Jus CivileCC BY-NC-SA Commercial Licence ISSN 2421-2563
G. Giappichelli Editore

Pratiche commerciali scorrette per illecito trattamento dei dati personali (di Tiziana Rumi, Professoressa aggregata di Diritto privato – Università degli Studi Mediterranea di Reggio Calabria)


La cessione, da parte dell’utente di servizi social, del diritto di sfruttamento economico dei dati personali dietro la fornitura, da parte del titolare del trattamento, di contenuti e/o servizi digitali, pur costituendo il modello di business più diffuso delle piattaforme social, può integrare in alcuni casi gli estremi di una pratica commerciale scorretta o di una condotta anticoncorrenziale. Tra le vicende che hanno suscitato particolare interesse ai fini della qualificazione dell’illecito trattamento dei dati personali come pratica commerciale scorretta sono state esaminate le decisioni dell’AGCM Facebook (2018) e Meta (2024), e, come condotta contraria al diritto antitrust, i casi Meta Platforms e a. (Condizioni generali d’uso di un social network) del 4 luglio 2023 e la causa C-21/23 del 4 ottobre 2024. L’esame di queste pronunce ha consentito di effettuare una serie di considerazioni sul diverso ruolo ricoperto oggi all’informazione pubblicitaria online, sull’aggravata asimmetria informativa in cui versano i consumatori digitali rispetto ai gestori delle piattaforme social, sull’approccio sinergico tra GDPR e diritto antitrust, e sulla perdita di centralità del consenso dell’interessato nell’ipotesi di trattamenti massivo di Big Data.

Unfair Commercial Practices for illegal processing of personal data

The transfer, by the user of social services, of the right to economic exploitation of personal data in exchange for the provision, by the data controller, of digital content and/or services, although constituting the most widespread business model of social platforms, may in some cases constitute the extremes of an unfair commercial practice or anti-competitive conduct. Among the cases that have aroused particular interest for the purposes of qualifying the unlawful processing of personal data as an unfair commercial practice, the decisions of the AGCM Facebook (2018) and Meta (2024) have been examined, and, as conduct contrary to antitrust law, the cases Meta Platforms et al. (General conditions of use of a social network) of 4 July 2023 and case C-21/23 of 4 October 2024. The examination of these rulings has allowed the author to make a series of considerations on the different role played today by online advertising information, on the aggravated information asymmetry in which digital consumers find themselves compared to the managers of social platforms, on the synergic approach between GDPR and antitrust law, and on the loss of centrality of the interested party’s consent in the event of massive processing of Big Data.

SOMMARIO:

1. Introduzione - 2. Il business model dei social network: lo scambio dei servizi contro dati - 3. L’utilizzo dei dati senza il consenso dell’interessato per fini commerciali quale possibile pratica commerciale scorretta nei provvedimenti dell’AGCM Facebook (2018) e Meta Platforms Ireland Ltd (2024) - 4. ... e quale ipotesi di violazione della concorrenza tra imprese nelle pronunce della Corte di giustizia UE - 5. Considerazioni conclusive - NOTE


1. Introduzione

Una specola da cui indagare le problematiche concernenti le pratiche commerciali scorrette è rappresentata dai modelli negoziali cc.dd. «servizi contro dati», sempre più favoriti dal crescente sviluppo dell’economia digitale [1]. La protezione dei dati personali infatti, per un verso, rientra tra i diritti fondamentali garantiti alla persona e, per altro verso, viene sempre più in gioco per il valore economico che il dato personale incorpora [2]. Il processo di digitalizzazione è presente in tutte le attività umane ed «il contratto diviene strumento di fruizione sia di contenuti, correlati all’utilizzo di strumenti sempre più smart, sia di servizi che, lungi dall’essere di utilizzo sporadico, scandiscono le abitudini delle persone e spesso ne condizionano l’esistenza (si pensi all’uso massivo dei social networks)» [3]. In questo quadro, la tutela viene affidata sia ai principi ed alle regole che governano il trattamento dei dati (come il principio di lealtà, ma anche quello di proporzionalità, tenuto conto del fatto che è necessario contemperare il diritto alla protezione dei dati con altre libertà costituzionali come la libertà di espressione o di impresa), sia ad altre regole a protezione del consumatore che mirano alla correttezza della pubblicità e delle transazioni commerciali non solo nel suo interesse ma anche nell’inte­resse del mercato [4]. La sintesi tra queste discipline rappresenta il superamento dell’antico dualismo tra “concezione morale” dei dati personali (che ne esalta la correlazione con l’identità della persona e la sua dignità e libertà) e la concezione patrimoniale dei medesimi (alla stregua della quale i dati possono essere considerati come dei beni e circolare liberamente nel mercato) [5]. La prospettiva attuale, infatti, riconosce l’appartenenza della protezione dei dati personali anche all’ambito negoziale, oltre che a quello dei diritti della personalità, e, a determinate condizioni, ne ammette la circolazione [6]. Ciò presuppone, ovviamente, la qualificazione dei dati personali come beni immateriali e, segnatamente, attributi della persona di cui si può cedere l’utilizzazione economica a terzi (nel nostro caso le piattaforme social) [7] ma non la titolarità, [continua ..]


2. Il business model dei social network: lo scambio dei servizi contro dati

Nella prassi di mercato dei social network il modello di business probabilmente più diffuso è rappresentato dal trattamento e dalla circolazione dei dati quale corrispettivo dei diversi servizi offerti. Rispetto al passato, infatti, la fornitura del dato non è più un elemento strumentale all’attività del­l’impresa, ma diventa la ragione principale del suo svolgimento. I dati costituiscono, cioè, la base del business imprenditoriale per le potenzialità di ricchezza connesse alla loro aggregazione, analisi, profilazione ecc. [19], tutte attività che l’impresa svolge servendosi degli algoritmi e dell’IA. Si parla, nello specifico, di modello di business “zero-price” volendo così rappresentare la circostanza che, in queste economie, i servizi digitali vengono offerti all’utente “gratuitamente”, o meglio senza che lo stesso debba eseguire una controprestazione di natura pecuniaria perché gli basterà acconsentire al trattamento dei propri dati personali per la realizzazione di interessi commerciali [20]. Questo modello si distingue dall’ipotesi in cui lo scambio dei dati avviene, invece, contro moneta (c.d. personal data economy model), nel senso che agli utenti viene riconosciuta una parte o l’intero valore che ai dati è attribuito dalle piattaforme mediante i processi di profilazione e adversiting. Poiché alla fornitura del dato da parte dell’utente segue la corresponsione di una somma di denaro, si parla di “monetizzazione” dei dati personali, sebbene in dottrina si escluda che anche nel modello di monetizzazione possa verificarsi una sorta di equiparazione tra dati personali e moneta. Lo impedisce il dettato dell’art. 3, par. 1, direttiva 2019/770 «che prevede che i dati siano utilizzati direttamente per accedere a beni e servizi, non anche per la remunerazione dell’utente». Si tratta di diversi modelli di “commercializzazione” dei dati personali, non sempre facilmente distinguibili nella pratica, e rispetto ai quali le garanzie a tutela di chi fornisce i dati sono differenti. Lasciando da parte il modello in cui si assiste, comunque, ad una remunerazione in denaro della fornitura del dato personale ed approfondendo, invece, le caratteristiche del modello “zero price”, occorre ancora distinguere diversi livelli di [continua ..]


3. L’utilizzo dei dati senza il consenso dell’interessato per fini commerciali quale possibile pratica commerciale scorretta nei provvedimenti dell’AGCM Facebook (2018) e Meta Platforms Ireland Ltd (2024)

A fondamento delle decisioni dell’AGCM ora in esame vi è l’acquisizione che i dati personali siano caratterizzati da una duplice dimensione, personale e patrimoniale. Proprio per quest’ultima componente, necessaria allo sviluppo dei mercati digitali, non è più “in forse” la patrimonializzazione/commercializzazione dei dati personali ma è necessario, per un verso, assicurare che le operazioni economiche [26] aventi ad oggetto il loro sfruttamento a fini commerciali non contrastino con la normativa sulla c.d. data protection e, per altro verso, accettare l’idea che i contratti di “cessione” dei dati personali non possano essere traslativi della proprietà, come accade per qualunque altro bene negoziabile, «non essendo una definitiva perdita del diritto in parola compatibile con la sua natura di diritto fondamentale» [27]. La circostanza, poi, che vi sia un legame corrispettivo tra il servizio di accesso al social network e la prestazione del consenso al trattamento dei (propri) dati personali (da parte) dell’utente, oltre ad orientare verso la natura negoziale del consenso [28] assegna ad esso il ruolo di parametro della liceità della controprestazione, nel senso che il trattamento dei dati cui si acconsente sarà lecito solo se, e fintanto che, si svolga per le finalità che sono state indicate al concedente e non per altre [29]. Con la conseguenza, sotto il profilo contrattuale, che l’utilizzo dei dati per finalità diverse da quelle dichiarate, può, con il concorso di altre circostanze, costituire una pratica commerciale scorretta o, comunque, una condotta anti-consumeristica. Tra le vicende che hanno suscitato particolare interesse ai fini della qualificazione dell’illecito trattamento dei dati personali come pratica commerciale scorretta un ruolo significativo è assunto dai casi Facebook del 2018 e Meta del 2024. Il primo di essi ha visto contrapposti il noto colosso dei servizi social (Facebook Ireand Ltd., appunto, società europea controllata dall’americana Facebook Inc.) e l’AGCM per la presunta violazione, da parte della piattaforma digitale, di alcune regole del codice del consumo (gli artt. 20, 21, 22, 24 e 25 concernenti le pratiche commerciali ingannevoli ed aggressive). In questa occasione l’AGCM ha riconosciuto la scorrettezza di due pratiche e, [continua ..]


4. ... e quale ipotesi di violazione della concorrenza tra imprese nelle pronunce della Corte di giustizia UE

L’utilizzo di dati personali a fini commerciali può dar vita a comportamenti abusivi non soltanto nei confronti dei consumatori ma anche delle imprese concorrenti. Qualche anno fa, infatti, l’autorità tedesca per la concorrenza, la Bundeskartellamt (BKartA) nella decisione del 6 febbraio 2019, B6-22/16, condannava Facebook a modificare le proprie condizioni di servizio laddove condizionava la fornitura dello stesso alla circostanza che gli utenti fornissero dati ulteriori rispetto a quelli necessari per l’accesso al social network, cioè i dati prodotti dall’utilizzo di Wathsapp e Instagram, nonché quelli raccolti su siti di terze parti. Tale comportamento per l’Autorità amministrativa tedesca poteva essere ricondotto ad un abuso di posizione dominante mediante il quale si frustrava il diritto all’autodeterminazione degli utenti che si vedevano imposte condizioni generali di contratto inique in quanto violavano diritti costituzionali come quelli protetti dal GDPR [52]. Il trait d’union tra concorrenza e protezione dei dati personali era dato dal fatto che i dati usati senza il valido consenso degli utenti veniva considerato come fattore che abbassava la qualità della concorrenza. Di parere diverso era, invece, la Corte d’appello tedesca per la quale il BKartA non aveva svolto le indagini necessarie sulla violazione da parte di Facebook delle regole sulla concorrenza [53]. Tuttavia il 23 giugno 2020 la Corte federale di giustizia tedesca, nella decisione KVR69/19, dà ragione al BKartA e riconosce in capo a Facebook la posizione dominante nel mercato tedesco dei social network e il conseguente abuso di posizione dominante. È indubbio, infatti, che la capacità di profilazione raggiunta da Facebook le garantiva un significativo potere di mercato, irraggiungibile da parte dei competitors, impossibilitati a combinare altrettanti dati, ma il problema non stava nella posizione dominante quanto nell’abuso di essa dovuto all’impiego di condizioni contrattuali che vincolavano, senza margine di scelta, gli utenti a subire la combinazione delle varie fonti per la costruzione dei loro profili [54]. La decisione del BKartA – con cui si affermava un approccio integrato tra disciplina a tutela dei dati personali e disciplina antitrust – è stata criticata perché ritenuta in contrasto con l’orientamento [continua ..]


5. Considerazioni conclusive

Il percorso giurisprudenziale appena tracciato ci consente di mettere in rilievo alcuni aspetti, a cominciare dal diverso ruolo attribuibile, oggi, all’informazione pubblicitaria online. Mentre, in passato, le imprese investivano una quantità eccessiva di denaro in pubblicità, oggi si assiste ad una riduzione di tale “spreco” in quanto esse orientano la comunicazione pubblicitaria secondo gli interessi dei potenziali clienti, desumendoli dalla loro frequentazione dei social e consultazione dei siti web. Le informazioni su questi interessi costituiscono, infatti, dati aventi valore economico e la loro raccolta intensiva da parte delle piattaforme social consente a queste ultime di svolgere attività di profilazione per fini commerciali, da cui si ricavano metadati che fruttano ingenti ricchezze. Si tratta, come abbiamo visto, di un nuovo modello economico che mette a dura prova le normative in materia di protezione dei dati personali, di tutela dei consumatori e di tutela della concorrenza. Le Bigh Tech, grazie alla massiccia raccolta di dati, possono elaborare previsioni sempre più attendibili sulle preferenze degli utenti e fornire loro prodotti/servizi personalizzati, sempre più “customizzati” e soddisfacenti al punto da “catturarli” [74], rendendo improbabile che gli utenti/consumatori abbandonino l’ecosistema digitale per cercare alternative migliori. Di fronte al “prepotere” di questi oligopoli tecnologici considerare come esaustiva e, soprattutto, esclusiva la tutela fornita dalla normativa sulla protezione dei dati personali significherebbe non tenere in considerazione che un trattamento dei suddetti dati, non necessario ai fini dell’esecuzione del contratto ed avvenuto senza il consenso libero dell’interessato [75], potrebbe ledere oltre alla privacy altri interessi dell’utente/consumatore come accade nell’ipotesi di utilizzazione a fini commerciali e pubblicitari dei suoi dati senza che l’interessato riceva un’immediata e specifica informazione al riguardo e, addirittura, venga ingannato circa la gratuità del servizio social cui si è registrato fornendo, appunto, i dati personali. Da qui la preferenza per una complementarietà di discipline (affermata come abbiamo visto sia dalla giurisprudenza italiana che da quella europea) che, lungi dal negare il primato alla normativa sulla privacy, [continua ..]


NOTE