo il consenso come «qualsiasi manifestazione di volontà libera, specifica, informata, inequivocabile dell’interessato» mediante la quale esprime il proprio assenso al trattamento dei dati personali che lo riguardano. [6]
La legislazione sul tema qualifica diversi elementi per garantire un consenso realmente informato; l’articolo 7 del RGPD richiede pedissequamente a) l’espressione del consenso mediante atto positivo chiaro con il quale l’interessato manifesta l’intenzione libera, specifica, consapevole e inequivocabile di accettare il trattamento dei propri dati personali; b) il diritto di revocare il consenso in qualsiasi momento; c) all’interno di una dichiarazione che riguarda anche altre questioni, l’utilizzo di un linguaggio semplice, chiaro e comprensibile nonché facilmente accessibile e che riesca a distinguere chiaramente il consenso dalle altre questioni; in caso di violazione del punto c) non sarà inficiato interamente il consenso, bensì la singola dichiarazione che non sarà vincolante.[7]
La lettura in combinato disposto dei sopracitati articoli con la disposizione contenuta nell’art. 22 paragrafo 1 del RGPD evidenzia l’ambito incontrovertibile, ma revocabile del consenso umano e allarga l’orizzonte conoscitivo finora prospettato attraverso il riconoscimento alla persona del «diritto di non essere sottoposta a decisioni automatizzate prive di un coinvolgimento umano e che, allo stesso tempo, producano effetti giuridici o incidano in modo analogo sull’individuo» con il necessario e leibniziano sufficiente postulato di stampo sostanzialistico: siffatta decisione automatizzata dev’essere intesa anche nel caso in cui il contributo umano risulti artefatto e sia irrilevante ai fini della decisione, con tale modalità viene preclusa al titolare la possibilità di raggirare la previsione dell’art. 22 del RGPD.
Le possibili deroghe a tale disposizione sono riscontrabili laddove sia necessario un processo decisionale interamente automatizzato per la conclusione di un contratto ovvero nel caso di autorizzazione da una norma di legge ovvero qualora si fondi sul consenso esplicito del soggetto interessato, nonostante in quest’ultima casistica siano lecite talune perplessità aventi ad oggetto l’effettiva tutela garantita nei confronti della persona fisica grazie all’istituto del consenso.[8]
2. Comparative analysis degli artt. 1376 cod. civ. e 7 Regolamento (UE) n. 2016/679. Nuovi riferimenti dottrinali.
Il c.d. principio consensualistico, contenuto nell’articolo 1376 del Codice civile, porta al più lineare rectius tradizionale esercizio delle situazioni giuridiche e rende fattivamente possibile il loro inserimento nella circolazione giuridica.[9]
La compenetrazione contrattuale del singolo nel cyberspazio [10]– tutt’altro che tradizionale – dal punto di vista della pre-selezione degli interessi da introdurre nella regola tecnica, porta a descrivere, tramite procedimentalizzazione, l’autonomia privata, prevista dalla Costituzione Repubblicana all’articolo 41, che definisce degli scopi-valori incidenti non soltanto su ogni creazione legislativa bensì anche nei rapporti interprivati.[11]
Il topic dell’era digitale che il formante dottrinale di diritto civile ha analizzato e categorizzato eminentemente è proprio quello finora oggetto di trattazione, il consenso. Un primo tentativo di classificazione ha enucleato i dati personali tra i diritti della personalità con la susseguente risultanza che l’attività di raccolta e trattamento si qualifica come antigiuridica (o antinomica) senza la manifestazione di volontà del soggetto: il consenso, in tal senso, diviene atto autorizzativo di diritto privato al quale collegare una natura non negoziale; tale speculazione, però, non troverebbe congruenza nell’articolo 6 del RGPD – dal quale emerge il consenso con funzione scriminante – bensì dall’articolo 9 par. 2 lett a) che in realtà, andando oltre l’interpretazione letterale, avrebbe una ratio tutt’altro che dimostrativa della tesi e cioè di bilanciamento tra interessi diversi: la garanzia di quello pubblico al trattamento dei dati e di quello privato alla loro circolazione.
Il secondo tentativo, invece, manifesta la natura negoziale del consenso in quanto definisce le informazioni come beni giuridici in ragione del loro valore economico all’interno del mercato e della società, la c.d. reificazione dell’informazione sposta la circolazione dei dati personali su un modello proprietario aprendo un lapalissiano dibattito sui diritti che l’interessato manterrebbe anche successivamente al consenso e dunque confutando la fattispecie tipica scolpita sull’articolo 1376 c.c.;
Un’ultima qualificazione tiene conto della volontà come manifestazione per legittimare l’ingresso di un secondo soggetto nella situazione giuridica soggettiva del primo con la creazione di un nesso sinallagmatico, tuttavia, tale modus operandi è aderente a un retaggio precedente, in specifico nella disposizione presente nell’articolo 11 della legge n. 675/1996 oggi ampiamente superato dall’articolo 7 del RGPD che si limita a collocare, in capo al titolare del trattamento, il semplice onere di dimostrare che il requisito soggettivo sia stato manifestato.
Il principio di ragionevolezza porta ad affermare che il consenso, la cui prova dell’esistenza è onere documentale del titolare del trattamento, così come previsto dagli obblighi ex lege di quest’ultimo, può essere parafrasato in un «comportamento concludente attraverso il quale l’interessato manifesta la propria disponibilità affinché altri raccolgano ed elaborino le proprie informazioni».[12]
3. Compressione del diritto al controllo dei flows delle proprie informazioni
Se dal punto prospettico della globalizzazione mediatica esiste un’accentuazione della presa di distanza simbolica dai contesti spazio-temporali della vita quotidiana, spiegata da un’amplificazione dell’esperienza domestica in virtù di testimonianze multiculturali rectius interculturali[13], dal punto di vista della protezione delle informazioni, la quantità di info-dati, intesi come entità patrimoniali rilevanti in virtù delle ormai note rivisitazioni del concetto di bene giuridico ex art. 810 c.c., si misurano sicuramente sulla singola persona conferente – esposta nel world wide web – ma giungono su una nuova tipologia di titolarità soggettiva, quella collettiva sostanziata dalla «comunità di utenti» generatrice di innovative utilità economiche e sociali per imprese facendo sì che queste possano conquistare un mercato di posizioni dominanti, spesso monopolistiche.[14]
In siffatto contesto di compressione del diritto al rispetto della vita privata non può che riconoscersi la natura contrattuale dell’accordo tra gestore del Social Network Site (SNS) [15] e utente: in specifico si tratta di un contratto di scambio; ipotesi avallata da una determinazione inequivocabile delle condizioni d’uso dei principali SNS (Facebook, Whatsapp, Instagram, Twitter, etc…) che permette di dichiarare la configurabilità di una permuta dei beni economici rectius giuridici, ovverosia godimento di beni immateriali.
Se ciò detto non dovesse bastare, la regolamentazione posta dai gestori dei social networks in caso di inattività dell’user estrinseca l’autorizzazione a procedere – sprovvista da un consenso del proprietario – alla disattivazione dell’account qualora l’inattività si protragga per una cadenza specifica dipendente dal caso di specie, in sostanza si tratta di un utilitarismo a condizione che non ci sia un’inerzia dell’interessato.[16]
La fisica quantistica, oggi, fornisce una metodologia di distribuzione delle chiavi che, idealmente, è sicura in ambito di messaggistica istantanea nei social networks (v. Whatsapp, Telegram, Signal, etc…), in tal senso la crittografia, adoperata sin dagli arcani tempi degli Egizi e dei Romani, è fondamentale per le comunicazioni o le transazioni, poiché implementante un livello di sicurezza mediamente sufficiente in termini di efficacia; nel caso di specie la crittografia end- to- end, a detta dei creatori di Whatsapp in un post pubblico del 2016, è automatica e comprende anche le chat di gruppo rendendo, de facto, impossibile finanche al gestore di leggerne il contenuto.
Idealmente sembra profilarsi una sicurezza informatica a prova di cybercrime, sostanzialmente, però, le tecniche avanzate di raccolta delle informazioni, pubbliche e private, ci insegnano la valenza del dubbio metodico, [17] le tecniche di Social Media INTelligent (SOCMINT) – all’interno della valorizzazione delle informazioni dell’Open Source Intelligence (OSINT) – infatti sono sfruttate tramite il monitoraggio e l’analisi dei contenuti scambiati attraverso i social media; a titolo esemplificativo si pensi al c.d. crowd-sourced ovverosia dati direttamente generati dal pubblico che, aggregati delineano il quadro di una situazione in tempo reale, un’arma di nota potenza per le amministrazioni – pubbliche e private. [18]
4. L’eterno ritorno al dibattito sull’autonomia negoziale
L’istanza socio-culturale di ridefinire la missione del contratto in un nuovo quadro di valori dimostra l’acuirsi del dibattito sul ruolo dell’autonomia negoziale.
La natura di qualsivoglia istituto è conforme alla sua funzione – che prevale sulla struttura – e ha influenza sulla costruzione degli elementi essenziali degli atti negoziali (n.d.r. causa e forma); ciò che conta hic et nunc, è la rilevazione di una fonte costituzionale di matrice europea nella fattispecie concreta volta a regolare e manifestare scelte macrogiuridiche nelle quali, tuttavia, esiste coerenza nellasistemazione delle questioni tecniche di microdiritto.[19]
[1]Per ulteriori informazioni sul tema della tutela della personalità v. T.A. Auletta, Riservatezza e tutela della personalità, Milano, 1978, cod. 13844, pp. 10-41; sul tema dell’IoT insito nelle misure di sicurezza estrinsecate nella c.d. privacy by design V. Cuffaro, R. D’Orazio, V. Ricciuto, I dati personali nel diritto europeo, Milano, 2019, ISBN: 9788892112742, pp. 1213 ss.; cfr. Enrico Caterini, L’intelligenza artificiale «sostenibile» e il processo di socializzazione del diritto civile, Napoli, 2020, ISBN: 9788849541601
[2] L. Bolognini, E. Pelino, Codice privacy: tutte le novità del d.lgs. 101/2018, Varese, 2018, ISBN: 978-88-28-80615-8, pp.11 ss; v. anche Art. 20 D.lgs 196/2003 «Principi applicabili al trattamento di dati sensibili» [abrogato] «1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi dì dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite […]». Sul tema del modello consenso-centrico si veda a mero titolo esemplificativo Garante concorr. e mercato, 29/11/2018, n. 27432, in De Jure «Integra una fattispecie di pratica commerciale aggressiva, in violazione degli artt. 24 e 25 del codice del consumo (d.lg. n. 206/2005), l’automatica attivazione della funzione di Facebook c.d. “Piattaforma attiva”, con il conseguente scambio reciproco dei dati dell’utente tra il social network e siti web/app di terzi, in assenza di un consenso espresso da parte dell’utente stesso, al quale viene impedito di esercitare una scelta libera e consapevole in merito, essendogli riconosciuta una mera facoltà di optout».
[3] E. Caterini, Lezioni di diritto privato, Rende – Napoli, 2017, ISBN: 978-88-89464-33-5, p. 100
[4] Carolina Perlingieri, Profili civilistici dei social networks, Napoli, 2014, ISBN: 978-88-495-2931-9, pp. 80 ss. v. anche art. 5 co. 1 e 2 Codice della Privacy: «1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali»
[5] V. Cuffaro, R. D’Orazio, V. Ricciuto, I dati personali nel diritto europeo, Milano, 2019, ISBN: 9788892112742, pp. 13 ss.
[6] Art. 4.11 RGPD: «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento; Cfr. anche Convenzione n. 108 modernizzata, articolo 5, paragrafo 2.
[7] Agenzia dell’unione europea per i diritti fondamentali e consiglio d’europa, C.Giakoumopoulos, G. Buttarelli, M. O’Flaherty, Manuale sul diritto europeo in materia di protezione dei dati, Lussemburgo, 2018, ISBN: 978-92-871-9846-4, pp. 126-227: «Consent must be given by a clear affermative act establishing a freely given, specific, informed and unambiguous indication of the data subjects agreement to the processing of his or her personal data. Such an act may be an action or a statement; The data subject must have the right to withdraw consenta t any time; Whtinin the context of a written declaration that also covers other matters, such as ‘terms of service’, requests for consent must be in clear and plain language and in an intelligible and easily accessible form, which clearly disinguishes consent from other matters; if a part of this declaration violates the GDPR it shall not be binding»; Regolamento generale sulla protezione dei dati, articolo 7; in seno all’analisi in questione si consiglia la lettura Feiler, Lukas, The EU General Data Protection Regulation (GDPR): A Commentary (posizioni nel Kindle 497-502). Globe Law and Business Ltd. Edizione del Kindle: «Requirements for valid consent Valid consent requires that consent must be freely given, specific, informed and unambiguous (cf. Art. 4 No. 11). The GDPR further clarifies that consent can be withdrawn at any time with future effect (Art. 7 para. 3). Consent is freely given if the data subject has a real and free choice and therefore may reject or withdraw his or her consent without suffering any disadvantages (Art. 4 cmt. 23). This does, for example, not apply if an employee is threatened with dismissal in case the employee does not provide consent or withdraws his or her consent. A freely given consent further requires that consent can be provided or rejected separately for individual processing operations – to the extent appropriate considering the situation (see Art. 4 cmt. 23; principle of separate consents). In practice, this means that when drafting consent declarations for more than one processing operation there should be a checkbox for each processing operation (eg, a checkbox for the processing of contact data for direct marketing purposes and another checkbox for the processing of creditworthiness data to decide on the contract conditions).»
[8] A. Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del Regolamento (UE) 2016/679, in Diritto dell’informazione e dell’informatica (II), fasc. 4, Ottobre 2018, pp. 799 ss.
[9] E. Caterini, Lezioni di diritto privato, Rende – Napoli, 2017, ISBN: 978-88-89464-33-5, p. 32; L’Articolo 1376 è chiara espressione del principio consensualistico, nei contratti aventi ad oggetto la trasmissione o la creazione di un diritto reale o di un altro diritto, il trasferimento del diritto si costituisce con la manifestazione legittima del consenso da parte dei contraenti: contratti consensuali ad effetti reali; a differenza dei contratti reali all’interno dei quali il perfezionamento dell’accordo non avviene tramite consenso, bensì tramite traditio.
[10] S. RodotÀ, Una Costituzione per Internet, in Politeia, 2006, p. 177; N. Irti, Norma e luoghi, problemi di geo-diritto, Roma-Bari, 2006, ISBN:9788842074748, pp. 4-7; Cfr. P. Laghi, Cyberspazio e sussidiarietà, Napoli, 2015, ISBN: 978-88-495-3074-2, pp. 2- 7. «Il Cyberspazio si affranca dalla dimensione strumentale per acquisire una propria identità ontologica, o per così dire sistemica, che cambia il quadro dei diritti civili e politici, ridisegna il ruolo dei poteri pubblici, muta i rapporti personali e sociali e incide sull’antropologia stessa delle persone, superando la sensorialità e i confini dello Stato inteso nella triplice accezione di soggetto, ordine giuridico e luogo della politica così da vanificarne la funzione direttiva e disciplinare, che pur formalmente estrinsecata si infrange sulle barriere sostanziali dell’ineffettività»
[11] G. Chiappetta, Il rapporto da comunicazione commerciale ed il principio di autodeterminazione in Rassegna di diritto civile, fascicolo 3/2008, pp. 640 – 645: «Parte della dottrina ha reputato l’articolo 41 della Costituzione una norma programmatica in quanto dopo aver enunciato la libertà di iniziativa economica privata, affiderebbe al legislatore il compito di disciplinare la materia (…) la sentenza della Corte Costituzionale del 14 giugno 1956 n. 1 mette in luce che lo stesso concetto di norma programmatica non era uniforme essendo usato per individuare caratteri eterogenei di norme giuridiche». Cfr. P. Laghi, Cyberspazio e sussidiarietà, Napoli, 2015, ISBN: 978-88-495-3074-2, pp. 236- 240.
[12] V. CUFFARO, R. D’ORAZIO, V. RICCIUTO, I dati personali nel diritto europeo, Milano, 2019, ISBN: 9788892112742, pp. 249 – 260; cfr. C. Roggero, Il diritto di immagine su Internet (Italian Edition), 2018, ASIN : B07CJX1DGR, posizioni nel Kindle 38-39; per un’ulteriore disamina consultare P. Perlingieri, Manuale di diritto civile, Napoli, 2021, ISBN: 9788849544930; pp. 529 – 535.
[13] Sul tema di tale accentuazione si rimanda agli studi effettuati sui cittadini si Shanghai, Beijing, Guangzhou e Sian in J.B. Thompson, Mezzi di comunicazione e modernità. Una teoria sociale dei media, trad. it. P. Palminiello, Bologna, 1998, ISBN: 9788815065674
[14] Enrico Caterini, L’intelligenza artificiale «sostenibile» e il processo di socializzazione del diritto civile, Napoli, 2020, ISBN: 9788849541601; pp. 59 – 61.
[15] Per la nomenclatura in oggetto si v. D.M. Bond, N.B. Ellison, Social Network Sites: Definition, History and Scolarship in Journal of Computer-Mediated Communication, vol. 13, 2008; p. 211.
[16] Carolina Perlingieri, Profili civilistici dei social networks, Napoli, 2014, ISBN: 978-88-495-2931-9, pp. 88 -93.
[17]Sul tema della crittografia nell’ambito della fisica quantistica forniscono ingenti informazioni, anche con esempi di chiave comune calcolata tra interlocutori quale ab*E=ba*E v. A. Ferenghi, A. Franchini, La privacy digitale e i teoremi di Fermat, in La matematica che trasforma il mondo, anno I, numero I, Milano, 2020; ISSN: 27241726; pp.115 – 139; cfr. L. Brotherson, A. Berling, La sicurezza dei dati e delle reti aziendali, Milano, 2017, ISBN: 9788848136150, pp.131-133.
[18] G. Cassano, S. Previti, Il diritto di internet nell’era digitale, Roma, 2020, ISBN: 9788828821588; pp. 229- 237; se le finalità dovessero estendersi sugli algoritmi in analisi v. M. Kearms, A. Roth, The ethical algorithm, New York, 2020, ISBN: 9780190948221; pp. 1- 5.
[19] P. Perlingieri, Il «diritto privato» nell’unità del sistema ordinamentale, in Rassegna di diritto civile 2/2019, Napoli, ISSN: 093182X; pp. 414- 416; dalla prospettiva giurisprudenziale si v. Cass. Sez. un., 17 settembre 2015, n. 18214, in Riv. Giur. Edil., 2015; E. Caterini, Lineamenti di diritto civile italoeuropeo. Dal mercato alla persona, Rende, 2009, ISBN: 8849519338; pp. 49 – 52.
Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News
The following two tabs change content below.
Fabio Carchidi
Laureato cum laude in giurisprudenza presso l’Università della Calabria con soggiorno di studio/ricerca presso la Delaware Law School (Delaware, USA) e tesi finale sul Privacy Shield; è Assistant Professor alle cattedre di diritto civile e diritto di famiglia presso il Dipartimento di Scienze Aziendali e Giuridiche dell’Università della Calabria, ha conseguito un master di II° livello in “Insegnamento del diritto e dell’economia” con una tesi sui sistemi di raccolta invisibile dei dati particolari; già tutor contrattualizzato presso la Scuola di Specializzazione per le Professioni Legali “Fausto Gullo” di Cosenza; già Auditor UNI EN ISO 19011:2018; segue il “Corso Maestro della Protezione dei Dati & Data Protection Designer”.