il commento

Facebook e il valore dei dati. Cosa dice la sentenza del Tar del Lazio

di |

Secondo la sentenza il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione del social network.

Con sentenza del 10 gennaio 2020 n. 261, il Tar del Lazio sede di Roma ha in parte confermato la sanzione irrogata dall’Autorità Garante per la Concorrenza ed il Mercato a Facebook per avere adottato una pratica commerciale ritenuta “ingannevole”.

La sentenza

Chiariamo che l’art. 20 Cod. cons. ha previsto che una pratica è scorretta se ricorrono due condizioni: i) la sua contrarietà alla «diligenza professionale»; ii) la sua idoneità «a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che essa raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori» (comma 1).

Inoltre, per pratica commerciale ingannevole si intende, a mente dell’art. 21 Cod. cons., «una pratica commerciale che contiene informazioni non rispondenti al vero o, seppure di fatto corretta, in qualsiasi modo, anche nella sua presentazione complessiva, induce o è idonea ad indurre in errore il consumatore medio riguardo ad uno o più dei seguenti elementi e, in ogni caso, lo induce o è idonea a indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso».

Secondo l’Agcm, infatti, nella fase di prima registrazione dell’utente nella piattaforma web/app, Facebook forniva un’informativa ritenuta dall’Autorità priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti.

Facebook e il valore dei dati

Infatti, sino a poco tempo fa Facebook pubblicizzava che il social network fosse “gratis” (sul punto cfr. “Facebook elimina lo slogan ‘E’ gratis e lo sarà per sempre’ dalla home page. Colpa di Libra?”).

Tuttavia, dall’istruttoria di Agcm, ciò non era propriamente vero visto che sino al 15 aprile 2018, l’utente che accedeva alla homepage di FB per registrarsi sulla Piattaforma (sito web e app), a fronte di un claim sulla gratuità del servizio offerto “Iscriviti E’ gratis e lo sarà per sempre”, non trovava un altrettanto evidente e chiaro richiamo sulla raccolta e uso a fini commerciali dei propri dati da parte di Facebook.

L’informazione era ritenuta non veritiera e fuorviante in quanto la raccolta e sfruttamento dei dati degli utenti a fini remunerativi si configurava come contro-prestazione del servizio offerto dal social network, in quanto dotati di valore commerciale. Osservava Agcm, “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.”.

La pronuncia del Tar Lazio è inoltre interessante perché afferma che, nonostante il potere sanzionatorio per illecito o non conforme trattamento dati ricada verso il Garante Privacy, cionondimeno l’Agcm conserva un potere sanzionatorio posto a tutela dell’interesse economico degli interessati in quanto consumatori.

Il Tar Lazio, infatti, smentisce l’assunto promosso dal famoso social network secondo cui per i dati personali non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare (sul punto cfr. “Si possono cedere i dati a pagamento da parte degli interessati?”) osservando che “ Le tesi di parte ricorrente presuppongono che l’unica tutela del dato personale sia quella rinvenibile nella sua accezione di diritto fondamentale dell’individuo, e per tale motivo Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’iscrizione e dell’utilizzo del “social network”.

Tuttavia, tale approccio sconta una visione parziale delle potenzialità insite nello sfruttamento dei dati personali, che possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto.

Infatti, “a fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.

“Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

Privacy e consumatori

Insomma, la possibilità di uno sfruttamento economico del dato personale nell’ambito delle piattaforme social e la conseguente necessità di tutelare il consumatore non ricade solo ed esclusivamente nella tutela apportata dal GDPR ma anche da quella a tutela del consumatore.

Invero, il Tar Lazio sottolinea vari linee interpretative che suffragano tale impostazione:

  • negli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016, la Commissione Europea aveva affermato che “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto”;
  • già la stessa Agcm  con sanzione dell’11 maggio 2017 aveva osservato che il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing “acquista, proprio in ragione di tale uso, un valore economico idoneo, dunque, a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente”;
  • la decisione della Commissione Europea del 3 ottobre 2014 e pubblicata il 19 novembre 2014, conteneva considerazioni sul valore economico dei dati degli utenti;
  • il network europeo di autorità nazionali per la cooperazione della tutela dei consumatori di cui al Regolamento 2006/2004/CE, nell’affrontare il tema della possibile contrarietà delle Condizioni d’Uso della piattaforma Facebook alla direttiva 93/13/CEE, ha avuto modo di affermare che tale direttiva “si applica a tutti i contratti tra consumatori e professionisti, a prescindere dalla natura onerosa di tali contratti, inclusi i contratti in cui il contenuto e la profilazione generati dal consumatore rappresentano la controprestazione alternativa al denaro”.

Secondo il Tar, l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza non sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”: “la non sovrapponibilità dei piani relativi alla tutela della “privacy” e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione “unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29”.

Regolamento privacy e GDPR

Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole.

Per le medesime ragioni, non esiste neppure il paventato rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il social network.

L’oggetto di indagine da parte delle competenti autorità riguarda, infatti, condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali.

Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione del social network: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole.

Questo è quanto emerso nella richiamata pronuncia del Tar Lazio.

Tuttavia, deve essere esaminata un’ultima questione, richiamata negli scritti difensivi di Facebook, secondo cui tutta la materia sarebbe attinta esclusivamente dal GDPR.

Se così fosse, si porrebbe (forse potrà essere oggetto di appello) un potenziale rischio di violazione del principio del ne bis in idem, in considerazione della valenza sostanzialmente penale delle sanzioni irrogate.

Il pericolo, potrebbe essere che per la medesima condotta possano essere applicate due sanzioni ovvero possa essere iniziato un nuovo procedimento da un’Autorità indipendente (Garante Privacy) dopo la definizione di questo processo.

Sul punto, sottolineiamo  che le sanzioni irrogabili dal Garante Privacy sarebbero ben più gravi (Art. 83 GDPR) laddove emerga una violazione del dovere informativo ex artt. 13 e 14 GPDR relativamente alla circostanza che l’interessato debba essere reso comunque edotto dei fini commerciali del trattamento dati (“patrimonializzazione”).

Perciò, per dirimere il paventato pericolo bisognerebbe dar conto delle considerazioni sviscerate da una recente sentenza del Consiglio di Stato (11 novembre 2019, n.7699) che si è occupata del potenziale contrasto del potere sanzionatorio di altre autorità indipendenti rispetto a quello dell’Agcm.

Nell’ultima parte della sentenza citata, il collegio ha osservato che “il divieto del ne bis in idem ha una valenza sostanziale e processuale”.

“Sul piano sostanziale, si vieta che per una stessa condotta vengano irrogate, nell’ambito dello stesso processo, due sanzioni in applicazione di norme diverse. Questo risultato viene evitato ricorrendo ai criteri di specialità o di assorbimento-consunzione che stanno alla base del concorso apparente di norme.”

“Sul piano processuale, si vieta di iniziare un secondo procedimento una volta definito quello precedente per la stessa condotta. L’art. 649 Cod. proc. pen. prevede che: i) «l’imputato prosciolto o condannato con sentenza o decreto penale divenuti irrevocabili non può essere di nuovo sottoposto a procedimento penale per il medesimo fatto, neppure se questo viene diversamente considerato per il titolo, per il grado o per le circostanze» (comma 1); ii) «se ciò nonostante viene di nuovo iniziato procedimento penale, il giudice in ogni stato e grado del processo pronuncia sentenza di proscioglimento o di non luogo a procedere, enunciandone la causa nel dispositivo» (comma 2). L’art. 4 del Protocollo n. 7 della CEDU prevede che «nessuno può essere perseguito o condannato penalmente dalla giurisdizione dello stesso Stato per un reato per il quale è già stato assolto o condannato a seguito di una sentenza definitiva conformemente alla legge ed alla procedura penale di tale Stato».

L’art. 50 della Carta di Nizza prevede che «nessuno può essere perseguito o condannato per un reato per il quale è stato assolto o condannato nell’Unione a seguito di una sentenza penale definitiva conformemente alla legge». Si tratta di un divieto espressione di un diritto fondamentale di civiltà giuridica il quale intende evitare che una persona possa essere esposta senza certezze allo svolgimento di plurimi procedimenti sanzionatori.”

“La complessità della tematica del ne bis in idem processuale attiene alla individuazione della nozione di «medesimo fatto» e, dunque, il rischio non è tanto che si applichi la stessa norma in momenti temporalmente diversi ma, all’esito del primo processo, una diversa norma che disciplini il «medesimo fatto». Questa è la ragione per cui anche il ne bis in idem processuale presenta profili di connessione con il concorso di norme. Un primo orientamento ritiene che venga in rilievo il cd. idem legale. Sarebbe sufficiente, pertanto, che cambi la sola qualificazione giuridica della condotta perché si possa iniziare un secondo processo in applicazione di una diversa norma.

L’orientamento prevalente e preferibile fa riferimento al cd. idem factum per cui il divieto opera se il secondo processo inizia in presenza di un «medesimo fatto» inteso in senso naturalistico, che ricomprende condotta, nesso di causalità e evento (cfr. Corte cost. n. 43/2018).”

Ebbene, come suggerito, il criterio calzante al caso di specie e professato dalla Corte di giustizia, per stabilire quale sia l’Autorità competente (sez. II, con sentenza 13 settembre 2018), sarebbe quello della cd. incompatibilità delle norme.

Se sussiste incompatibilità significa, per definizione, che non possa venire in rilievo il «medesimo fatto» e, quindi, si è fuori dal perimetro delle questioni problematiche poste dal concorso di norme e conseguentemente anche dal ne bis in idem.

Ricorda il Consiglio di Stato (cfr. sentenza citata) che in caso di contrasto, l’art. 19 del codice del consumo “ha dettato un criterio di risoluzione delle antinomie che assegna soltanto all’Autorità di settore la competenza, con la conseguenza che non vi è alcuno spazio di intervento né contestuale né successivo dell’Autorità garante della concorrenza e del mercato”.

Viceversa, “se non sussiste incompatibilità significa che si applicano soltanto le norme sulle pratiche commerciali scorrette, con competenza esclusiva dell’Autorità garante della concorrenza e del mercato.

Conclusioni

In questo caso, se si applicassero i criteri penalistici relativi al concorso di norme, potrebbero sorgere dubbi interpretativi in ordine alla sussistenza del cd. idem factum, con il rischio che venga instaurato contemporaneamente o iniziato successivamente un nuovo procedimento da parte dell’Autorità di settore in applicazione di norme diverse.

Applicando il criterio autonomo della incompatibilità, non sussistono dubbi in ordine al fatto che la competenza sia soltanto dell’Autorità garante della concorrenza e del mercato.

È evidente che, mancando tale incompatibilità, astrattamente l’Autorità di settore per quella condotta già sanzionata in base alla normativa generale − essendo tale condotta, appunto, “compatibile” con quella oggetto della regolazione di settore − potrebbe effettuare un secondo intervento sanzionatorio. Ma se ciò accadesse, non si porrebbero, si ribadisce, i delicati problemi interpretativi connessi all’applicazione dei criteri di specialità penalistici e del ne bis in idem per valutare se sia stato legittimo o meno il modo di procedere dell’Autorità.

L’applicazione del criterio autonomo dell’incompatibilità esclude in modo chiaro che l’Autorità di settore possa intervenire. Se, pertanto, venisse irrogata una seconda sanzione, essa sarebbe illegittima, sia sotto il profilo procedimentale sia sotto quello sostanziale”. (Consiglio di Stato, pronuncia citata).