Ieri è scaduto il termine per esercitare l’opt-out per impedire al colosso dei social di dare in pasto i dati degli utenti alla propria intelligenza artificiale. Ma è veramente così? No, ma la soluzione crea qualche problema di Andrea Monti – Inizialmente pubblicato su Italian Tech-La Repubblica
Lunedì 26 maggio, in teoria, è stato l’ultimo giorno nel quale i clienti del social network di Meta possono avvalersi dell’offerta novativa formulata dal provider che prevede l’opzione di pagare in dati o in moneta la fruizione del servizio.
Questa formulazione in termini strettamente giuridici di quello che sta succedendo consente di capire esattamente di cosa stiamo parlando. C’è un contratto (si, i “termini e condizioni” che si accettano quando si attiva un account sono un contratto vero e proprio), il contratto è a tempo indeterminato, quindi se una parte cambia i termini dell’accordo l’altra può accettarli o recedere (e dunque, in questo caso, cancellare l’account).
L’Agenzie delle entrate: i dati sono un corrispettivo per il servizio
Se l’impostazione di Meta è corretta, allora è anche corretta la tesi dell’Agenzia delle entrate in base alla quale i dati sono una contropartita per l’utilizzo del servizio e quindi rappresentano un guadagno sul quale pagare le tasse. Questo dovrebbe implicare, di conseguenza, l’avvio di una colossale attività di recupero di tasse e imposte non pagate dalle imprese, con una boccata d’aria per il fisco, e un probabile colpo da KO alle imprese che non hanno la solidità di Big Tech.
Il Garante dei dati personali: i dati non si possono monetizzare
Nello stesso tempo, però, dice il Garante dei dati personali smentendo una prima posizione espressa già oltre vent’anni fa, il trattamento dei dati non può essere monetizzato perché il consenso al trattamento deve essere “libero” —cioè non condizionato da “posizioni di forza” dell’altra parte. Quindi non può formare oggetto di scambio.
La posizione dell’Autorità nazionale di protezione dei dati (oltre a essere contraria a quanto aveva affermato in passato e a quanto stabilito dalla giurisprudenza) è contraria al modo in cui funzionano i contratti. Il Codice civile e varie altre normative anche europee consentono —entro certi limiti fissati ad esempio dalle tutele per i consumatori— a una parte di avere una posizione dominante nei confronti dell’altra. È il caso, per esempio, delle condizioni generali di contratto basate sul “prendere o lasciare” nei contratti di finanziamento o credito al consumo.
Meta è in posizione dominante?
Si potrebbe affermare che Meta è in una posizione talmente forte da non lasciare opzioni ai propri clienti. Ma si potrebbe rispondere che gli utenti non sono obbligati a utilizzare Facebook o Instagram, vista l’abbondanza di social network, addirittura “privacy friendly” come Wiki Tribune (qualcuno se lo ricorda, o lo ha mai usato?). Inoltre, la posizione dominante non è di per sé illegale, perché ad essere sanzionato è l’abuso, non l’uso. Dunque, fino a quando un’autorità antitrust non “certificherà” che le condizioni contrattuali di Meta sono eccessivamente gravose per utenti che non hanno alternative, è difficile contestare la legittimità dell’operato di questa Big Tech.
Gli utenti rimangono senza diritti?
Ciononostante, se avesse ragione il Garante dei dati personali, l’utente potrebbe in qualsiasi momento, anche a “tempo scaduto”, chiedere a Meta di bloccare il trattamento dei propri dati perché i diritti previsti dal GDPR non possono essere (del tutto) limitati contrattualmente. Questo è vero, in particolare, se i trattamenti coinvolti implicano un rischio rilevante per i diritti e le libertà della persona.
Tuttavia, esercitare i diritti garantiti dal GDPR non sarebbe semplicissimo perché la procedura vuole che prima venga inviata una richiesta al titolare dei trattamenti (Meta, nel caso di specie), poi che si attenda un certo tempo e poi, se non si riceve risposta o la risposta non è soddisfacente che ci si rivolga al Garante dei dati personali oppure all’autorità giudiziaria (questo, peraltro, è un passaggio importante perché solo la magistratura ha il potere di tutelare i diritti, mentre le autorità indipendenti, no).
Il contrasto fra Garante dei dati personali e Agenzia delle entrate
Ma se, a prescindere dalle lungaggini e dai costi della procedura, l’utente può in qualsiasi momento cambiare idea, allora i dati non possono essere considerati una contropartita per la fruizione del servizio. Ci si troverebbe, infatti, di fronte al paradosso in base al quale una parte (Meta) adempie al proprio dovere contrattuale, cioè fornire il servizio mentre l’altra (l’utente) può smettere di pagare in qualsiasi momento e impedire l’uso dei dati già conferiti.
Certo, in questo caso Meta potrebbe passare (automaticamente?) alla versione a pagamento del servizio, ma questo non cambia il nocciolo della questione: se la cessione dei dati (o del diritto di utilizzarli) non è irrevocabile e il blocco è, come vuole il GDPR, addirittura retroattivo, non si può parlare di contropartita per il servizio.
Se questo è vero, allora l’Agenzia delle entrate non potrebbe applicare sanzioni fiscali a Meta (e a tutte le altre aziende grandi e piccole, straniere e italiane) che applicano lo stesso modello “pay or OK” —o meglio, “pay with money, pay with data, but pay”.
Il prezzo dell’ambiguità
La vicenda dell’opt-out sui dati degli utenti che non vogliono alimentare l’AI di Meta non è importante in sé.
In fondo, rappresenta soltanto una delle tante schermaglie fra poteri istituzionali (autorità indipendenti e agenzie) e poteri reali (Big Tech). Come nei film del Marvel Cinematic Universe —con l’esclusione di Endgame, a voler essere pedanti— i protagonisti si picchiano come fabbri, ma poi rimangono vivi e vegeti fino al prossimo episodio del franchise.
La questione più strutturale che la vicenda dell’opt-out di Meta fa nuovamente emergere è, invece, il prezzo altissimo dell’ambiguità normativa alimentata dall’Unione Europea.
Negli ultimi anni sono stati emanati in rapidissima successione provvedimenti incoerenti, contraddittori e difficili da applicare (non parliamo, per esempio, di quello che sta accadendo con la direttiva sulle infrastrutture critiche e con il regolamento sull’AI).
La conseguenza è che sia i cittadini (che avrebbero diritto a sapere quali sono i propri diritti) e le imprese (che avrebbero diritto a sapere come comportarsi per rispettare la legge) sono abbandonati a loro stessi, sommersi da linee guida, codici di condotta, pareri, raccomandazioni che non hanno un vero valore vincolante ma, soprattutto, non rendono chi li emana responsabili per gli errori che commette e la confusione che genera.
Il mercato unico fatto a pezzi sul nascere?
Questo caos generato dalle norme e dai conflitti fra poteri non aiuta lo sviluppo della sovranità tecnologica dei Paesi UE, né tantomeno la costruzione di un mercato realmente unico nel settore dei servizi di telecomunicazioni e dei servizi digitali. La certezza delle regole, infatti, è il prerequisito per la loro applicazione, mentre l’ambiguità delle norme e la confusione su chi può imporne il rispetto apre lo spazio a incertezze e abusi.
Tutti lussi che di certo la UE non si può permettere se vuole creare i presupposti per una reale indipendenza dai comparti industriali tecnologici USA —e, da non dimenticare— cinesi.
Possibly Related Posts:
- Meta potrà usare i dati degli utenti per addestrare l’IA: cosa dice la sentenza tedesca
- La nuova legge sull’IA del Giappone ha qualcosa da insegnare a Usa e Ue
- Svolta del Tribunale di Milano: pubblicare le foto dei figli minorenni può essere reato
- Il ruolo geopolitico dell’IOMed a trazione cinese
- Il caso Garlasco riapre il dibattito su scienza, tecnologia e ruolo del giudice