Non solo nuovi modelli di business, ma modelli essenziali nell’oggi. Acquisire sensibilità ai termini della conversazione giuridica in atto è essenziale per orientarsi nella compliance delle numerose norme esistenti e future.
Ammissibilità del modello pay or consent: tra rivoluzione economica digitale e modernizzazione della protezione dei dati è un documento redatto dall’Istituto italiano per la Privacy e la valorizzazione dei dati. Uno degli estensori, Luca Bolognini, lo ha discusso insieme a Giovanni Maria Riccio (Studio E-Lex), Marco Scialdone (Euroconsumers), Laura Liguori (Studio Portolano Cavallo), Stefano Fratta (Meta) Guido Scorza (Componente del Garante per la protezione dei dati personali).
Parlare di un modello di business e di quale sia l’ambito regolativo nel quale si muove è essenziale per indirizzare la politica di qualsiasi azienda si muova nei contenuti: Netflix e i social network stanno sulla stessa barca, secondo un parallelo ormai accettato.
Il pay or consent prevede quindi di remunerare un servizio o con denaro, oppure cedendo il diritto all’uso dei propri dati e metadati, abilitando la relativa pubblicità personalizzata.
Va rimarcato che il dato personale è un diritto e non può essere usato come moneta. Invece il trattamento dei dati può essere usato come moneta di scambio, magari dettagliando -per quanto possibile- quali dati vanno a quali attori e per quanto tempo.
Questo approccio, a lungo oggetto di discussione per liceità e valore, è stato ormai accettato (prima in UE e poi in Italia): è un modello di business di tipo contratto, “legittimo ma con requisiti”.
Per quanto riguarda le dimensioni dell’azienda che li applica si devono considerare due livelli, basso e alto. Al livello alto troviamo chi ha dimensioni ragguardevoli nei confronti dell’utente per esempio la Pubblica amministrazione o un monopolista. Al livello basso ci sono gli operatori normali, con obblighi diversi. Ma bisogna fare attenzione, perché raggruppamenti di piccoli che possano comunque raggiungere grandi dimensioni andrebbero considerati al livello alto.
Tutto risolto? No, certo, perché ci sono svariati modelli di business digitali, ciascuno con la sua interpretazione a seconda delle numerose norme che bisogna conoscere per portare avanti l’attività senza intoppi. È lunga la lista delle tante normative: le specifiche GDPR, Direttiva CE 770/2019 e 2019/2161, le Carte (dalla Costituzione italiana ai Diritti fondamentali EU). Molti anche i pronunciamenti: in particolare, quello della Corte europea di giustizia riguardante Meta nel 2023 (CJEU C-252/21). È quindi possibile tracciare un percorso minimo che il manager aziendale che si occupa di questo settore del business deve seguire.
Innanzitutto bisogna fare attenzione con la definizione di consenso, perché potrebbe presentarsi in modo diverso tra GDPR, ePrivacy e DMA (Digital Market Act). Si passa poi alla questione centrale, ovvero la natura del mercato: consenso, contratto o legittimo interesse? Se il pay per consent è un contratto con requisiti, nei dati per gli algoritmi di AI sta vincendo il legittimo interesse, un tipo di accordo senza il quale non ci sarebbe proprio l’intelligenza artificiale. Serve ora identificare i requisiti -verrebbe da dire minimi- per poter definitivamente inquadrare la cessione del trattamento come contratto. I tre principali sono oggi la fungibilità, il prezzo e l’applicabilità (definita in ePrivacy e DMA).
La fungibilità risponde a una semplice domanda: posso farne a meno di quel servizio, oppure è essenziale? La risposta cambia a secondo dei contesti: Instagram o le chat di gruppo sono oggi essenziali per i giovani, ma non per tutte le persone. Una nota a parte la merita il problema del prezzo. In termini assoluti il valore dei dati personali (e del relativo trattamento) è molto alto, ma in termini di percepito o di mercato il valore è molto ridotto. Inoltre ciascuno assegna alle cose il valore-soglia che crede. E se la legge suggerisce ragionevolezza, il diritto non tutela gli stupidi.