Rivista della Regolazione dei MercatiE-ISSN 2284-2934
G. Giappichelli Editore

L'intreccio fra disciplina delle pratiche commerciali scorrette e normativa in tema di protezione dei dati personali: il caso Facebook approda al Consiglio di Stato (di Simone Franca, Assegnista di ricerca in diritto amministrativo, Università di Trento)


l presente contributo costituisce un commento alla sentenza del 29 marzo 2021, n. 2631, con cui la Sesta Sezione del Consiglio di Stato si è pronunciata rispetto alla qualificazione come pratica commerciale scorretta dell’utilizzo dei dati dei propri utenti da parte di Facebook per finalità commerciali e di profilazione. Il commento è suddiviso in tre parti. In primo luogo, si riflette sulla portata del rilievo economico del dato a partire dal caso in esame. In secondo luogo, si affronta il tema del rapporto tra disciplina in tema di pratiche commerciali scorrette e normativa sul trattamento dei dati personali, nel contesto del più ampio dibattito relativo al rapporto tra norme consumeristiche e norme settoriali. Infine, sulla scorta di una riflessione comparata con l’ordinamento tedesco relativamente al cd. caso Facebook, si tenta di evidenziare la problematicità della regolazione dei dati personali – con particolare riguardo al ruolo delle diverse autorità competenti – nell’ambito del mercato europeo.

The intertwining of unfair commercial practices and personal data protection discipline: the Facebook case before the Italian Council of State

This contribution is a commentary of the judgement of 29 March 2021, no. 2631, whereby the Sixth Section of the Council of State ruled on the qualification of Facebook’s use of its users’data for commercial and profiling purposes as an unfair commercial practice. The commentary is divided into three parts. Firstly, we will deal with the relevance of the economic value of data, starting from the case at hand. Secondly, we will address the relationship between unfair commercial practices and personal data processing rules, in the context of the broader debate on the relationship between consumer and sector-specific rules. Eventually, by embracing a comparative perspective with the German legal system regarding the so-called Facebook case, we will try to stress the problematic nature of the regulation of personal data – with particular regard to the role of the several competent authorities – in the European market.

Key Words: Unfair commercial practices – Personal data – Conflict – Digital market – Antitrust

Estratto

«[…] [L]a patrimonializzazione del dato personale, che nel caso di specie avviene inconsapevolmente (ad avviso dell’Autorità nel momento in cui accusa una informazione ingannevole nell’esercizio della pratica in questione), costituisce il frutto dell’intervento delle società attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali.

[…] È indubbiamente vero che la nozione di “trattamento” del dato personale, per come emerge dalla lettura dell’art. 4, par. 2, GDPR, si traduce in un ambito di riferibilità amplissimo rispetto all’utilizzo del dato e che dunque la disciplina speciale unionale di tutela dei dati personali estende il proprio ambito di applicazione fin dove può giungere qualsiasi forma di relazione umana o automatica del dato personale, tuttavia non può ritenersi possibile, né una tale conclusione è traibile dall’esame norme del GDPR (ivi compresi i “considerando”) e dagli orientamenti in materia espressi dalla Corte di Giustizia UE, che l’ambito di applicazione della disciplina speciale ed esclusiva (anche nel senso che esclude l’applicazione di altre discipline) possa essere “assoluta”.

Una siffatta conclusione sarebbe irragionevole, dal momento che ogni scienza giuridica o comportamento umano (finanche attraverso meccanismi automatici collegati all’utilizzo di strumenti informatici o digitali) coinvolge inevitabilmente dati personali.

Riconoscere dunque la assoluta specialità del settore riferibile alla tutela dei dati personali condurrebbe, inevitabilmente, ad escludere in radice, l’applicabilità di ogni altra disciplina giuridica.

Ferma dunque la riconosciuta “centralità” della disciplina discendente dal GDPR e dai Codici della privacy adottati dai Paesi membri in materia di tutela di ogni strumento di sfruttamento dei dati personali, deve comunque ritenersi che allorquando il trattamento investa e coinvolga comportamenti e situazioni disciplinate da altre fonti giuridiche a tutela di altri valori e interessi (altrettanto rilevanti quanto la tutela del dato riferibile alla persona fisica), l’ordinamento – unionale prima e interno poi – non può permettere che alcuna espropriazione applicativa di altre discipline di settore, quale è quella, per il caso che qui interessa, della tutela del consumatore, riduca le tutele garantite alle persone fisiche.

[…] Le surriprodotte considerazioni, ad avviso del Collegio, vanno interpretate non nel senso della creazione di “compartimenti [continua..]

SOMMARIO:

1. Introduzione: i fatti alla base della controversia - 2. La patrimonializzazione del dato e il suo rilievo nella controversia - 3. Il problema del contrasto fra disciplina generale delle pratiche commerciali scorrette e normative settoriali - 3.1. L’applicazione delle regole relative alla soluzione del contrasto nel caso in esame - 3.2. Le ricadute della complementarietà nella prospettiva del coordinamento - 4. Osservazioni conclusive - NOTE


1. Introduzione: i fatti alla base della controversia

Con sentenza del 29 marzo 2021, n. 2631, la Sesta Sezione del Consiglio di Stato si è pronunciata sulla questione relativa alla qualificazione come pratiche commerciali scorrette delle condotte poste in essere dalla società Facebook, attraverso l’utilizzo dei dati dei propri utenti per finalità commerciali e di profilazione. Al fine di comprendere meglio la portata del giudizio in esame è opportuno illustrare il contenuto dei provvedimenti dell’Autorità Garante della Concorrenza e del Mercato (d’ora in avanti, AGCM) e ricostruire lo svolgimento dei due gradi di giudizio. L’AGCM instaurava una procedura volta a verificare l’integrazione da parte delle società Facebook Inc e Facebook Ireland Ltd di due pratiche commerciali scorrette . In primo luogo, l’AGCM contestava la violazione degli artt. 20, 21 e 22 del codice del consumo da parte delle due società – e dunque l’integrazione di una pratica commerciale scorretta – per non aver fornito ai loro utenti, in fase di attivazione dell’account, un’informativa che li rendesse adeguatamente edotti della raccolta e dell’utilizzo dei loro dati per finalità informative e/o commerciali [1] (pratica a)). Secondo l’AGCM, infatti, gli utenti, a fronte dell’asserita gratuità della fruizione del servizio, sarebbero indotti ad assumere una decisione di natura commerciale (la registrazione e la permanenza nel social network) che non prenderebbero altrimenti. In secondo luogo, l’AGCM rilevava la violazione degli artt. 20, 24 e 25 del Codice del consumo e, pertanto, l’integrazione di una pratica commerciale aggressiva: infatti, gli utenti del social network sarebbero coartati a consentire alle società di Facebook e a terzi la raccolta e l’utilizzo, per finalità informative e/o commerciali, dei dati che li riguardano in modo inconsapevole e automatico, attraverso un sistema di preselezione del consenso rispetto alla cessione dei dati che induce gli utenti a mantenere tale sistema attivo, per evitare limitazioni all’utilizzo del servizio di social network (pratica b)). In ragione delle condotte riscontrate, l’AGCM disponeva, oltre all’irroga­zione di due distinte sanzioni amministrative di pari importo, l’obbligo di pubblicazione di una dichiarazione rettificativa e di porre fine alle infrazioni nel termine di 90 [continua ..]


2. La patrimonializzazione del dato e il suo rilievo nella controversia

Un punto cardine della pronuncia in commento, già oggetto di approfondimento nell’ambito della sentenza del giudice di prime cure, attiene al valore patrimoniale del dato raccolto e utilizzato da Facebook al fine di radicare la competenza dell’AGCM rispetto alla verifica della sussistenza di una pratica commerciale scorretta. Nella sentenza del TAR Lazio veniva rilevato come i dati personali non siano tutelabili solo nella prospettiva della tutela di un diritto fondamentale dell’individuo, bensì come un «“asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto» [8]: in particolare, si valorizzava la patrimonializzazione del dato come elemento costitutivo del dato medesimo, che giustifica l’imposizione di obblighi di chiarezza, completezza e non ingannevolezza delle informazioni in capo agli operatori del mercato coinvolti in un trattamento di dati. Di conseguenza, la fornitura del servizio da parte di Facebook ai suoi utenti si qualifica come una pratica commerciale – in cui i dati sono la controprestazione del servizio –, la cui scorrettezza discende dal fatto che Facebook non informa adeguatamente gli utenti in ordine all’uso remunerativo fatto dei dati forniti, a fronte di una asserita gratuità del servizio. Il Consiglio di Stato, dal canto suo, pur ammettendo che il dato personale costituisca una res extra commercium, giusta la natura fondamentale del diritto che l’individuo ha sui propri dati, evidenzia come esso dovrebbe essere ritenuto “patrimonializzato” con l’intervento sui dati da parte di Facebook, tramite la cessione del dato a terzi (e la contestuale profilazione dell’utente) per finalità commerciali. Non verrebbe in rilievo, dunque, «la commercializzazione del dato personale da parte dell’interessato, ma lo sfruttamento del dato personale reso disponibile dall’interessato in favore di un terzo soggetto che lo utilizzerà̀ a fini commerciali, senza che di tale destino l’interessato conosca in modo compiuto le dinamiche» [9]. In questa prospettiva, differentemente da quanto rilevato dal TAR, non è il dato (come fosse una merce) ad essere oggetto di una controprestazione, ma piuttosto il diritto di sfruttamento del dato per fini [continua ..]


3. Il problema del contrasto fra disciplina generale delle pratiche commerciali scorrette e normative settoriali

La riflessione sulla patrimonializzazione del dato costituisce, invero, uno snodo argomentativo che si salda alla valutazione relativa alla possibile sovrapposizione tra norme a tutela del consumatore e norme in tema di protezione dei dati (con evidenti ricadute anche sull’intreccio fra le competenze dell’AGCM e del Garante Privacy). Tale questione è riconducibile al tema più generale del coordinamento fra norme in materia di tutela del consumatore e norme settoriali e, a cascata, al rapporto tra le competenze dell’AGCM e delle Autorità settoriali: al fine di un più agevole inquadramento di tale questione è opportuno ripercorrere brevemente gli sviluppi del dibattito che l’hanno riguardata. Il tema della sovrapposizione fra la normativa in tema di pratiche commerciali scorrette e le altre normative settoriali è stato ampiamente dibattuto negli ultimi decenni, dando luogo ad una serie di conflitti giurisprudenziali e interventi normativi in cui si sono inserite anche le istituzioni eurounitarie. Le ragioni dell’importanza della soluzione al problema del raccordo fra le diverse normative sono molteplici: in primo luogo, un assetto coordinato delle normative fa sì che gli interventi delle diverse Autorità indipendenti possa avvenire senza sovrapposizioni o duplicazioni procedimentali, nell’interesse delle Autorità medesime (e, in senso più lato, del buon andamento della pubblica amministrazione), ma anche degli operatori privati, che potrebbero così avere come riferimento un quadro regolativo che fornisca loro una ragionevole certezza; in secondo luogo, è necessario evitare che un operatore possa essere punito due volte con riferimento allo stesso fatto [29]. Sulla scorta di tali esigenze, si è reso necessario interpretare il quadro normativo di riferimento per evincere un criterio in grado di determinare tanto le norme applicabili, quanto l’Autorità competente con riguardo a ciascuna fattispecie, ma, prima ancora, per comprendere quando sussista un effettivo contrasto fra differenti discipline. In questa prospettiva, il nodo del dibattito è stato rappresentato, essenzialmente, dall’interpretazione dell’art. 19, comma 3, del codice del consumo, che recepisce nell’ordinamento italiano l’art. 3, comma 4 (anche alla luce del considerando n. 10) della direttiva 2005/29/CE. Il menzionato [continua ..]


3.1. L’applicazione delle regole relative alla soluzione del contrasto nel caso in esame

Alla luce di tali considerazioni si può ora meglio comprendere il significato del giudizio in commento. Già il giudice di prime cure aveva rilevato come una sovrapposizione fra i diversi apparati normativi fosse da escludere. In particolare, il TAR si era richiamato all’orientamento espresso dalla Corte di Giustizia, secondo cui la disciplina a protezione del consumatore non trova applicazione, in caso di contrasto con una disciplina di settore, solo qualora quest’ultima preveda in capo ai professionisti obblighi incompatibili con quelli disposti dalla prima. Secondo il TAR, un simile rapporto di incompatibilità non sussisteva in forza del rapporto di complementarità fra la disciplina di protezione del consumatore e di tutela dei dati personali. In questo senso, il TAR Lazio pare recuperare l’orientamento cui si è fatto cenno supra, relativamente alla natura complementare del rapporto tra disciplina a tutela del consumatore e regolazioni settoriali. Il Consiglio di Stato, invero, affronta in modo molto più sintetico la questione. Nella sentenza in commento, infatti, il collegio si limita a rilevare che la sovrapposizione fra diritto consumeristico e disciplina dei dati personali è esclusa dal fatto che le due discipline sono connotate da specialità; oltre a ciò, il collegio osserva che sarebbe impossibile riconoscere alle regole sulla tutela dei dati personali una assoluta specialità – tale da escludere, cioè, l’appli­cabilità della normativa in tema di pratiche commerciali scorrette –, considerato che pressoché ogni attività umana (o automatizzata) prevede il trattamento di dati personali. Dunque, il Consiglio di Stato non fa alcuna menzione della tesi della complementarietà. Tuttavia – e benché non espressamente –, l’esito del ragionamento del Consiglio di Stato parrebbe allineato alla prospettiva della complementarietà fatta propria dal Tar Lazio. Il giudice d’appello, infatti, all’esito del proprio ragionamento afferma che «la disciplina della tutela della privacy e il codice del consumo presentano ambiti operativi differenti e non contrastanti» [44], che non si sovrappongono nemmeno sul piano sanzionatorio e che anzi concorrono a tratteggiare un unitario sistema multilivello di tutela. In assenza di un contrasto, in effetti, non assume rilievo il [continua ..]


3.2. Le ricadute della complementarietà nella prospettiva del coordinamento

La prospettazione relativa alla generale complementarietà tra l’azione di diverse Autorità – che, come visto, appare ricavabile dal giudizio in esame – merita maggiore approfondimento. È opportuno evidenziare, in prima battuta, che essa trova supporto in più argomenti. Anzitutto, la moltiplicazione dei sistemi di controllo e degli interessi tutelati, affidati a plurime Autorità indipendenti, non comporta solo la diffusione di una pluralità di regole e procedimenti [45], ma anche la necessità di creare un quadro concorde nel segno della complementarietà: è proprio il particolare assetto degli interessi ove interagiscono diverse Autorità a portare verso tale soluzione [46]. Né può spostare una simile considerazione la ripresa dello schema degli ordinamenti sezionali – che potrebbe giustificare la definizione di assetti di competenza e di disciplina di stampo autonomo –, giacché la normativa europea, pur se settoriale, muove nella prospettiva del mercato unico, eliminando o almeno attenuando i diversi fattori che possono portare ad una sua frammentazione [47]. Infine, ciò emerge nella particolare disciplina del diritto alle pratiche commerciali scorrette: come rimarcato anche dall’avvocato generale M. Campos Sánchez-Bordona lo scopo della direttiva 2005/29/CE fa sì che essa rappresenti il «nucleo di un sistema generale di protezione nel quale, alle proprie disposizioni, si integrano quelle già esistenti in taluni settori disciplinati dall’Unio­ne» [48]. Se, dunque, lo schema della complementarietà permette di inquadrare in modo diverso il rapporto tra diverse normative e Autorità, esso non assicura di per sé che non possano darsi sovrapposizioni (o veri e propri “contrasti”) [49]. Si pensi, ad esempio, al fatto che la violazione di obblighi informativi – che siano relativi al trattamento dei dati, alle scelte commerciali, ecc. –, pur avendo una portata differente nelle varie discipline, può richiedere una valutazione almeno in parte simile da parte delle diverse Autorità competenti. Inoltre, si consideri che la violazione di una norma di una delle discipline può costituire per certi versi un presupposto per la sanzione di un illecito ai sensi dell’altra disciplina: in particolare, la [continua ..]


4. Osservazioni conclusive

Le riflessioni sinora svolte portano a sviluppare alcune considerazioni a margine della sentenza in commento del Consiglio di Stato. Al di là delle specifiche questioni esaminate, infatti, nel corso della trattazione pare emergere un dato trasversale, ovvero la necessità di una maggiore considerazione della disciplina relativa ai dati personali nella corrente economia di mercato che coinvolge anche i dati medesimi. Tale spunto è emerso, in primo luogo, rispetto al contesto negoziale, ove una visione della protezione dei dati personali come diritto fondamentale indisponibile, rischia di porre in ombra le componenti autenticamente patrimoniali di tale posizione giuridica soggettiva: senza giungere alla problematica assimilazione dei dati a beni privati, è tuttavia necessario assicurare una considerazione della patrimonialità del dato più aderente agli assetti di mercato contemporanei. In secondo luogo, tanto affiora anche con riferimento all’interazione tra normativa sui dati personali e sulle pratiche commerciali scorrette, ove la logica della complementarietà non offre ancora sufficienti spunti per realizzare un autentico coordinamento tra i diversi plessi normativi. Il problema che sorge ha significative ripercussioni sul piano pratico, giacché si è di fronte ad un quadro normativo poco chiaro in ordine alla disponibilità del diritto alla protezione dei dati personali e alla sanzionabilità di comportamenti relativi all’utilizzo dei dati medesimi, creando un’incertezza che va a detrimento di tutti i soggetti coinvolti nel trattamento dei dati: gli interessati dal trattamento dei dati, che scontano una tutela incerta delle proprie posizioni; gli operatori del mercato che non possono contare su una certezza sufficiente del quadro di riferimento; e, infine, le Autorità di regolazione e vigilanza, che si scontrano con possibili sovrapposizioni e duplicazioni procedimentali che minano il buon andamento della propria azione. Allo stato è perciò evidente l’urgenza di assicurare il giusto rilievo del dato personale come asset patrimoniale, in particolare garantendo un coordinamento fra la disciplina dei dati personali e le altre discipline, settoriali o meno. Giova peraltro osservare come il problema non si ponga unicamente nel rapporto fra le due discipline di protezione dei consumatori e di tutela dei dati. A tale riguardo, può [continua ..]


NOTE