Il decreto legislativo 29.10.2021 attua la direttiva UE 2019/770 e introduce alcune rilevanti novità nel Codice del consumo. Oggetto dell’attenzione sono i contratti con cui ai consumatori vengono offerti contenuti o servizi digitali. Per “contenuto digitale” si intendono i dati prodotti e forniti in formato digitale. Con “servizio digitale”, invece, ci si riferisce ad un’utilità che consente di creare, trasformare o accedere a dati in ambiente o in formato digitale.

Quali novità per i consumatori?

Le novità per i consumatori sono sostanzialmente due. Da un lato, si rafforza la tutela nei confronti del fornitore di servizi o contenuti digitali. Si parla infatti di requisiti di conformità, diritto di recesso, rimedi azionabili dal consumatore per ottenere dalla sua controparte un puntuale adempimento. Si prevede inoltre la responsabilità dell’operatore in caso di fornitura non conforme a quanto pattuito, stabilendo che spetta all’operatore dimostrare di essere stato adempiente.

L’altra novità di rilievo è la possibilità di remunerare i servizi o i contenuti digitali fornendo dati personali. Che esista un “mercato” dei dati personali non dovrebbe essere certo una notizia sorprendente. Basti pensare a come funzionano i social network, che offrono un servizio gratuito, ma il cui modello di business funziona proprio grazie al fatto che gli utenti caricano i propri dati personali, preziosissimi in chiave di pubblicità e marketing. La legge, quindi, si adegua ad una realtà già esistente, ma fa anche altro.

Dati personali come “moneta di scambio”

L’innovazione risiede nel fatto che è una norma, stavolta, a riconoscere espressamente la possibilità di fornire un servizio o un contenuto digitale in cambio di dati personali. Con alcuni limiti. Ci sono, infatti, dei campi espressamente esclusi, quali i servizi alla salute, quelli legati al gioco d’azzardo o quelli finanziari, per citarne alcuni. Non solo: usare i dati personali come “moneta” è possibile solo se il trattamento dei dati non è funzionale a rendere il servizio o il contenuto ovvero per assolvere ad un obbligo di legge. In altre parole: solamente nei casi in cui si accetta che i dati personali servano per una funzione eccedente rispetto alla fornitura del servizio o del contenuto.

L’operatività di queste disposizioni non è immediata, ma scatterà dal 2022. Emerge però fin da ora la necessità di armonizzarle con la disciplina dettata in materia di dati personali. Ci si chiede, infatti, quali dati personali possano essere offerti agli operatori: tutti o solo quelli non sensibili? Allo stesso tempo, c’è qualche perplessità rispetto ai diritti che il GDPR riconosce agli interessati, che potrebbero essere di difficile attuazione nel caso in cui i dati, una volta ceduti all’operatore, vengano rivenduti a soggetti che l’interessato non ha modo di contattare. Insomma, l’auspicio è che nei prossimi mesi venga fatta chiarezza.