Con sentenza n. 261 del 10 gennaio 2020, il TAR del Lazio ha preso posizione in merito alla tutela dei dati personali dell’interessato e, nel caso di specie, dell’utente di Facebook. Contrariamente a quanto sostenuto da Facebook, il TAR ha evidenziato la possibilità di uno sfruttamento economico del dato personale nell’ambito delle piattaforme social. E ha, quindi, evidenziato la conseguente necessità di tutelare il consumatore che le utilizzi.
Il TAR del Lazio sostiene, infatti, che “il patrimonio informativo costituito dai dati degli utenti di Facebook, in ragione della profilazione dei medesimi ad uso commerciale e per finalità di marketing, acquista un valore economico idoneo a configurare l’esistenza di un rapporto di consumo, anche in assenza di corrispettivo monetario“. La decisione del TAR introduce l’idea dell’applicabilità del Codice del consumo agli utenti di Facebook.
Disciplina a tutela del consumatore: Istruttoria dell’AGCM contro Facebook
Per capirci meglio, facciamo un passo indietro. Il 6 aprile 2018, l’Autorità Garante della Concorrenza e del Mercato (AGCM) ha avviato il procedimento istruttorio nei confronti di Facebook Inc. e della sua controllata Facebook Ireland Limited, in relazione a presunte pratiche commerciali “scorrette” aventi ad oggetto il trattamento dei dati personali degli utenti della piattaforma. Pratiche attuate sia durante la fase di attivazione dell’account, sia durante la fruizione del servizio di Facebook. Che, in particolare, riguardavano la raccolta, lo scambio con i terzi e l’utilizzo, a fini commerciali, dei dati dei propri utenti-consumatori. Erano incluse le informazioni sui loro interessi on line. Con la conseguenza di indurre i predetti utenti ad assumere una decisione di natura commerciale che, altrimenti, non avrebbero preso.
L’Autorità lamentava la violazione della disciplina posta a tutela del consumatore. Nello specifico, l’Autorità ha accertato che, in violazione degli artt. 21 e 22 del decreto legislativo n. 206/05 (c.d. “Codice del Consumo”), Facebook induce ingannevolmente gli utenti-consumatori a registrarsi nella piattaforma Facebook, “non informandoli adeguatamente e immediatamente, in fase di attivazione dell’account, dell’attività di raccolta, con intento commerciale, dei dati da loro forniti“. E, più in generale, delle finalità remunerative che sottendono la fornitura del servizio di social network, enfatizzandone la sola gratuità. Per tali ragioni, l’ACM ritiene l’Informativa fornita agli utenti priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti.
La pratica aggressiva attuata da FB
L’Autorità ha inoltre accertato che Facebook, in violazione degli articoli 24 e 25 del Codice del Consumo”, attua una pratica aggressiva. Aggressiva in quanto esercita un “indebito condizionamento nei confronti dei consumatori registrati, i quali subiscono, senza espresso e preventivo consenso (quindi in modo inconsapevole e automatico) la trasmissione dei propri dati da Facebook a siti web/app di terzi, e viceversa, per finalità commerciali“. Da dove deriva l’indebito condizionamento? Dall’applicazione di un meccanismo di preselezione, impostato da Facebook, del più ampio consenso alla condivisione di dati. In virtù del fatto che limitare il proprio consenso comporterebbe limitazioni alla fruibilità del social network e dei siti web/app di terzi, l’utente scoraggiato mantiene la scelta pre-impostata da Facebook.
Oltre a sanzionare Facebook per 5 milioni di euro, l’Autorità aveva vietato l’ulteriore diffusione della pratica ingannevole. E aveva disposto che la società pubblicasse una dichiarazione rettificativa.
Il procedimento si concludeva con l’impugnato provvedimento sanzionatorio n. 27432 del 29 novembre 2018. Con questo, l’AGCM vietava la continuazione di entrambe le pratiche scorrette. Applicava inoltre ad entrambe le società, in solido, due distinte sanzioni amministrative, ciascuna pari a € 5.000.000,00. Inoltre, disponeva che la società pubblicasse, a sua cura e spese, una dichiarazione rettificativa sulla homepage del sito internet aziendale per l’Italia, sull’app Facebook e sulla pagina personale di ciascun utente italiano registrato. Tutto ciò, conformemente al parere espresso dall’Autorità per le garanzie nelle comunicazioni (AGCOM).
“Se qualcosa è gratis, il prodotto sei tu”
Nonostante l’avvenuta rimozione del claim “è gratis e lo sarà per sempre” dalla home page, il problema persiste. Nel senso che il consumatore che si voglia registrare al social network continua a non essere informato dalla società, con chiarezza e immediatezza, quanto alla raccolta ed all’utilizzo dei propri dati con finalità remunerative. Risulta, inoltre, che Facebook non abbia pubblicato la dichiarazione rettificativa.
Nella riunione del 21 gennaio 2020, infine, l’ (AGCM) ha avviato un procedimento di inottemperanza nei confronti di Facebook. Procedimento che si deve al non aver attuato quanto prescritto nel provvedimento del 29 novembre 2018.
Facebook presenta ricorso contro il provvedimento del Garante
Avverso il provvedimento sanzionatorio Facebook Inc. ha presentato ricorso, chiedendone l’annullamento per dieci motivi. Tra questi, due sono i motivi che rilevano maggiormente per il discorso in esame. Il primo motivo è il difetto assoluto di attribuzione dell’AGCM poichè, secondo Facebook, non sussite alcuna pratica commerciale (in mancanza di un corrispettivo patrimoniale). E, di conseguenza, non sussite la necessità di tutelare l’interesse economico dei consumatori e, in ultimo, dell’AGCM. Ciò in quanto, deduce la ricorrente, il servizio di Facebook è fornito agli utenti gratuitamente, nel senso tecnico (e oggettivo) che nessun corrispettivo patrimoniale (nemmeno indiretto) è richiesto.
A sostegno della sua tesi, Facebook fa riferimento alla direttiva europea in materia di pratiche commerciali sleali: l’ipotesi di una pratica commerciale scorretta sussiste se un consumatore acquista e paga (o sia indotto ad acquistare o pagare) un prodotto.
Inoltre, il secondo motivo è il difetto assoluto di attribuzione dell’AGCM “ratione materiae”. Vuol dire che, secondo Facebook, la disciplina da applicare era unicamente quella sulla privacy (Regolamento UE 2016/679, “Regolamento privacy”).
Perché Facebook non concorda con l’AGCM
In breve, cosa sostiene Facebook?
- Il provvedimento aveva invaso un campo che era di esclusiva competenza dell’Autorità Garante per la Protezione dei dati personali. Nel caso di specie, infatti, non era stato previsto alcun corrispettivo patrimoniale al conferimento dei dati da parte dell’utente. Con conseguente mancanza di qualsivoglia interesse economico dei consumatori da tutelare.
- Gli obblighi violati riguardano il profilo del trattamento dei dati personali degli utenti. Da ciò ne consegue che il “Regolamento privacy” sia l’unica disciplina di riferimento.
TAR del Lazio: l’utente di facebook è un consumatore
Il TAR non ha condiviso la ricostruzione di Facebook, per via di un vizio logico. Ossia, la ricostruzione del social network si fonda sull’erroneo presupposto per cui il dato personale potrebbe essere tutelato “solo” in quanto diritto fondamentale dell’individuo. Asserzione vera, ma imparziale se pensiamo alle potenzialità insite nello strumento dei dati personali. Secondo il Tar, infatti, “i dati personali possono altresì costituire un asset disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto”.
Il dato personale, dunque, viene tutelato sia in quanto espressione di un diritto della personalità dell’individuo – come tale soggetto a specifiche e non rinunciabili forme di protezione quali il diritto di revoca del consenso, di accesso, rettifica, oblìo – sia quale possibile oggetto di atti di disposizione (tra gli operatori del mercato e/o tra questi e gli interessati).
La patrimonializzazione del dato personale
Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore. La “patrimonializzazione” del dato personale deve essere tratta dallo scambio di prestazioni, che è sotteso all’adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un social network.
Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista il dovere di comunicare al consumatore che le informazioni ricavabili dai suoi dati personali saranno usate per finalità commerciali. Si tratta di finalità che vanno al di là della mera utilizzazione da parte sua del social network. In assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere si qualifica come ingannevole. Di conseguenza, può essere sanzionata ai sensi del D.lgs. 206/2005.
Disciplina della privacy: istruttoria del Garante privacy italiano
Era il marzo 2018 quando alcuni articoli di stampa nazionale ed internazionale hanno riportato la notizia dello scandalo Cambridge Analytica. Per saperne di più, leggi il nostro articolo. La reazione del Garante per la privacy fu l’avvio di una formale istruttoria. Con questa richiedeva informazioni a Facebook Italy e a Facebook Ireland Limited in merito all’eventuale utilizzo di dati personali di cittadini italiani e utenti Facebook da parte di Cambridge Analytica. In particolare, la preoccupazione del Garante si focalizzava sull’accesso, da parte di altri soggetti ai dati degli utenti FB italiani, in relazione ad attività di profilazione a fini di carattere politico e/o elettorale.
In ordine alla vicenda di Cambridge Analytica, dall’istruttoria non è emerso che la Global Science Research abbia fornito a Cambridge Analytica dati personali di utenti ubicati in Italia. Ma solo informazioni riferite a utenti ubicati negli USA. Tuttavia, È stata, ammessa la comunicazione dei dati personali di utenti di Facebook ubicati in Italia all’app “Thisisyourdigitallife”, mediante la funzione Facebook Login. In particolare, tramite 57 utenti italiani che hanno scaricato l’app, sarebbero stati comunicati a questa i dati di 214.077 utenti italiani.
Le violazioni della privacy di Facebook
Con il provvedimento del 10 gennaio 2019, il Garante ha statuito che la comunicazione da parte di Facebook dei dati dei propri utenti all’app “Thisyourdigitallife” non è conforme agli articoli 13 e 23 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”).
L’informativa di FB non è idonea
L’articolo 13 del Codice fa riferimento all’Informativa.
"L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalita' e le modalita' del trattamento cui sono destinati i dati".
Ne consegue che l’Informativa, fornita agli utenti al momento dell’iscrizione a Facebook, aveva un contenuto onnicomprensivo, generico e di difficile ricostruzione. E, per tali motivi, fosse quindi inidonea.
Il consenso chiesto da FB non è completo
L’articolo 23 del Codice fa riferimento al Consenso.
"Il trattamento di dati personali da parte di privati o di enti pubblici economici e' ammesso solo con il consenso espresso dell'interessato. Il consenso puo' riguardare l'intero trattamento ovvero una o piu' operazioni dello stesso. Il consenso e' validamente prestato solo se e' espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se e' documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13".
Ne consegue che il consenso non possa ritenersi espressamente, specificamente e liberamente espresso. Posto che, nel momento in cui si attivava l’app attraverso la funzione Facebook login, agli utenti non era lasciata alcuna alternativa rispetto al trasferimento integrale dei dati a suo tempo conferiti a Facebook.
I due articoli sono strettamente interconnessi. La preventiva consapevolezza degli utenti circa i possibili impieghi dei dati che li riguardano costituisce l’ineludibile presupposto per consentire loro di prestare o meno il consenso al trattamento dei propri dati. Consenso che è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato.
Facebook prende i dati dagli amici degli utenti
Inoltre, nel caso specifico, gli “amici” dell’utente non potevano immaginare che, in nome delle loro loro “amicizia” su Facebook, i loro dati avrebbero potuto essere ceduti a piattaforme quali “Thisisyourdigitallife”. Ed utilizzati per finalità diverse e ignote.
Alla luce di tali considerazioni, deve quindi ritenersi illecita la comunicazione, tramite l’app “Thisisyourdigitalife”, alla società GSR-Global Science Research e ad altri eventuali destinatari, di dati personali di cittadini italiani; comunicazione avvenuta da parte di Facebook senza la predeterminazione di una specifica e determinata finalità. Si era poi in assenza di un’informativa idonea e di uno specifico e legittimo consenso. Anche nel caso in cui risultino comprovate le dichiarazioni relative all’avvenuta cancellazione “in modo irreversibile” da parte della predetta società e degli altri soggetti destinatari, dei dati ottenuti tramite l’app “Thisisyourdigitalife”.