Il doppio paradosso di Facebook: è gratis ma commercia i dati personali dei suoi utenti, è “ingannevole” ma non “aggressivo”

by Redazione | 23/04/2021 9:00

Il Consiglio di Stato ha confermato la sanzione di 5 milioni di euro a Facebook Ireland Ltd. (in solido con Facebook Italia S.p.A.), per pratiche commerciali “ingannevoli”, irrogata dall’Antitrust il 29 novembre 2018. Tuttavia, ha rimosso la sanzione di altri 5 milioni di euro che la stessa Autorità aveva irrogato (col medesimo provvedimento) per pratiche commerciali “aggressive”. La sentenza in questione (n. 2631/2021) è complessa ma interessante[1][1]. Vediamo perché.

I punti salienti del ragionamento dei giudici di Palazzo Spada sono essenzialmente quattro: la commerciabilità dei dati personali (col primo paradosso di cui sopra); i meccanismi di cessione dei dati personali (dall’utente alla piattaforma e da questa a terzi); la pratica commerciale “scorretta” di Facebook (e la relativa sanzione); la non aggressività della pratica commerciale del social network più risalente. Andiamo con ordine.

Il primo paradosso della questione nasce proprio dalle dichiarazioni di Facebook (Ireland Ltd.) nelle proprie memorie difensive: i dati personali non sono commerciabili “perché costituiscono una res extra commercium, un diritto fondamentale della persona, che quindi non possono essere venduti, scambiati o, comunque, ridotti ad un mero interesse economico” (§ 4 della sentenza). A ben vedere, ricorda il Consiglio di Stato, la patrimonializzazione dei dati personali degli utenti (assieme alla profilazione degli stessi) avviene in modo inconsapevole per questi ed è “il frutto dell’intervento della società attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali”. La nozione di trattamento dei dati personali, infatti, così come indicata dall’art. 4, § 2, del GDPR, comprende anche la loro commercializzazione.

Mettendo in commercio dati personali, però, possono venire in rilievo ulteriori normative, nel caso di specie quella a tutela dei diritti dei consumatori (cfr. Dlgs. 206/2005, cd. Codice del Consumo). Si tratta di un esempio di “tutele multilivello”, che possono amplificare “il livello di garanzia dei diritti delle persone fisiche, anche quando un diritto personalissimo [come quello alla protezione dei dati personali, ndr] sia ‘sfruttato’ a fini commerciali, indipendentemente dalla volontà dell’interessato-utente-consumatore”.

Già, va ribadito anche questo, un concetto per la prima volta espresso in modo chiaro dai giudici di Palazzo Spada (§ 9 della sentenza): l’utente di un servizio o di una piattaforma online è, al contempo, un soggetto interessato (ai fini della normativa privacy), un utente (informatico), ma anche e soprattutto un consumatore (ai fini dell’applicazione della normativa interna ed europea sul consumo di beni e servizi).

Un altro aspetto interessante è il meccanismo di cessione dei dati personali. La persona fisica che decide di registrarsi a Facebook, e quindi diventare suo utente, riceve una prima informativa sul trattamento dei dati di navigazione (cookies), poi sulla sanzione dell’Antitrust e sulla tutela dei dati personali, ma ciò che capeggia in cima alla pagina web è la scritta: “Iscriviti. È gratis e lo sarà per sempre”. Secondo il Consiglio di Stato (e per l’Antitrust prima), non v’è nulla di più ingannevole di tale indicazione: i dati personali e le informazioni che l’utente registrato “carica” sulla piattaforma, nonché tutto ciò che deriva dalla sua costante profilazione da parte di Facebook, costituiscono un patrimonio ricchissimo da poter scambiare e vendere al miglior offerente. La pubblicità non è il solo mezzo di finanziamento di Facebook! Il pagamento, il corrispettivo, del servizio da parte dell’utente avviene in dati personali, i suoi.

La “deselezione” (opt-out), che un utente può fare, per “oscurare” delle informazioni o dati personali rispetto agli altri utenti e a Facebook stessa, non servirebbe a nulla. Come ricordano infatti i giudici di Palazzo Spada, “(…) tale eventuale accadimento sarebbe comunque successivo alla iniziale profilazione, con la conseguenza che i dati, successivamente fatti oggetto di ‘deselezione’, sono già stati messi nella disponibilità dei soggetti che intendono sfruttarli commercialmente; la ‘deselezione’ determina, quale conseguenza, il venire meno dei servizi social promessi come gratuiti ma che, evidentemente, gratuiti non sono, finendo per rappresentate il ‘corrispettivo’ della messa a disposizione dei dati personali del singolo utente a fini commerciali”.

In altre parole, il Consiglio di Stato critica fortemente l’atteggiamento quasi minatorio di Facebook nello scoraggiare la “deselezione” (il meccanismo che permette di escludere alcune informazioni e dati personali dalla loro divulgazione e trattamento). Infatti, Facebook è molto attenta a specificare le conseguenze negative di una tale scelta (“Non potrai accedere ai siti Web o alle app usando Facebook; Non sarai in grado di accedere ai giochi o alle applicazioni mobili usando Facebook; I tuoi amici non potranno interagire con te e condividere elementi usando le app e i siti Web; Verrà disattivata anche la personalizzazione istantanea; Le app che hai installato in precedenza potrebbero ancora essere in possesso di informazioni che hai condiviso con loro. Contatta queste app per ottenere informazioni su come rimuovere questi dati; Le app a cui hai effettuato l’accesso (tramite Facebook o in modo anonimo) saranno rimosse; I post delle app saranno rimossi dal tuo profilo”). E la “deselezione” fa venir meno la possibilità di usufruire del servizio da parte dell’utente: detto altrimenti, i dati personali degli utenti sono il corrispettivo, la moneta, il pagamento del servizio stesso.

Ma la chiarezza, e la specificità in ordine alle conseguenze negative di un eventuale ritorno in possesso dei propri dati personali da parte dell’utente (si fa per dire!), manca del tutto nell’informativa privacy predisposta da Facebook. La “Normativa sui dati” e la “Normativa sui cookie”, come afferma il Consiglio di Stato, “contengono informazioni generiche e non puntuali circa l’effettivo utilizzo dei dati messi a disposizione dall’utente, esaltando maggiormente il carattere gratuito della iscrizione nonché la notevole capacità di interrelazione della quale l’utente avrebbe potuto godere iscrivendosi e fornendo i suoi dati (ad esempio si legge che l’obiettivo di Facebook “è dare alle persone il potere di creare community e rendere il mondo più unito. Per ottenere tale obiettivo, forniamo all’utente i Prodotti e i servizi descritti qui sotto: Offerta di un’esperienza personalizzata all’utente […] Connessione con persone e a organizzazioni di interesse […] Scoperta di contenuti, prodotti e servizi che potrebbero interessare all’utente […]”).

Per tutte queste ragioni, la pratica commerciale svolta da Facebook (FB) deve ritenersi “ingannevole”, in quanto (§ 10 della sentenza):

«(…) – nella schermata di registrazione a FB, sia nella versione on line fino al 15aprile 2018 che nella versione attualmente accessibile (tramite sito e app), il Professionista omette informazioni rilevanti di cui il consumatore necessita alfine di assumere una decisione consapevole di natura commerciale quale è quella di registrarsi nella Piattaforma Facebook per usufruire dell’omonimo servizio di social network;

– Facebook non informa l’utente con chiarezza e immediatezza in merito alla raccolta e all’utilizzo, a fini remunerativi, dei dati dell’utente da parte del Professionista e, conseguentemente, dell’intento commerciale perseguito, volto alla monetizzazione dei medesimi;

– le informazioni fornite risultano generiche ed incomplete senza adeguatamente distinguere tra, da un lato, l’utilizzo dei dati funzionale alla personalizzazione del servizio con l’obiettivo di facilitare la socializzazione con altri utenti “consumatori”, dall’altro, l’utilizzo dei dati per realizzare campagne pubblicitarie mirate;

– a ciò si aggiunga, quale aggravante del comportamento significativamente ingannevole, che nell’uso di FB, le finalità commerciali si prestano ad essere confuse con le finalità sociali e culturali, tipiche di un social network;

– infatti, nella pagina di registrazione a FB, a fronte del claim “Facebook ti aiuta a connetterti e rimanere in contatto con le persone della tua vita”, rileva,

dunque, l’assenza di un adeguato alert che informi gli utenti, con immediatezza ed efficacia, in merito alla centralità del valore commerciale dei propri dati rispetto al servizio di social network offerto, limitandosi FB a sottolineare come l’iscrizione sia gratuita per sempre;

– l’incompletezza dell’informazione fornita nella pagina di accesso a Facebook non viene meno neanche per la recente introduzione, da aprile 2018, del “banner cookie” in quanto la sua visualizzazione è solo eventuale e non necessariamente collegata alla registrazione nella Piattaforma FB;

– il banner in questione non compare in fase di creazione dell’account qualora l’utente abbia già “cliccato e navigato” sul sito ed esso è, comunque, generico e collocato in posizione non adiacente all’indicazione della gratuità del servizio.

A fronte dunque della promessa gratuità del servizio l’utente era indotto ad accedere per ottenere i vantaggi “immateriali” costituiti dalla adesione e coinvolgimento in un social network in seguito all’iscrizione nella piattaforma mettendo a disposizione i propri dati personali, che venivano dunque coinvolti nella profilazione a fini commerciali senza che l’utente fosse stato reso edotto in modo efficace dell’esatta portata di tale utilizzo, che poteva essere interrotto, con revoca del consenso, solo in epoca successiva (difatti, pur potendo successivamente disattivare l’utilizzo dei dati, al momento della iscrizione in piattaforma l’utente non poteva esimersi dal cedere al professionista la mole di dati personali inseriti nel portale all’atto della registrazione e dall’autorizzarlo al loro trattamento) e a fronte di una capillare indicazione degli svantaggi che ne sarebbero conseguiti.

Peraltro, contrariamente a quanto sostenuto dalle società in sede istruttoria, i dati conferiti permettevano la profilazione dell’utente, arricchendo in questo modo la base dati dei clienti per finalità strettamente commerciali. (…)»

Conclude il Consiglio di Stato che, così come accade per il principio di trasparenza sul trattamento dei dati personali (cfr. art. 5 GDPR), a livello di normativa a tutela del consumatore esiste un “obbligo di estrema chiarezza gravante sul professionista [che] deve essere da costui assolto sin dal primo contatto, attraverso il quale debbono essere messi a disposizione del consumatore gli elementi essenziali per un’immediata percezione della offerta pubblicizzata (cfr., fra le tante, Cons. Stato, Sez. VI,14 ottobre 2019 n. 6984, 15 luglio 2019 n. 4976 e 23 maggio 2019 n. 3347)” (§ 11 della sentenza).

La pratica commerciale ingannevole sta tutta qui, alla fine: “(…) il descritto obbligo di chiarezza non risulta rispettato, atteso che le informazioni rese all’utente al primo contatto, lungi dal contenere gli elementi essenziali per comprendere le condizioni e i limiti delle conseguenze che, a fronte della gratuità dei servizi offerti, deriveranno dalla profilazione in termini di indefinibilità dei soggetti che utilizzeranno i dati personali messi a disposizione e del tipo di utilizzo commerciale connesso, lasciano supporre che sia possibile ottenere immediatamente e facilmente, ma soprattutto “gratuitamente” (e per tutto il periodo in cui l’utente manterrà l’iscrizione in piattaforma), il vantaggio collegato dal ricevimento dei servizi tipici di un social network senza oneri economici, omettendo di comunicare che, invece, ciò avverrà (e si manterrà) solo se (e fino a quando) i dati saranno resi disponibili a soggetti commerciali non definibili anticipatamente ed operanti in settori anch’essi non pre-indicati per finalità di uso commerciale e di diffusione pubblicitaria”. L’obbligo di chiarezza verso il soggetto utente-interessato-consumatore dovrebbe essere peraltro ancor più pressante quando si tratta di minorenni!

La sanzione che quindi l’Antitrust aveva inflitto nel 2018, per le pratiche commerciali “ingannevoli”, appare al Consiglio di Stato (e al TAR Lazio prima), perfettamente proporzionata. Tra l’altro, non si tratta neanche del massimo edittale (che pur sarebbe 5 milioni di euro, art. 27, c. 9, del Codice del Consumo), perché in realtà essa va suddivisa (in solido) tra Facebook Ireland Ltd. e Facebook Italia S.p.A. Lo scopo della sanzione pecuniaria è quello di “tentare di riequilibrare un contesto disinformativo protratto per più anni e che ha raggiunto un numero decisamente importante di persone, appare del tutto proporzionata e non viziata negli invocati termini di eccesso, non tanto e non solo rispetto al fatturato delle società coinvolte quanto, in termini preminenti e dirimenti, alla gravità della condotta contestata in relazione ad un oggetto di primaria rilevanza per il consumatore quel è la diffusione di dati personali ad uso commerciale e l’incertezza di chi e in quale modo faccia uso di tali dati a fini commerciali”. Alla sanzione pecuniaria si aggiunge anche l’obbligo di pubblicare una dichiarazione di rettifica, da parte di Facebook, che renda ben evidente il commercio dei dati personali e la non gratuità sostanziale del servizio online.

Va ricordato, infine, che posta l’autonoma applicazione della normativa privacy rispetto a quella a tutela del consumatore, il Garante per la protezione dei dati personali potrebbe (per gli stessi fatti) irrogare una propria sanzione amministrativa pecuniaria (ai sensi degli artt. 83 e 84 del GDPR). Come specificato nel § 8 della sentenza, “Non si tratta in questo caso di affermare se il diritto consumeristico possa o meno sovrapporsi al diritto alla tutela dei dati personali, intesi i due ‘diritti’ quali distinte categorie settoriali che sono disciplinate da normative speciali e quindi non sovrapponibili tra di loro; al contrario ciò che emerge dall’attività [la pratica commerciale “ingannevole”, ndr] messa in campo dalle due società è lo sfruttamento, inconsapevolmente per l’utente, dei dati da costui offerti al momento dell’iscrizione”[2][2].

Tutte le critiche e le osservazioni svolte dal Consiglio di Stato fin qui riguardano la pratica commerciale “ingannevole” di Facebook. Sulla paventata “aggressività” del social network, invece, i giudici di Palazzo Spada disconoscono la scelta dell’Antitrust. La pratica commerciale “aggressiva” (art. 24 del Codice del Consumo) è definita come la pratica che “tenuto conto di tutte le caratteristiche e circostanze del caso, mediante molestie, coercizione, compreso il ricorso alla forza fisica o indebito condizionamento, limita o è idonea a limitare considerevolmente la libertà di scelta o di comportamento del consumatore medio in relazione al prodotto e, pertanto, lo induce o è idonea ad indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso”. Ad avviso del Consiglio di Stato, “la pratica per essere ‘aggressiva’ necessita di un quid pluris che provochi una sorta di manipolazione concreta o anestetizzi abilmente la volontà dell’utente, non incidendo meramente e semplicemente sul suo diritto a conoscere le informazioni necessarie ad effettuare una libera e consapevole scelta, ma che si concretizzi in una condotta che sia addirittura capace di coartare il comportamento (e quindi la libertà di scelta) dell’utente”. E questo non si verifica rispetto a Facebook, perché, soprattutto nella pre-attivazione in fase di registrazione dell’utente, non ci sono trasmissioni automatiche di dati e sono necessari molti altri passaggi prima che lo stesso decida se e quali dei suoi dati condividere al fine di consentire l’integrazione tra piattaforme diverse (App o siti web collegati). Il consenso degli utenti non è coartato (almeno in teoria) e dunque non sussiste alcuna pratica commerciale “aggressiva”.

Restano tuttavia aperte alcune domande (espresse anche da Agenda Digitale, nell’articolo citato, nota n. 2).

  1. Se un trattamento di dati personali può essere il corrispettivo di un servizio, quali elementi – oltre a quelli identificati come necessari dalla disciplina europea generale sulla protezione dei dati personali (GDPR) – il titolare del trattamento quale fornitore del servizio dovrebbe fornire agli interessati nella loro qualità di utenti del servizio?
  2. Se un contratto può avere come corrispettivo un trattamento di dati personali, un minore può perfezionarlo pur essendo evidente che difficilmente potrà apprezzare il significato e il valore delle obbligazioni che assume nei confronti del titolare del trattamento quale fornitore del servizio? E se il minore ha meno di quattordici anni, età che in Italia, sotto altro profilo, è quella minima necessaria perché un minore si consideri capace di prestare un consenso al trattamento dei dati commerciali?
  3. Chi è competente a conoscere di vicende relative a trattamenti di dati personali svolti in assenza di sufficiente trasparenza nei confronti dell’interessato nell’ambito di un’attività commerciale? L’Autorità Garante per la concorrenza e per il mercato? Il Garante per la protezione dei dati personali? La prima previo parere del secondo come sembrerebbe suggerire il codice del consumo? Entrambe attraverso un nuovo procedimento che andrebbe, forse, costruito stante la crescente rilevanza di fattispecie di questo genere?
  4. Se le due Autorità hanno, come forse è ragionevole che sia, competenze concorrenti – a prescindere da come sia più opportuno le esercitino – ciascuna per i profili rientranti nelle proprie finalità istituzionali è lecito che il titolare del trattamento/fornitore del servizio/professionista sia, in ipotesi, destinatario di due distinte sanzioni e, prima ancora, debba difendersi, in sequenza, davanti a entrambe? Ferma restando, peraltro, sempre e comunque la competenza del giudice ordinario[3][3].

La vicenda, come abbiamo visto, è complessa e interessante. Tuttavia, essa rimane con delle questioni insolute, che meritano approfondimenti e attenzioni, da parte delle Autorità indipendenti, ma soprattutto del legislatore (interno e, magari, europeo).

di Ermanno Salerno


[1][4] Consiglio di Stato, sez. VI, sentenza del 29 marzo 2021, n. 2631, reperibile su https://www.giustizia-amministrativa.it/[5].

[2][6] Si veda il parere espresso in merito dall’Avv. Scorza del Garante per la protezione dei dati personali, il 30 marzo 2021, qui reperibile: https://www.agendadigitale.eu/sicurezza/privacy/si-puo-fare-commercio-di-dati-personali-scorza-consiglio-di-stato-boccia-ricorso-facebook-ecco-le-questioni-aperte/[7].

[3][8] La risposta a questa domanda potrebbe derivare dall’applicazione dell’art. 135, c. 1, lett. b), del D.Lgs. 104/2010 (Codice del Processo Amministrativo), secondo cui il TAR Lazio ha competenza esclusiva e funzionale a decidere sui provvedimenti dell’Autorità garante della concorrenza (Antitrust). Dunque, la giurisdizione amministrativa arriva a conoscere “a valle” questioni giuridiche e fattuali che l’Autorità conosce “a monte”, in ossequio al principio di effettività della tutela (v. art. 24 Cost. e art. 6 CEDU).

Endnotes:
  1. [1]: #_ftn1
  2. [2]: #_ftn2
  3. [3]: #_ftn3
  4. [1]: #_ftnref1
  5. https://www.giustizia-amministrativa.it/: https://www.giustizia-amministrativa.it/
  6. [2]: #_ftnref2
  7. https://www.agendadigitale.eu/sicurezza/privacy/si-puo-fare-commercio-di-dati-personali-scorza-consiglio-di-stato-boccia-ricorso-facebook-ecco-le-questioni-aperte/: https://www.agendadigitale.eu/sicurezza/privacy/si-puo-fare-commercio-di-dati-personali-scorza-consiglio-di-stato-boccia-ricorso-facebook-ecco-le-questioni-aperte/
  8. [3]: #_ftnref3

Source URL: https://www.entilocali-online.it/il-doppio-paradosso-di-facebook-e-gratis-ma-commercia-i-dati-personali-dei-suoi-utenti-e-ingannevole-ma-non-aggressivo/