Nel rapporto Facebook/utente, il secondo offre al primo, con atto negoziale dispositivo, l’autorizzazione a utilizzare i propri dati personali a fini commerciali: sicché, nonostante l’affermata gratuità del servizio, sussiste per entrambi i contraenti il requisito della patrimonialità della prestazione oggetto dell’obbligazione (art. 1174 c.c.). A prescindere dall’utilizzo che Facebook ne fa (se li cede e trasmette a terzi oppure se se ne serve soltanto per offrire ai terzi i presupposti di una informazione pubblicitaria mirata), non può revocarsi in dubbio che i dati personali dell’utente abbiano un manifesto valore economico e siano inquadrabili come controprestazione nel rapporto utente-gestore. Ne consegue il carattere evidentemente oneroso del rapporto negoziale, posto che il contratto è fondato su un evidente sinallagma, per cui alla prestazione del servizio da parte del gestore corrisponde il suo interesse ad utilizzare i contenuti, le reti di relazioni e i dati personali dell’utente, a fini di raccolta pubblicitaria.
Sommario: 1. I fatti. Giurisdizione e legge applicabile. – 2. La qualità di consumatore. – 3. Il tipo di rapporto giuridico. – 4. Il consenso al trattamento dei dati. – 5. La disponibilità del diritto sui propri dati personali – 6. Il recesso e altre conseguenze della contrattualità. – 7. La distruzione dei documenti (cancellazione dei dati). – 8. Risarcimento del danno. – 9. La domanda (rigettata) di adempimento contrattuale.
- I fatti. Giurisdizione e legge applicabile
In una recente ed interessante ordinanza ex art. 702-ter c.p.c. il Tribunale di Bologna ha deciso una fattispecie del tutto particolare inerente al rapporto tra piattaforma e utente. La stessa ha dunque costituito l’occasione per le riflessioni contenute nel presente scritto.
Un utente Facebook (poi: Fb) gestiva su tale piattaforma da dieci anni un profilo a nome proprio, collegandovi due pagine relative a libri, riviste, storie e altri cimeli militari. Fb improvvisamente gli chiuse l’account il 2 gennaio 2020, senza spiegazione. A dire del ricorrente, la ragione consistette in una ritorsione per avere egli, quale avvocato e per conto di un cliente, venti giorni prima diffidato Fb stessa a riaprire l’account del cliente: Fb gliela avrebbe allora fatta pagare, chiudendo pure a lui l’account. A quel punto il ricorrente citò Fb in giudizio, chiedendone la condanna al ripristino del profilo e delle pagine collegate nonché una penale per ogni giorno di ritardo, oltre al risarcimento dei danni.
Il colosso di Menlo Park si costituisce, eccependo (a parte la carenza di legittimazione passiva: Facebook Italia anziché Ireland), da un lato, l’impossibilità di individuare il profilo e le pagine indicati, visto che non era stata indicata la u.r.l.; dall’altro, di aver sì reperito un account legato ad una certa casella email, ma che il relativo materiale era stato distrutto in via definitiva, in modo da non poter dedurre nulla sulle ragioni di tale rimozione.
Il giudice affronta dapprima la questione della giurisdizione, strumentale alla quale c’è la questione del se si trattasse di rapporto giuridico con un consumatore (come accennato, l’utente-attore nella propria vita lavorativa faceva l’avvocato). La strumentalità deriva dal fatto che l’eventuale proroga di giurisdizione (patto sulla giurisdizione) è nulla, laddove riduca la tutela offerta ai consumatori, inderogabile. Ed in effetti le clausole generali, proposte/imposte da Facebook, prevedono una proroga di giurisdizione a favore del giudice irlandese. Verosimilmente (ma non lo dice espressamente) il giudice, una volta accolta la qualificazione di consumatore, avrà applicato l’art. 18, c. 1, del Regolamento (UE) 1215/2012, che permette al consumatore la scelta del proprio foro.
La clausola di proroga, pur non espressamente prevista nell’elenco dell’art. 33 Codice del consumo[1], parrebbe in effetti vietata.
- La qualità di consumatore
Il giudice esclude che dal materiale, verosimilmente messo on-line, si possa ravvisare un uso c.d. promiscuo[2]. Con ciò lascia intendere che, se invece questo fosse stato ravvisato, non avrebbe potuto considerarlo consumatore: con le conseguenze in punto di giurisdizione.
Il giudice dà quindi per scontata la conseguenza, secondo cui, nel caso di uso promiscuo, non possa applicarsi la disciplina consumeristica. Dato il tenore letterale del regolamento cit., come anche del nostro art. 3, lett. a), Codice del consumo, la conclusione è probabilmente giusta; tuttavia, non dà atto dell’esistenza di opinioni diverse[3]. L’uso promiscuo, dunque, non è tutelato dalla normativa consumeristica (probabilmente: a meno che la componente professionale sia marginale[4]: solo che è difficile dire quando ciò ricorra e comunque andrebbe interpretato restrittivamente).
Una volta allegata e provata la qualità di consumatore, per il giudice spettava a controparte provare la qualità professionale (p. 3).
È pure esatta la considerazione, secondo cui il solo gestire un profilo Fb vantaggioso per la sua immagine pubblica, non significa che quel sito o quella pagina o quella account vadano automaticamente ritenuti strumento dell’attività professionale. Il punto è importante, poiché riguarda una situazione fattuale probabilmente diffusa ed inoltre obiettivamente non chiara.
- Il tipo di rapporto giuridico
Il giudice passa poi esaminare il merito e cioè il tipo di rapporto tra le parti. Egli ravvisa un contratto (§ 4), ciò che – alla luce della definizione di cui il 1321 c.c. – è corretto. Sarebbe interessante indagare le condizioni predisposte da Facebook per vedere se parlano di contratto: probabilmente no, visto che secondo il giudice (riferendosi alle condizioni generali, come parrebbe dal virgolettato) parlerebbe di “iscrizione” a servizi on-line per entrare in contatto con gli altri utenti del mondo. Il servizio fornito da Fb, dice il giudice, è “a titolo gratuito”, anche se subito dopo aggiunge che Fb trae «comunque vantaggio economico dalle inserzioni pubblicitarie, anche mediante l’utilizzo di dati personali degli utenti che consentono di offrire ai terzi spazi pubblicitari calibrati sugli specifici interessi dei loro destinatari».
Nel cit. passaggio l’affermazione di gratuità non è esatta. Non solo non si tratta di prestazione liberale, ma nemmeno di prestazione gratuita: infatti la cessione del diritto sui propri dati è necessaria per accedere al servizio e quindi ne rappresenta il corrispettivo chiesto da Fb. Di solito si parla di atto “gratuito” non solo quando non è accompagnato da controimpegno, nemmeno a titolo di condizione[5], ma anche – in contrapposizione a “liberale” – quando si tratta di atto interessato, sotto il profilo economico o meno[6]. Qui invece l’impegno di Facebook, da una parte, e la cessione di diritti da parte dell’utente sui propri dati (lasciamo da parte l’esatta qualificazione di questo atto dispositivo)[7], dall’altra, stanno in reciproco rapporto sinallagmatico: per cui, trattandosi di prestazioni a contenuto patrimoniale, il rapporto generato è inquadrabile appunto come contratto.
Anzi è stato osservato che non solo i dati, ma anche il tempo e l’attenzione possono considerarsi corrispettivo del servizio reso da Fb. Così ha infatti osservato l’Autorità per la Concorrenza tedesca nella nota e ponderosa decisione del 2019: «The user remains a customer, even if the service is available for free. In this respect, time or attention and the data the users enter replace the fee and can be seen as a compensation for the service. This applies in particular to ad-funded services, which offer their users’ time, attention and data to advertisers in return for revenues. Ultimately, advertising markets are “markets for time” which consider the users’ time and attention to be a product»[8]. La dottrina ha esplorato le conseguenze del valore che il mercato attribuisce all’attenzione dell’utente, proponendo rimedi contro l’abuso del potere di mercato, ravvisabile nelle pratiche manipolative (così spesso adoperate dalle piattaforme)[9].
In breve, visto che proposta e accettazione combaciano e sono reciprocamente connesse, anche il requisito dell’accordo è soddisfatto[10]: ricorre infatti il c.d. sinallagma genetico. Non c’è bisogno di precisare che questo tipo di scambio è verosimilmente alla base di tutti i servizi digitali fruibili senza corrispettivo monetario[11]. Prassi imprenditoriali, la cui conoscenza dovrebbe rientrare nella formazione dei giuristi di oggi per una corretta trattazione delle pratiche loro affidate: il grosso dei traffici giuridici, infatti, avviene con queste modalità.
In ogni caso, quando il consenso è espresso (anche tramite click o accettazione “per spunta” di casella), non dovrebbero esserci dubbi sulla qualifica contrattuale del rapporto emergente[12].
Il giudice si esprime in termini di “autorizzazione” circa l’utilizzo dei dati. Si tratta di concetto civilistico con un significato preciso. La sua utilità -se non addirittura legittimità- di uso, tuttavia, è assai dubbia, per cui sarebbe probabilmente più lineare limitarsi a parlare di “consenso”. Proprio in tema di data protection è stata proposta la tesi dello sdoppiamento dell’atto del consenso latamente inteso: uno scriminante l’ingresso nella propria sfera e l’altro permettente la circolazione dei dati relativi[13]. Si tratta però di una distinzione di scarsa aderenza alla prassi e dunque di scarsa utilità, dato che allora potrebbe venir replicata per qualsiasi attività altrui sui propri beni materiali (ad esempio: riparazione di un impianto idraulico in casa): non supererebbe la prova del rasoio di Occam, per cui è preferibile lasciarla da parte[14].
Il fatto che tale rapporto sia inquadrabile come contratto[15] produce conseguenze giuridiche: oltre a sottoporlo alla sua disciplina comune, ad es. permette di sottoporlo a quella consumeristica ex artt. 33 ss. Codice del consumo. Potrebbe invece non apparire necessaria, a prima vista, la qualifica contrattuale per sottoporlo a quello delle pratiche commerciali sleali ex art. 18 ss. Codice del consumo: qui, infatti, il campo d’applicazione parrebbe a prima vista più esteso, concernendo le “pratiche commerciali tra professioni e consumatori”. Tuttavia, affinché “venga falsato il comportamento economico” del consumatore, è difficile ipotizzare una modalità diversa dalla stipula di un contratto (di acquisto, solitamente).
A questo proposito non è chiara la posizione del Consiglio di Stato, che pur conferma il rigetto della tesi di Fb disposto dal giudice di primo grado. Ravvisa infatti bensì una pratica commerciale ingannevole, ma esclude che ricorra una commercializzazione dei dati[16]. È ambiguo il riferimento ad una “messa a disposizione” dei dati che non integra una loro “commercializzazione”: infatti il titolo, in base a cui la prima avviene, è quello di uno scambio, e cioè appunto quello di una commercializzazione dei dati.
In breve, il rapporto giuridico negoziale è da qualificare come contratto a titolo oneroso: il servizio digitale è erogato a fronte di un diritto sull’uso dei dati prodotti dall’attività online dell’utente[17]. Il punto è ormai pacifico e quasi tutta la dottrina lo riconosce[18].
Profilo, tra l’altro, che rende incerta (o almeno potrebbe modificare) l’applicazione del concetto tradizionale di mercato[19], in cui diversi beni venivano paragonati tramite il loro prezzo monetario, che fungeva da c.d. unità di conto: il diritto ceduto sui propri dati personali, infatti, è dubbio possa svolgere la stessa funzione. Anche se la risposta potrebbe essere positiva, dato che nel trattamento massivo dei big data scompaiono le individualità: potrebbe allora darsi che dal punto di vista della piattaforma i dati di un singolo individuo arrivassero ad avere un valore standardizzato, potendo anche alla fine fungere da unità di conto, al pari del denaro[20]. Ma si potrebbe ribattere in senso opposto che il valore di (rectius le utilità ritraibili da) un profilo individuale dipende molto dalla capacità di sfruttamento del suo acquirente: per cui verrebbe meno la possibilità di svolere tale tradizionale funzione.
Ora, poi, la cosa è divenuta non controvertibile alla luce della direttiva (UE) 2019/770, che regola l’inadempimento del fornitore di contenuti e servizi digitali e i rimedi del consumatore (si v. l’art. 3, che ne delimita l’ambito applicativo)[21]. Sono prestazioni che non si possono considerare in modo reciprocamente isolato o comunque tali da evitare la qualificazione di contratto (o negozio bilaterale). La prova sta appunto nell’equiparazione quoad poenam o meglio quoad remedium disposta dalla direttiva citata, a dispetto del considerando 24 per cui «tali dati non possono dunque essere considerati una merce».
All’opposto, si è detto che l’eurolegislatore della direttiva (UE) 2019/770 confermerebbe le difficoltà nel qualificare come contrattuale la fornitura di dati contro servizio digitale: lo proverebbe il diverso wording, dovuto all’intento di lasciare impregiudicata la riconducibilità dell’operazione al tipo “contratto” (alla luce dei casi di non applicazione della direttiva indicati nel considerando 25), visto che tale qualifica non sarebbe scontata nei vari ordinamenti[22]. L’opinione non pare da condividere. Al contrario, il considerando 25 esclude la direttiva proprio nei casi in cui i dati non costituiscono il corrispettivo. Quando invece costituiscono corrispettivo, è il considerando 24 ad occuparsene, per affermare inequivocabilmente la contrattualità.
- Il consenso al trattamento dei dati
In quest’ottica di scambio esplicito tra servizio digitale contro diritto sui dati personali, va menzionata la questione del se il consenso sia libero, quando è prestato per un servizio, alla cui esecuzione non è strettamente necessario. Vediamo se la risposta potrebbe essere positiva, nonostante l’opinione di gran lunga prevalente sia nel senso opposto[23]. È sicuro che il consenso al trattamento dei propri dati a fini promozionali non è tecnicamente necessario per l’esecuzione della prestazione dei servizi di posta elettronica o di motore di ricerca. Solo che (potrebbe osservarsi) la valutazione sarebbe ragionevole farla non in relazione al funzionamento della prestazione promessa, ma dell’operazione economica complessiva, in cui la prima è inserita: ebbene, tale operazione prevede esattamente lo scambio tra prestazione digitale e cessione del diritto sui dati. Quindi se questo è il regolamento negoziale (offerto, accettato e quindi) concordato, in fase esecutiva il consenso sui dati diventa necessario: tanto che la piattaforma in caso contrario può non prestare il servizio a suo carico (oppure, astrattamente ed ex ante, potrebbe anche prestarlo ma a fronte di corrispettivo monetario: il che però cambierebbe radicalmente il tipo di business). In altre parole, affermare che in tale caso il consenso non è libero, potrebbe sembrare inesatto: dire che non è necessitato dall’attuazione della controprestazione, implica considerare questa ultima isolatamente, prescindendo dall’operazione in cui è inserita. Il tenore dell’art. 7, par. 4, del GDPR è ambiguo e non aiuta a chiarire, nonostante prendano invece posizione contraria a quanto qui ipotizzato le linee guida dell’European Data Protection Board[24].
Inoltre, secondo il considerando 42, «il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio». Qui, però, da un lato, parrebbe libero, poiché nessuno costringe l’utente ad aprirsi un account Fb; dall’altro, non può ravvisarsi pregiudizio, visto che il servizio offerto non è in regime di monopolio né è servizio pubblico, per cui manca un obbligo a contrarre. Nemmeno si tratta di prestazione chiesta, assieme ad un’altra parallela (quasi fosse un tying concorrenzialmente abusivo) o solo apparentemente necessaria, ma in realtà evitabile dall’utente e/o evitabile solo con eccessivo sforzo[25]: si tratta invece un’offerta commerciale costruita con corrispettivo non monetario.
Così ragionando, dunque, è poco comprensibile (almeno al sottoscritto) la posizione di chi ravvisa un tying contract nell’accordo sulla cessione dei dati (a fini di profilazione) rispetto a quello sulla fornitura del servizio digitale[26]: quasi fosse un accordo imposto dalla parte forte, distinto da quello principale chiesto dall’utente, secondo la nota figura di abuso di posizione dominante in antitrust, chiamata appunto tying (art. 102, par. 2, lett. d) TFUE; art. 3, lett. d), l. 287/1990). Si tratta invece di un unico accordo, servizio digitale contro dati: mancando la pluralità di operazioni da legare, non può ravvisarsi pratica di tying.
In breve, dunque, potrebbe sostenersi che la tutela dell’utente contro lo strapotere delle piattaforme, senz’altro doverosa, non potesse percorrere questa via (almeno per ora)[27].
Su questa linea si può ricordare la sent. 17278/2018 della Cassazione, secondo cui «il condizionamento non possa sempre e comunque essere dato per scontato e debba invece essere tanto più ritenuto sussistente, quanto più la prestazione offerta dal gestore del sito Internet sia ad un tempo infungibile ed irrinunciabile per l’interessato, il che non può certo dirsi accada nell’ipotesi di offerta di un generico servizio informativo del tipo di quello in discorso, giacche´ all’evidenza si tratta di informazioni agevolmente acquisibili per altra via, eventualmente attraverso siti a pagamento, se non attraverso il ricorso all’editoria cartacea, con la conseguenza che ben può rinunciarsi a detto servizio senza gravoso sacrificio».
Ciò a meno di ravvisare la ratio della disposizione nell’intento di «porre un correttivo ad un problema attuale di concentrazione di potere in capo ad alcuni soggetti… rispetto ad un potenziale controllo su una massa enorme di informazioni, che li pone in una condizione simile a quella occupata dalle organizzazioni statali»[28]. È lecito però pensare che, se a questo avesse mirato, il legislatore UE si sarebbe espresso diversamente, ma, se così fosse, la tesi qui ipotizzata perderebbe persuasività.
Il vero problema su questo tema pare allora soprattutto risiedere, da un lato, nella non diffusa consapevolezza dell’esistenza di un do ut des e dei suoi termini, occultati da complicate clausole di accettazione, che rendono di fatto oltremodo difficile comprendere l’esatto trattamento approvando[29], anche per l’enorme asimmetria informativa tra le parti, cui il GDPR pone limitato rimedio. Dall’altro lato, nella scarsa (spesso: quasi nulla) fungibilità del servizio volta per volta considerato[30]: senza di questo, l’utente si troverebbe spesso tagliato fuori dalle relazioni sociali (soprattutto i più giovani, naturalmente), come ammesso dal BGH tedesco nella decisione cautelare relativa al procedimento antitrust a carico di Fb[31]. Anche questo aspetto incide sul concetto di consenso “libero ed informato”. Il timore ragionevole e significativo, di perdere o di non acquisire relazioni sociali significative, può costituire assenza di free choice, come ricorda il Consiglio di Europa: «No undue influence or pressure (which can be of an economic or other nature) whether direct or indirect, may be exercised on the data subject and consent should not be regarded as freely given where the data subject has no genuine or free choice or is unable to refuse or withdraw consent without prejudice»[32].
Ne segue che il c.d privacy paradox (la gente dice di tenere alla privacy ma poi cede spensieratamente i propri dati alle piattaforme e a vari venditori), da molti affermato, in realtà non è poi così paradossale: è invece agevolmente spiegabile, soprattutto con le difficoltà cognitive e l’insignificante potere di mercato che gravano sull’utente.
- La disponibilità del diritto sui propri dati personali
Il problema potrebbe porsi anche sotto altri profili: se esistano limiti alla disponibilità del diritto sui propri dati personali e, qualora la disponibilità sia ammessa, quando il relativo consenso sia stato validamente prestato.
Sul secondo tema va ricordato (oltre al profilo della libertà, appena ricordato) che il GDPR prevede la specificità del consenso al trattamento e cioè la chiara distinguibilità da quello prestato ad altro scopo (art. 6.1.a – art.7.2). Ipotesi che probabilmente ricorre nel caso nostro, in cui il consenso riguarda il regolamento contrattuale, del quale la cessione del diritto sui dati è una porzione (o meglio, la sola prestazione a carico dell’utente). Se così è, sarà necessario un consenso specifico sul trattamento dei dati a fini promozionali, distinto non solo (probabilmente) da quello sull’operazione contrattuale nel suo complesso, ma anche da quello sul servizio acquisendo. Infatti, anche limitandosi al problema del consenso al trattamento dati, si tratta di due trattamenti distinti: uno per il funzionamento del servizio digitale cercato, l’altro per le finalità promozionali[33]. Tesi seguita dal Consiglio di Stato laddove censura come pratica ingannevole la mancata distinzione[34].
In questo senso va risolta la questione del se sia sufficiente o meno, come base giuridica per la liceità della profilazione, il consenso rilasciato per l’esecuzione del contratto. Nell’ipotesi qui prospettata, infatti, il diritto alla profilazione viene ceduto (o costituito) in capo alla piattaforma, che eroga il servizio digitale: per cui potrebbe dirsi che, costituendone la controprestazione, il consenso al contratto coprisse anche la fruizione della prestazione dell’utente da parte della piattaforma (art. 6, par. 1, lett. b), GDPR). Alcuni hanno risposto negativamente. Si è infatti osservato che in tale scenario la disposizione vada interpretata restrittivamente, per cui il consenso ivi cit. coprirebbe solo l’esecuzione della prestazione “caratteristica” cioè quella scambiata col diritto a profilare: altrimenti basterebbe contrattualizzare un qualsiasi trattamento dati per fruire della base giuridica dell’art. 6, par. 1, lett. b) GDPR citato[35]. La risposta preferibile, invece, è che sia bensì necessario un consenso distinto per la profilazione, la cui ragione però riposa sulla prescrizione di “specificità”.
Allo scopo, è da vedere se sia sufficiente inserirlo nelle clausole sottoposte a doppia firma (ex art. 1341 c.c.): e non è detto che la risposta sia positiva.
Le sentenze europee sul punto della validità del consenso paiono essere soprattutto due: C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV contro Planet49 GmbH, del 1° ottobre 2019 e C-61/19, Orange România SA contro ANSPDCP, che si occupa anche dell’onere della prova relativo[36].
Sul primo tema (se esistano limiti alla disponibilità del diritto sui propri dati), al momento parrebbe esatto ritenere che la disponibilità fosse ammessa dall’ordinamento in limiti piuttosto ampi. Non mi sembrano però utilizzabili in tale senso gli accenni alla libera circolazione dei dati presente nel GDPR[37]. Si tratta bensì di interesse decisamente rilevante nell’ambito del reg. medesimo[38]: però, da un lato, costituiscono affermazione generica, e, dall’altro, non precisano il titolo giuridico di tale circolazione (da soggetto a soggetto, parrebbe), limitandosi a menzionarla come fatto oggettivo socialmente desiderabile.
È difficile sostenere che l’effetto di forza legge del contratto (art. 1372 c.c.) prevalga sempre sulla disciplina specifica della data protection, ad es. circa i limiti di revocabilità del prestato consenso al trattamento[39]. Servirà allora un coordinamento tra l’esercizio del diritto di revoca/recesso e l’esecuzione dell’operazione contrattuale concordata: che probabilmente comporterà una sospensione (disattivazione) del servizio digitale fruito fino a quel momento. Si tratterà di un caso di recesso ex lege (art. 1372, c. 1, cit.) o quantomeno di sospensione dell’esecuzione (il c.c. ne menziona alcuni casi)[40]. Potrebbe anche esplorarsi la via della risoluzione per impossibilità sopravvenuta, a seguito della revoca del consenso: si tratta di via alternativa a quella proposta qui, secondo cui la revoca al consenso vale recesso ex lege nel rapporto contrattuale[41].
L’accennata sinallagmaticità porta alla conseguenza per cui il dovere di liceità del trattamento rientra tra gli obblighi contrattuali a carico della piattaforma[42]. La sua violazione dunque costituirà inadempimento contrattuale, con gli effetti conseguenti: al pari di qualunque facoltà pattiziamente concessa, che importi ingresso nella sfera della controparte, la quale non potrà esercitarsi oltre i limiti legali o pattizi posti a tale ingresso (o meglio, posti per il suo esercizio). Anche le regola, posta autoritativamente ad integrazione della pattuizione privata, infatti, concorre a comporre il complessivo regolamento del rapporto contrattuale (art. 1374 c.c.): per cui la sua violazione è appunto violazione di obbligo e non fatto illecito.
Così pure il vizio nel consenso al trattamento, rendendo questo illecito e quindi non più fruibile la prestazione da parte della piattaforma, permetterà a quest’ultima di svincolarsi dal contratto: da vedere se per il medio di vizio genetico (annullamento per errore?) o difetto funzionale (una delle tre risoluzioni), impregiudicata la questione di eventuali danni cagionati dall’utente o all’utente[43]. Tra due parti di paragonabile forza economica, si rimedierebbe velocemente, integrando il consenso con le dichiarazioni mancanti: è assai dubbio invece che ciò possa avvenire nei rapporti massivi con le piattaforme digitali.
Il tema della conciliazione tra la disciplina da protezione dei dati e quella contrattual-consumeristica meriterà esame approfondito[44].
- Il recesso e altre conseguenze della contrattualità
Andrebbero indagati poi ulteriori profili discendenti dalla contrattualità (consumeristica): ad es. quelli inerenti all’informativa precontrattuale ex art. 49 Codice del consumo (soprattutto circa il prezzo, lett. e), ed ex art. 51, c. 2, Codice del consumo. Qui il problema è capire se nel concetto di “prezzo” rientri pure il corrispettivo non monetario de quo: parrebbe di no, alla luce del cit. art. 3 dir .770/2019, che distingue nettamente il corrispettivo come prezzo (§ 1) dal corrispettivo consistente in dati personali (§ 2). E in effetti tale è la scelta fatta dall’eurolegislatore con la direttiva (UE) 2019/2161, che ha dovuto aggiungere un § 1 bis all’art. 3 della direttiva (UE) 2011/83 (fonte del cit. art. 49 Codice del consumo), da recepire entro il 28 maggio 2022 (art. 7).
Oppure si potrebbe approfondire il profilo del se tale condotta, laddove oscura la contrattualità nel senso di sinallagmaticità, costituisse pratica commerciale sleale ingannevole, se non addirittura aggressiva[45].
Un cenno ora al recesso. Il diritto di recesso di Facebook (cioè di chiudere l’account) è regolato dalla legge o da contratto. il giudice (§ 4.2) ricorda i casi in cui, secondo le condizioni d’uso, Fb può adottare le cosiddette sanzioni che, in un crescendo di gravità, arrivano alla disabilitazione dell’account come massimo.
Nel caso specifico non è stato invece addotto alcun motivo per la disabilitazione e cancellazione dei dati, tra quelli previsto nelle terms of service[46]. Tali non sono stati ritenuti i due addotti in causa: – pretesa indeterminatezza della domanda per l’impossibilità di individuare l’account riferibile all’utente; – l’allegazione di impossibilità di motivare, avendo distrutto il materiale.
- La distruzione dei documenti (cancellazione dei dati).
La distruzione della documentazione, vero punto nevralgico della lite, secondo il giudice costituisce inadempimento contrattuale, intenzionalmente mirante a provocare danno ingiusto (§ 5.2). Che vi fosse un’obbligazione di mantenere il profilo e il materiale ivi presente, è certo: il giudice lo afferma ma non riporta la pattuizione, anche se in ogni caso ne discenderebbe da interpretazione secondo buona fede[47]. Il dovere di “mantenimento” riguarda la conservazione sia durante la piena operatività del rapporto, sia nelle sue fasi anomale e cioè nel caso Facebook optasse per la disconnessione o a maggior ragione per la sospensione temporanea (la quale potrebbe costituire un’applicazione della regola inadimplenti non est adimplendum, se a fronte di violazione dell’utente). Può non essere chiarissimo quando il contratto sia tecnicamente risolto, potendoci essere una disabilitazione non definitiva o comunque una gradualità nella riduzione della prestazione: ma quando fosse invece definitiva, il rapporto contrattuale dovrebbe intendersi giuridicamente risolto.
A quel punto sorgerebbe l’obbligo restitutorio, anche esso governato dalla buona fede, a prescindere dalla sua ricostruzione teorica[48]. Restituzione che, in materia di un servizio digitale di questo tipo, potrebbe dirsi consistere nel dare il tempo all’utente di fare copia dei dati memorizzati[49] e probabilmente anche di metterli a disposizione per il download in un formato fruibile presso analoghe piattaforme[50] (anche per ragioni proconcorrenziali[51], probabilmente, cui è sensibile l’interpretazione di qualunque ramo dell’ordinamento giuridico e quindi anche di quello civilistico).
Al limite, Fb avrebbe potuto limitarsi ad oscurare il profilo per i terzi, conservandolo visibile solo per l’utente (c.d. shadowbanning) o comunque ad adottare un rimedio meno drastico[52]. La distruzione invece mi pare inspiegabile, anche in relazione alla lettura “ritorsiva” dell’attore, legata –parrebbe- solo ad una precedente diffida stragiudiziale di costui quale legale di parte (v. poco dopo)[53].
In ogni caso, anche vi fosse un motivo legittimo di recesso da parte di Fb, questo non avrebbe giustificato la distruzione dei dati, come appena sopra suggerito: effetto discendente sempre dalla buona fede in executivis, faro che illumina oscurità e/o lacune contenutistiche del regolamento[54].
- Risarcimento del danno.
Il giudice, poi, passando alla questione del danno non patrimoniale, ricorda è che risarcibile nel caso di violazione di diritti con dignità costituzionale, anche se avvenuta tramite inadempimento di un obbligo, anziché commettendo un illecito aquiliano (§ 7, p. 9). Si tratta in effetti di un insegnamento ormai acquisito[55]. Giustamente, poi, ne afferma la ricorrenza nel caso de quo.
Altrettanto giustamente rigetta l’argomento di Facebook, secondo cui l’utente, se avesse tenuto realmente alla conservazione delle memorie, avrebbe potuto utilizzare la funzione “scarica le tue informazioni”. Infatti non può ravvisarsi concorso di colpa, dal momento che non figura nelle condizioni di contratto alcun avvertimento il tal senso. Anche vi fosse stato, poi, un’esecuzione secondo buona fede, che tenesse conto della disparità di asimmetria informativa e di forza economico/organizzativa tra le parti, avrebbe imposto che comunque vi fosse un preavviso da parte della piattaforma[56]. Il giudice ritiene che la protrazione nel tempo (circa dieci anni) dell’attività sul social da parte dell’attore ha prodotto una mole di dati tale, per cui la loro perdita ne ha danneggiato in modo grave e irreparabile la vita di relazione (§ 7, p. 10).
Non è di ostacolo la questione della prevedibilità (da riferire al momento in cui il debitore ha scelto di non adempiere, a dispetto del tenore dell’art.1225 c.c.[57]), poiché, come detto sopra, qui ricorreva il dolo, essendoci la consapevolezza di ledere l’altrui diritto (art. 1225 c.c.)[58]. A parte ciò, si tratta di danni ampiamente prevedibili al momento in cui Fb pose in essere l’inadempimento: da un lato, infatti, Fb sapeva cosa stava memorizzato nei propri server in relazione all’utente de quo e, dall’altro, il danno “relazionale” è agevolmente prevedibile per una piattaforma che ha fatto dell’interconnessione tra le persone la sua headline pubblicitaria. La connessione tra utenti, del resto, rientra tra i primari interessi dedotti in contratto che la piattaforma non può ledere, sicchè tutta la vita del rapporto giuridico dovrà tenerne conto[59]: le note differenze socio-culturali tra civiltà occidentali (più individualiste) e orientali (più inclini ad una visione olistica)[60], che astrattamente potrebbero portare ad una soluzione opposta, vengono poi in concreto (ed in parte qua) ridotte dall’importanza che anche nelle prime (o almeno nel nostro ordinamento) assume la dimensione relazionale del rapporto giuridico sub iudice per l’operare di precise regole giuridiche[61].
Si potrebbe poi discutere se l’art. 1225 andasse applicato anche al danno non patrimoniale, come parrebbe; così del resto ritiene l’ordinanza qui esaminata[62].
È piuttosto interessante l’affermazione, secondo cui, pur essendo l’attore gravato di provare il danno, l’onere qui viene invertito per il principio della vicinanza alla prova: la distruzione dei dati per la decisione di Fb di impedirne la produzione in giudizio[63], infatti, ha reso impossibile l’attività probatoria dell’attore. È interessante, poiché normalmente il criterio della vicinanza alla prova è adoperato per interpretare l’art. 2697 c.c. e cioè per dirimere la questione della corretta distribuzione dei fatti di causa tra i fatti costitutivi oppure impeditivi/modificativi/estintivi. L’interesse allora sta nel fatto che applica una norma costituzionale (l’art. 24 Cost. appunto) in via diretta, anziché semplicemente per il medio della legge ordinaria tramite una sua interpretazione costituzionalmente orientata oppure tramite un opportuno governo delle clausole generali. L’operazione ermeneutica, pur partendo da un’esigenza condivisibile, suscita perplessità: sarebbe stato forse più lineare arrivare al medesimo risultato liquidatorio semplicemente applicando la determinazione equitativa permessa dall’art. 1226 c.c., senza modificare l’onere probatorio sottostante (lasciandolo cioè a carico dell’attore)[64].
- La domanda (rigettata) di adempimento contrattuale
Pure interessante è la decisione sulla domanda di adempimento contrattuale, assistita da penale per il ritardo (verosimilmente ex art. 614 bis c.p.c.). La domanda è rigettata, stante l’impossibilità dichiarata da Fb di procedere al ripristino (ciò in cui sarebbe consistito l’adempimento predetto). Tale impossibilità è stata ritenuta processualmente provata (anche qui) per l’operare del meccanismo della non contestazione ex art. 115 c.p.c.: avendolo il resistente allegato, toccava al ricorrente contestarla in modo specifico.
È un interessante portato dell’innovazione tecnologica. L’allegazione di irrecuperabilità dei dati, effettuata da una parte, viene data per buona (cioè ritenuto fatto processualmente provato): sicché il rimedio contrattuale dell’adempimento (e relativa penale) viene escluso sulla sola base di tale allegazione, con la conseguenza di dover optare per quello risarcitorio[65]. Sarebbe in effetti stato probabilmente irragionevole accogliere la domanda di adempimento e farla assistere dal comando della penale: o meglio così sarebbe stato solo dopo un’allegazione provata da parte di Fb in tale senso, mentre sembra di capire che non vi sia stata alcuna prova in proposito (se non il citato meccanismo di non contestazione, che però – come detto – non pare applicabile).
[1] La lett. t) menziona le deroghe alla competenza dell’autorità giudiziaria, mentre la lettera u) quelle alla competenza territoriale.
[2] Lo desume dal fatto che le allegazioni attoree di uso privato non sono state contestate (p. 2/3).
[3] Vedasi: A. Barenghi, Diritto dei consumatori, Milano, 2020, 44; G. Chinè, sub art. 3, in V. Cuffaro (a cura di), Codice del Consumo, 2019, Milano, § 2.4, 28-29.
[4] Così CGUE, C-464/01, Gruber c. Bay Wa AG (2005), in tema di giurisdizione ex Convenzione di Bruxelles del 27 settembre 1968, che pone l’accento sulla necessità di valutare le circostanze oggettivamente emerse e presenti nel fascicolo del giudice nazionale (§ 50 e poi terza conclusione).
[5] A. Gianola, Atto gratuito, atto liberale. Ai limiti della donazione, Milano, 2002, 33.
[6] A. Gianola, ivi, 33 e 147 ss., amplia il concetto di “gratuito” all’atto privo di corrispettivo, al cui interno distingue quello interessato da quello disinteressato; v. Id., Atti gratuiti, atti liberali non donativi, in S. Martuccelli- V. Pescatore (a cura di), Diritto civile, Dizionari del dir. priv. prom. da Irti, Milano, 2011, 123 ss, § 2. Analogamente P. Gallo, Trattato del contratto. 1) La formazione, Torino, 2010, 210-211; nella stessa opera v. pure il tomo 2) Il contenuto. Gli effetti, 1009-1013 (promesse gratuite interessate, tipiche o atipiche). Altri riservano il concetto di “gratuito” solo all’atto privo di corrispettivo ma interessato, includendo l’area della prestazione disinteressata in quella della liberalità (F. Gazzoni, Manuale di diritto privato., Napoli, 2006, 833-835), come si dice nel testo. È solo questione di intendersi, anche se il forgiare concetti in proprio rischia di confondere il dibattito.
[7] Si tratta naturalmente non solo di cessione dei propri dati, ma di cessione degli stessi con diritto di usarli nei termini pattuiti. La precisazione, fatta nell’ordinamento tedesco (v. G. Versaci, La contrattualizzazione dei dati personali dei consumatori, Napoli, 2020, 151-152), parrebbe scontata: l’interpretazione del contratto secondo i canoni consueti porta con sicurezza a tale esito, non rivestendo alcun interesse per la piattaforma la pura memorizzazione senza il diritto di usarli a fini di advertising.
[8] Bundeskartellamt 06.02.2019, B6-22/16, § 246. Ma si tratta di giudizio diffuso, probabilmente preso dalla teoria economica: v. F. Lancieri-P.M. Sakowski, Competition in Digital Markets: A Review of Expert Reports, in Stanford Journal of Law, Business & Finance, 26(1), 2021, per i quali «consumers pay for many digital servicesby bartering data and attention in exchange for services and ads. Indeed, not only does this combination of data and attention have a market price, but the high profit margins of digital platforms indicate that this value is not zero» (p.to 88).
[9] Attento esame in G. Day-A. Stemler, Are Dark Patterns Anticompetitive?, in Alabama Law Review, forthcoming, letto in ssrn.com: «We argue that online manipulation coerces users into spending attention, data, and money—all things of great value in the digital economy», 24 (attento esame prima dei profili socio-psicologici – privacy e manipolazione -, e poi di quelli antitrust – parte III e IV -). “Dark patterns” sono le modalità di progettazione della piattaforma e del suo software, volti a sollecitare determinati comportamento degli utenti: basate sull’economia comportamentale e in particolare sulla dualità Sistema 1-Sistema 2, proposta da Daniel Kahneman (e Amos Tversky) (ivi, 14).
[10] R. Sacco–G. De Nova, Il contratto, Torino, 2016, 211 ss.
[11] Esiste poi un florido mercato secondario dei dati, settore poco conosciuto. Si v. inoltre il sistema di aste automatiche per le inserzioni pubblicitarie, realizzato da Google, ed esaminato da D. Srinivasan, Why Google Dominates Advertising: Markets Competition Policy Should Lean on the Principles of Financial Market Regulation, in Stan. Tech. L. Rev., 24, 2020, 55 ss.: l’A. ne esamina i profili concorrenziali, inclusi asimmetrie informative e conflitti di interesse (parte III, 86 ss. e parte IV per suggerimenti de iure condendo sull’esempio della regolamentazione finanziaria).
[12] Ampio esame delle modalità procedimentali in A. Quarta, Mercati senza scambi. La metamorfosi del contratto nel capitalismo della sorveglianza, Napoli, 2020, cap. III, passim, spec. §§ 11-12. Il problema si pone per la modalità consistente nella mera navigazione nel sito, che per l’a. non può costituire comportamento concludente nel senso di accettazione tacita, mancando l’inequivocabilità dell’atto alla luce della prassi sociale (292 ss.). L’affermazione, però, suscita perplessità, se riferita al caso in cui le condizioni del servizio sono state fatte presenti all’utente (anche per l’intensissima prassi sociale già formatasi).
[13] Citazioni in C. Angiolini, Lo statuto dei dati personali. Uno studio a partire dalla nozione di bene, Torino, 2020, 123, nt. 33-34.
[14] La rigetta pure C. Angiolini, ivi, 123-124. L’A. qualifica i dati personali come beni giuridici (difficilmente contestabile) e giustamente include le previsioni dell’informativa ex art. 13 GDPR nel contenuto del contratto (197-198). Ed infatti il concetto di bene ricomprende sia le res che le creazioni intellettuali, che – più ampiamente – quelle ex lege, quando ad esempio la legge permetta la regolazione per contratto dei nuovi digital assets (N. Banta Lynner, Property Interests in Digital Assets: The Rise of Digital Feudalism, in Cardozo L. Rev., 38, 2017, 1099 ss.; feudalism, perché i diritti sono attribuiti agli utenti solo nella misura e per il tempo in cui la piattaforma lo concede: sub III, 1149 ss.). Il diritto sui dati, poi, parrebbe “similproprietario”, se si concorda che il cuore del “terribile diritto” è lo ius excludenti alios (v. C. Salvi, Neoproprietarismo e teorie giuridiche della proprietà, in Eur. dir. priv., 4, 2020, 1169 ss., passim (spec.1171 e 1177); confermano, in linea di principio, A. Quarta-G. Smorto, Diritto privato dei mercati digitali, Milano, 2020, 262 (sull’applicabilità dell’istituto possessorio; per gli A. il diritto di escludere è il “primo diritto” –rectius: facoltà- del proprietario: ivi, 265). Contra G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 93-94, soprattutto per il fatto che il bilanciamento, peculiare degli atti dispositivi sui propri dati, sarebbe assente nella proprietà. Il che però non è: non bisogna confondere il momento statico con quello dinamico. Anche la tutela del proprietario di res, quando ne dispone, deve conciliarsi con quella di altri diritti confliggenti; come, al contrario e considerando il momento statico, la tutela dei propri dati è assoluta (e non gravata dai limiti propri della relazionalità), fino a che il titolare non li inserisce nel circuito mercantile. Pure non utile è addurre la revocabilità del consenso e gli altri diritti posti dal GDPR ex art. 15 ss: da un lato, riguardano la fase dinamica e non statica; dall’altro, stante la indiscutibile differenza tra gli interessi sottostanti (sulla propria persona e sulle res), la disciplina non può essere uguale. Ciò non impedisce però di ravvisare possibilità di estensione analogica delle regole dominicali presupponenti lo ius exludendi alios, ove non siano incisi i profili più personali.
[15] In tale senso v. ampiamente S. Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, Milano, 2018, cap. II, 49 ss. (per le cui conclusioni spec. 105).
[16] Cons. Stato, sez. VI, 29 marzo 2021 n. 2631, 25-26.
[17] Si badi, diritto sull’uso dei dati prodotti dall’attività, non diritto ad una determinata attività dell’utente: equivoca sul punto G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 58-60. Secondo questo a., il rilascio di informazioni personali va equiparato ad un’attività, addirittura richiamando (anche se cautamente, per vero) il rapporto di lavoro subordinato. Al contrario, nel nostro contratto viene dedotto il diritto sulle tracce digitali lasciate dall’attività online, non il diritto sull’attività, la quale resta del tutto libera nell’an, nel quomodo e nel quando.
[18] Vedi per citazioni il mio saggio Sulla responsabilità civile degli internet service provider per i materiali caricati dagli utenti (con qualche considerazione generale sul loro ruolo di gatekeepers della comunicazione), in, MediaLaws – Law and media working paper series, 15 ottobre 2020, nt. 96 (ove cenno ad una dottrina contraria), cui aggiungi C. Angiolini, Lo statuto dei dati personali. Uno studio a partire dalla nozione di bene, cit., 189-190 (proprio circa Facebook) e A.Quarta-G. Smorto, Diritto privato dei mercati digitali, cit., spec. 211 e 217 (il cui cap. 3 illustra in modo chiaro la caratteristiche degli odierni mercati digitali). In senso contrario alla contrattualità, aderisce alla tesi di Camardi l’articolato lavoro di G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit. (spec. 156 ss., 174-175 e 182 per la revoca).
[19] Al netto della scarsissima concorrenzialità dei mercati dominati dai colossi tecnologici.
[20] «Money addresses the commensurability problem by creating a common unit of exchange that can be applied in a variety of contexts» (R. Hollander Blumoff-M.T. Bodie, The Market as Negotiation, in Notre Dame L. Rev., 96, 2021, 1257 ss., spec. 1261.
[21] Conf., direi, G. d’Ippolito, Commercializzzione dei dati personali: il dato personale tra approccio morale e negoziale, in Dir. inf. 2020, 666 ss. La storia della redazione non vi è di ostacolo, come vorrebbe A. Addante, La circolazione negoziale dei dati personali nei contratti di fornitura di contenuti e servizi digitali, in Giust. civ., 4, 2020, 898 ss.
[22] G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 174-175.
[23] Si v. la cit. nota 96 del mio saggio Sulla responsabilità civile degli internet service provider per i materiali caricati dagli utenti (con qualche considerazione generale sul loro ruolo di gatekeepers della comunicazione), cit. sopra (e qui ad es. la decisione del Bundeskartellamt tedesco del 6 febbraio 2019, caso B6-22/16). Nel senso della maggioranza e quindi in senso opposto alla tesi cautamente avanzata nel testo v. pure A. Vivarelli, Il consenso al trattamento dei dati personali nell’era digitale, cit., 58 ss.
[24] Linee guida 05/2020 sul consenso ai sensi del regolamento (UE) 2016/679, adottate il 4 maggio 2020, sub § 3.1 e p.ti 13-15.
[25] Questi i profili censurati da CGUE, C-61/19, Orange România SA c. ANSPDCP (2021) (v. sintesi finale in § 52).
[26] Così invece C. Basunti, La (perduta) centralità del consenso – nello specchio delle condizioni di liceità – del trattamento dei dati personali, in Contr. impr., 2, 2020, § 4, 882 ss. (condivisibili invece le riflessioni sulla commerciabilità al § 5).
[27] Conf., nell’interpretazione della libertà del consenso alla luce dell’art. 7, par. 4, GDPR, G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 98 ss.
[28] F. Caggia, Il consenso al trattamemto dei dati personali nel diritto europeo,in Riv. dir. comm., 2019, 425.
[29] Il che, per vero, ha a che fare con la libertà: il consenso non è pienamente libero, se non è sufficientemente informato.
[30] Soprattutto per l’effetto di rete, in base a cui più sono gli utenti di quel servizio, più è difficile rimanerne fuori: sicché – alzandosi gli switching costs per costoro – si alzano pure le barriere all’ingresso per potenziali concorrenti.
[31] Bundesgerichthof, 23 giugno2020, KVR 69/19, §§ 102-10. Sulla vicenda giudiziaria v. il cit. R. Pardolesi-R. van der Bergh-F. Weber, Facebook e i peccati da Konditionenmissbrauch (passim, spec. 517) nonché A. Giannaccari Facebook e l’abuso da sfruttamento al vaglio del Bundergerichthof, entrambi in Merc. conc. reg., 2, 2020, 408 ss., che ricordano essere proprio questo l’abuso di dominanza addebitato a Fb dalla Corte «Evitare Facebook voleva dire in pratica diventare degli eremiti» (T. Wu, La maledizione dei giganti. Un manifesto per la concorrenza e la democrazia, Bologna, 2021, 127).
[32] Così l’Explanatory Report (§ 42, p. 20) della “Convention 108 +. Convention for the protection of individuals with regard to the processing of personal data”, che aggiorna la Convention for the Protection of Individuals with regard to Automated Processing of Personal Data del 1981, conosciuta come “Convention 108”.
[33] Si v. A. Addante, La circolazione negoziale dei dati personali nei contratti di fornitura di contenuti e servizi digitali, cit., 903 (il consenso al trattamento è un quid pluris rispetto alla mera assenza di vizi della volontà di diritto comune, riferita –par d’intendere- all’operazione complessiva o almeno all’acquisizione della controprestazione in contenuti/servizi digitali); G. d’Ippolito, Commercializzazione dei dati personali: il dato personale tra approccio morale e negoziale, cit., 659 (consenso al trattamento dati da servizio digitale è diverso da quello da elaborare in modo massivo, “gestione in monte” potremmo dire circa i big data, per l’invio proprio o di terzi di comunicazioni promozionali); F. Bravo, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, in Contr. impresa, 1, 2019, 44 (pare distinguere tra consenso contrattuale –e dunque riferito, intenderei, all’operazione economica complessiva o al servizio da ricevere- e consenso al trattamento dati: come Addante, in sostanza); A. Popoli, L’adeguamento dei social network sites al GDPR: un percorso non ancora ultimato, in Dir. inf., 2019,1299 ss. (ove si legge che su questo tema si distingue parzialmente – in bene – Google).
[34] Cons. Stato, sent. 2631/2021, cit., § 10, 30.
[35] Così l’interessante lavoro di G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 69 ss.
[36] Lo evidenzia M.C. Meneghetti, Consenso bis: la Corte di giustizia torna sui requisiti di un valido consenso privacy, in questa Rivista, 1, 2021, 266 ss., spec. 272.
[37] Ad esempio l’incipit nell’art. 1, par. 1 e par. 3 oppure l’art. 51, par. 1, GDPR, per cui tra i compiti delle autorità di controllo c’è pure quello di «agevolare la libera circolazione dei dati personali all’interno dell’Unione».
[38] I due obiettivi del GDPR sono «to protect “fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data” and to guarantee the “free movement of personal data” within the European Union» per W.G. Voss- H. Bouthinon-Dumas, EU General Data Protection Regulation sanctions in theory and in practice, in Santa Clara High Tech. L.J., 37, 2021, 1 ss., spec. 5 (ricordando il considerando 6).
[39] La tesi contraria (prevalenza sempre della data protection su quella consumeristica) è stata sostenuta da Facebook nella lite amministrativa contro l’AGCM, allo scopo di sottrarsi alla seconda (pratiche commerciali sleali). Ma è stata rigettata, ora pure in appello: v. Cons. Stato, sent. 2631/2021, §§ 8-9 (e il provvedimento gemello in pari data n. 2630/2021).
[40] Art. 1341; art. 1461; art. 1481 etc. In generale, potrebbe essere ritenuta una condizione sospensiva ex lege.
[41] S. Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, cit., 188. G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 184-185, scrive di «diritto di sciogliersi dal contratto per via dell’alterazione della componente patrimoniale dell’operazione negoziale».
[42] Conf. A. Quarta, Mercati senza scambi. La metamorfosi del contratto nel capitalismo della sorveglianza, cit., 308-309 (la violazione del GDPR integra difetto giuridico di conformità ex direttiva (UE) 2019/770).
[43] Danni a carico della piattaforma, per G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 178-179. È però da vedere se questo ipotetico errore nella modulazione del consenso sia da imputare solo alla piattaforma: anche se alla fine la risposta dovrebbe essere positiva, alla luce della sproporzione di forze economico-cognitive tra le parti e della predisposizione ex uno latere delle condizioni di uso.
[44] Già tentato da alcuni interessanti sforzi ricostruttivi: ad es. quello di G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., cap. III, passim ma spec. § 4 e di S. Thobani, Diritti della personalità e contratto: dalle fattispecie più tradizionali al trattamento in massa dei dati personali, cit. V. pure A. Quarta, Mercati senza scambi. La metamorfosi del contratto nel capitalismo della sorveglianza, cit., cap. III, passim, 282 ss. e parte IV, passim.
[45] A. Addante, La circolazione negoziale dei dati personali nei contratti di fornitura di contenuti e servizi digitali, cit., 915.
[46] Almeno Fb qualcosa prevede, mentre Twitter si riserva poteri di intervento completely unconditional: così P. Leerssen, Cut Out By The Middle Man: The Free Speech Implications Of Social Network Blocking and Banning in the EU, in JIPITEC, 6(2), 2015, § 9 (l’A. poi esamina il contesto giuridico europeo in relazione alla conciliazione dei poteri di content moderation delle piattaforme con i diritti fondamentali degli utenti, in primis quello di parola).
[47] Se regolato dal nostro diritto. Ma immagino che analoga regola viga in tutti gli ordinamenti dei paesi occidentali.
[48] È nota la disputa sul se le restituzioni siano governate dall’indebito o dal contratto originario oppure assieme dal contratto e dall’indebito, che ne costituirebbe “cornice sistematica e disciplina residuale” (è la tesi centrale dell’approfondito lavoro di E. Bargelli, Il sinallagma rovesciato, Milano, 2010, che affronta la disputa: v. spec. cap. VI e qui sez. II, 449 ss.; il virgolettato è il titolo del § 11 a 458). Anche nel primo caso, infatti, opererebbe il dovere di correttezza ex art. 1175 c.c.
[49] Si v. il termine di preavviso posto dall’art. 4 della direttiva (UE) 1150/2019. Anche se questa riguarda il rapporto tra piattaforme e utenti commerciali, non c’è motivo perché analoga regola non viga nel rapporto tra le prime e il consumatore.
[50] Si v. l’art. 20 GDPR sulla portabilità.
[51] Verosimilmente tenute presenti nella redazione della disposizione (conf., direi, G. Versaci, La contrattualizzazione dei dati personali dei consumatori, cit., 128-129).
[52] Si v. E. Goldman, Content Moderation Remedies, in Michigan Technology Law Review, in corso di pubblicazione, reperibile in ssrn.com, che studia la graduazione dei rimedi possibili, diversi dall’approccio binario keep up/take down e intermedi tra i due estremi (parte III), proponendo una policy per le piattaforme, che anche li combini (Parte IV).
[53] Quanti avvocati ci sono che hanno un profilo Fb e al tempo stesso hanno diffidato e/o agito contro la piattaforma? Si pensi non solo all’Italia, ove il contenzioso con essa è limitato, ma a paesi esteri (soprattutto agli USA) in cui è frequente: sarebbe interessante verificare se lì si fossero registrati casi ritorsivi analoghi. Vien quasi da pensare che sia trattato solo di un banale errore, dopo il quale Fb ha ritenuto più conveniente (per chissà quale motivo: reputazionale?) comportarsi come ha fatto, invece che ammetterlo e scusarsi.
[54] Un safe harbour ampio come il § 230 Communications Decency Act tutela in modo quasi illimitato le decisioni sulle restrizioni di accesso (v. sub c.2.A) ed anche se l’oscurato è l’attore (id est chi se ne lamenta), anziché il terzo autore di post illeciti, come solitamente avviene (v. la sentenza Murphy c. Twitter del 2021 di cui al mio post Approfondita sentenza d’appello sulla esenzione da responsabilità per gli internet provider (Twitter) ex § 230 CDA). Sulla necessità di aggiornare il § 230 c’è un’enormità di scritti, tra cui v. la sintesi di G.M. Dickinson, Rebooting Internet Immunity, in Geo. Wash. L. Rev., 89, 2021, 347 (che propone di limitarlo rigorosamente alla moderazione dei contenuti altrui: v. sub III.B., a 390). Tuttavia, non avrebbe protetto dalla responsabilità per distruzione dei dati.
[55] Cass. civ., sez. un., 11 novembre 2008, n. 26973, esaminata ad esempio da V. Tomarchio, Il danno non patrimoniale da inadempimento, Napoli, 2009, 112 ss. Anche l’ordinanza qui annotata la ricorda (anzi, ricorda la sentenza gemella in pari data n. 26972/2008, spec. 9).
[56] Dropbox ad esempio chiarisce che l’utente ha trenta giorni dall’eliminazione dell’account, dopo di che i dati vengono; si riserva però di conservarli anche dopo «ove necessario per rispettare … obblighi legali, risolvere dispute o applicare contratti» (così leggo in A. Quarta-G. Smorto, Diritto privato dei mercati digitali, cit., 270).
[57] M. Pacifico, Il danno nelle obbligazioni, Napoli, 2008, 143 ss., per il quale la presenza del dolo fa uscire il rapporto dal programma contrattuale per farlo entrare in un contesto aquiliano. L’a. poi ritiene esaurita la funzione storica alla base dell’esclusione del limite della prevedibilità in caso di dolo.
[58] La consapevolezza propria del dolo, infatti, riguarda la violazione, non le sue conseguenze: «in tema di risarcimento del danno da inadempimento contrattuale, il dolo del debitore che, ai sensi dell’art. 1225 cod. civ., comporta la risarcibilità anche dei danni imprevedibili al momento in cui è sorta l’obbligazione, non consiste nella coscienza e volontà di provocare tali danni, ma nella mera consapevolezza e volontarietà dell’inadempimento» (Cass. civ., sez. II, 17 maggio 2012, n. 7759). Il dettato normativo, del resto, è chiaro; ciò nonostante, taluno richiede anche la consapevolezza di arrecare un danno ingiusto (C.M. Bianca, Diritto civile. 5 La responsabilità, Milano, 2019, 173), che comunque qui ricorrerebbe.
[59] E’ stato giustamente osservato che vanno tenuti in molta considerazione anche i rapporti tra gli utenti (in orizzontale), anziché solo quello singolo e verticale utente/piattaforma (M. Perel-N.Elkin Koren-G. De Gregorio, Social media as contractual networks: a bottom up check on content moderation, in ssrn.com, 2021, parte V, 44 ss ma spec. 50 ss.).
[60] V. P. Inghilleri, I luoghi che curano, Bari, 2021, 22 ss., 40, 96 (libro che ricorda l’importanza dell’empatia e di una visione relazionale dell’esistenza: passim, spec. 46-47 e parti 2 e 3, 83 ss., 110 ss., ove si esplora il concetto di “cittadinanza psicologica”). L’individualismo odierno, contrapposto al personalismo che invece valorizza il profilo sociale dell’uomo (sempre nelle società occidentali), è denunciato (tra i molti) da M. Orlandi, Norme deboli, in Liber amicorum Pietro Rescigno, vol. II, Napoli, 2018, 1451 ss., §§ 1-4. L’individualismo nemmeno sarebbe coerente con l’interpretazione (costituzionale, essenzialmente) di quel diritto, che potrebbe intendersi invece come massimo campo d’azione della libertà individuale, che è il diritto alla salute, secondo A. Nicolussi, Beni relazionali e diritto dei rapporti etico-sociali, in Teoria e critica dei rapporti etico-sociali, 2014, § 4, 38 ss. (e senza necessità di appoggiarsi a sostegni trascendenti: spec. 44).
[61] Se il contratto è regolato da legge italiana, permettono ed anzi impongono ciò l’interpretazione e l’esecuzione secondo buona fede (la prima è un complemento della seconda: R. Calvo, Interpretazione del contratto. Art. 1362-1371, sub art. 1366, in G. De Nova (a cura di), Comm. cod. civ. Scialoja Branca Galgano , Bologna, 2021, 104). Anzi, a ben vedere anche il comportamento, tenuto da Fb prima della stipula, porta a ciò ex art. 1362 c.c.: è la pubblicità da essa diffusa a valorizzare la connessione tra utenti.
[62] Spec. 11. Conf. V. Tomarchio, Il danno non patrimoniale da inadempimento, cit., 95 ss., applicando la disciplina comune dell’inadempimento.
[63] Così intenderei il passaggio alla pagina 10, pur se ivi compare una coordinazione tra le due frasi, anziché una loro connessione in termini causali, come nel testo.
[64] Anche questa complicazione ricostruttiva non supererebbe probabilmente la prova del famoso rasoio. In generale, suscita perplessità la tesi favorevole ad una sorta di “diritto libero”, sostanzialmente sganciato dal testo normativo e lasciato alla sensibilità del giudicante, propugnata oggi soprattuttto da Grossi e Lipari: oltre alle riflessioni di Irti, v. ora F. Benatti, Che ne è oggi del testo del contratto?, in Banca borsa tit. cred., 1, 2021, § 4.3, 8 ss. Nel nostro caso, però, l’esito non è cambiato. Diverso invece sarebbe stato in un caso come quello, accennato poi nel testo, della responsabilità degli amministratori: la condanna in misura pari alla differenza tra attivo e passivo, in assenza di disposizione di legge e solo sulla base di creazione pretoria, non sarebbe stata accettabile.
[65] Risarcimento del danno da violazione contrattuale, parrebbe. Si sarebbe potuto invocare anche il risarcimento del danno da illecito trattamento ex art. 82 GDPR, qualora ciò fosse stato utile: ma non parrebbe, dato che anche il secondo dovrebbe essere un risarcimento in senso tecnico e non un danno punitivo (conf. M. Franzoni, Lesione dei diritti della persona, cit., 9). Anche la risarcibilità del danno non patrimoniale, ciò in cui consisterebbe l’espressione “danno immateriale” ex art. 82.1 GDPR (C. Camardi, Note critiche in tema di danno da illecito tratttamento dei dati personali, cit., 797; E. Tosi, La responsabilità civile per trattamento illecito dei dati personali, in Privacy digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo codice privacy, cit., 651), non costituisce un quid pluris rispetto ai rimedi previsti per l’inadempimento contrattuale: anche questi, infatti, ormai l’ammettono, come osservato nel testo.