I dati personali sono davvero una proprietà?

Come stanno cambiando le regole sull’uso dei dati nell’economia digitale

Ogni giorno imprese digitali, piattaforme online e fornitori di servizi tecnologici raccolgono enormi quantità di dati personali: dati di navigazione, registrazioni a piattaforme, preferenze degli utenti, informazioni di acquisto e interazioni con applicazioni e servizi online.

Questi dati vengono utilizzati per molte finalità: migliorare i servizi digitali, personalizzare contenuti e pubblicità, sviluppare nuovi prodotti o addestrare sistemi di intelligenza artificiale.

In questo contesto è sempre più diffusa l’idea che i dati personali rappresentino una sorta di nuova forma di proprietà, una risorsa economica che può essere raccolta, utilizzata e scambiata nel mercato digitale.

Dal punto di vista giuridico, però, la questione è più complessa.

Nel diritto europeo i dati personali non sono semplicemente “beni” assimilabili agli oggetti materiali. La loro circolazione è regolata da un sistema di norme che combina tutela dei diritti fondamentali, regole contrattuali e limiti all’utilizzo economico delle informazioni.

Per le imprese che operano nell’economia digitale, comprendere questa trasformazione è sempre più importante. La raccolta e l’utilizzo dei dati rappresentano infatti una componente essenziale di molti modelli di business.

L’economia digitale si basa sui dati

La cosiddetta data economy si fonda sulla raccolta e sull’utilizzo di informazioni generate dagli utenti.

Oggi quasi ogni servizio digitale utilizza dati personali:

  • piattaforme di e-commerce
  • applicazioni mobile
  • servizi cloud
  • strumenti di marketing digitale
  • piattaforme social
  • sistemi di intelligenza artificiale
  • dispositivi dell’Internet of Things, come smartwatch, assistenti vocali, elettrodomestici connessi o sistemi di domotica

In questo contesto i dati diventano una risorsa economica centrale, spesso più importante dei beni materiali.

A differenza di un oggetto fisico, però, i dati hanno caratteristiche particolari:

  • possono essere copiati all’infinito
  • possono essere utilizzati contemporaneamente da più soggetti
  • non si consumano con l’uso
  • possono essere combinati con altri dati generando nuove informazioni

Queste caratteristiche rendono difficile applicare ai dati le categorie giuridiche tradizionali del diritto di proprietà.

I dati personali e il superamento della logica proprietaria

Nel diritto privato tradizionale i beni sono normalmente oggetti materiali che possono essere posseduti e trasferiti.

I dati personali, invece, sono beni immateriali digitali che difficilmente possono essere trattati come una proprietà nel senso tradizionale del termine.

Nel diritto europeo sta emergendo un approccio diverso. Più che stabilire chi possiede i dati, diventa centrale definire:

  • chi può accedervi
  • chi può utilizzarli
  • per quali finalità
  • per quanto tempo
  • con quali limiti e garanzie

Questo orientamento è visibile anche nella normativa europea sui servizi digitali.

La Direttiva (UE) 2019/770 sui contratti di fornitura di contenuti e servizi digitali riconosce infatti che, in alcuni casi, il consumatore può ottenere un servizio digitale fornendo dati personali invece di pagare un prezzo in denaro.

La direttiva non trasforma i dati personali in una vera e propria merce, ma prende atto del loro ruolo economico nei modelli di business digitali.

Le riflessioni sviluppate dalla dottrina sulla natura dei beni digitali trovano oggi un riscontro sempre più evidente anche nella giurisprudenza europea.

Negli ultimi anni, infatti, la Corte di Giustizia dell’Unione europea ha chiarito diversi aspetti relativi alla definizione di dato personale e ai criteri utilizzati per valutare quando una persona possa essere considerata identificabile.

Quando un’informazione diventa un dato personale?

Ma quando un’informazione può davvero essere considerata un dato personale?

Il punto di partenza è la definizione contenuta nell’articolo 4, paragrafo 1, del Regolamento (UE) 2016/679 (GDPR), secondo cui costituisce dato personale:

“qualsiasi informazione riguardante una persona fisica identificata o identificabile”.

Si tratta di una definizione volutamente ampia. Non riguarda solo informazioni oggettive, ma anche valutazioni, opinioni o altri dati che possono essere collegati a un individuo.

La Corte di Giustizia ha più volte ribadito questa interpretazione estensiva.

Nella sentenza Nowak (C-434/16, 20 dicembre 2017) la Corte ha affermato che anche commenti o valutazioni relativi a una persona possono costituire dati personali quando sono collegati a un individuo identificato o identificabile.

Un altro elemento centrale riguarda la possibilità di identificare la persona interessata.

Nella sentenza Breyer (C-582/14, 19 ottobre 2016) la Corte ha chiarito che un’informazione può essere considerata dato personale quando esistono mezzi ragionevolmente utilizzabili per identificare l’interessato, anche se alcune delle informazioni necessarie sono detenute da terzi.

Più recentemente, nella decisione OC / Commissione (C-479/22 P, 7 marzo 2024), la Corte ha ribadito che la valutazione dell’identificabilità deve essere effettuata tenendo conto del contesto concreto del trattamento e dei mezzi effettivamente disponibili per identificare la persona.

La pseudonimizzazione nel diritto europeo

Un tema particolarmente rilevante nell’economia digitale riguarda la pseudonimizzazione dei dati.

Il GDPR definisce la pseudonimizzazione nell’articolo 4, paragrafo 5, come il trattamento dei dati personali in modo tale che essi non possano essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive.

Questa tecnica rappresenta una misura di sicurezza che può ridurre i rischi per gli interessati, ma non rende automaticamente i dati anonimi.

La questione è stata affrontata in modo approfondito dalla Corte di Giustizia nella sentenza 4 settembre 2025, C-413/23 P, relativa alla trasmissione di osservazioni pseudonimizzate a una società terza.

In quella decisione la Corte ha chiarito che i dati pseudonimizzati non devono essere considerati automaticamente dati personali per chiunque li utilizzi.

La loro qualificazione dipende dalle circostanze concrete del trattamento e, in particolare, dalla possibilità effettiva per il soggetto che utilizza i dati di identificare l’interessato.

Cosa cambia per le imprese che utilizzano dati personali?

Questi sviluppi giuridici hanno implicazioni molto concrete per le imprese che operano nell’economia digitale.

Molte aziende utilizzano tecniche di pseudonimizzazione per attività di analisi dei dati, sviluppo di nuovi servizi o ricerca tecnologica.

La giurisprudenza europea chiarisce però che non è sufficiente dichiarare che un dataset è pseudonimizzato.

Occorre valutare concretamente:

  • chi può re-identificare i dati
  • quali informazioni aggiuntive esistono
  • quali soggetti hanno accesso a tali informazioni

Diventa quindi sempre più importante analizzare i flussi di dati all’interno dell’organizzazione e nei rapporti con soggetti esterni, come fornitori tecnologici, partner commerciali o piattaforme digitali.

Molti progetti digitali, soprattutto nel campo dell’analisi dei dati e dell’intelligenza artificiale, coinvolgono infatti una pluralità di soggetti che partecipano al trattamento delle informazioni.

In questi casi la corretta qualificazione giuridica dei dati e la gestione dei rapporti tra i diversi operatori diventano elementi centrali per ridurre il rischio legale.

Il ruolo dei contratti nella circolazione dei dati

Nel contesto dei servizi digitali i rapporti giuridici che connotano il trasferimento dei dati tra utenti e imprese raramente assumono la forma di una vera e propria “vendita” dei dati.

Molto più spesso il modello giuridico è quello di una autorizzazione all’uso dei dati, inserita in servizi che agli utenti appaiono gratuiti ma che in realtà si basano proprio sull’utilizzo delle loro informazioni.

Infatti, gli utenti concedono al fornitore del servizio la possibilità di utilizzare i loro dati entro limiti specifici e per determinate finalità.

Questo rende particolarmente importanti:

  • le condizioni d’uso dei servizi digitali
  • le informative privacy
  • gli accordi con fornitori cloud e piattaforme tecnologiche
  • i contratti con partner commerciali

Quando i dati vengono condivisi tra più soggetti, ad esempio tra piattaforme, provider tecnologici e società di analisi dati, diventa essenziale definire con chiarezza ruoli e responsabilità dei diversi operatori.

Trasparenza e obblighi informativi nel GDPR

La normativa europea richiede inoltre che gli interessati siano informati in modo chiaro sulle modalità di trattamento dei loro dati.

L’articolo 13 del GDPR stabilisce che il titolare del trattamento debba comunicare agli interessati una serie di informazioni fondamentali, tra cui:

  • le finalità del trattamento
  • la base giuridica
  • gli eventuali destinatari dei dati personali

Questo obbligo di trasparenza assume particolare rilevanza quando i dati vengono condivisi con soggetti terzi o utilizzati per finalità ulteriori rispetto a quelle originarie.

Conclusioni: i dati come risorsa strategica nell’economia digitale

La crescente centralità dei dati nell’economia digitale sta cambiando profondamente il modo in cui il diritto affronta il tema dei beni immateriali.

Sempre più spesso i dati personali non vengono trattati come una semplice proprietà, ma come una risorsa che può essere utilizzata solo entro un quadro giuridico complesso fatto di diritti fondamentali, regole di trasparenza e limiti contrattuali.

Le recenti decisioni della Corte di Giustizia mostrano chiaramente come la qualificazione dei dati dipenda dal contesto concreto in cui vengono trattati e dalle effettive possibilità di identificazione degli interessati.

Per le imprese che operano online, comprendere queste dinamiche è essenziale per sviluppare servizi innovativi senza esporsi a rischi legali significativi.

Una revisione periodica dei flussi di dati, delle informative privacy e della struttura contrattuale dei servizi digitali può rappresentare un passo importante per garantire che l’utilizzo dei dati sia coerente con il quadro normativo europeo e con le più recenti evoluzioni della giurisprudenza.

Utilizzi dati personali nella tua attività digitale?

Le imprese che operano nell’economia digitale si trovano sempre più spesso a gestire grandi quantità di dati personali nell’ambito dei propri servizi, delle attività di marketing o nello sviluppo di soluzioni basate su analisi dei dati e intelligenza artificiale.

In questi casi è importante verificare che la raccolta, l’utilizzo e la condivisione dei dati siano coerenti con il quadro normativo europeo e con gli orientamenti più recenti della giurisprudenza.

Se la tua azienda utilizza dati personali per sviluppare servizi digitali, attività di marketing o progetti basati sui dati, può essere utile effettuare una valutazione della conformità al GDPR e della struttura contrattuale dei trattamenti.

Per approfondire questi aspetti o per una valutazione della situazione concreta della tua impresa, puoi contattarci.

Quali sono i rischi di un trattamento illecito dei dati personali?

Per le imprese che operano nell’economia digitale, il rispetto della normativa sulla protezione dei dati personali non è solo una questione formale. Un trattamento illecito dei dati può infatti comportare conseguenze giuridiche rilevanti.

Il Regolamento (UE) 2016/679 (GDPR) prevede un sistema articolato di responsabilità e sanzioni.

In primo luogo, gli articoli 83–86 del GDPR disciplinano il regime delle sanzioni amministrative applicabili dalle autorità di controllo nazionali. In caso di violazione delle norme sulla protezione dei dati, le imprese possono essere soggette a sanzioni pecuniarie che, nei casi più gravi, possono arrivare fino a 20 milioni di euro oppure al 4% del fatturato annuo mondiale, se superiore.

Accanto alle sanzioni amministrative, il GDPR riconosce anche il diritto al risarcimento del danno per le persone i cui dati siano stati trattati in violazione della normativa.

L’articolo 82 del GDPR stabilisce infatti che chiunque subisca un danno materiale o immateriale a causa di una violazione del regolamento ha diritto a ottenere il risarcimento dal titolare o dal responsabile del trattamento.

Il tema del risarcimento per violazioni della privacy è particolarmente rilevante nel contesto digitale, dove i trattamenti illeciti possono avvenire anche attraverso forme di raccolta occulta o di monitoraggio online. Su questo punto è possibile approfondire anche nel contributo Come posso ottenere un risarcimento per sorveglianza invisibile online?, dedicato proprio alle modalità con cui gli utenti possono far valere il diritto al risarcimento dei danni derivanti da trattamenti illeciti dei dati personali.

Per questo motivo le imprese che trattano dati personali devono prestare particolare attenzione alla conformità dei propri processi al GDPR. La corretta gestione dei flussi di dati, delle informative privacy e dei rapporti contrattuali con fornitori e partner tecnologici rappresenta oggi un elemento essenziale per ridurre il rischio di contenziosi e sanzioni.

Richiedi una consulenza:

Hai bisogno di approfondire l'argomento trattato nell'articolo?

Premi il pulsante e compila il modulo per richiedere una valutazione del tuo caso.

Contattaci