Facebook, se il dato è utilizzato a fini commerciali il servizio non può definirsi "gratuito"

Con la sentenza in commento (Sez. VI, n. 2631 del 29 marzo 2021), il Consiglio di Stato ha chiarito che, sebbene non sia formalmente previsto un prezzo per l'iscrizione ad un social network, il servizio offerto dal proprietario della piattaforma non può comunque qualificarsi come gratuito quando i dati forniti dall'utente al momento della creazione dell'account vengano messi a disposizione di terzi a fini commerciali.

In tale ipotesi si realizza un coinvolgimento degli interessi economici degli utenti, sicché al relativo trattamento si applicano non solo le previsioni contenute nel Regolamento (UE) 2016/679 ("GDPR") in tema di tutela della privacy ma anche quelle recate dal d.lgs. n. 206/2005 (c.d. "Codice del consumo").

La vicenda trae origine dall'impugnazione, da parte delle società Facebook Ireland Ltd., del provvedimento sanzionatorio dell'Autorità garante della concorrenza e del mercato ("AGCM") n. 27432 adottato in data 29 novembre 2018 con il quale, a conclusione del procedimento istruttorio PS/11112, l'Authority aveva contestato alle ricorrenti due distinte pratiche commerciali scorrette:

(a) l'induzione ingannevole degli utenti alla registrazione sulla nota piattaforma, senza averli previamente informati - in sede di attivazione dell'account - dell'attività di raccolta con intento commerciale dei dati da loro forniti e, in generale, delle finalità remunerative sottese al servizio, del quale era piuttosto enfatizzata la gratuità;

(b) l'induzione degli utenti a consentire l'utilizzo dei propri dati per fini commerciali da parte di Facebook e soggetti terzi. In particolare, quest'ultima pratica era stata ritenuta "aggressiva" in quanto operante tramite un sistema di "preselezione" del consenso, inconsapevole e automatico, che gli utenti erano indotti a mantenere attivo per non subire le limitazioni nell'utilizzo del social network.

Il TAR del Lazio ha parzialmente accolto i ricorsi proposti da Facebook Ireland Ltd., annullando il provvedimento impugnato nella parte in cui aveva qualificato la condotta sub b) come pratica commerciale "aggressiva".

Contro la sentenza di primo grado hanno proposto appello sia le società sanzionate che l'AGCM, le prime chiedendone la riforma nella parte in cui aveva ritenuto corretta la qualificazione della condotta sub a) come pratica commerciale "ingannevole", e la seconda, viceversa, nella parte in cui aveva escluso che la condotta sub b) configurasse una pratica commerciale "aggressiva".

Secondo le tesi difensive prospettate in appello da Facebook Ireland Ltd., in assenza di un corrispettivo patrimoniale da parte dell'utente che accede alla piattaforma, sarebbe venuto meno qualunque interesse economico rilevante, con conseguente inapplicabilità della normativa sulla tutela dei consumatori e, di conseguenza, del potere sanzionatorio dell'AGCM. Le condotte contestate, infatti, rientrerebbero nel campo di applicazione esclusivo della normativa in materia di protezione dei dati personali che coinvolge aspetti relativi alla tutela di diritti della persona, aventi natura non patrimoniale e come tali estranei alla disciplina consumeristica.

Il Consiglio di Stato (con sentenza n. 2631 pubblicata lo scorso 29 marzo) ha rigettato le suddette argomentazioni, rilevando che, seppure i dati personali costituiscano beni extra commercium, sono comunque suscettibili di ricevere uno sfruttamento economico, sia pure in via indiretta, nell'ipotesi in cui il loro trattamento da parte di soggetti terzi diventi di fatto il "corrispettivo" per l'utilizzo del social network. Pur non essendo previsto il pagamento di un prezzo per l'attivazione dell'account, infatti, si realizza comunque una patrimonializzazione dei dati personali dell'utente, dal momento che tali dati vengono messi a disposizione di terzi per fini commerciali.

In tal senso il Collegio, in ragione degli interessi economici implicati, ha ritenuto che gli utenti della piattaforma agiscano in qualità di "consumatori" e che il trattamento dei dati degli stessi sia rilevante ai sensi della disciplina consumeristica. Pertanto, il Consiglio di Stato ha ritenuto corretta la qualificazione della condotta sub a) come "pratica ingannevole" ex art. 20, co. 2, cod. Cons., dal momento che gli utenti, all'atto della creazione dell'account, non venivano resi edotti della finalità sostanzialmente remuneratoria dei dati ceduti, venendo piuttosto pubblicizzata la gratuità del servizio.

Il Consiglio di Stato ha chiarito quindi i rapporti tra la disciplina in materia di privacy e il diritto dei consumatori quando, come nel caso di specie, i dati personali dell'utente siano sfruttati anche per fini commerciali. Il GDPR e il Codice del consumo, infatti, non danno vita a "compartimenti stagni di tutela", realizzando piuttosto un sistema di "tutele multilivello", nell'ambito del quale le discipline di settore si compenetrano, ciascuna nei rispettivi ambiti.

Il GDPR, infatti, pone le garanzie necessarie in tema di tutela della privacy, mentre il Codice del consumo tutela libertà di autodeterminazione del consumatore, e l'applicazione di uno non esclude l'altro.

Pertanto, il Collegio ha ribadito che la condotta sub a) crea un vulnus ai fini consumeristici anche se all'utente viene data la possibilità di revocare il consenso al trattamento dei dati in conformità al GDPR. Il diritto di opt out, infatti, offre uno strumento di tutela sotto il profilo della privacy ma interviene quando i dati dell'utente sono ormai entrati in possesso di terzi per essere sfruttati commercialmente a sua insaputa, in violazione delle norme del Codice del consumo.

Con riferimento alla condotta sub b), qualificata dall'AGCM come pratica commerciale aggressiva, il Consiglio di Stato ha condiviso le argomentazioni delle società ricorrenti. A tal proposito, il Collegio ha ritenuto che la "pre-attivazione" della piattaforma Facebook, ossia la preselezione delle opzioni a disposizione, non integri una condotta "aggressiva", ossia "tale da provocare una manipolazione concreta della volontà dell'utente", dal momento che non comporta alcun trasferimento immediato e diretto dei dati dalla piattaforma del social network a quella di soggetti terzi. Inoltre, il rischio che il consenso dell'utente sia frutto di indebito condizionamento è ulteriormente scongiurato dalla presenza di una serie di passaggi necessitati successivi alla "preselezione", nei quali l'utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l'integrazione con piattaforme terze.

Il provvedimento impugnato è perciò divenuto definitivo nella parte in cui aveva contestato a Facebook Ireland Ltd. e a Facebook Inc. la pratica ingannevole sub. (a).

Si segnala che l'AGCM, constatata sia la perdurante inottemperanza delle società sanzionate all'obbligo di pubblicare una dichiarazione rettificativa che la prosecuzione della pratica commerciale ingannevole già accertata, le ha condannate, in solido tra loro, al pagamento di una sanzione amministrativa pecuniaria pari a 7 milioni di euro. La sanzione è stata comminata con provvedimento in data 9 febbraio 2021, in epoca antecedente, perciò, alla formazione del giudicato sulla insussistenza della pratica "aggressiva" sub b).

____

* A cura dell' Avv. Giulia Maria Amato, Studio Legale Ristuccia Tufarelli & Partners