Commercio dei dati e tutela del consumatore: il Consiglio di Stato rigetta il ricorso di Facebook su una sanzione dell’AGCM
Il 29 marzo 2021, la sesta sezione del Consiglio di Stato (“Consiglio” o “Collegio”) – con la sentenza n. 02631/2021 (“Sentenza”) – si è pronunciata sull’appello promosso da Facebook con riferimento al provvedimento sanzionatorio emanato dall’Autorità Garante per la Concorrenza ed il Mercato (“AGCM” o “Autorità”), confermando la decisione che aveva contestato la scorrettezza commerciale insita nel presentare i propri servizi agli utenti come gratis, facendosi in realtà pagare in dati.
La vicenda alla base della pronuncia: il provvedimento dell’AGCM e il ricorso al TAR Lazio
Con il provvedimento n. 27432 del 29 novembre 2018 (“Provvedimento”), l’AGCM sanzionava Facebook Inc. e Facebook Ireland Limited (congiuntamente, “Facebook”, “FB” o “Società”) per le seguenti pratiche commerciali scorrette, in violazione degli artt. 20, 21, 22, 24 e 25 del D.lgs. 206/2005 (“Codice del consumo”):
- una pratica ingannevole (“Pratica a)”), in quanto Facebook avrebbe ingannevolmente indotto gli utenti consumatori a registrarsi sulla Piattaforma Facebook non informandoli adeguatamente e immediatamente, in fase di attivazione dell’account, dell’attività di raccolta, con intento commerciale, dei dati da loro forniti, e, più in generale, delle finalità remunerative che sottendono la fornitura del servizio di social network enfatizzandone la sola gratuità, così da indurli ad assumere una decisione di natura commerciale che non avrebbero altrimenti preso;
- una pratica aggressiva (“Pratica b)”), che consisterebbe nell’indebito condizionamento dei consumatori registrati, i quali subiscono, senza espresso e preventivo consenso, quindi in modo inconsapevole e automatico, la trasmissione e l’uso da parte di FB/terzi, per finalità commerciali, dei dati che li riguardano[1].
L’Autorità, pertanto, irrogava alle Società, in solido, due sanzioni pari a cinque milioni ciascuna, disponendo altresì la pubblicazione di una dichiarazione di rettifica ai sensi dell’art. 27, comma 8 del Codice del consumo, con cui Facebook avrebbe dovuto dare conoscenza agli utenti dell’accaduto[2].
Il Provvedimento è stato impugnato dinnanzi al Tribunale Amministrativo per la Regione Lazio (“TAR Lazio”) che, con la sentenza n. 260/2020, ha accolto parzialmente il ricorso proposto da Facebook con riferimento alla Pratica b), non ritenendo sussistente un meccanismo di opt-in preimpostato.
Avverso la predetta pronuncia, l’AGCM e Facebook hanno proposto due distinti appelli, poi riuniti, insistendo quest’ultima – inter alia – sui seguenti motivi:
- il difetto assoluto di attribuzione ratione materie dell’Autorità, riconducendo la vicenda nell’ambito di applicazione della disciplina sulla privacy;
- l’inesistenza di qualsivoglia condotta scorretta, posto che l’AGCM non ha provato che il consumatore/utente medio sarebbe stato indotto ad assumere una decisione di natura commerciale che altrimenti non avrebbe preso; e che
- gli utenti non sono fuorviati dalla descrizione del servizio come gratuito, posto che un utente FB sa benissimo che un sito gratuito non può che reggersi tramite introiti pubblicitari mirati […e che] tale modello di business non è certo proprio solo di FB: al contrario, è tipico di tutti i servizi online gratuiti e quindi vero e proprio fatto notorio.
La decisione del Consiglio di Stato
Pratica a): la coesistenza del GDPR e del Codice del consumo
L’Autorità aveva rilevato che sin dal 15 aprile 2018, l’utente che accedeva all’homepage di Facebook per registrarsi trovava unicamente un claim che lo informava della gratuità del servizio, non essendo invece specificata la raccolta e l’uso dei dati per finalità commerciali di FB[3] (i.e., profilazione con finalità di marketing).
A tale proposito, l’AGCM ha chiarito che i dati sono dotati di un valore commerciale e, pertanto, possono configurarsi come controprestazione del servizio offerto dal social network che, secondo tale ricostruzione, non può considerarsi gratuito.
Con riferimento a tale pratica, pertanto, il Consiglio ha affrontato in prima battuta il tema della commercialità dei dati personali.
In particolare, a parere del Collegio, non potrebbe accogliersi la doglianza espressa dal ricorrente laddove rappresenta che non può immaginarsi possibile […]che gli utenti cedano i propri dati a Facebook quale “corrispettivo” per la fornitura del servizio né che la trasmissione di dati personali possa attenere ad una attività economicamente valutabile, se non invece e al più, ad un mero profilo di tutela di alcuni diritti fondamentali che, per tale ragione, sarebbe riconducibile sotto l’ombrello della disciplina materia di dati personali e, nello specifico, del Regolamento UE 679/2016 (“Regolamento” o “GDPR”).
Infatti, anche volendo aderire alla tesi di Facebook secondo cui il dato personale costituisce una res extra commercium, la patrimonializzazione dello stesso, nel caso di specie, costituirebbe un intervento delle Società che lo patrimonializzano a fini commerciali.
E a nulla vale, al fine di escludere la competenza dell’AGCM, l’assunta riconducibilità della vicenda nell’ambito applicativo del GDPR, che – a parere del Collegio – non può essere tanto assoluto da escludere tout court ogni altra disciplina, posto che ogni scienza giuridica o comportamento umano […] coinvolge inevitabilmente dati personali[4].
Ad avviso del Collegio, infatti, l’intento del legislatore europeo non è stato quello di creare compartimenti stagni di tutela, bensì garantire protezioni multilivello anche quando un diritto personalissimo – com’è quello alla tutela dei dati personali – sia sfruttato per fini commerciali, senza che l’utente sia a compiuta conoscenza delle dinamiche di dette finalità.
Risolto questo nodo preliminare, il Consiglio ha quindi ritenuto che la suesposta condotta, così come rilevato dall’Autorità, costituisce una pratica commerciale ingannevole in quanto Facebook:
- nella schermata di registrazione, omette informazioni rilevanti di cui il consumatore necessita al fine di decidere se usufruire o meno dei servizi;
- non informa l’utente con chiarezza e immediatezza della centralità del valore commerciale dei propri dati rispetto al servizio offerto e, conseguentemente, dell’attività volta alla monetizzazione dei medesimi; e ciò nonostante l’introduzione, da aprile 2018, di un banner cookie generico, la cui visualizzazione è eventuale e non necessariamente collegata alla registrazione.
Pratica b): la presunta “aggressività” delle condotte di Facebook
Occorre da ultimo brevemente soffermarsi sull’appello con cui l’AGCM aveva richiesto il parziale annullamento della sentenza del TAR Lazio nella parte in cui riteneva illegittimo il passaggio del Provvedimento che qualificava come “aggressivo” il comportamento delle Società.
Tale comportamento, come anticipato, si compendiava – a parere dell’Autorità – nella trasmissione dei dati degli utenti registrati al social network ai siti web e/o applicazioni mobile di terzi, opzione attivata senza alcun preventivo consenso da parte dell’interessato, che aveva una mera facoltà di opt-out, prospettata quale foriera di conseguenze penalizzanti in relazione alla fruizione dei servizi.
Anche con riferimento a tale pratica, il Consiglio ha confermato le conclusioni del giudice di prime cure e, in particolare, l’evenienza che la pre-attivazione delle opzioni a disposizione dell’utente non solo non comporta alcuna trasmissione di dati dalla piattaforma a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme[5].
Conclusioni
Dalla ricostruzione operata dal Collegio emerge che il Regolamento e il Codice del consumo presentano ambiti operativi differenti e non contrapposti, dovendo entrambi trovare applicazione laddove un prestatore di servizi – quale è FB – utilizzi i dati dei consumatori/utenti per finalità commerciali ulteriori rispetto alla prestazione del servizio che, pertanto, non è e non può essere pubblicizzato come gratuito.
Da tale assunto discendono, tuttavia, dei temi su cui sarà inevitabilmente necessario un confronto e un coordinamento legislativo – a livello sia nazionale sia europeo – tra cui, per esempio, se il trattamento di dati personali possa in effetti costituire il corrispettivo per un servizio fruito e, in questi casi, la corretta perimetrazione delle competenze dell’AGCM e dell’Autorità Garante per la protezione dei dati personali che in questi casi rischierebbero di sovrapporsi, anche in termini sanzionatori.
Infine, rimane da chiedersi quale sarà l’impatto della pronuncia in commento in termini concorrenziali ed economici, posto che ora i fornitori si troveranno a fronteggiare una serie di interrogativi – invero non chiariti dal Consiglio – quali, inter alia, le corrette informazioni e garanzie da fornire al consumatore/soggetto interessato, nonché, se del caso, le concrete modalità attraverso le quali potrebbe avvenire il commercio dei dati personali.
[1] Pagina 20 del Provvedimento.
[2] In particolare, l’Autorità ha disposto la pubblicazione del seguente comunicato: Le società Facebook Inc. e Facebook Ireland Ltd. non hanno informato adeguatamente e immediatamente i consumatori, in fase di attivazione dell’account, dell’attività di raccolta, con intento commerciale, dei dati da loro forniti. In tal modo hanno indotto i consumatori a registrarsi sulla Piattaforma Facebook, enfatizzando anche la gratuità del servizio. Inoltre, hanno esercitato un indebito condizionamento nei confronti dei consumatori registrati, i quali subiscono, senza espresso e preventivo consenso, la trasmissione e l’uso da parte di Facebook e di terzi, per finalità commerciali, dei dati che li riguardano. L’indebito condizionamento deriva dalla preselezione da parte di Facebook delle opzioni sul consenso alla trasmissione dei propri dati da/a terzi, attraverso in particolare l’automatica attivazione della funzione “Piattaforma attiva”, unitamente alla prospettazione, a seguito della disattivazione di tale Piattaforma, di rilevanti limitazioni di fruibilità del social network e dei siti web/app di terzi, più ampie e pervasive rispetto a quelle effettivamente applicate (testo allegato al Provvedimento).
[3] Al contrario, osserva il Collegio, nel momento in cui l’utente intendesse escludere alcuni dei dati offerti dall’utilizzo commerciale, nel corrispondente box di avviso vengono puntualmente declinati gli “svantaggi” di una siffatta operazione, che provocherebbe una inevitabile dequotazione delle capacità relazionali dell’utente iscritto nella “piattaforma (pagina 26 della Sentenza.). In particolare, utilizzando il tasto “disattiva” era chiaramente descritto all’utente che:
- Non potrai accedere ai siti Web o alle app usando Facebook.
- Non sarai in grado di accedere ai giochi o alle applicazioni mobili usando Facebook.
- I tuoi amici non potranno interagire con te e condividere elementi usando le app e i siti Web.
- Verrà disattivata anche la personalizzazione istantanea.
- Le app che hai installato in precedenza potrebbero ancora essere in possesso di informazioni che hai condiviso con loro. Contatta queste app per ottenere informazioni su come rimuovere questi dati.
- Le app a cui hai effettuato l’accesso (tramite Facebook o in modo anonimo) saranno rimosse.
- I post delle app saranno rimossi dal tuo profilo.
[4] A tale proposito, il Collegio sottolinea che non è irrilevante che il legislatore eurounitario, nel 9° considerando del GDPR, dopo avere rammentato che gli obiettivi e i principi recati dalla direttiva 95/46/CE rimangono tuttora validi, abbia dovuto ammettere che l’introduzione delle surrichiamata direttiva “non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche”. Proprio per questa ragione il legislatore eurounitario ha, altresì, ammesso la compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri possono “ostacolare la libera circolazione dei dati personali all’interno dell’Unione” finendo per “costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE (pagina 23 della Sentenza).
[5] Sul punto, il TAR Lazio aveva in particolare osservato che al fine di realizzare l’integrazione, è necessario compiere numerosi passaggi, che si concludono solo quando, una volta raggiunta tramite il “login” di Facebook la “app” di terzi, l’utente decide di procedere alla sua installazione. Dunque l’affermazione dell’Autorità secondo cui la piattaforma di Facebook era “automaticamente attivata con validità autorizzativa generale” non risulta, in definitiva, corretta, avendo di converso dimostrato il professionista che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web” (pagina 18 della sentenza 260/2020).