Facebook non è gratis! Il Consiglio di Stato sulla natura economica della cessione di dati personali per l’attivazione di un servizio digitale
“Iscriviti! È gratis e lo sarà per sempre”: ma il social network Facebook è davvero un servizio gratuito? È questa la domanda – tutt’altro che scontata – cui ha risposto la sesta sezione del Consiglio di Stato, con la sentenza n. 2631, depositata il 29 marzo 2021.
Il caso trae origine da un provvedimento con cui l’Autorità garante della concorrenza e del mercato (d’ora in avanti, Agcm) ha emesso due sanzioni, di cinque milioni di euro ciascuna, nei confronti di Facebook, contestandole una pratica commerciale scorretta, ai sensi degli art. 21 e 22 del Codice del consumo, e una pratica commerciale aggressiva, ai sensi degli art. 24 e 25 del Codice del consumo.
La prima pratica consisteva nell’avere adottato una comunicazione informativa poco chiara e incompleta in merito all’attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti. Secondo l’Agcm, il claim “Iscriviti! È gratis e lo sarà per sempre”, che veniva visualizzato dall’utente al momento della registrazione, lasciava intendere che non fosse dovuto alcun corrispettivo per la fruizione del servizio. Il social network, invece, avrebbe dovuto informare l’utente che avrebbe ceduto a terzi, a fini commerciali, i dati personali acquisiti al momento dell’iscrizione.
La seconda pratica consisteva nell’utilizzo di un meccanismo che comporta la cessione dei dati personali forniti dagli utenti durante l’uso della piattaforma a terzi, sempre a fini di profilazione e commerciali, senza il preventivo consenso espresso degli interessati. In particolare, l’Agcm contestava al social network di aver pre-attivato l’opzione favorevole al trasferimento dei dati per l’utilizzo di alcune app e, al contempo, di aver lasciato intendere all’utente che, in caso di mancata autorizzazione, non avrebbe più potuto utilizzare il social network.
I giudici amministrativi, sia in prime cure (T.A.R. Lazio, I, sent. n. 260/2020) che in appello, hanno ritenuto legittima la prima sanzione e annullato la seconda.
Quanto a quest’ultima, i giudici di entrambi i gradi di giudizio hanno concordato che il meccanismo di ‘pre-attivazione’ non impedisce all’utente di comprendere la modalità e finalità di utilizzo, sia da parte dei terzi che da parte di Facebook, dei dati raccolti a seguito dell’integrazione tra piattaforme. La pratica commerciale in questione non integra neppure i requisiti dell’aggressività, di cui all’art. 24 del Codice del consumo (limitare indebitamente la libertà di scelta del consumatore o indurlo ad assumere una decisione di natura commerciale che altrimenti non avrebbe preso). Infatti, nonostante la preselezione dell’opzione favorevole, l’effettivo trasferimento dei dati è condizionato a una nuova autorizzazione dell’utente in ordine a quali dati condividere.
Gli argomenti spesi in merito alla prima sanzione sono certamente più interessanti.
Il nodo della questione è semplice: se manca la corresponsione di una somma in denaro, una prestazione deve necessariamente essere considerata gratuita? Questa è la tesi proposta da Facebook, secondo cui il consumatore medio attribuisce al concetto di gratuità, nella sua accezione comune, il significato di mera assenza di un esborso in denaro.
L’Agcm e i giudici amministrativi hanno offerto una lettura differente: la patrimonialità di una prestazione può derivare anche dalla cessione di beni diversi dal denaro, ma suscettibili di una valutazione economica. In questo caso, i dati ceduti dall’utente vengono utilizzati a fini commerciali e, proprio per questo, acquisterebbero un autonomo “valore economico”: pertanto, la cessione dei dati dall’utente al social network, per effetto del successivo trasferimento dal social network a terzi, configura una vera e propria controprestazione di natura economica (perché questa è l’utilità che ne trae il social network) per la fruizione del servizio.
Questa decisione solleva diversi spunti, che meriterebbero considerazioni più approfondite.
Primo, essa è paradigmatica di una tendenza già evidente da almeno trent’anni: la rottura del rapporto tra territorio nazionale e fenomeno economico. In questo caso, un’autorità nazionale, sulla base di una norma nazionale, sanziona una condotta adottata da un’impresa a livello globale: lo stesso claim, infatti, compariva in ogni versione del social network e, fino a quel momento, era stata ritenuta pienamente legittima in diversi ordinamenti (“S’inscrire. C’est gratuit et ça le restera toujours”, “Sign Up. It’s free and always will be”, “Abre una cuenta. Es gratis y lo serà siempre”). Per effetto di questo provvedimento – e, verosimilmente, della direttiva europea sui contratti di fornitura di contenuto digitale e di servizi digitali, di poco successiva – Facebook ha dovuto modificare il proprio claim (che ora è “Iscriviti. È veloce e semplice”) e le condizioni d’uso del servizio in tutte le lingue, illustrando all’utente il modo in cui ottiene la remunerazione per il servizio prestato. Le modifiche apportate, però, sono state ritenute ancora insufficienti dall’Agcm, che, nel febbraio 2021, ha emesso una nuova sanzione, stavolta pari a sette milioni di euro. Al di là di come si concluderà questa seconda controversia, è paradigmatico l’effetto sovranazionale (propriamente globale, in questo caso) di un provvedimento assunto da un’autorità nazionale, sulla base di una disposizione nazionale.
Secondo, la decisione aggiunge un tassello fondamentale nella disciplina dei dati personali, che contribuisce alla lettura della direttiva europea sui contratti di fornitura di contenuto digitale. Prima di esaminare gli argomenti relativi alle due sanzioni, i giudici hanno dovuto verificare se il trattamento dei dati personali fosse soggetto solo alle norme poste a tutela della privacy o anche a tutte le altre disposizioni dell’ordinamento. Facebook ha sostenuto che, nel momento in cui il trattamento dei dati personali rispetta le norme interne ed europee in materia di privacy, non può essere ritenuto illegittimo per altri profili. Detto altrimenti, la società irlandese ha proposto una lettura della disciplina dei dati personali completamente sbilanciata nella sua accezione di diritto fondamentale dell’individuo, dimenticando le altre dimensioni – in questo caso, economiche – dei dati personali.
L’Agcm – anticipando anche la direttiva europea – e la giurisprudenza amministrativa hanno evidenziato come i dati personali costituiscano ormai “un asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione in senso tecnico di un contratto”. Il dato personale, insomma, è un bene giuridico disponibile, che può diventare oggetto di una compravendita. Questa sua natura deve essere oggetto di specifici strumenti di tutela, come e quanto la natura di diritto fondamentale della persona.
Terzo, la decisione compie un passaggio interessante nel processo di determinazione del carattere di patrimonialità di una prestazione. Probabilmente influenzato dalla direttiva europea ricordata più volte (che non ha espressamente menzionato, essendo successiva al provvedimento dell’Agcm), il giudice amministrativo ha ritenuto che la patrimonialità della controprestazione sia l’effetto dell’utilità economica che trae il social network dai dati personali degli utenti. In altre parole, la patrimonialità non si configura al momento della cessione dei dati dall’utente al social network, ma si ricava dal secondo atto di disposizione dei dati (da Facebook alle società terze) e, da questo, si trasla sul primo atto di disposizione dei dati (dall’utente a Facebook).
Si tratta, per così dire, di una patrimonialità ‘mediata’ (cioè conseguenza indiretta dell’utilizzo che ne fa il social network) e ‘traslata’ (caratterizza il secondo atto di disposizione dei dati, che ‘contagia’ anche il primo), di cui l’utente non è consapevole. È proprio questo l’obbligo di informazione esaustiva in capo al social network. Questa comunicazione non attiene al rapporto con l’utente, ma a una condotta successiva alla costituzione del rapporto e che riguarda esclusivamente il social network e terze parti. Condotta, questa, che è sicuramente occasionata dal rapporto con l’utente, ma che incide al massimo sul momento della sua costituzione, ma non sul suo svolgimento.
Gli ultimi due aspetti da segnalare sono di carattere squisitamente processuale.
Innanzitutto, il metodo utilizzato dal giudice. Entrambi i collegi hanno verificato in profondità i fatti storici contestati nella sanzione, li hanno esaminati con cura, salvo poi sindacare il provvedimento attraverso il filtro del provvedimento. Non a caso, hanno rilevato la contraddittorietà, i travisamenti in punto di fatto, l’insufficienza e la contraddittorietà della motivazione della seconda sanzione. Questo modello di sindacato appare equilibrato e molto efficace e potrebbe garantire una tutela incisiva – eppure rispettosa delle prerogative dell’amministrazione – anche per le valutazioni tecniche.
Infine, il richiamo – proprio nelle ultime righe della decisione – al “principio della ragione più liquida”, che ricorre con sempre maggiore frequenza nella giurisprudenza amministrativa e che pone, però, diverse questioni in ordine al rapporto tra principio dell’economia processuale e della sinteticità degli atti processuali e assorbimento dei motivi, giudicato e principio di corrispondenza tra chiesto e pronunciato.