Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL DIBATTITO

La convergenza tra Autorità in relazione al tema dei dati personali: quali scenari

In un contesto in cui i cosiddetti OTT (i servizi over-the-top come Facebook) operano in una situazione in cui i rapporti di forza sono nettamente sbilanciati a loro favore e in cui i dati possono essere un grimaldello per poter incidere su tale fenomeno, sarebbe opportuno governare tale fenomeno mediante un approccio di natura sistematica. Ecco perché

21 Feb 2020
D
Iacopo Destri

Avvocato, Partner - C-Lex Studio Legale


La recente sentenza del TAR Lazio[1] avente ad oggetto il provvedimento assunto da AGCM[2] nei confronti di Facebook, ha nuovamente acceso i riflettori sul tema della potenziale sovrapponibilità tra le attività delle Authority e dell’opportunità di valutare un approccio quantomeno convergente e coordinato tra le stesse.

Il dibattito si è era acceso non più tardi dello scorso gennaio 2019 a seguito di una proposta in questo senso avanzata dal Commissario Nicita di AGCOM il quale aveva addirittura ipotizzato la costituzione di un’Authority per il digitale (risultante dalla fusione di AGCOM e Garante per la privacy).

Molte sono state tuttavia le voci che hanno criticato la proposta ritenendo che – in questo particolare momento storico – il Garante della Privacy dovrebbe mantenere una propria autonomia istituzionale (anzi rappresentando un modello da prendere ad esempio).

Ovviamente in queste poche righe non ci si propone di identificare una soluzione ma di stimolare un dibattito fornendo alcuni esempi di quelle che potrebbero essere le potenziali criticità derivanti da una lettura non sistematica di un contesto globalizzato e complesso come quello digitale.

Le motivazioni della sentenza del TAR

Con il sopra richiamato provvedimento, AGCM ha sanzionato Facebook:

  1. per il rilascio, in fase di prima registrazione, di una informativa priva di immediatezza, chiarezza e completezza in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati dei propri utenti (prima pratica contestata); nonché
  2. per la trasmissione di dati degli utenti del social network a siti web/app di terzi in assenza di idoneo consenso, per l’uso degli stessi a fini di profilazione e commerciale (seconda pratica contestata).

Il TAR, in relazione alla prima pratica, ha integralmente respinto le difese di Facebook, che aveva eccepito la carenza di potere da parte di AGCM: secondo Facebook, infatti, l’Autorità avrebbe invaso un campo di esclusiva competenza del Garante della Privacy (trattandosi di questioni attinenti al trattamento di dati personali degli utenti regolati dalla normativa privacy che, in virtù del principio di specialità, assorbirebbe la condotta in questione).

Al riguardo, il TAR non solo ha affermato che la patrimonializzazione del dato personale impone agli operatori di rispettare nella transazioni commerciali gli obblighi di chiarezza, completezza e non ingannevolezza previsti nella legislazione posta a tutela del consumatore (che deve essere consapevole dello scambio di prestazioni sotteso alla conclusione del contratto) ma che l’omessa informazione dello sfruttamento dei dati dell’utenza non sia una questione interamente disciplinata e sanzionata dalla normativa privacy.

Secondo il TAR non vi sarebbe, infatti, alcuna incompatibilità tra le previsioni in materia privacy e di protezione del consumatore ponendosi le stesse in un rapporto di complementarietà: la prima impone obblighi informativi specifici a protezione del dato personale (quale diritto fondamentale della personalità); l’altra la corretta informazione da fornire al consumatore.

Da ciò, secondo i giudici, si dovrebbe escludere il rischio di un effetto pluri-sanzionatorio della medesima condotta (intesa come fatto storico): le condotte dell’operatore in esame sarebbero diverse. Nel primo caso il corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma; nel secondo la completezza delle informazioni circa lo sfruttamento del dato commerciale.

Conclude il TAR che il valore economico di tali dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili dai dati saranno usate per finalità commerciali che vanno al di là della utilizzazione del social network.

In relazione, invece, alla seconda condotta il TAR nell’affermare la non correttezza del percorso motivazionale di AGCM (avendo accertato che il consenso al trasferimento dei dati viene in un momento successivo su base granulare) ha rilevato che eventuali contestazioni sulla non pertinenza o eccedenza del trattamento dei dati dell’utente rispetto alle finalità del trattamento sarebbero di competenza dell’autorità Garante per la privacy, trattandosi di profili che non incidono sulla libertà di scelta del consumatore.

Interrogativi sulla possibilità di intervento del Garante Privacy

A prescindere dal fatto che si condivida o meno questa decisione, le suddette conclusioni pongono seri interrogativi sulla possibilità di un intervento da parte del Garante per le Privacy in relazione ai fatti oggetto di accertamento da parte di AGCM (oltreché di sconfinamento di quest’ultima in un ambito che non le è proprio). Infatti, in presenza di una informativa priva di immediatezza, chiarezza e completezza in riferimento alle attività di raccolta e utilizzo, a fini commerciali dei dati dei propri utenti, si potrebbe essere indotti ad ipotizzare la sussistenza anche di una violazione del dovere di informativa previsto dagli artt. 13 e 14 del GDPR.

webinar, 21 aprile
Smartworking e Security: come fronteggiare gli attacchi che sfruttano l’emergenza da Coronavirus?
Dematerializzazione
Sicurezza

Sul punto è certamente interessante richiamare la sentenza del Consiglio di Stato che si è occupata del contrasto tra il potere sanzionatorio di altre autorità indipendenti rispetto a quello di AGCM[3]: per i Giudici “il nuovo criterio utilizzato dalla Corte di giustizia per stabilire quale sia l’Autorità competente è quello della c.d. incompatibilità delle norme”. Secondo il Consiglio di Stato, quindi, se sussiste incompatibilità significa, per definizione, che non può venire in rilievo il «medesimo fatto». In questo senso, l’art. 19 del Codice del Consumo “ha dettato un criterio di risoluzione delle antinomie che assegna soltanto all’Autorità di Settore la competenza con la conseguenza che non vi è spazio di intervento né contestuale né successivo dell’Autorità Garante della Concorrenza e del mercato”.

Evidente corollario di tale principio sarebbe che in assenza di incompatibilità si applicherebbero soltanto le normative sulle pratiche commerciali scorrette, con competenza esclusiva di AGCM.

Seguendo quest’ultima linea interpretativa, poiché il TAR ha affermato che nel caso di specie non sussiste alcuna incompatibilità o antinomia tra le previsioni del “Regolamento Privacy” e quelle in materia di protezione del consumatore, allora l’eventuale intervento da parte del Garante Privacy sulle medesime condotte sarebbe precluso (anche se, ad avviso di chi scrive, la mancata informativa circa lo sfruttamento del dato per finalità commerciali rileverebbe anche da una prospettiva privacy) rendendo, peraltro, paradossalmente più conveniente l’applicazione di una sanzione da parte di AGCM rispetto ai parametri più gravosi previsti dal GDPR.

Ulteriori conseguenze di una eventuale convergenza

Tuttavia, anche a voler sorvolare su tale aspetto, seguendo la linea interpretativa di AGCOM e del TAR vi sarebbero delle ulteriori conseguenze nei rapporti tra la disciplina consumeristica e quella privacy da tenere in considerazione.

Infatti, a prescindere dal fatto che ogni utente è oggi ben consapevole che la fruizione di servizi economici nel modo della società dell’informazione risulta sostenibile solo in virtù della possibilità per tali operatori di veicolare pubblicità (si tratta sostanzialmente di servizi data advertising driven), si dovrebbe concludere che la maggior parte di tutti i servizi attualmente disponibili sulla rete per gli utenti, sono sostanzialmente in contrasto con i principi affermati da AGCM.

I portali di informazione on-line, ad esempio, (sia che prevedano un abbonamento o meno) sono servizi che si fondano sulla patrimonializzazione dei nostri dati (ad esempio in relazione a tutte le attività di programmatic advertising e di re-targeting) e non risulta che gli stessi siano in regola con gli obblighi informativi in esame.

Non pare, quindi, sia stata correttamente percepita la portata della decisione confermata dal TAR: ogni servizio della società dell’informazione che preveda come controprestazione la patrimonializzazione del dato da parte del soggetto che eroga il servizio – secondo quanto previsto da AGCM – è onerato di un obbligo di informativa specifica e distinta (anche in termini di collocamento) diversa ed ulteriore rispetto a quella prevista dalla normativa privacy.

In altri termini, oltre al noto banner relativo ai cookie, si è indotti a ritenere che dovrebbe essere aggiunta un’informativa ben visibile con la quale si avvisa l’utente che il servizio si connota per la cessione di dati per finalità patrimoniali (consistente nella monetizzazione degli stessi per finalità pubblicitarie).

Peraltro, allora, ci si chiede come ciò possa essere compatibile con i diritti dell’utente previsti dalla normativa privacy che consentono all’interessato di non prestare il consenso al trattamento dei suoi dati per finalità di marketing e di profilazione: delle due l’una.

O l’utente ha la possibilità di non rilasciare/revocare il consenso al trattamento dei suoi dati per finalità pubblicitarie: ne conseguirebbe che allora potrebbe venir meno la possibilità del fornitore di patrimonializzare i dati.

Al contrario, se la dazione dei dati per finalità pubblicitarie divenisse l’elemento caratterizzante il rapporto, la base giuridica del trattamento si trasformerebbe da quella di cui all’art. 6.1 lett. a) (consenso) in quella di cui alla lett. 6.1, lett. b) (esecuzione di un contratto) o addirittura dell’art. 6.1 lett. f) (interesse legittimo): quindi o l’utente accetta il trattamento dei suoi dati per finalità pubblicitarie o altrimenti non potrebbe fruire del servizio (se così fosse molte delle attuali informative non sarebbero adeguate).

L’impatto è certamente rilevante e questo pone dei seri interrogativi circa l’opportunità di un coordinamento locale e sovrannazionale delle varie discipline.

Il contesto europeo

Ad esempio, in una recentissima decisione, il Tribunale di Berlino (c.d. “Kammergericht”) ha statuito che Facebook può continuare a pubblicizzare la propria piattaforma come “gratuita” (anche in questo caso l’associazione dei consumatori locale che ha promosso il caso, ha contestato l’utilizzo del claim secondo cui Facebook sarebbe gratuito proprio sull’assunto che i consumatori pagherebbero il servizio attraverso una patrimonializzazione dei loro dati operata da Facebook medesima).

Come si può notare, le corti tedesche sul medesimo tema sono giunte ad una conclusione di segno assolutamente opposto rispetto alle decisioni in esame.

Sempre in Germania, da una prospettiva antitrust, il Bunderskartellamat nel febbraio 2019 aveva ipotizzato la sussistenza di un abuso di posizione dominate da parte di Facebook per poter giustificare il proprio intervento e censurare la conformità della condotta del social network rispetto alla normativa sulla privacy (l’antitrust tedesca aveva deciso che i servizi WhatsApp ed Instagram non potevano condividere i dati raccolti con l’account Facebook in assenza di un consenso informato da parte dell’utente).

Ebbene, nell’agosto del 2019, tale decisione è stata fortemente censurata da parte dal Tribunale Regionale di Düsseldorf che non ha riscontrato la sussistenza di condotte anti-concorrenziali risultanti dalla raccolta di dati personali ma addirittura ha accertato – seppur in provvedimento di natura interinale – che il bilanciamento di interessi tra le parti poteva essere effettuato utilizzando i principi previsti dalla normativa privacy[4].

Questa decisione evidenzia, quindi, la sussistenza di un problema di potenziale sconfinamento o comunque di sovrapposizione tra discipline. In questo senso deve segnalarsi che il Ministro dell’Economia Tedesco ha proposto una modifica della legge antitrust nazionale che pare andare nella direzione dell’approccio seguito dall’autorità antitrust tedesca conferendo maggiori poteri di indagine e sanzionatori in relazione all’utilizzo dei dati personali da parte di operatori come Facebook.

Conclusioni

In conclusione, si comprende che i c.d. OTT (come Facebook) oggi operino in una situazione in cui i rapporti di forza siano nettamente sbilanciati a loro favore e che i dati possano essere un grimaldello per poter incidere su tale fenomeno.

Tuttavia, il rischio è, ad avviso di chi si scrive, che si cerchi di governare un fenomeno di natura globale con risvolti certamente negativi – ma anche positivi – in ordine sparso mentre sarebbe necessario un approccio di natura sistematica.

Appunto l’obiettivo che si è posto il GDPR introducendo una armonizzazione della disciplina relativa al trattamento dei dati personali e dei meccanismi di coordinamento tra autorità nazionali.

Si auspica, quindi, che possa essere aperto un costruttivo dibattito sul tema e che si individuino delle soluzioni percorribili ed efficienti in tempi ragionevoli.

Infatti, il vero rischio è che l’obiettivo (faticoso) di creare un acquis comunitario in ambito privacy rischi di naufragare a causa di letture locali confliggenti o comunque diverse tra loro a detrimento dell’individuazione di norme e criteri interpretativi unitari.

NOTE

  1. Sentenze TAR Lazio, Sez. I, n. 260 e 261 del 10 gennaio 2020
  2. Provvedimento AGCM n. 27432 del 29.11.2018
  3. Consiglio di Stato, Sezione VI, Sentenza 11 novembre 2019, n. 7699
  4. OLG Düsseldorf, 26 August 26, 2019, Caso VI-Kart 1/19 (V).
WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Mobility
Sicurezza

@RIPRODUZIONE RISERVATA

Articolo 1 di 5