domenica 8 marzo 2020

Facebook non è gratis! la conferma arriva dal TAR

Questa domenica usciamo dal tradizionale terreno dei consumatori, e vi proponiamo un recente provvedimento pubblicato dal TAR del Lazio, sentenza del 10 gennaio 2020 n. 261, con il quale è stata parzialmente confermata la sanzione irrogata dall’Autorità Garante per la Concorrenza ed il Mercato (AGCM) a Facebook per pratiche commerciali ingannevoli (vedi qui).

L'Autorità garante aveva sanzionato Facebook per i seguenti motivi:

1. pratica commerciale scorretta ex artt. 20 - 21 del Codice del Consumo per aver fornito informazioni parziali e non trasparenti al consumatore che si iscrive al social network.

In particolare, con la prima registrazione del consumatore, la società americana non era solita fornire all'utente dati ed informazioni chiare e trasparenti in merito alla raccolta ed utilizzo dei dati personali, non escludendo la finalità commerciale.

L'Antitrust, all'esito dell'istruttoria conclusa nei confronti di Facebook, ha accertato che gli utenti non venivano resi edotti sul fine commerciale dell'utilizzo dei propri dati, lasciando intendere che il servizio di social network sarebbe stato gratuito, quando invece il profitto di Facebook consiste nella profilazione dei clienti e la successiva pubblicità: “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.”.

2. Il provvedimento sanzionatorio di AGCM aveva riguardato anche le pratiche commerciali aggressive ed abusive nei confronti dei consumatori registrati alla piattaforma, con trasferimento dei propri dati a società e siti web specializzati di terzi, in assenza di comunicazione agli utenti e senza un loro consenso.

La sentenza del TAR - Facebook non è gratuito
La vicenda è terminata davanti al TAR Lazio, il quale è stato chiamato a valutare l'attività svolta dal social network e le sue conseguenze verso i consumatori, chiarendo in particolare che Facebook offre il suo servizio ottenendo, in cambio, la possibilità di poter sfruttare i dati personali degli utenti per fini commerciali.

Il giudice amministrativo puntualizza che: "Le tesi di parte ricorrente presuppongono che l’unica tutela del dato personale sia quella rinvenibile nella sua accezione di diritto fondamentale dell’individuo, e per tale motivo Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’iscrizione e dell’utilizzo del “social network”.

Il dato personale diviene, quindi, elemento centrale dell'attività svolta dal social network, contropartita offerta dal consumatore per poter utilizzare i servizi della piattaforma, attivando un rapporto negoziale tra le parti, ove però una delle due (il consumatore) ne è ignaro.

In termini più semplici, tra le righe del provvedimento del TAR Lazio si evince che la creazione di un profilo su Facebook può essere quasi equiparato ad una stipula di un contratto commerciale a prestazioni corrispettive, ove Facebook offre al cliente una serie di servizi di chat ed ottiene, quale controprestazione dal consumatore, il consenso non informato di quest'ultimo all'utilizzo commerciale dei suoi dati personali (preferenze, interessi, esperienze etc.….).

Occorre osservare, a tal proposito, che lo sfruttamento patrimoniale del dato personale non è una novità, né tantomeno al tempo della "vita sociale digitale", ma è del tutto certo che il consumatore digitale ha diritto di essere ragguagliato in merito allo sfruttamento da parte del soggetto fornitore dei servizi sulla piattaforma.

Sul punto, il TAR è chiaro: "A fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.

Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

Sorge, quindi, un obbligo informativo da parte del fornitore dei servizi di social network, Facebook, verso i consumatori che ha un fondamento di tipo negoziale e non solo sotto il profilo della tutela della riservatezza dei dati espressi in rete.

Qui il provvedimento n. 261/2020 del TAR Lazio.

TAR Lazio, s
ez. I, sentenza 18 dicembre 2019 – 10 gennaio 2020, n. 261
Presidente Correale – Estensore Brancatelli



Fatto

1. In data 6 aprile 2018 l’Autorità Garante della Concorrenza e del Mercato (in avanti, “Autorità” o “Agcm”) ha avviato il procedimento istruttorio PS1112 nei confronti di Facebook Inc. e Facebook Ireland Limited (la prima in seguito indicata anche come “Facebook” o “la società ricorrente”) in relazione a presunte pratiche commerciali scorrette in violazione degli articoli 20, 21, 22, 24 e 25 del decreto legislativo n. 206 del 6 settembre 2005 (cd. “Codice del Consumo”).

2. Veniva, in particolare, ipotizzata l’esistenza di due distinte pratiche commerciali aventi ad oggetto la raccolta, lo scambio con terzi e l’utilizzo, a fini commerciali, dei dati dei propri utenti consumatori, incluse le informazioni sui loro interessi on line.

3. La prima pratica, ritenuta “ingannevole” e rubricata sub a), consisteva nell’avere adottato, nella fase di prima registrazione dell’utente nella Piattaforma Facebook (sito “web” e “app”), un’informativa ritenuta da Agcm priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti.

4. La pratica sub b), qualificata come “aggressiva”, si concretizzava nella applicazione, in relazione agli utenti registrati sulla piattaforma, di un meccanismo che, secondo la ricostruzione dell’Autorità, comportava la trasmissione dei dati degli utenti dalla Piattaforma del social network ai siti “web/app” di terzi e viceversa, senza preventivo consenso espresso dell’interessato, per l’uso degli stessi a fini di profilazione e commerciali.

5. Al procedimento partecipavano anche talune associazioni a tutela degli interessi dei consumatori, tra cui Altroconsumo, Movimento Difesa del Cittadino e Unione Nazionale Consumatori.

6. Il procedimento si concludeva con l’impugnato provvedimento n. 27432 del 29 novembre 2018 con il quale Agcm, conformemente al parere espresso dall’Autorità per le garanzie nelle comunicazioni (“AgCom”) deliberava che: la pratica a) posta in essere da Facebook Inc. e Facebook Ireland Ltd. costituiva una pratica commerciale scorretta ai sensi degli artt. 21 e 22, del Codice del Consumo; la pratica b) era scorretta ai sensi degli artt. 24 e 25, del Codice del Consumo. Vietava, altresì, la continuazione di entrambe le pratiche e applicava ad entrambe le società, in solido, due distinte sanzioni amministrative in relazione alle due pratiche, ciascuna pari a € 5.000.000,00. Era, inoltre, imposta la pubblicazione, a loro cura e spese, di una dichiarazione rettificativa allegata al provvedimento, ai sensi dell’articolo 27, comma 8, del Codice del Consumo, secondo le modalità riportate nel provvedimento stesso.

7. Avverso il provvedimento sanzionatorio Facebook Inc ha presentato ricorso, chiedendone l’annullamento per i seguenti motivi:

I. Sull'erronea applicazione del concetto di Parental Liability. Difetto assoluto di legittimazione passiva per violazione del principio di responsabilità personale negli illeciti amministrativi, di cui agli artt. 2 e 3, l. 689/1981, all'art. 6 e 7 Convenzione Europea dei Diritti dell'Uomo ("CEDU") e all'art. 27 Cost. Difetto di motivazione. Violazione del principio di legalità.

Secondo la ricorrente l'’utilizzo della “Parental Liability” in materia di pratiche commerciali non troverebbe un fondamento normativo, essendo proprio della materia “antitrust”, e si porrebbe in contrasto con alcuni fondamentali principi nazionali ed europei, quale quello del carattere personale della sanzione di cui all’articolo 2 della L. 689/1981 e artt. 6 e 7 della CEDU.

II. Sull'erronea applicazione del concetto di Parental Liability. Violazione dell'art. 6 CEDU e del principio del giusto procedimento. Violazione del principio di presunzione di innocenza. 

Eccesso di potere per difetto di istruttoria.
Il ricorso al concetto di “Parental Liability” si porrebbe anche in violazione del diritto di difesa di Facebook Inc. e del principio della presunzione di innocenza come sancito dall'articolo 48 della Carta dei Diritti Fondamentali dell'Unione Europea e dell'art. 6 CEDU. Parte ricorrente lamenta che nel corso del procedimento si sarebbe fatto riferimento per la prima volta a tale concetto solo nel provvedimento finale, nonostante già nel mese di aprile la parte aveva fatto presente di non essere coinvolta nella fornitura del servizio Facebook agli utenti italiani - e quindi la sua estraneità alle condotte poi sanzionate.

III. Difetto assoluto di attribuzione dell'AGCM, in quanto non si tratta di pratiche commerciali in mancanza di un corrispettivo patrimoniale e quindi della necessità di tutelare l'interesse economico dei consumatori. Violazione degli artt. 18 ss. del Codice del Consumo e della Direttiva 2005/29/CE (“Direttiva sulle pratiche commerciali sleali”).

Secondo la parte ricorrente, non sussisteva alcuna pratica commerciale e, quindi, alcuna competenza dell'Agcm. Ciò in quanto, deduce la ricorrente, il servizio di Facebook è fornito agli utenti gratuitamente, nel senso tecnico (ed oggettivo) che nessun corrispettivo patrimoniale (nemmeno indiretto) è richiesto. Richiamata la direttiva europea in materia di pratiche commerciali sleali, Facebook Inc. afferma che occorre che un consumatore acquisti e paghi (o sia indotto ad acquistare o pagare) un prodotto, perché si possa ipotizzare una pratica commerciale scorretta.

IV. Difetto assoluto di attribuzione dell'AGCM, “ratione materiae”, ossia in quanto la disciplina da applicare era unicamente quella sulla privacy (Regolamento UE 2016/679, "Regolamento privacy"). Violazione del principio di specialità, di cui all''art. 3, co. 4, della Direttiva sulle pratiche commerciali sleali. Violazione del Regolamento Privacy.

La pratica in questione sarebbe comunque assorbita completamente (attenendo all'uso di dati personali) nella disciplina europea sulla “privacy”, sulla base del principio di specialità di cui all'art. 3, comma 4, della Direttiva sulle pratiche commerciali sleali. La disciplina “privacy” si occuperebbe direttamente e compiutamente dei profili oggetto di controversia, anche in vista della affermazione del principio di correttezza e trasparenza nei rapporti tra professionisti e consumatori, ai sensi del “considerando” 39 del Regolamento UE 2016/679 (“Regolamento privacy”).

V. Violazione della riserva di regolamento UE, quale stabilita dall'art. 288, co. 2, TFUE e dalla giurisprudenza dell'Unione Europea. Violazione del considerando 13 del Regolamento UE 2016/679.

Il “Regolamento privacy”, in ragione della sua natura, non poteva essere messo in discussione o anche solo integrato da un atto legislativo nazionale in tema di pratiche commerciali scorrette, dovendo trovare prevalente applicazione in tutte le fattispecie di uso dei dati personali di consumatori.

VI. Violazione del principio di specialità in materia sanzionatoria. Violazione dell'art. 9, l. 689/1981. Violazione dei principi sul concorso apparente di norme sanzionatorie.

Poiché tra le sanzioni “privacy” ipoteticamente infliggibili e quelle per pratiche commerciali scorrette sussiste, secondo la prospettazione di parte ricorrente, un rapporto di specialità in favore delle prime, unicamente queste sarebbero ipotizzabili in presenza di un illecito, inteso come fatto storico della condotta, da non considerare in termini astratti o in relazione ai beni giuridici protetti dalla varie discipline sanzionatorie.

VII. Violazione dell'art. 56 del Regolamento UE 2016/679. Difetto assoluto di attribuzione.

Ai sensi del “Regolamento privacy”, sussisterebbe la competenza esclusiva all'Autorità capofila (nella specie l'Autorità privacy irlandese, data la sede del titolare del trattamento dei dati) in qualità di unico interlocutore per quanto riguarda il trattamento transfrontaliero. Ne consegue, secondo la tesi di parte ricorrente, che nessuna Autorità italiana (anche se per ipotesi competente in materia “privacy”) avrebbe potuto esercitare diretti poteri di controllo e sanzione sulle pratiche qui in questione, dato che il trattamento dei dati non riguardava la sola Italia ma aveva carattere europeo.

VIII. Violazione del principio di legalità/prevedibilità. Violazione dell'art. 7 CEDU e dell'art. 25 Cost.. Violazione del considerando 13 del Regolamento UE 2016/679.

Facebook sarebbe stata sanzionata sulla base di una disciplina (quella sulle pratiche commerciali scorrette) la cui applicazione era imprevedibile e nuova, venendo in considerazione quanto meno una interpretazione estensiva, vietata dall’art. 7 CEDU, delle sanzioni sulle pratiche commerciali al diverso tema della gestione dei dati personali e comunque a pratiche in cui non viene in questione un interesse economico diretto del consumatore.

IX. Inesistenza di qualsivoglia condotta in violazione della disciplina sulle pratiche commerciali scorrette. Violazione del Codice del Consumo e della disciplina privacy. Inesigibilità della condotta richiesta per irrisolvibile contraddittorietà tra gli standard privacy e quelli prospettati dall'AGCM.

In relazione alla condotta sub a), le contestazioni dell’Autorità sarebbero infondate in quanto i consumatori medi non sarebbero fuorviati dalla descrizione del servizio come “gratuito” e Facebook Ireland fornirebbe continuamente ai propri utenti informazioni trasparenti ed esaustive sul trattamento dei dati e su come gli stessi possano, in qualsiasi momento, gestire i propri dati e modificare le preferenze espresse in precedenza.

Quanto alla pratica sub b), il Provvedimento affermerebbe erroneamente l’esistenza di un generale inconsapevole ed automatico trasferimento dei dati degli utenti. In ogni caso, la pratica non potrebbe dirsi “aggressiva”, mancando comportamenti invasivi della libertà di scelta del consumatore. Afferma parte ricorrente che Facebook si sarebbe limitata a fornire agli utenti informazioni chiare, trasparenti e complete sulle conseguenze derivanti dalla disattivazione della Piattaforma, senza alcun condizionamento della volontà del consumatore per indurlo ad effettuare una scelta di cui non fosse convinto.

Inoltre, qualora si ritenesse che Facebook Ireland avesse posto in essere comportamenti contrari al Codice del Consumo, si tratterebbe al massimo di un’unica pratica commerciale scorretta, non aggressiva, in quanto la pratica sub b) dovrebbe ritenersi assorbita della pratica sub a).

X. In via subordinata, violazione del principio di proporzionalità quanto all'obbligo di pubblicazione della dichiarazione rettificativa e alle misure imposte per superare la pretesa condotta illecita. Violazione degli artt. 24 e 41 Cost.

In subordine all’accoglimento dei precedenti motivi, Facebook Ireland contesta anche l’obbligo di pubblicare la dichiarazione rettificativa, nonché quello di porre fine alle presunte infrazioni in solo 90 giorni.

Quanto alla dichiarazione rettificativa, essa è considerata eccessivamente gravosa ed invasiva, in quanto incrinerebbe il rapporto di fiducia con gli utenti e le modalità di pubblicazione prescritte dall’Autorità sarebbero sproporzionate rispetto alla finalità perseguita.

Non sarebbe proporzionato nemmeno l’invito alla cessazione delle violazioni da realizzare entro 90 giorni, in quanto le misure richieste imporrebbero a Facebook notevoli cambiamenti sulla propria infrastruttura, i quali, anche se formalmente solo a livello italiano, si imporrebbero di fatto a livello globale, dato l'intrinseco carattere unitario di un “social media”.

8. L’Agcm si è costituita in giudizio, chiedendo la reiezione del ricorso siccome infondato. Si è costituita in giudizio anche Altroconsumo, insistendo nell’infondatezza del gravame.

9. Alla camera di consiglio del 16 gennaio 2019 la domanda cautelare presentata unitamente al ricorso è stata accolta limitatamente alla sospensione dell’imposizione dell’obbligo di esporre e pubblicare la dichiarazione rettificativa, in considerazione delle difficoltà tecniche prospettate dalla ricorrente, anche in ordine ai tempi necessari per la completa ottemperanza.

10. All’esito dell’udienza pubblica del 17 aprile 2019, è stata disposta istruttoria al fine di acquisire dalla parte ricorrente informazioni relative a talune modifiche sulle proprie condizioni d’uso, relative alle modalità di utilizzo dei dati dei consumatori, in procinto di essere adottate a seguito di un impegno assunto con la Commissione europea.

11. Parte ricorrente ha depositato in data 28 giugno 2019 una memoria e documenti, al fine di fornire i chiarimenti richiesti.

12. In vista della nuova trattazione della causa, le parti hanno depositato ulteriori memorie, insistendo nelle reciproche posizioni.

13. All’udienza pubblica del 18 dicembre 2019, uditi per le parti i difensori presenti e su loro conforme richiesta, la causa è stata trattenuta in decisione.

Diritto

1. La controversia ha ad oggetto due distinte condotte poste in essere da Facebook e sanzionate dall’Agcm in quanto ritenute, rispettivamente, ingannevoli e aggressive nei confronti dei consumatori.

2. La prima pratica riguarda la fase di registrazione dell’utente nella Piattaforma FB (sito “web” e “app”) e consiste nel rilascio di una un’informativa ritenuta poco chiara e incompleta.

Nello specifico, l’Autorità rilevava che ”Sino al 15 aprile 2018, l’utente che accedeva alla homepage di FB per registrarsi sulla Piattaforma (sito web e app), a fronte di un claim sulla gratuità del servizio offerto “Iscriviti E’ gratis e lo sarà per sempre”, non trovava un altrettanto evidente e chiaro richiamo sulla raccolta e uso a fini commerciali dei propri dati da parte di FB” (cfr. par. 18 del provvedimento). L’informazione era ritenuta non veritiera e fuorviante in quanto la raccolta e sfruttamento dei dati degli utenti a fini remunerativi si configurava come contro-prestazione del servizio offerto dal social network, in quanto dotati di valore commerciale. In particolare, osservava Agcm, “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.”.

3. La seconda pratica concerne il meccanismo che comporta la trasmissione dei dati degli utenti dalla Piattaforma (sito “web/app”) del “social network” ai siti “web/app” di terzi e viceversa. Agcm ha ritenuto che tale trasmissione avvenisse con modalità insistenti e tali da condizionare le scelte del consumatore. Nello specifico, rilevava che la Piattaforma “risultava (…) automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out” (par. 59). Osservava anche che “l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le limitazioni sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario”, con l’effetto di indurlo a non modificare la scelta operata dalla società (par. 61).

4. Passando all’esame del merito della controversia, per ragioni di carattere espositivo saranno innanzitutto scrutinati i primi due motivi di ricorso, in cui l’esponente deduce l’inapplicabilità nei propri confronti dell’istituto della “parental liability”.

Occorre precisare che il Provvedimento, nell’affrontare ai parr. da 50 a 53 il tema dell’imputazione anche a Facebook Inc. delle condotte sanzionate, la riconduce a una duplice fonte: la presenza di un controllo totalitario e, quindi, di un’influenza determinante sull’attività di Facebook Ireland; l’omessa vigilanza sull’operato della “società figlia”, individuata quale contegno idoneo alla realizzazione delle pratiche commerciali scorrette. Aggiunge anche l’Autorità che “Facebook Inc. ha beneficiato delle condotte scorrette di Facebook Ireland, avendo le stesse incrementato la dimensione del social network, così aumentando il valore del network Facebook”.

Deve, quindi, in primo luogo escludersi che la responsabilità si sia fondata esclusivamente sulla nozione di “parental liability”, ossia la presunzione per la quale la capogruppo risponde della condotta delle controllate allorché sia dimostrato che la stessa ha esercitato una influenza determinante sulla condotta di mercato delle stesse. L’Autorità ha, infatti, individuato anche una forma di responsabilità autonoma di Facebook Inc., da omissione “in vigilando”, che si affianca al diretto interesse economico, avendo essa beneficiato delle condotte di Facebook Ireland.

Deve, inoltre, aggiungersi che anche nell’ambito della tutela del consumatore può trovare applicazione, come accaduto nella presente fattispecie, l’orientamento giurisprudenziale, secondo cui “nella materia antitrust […] in presenza di una società che detiene il 100% del capitale sociale di un'altra società, si presume che la società controllante eserciti un'influenza determinante nello svolgimento dell'attività della controllata, tale da farla ritenere responsabile per gli illeciti da quest'ultima materialmente realizzati” (Tar Lazio, sez. I, 2 novembre 2012, n. 9001).

La richiamata giurisprudenza di questa Sezione individua anche le ragioni per le quali il principio per cui la controllante risponde dell’illecito “antitrust” posto in esser dalla controllata deve essere applicato anche in materia di sanzioni per pratiche commerciali scorrette, evidenziando che “…la segnalata diversità dei due pacchetti normativi (antitrust e tutela del consumatore) non elide la matrice e la ratio comune degli stessi, che, quand’anche sotto diversi angoli visuali, attengono, per entrambi, alla tutela dell’endiade costituita dal mercato e dalla libertà di concorrenza. Di talchè una diversa graduazione delle modalità attuative dei relativi strumenti sanzionatori, quale quella auspicata dalla ricorrente, che vedrebbe, nello specifico, meno attrezzata proprio la normazione destinata alla protezione del consumatore, ovvero del soggetto che si profila nello scenario comune di riferimento dei due citati ordinamenti di settore quale attore più debole, e nei confronti del quale l’esigenza di tutela deve, quindi, trovare più marcata considerazione, non risulta sorretta da alcuna ragionevole motivazione” (Tar Lazio, Roma, sez. I, n. 9001/2012, cit.).

L’interpretazione posta in essere dall’Autorità, in conclusione, appare rispettosa del principio di personalità dell’illecito inteso in senso sostanziale ed effettuale, principio a cui si ispira l’intera normativa in materia di tutela del consumatore.

Né si ravvisano possibili profili di lesione del diritto di difesa della società ricorrente, che è stata ampiamente messa nelle condizioni di partecipare al procedimento e svolgere le proprie difese nel corso dello stesso.

5. Accertata la sussistenza l’imputabilità anche alla parte ricorrente delle pratiche commerciali oggetto di sanzione, è possibile passare all’esame delle questioni riguardanti la prima condotta sanzionata.

6. Le censure di parte ricorrente riguardano innanzitutto la carenza di potere dell’Agcm, che avrebbe invaso un campo di esclusiva competenza dell’Autorità garante per la “privacy”, in quanto: non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare; gli obblighi asseritamente violati sarebbero tutti attinenti al diverso profilo del trattamento dei dati personali degli utenti, disciplinato unicamente dal “Regolamento privacy” che, in virtù del principio di specialità, assorbirebbe la condotta in questione.

Le doglianze non possono essere condivise.

Le tesi di parte ricorrente presuppongono che l’unica tutela del dato personale sia quella rinvenibile nella sua accezione di diritto fondamentale dell’individuo, e per tale motivo Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’iscrizione e dell’utilizzo del “social network”. Tuttavia, tale approccio sconta una visione parziale delle potenzialità insite nello sfruttamento dei dati personali, che possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto.

A fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.

Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

7. La possibilità di uno sfruttamento economico del dato personale nell’ambito delle piattaforme social e la conseguente necessità di tutelare il consumatore che le utilizzi non può neppure definirsi, come prospettato da Facebook, un concetto del tutto innovativo, frutto di una interpretazione “estensiva” di norme sanzionatorie, come tale contraria al principio di prevedibilità.

Già negli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016, la Commissione Europea aveva affermato che “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto”.

La stessa Agcm, conformemente alle indicazioni provenienti in ambito comunitario, aveva sanzionato l’11 maggio 2017 con il provvedimento PS10601 un operatore di “social network”, per pratiche commerciali scorrette nei confronti della propria utenza, osservando che il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing “acquista, proprio in ragione di tale uso, un valore economico idoneo, dunque, a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente” (cfr. il par. 54 del richiamato provvedimento).

Anche nella decisione della Commissione Europea del 3 ottobre 2014 e pubblicata il 19 novembre 2014, che ha autorizzato la concentrazione relativa all’acquisizione da parte di Facebook di tale “social network”, erano presenti considerazioni sul valore economico dei dati degli utenti.

Da ultimo, l’esistenza di prestazioni corrispettive nei contratti per la fornitura di servizi di “social media” è stata affermata anche dal Network europeo di autorità nazionali per la cooperazione della tutela dei consumatori di cui al Regolamento 2006/2004/CE. 

Nell’affrontare il tema della possibile contrarietà delle Condizioni d’Uso della piattaforma Facebook alla direttiva 93/13/CEE, concernente le clausole abusive nei contratti con i consumatori, il Network ha avuto modo di affermare che tale direttiva “si applica a tutti i contratti tra consumatori e professionisti, a prescindere dalla natura onerosa di tali contratti, inclusi i contratti in cui il contenuto e la profilazione generati dal consumatore rappresentano la controprestazione alternativa al denaro” (cfr. pag. 19 della lettera del 9 novembre 2016 inviata a Facebook con cui è stata trasmessa la Posizione Comune del Network, allegata alla memoria di parte ricorrente del 28 giugno 2019).

8. Deve anche escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”.

La non sovrapponibilità dei piani relativi alla tutela della “privacy” e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione “unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29”.

Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole.

9. Per le medesime ragioni, non esiste neppure il paventato rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il social network. L’oggetto di indagine da parte delle competenti autorità riguarda, infatti, condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali.

10. Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione del social network: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole.

11. La prima condotta sanzionata presenta effettivamente tale carattere, in quanto il “claim” utilizzato da Facebook nella pagina di registrazione per invogliare gli utenti a iscriversi (“Iscriviti E’ gratis e lo sarà per sempre”) lasciava intendere l’assenza di una controprestazione richiesta al consumatore in cambio della fruizione del servizio.

In proposito, parte ricorrente non può essere seguita laddove sostiene che il richiamo al concetto di gratuità sarebbe giustificato dalla mancata richiesta del pagamento di una somma di denaro e che il consumatore medio attribuirebbe a tale termine, nella sua accezione comune, il significato di mera assenza di un corrispettivo patrimoniale. La pratica, infatti, è stata sanzionata in ragione della incompletezza delle informazioni fornite, che a fronte del “claim” di “gratuità” del servizio non consentivano al consumatore di comprendere che il professionista avrebbe poi utilizzato i dati dell’utente a fini remunerativi, perseguendo un intento commerciale (cfr. par. 55 provv.).

In argomento, il provvedimento ha fornito una puntuale motivazione, supportata da una adeguata istruttoria, sulla carenza di sufficienti informazioni, nel processo di registrazione, circa il valore commerciale dei dati e allo scopo commerciale perseguito. L’affermazione di parte ricorrente secondo cui l’onere informativo imposto a Facebook imporrebbe uno standard inconciliabile con gli Orientamenti sulla trasparenza ai sensi del “Regolamento Privacy” rimane indimostrata e, anzi, contraddetta dagli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 2016, che impongono espressamente ai professionisti di non occultare l’intento commerciale di una pratica.

La circostanza, poi, che ai fini della predisposizione della cosiddetta “informativa privacy” i relativi orientamenti suggeriscano una suddivisione in sezioni ovvero “stratificata on line” non è rilevante ai fini della carenza informativa del claim rilevata dall’Autorità, in ragione della diversità dei campi di applicazione e degli strumenti di tutela previsti dalle relative normative di settore.

12. L’Autorità nel provvedimento impugnato ha anche ampiamente confutato le tesi di parte ricorrente circa la completezza e chiarezza delle informazioni successivamente accessibili tramite link alla Normativa dati, alle Condizioni d’uso e Normativa Cookie, rilevando, alla stregua di un giudizio logicamente formulato, come le informazioni in questione non fossero né chiaramente né immediatamente percepibili. Quanto al “banner cookie”, inserito successivamente all’avvio del procedimento, è stato legittimamente ritenuto dall’Autorità inidoneo a far venire meno l’omissione e l’ingannevolezza riscontrata, in quanto “oltre a non essere contestuale alla registrazione in FB, risulta generico oltreché scarsamente esplicativo e, laddove visualizzato in tale fase, nemmeno adiacente al pulsante di creazione dell’account” (par. 21).

13. Dunque, il giudizio di ingannevolezza della condotta sub a) formulato nel provvedimento impugnato si sottrae ai vizi denunciati, risultando corretta la valutazione della Autorità circa l’idoneità della pratica a trarre in inganno il consumatore e a impedire la formazione di una scelta consapevole, omettendo di informarlo del valore economico di cui la società beneficia in conseguenza della sua registrazione al “social network”.

14. Quanto alle doglianze circa l’obbligo di pubblicare una dichiarazione rettificativa, occorre premettere che si tratta di una misura accessoria prevista dell’art. 27, comma 8 del codice del consumo, secondo cui, con il provvedimento che irroga la sanzione pecuniaria, “…può essere disposta, a cura e spese del professionista, la pubblicazione della delibera, anche per estratto, ovvero di un’apposita dichiarazione rettificativa, in modo da impedire che le pratiche commerciali scorrette continuino a produrre effetti”.

Si è chiarito che la dichiarazione non ha lo scopo di sanzionare l'operatore pubblicitario, ovvero di risarcire i soggetti già lesi dal messaggio, bensì di impedire, da un lato, eventuali future riedizioni del messaggio e dall’altro di contrastare l’eventuale persistere degli effetti del “claim” ingannevole. Di conseguenza, le modalità e le forme di detta pubblicazione sono rimesse alla valutazione discrezionale dell'Autorità e condizionate dalla necessità di raggiungere lo scopo per il quale essa è stata disposta (cfr. Tar Lazio, sez. I, n. 2306/2007; Cons. Stato, sez. VI, 21 luglio 2003 n. 4211).

L’obbligo di pubblicazione della dichiarazione risulta del tutto giustificato, avuto riguardo alle finalità perseguite, e proporzionato, quanto alle modalità imposte, alla diffusione del messaggio.

In argomento, le critiche nel ricorso secondo cui la pubblicazione della dichiarazione incrinerebbe il rapporto di fiducia con gli utenti non possono assumere rilevanza, trattandosi di valutazioni, indimostrate, di opportunità, che impingono nella sfera di discrezionalità riservata all’Autorità ma non determinano una potenziale illegittimità del provvedimento nella parte “de qua”.

Anche le censure relative al difetto di proporzionalità della misura rispetto allo scopo che persegue non si palesano fondate, alla luce delle modalità tecniche previste dalla stessa Autorità, che richiede la visibilità “mirata” della stessa solo a chi acceda alla “homepage” di Facebook o alla relativa “app”, per un periodo di tempo circoscritto (pari a venti giorni), e a ciascun utente registrato per una sola volta in occasione del suo primo accesso alla propria pagina personale Facebook.

Infine, quanto alle deduzioni di Facebook, compendiate in una relazione tecnica allegata al ricorso, in cui si sostiene di non potere ottemperare pienamente alla misura imposta dall’Autorità, anche in ragione della genericità di alcune indicazioni, il Collegio osserva, in relazione alle criticità ravvisate in relazione alle modifiche da apportare alla “app” di Facebook, che non risulta dimostrata l’impossibilità tecnica di realizzarle attraverso il rilascio di un aggiornamento dell’applicazione. Quanto alle altre difficoltà tecniche prospettate dalla ricorrente (quali quelle relative al formato della dichiarazione e alla visualizzazione del “pop-up” agli utenti italiani e per una sola volta) si tratta di questioni di carattere interpretativo, che non incidono sulla corretta imposizione della misura ma al più potranno essere affrontate dalla parte e dall’Autorità in sede di verifica dell’ottemperanza al provvedimento stesso, entro il cui ambito l’Agcm sarà tenuta a fornire a Facebook ogni chiarimento necessario per consentire una compiuta esecuzione della misura.

15. E’ possibile passare allo scrutinio delle censure riguardanti la pratica sub b) decritta nel provvedimento impugnato, che ha ad oggetto il meccanismo di trasmissione dei dati degli utenti registrati a Facebook dalla Piattaforma (sito “web/app”) del “social network” ai siti “web/app” di terzi.

L’Autorità ha rilevato che la Piattaforma era “…automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out”. L’Autorità ha affermato che l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le conseguenze per lui penalizzanti, sia nella fruizione del “social network”, sia nella accessibilità e utilizzo dei siti “web” e “app” di terzi, sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario (par. 61).

In definitiva, secondo l’Autorità, nonostante alcune modifiche operate dal professionista dopo l’avvio del procedimento sanzionatorio, sussisteva una pratica commerciale aggressiva in quanto Facebook continuava nella condotta di “…preflaggare le opzioni a disposizione dell’utente e di disincentivarne la deselezione ricorrendo all’uso di espressioni atte a condizionare l’utente sulla reale portata delle conseguenze derivanti dalla deselezione medesima” (par. 63).

L’Autorità contesta, quindi, alla parte ricorrente l’esistenza di una “pre-attivazione” della piattaforma che, in ragione del meccanismo di “opt-in” preimpostato, non consentirebbe agli utenti di comprendere la modalità e finalità di utilizzo, sia da parte dei terzi che da parte di Facebook, dei dati raccolti a seguito dell’integrazione tra piattaforme.

16. La ricostruzione del modello di funzionamento del meccanismo di integrazione delle piattaforme riportata nel provvedimento sconta dei travisamenti in punto di fatto che, come dedotto nel nono motivo di ricorso, nella sezione B), lett. i), inficiano la correttezza del percorso motivazionale seguito dall’Autorità.

Difatti, come documentato nell’allegato rubricato “doc. n. 5” al ricorso, al fine di realizzare l’integrazione, è necessario compiere numerosi passaggi, che si concludono solo quando, una volta raggiunta tramite il login di Facebook la “app” di terzi, l’utente decide di procedere alla sua installazione.

Dunque, la “pre-attivazione” della piattaforma Facebook (vale a dire la “pre-selezione” delle opzioni a disposizioni) non solo non comporta alcuna trasmissione di dati dalla piattaforma a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme. L’affermazione dell’Autorità secondo cui la piattaforma di Facebook era “automaticamente attivata con validità autorizzativa generale” non risulta, in definitiva, corretta, avendo di converso dimostrato il professionista che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web”.

Deve, poi, osservarsi, che il giudizio circa la presunta natura “aggressiva” delle locuzioni usate per disincentivare l’utente dal disattivare la piattaforma risulta non adeguatamente motivato o approfondito, nonché parzialmente contraddittorio, in quanto sono effettivamente presenti delle conseguenze negative in caso di disattivazione. L’utilizzo, poi, da parte di Facebook di espressioni in alcuni casi dubitative in relazione alle possibili limitazioni nell’uso della “app” di terzi nel caso di disattivazione dell’integrazione si giustifica in ragione della circostanza che i dati in oggetto sono, per l’appunto, detenuti e trattati da soggetti terzi.

Anche nei casi in cui determinate applicazioni terze prevedano un meccanismo di integrazione diverso dal “Facebook login” (quali i “plug-in” “social” “Mi piace” o “Condividi”) Facebook avverte nella Normativa sui dati della possibilità che questi possono ricevere informazioni su ciò che l’utente pubblica o condivide e che “le informazioni raccolte da tali soggetti terzi sono soggette alle loro condizioni e normative, non alle nostre” (cfr. il doc. 6 allegato al ricorso).

Deve anche osservarsi che eventuali contestazioni sulla non pertinenza o eccedenza del trattamento dei dati dell’utente rispetto alla finalità del trattamento stesso sarebbero di competenza dell’Autorità garante per la “privacy”, trattandosi di profili che non incidono sulla libertà di scelta del consumatore.

17. Dunque, il provvedimento dell’Autorità, quanto alla condotta descritta alla lettera sub b), si palesa illegittimo in ragione dei denunciati vizi di cattiva ricostruzione del funzionamento della integrazione delle piattaforme e dell’assenza di elementi sufficienti a dimostrare l’esistenza di una condotta idonea a condizionare le scelte del consumatore.

18. In conclusione, limitatamente all’accertamento dell’illegittimità della condotta sub b) e alle conseguenze - sanzionatorie, inibitorie e di adozione di una dichiarazione rettificativa – imposte dall’Autorità, il provvedimento impugnato deve essere annullato, dovendosene invece confermare la legittimità per la restante parte.

19. L’accoglimento solo parziale del ricorso giustifica la compensazione delle spese di lite.
P.Q.M.

Il Tribunale Amministrativo Regionale per il Lazio (Sezione Prima), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie in parte e, ai sensi e per gli effetti di cui in motivazione, annulla il provvedimento impugnato, limitatamente alla pratica commerciale descritta alla lettera b).

Compensa le spese.

Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...