CODICE DEL CONSUMO

Pratiche aggressive sui dati, ecco perché l’Antitrust ha sanzionato Apple e Google

L’AGCM ha multato sia Apple sia Google per 10 milioni di euro ciascuno per quelle che definisce pratiche “aggressive” sui dati e per non aver fornito ai consumatori informazioni chiare sugli usi commerciali dei loro dati personali durante la fase di creazione dell’account. Tutti i dettagli dei provvedimenti

30 Nov 2021
C
Marina Rita Carbone

Consulente privacy

L’Autorità Garante della Concorrenza e del Mercato (AGCM) ha emesso due nuovi provvedimenti nei confronti di Apple e Google (qui e qui), per l’importo di 10 milioni euro cadauno, a conclusione di due istruttorie che hanno accertato la violazione del Codice del Consumo.

Più nel dettaglio, alle due Big Tech si contesta:

  1. la violazione degli obblighi di informazione e trasparenza nei confronti degli utenti, relativamente alle finalità di natura commerciale;
  2. l’attuazione di pratiche anticoncorrenziali aggressive nella fase di raccolta ed elaborazione dei dati degli utenti, i quali sono oggetto di profilazione sulla scorta di un consenso viziato.

Occorre ricordare, in premessa, come i servizi forniti dalle Big Tech, tra le quali rientrano anche le società di cui si discute, si basano quasi del tutto sulla valorizzazione dei dati personali, i quali rappresentano la vera controprestazione resa a fronte della fornitura di servizi solo apparentemente “gratuiti”.

Antitrust, perché la super multa a Apple e Amazon: nuovi scenari per le big tech

L’istruttoria contro Google

L’istruttoria aperta nei confronti di Google riguarda la raccolta e l’utilizzo dei dati degli utenti da parte di Google:

candidatura
Passione per il diritto dell’informatica? Candidati per il team Legal di P4I!
Legal
Privacy
  1. nella fase di creazione dell’ID Google, nella quale si è accertato che l’informativa resa è “priva di immediatezza, chiarezza e completezza, in riferimento alla propria attività di acquisizione di dati personali e di ricerca dell’utente per un loro utilizzo a fini commerciali”;
  2. nella fase di successivo utilizzo dei servizi, nella quale si applica una procedura di acquisizione del consenso all’uso dei dati degli utenti per finalità commerciali di tipo opt-out, “senza prevedere per il consumatore la facoltà di scelta preventiva ed espressa in merito alla cessione dei propri dati”. Detta funzionalità viene applicata di default, e rappresenta un passaggio obbligato per l’utilizzo dei servizi di Google.

Sulla scorta delle evidenze raccolte nella fase istruttoria, l’Autorità ha confermato che i dati personali e di ricerca degli utenti che attivano l’account di Google al fine di far uso dei servizi offerti dallo stesso, vengono acquisiti per finalità commerciali, ovvero “con la finalità di fornire servizi a soggetti terzi che si basano sugli stessi dati. Questi ultimi, pertanto, si configurano come controprestazione del servizio offerto dal Professionista, in quanto dotati di valore commerciale”.

Più nello specifico, i ricavi provenienti dai servizi pubblicitari basati sulla profilazione degli utenti, nel caso in cui questi acconsentano al trattamento dei loro dati ai fini di personalizzazione dei servizi Google, costituiscono la fonte principale del fatturato della società.

Le informazioni fornite dalla Società in sede di creazione dell’account, in merito alla raccolta e all’utilizzo per fini remunerativi dei dati dell’utente”, si legge nel provvedimento, “sono collocate in una pagina raggiungibile attraverso un link che contiene la Privacy Policy integrale, e in una sintesi dei passaggi chiave di tale documento. Tali indicazioni sono tuttavia riportate, peraltro, senza alcuna particolare evidenza grafica, unitamente alle informazioni sugli altri utilizzi dei dati (per finalità di sicurezza, maggior qualità dei servizi, ecc.), direttamente connessi con l’erogazione dei servizi di Google”. A tale informazione si accompagna un pop-up, che appare in fase di conclusione del processo di registrazione, ossia in un momento in cui il consumatore ha già deciso di creare l’account Google, che fa presente all’utente come mediante l’impostazione “Altre opzioni” possa modificare le impostazioni di personalizzazione e le informazioni salvate nel proprio account.

Per i servizi che non richiedono la creazione di un account, Google si limita, invece, a restituire un pop-up informativo che avvisa dell’utilizzo, da parte della stessa, dei dati al fine di personalizzare i contenuti e gli annunci. Cliccando sul link “Ulteriori informazioni” è possibile conoscere che Google elabora i dati anche al fine di mostrarli su annunci e ricerche. Nessun richiamo esplicito viene svolto, tuttavia, in sede di accesso ai vari servizi di Google che raccolgono i dati, a tale raccolta e all’utilizzo dei dati per finalità di marketing.

A ciò si aggiunge, come detto, il meccanismo di acquisizione del consenso alla profilazione degli utenti a fini commerciali in opt-out, che pre-imposta il consenso, fatta salva l’ipotesi in cui l’utente acceda alle impostazioni del proprio account per modificare tale modalità.

Il provvedimento sanzionatorio: la pratica a)

In via preliminare, l’Autorità specifica che la normativa sulla tutela dei consumatori e quella sulla privacy non confliggono fra loro, integrandosi in via complementare. A sostegno di tale tesi si cita la sentenza n. 6596/2021 del Consiglio di Stato, nella quale si afferma che “alla luce di quanto affermato dalla Corte di Giustizia, la regola generale è che, in presenza di una pratica commerciale scorretta, la competenza è dell’Autorità garante della concorrenza e del mercato. La competenza delle altre Autorità di settore è residuale e ricorre soltanto quando la disciplina di settore regoli “aspetti specifici” delle pratiche che rendono le due discipline incompatibili”.

Con riferimento alla prima pratica commerciale scorretta, relativa alla fase di creazione dell’account, l’AGCM specifica, poi, che la stessa “risulta ingannevole in quanto, in fase di creazione dell’account Google e durante l’utilizzo di vari servizi offerti da Google, il Professionista omette informazioni rilevanti di cui il consumatore necessita al fine di assumere la decisione consapevole di natura commerciale di accettare che il Professionista raccolga e usi a fini commerciali i suoi dati. Nello specifico, Google non fornisce un’immediata ed esplicita indicazione ai consumatori in merito alla raccolta ed utilizzo dei loro dati personali a fini commerciali da parte della stessa”. Le informazioni fornite dalla Società, prosegue, “non sono di immediata evidenza ed esaustive in quanto posizionate in pagine raggiungibili attraverso link, di consultazione meramente eventuale, non in grado quindi di informare adeguatamente il consumatore sulla raccolta e utilizzo a fini commerciali dei suoi dati”.

L’ingannevolezza dell’informativa resa risulta anche dalla circostanza per cui le finalità commerciali, nella stessa, sono indicate unitamente alle informazioni riguardanti gli ulteriori utilizzi dei dati, connessi direttamente all’erogazione dei servizi di Google e relativi al raggiungimento di finalità di sicurezza e qualità degli stessi. “L’incompletezza delle informazioni fornite” aggiunge AGCM, “non viene meno, nel caso della creazione dell’ID Google, neanche per la comparsa del pop-up informativo che viene mostrato solamente nell’immediatezza dell’accettazione che conclude il processo di registrazione”.

La carenza informativa permane anche per tutti gli utenti non registrati che fanno uso dei servizi Google, per i quali la comparsa di un semplice pop-up contenente dei rinvii ad ulteriori approfondimenti non è ritenuta sufficiente a colmare il divario informativo legato all’utilizzo dei dati personali e dei dati di ricerca a scopi di profilazione commerciale. “Si tratta, infatti, di un’informativa che, non solo non viene ribadita in occasione dei successivi accessi ai singoli servizi, ma anche priva di immediatezza, chiarezza e completezza informativa in riferimento all’attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti, e dunque non sufficiente a fornire un quadro informativo completo e agevolmente fruibile”.

Ne consegue l’integrazione di una fattispecie di pratica commerciale scorretta, in violazione degli artt. 21 e 22 del Codice del Consumo, mancando un’informativa immediate e adeguata nei confronti dei consumatori, con conseguente assunzione di decisioni di natura commerciale da parte degli stessi che, altrimenti, non avrebbero preso.

Il provvedimento sanzionatorio: la pratica b)

La seconda condotta censurata, come anticipato, riguarda la pre-impostazione del consenso in via generalizzata e preventiva, al trasferimento e/o utilizzo dei propri dati per fini commerciali, nelle impostazioni di utilizzo dei servizi di Google: “Le varie opzioni a disposizione dell’utente per accettare o rinunciare al trasferimento/utilizzo dei propri dati risultano pre-impostate, tramite spunta nelle apposite caselle, sul più ampio consenso al trasferimento e alla massima profilazione […] La raccolta e utilizzo dei dati risultano, pertanto, automaticamente autorizzati con validità generale, senza alcun consenso esplicito da parte del consumatore e con mera facoltà di opt-out”.

La scelta di applicare un meccanismo di preselezione ha indotto un numero considerevole di iscritti ad assumere una decisione commerciale invasiva in maniera del tutto inconsapevole, portando ad una preventiva generale abilitazione all’utilizzo e alla condivisione massiva dei loro dati. A nulla rileva che detta pratica sia stata successivamente modificata, rimanendo attivo il consenso fornito dagli account già creati e persistendo gli effetti della condotta scorretta sugli utenti.

Tale meccanismo integra una fattispecie di pratica commerciale aggressiva in violazione degli artt. 24 e 25 del Codice del Consumo, “in quanto limita considerevolmente la libertà di scelta del consumatore, facendogli assumere una decisione di natura commerciale che non avrebbe altrimenti preso, ossia cedere automaticamente i propri dati a Google”. Si esercita, in particolare, “un indebito condizionamento nei confronti dei propri utenti, attraverso la preimpostazione del consenso all’acquisizione ed utilizzo dei loro dati personali a fini commerciali, non consentendo ai consumatori la possibilità di esprimere in maniera preventiva, consapevole e autonoma la propria volontà in merito all’eventuale cessione dei propri dati a fini commerciali”.

L’istruttoria nei confronti di Apple

Anche nei confronti di Apple sono due le condotte lesive accertate, relative sempre all’acquisizione dei dati dell’utente a fini commerciali nella creazione dell’ID Apple e nelle fasi successive connesse all’utilizzo degli Store Apple:

  1. per le carenze informative in merito alla raccolta dei dati dell’utente a fini commerciali da parte di Apple, anche per l’utilizzo nell’ambito dell’App Store e degli altri Store Apple;
  2. per la pre-impostazione del consenso alla raccolta dei dati personali a fini commerciali da parte di Apple: come per Google, anche Apple adotta una modalità di acquisizione del consenso all’uso dei dati degli utenti a fini commerciali in opt-out, senza prevedere per il consumatore la possibilità di scelta preventiva ed espressa in merito alla cessione dei propri dati, la cui possibilità di acquisizione per la Società risulterebbe pre-impostata sin dalla fase di creazione dell’ID Apple, azione obbligata per il consumatore che intenda utilizzare i dispositivi Apple.

La pre-impostazione del consenso determina, in particolare, “laddove il consumatore ne fosse informato e volesse effettuare una scelta diversa, la necessità per esso di intraprendere una complessa e non immediata procedura per la disattivazione”.

In relazione alla prima condotta, l’AGCM rileva che in fondo alla pagina di creazione del profilo personale, Apple inserisce una sintetica informativa all’utente sull’uso dei dati appena inseriti, che recita: “le informazioni relative al tuo ID Apple vengono usate per permetterti di accedere in tutta sicurezza al tuo account e ai tuoi dati. Apple memorizza alcuni dati a scopo di sicurezza, supporto e resoconto”.

Come per Google, viene poi consentito di accedere, mediante un link di approfondimento, ad un’informativa più ampia sul trattamento dei dati personali. Si precisa, tuttavia, che contrariamente a quanto avviene per i servizi Google, “l’ID Apple viene presentato all’utente dalla Società stessa come indispensabile per utilizzare i diversi servizi offerti da Apple, incluso l’accesso alla piattaforma App Store e agli altri Store Apple. Attraverso la creazione dell’ID Apple vengono acquisiti dalla Società non solo i dati personali, ma anche quelli di utilizzo dei servizi da parte dell’utente”.

I dati acquisiti dagli utenti consentono non solo di perfezionare i servizi resi, ma anche di ricavare guadagni da soggetti terzi in virtù della sottoscrizione dell’Apple Developer Program License Agreement (ossia il Contratto di Licenza del Programma Apple per gli Sviluppatori) da parte degli sviluppatori, che garantisce anche commissioni sugli acquisti in-app, pari al 30% per gli acquisti una tantum o per il primo anno degli abbonamenti e al 15% per i rinnovi degli abbonamenti.

Inoltre, la raccolta dei dati per scopi commerciali consente:

  • la personalizzazione dei tre store Apple, per proporre contenuti in base a ciò che è stato precedentemente cercato, visualizzato, scaricato, aggiornato o consultato su ciascuno Store;
  • le comunicazioni con l’utente tramite notifiche push relative ai tre Store, utilizzando le informazioni sull’account del cliente, sui prodotti Apple acquistati e sugli abbonamenti ai servizi Apple, per inviare comunicazioni riguardanti i vari Store, su nuove funzionalità, contenuti e offerte disponibili su ciascuno Store;
  • la personalizzazione degli annunci sull’App Store.

È evidente, dunque, come i servizi di Apple basino gran parte dei loro ricavi proprio sulla raccolta e sulla profilazione dei dati degli utenti, cui vengono rese informative sintetiche, e cui viene lasciato l’onere di accedere a differenti applicazioni ed impostazioni per disattivare le finalità commerciali.

Per quanto riguarda la pratica sub b)”, si legge nel provvedimento, “si è accertato che tutta l’attività promozionale della Società è basata su una modalità di acquisizione del consenso all’uso dei dati degli utenti a fini commerciali in opt-out, ossia senza prevedere per il consumatore la possibilità di scelta preventiva ed espressa in merito alla cessione dei propri dati. L’acquisizione del consenso risulta pre-impostata dalla Società nella fase di creazione dell’ID Apple, azione obbligata per il consumatore che intenda utilizzare le funzionalità e gli StoreApple. Tale pre-impostazione determina, laddove il consumatore ne fosse informato e volesse effettuare una scelta diversa, la necessità per esso di intraprendere, per ciascuna forma di promozione, un’articolata procedura per la disattivazione non individuabile dall’utente nemmeno in forma immediata”.

La pre-impostazione si realizza, secondo quanto accertato da AGCM, in più momenti:

  • nella fase di creazione dell’ID Apple, attraverso caselle preflaggate che fanno prestare il consenso alla ricezione di comunicazioni e-mail differenziate in base ai dati dell’utente. A tal riguardo, l’Autorità rileva anche che “la deselezione di tali caselle, se effettuata dall’utente anche prima della conclusione del processo di creazione dell’ID Apple, comporta esclusivamente il blocco della modalità promozionale via email (email marketing), ma non impedisce ad Apple lo svolgimento delle altre attività promozionali connesse all’uso degli Store basate su una profilazione più ampia dei dati acquisiti a fini commerciali”;
  • nella fase di accesso ad Apple Store, iTunes Store e Apple Books, le cui prime pagine indicano semplicemente che alcuni dati saranno utilizzati per una migliore fruizione del servizio, senza prospettare la possibilità che l’utente possa decidere se acconsentire o meno alla loro cessione e senza indicare quali sono le forme promozionali per le quali i dati verranno utilizzati.

Il provvedimento sanzionatorio: la condotta a)

Anche in questo caso, dopo aver precisato preliminarmente che non sussiste un conflitto tra la disciplina privacy e il Codice del Consumo, l’Autorità censura le condotte tenute da Apple, accertando la violazione degli obblighi informativi previsti dalla normativa a tutela dei consumatori.

In dettaglio”, si legge nel provvedimento, “nella pagina di creazione dell’ID Apple il testo associato ai due checkbox fornisce indicazioni solo sui contenuti delle comunicazioni che potrebbero essere inviate, ma non sulla profilazione dei dati dell’utente a fini commerciali. Più precisamente, non vengono fornite indicazioni:

– su quali informazioni verranno raccolte dal Professionista a tale fine, ossia che verrà effettuato un uso dei dati a fini commerciali, attraverso alcuni dati essenziali disponibili con la creazione dell’ID Apple (nome, cognome, email, età, paese, prodotti acquistati);

– sulle conseguenze che determinerà il successivo accesso agli Store da parte dell’utente tramite ID Apple, ossia che i dati associati all’ID Apple verranno integrati da altre informazioni dagli Store, e quindi che l’attività di email marketing, se non disattivata, risulterà successivamente più personalizzata al fine di rendere le comunicazioni maggiormente pertinenti.”.

L’Autorità rigetta anche la tesi di Apple secondo cui l’utilizzo dell’espressione “personalizzare la tua esperienza” sia di per sé già sufficiente a chiarire all’utente la finalità implicita dell’uso commerciale dei dati del consumatore.

Anche nella fase di accesso agli Store viene riscontrata un’opacità informativa, che non può essere giustificata dalla necessità di limitare lo spazio occupato sui dispositivi.

La condotta descritta costituisce, pertanto, una violazione dei citati artt. 21 e 22 del Codice del Consumo, in quanto idonea “ad indurre gli utenti Apple ad assumere una decisione di natura commerciale che altrimenti non avrebbero preso”.

Il provvedimento sanzionatorio: la condotta b)

Relativamente alla seconda condotta contestata, l’Autorità rileva che la pre-impostazione della profilazione determina, “laddove il consumatore ne fosse informato e volesse effettuare una scelta diversa, la necessità per esso di intraprendere una complessa e non immediata procedura per la disattivazione. Il condizionamento dell’utente deriva, innanzitutto, dal fatto di non poter prescindere dalla creazione dell’ID Apple, pena l’impossibilità di giovarsi dei vari servizi e delle varie funzionalità che Apple fornisce e che costituiscono i punti di forza e di maggiore attrattiva nell’acquisto dei prodotti Apple da parte dei consumatori”.

Inoltre, il consumatore non viene informato in maniera chiara ed immediata sulle tre differenti modalità di promozione – consigli personalizzati, notifiche push e annunci pubblicitari –, che vengono rese note solo nel momento in cui si cerca di deselezionare per evitare la raccolta e l’uso dei dati a ini commerciali.

Procedura di disattivazione che, come detto, non è immediata e richiede l’esecuzione di procedure non agevoli: “In sintesi, l’utente Apple si trova in presenza di più fasi autonome (la creazione dell’ID Apple e l’accesso a ciascun Apple Store), tutte con pre-attivazione del consenso, ciascuna delle quali determina di per sé l’acquisizione a fini commerciali di dati diversi relativi al medesimo utente. Ne sono una testimonianza le distinte procedure di disattivazione previste per bloccare l’utilizzo dei diversi gruppi di dati acquisiti per ciascuna modalità promozionale. La predisposizione, da parte del Professionista, di questa complessa architettura di acquisizione dei dati non rende possibile al consumatore, che non è immediatamente e chiaramente preavvisato di ciò, l’esercizio della propria volontà in merito all’utilizzo a fini commerciali dei propri dati, acquisiti in tali fasi diverse. Il consumatore, imbrigliato in questo sistema, di cui non ha contezza, viene condizionato nelle sue scelte, subendo la cessione dei propri dati, di cui il Professionista può disporre per le proprie finalità promozionali”.

La condotta di Apple configura, pertanto, una violazione degli articoli 24 e 25 del Codice del Consumo, in quanto “limita considerevolmente la libertà di scelta del consumatore, facendogli assumere una decisione di natura commerciale che non avrebbe altrimenti preso, ossia cedere automaticamente i propri dati ad Apple; dati che Apple utilizza per promuovere prodotti propri o di terzi attraverso meccanismi di profilazione, in cambio dell’uso da parte dell’utente stesso delle piattaforme di vendita di Apple per poter procedere a eventuali acquisti”.

La quantificazione della sanzione

Sulla scorta degli elementi acquisiti nel corso dell’istruttoria, della natura, della gravità e della durata della violazione, oltre che dell’opera svolta per eliminare o attenuare la stessa, e delle condizioni economiche dell’impresa, AGCM ha scelto di applicare a entrambe le società la sanzione massima, per un importo totale di 10 milioni di euro ciascuna, pari alla somma dei due massimi edittali previsti di 5.000.000 di euro per ogni violazione accertata.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 2