Perché gli utenti di Facebook dovrebbero essere tutelati anche come consumatori…non è solo una questione di dati personali

Le pratiche commerciali scorrette di Facebook

Tra le varie competenze dell'Autorità Garante della Concorrenza e del Mercato (AGCM) rientra anche quella relativa all'applicazione della disciplina consumeristica in materia di pratiche commerciali sleali.

È proprio questa la competenza che è stata esercitata dall'AGCM nei confronti di Facebook Inc. e Facebook Ireland Ltd per aver posto in essere due distinte pratiche commerciali scorrette.

La prima pratica contestata riguardava il fatto che, nella fase di prima registrazione dell'utente sulla piattaforma Facebook (sito web e app), la società non informava in modo chiaro e completo della propria attività di raccolta e utilizzo, a fini commerciali, dei dati dei propri utenti. In questo l'AGCM riconosceva una pratica commerciale ingannevole.

La seconda pratica consisteva invece nel fatto che nella piattaforma venisse utilizzato ripetutamente un meccanismo c.d. opt-out, rispetto alla decisione del consumatore in ordine alla cessione dei propri dati da Facebook a terzi per lo svolgimento di successive attività commerciali. Secondo l'AGCM questa condotta costituirebbe una pratica commerciale aggressiva.

Sembra utile ricordare che l'espressione "pratiche commerciali scorrette" (ingannevoli o aggressive) designa le condotte che formano oggetto del divieto generale sancito dall'art. 20 D. Lgs. 6 settembre 2005, n. 206 (Codice del consumo).

Per "pratiche commerciali" si intendono tutti i comportamenti tenuti da professionisti che siano oggettivamente "correlati" alla "promozione, vendita o fornitura" di beni o di servizi a consumatori, e posti in essere prima, contestualmente o anche in seguito all'instaurazione dei rapporti contrattuali.

In termini generali, una pratica commerciale è scorretta se è contraria alla diligenza professionale ed è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che raggiunge o al quale è diretta.

L'AGCM aveva dunque comminato a Facebook una doppia sanzione. Il Tar Lazio ha poi confermato, con due diverse sentenze, la legittimità dell'accertamento della prima pratica, annullando invece l'accertamento della seconda. Queste sentenze sono diventate quindi oggetto del ricorso presentato al Consiglio di Stato da parte sia dell'AGCM sia di Facebook, ciascuna non soddisfatta dei risultati ottenuti.

Ecco, quindi, che sono intervenute le sentenze nn. 2630 e 2631/2021 del Consiglio di Stato, le quali, oltre a risolvere le controversie, hanno affrontato anche alcuni aspetti di interesse generale, inerenti in particolare al rapporto tra la tutela della privacy e la tutela dei diritti del consumatore. Nel presente commento, prendendo spunto dalle decisioni del Consiglio di Stato, si approfondiranno in particolare i seguenti temi:

- il riconoscimento del valore economico dei dati personali;

- le possibili tutele aggiuntive per i consumatori, prospettate dalla normativa europea.

Dati personali come corrispettivo

Il Consiglio di Stato ha svolto un iter argomentativo che gli ha permesso di approfondire diversi aspetti.
Innanzitutto, i legali di Facebook hanno sostenuto che i dati personali siano un bene extra commercium, non commerciabile e di natura non patrimoniale, con la conseguenza che il loro trattamento non possa essere ricondotto al diritto consumeristico.

A tale riguardo, il Consiglio di Stato ha opportunamente chiarito che parlare di "patrimonializzazione" dei dati non significa esprimere un giudizio sulla loro natura intrinseca, bensì dare rilievo a ciò che rappresenta il frutto dell'intervento di Facebook, che utilizza i dati a fini commerciali. L'utente dovrebbe quindi godere di tutti i diritti riconosciuti al consumatore, anche qualora non fosse consapevole dello sfruttamento a fini commerciali dei propri dati.

Si ritiene assolutamente condivisibile il ragionamento seguito dal Consiglio di Stato. In primo luogo, il Consiglio ha ritenuto, correttamente, di non dover dare una risposta definitiva sul tema della "patrimonializzazione" dei dati personali. Si tratta infatti di una questione molto dibattuta a livello internazionale. L'EDPS (European Data Protection Supervisor), ad esempio, nel 2017 aveva criticato l'idea che le persone potessero disporre dei propri dati alla stregua del denaro, oltre a quella di considerare un diritto fondamentale come quello alla protezione dei dati personali alla stregua di una merce. Si tratta evidentemente di una questione che, da una parte, è idonea ad incidere anche sulla definizione di diritti "personalissimi" degli interessati e deve essere quindi valutata in sedi più opportune. D'altra parte, è possibile anche che non venga mai data una qualificazione assoluta ed univoca dei dati personali, potendo risultare preferibile distinguere a seconda delle varie tipologie di dati.

È evidente che sussiste la necessità di garantire la protezione dei dati personali come diritto fondamentale, ma è altresì evidente come l'utilizzo dei dati personali debba necessariamente essere inquadrato sotto diverse chiavi di lettura.

Abbracciando questa interpretazione, il Consiglio di Stato ha così confermato che la disciplina della tutela della privacy e il Codice del consumo presentano ambiti operativi differenti e non contrastanti, con la conseguenza che è possibile punire una stessa condotta con sanzioni cumulabili e non alternative.

L'evoluzione del diritto dell'Unione Europea
La ricostruzione operata dal Consiglio di Stato e la conclusione raggiunta appaiono altresì conformi al diritto dell'Unione Europea e agli interventi della giurisprudenza comunitaria.

Il diritto UE ha di fatto seguito un approccio molto concreto e volto a "regolare l'esistente", partendo dalla considerazione che di fatto molti servizi digitali vengano forniti proprio "in cambio" dell'accesso ai dati personali degli utenti, senza tra l'altro che l'utente sia poi in grado di limitare l'utilizzo degli stessi a finalità non commerciali.

Di questo si è occupata, ad esempio, la Direttiva n. 2161 del 2019 (cosiddetta Direttiva Omnibus), che ha riformato il quadro legislativo europeo a tutela degli interessi economici dei consumatori, prevedendo tra l'altro l'estensione dell'ambito di applicazione della Dir. 2011/83/UE sui diritti dei consumatori a quei contratti per la fornitura di contenuti digitali e di servizi digitali che non prevedano il pagamento di un prezzo da parte del consumatore, bensì la comunicazione di dati personali. Questa direttiva dovrà essere attuata negli Stati Membri entro il 2022.

Lo stesso approccio è seguito dalla Direttiva 2019/770/UE che, prevedendo nuovi criteri di conformità per la fornitura di contenuti e servizi digitali, è stata la prima a far rientrare nel proprio ambito di applicazione anche i contratti che prevedono che il consumatore si impegni a fornire in cambio i propri dati personali, ad eccezione dei casi in cui tali dati siano strettamente necessari per l'esecuzione del contratto o per l'assolvimento di obblighi di legge.

Queste modifiche legislative confermano, del resto, un approdo ormai consolidato della Commissione UE e ripreso anche dall'AGCM, volto a riconoscere il "valore economico de facto" delle informazioni personali, delle preferenze e degli altri contenuti generati dagli utenti-consumatori, che "vengono venduti a terzi".

È stato interessante leggere il commento al riguardo di Guido Scorza, componente del Garante per la protezione dei dati personali, che in sede di conclusioni ha ripreso alcune delle questioni fondamentali che ritiene rimaste aperte.

Giustamente è stato rilevato come non sia stato "sciolto" il nodo relativo alla qualificazione dei dati personali come "beni commerciabili", ma non si ritiene che lo stesso possa dirsi in ordine alla possibilità di qualificare un trattamento di dati personali come corrispettivo di un servizio.

Da quanto osservato sopra, emerge bensì come siano state date già importanti risposte dal diritto dell'Unione Europea. Questo allo stesso tempo ha contribuito a delineare quali elementi il titolare del trattamento, quale fornitore del servizio, debba fornire agli interessati nella loro qualità di utenti-consumatori. Su questo punto residua certamente dello spazio di discrezionalità per il legislatore italiano, tuttavia data la non novità del tema, si ritiene che la strada sia già stata "segnata" a livello europeo e potrà e dovrà probabilmente riflettersi in aggiornamenti del nostro Codice del Consumo.

Servizi digitali e clausole vessatorie

Con riguardo alla tutela dei consumatori, in particolare nell'ambito dei servizi digitali, si ritiene infine utile richiamare altri spunti di evoluzione giuridica che derivano dall'Unione Europea. Infatti, in attuazione della Direttiva 93/13 sulle clausole contrattuali abusive, il nostro Codice del consumo (artt. 33-36) contiene un elenco di clausole vessatorie la cui nullità può essere fatta valere dal consumatore oppure rilevata d'ufficio dal giudice (c.d. nullità di protezione). Le clausole che restano escluse dalla relativa lista, come tipicamente accade per tante clausole ormai comunemente utilizzare dai fornitori di servizi digitali, devono essere invece valutate volta per volta.

Di conseguenza, possono aversi difetti di tutela per i consumatori e allo stesso tempo un'incertezza nelle relazioni commerciali, che sempre più spesso hanno componenti transnazionali, a causa della mancata armonizzazione a livello europeo.

Questo tema è stato fatto oggetto di un documento redatto da un gruppo di studio del Parlamento Europeo ("Update the Unfair Contract Terms directive for digital services", IPOL Study, Febbraio 2021), che ha proposto una riforma della Direttiva 93/13, al fine di ricomprendervi alcune clausole solitamente adottata dai fornitori di servizi digitali e per il raggiungimento di un livello superiore di armonizzazione a livello europeo. Il gruppo di studio ha quindi specificamente indicato, anche considerando la giurisprudenza della CGUE, una serie di clausole che potrebbero andare a comporre una "lista nera" e/o una "lista grigia" valevoli a livello europeo, che potrebbero essere allegate alla Direttiva.

In particolare, dall'analisi del caso di Facebook sopra svolta, emerge come la stessa piattaforma utilizzi clausole che secondo questo studio potrebbero rientrare in una "lista grigia", e quindi essere ritenute vessatorie, salvo che il fornitore di servizi digitali non sia in grado di giustificarne l'applicazione in base alle specifiche circostanze del caso. Si richiamano, in particolare, le clausole contrattuali idonee a "creare l'impressione che i servizi digitali siano forniti gratuitamente, nei casi in cui i consumatori paghino il servizio con i propri dati personali, il proprio tempo o la propria attenzione".

Ancora, sono ritenute idonee ad entrare in una "lista grigia" anche le clausole che "limitano o escludono l'accesso a servizi digitali, se i consumatori non danno un consenso esplicito alla condivisione dei propri dati personali per finalità eccedenti rispetto a quanto sia necessario per rendere possibile la fornitura stessa del servizio, inclusa l'ipotesi in cui i dati rappresentino una controprestazione per la fornitura di servizi digitali".

L'aggiornamento della normativa sulle clausole vessatorie potrebbe riguardare tanto i fornitori di servizi digitali, quanto altri operatori del mercato online. Inoltre, è importante ricordare che l'Unione Europea sta lavorando alla creazione sia del Digital Markets Act, sia del Digital Services Act. Il primo avrà come scopo quello di garantire un comportamento corretto da parte delle piattaforme online "gatekeeper", mentre il secondo punta a raccogliere tutte le norme relative agli obblighi e alle responsabilità degli intermediari on line. Queste novità porteranno sia nuove opportunità per l'offerta di servizi e prodotti oltrefrontiera, sia un elevato livello di tutela per tutti gli utenti-consumatori.

a cura di Avv. Manuela Soccol , Studio Legale Soccol e Partner 24 Ore Avvocati