Con la sentenza 29 marzo 2021, n. 2360 la sez. VI del Consiglio di Stato ha definito lo scenario italiano nel quadro del confronto globale tra Facebook e Autorità antitrust. La decisione conferma in pieno la sentenza n. 260/2020 del TAR Lazio, respingendo sia il ricorso presentato da Facebook che quello dell’Autorità Garante della Concorrenza e del Mercato. Per il Consiglio di Stato, «la disciplina della tutela della privacy e il Codice del consumo presentano ambiti operativi differenti e non contrastanti» e, pertanto, il regime sanzionatorio previsto dalle due discipline non è sovrapponibile, ma deve, anzi, considerarsi integrato.
Tuttavia, la domanda di fondo rimane: i dati rientrano nella sfera dei diritti inviolabili della persona o sono beni oggetto di scambio commerciale?
Sul punto si attende l’intervento della Corte di Giustizia dell’Unione Europea, alla quale l’Oberlandesgericht di Düsseldorf ha rinviato una questione simile nel corso dell’udienza del 24 marzo 2021, originata da una parallela battaglia legale tra Facebook e l’Autorità antitrust in corso in Germania.
Se, dunque, la vicenda italiana si conclude oggi, quella europea deve ancora cominciare.
Il caso
Su segnalazione dell’Associazione Altroconsumo, l’AGCM aveva accertato con delibera n. 27432/2018 la natura illegittima di due pratiche, aventi ad oggetto lo scambio e l’utilizzo a fini commerciali degli utenti, messe in atto da Facebook. In particolare, la “pratica a)”, concernente la fase di registrazione del nuovo utente, al quale veniva sottoposta un’informativa poco chiara rispetto all’attività di raccolta e utilizzo dei suoi dati, integrava una fattispecie sanzionata dagli artt. 21 e 22 del d.lgs. n. 206/2005 (Codice del consumo), in quanto induceva gli utenti a registrarsi sulla piattaforma senza adeguate informazioni riguardo alle finalità remunerative sottese alla fornitura del servizio, che, al contrario, veniva presentato come gratuito – ad esempio, attraverso il claim “iscriviti, è gratis e lo sarà sempre” -. La “pratica b)” integrava, invece, la fattispecie di pratica commerciale aggressiva, in violazione degli artt. 24 e 25 del Codice del Consumo, dal momento che sugli utenti veniva esercitato un condizionamento indebito, subendo essi in maniera inconsapevole e automatica la trasmissione e l’uso dei propri dati da parte di Facebook e terze parti. Gli utenti, infatti, potevano soltanto esercitare l’opt-out, essendo la modalità preimpostata all’integrazione tecnica tra Facebook e siti web o app di terzi.
L’AGCM aveva, dunque, proceduto ad irrogare una sanzione dall’importo di 10 milioni di euro – 5 per la “pratica a)” e 5 per la “pratica b” -, vietando contestualmente l’ulteriore diffusione della pratica ingannevole e disponendo la pubblicazione di una dichiarazione rettificativa sulla homepage del sito internet aziendale per l’Italia, sull’app Facebook e sulla pagina personale di ciascun utente italiano registrato.
La decisione del TAR Lazio
Contro la delibera dell’AGCM, Facebook ha presentato ricorso al TAR Lazio, che, prima, ha accolto la domanda cautelare nella parte concernente la sospensione dell’imposizione dell’obbligo di esporre e pubblicare la dichiarazione rettificativa e, poi, si è pronunciato con le sentt. nn. 260/2020 e 261/2020, accogliendo parzialmente il ricorso e annullando il provvedimento impugnato limitatamente alla “pratica b)”.
Il ricorso di Facebook era motivato adducendo il difetto assoluto di attribuzione dell’AGCM, sia perché in realtà non si sarebbe trattato di pratiche commerciali, non essendovi stato il pagamento di un corrispettivo patrimoniale da parte degli utenti, sia perché la questione sarebbe stata, in realtà, da inquadrare nella materia “privacy” e sussunta nelle norme del Regolamento UE 2016/679, c.d. GDPR.
La sez. I del TAR Lazio, tuttavia, non ha condiviso le doglianze di Facebook. Anzi, ha considerato i dati personali alla stregua di «un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto», affermando la necessità di prevedere accanto agli strumenti di tutela tipici del diritto alla protezione dei personali, anche delle garanzie del dato quale oggetto di scambi commerciali, riconoscendo gli obblighi di chiarezza, completezza e non ingannevolezza imposti agli operatori dal legislatore per proteggere il consumatore ed escludendo, altresì, la sovrapponibilità del piano della tutela della privacy e di quello della protezione del consumatore.
Il TAR ha, perciò, confermato il provvedimento per quanto concernente la “pratica a)”.
Rispetto alla “pratica b”, i giudici amministrativi, invece, non avendo ritenuto “aggressiva” la pratica commerciale in parola, si sono pronunciati in favore della illegittimità del provvedimento dell’AGCM rispetto alla “pratica b)”. Ciò, sia per via dei vizi di ricostruzione del funzionamento dell’integrazione delle piattaforme chee per l’assenza di elementi sufficienti a dimostrare l’esistenza di una condotta idonea a condizionare le scelte del consumatore. Perciò, la delibera n. 27432/2018 dell’AGCM è stata annullata «limitatamente all’accertamento dell’illegittimità della condotta sub b) e alle conseguenze – sanzionatorie, inibitorie e di adozione di una dichiarazione rettificativa – imposte dall’Autorità».
L’appello dinanzi al Consiglio di Stato
Contro la decisione del TAR Lazio sia Facebook che l’AGCM hanno presentato ricorso al Consiglio di Stato, impugnando l’una la conferma della delibera 27438/2018 con riferimento alla pratica a), l’altra l’annullamento del provvedimento nella parte relativa alla pratica b).
I giudici di Palazzo Spada, dopo aver proceduto alla riunione degli appelli, li hanno respinti entrambi, confermando la sentenza del TAR, ritenendo, da una parte, non sussistente alcun elemento di travisamento o manifesta irrazionalità né per quanto attiene ai parametri normativi della scorrettezza delle pratiche commerciali sub a), né con riguardo alla proporzionalità delle sanzioni ingiunte dall’AGCM, e condividendo, dall’altra, le ragioni dei giudici di prime cure relativamente alla “non aggressività” della pratica commerciale sub b) operata da Facebook.
Preliminarmente, però, la sez. VI ha dovuto affrontare il problema della «non commercialità dei dati personali», da cui deriverebbe la non riconducibilità del loro trattamento al diritto consumeristico. Questo punto ha rappresentato il fondamento della difesa di Facebook, la quale sposando la tesi della natura di diritto fondamentale della protezione dei dati personali, ha sostenuto che la non patrimonialità di tali dati rende inapplicabile la disciplina in materia consumeristica alla tutela dei dati personali, cui è rivolta, in via esclusiva, la specifica normazione recata dal Regolamento eurounitario n. 679/2016. Sul punto, il Collegio non è parso aderire all’idea del dato persona come res extra commercium, privilegiando una concezione in cui il dato personale «costituisce il frutto dell’intervento delle società attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali». Pertanto, il Consiglio di Stato ha scisso il profilo privacy e quello antitrust, intendendo i «i due “diritti” quali distinte categorie settoriali che sono disciplinate da normative speciali e quindi non sovrapponibili tra di loro», sottolineando che la pratica ingannevole risiede nello sfruttamento, inconsapevolmente per l’utente, dei dati offerti al momento dell’iscrizione. Proprio per questo, l’utente, che «si trasforma tecnicamente in “consumatore” nel momento in cui rende disponibili i propri dati al fine di potere utilizzare gratuitamente i servizi offerti dalle società», resta erroneamente convinto che il conseguimento dei vantaggi collegati con l’accesso alla piattaforma sia gratuito. Così, secondo i giudici di Palazzo Spada, non potrebbe aversi una sovrapposizione del regimi sanzionatori per la violazione della disciplina sulla data protection e con quello consumeristico, «avendo ad oggetto il primo la violazione delle regole di trattamento dei dati personali […] ed il secondo il condizionamento della consapevolezza dell’utente che per ottenere benefici illustrati come gratuiti deve cedere dati personali che non saranno utilizzati esclusivamente per ottenere i servizi ai quali aspira, ma costituiranno uno strumento di profilazione dell’utente a fini commerciali, in assenza di una adeguata e preventiva informazione del consumatore».
Conclusioni
La Privacy non può espropriare altri settori dell’ordinamento. Questa, in estrema sintesi, la base della ricostruzione in diritto operata dal Consiglio di Stato. A nulla è valsa l’argomentazione svolta da Facebook rispetto al carattere preminente di diritto fondamentale della protezione dei dati personali, volta a privilegiare la mera applicazione del GDPR rispetto alla disciplina consumeristica.
Eppure, se, per un verso, la controversia risulta essere definita in maniera netta, per l’altro, però, la questione principale sottostante alla lite rimane sfumata, in quanto il Consiglio di Stato non ha preso una posizione decisa rispetto alla qualificazione dei dati personali come diritto inalienabile della persona oppure come beni che possono essere scambiati su mercato. Su questa antica disputa tra “concezione morale” e “concezione patrimoniale” dei dati, i giudici di Palazzo Spada hanno cercato, anche in ottica pratica, una mediazione tra la tutela del diritto fondamentale alla protezione dei dati personali e la garanzia di una circolazione dei dati libera e corretta nel mercato che non pregiudichi i diritti dei consumatori.
Ciononostante, non si può certo considerare conclusa l’actio finium regundorum tra data protection e antitrust. Proprio qualche giorno prima della sentenza del Consiglio di Stato, l’Oberlandesgericht di Düsseldorf, ha annunciato il rinvio pregiudiziale alla Corte di Giustizia dell’Unione Europea di una questione sorta dal provvedimento che il Bundeskartellamt ha adottato nei confronti di Facebook per abuso di posizione dominante, utilizzando la disciplina del GDPR come parametro per valutare le violazioni del diritto dei consumatori, operate mediante l’acquisizione di dati senza previo consenso. Dopo l’annullamento della sospensione cautelare del provvedimento disposta dall’Oberlandesgericht da parte del Bundesgerichthof, trovandosi a dover decidere sul merito della questione i giudici di Düsseldorf hanno concluso che: «la questione se Facebook stia abusando della sua posizione dominante come fornitore sul mercato tedesco dei social network perché raccoglie e usa i dati dei suoi utenti in violazione del GDPR non può essere decisa senza fare riferimento alla CGUE, essendo essa responsabile dell’interpretazione del diritto europeo».
Occorrerà, dunque, attendere la sentenza dei giudici di Lussemburgo, che molto probabilmente entrerà a far parte della grande giurisprudenza eurounitaria in materia di dati.
