UNITesi

The spread of new business models that imply the use of ICT technologies and, to different extents, involve the collection and processing of personal data leads to numerous synergies between the European legislation protecting the data subject and the EU legislation aimed at tackling the use of unfair terms in consumer contracts. The implementation of an empirical approach - resulting in an investigation of the conditions currently existing in online contracting - has enabled to detect the bias in the coordination between the legislative acts applicable to legal cases that are now hybrid. The leitmotif of this study lies in business-to-consumer contracts, the general terms and conditions of which include one or more clauses aimed at regulating the processing of the data subject's personal data. In order to ensure a consistent application of the legislation, it is first necessary to proceed with an examination of the most significant features of EU Regulation 2016/679 with regard to the use of the data subject's consent as the legal basis for data processing operations. Given that the data subject's consent does not constitute the sole source of legitimacy for the processing of information capable of identifying a natural person, each requirement for the validity of consent must be projected within the ‘take-it-or-leave-it’ contractual formula, which is widely disseminated online, to verify its compatibility with the requirements of the GDPR. In the interplay between the GDPR and consumer protection, there is, first, a defining issue of the positions assumed by contracting parties who simultaneously play different roles protected by the law. The interconnectedness that characterizes the subject matter in question creates numerous doubts as to the identification of the protections applicable to a given case, especially when the subject of the contractual agreement is the provision of digital services that take place through the use of online platforms. Given that it is necessary to clarify case-by-case the role of the actors involved in the contractual relationship that arises through the use of digital platforms, particular attention must be paid to the drafting of the contractual conditions imposed on the Internet user in order to proceed with navigation and to use a digital service. Where the user is expected to consent to the processing of his or her data, the general principles enshrined in the GDPR become a parameter for assessing the vexatiousness of the contractual conditions governing data processing activities. Shifting the focus to the assessment of unfairness of terms, it is suggested that the list of terms considered unfair under Directive 93/13/EEC should be updated in the light of the features of contracts for the provision of digital services, giving some concrete examples of terms that are often inserted by traders and that consumers accept because they lack genuine freedom of choice. Finally, the regulatory vacuum emerges from the scope of the most recent legislative innovations. If, on the one hand, the Omnibus Directive amends the directive on unfair terms with regard only to the penalty regime, Directive (EU) 2019/770 on contracts for the provision of digital content and services - while admitting the insertion of data in the contractual synallagma - does not go into the merits of the assessment of unfairness of the terms prepared by the provider alone. The inadequacy of the legislation in force and the need to integrate the test of validity of the consent to processing with the control of unfairness of the clauses in B2C contracts require, therefore, a renewal of the parameters of reference considering the peculiarities of a legal relationship that oscillates between regulation of processing and consumer protection.

La diffusione di nuovi modelli di business che implicano l’uso di tecnologie ICT e, in varia misura, prevedono la raccolta e il trattamento di dati personali determina numerose sinergie tra la normativa europea a tutela del data subject e la legislazione di matrice comunitaria volta a contrastare l’uso di clausole abusive nei contratti del consumatore. L’implementazione di un approccio empirico - tradottosi in una disamina delle condizioni attualmente presenti nella contrattazione online - ha consentito di rilevare la parzialità del coordinamento tra gli atti legislativi applicabili a fattispecie giuridiche ormai ibride. Fil rouge del presente elaborato sono i contratti per adesione business-to-consumer, le cui condizioni generali includono una o più clausole volte a disciplinare il trattamento dei dati personali del soggetto aderente. Per garantire un’applicazione coerente della normativa, occorre anzitutto procedere a una disamina dei tratti maggiormente significativi del Regolamento UE 2016/679 con riguardo all’uso del consenso del data subject quale base giuridica delle operazioni di data processing. Posto che l’assenso dell’interessato non costituisce l’unica fonte di legittimazione del trattamento di informazioni in grado di identificare una persona fisica, ciascun requisito di validità del consenso deve essere proiettato all’interno della formula contrattuale ‘take-it-or-leave-it’, ampiamente diffusa in rete, per verificarne la compatibilità con quanto prescritto ai sensi del GDPR. Nell’interazione tra GDPR e tutela del consumatore rileva, anzitutto, una questione definitoria delle posizioni assunte dai contraenti che rivestono al contempo diversi ruoli tutelati dall’ordinamento. L’interconnessione che caratterizza la materia in oggetto crea numerosi dubbi in merito all’individuazione delle tutele applicabili a una determinata fattispecie, specialmente quando oggetto della pattuizione contrattuale è la fornitura di servizi digitali che avviene grazie all’uso di piattaforme online. Posto che occorre chiarire case-by-case il ruolo dei soggetti coinvolti nell’ambito del rapporto contrattuale che sorge proprio grazie all’uso delle digital platforms, occorre prestare particolare attenzione alla redazione delle condizioni contrattuali imposte all’internauta per poter procedere nella navigazione e per usufruire di un servizio digitale. Laddove si preveda che l’utente presti il consenso al trattamento dei propri dati, i principi generali sanciti dal GDPR divengono un parametro di valutazione di vessatorietà delle condizioni contrattuali che regolano le attività di data processing. Trasferendo il focus sulla valutazione di abusività delle clausole, si paventa l’opportunità di aggiornare la lista di clausole considerate abusive ai sensi della Direttiva 93/13/CEE alla luce delle fattezze dei contratti di fornitura di servizi digitali, riportando alcuni esempi concreti di condizioni che spesso vengono inserite dai commercianti e che i consumatori accettano perché privi di una effettiva libertà di scelta. Infine, il vuoto normativo emerge dalla portata delle più recenti novità legislative. Se da un lato la Direttiva Omnibus modifica la direttiva sulle clausole abusive con riguardo al solo regime sanzionatorio, la Direttiva (UE) 2019/770 sui contratti di fornitura di contenuti e servizi digitali - pur ammettendo l’inserzione dei dati nel sinallagma contrattuale - non entra nel merito della valutazione di iniquità delle condizioni predisposte dal solo provider. L’insufficienza della legislazione vigente e la necessità di integrare il test di validità del consenso al trattamento con il controllo di vessatorietà delle clausole nei contratti B2C esigono, dunque, un rinnovo dei parametri di riferimento alla luce delle peculiarità di un rapporto giuridico che oscilla tra regolazione del trattamento e tutela del consumatore.

Dati personali e tutela del consumatore. Il controllo di abusività delle clausole tra GDPR e Direttiva 93/13/CEE

VALLETTA, Elisa
2025

Abstract

The spread of new business models that imply the use of ICT technologies and, to different extents, involve the collection and processing of personal data leads to numerous synergies between the European legislation protecting the data subject and the EU legislation aimed at tackling the use of unfair terms in consumer contracts. The implementation of an empirical approach - resulting in an investigation of the conditions currently existing in online contracting - has enabled to detect the bias in the coordination between the legislative acts applicable to legal cases that are now hybrid. The leitmotif of this study lies in business-to-consumer contracts, the general terms and conditions of which include one or more clauses aimed at regulating the processing of the data subject's personal data. In order to ensure a consistent application of the legislation, it is first necessary to proceed with an examination of the most significant features of EU Regulation 2016/679 with regard to the use of the data subject's consent as the legal basis for data processing operations. Given that the data subject's consent does not constitute the sole source of legitimacy for the processing of information capable of identifying a natural person, each requirement for the validity of consent must be projected within the ‘take-it-or-leave-it’ contractual formula, which is widely disseminated online, to verify its compatibility with the requirements of the GDPR. In the interplay between the GDPR and consumer protection, there is, first, a defining issue of the positions assumed by contracting parties who simultaneously play different roles protected by the law. The interconnectedness that characterizes the subject matter in question creates numerous doubts as to the identification of the protections applicable to a given case, especially when the subject of the contractual agreement is the provision of digital services that take place through the use of online platforms. Given that it is necessary to clarify case-by-case the role of the actors involved in the contractual relationship that arises through the use of digital platforms, particular attention must be paid to the drafting of the contractual conditions imposed on the Internet user in order to proceed with navigation and to use a digital service. Where the user is expected to consent to the processing of his or her data, the general principles enshrined in the GDPR become a parameter for assessing the vexatiousness of the contractual conditions governing data processing activities. Shifting the focus to the assessment of unfairness of terms, it is suggested that the list of terms considered unfair under Directive 93/13/EEC should be updated in the light of the features of contracts for the provision of digital services, giving some concrete examples of terms that are often inserted by traders and that consumers accept because they lack genuine freedom of choice. Finally, the regulatory vacuum emerges from the scope of the most recent legislative innovations. If, on the one hand, the Omnibus Directive amends the directive on unfair terms with regard only to the penalty regime, Directive (EU) 2019/770 on contracts for the provision of digital content and services - while admitting the insertion of data in the contractual synallagma - does not go into the merits of the assessment of unfairness of the terms prepared by the provider alone. The inadequacy of the legislation in force and the need to integrate the test of validity of the consent to processing with the control of unfairness of the clauses in B2C contracts require, therefore, a renewal of the parameters of reference considering the peculiarities of a legal relationship that oscillates between regulation of processing and consumer protection.
31-mar-2025
Italiano
La diffusione di nuovi modelli di business che implicano l’uso di tecnologie ICT e, in varia misura, prevedono la raccolta e il trattamento di dati personali determina numerose sinergie tra la normativa europea a tutela del data subject e la legislazione di matrice comunitaria volta a contrastare l’uso di clausole abusive nei contratti del consumatore. L’implementazione di un approccio empirico - tradottosi in una disamina delle condizioni attualmente presenti nella contrattazione online - ha consentito di rilevare la parzialità del coordinamento tra gli atti legislativi applicabili a fattispecie giuridiche ormai ibride. Fil rouge del presente elaborato sono i contratti per adesione business-to-consumer, le cui condizioni generali includono una o più clausole volte a disciplinare il trattamento dei dati personali del soggetto aderente. Per garantire un’applicazione coerente della normativa, occorre anzitutto procedere a una disamina dei tratti maggiormente significativi del Regolamento UE 2016/679 con riguardo all’uso del consenso del data subject quale base giuridica delle operazioni di data processing. Posto che l’assenso dell’interessato non costituisce l’unica fonte di legittimazione del trattamento di informazioni in grado di identificare una persona fisica, ciascun requisito di validità del consenso deve essere proiettato all’interno della formula contrattuale ‘take-it-or-leave-it’, ampiamente diffusa in rete, per verificarne la compatibilità con quanto prescritto ai sensi del GDPR. Nell’interazione tra GDPR e tutela del consumatore rileva, anzitutto, una questione definitoria delle posizioni assunte dai contraenti che rivestono al contempo diversi ruoli tutelati dall’ordinamento. L’interconnessione che caratterizza la materia in oggetto crea numerosi dubbi in merito all’individuazione delle tutele applicabili a una determinata fattispecie, specialmente quando oggetto della pattuizione contrattuale è la fornitura di servizi digitali che avviene grazie all’uso di piattaforme online. Posto che occorre chiarire case-by-case il ruolo dei soggetti coinvolti nell’ambito del rapporto contrattuale che sorge proprio grazie all’uso delle digital platforms, occorre prestare particolare attenzione alla redazione delle condizioni contrattuali imposte all’internauta per poter procedere nella navigazione e per usufruire di un servizio digitale. Laddove si preveda che l’utente presti il consenso al trattamento dei propri dati, i principi generali sanciti dal GDPR divengono un parametro di valutazione di vessatorietà delle condizioni contrattuali che regolano le attività di data processing. Trasferendo il focus sulla valutazione di abusività delle clausole, si paventa l’opportunità di aggiornare la lista di clausole considerate abusive ai sensi della Direttiva 93/13/CEE alla luce delle fattezze dei contratti di fornitura di servizi digitali, riportando alcuni esempi concreti di condizioni che spesso vengono inserite dai commercianti e che i consumatori accettano perché privi di una effettiva libertà di scelta. Infine, il vuoto normativo emerge dalla portata delle più recenti novità legislative. Se da un lato la Direttiva Omnibus modifica la direttiva sulle clausole abusive con riguardo al solo regime sanzionatorio, la Direttiva (UE) 2019/770 sui contratti di fornitura di contenuti e servizi digitali - pur ammettendo l’inserzione dei dati nel sinallagma contrattuale - non entra nel merito della valutazione di iniquità delle condizioni predisposte dal solo provider. L’insufficienza della legislazione vigente e la necessità di integrare il test di validità del consenso al trattamento con il controllo di vessatorietà delle clausole nei contratti B2C esigono, dunque, un rinnovo dei parametri di riferimento alla luce delle peculiarità di un rapporto giuridico che oscilla tra regolazione del trattamento e tutela del consumatore.
DE CRISTOFARO, Giovanni
DE CRISTOFARO, Giovanni
Università degli studi di Ferrara
Università degli Studi di Ferrara
File in questo prodotto:
File Dimensione Formato  
TESI DOTTORATO_VALLETTA_pdf_a.pdf

accesso aperto

Dimensione 1.94 MB
Formato Adobe PDF
Visualizza/Apri
1.94 MB Adobe PDF Visualizza/Apri

I documenti in UNITESI sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14242/220154
Il codice NBN di questa tesi è URN:NBN:IT:UNIFE-220154