giovedì, Dicembre 12, 2024
Uncategorized

Il caso Facebook c. AGCM: i dati personali sono controprestazioni contrattuali

La delibera dell’AGCM sulle condotte “scorrette” di Facebook

L’Autorità Garante della Concorrenza e del Mercato con la delibera n. 27432 del 29 novembre 2018[1] ha irrogato nei confronti di Facebook Inc. e con esso Facebook Ireland Ltd. (di seguito denominato “Facebook”) la sanzione amministrativa pecuniaria di dieci milioni di euro in relazione a due presunte pratiche commerciali “scorrette” aventi ad oggetto il trattamento dei dati personali degli utenti e attuate sia durante la fase di attivazione dell’account sia durante la fruizione del servizio di Facebook.

Secondo l’analisi dell’AGCM le condotte sono state eseguite in violazione degli articoli 20[2], 21, 22, 24 e 25 del decreto legislativo n. 206/05 (c.d. “Codice del Consumo”) e la sanzione è stata irrogata tenendo conto della gravità e della durata di esse.

Nello specifico le suddette pratiche commerciali hanno riguardato la raccolta, l’utilizzo e lo scambio con soggetti terzi dei dati personali degli utenti-consumatori a fini commerciali, e, unitamente ai dati personali, hanno costituito oggetto di utilizzo e scambio anche gli interessi degli iscritti al social network emersi durante l’utilizzo di esso nel tempo.

Ebbene, la prima condotta – ritenuta dall’Autorità come “ingannevole[3] – è consistita nella circostanza per cui Facebook, nella prima fase di registrazione dell’utente, avesse adottato un’informativa non idonea a generare sufficiente consapevolezza negli utenti circa l’utilizzo che sarebbe stato fatto dei dati personali forniti, ma piuttosto mirata alla raccolta dei dati stessi e alla loro successiva utilizzazione e/o condivisione con terzi a scopi puramente commerciali.

Dunque l’informativa presente sulla pagina di prima registrazione – la quale faceva intendere la gratuità del servizio e non menzionava riferimenti a scopi commerciali – è stata giudicata priva di chiarezza, immediatezza e completezza, considerato invece il livello di informazione che gli utenti-consumatori avrebbero dovuto ricevere per poi fornire i propri dati personali, e cioè, secondo l’Autorità, un livello tale da potersi render conto delle “finalità remunerative sottese alla fornitura del servizio del social network[4].

In relazione a tale condotta ingannevole l’Autorità, oltre ad aver imposto il divieto di perpetrarla, ha altresì stabilito che Facebook dovesse procedere alla pubblicazione di una dichiarazione rettificativa dell’informativa – ai sensi dell’articolo 27, comma 8[5] del Codice del Consumo – entro quarantacinque giorni dalla notifica del provvedimento, sia sulla homepage del sito internet aziendale per l’Italia sia sull’app Facebook e permanere per venti giorni. Inoltre, la medesima dichiarazione doveva essere visibile al primo accesso di ogni utente italiano registrato a partire dalla mezzanotte del quarantacinquesimo giorno dall’avvenuta notificazione del provvedimento[6].

Per quanto attiene, invece, alla seconda condotta sanzionata – qualificata come “aggressiva[7] – essa è consistita nella circostanza per cui Facebook, seguendo l’analisi dell’Autorità, ha applicato un meccanismo finalizzato alla trasmissione dei dati degli utenti da Facebook ad altri siti “web-app” di terzi – dunque estranei al rapporto FB-utente – sempre con scopi commerciali. La gravità di questa seconda condotta è fondata sul presupposto che la trasmissione dei dati personali sia stata adottata in assenza di un preventivo ed espresso consenso dei soggetti interessati[8].

Inoltre, non sono mancate perplessità in tema di protezione dei dati personali nell’ambito dell’interazione tra diverse piattaforme digitali (si pensi alle piattaforme gestite da Facebook quali WhatsApp, Messenger, Instagram). Al riguardo, infatti, diverse analisi di esperti hanno evidenziato nel tempo come l’interazione tra piattaforme diverse, ma riconducibili al medesimo titolare, può provocare conseguenze preoccupanti nell’ambito della tutela dei dati personali se nel processo di “esternalizzazione” dei dati, informazioni e interessi dell’utente, dal momento che questi possono essere analizzati da sistemi di intelligenza artificiale perseguendo finalità di marketing[9].

Le pronunce del TAR Lazio. Cosa è cambiato?

Facebook ha presentato ricorso al TAR avverso la delibera dell’AGCM per ottenere una pronuncia di annullamento della stessa, e – nell’ambito delle recenti sentenze n. 260 e n. 261 del 10 gennaio 2020[10] – i Giudici Amministrativi della Prima Sezione del TAR Lazio hanno accolto parzialmente il ricorso presentato da Facebook, dimezzando la sanzione pecuniaria irrogata nel 2018 da dieci milioni a cinque milioni di euro, avendo riconosciuto come fondata esclusivamente la prima delle due pratiche contestate e rigettando invece la seconda poiché priva di fondamento.

Nell’analizzare la prima condotta, confermata dai Giudici Amministrativi, si è tenuto conto del fatto che la richiesta (“claim”) di Facebook, presente nella pagina di prima registrazione e tesa ad invogliare gli utenti ad iscriversi (“Iscriviti, è gratis e lo sarà per sempre”), potesse effettivamente far intendere all’utente che non ci fosse alcuna controprestazione “contrattuale” per l’utilizzo del social network, ma che la fruizione di esso fosse semplicemente libera e gratuita.

Tuttavia, stando alla ricostruzione del TAR Lazio, non si può parlare di gratuità del servizio considerato il fine ricercato dal social network nello sfruttamento dei dati personali degli iscritti.

Infatti, a conferma di quanto già dichiarato dall’AGCM, il TAR Lazio ha fornito una puntuale motivazione circa la incompletezza e insufficienza delle informazioni fornite agli utenti, tale da non consentire ad essi di comprendere efficacemente il tipo di utilizzo che sarebbe stato fatto dei loro dati e che era essenziale invece rendere subito noto. Per l’appunto si legge nelle sentenze che è confermata: “l’idoneità della pratica a trarre in inganno il consumatore e a impedire la formazione di una scelta consapevole, omettendo di informarlo del valore economico di cui la società beneficia in conseguenza della sua registrazione al social network”.

In sostanza si è dato credito alla class action di Altroconsumo[11], che già a partire dal mese di maggio 2018 aveva ufficialmente segnalato la condotta del social network, e non si è potuto invece dar seguito alla tesi di Facebook fondata sul presupposto della “gratuità” del servizio, giustificato dalla mancanza di una richiesta di pagamento di una somma di denaro.

Da ciò è conseguito che Facebook è stato confermato nell’obbligo di dover pubblicare la dichiarazione rettificativa circa l’informativa sul proprio sito internet.

Diversamente, la seconda condotta sanzionata dall’Autorità circa il meccanismo di integrazione tra diverse app/social è stata ritenuta dai Giudici Amministrativi non lesiva dei diritti degli utenti, con eliminazione della relativa sanzione pecuniaria.

Ciò in virtù della circostanza per cui al momento della registrazione al social network è sempre stato possibile per l’utente fornire il proprio consenso circa l’utilizzo dei dati personali; pertanto, non si è riscontrata la presenza di elementi sufficienti e idonei a dimostrare l’esistenza di una condotta atta a voler condizionare le scelte degli utenti-consumatori. Dunque, mentre l’Autorità aveva ritenuto che gli utenti di Facebook avessero ricevuto un “indebito condizionamento” nel fornire il proprio consenso per la trasmissione dei dati a diverse app, il TAR ha fatto leva sul fatto che è sempre stato possibile per l’utente scegliere se e quali dati condividere in caso di eventuali integrazioni tra Facebook ed altre piattaforme[12].

Si legge a tal proposito nella pronuncia che: “… non si rinviene alcuna trasmissione dei dati dalla piattaforma a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione con le piattaforme”.

La portata innovativa delle pronunce del TAR: i dati personali sono controprestazioni contrattuali

Aspetto fondamentale e quanto mai innovativo delle pronunce del TAR sulla questione in esame è quello del valore economico-commerciale attribuito ai dati personali nel mercato digitale.

I Giudici Amministrativi – pur avendo riconosciuto come fondata solo la prima della due condotte adottate da Facebook – hanno sottolineato l’importanza che il carattere dei dati personali ricopre nell’ambito dell’utilizzo delle piattaforme web, stabilendo espressamente che:i dati personali possono costituire un asset disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di controprestazione in senso tecnico di un contratto”.

Dunque, a commento di ciò, si evince che il dato personale è sicuramente l’espressione di un diritto inviolabile della personalità dell’individuo – ed in quanto tale soggetto a specifiche e non rinunciabili forme di protezione quali il diritto di revoca del consenso, di accesso, di rettifica e di oblio – ma non solo: sussiste infatti un più ampio spazio di protezione del dato stesso, inteso come possibile oggetto di una compravendita esistente tra gli operatori del mercato digitale per mezzo del social network e gli utenti[13].

Ancora nelle pronunce si legge che:“… il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

I dati personali vengono perciò considerati a tutti gli effetti beni commerciali e controprestazioni contrattuali.

Ne discende che il nuovo ed importante significato fornito al dato personale genera la conseguenza, come dichiarata dal Tribunale Amministrativo, che diviene quanto mai fondamentale l’esistenza nonché la chiarezza e completezza di un’informativa che non debba generare alcun dubbio agli interessati in merito alle finalità perseguite dal social network – che nel caso in esame erano finalità commerciali-remunerative – tramite lo sfruttamento dei dati personali forniti.

In conclusione, sulla scorta di quanto sopra analizzato e allo stato attuale delle cose, si ritiene altresì che nell’ambito della protezione dei dati personali degli utenti-consumatori che usufruiscono di un servizio quale quello offerto da un social network, non sia più sufficiente la sola tutela di cui alla disciplina della privacy, ma che piuttosto si debba partire da essa per far spazio ad un cambiamento di prospettiva dato dal più ampio significato oggi fornito al dato personale.

[1] AGCM, delibera n. 27432/18 consultabile qui: http://www.agcm.it/dotcmsCustom/tc/2023/12/getDominoAttach?urlStr=192.168.14.10:8080/C12560D000291394/0/5A1EFA963A109B64C125835F00542FE2/%24File/p27432.pdf

[2] L’art. 20 secondo comma del Codice del Consumo stabilisce precisamente che: “una pratica commerciale è scorretta se è contraria alla diligenza professionale, ed è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori”.

[3] Precisamente, nella delibera dell’Agcm si legge che: “Facebook non informa l’utente con chiarezza e immediatezza in merito alla raccolta e all’utilizzo, a fini remunerativi, dei dati dell’utente da parte del Professionista e, conseguentemente, dell’intento commerciale perseguito, volto alla monetizzazione dei medesimi. Le informazioni fornite risultano generiche ed incomplete senza adeguatamente distinguere tra, da un lato, l’utilizzo dei dati funzionale alla personalizzazione del servizio con l’obiettivo di facilitare la socializzazione con altri utenti “consumatori”, dall’altro, l’utilizzo dei dati per realizzare campagne pubblicitarie mirate. L’ingannevolezza risulta, peraltro, aggravata dalla circostanza che, nell’uso di FB, le finalità commerciali si prestano ad essere confuse con le finalità sociali e culturali, tipiche di un social network. Nella pagina di registrazione a FB, a fronte del claim “Facebook ti aiuta a connetterti e rimanere in contatto con le persone della tua vita”, rileva, dunque, l’assenza di un adeguato alert che informi gli utenti, con immediatezza ed efficacia, in merito alla centralità del valore commerciale dei propri dati rispetto al servizio di social network offerto, limitandosi FB a sottolineare come l’iscrizione sia gratuita per sempre. L’incompletezza dell’informazione fornita nella pagina di accesso a Facebook non viene meno neanche per la recente introduzione, da aprile 2018, del “banner cookie” in quanto la sua visualizzazione è solo eventuale e non necessariamente collegata alla registrazione nella Piattaforma FB”.

[4] Come da delibera Agcm n. 27432/18, pratica a), n. 4.

[5] Il quale dispone che: “L’Autorità, se ritiene la pratica commerciale scorretta, vieta la diffusione, qualora non ancora portata a conoscenza del pubblico, o la continuazione, qualora la pratica sia già iniziata. Con il medesimo provvedimento può essere disposta, a cura e spese del professionista, la pubblicazione della delibera, anche per estratto, ovvero di un’apposita dichiarazione rettificativa, in modo da impedire che le pratiche commerciali scorrette continuino a produrre effetti”.

[6] “Facebook-raccolta utilizzo dati degli utenti”, www.agcm.it

[7] In relazione a tale seconda condotta l’Autorità ha deliberato che: “la pratica commerciale descritta nella sezione II sub b), risulta aggressiva in quanto, mediante indebito condizionamento, è da ritenersi idonea a limitare considerevolmente la libertà di scelta o di comportamento del consumatore medio inducendolo, pertanto, ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso, nello specifico, la decisione di integrare le funzionalità della Piattaforma FB (sito web e app) con quelle di siti web/app di terzi, inclusi i giochi, e di trasferire, conseguentemente, i propri dati da FB a terzi e viceversa. Diversamente da quanto eccepito dal professionista, tale pratica è strutturalmente autonoma rispetto alla pratica sub a) in quanto relativa ad una scelta di consumo distinta”.

[8] Come previsto dall’art. 7 del Regolamento UE 2016/679 (GDPR).

[9] Da G. Ibello, “Facebook nel mirino dell’Antitrust”, www.altalex.com

[10] TAR Lazio, Prima Sezione, Sent. n. 261/2020. Consultabile qui: https://canestrinilex.com/risorse/facebook-viola-i-dati-personali-tar-lazio/

[11] Così da “Class action Facebook, sentenza storica del Tar: i nostri dati valgono”, www.altroconsumo.it, 2020.

[12] D. Fiori, “il TAR sulle sanzioni Antitrust”, www.assoutenti.it

[13] In particolare, la Direttiva UE 770/2019 ha evidenziato proprio il valore di scambio dei dati personali forniti dagli utenti per l’utilizzo dei servizi digitali, in cui vengono ricompresi tutti quei contratti di fornitura di contenuti digitali. “I dati personali come asset negoziale”, www.meplaw.net, 2020.

 

Sofia Giancone

Avvocato e Dottoranda di Ricerca in diritto privato presso l'Università Tor Vergata - Roma Sofia Giancone fa parte di Ius In Itinere da maggio 2020. Ha conseguito la laurea magistrale in Giurisprudenza nel 2019 con Lode presso l'Università di Roma Tor Vergata, discutendo la tesi in Diritto Commerciale dal titolo: "Il software: profili strutturali, tutela giuridica e prospettive". Ha svolto la pratica forense in ambito civile e il tirocinio formativo in magistratura ex art. 73 d.l. 69/2013 presso la Corte d'appello civile di Roma. Successivamente ha approfondito i temi legati all'IP & IT e si è specializzata in Tech Law & Digital Transformation con TopLegal Academy. Si è occupata di consulenza e assistenza legale nell'ambito del Venture Building, innovazione e startup, contrattualistica di impresa. Ad ottobre 2022 ha conseguito l'abilitazione all'esercizio della professione forense e ad oggi esercita la professione di Avvocato. Dal 2022 svolge inoltre il Dottorato di ricerca in diritto privato presso l'Università di Roma Tor Vergata. Profilo LinkedIn: linkedin.com/in/sofia-giancone-38b8b7196

Lascia un commento