Il Garante europeo della protezione dei dati nell’opinione n. 8/2018 del 5 ottobre 2018, relativa alla proposta di modifica della direttiva 2011/83/UE, ha riconosciuto la necessità di colmare le lacune normative evidenziate dai modelli commerciali che si basano sulla raccolta massiccia e sulla monetizzazione dei dati personali per l’inserimento contenuti pubblicitari mirati. In particolare, il Garante ha sostenuto la necessità di ampliare l’ambito di applicazione della direttiva per garantire ai consumatori una tutela coerente con la realtà e le esigenze economiche odierne.
L’attenzione è stata quindi posta sul fatto che oggigiorno diversi servizi digitali formalmente “gratuiti” in realtà prevedono come “contro-prestazione” la fornitura o la cessione di dati personali. Tali comportamenti degli operatori digitali, più o meno noti all’utente, non sono facilmente arginabili: l’eventuale rifiuto di tali pratiche comporta per il consumatore, nella maggioranza dei casi, l’esclusione dal servizio. Il Garante ha pertanto ritenuto opportuno sottolineare che una più ampia definizione del campo di applicazione della direttiva sulla tutela dei consumatori permetterebbe di conciliare i diritti dei consumatori con i principi europei sulla protezione dei dati, già ampiamente affermati e normati dal Regolamento Ue 2016/679 (GDPR).
Il Garante europeo ha poi suggerito di evitare nel nuovo testo ogni riferimento alla nozione di “contratto per la fornitura di contenuto digitale non fornito sul supporto tangibile” e di “contratto di servizio digitale”. La presenza di tali nozioni rischierebbe infatti di indurre in errore i fornitori di servizi digitali che sarebbero portati a ritenere che il trattamento dei dati basato sul consenso contrattuale sia sempre legalmente conforme, anche nelle situazioni in cui lo stesso non sia ritenuto, ai sensi del GDPR, valida base giuridica del trattamento. Inoltre, secondo l’Authority europea, se si aderisse all’orientamento espresso nella bozza, i dati personali verrebbero considerati solo mera risorsa economica senza riconoscere la loro intrinseca natura di diritti fondamentali. È stata pertanto proposta una definizione alternativa, basata su un particolare concetto di contratto in forza del quale un operatore fornisce, o si impegna a fornire, al consumatore specifici contenuti o servizi digitali “indipendentemente dal fatto che venga richiesto un pagamento”.
Una precisazione aggiuntiva ha riguardato anche il previsto periodo di 14 giorni per recedere dal contratto. È stato infatti chiarito che tale indicazione non potrà, in nessun caso, essere considerata come una limitazione al diritto alla revoca del consenso garantito dall’art. 7, comma 3 del Regolamento Ue 2016/679.
Inoltre, il Garante europeo ha ritenuto utile proporre una modifica dell’art. 3 della direttiva 2011/83/UE, tramite l’inserimento di una disposizione che stabilisca esplicitamente la prevalenza del GDPR in caso di eventuali conflitti normativi con la nuova versione della direttiva 2011/83/UE.
Infine, l’Autorità ha approvato la nuova proposta sui mezzi di ricorso collettivi, volta a facilitare il risarcimento ai consumatori nei casi in cui una pluralità di soggetti sia stata vittima della medesima violazione, il c.d. “danno di massa”. Si è ritenuto infatti che il meccanismo di ricorso previsto dalla proposta di modifica della direttiva sia complementare a quello presente all’art. 80 del GDPR.
Nel complesso, il Garante europeo della protezione dei dati ha quindi accolto con favore l’intenzione della Commissione di modernizzare le norme esistenti e colmare le lacune nell’attuale acquis relativo ai consumatori. In particolare, ha apprezzato lo sforzo di contrastare i nuovi modelli contrattuali emergenti, nei quali la contropartita per l’accesso di contenuti o servizi digitali viene identificata nella cessione e nell’utilizzo di dati personali dei consumatori.