Come emergerà in questo elaborato, i dati ormai sono oggetto di scambio e di monetizzazione da parte degli operatori del web: vi è la necessità di disciplinare attentamente questo sfruttamento economico sul mercato digitale.
A tal proposito, bisogna introdurre il caso di specie trattato dalla recentissima sentenza n. 261 del 10 gennaio 2020, in cui il Tar del Lazio ha in parte confermato la sanzione irrogata dall’Autorità Garante per la Concorrenza ed il Mercato (Agcm) nei confronti di Facebook, colpevole di aver utilizzato una pratica commerciale ritenuta ingannevole.
Prima di analizzare la sentenza, è utile richiamare l’art. 20 del Codice di Consumo al comma 1, che ha considera una pratica come scorretta quando ricorrono due condizioni: quando è contraria alla “diligenza professionale” ed è idonea “a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori”.
Inoltre, per pratica commerciale ingannevole si intende, in base a quanto disposto anche dall’art. 21, “una pratica commerciale che contiene informazioni non rispondenti al vero o, seppure di fatto corretta, in qualsiasi modo, anche nella sua presentazione complessiva, induce o è idonea ad indurre in errore il consumatore medio riguardo ad uno o più dei seguenti elementi e, in ogni caso, lo induce o è idonea a indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso”.
Nel caso da analizzare, la fase di prima registrazione nella piattaforma web/app, Facebook forniva un’informativa ritenuta dall’Autorità priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti. La piattaforma social pubblicizzava le nuove iscrizioni attraverso un claim sulla gratuità del servizio offerto lo slogan: “Facebook è gratis e lo sarà per sempre”.
Tuttavia, dall’istruttoria di Agcm, ciò non risultava veritiero, in quanto all’utente non veniva fornito un trasparente e chiaro richiamo sulla raccolta e uso per fini commerciali dei dati da parte di social network.
Agcm sottolineava infatti che “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd e il 98% del fatturato di Facebook Inc.”.
L’informazione pertanto non veniva considerata veritiera, bensì fuorviante: la raccolta e sfruttamento dei dati degli utenti a fini remunerativi si configurava come la reale contro-prestazione del servizio offerto; questo perché è ormai consolidato che i dati posseggano un valore economico-commerciale.
Quest’ultima ipotesi veniva contraddetta dalla ricorrente, che proponeva la tesi difensiva secondo cui “l’unica tutela del dato personale sia quella rinvenibile nella sua accezione di diritto fondamentale dell’individuo, e per tale motivo Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’iscrizione e dell’utilizzo del social network”.
La sentenza del Tar Lazio è inoltre importante poiché sostiene che l’Agcm conserva un potere sanzionatorio posto a tutela dell’interesse economico degli interessati in quanto consumatori. nonostante il potere sanzionatorio per illecito o non conforme trattamento dati sia di competenza del Garante Privacy. In questo senso il Tribunale di Roma smentisce l’assunto secondo cui per i dati personali non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare.
Anzi, analizzando puntualmente l’attuale commercio virtuale, le potenzialità insite nello sfruttamento dei dati personali possono costituire un asset disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad espletare la funzione di controprestazione di un contratto. Il Tar fa emergere un principio del tutto innovativo, secondo cui i dati hanno una doppia natura (con conseguente raddoppio della tutela), poiché sono sia un elemento della personalità che una controprestazione a fronte di un servizio o un prodotto.
Il dato si configura come possibile oggetto di compravendita (quindi disciplinato dalle norme a tutela della concorrenza e del consumatore), ma anche di forme di protezione, come il diritto di revoca, di oblio e di accesso.
Il Tar continua affermando che “Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un social network”.
Si ravvisa così la conseguente necessità di tutelare il consumatore, che non ricade solo ed esclusivamente nella tutela apportata dal GDPR, ma anche da quella a tutela del consumatore.
Procedendo con l’analisi del provvedimento del Tar Lazio, la pronuncia sottolinea le varie linee interpretative che si pongono a sostegno di tale decisione: si seguono gli orientamenti per l’attuazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali del 25 maggio 2016 in cui la Commissione Europea aveva affermato che “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto”; la sanzione dell’11 maggio 2017 dell’Autorità Garante della Concorrenza e del Commercio aveva osservato che il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing “acquista, proprio in ragione di tale uso, un valore economico idoneo, dunque, a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente”; la decisione della Commissione Europea del 3 ottobre 2014 e pubblicata il 19 novembre 2014, conteneva considerazioni sul valore economico dei dati degli utenti; il Regolamento 2006/2004/CE, nell’affrontare il tema della possibile contrarietà delle Condizioni d’Uso della piattaforma Facebook alla direttiva 93/13/CEE, ha avuto modo di affermare che tale direttiva “si applica a tutti i contratti tra consumatori e professionisti, a prescindere dalla natura onerosa di tali contratti, inclusi i contratti in cui il contenuto e la profilazione generati dal consumatore rappresentano la controprestazione alternativa al denaro”. Secondo il Tar, “l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza non è una questione interamente disciplinata e sanzionata nel Regolamento privacy: la non sovrapponibilità dei piani relativi alla tutela della privacy e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29”. Nel caso di specie, non si ravvisa alcuna incompatibilità tra le previsioni del GDPR e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole.
Il Tar sostiene che il valore economico dei dati dell’utente obbliga il professionista di comunicare al consumatore che le informazioni ricavabili dai dati saranno oggetto di trattative commerciali, scopo che è notevolmente differente rispetto al mero utilizzo della piattaforma di Facebook. L’oggetto di indagine da parte delle competenti autorità riguarda, infatti, condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali. In assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole: nella fattispecie i dati dell’utente avevano lo scopo di essere raccolti per fini remunerativi, perseguendo un intento di carattere commerciale.
La tesi difensiva di Facebook è volta a orientare il giudizio considerando il GDPR quale una normativa applicabile, con un potenziale rischio di violazione del principio del ne bis in idem, in considerazione della valenza sostanzialmente penale delle sanzioni irrogate. A tal riguardo, si deve considerare che le sanzioni irrogabili (ex art. 83 GDPR) dal Garante Privacy sarebbero ben più gravi laddove emerga una violazione del dovere informativo ex artt. 13 e 14 GPDR relativamente alla circostanza che l’interessato debba essere reso comunque edotto dei fini commerciali del trattamento dati (“patrimonializzazione”: procedimento tipico delle nuove economie dei mercati digitali).
In tema di consenso minorile, il principio innovativo che è sotteso alla sentenza n.261/2020 traina con sé anche degli effetti considerevoli per questa categoria di utenti.
Qualora si considerasse a tutti gli effetti un contratto quella attività per cui si procede a scaricare un’applicazione (app), i minorenni non potrebbero dare il consenso a trattare i propri dati sia al gestore di servizio della società dell’informazione che ai social network interessato. I genitori dovrebbero altresì dare il loro consenso a trattare i dati dei figli, qualora il conferimento dei dati del minorenne fosse il presupposto al download di un’applicazione
La sentenza del Tar avrebbe effetti sull’art. 8 del GDPR, il quale in merito all’offerta diretta di servizi della società dell’informazione ai minori, richiede il compimento del sedicesimo anno di età.
Come già esposto nell’elaborato, l’art. 2 quinquies del Codice Privacy prevede la deroga al quattordicesimo anno di età, quale soglia per dare un lecito consenso da parte dell’utente; questa deroga però non incide sulla disposizione ulteriormente contenuta nel sopracitato art. 8, in quanto rimangono valide le disposizioni nazionali in tema di contrattualistica (validità, formazione, efficacia di un contratto rispetto ad un minorenne).
Il presupposto per una corretta analisi in merito, risiede nel considerare, o meno, lo scambio dati attraverso un’applicazione come forma contrattuale. In caso affermativo, sarebbe necessario il consenso dei genitori, o altra figura ad essi parificata, in quanto in minore è soggetto incapace contrattualmente; nel caso si negasse invece la forma contrattuale all’attività posta in essere, il minore potrebbe, invece, autodeterminarsi.
Il giudice amministrativo sembrerebbe orientarsi a considerare lo scambio di dati sopra esposto come un contratto, sebbene la questione sembrerebbe destinata a dirimersi col solo intervento della magistratura e relative pronunce.
In conclusione, considerare i dati come merce di scambio sembra altresì sollevare dubbi di carattere etico, poiché i dati raccolti sono sfruttati economicamente, senza però corrispondere nulla alla persona cui si riferiscono.
L’eventuale riconoscimento di un costo dei dati veicolerebbe senz’altro un uso più attento, contenuto e minimizzato degli stessi, portando ad una raccolta in linea con i principi regolamentari.