Il 18 novembre u.s., Il Tar Lazio, sez. I, ha scrutinato i ricorsi introdotti rispettivamente da Google ad Apple avverso le sanzioni comminate dall’Autorità Garante della Concorrenza e del Mercato (AGCM) rispettivamente il 16 ed il 9 novembre 2021, in entrambi i casi per pratiche commerciali scorrette connesse al trattamento dei dati personali dei loro utenti.
I ricorsi hanno sortito effetti opposti, portando all’annullamento della sanzione nel caso di Apple e alla conferma nel caso di Google.
Giova premettere che entrambe le pronunce si soffermano sul fenomeno della patrimonializzazione del dato personale, ribadendo l’orientamento già emerso con la sentenza n. 260 del 10 gennaio 2020, sempre del TAR Lazio, confermata dal Consiglio di Stato con la sentenza n. 2631 del 29 marzo 2021 (Facebook c. Agcm), allorquando era stata evidenziata la duplice natura del dato personale, da un lato espressione di un diritto della personalità dell’individuo e, dall’altro, possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.
Dati personali sono un’utilità patrimoniale
Secondo il Tar Lazio, “non può quindi revocarsi in dubbio che, nel contesto dell’economia digitale, i dati personali e le informazioni riguardanti la navigazione dell’utente in internet costituiscano un’utilità patrimoniale, suscettibile di sfruttamento economico da parte del soggetto che la ottiene”.
È un passaggio importante, se si tiene conto che sia Apple che Google avevano contestato la competenza dell’AGCM, ritenendola radicata in via esclusiva in capo all’Autorità per la protezione dei dati personali (quella irlandese nel caso di cui ci si occupa). In particolare, Google aveva eccepito che “…dal momento che i dati non rappresentavano il “prezzo”, né la “controprestazione” fornita dagli utenti per accedere ai servizi Google o per creare un account, la scelta di conferirli alla società per finalità pubblicitarie non sarebbe una “decisione di natura commerciale” rilevante ai fini dell’applicazione del Codice del consumo”.
Nessuna incompatibilità fra privacy e tutela del consumatore
Il Collegio ha ritenuto, invece, che “non sussiste alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole… (omissis) … Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali e, in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può essere qualificata come ingannevole”.
Vi è da dire che sull’insussistenza di siffatta incompatibilità si era espresso di recente anche l’avvocato generale della Corte di Giustizia dell’Unione Europea nelle conclusioni della causa C‑252/21 Meta Platforms Inc. ed contro Bundeskartellamt, affermando che “gli articoli da 51 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che un’autorità garante della concorrenza, nell’ambito dei suoi poteri in forza delle regole di concorrenza, può esaminare, in via incidentale, la conformità delle prassi esaminate con le norme di tale regolamento, tenendo conto al contempo di ogni decisione o indagine dell’autorità di controllo competente ai sensi del suddetto regolamento e informandone l’autorità nazionale di controllo, eventualmente consultandola”.
Pratica commerciale ingannevole, risultati diversi per Google e Apple
Disatteso l’assunto della carenza di potere dell’Autorità, il collegio ha esaminato i profili di merito delle due sanzioni (l’esistenza della pratica commerciale ingannevole/aggressiva) giungendo, come detto, a risultati diversi per Apple e Google.
Per entrambe le Società le contestazioni attenevano, da un lato, all’omessa o ingannevole informativa circa lo sfruttamento delle informazioni acquisite e, dall’altro, alla preimpostazione (cd. sistema “opt-out”) del consenso alla cessione dei dati personali degli utenti a fini commerciali.
Apple assolta
Nel caso di Apple, il TAR ha ritenuto che la mera creazione di un ID Apple non dia luogo a una personalizzazione delle e-mail di marketing; essa avverrebbe, in relazione ai contenuti di ciascuno store (App Store, Apple Books e ITunes Store), solo dopo che l’utente è entrato e ha interagito con lo store stesso.
Mancherebbe, inoltre, il presupposto dell’uso diretto del dato fornito dall’utente, senza che questi ne sia a conoscenza, in quanto la “personalizzazione” degli store non equivale, secondo il Collegio, a uno sfruttamento immediato e diretto delle informazioni raccolte.
In terzo luogo, il termine “personalizzazione” è accompagnato da una informativa “di primo livello”, resa disponibile tramite un apposito link, attraverso cui sono anche esplicitate le modalità di disabilitazione del servizio.
Dunque, conclude il TAR “benché sia ragionevole ipotizzare che la profilazione del cliente possa essere utile ad Apple per migliorare la capacità “attrattiva” degli stores e, in ultima analisi, per accrescere il proprio fatturato, la condotta contestata non può ritenersi ingannevole perché è comunque necessaria una successiva scelta consapevole del consumatore che realizza una operazione di acquisto all’interno dei negozi virtuali”.
Google condannata. Ruolo centrale del ‘legal design’ del processo informativo
Se si confronta quanto statuito per Apple con l’opposta conclusione cui i giudici amministrativi giungono nei confronti di Google, ci si rende conto del ruolo di assoluto rilievo del c.d. “legal design”.
Nel secondo caso, infatti, Il Tribunale ha evidenziato come “le informazioni rese sia in sede di creazione dell’account Google, che con riferimento all’accesso ai servizi di Google che non richiedono la sottoscrizione di un account, non erano infatti di immediata evidenza, in quanto posizionate in pagine raggiungibili attraverso link di consultazione meramente eventuali, come tali non idonei ad informare adeguatamente il consumatore sulla raccolta e utilizzo a fini commerciali dei suoi dati”.
Inoltre, sempre in termini di design del processo informativo, si è ritenuto insufficiente “il pop-up informativo che veniva mostrato nell’immediatezza dell’accettazione che concludeva il processo di registrazione dell’account Google. Da un lato, infatti, questa finestra appariva solo in un momento in cui il consumatore aveva ormai assunto la decisione di creare l’account Google; dall’altro, anche il testo del pop-up era caratterizzato da opacità informativa, non contenendo indicazioni esplicite sull’uso a fini commerciali dei dati raccolti da Google”.
Proprio per queste ragioni (tutte ovviabili con un diverso design del processo di creazione dell’account) il TAR conclude che “l’informativa fornita ai consumatori, in sede di attivazione dell’account o di primo accesso a ciascun servizio in modalità “ospite”, in merito al possibile trattamento dei dati dell’utente ai fini commerciali, deve ritenersi priva di immediatezza, chiarezza e completezza informativa in riferimento all’attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti, e dunque non sufficiente a fornire un quadro informativo completo e agevolmente fruibile delle condizioni di accesso ai servizi”.
In buona sostanza, in entrambi i casi le informazioni erano presenti, ma solo per Apple erano di immediata percezione per il consumatore.
Pratica commerciale aggressiva. Sistema di preselezione di Google opaco
Per quanto attiene, invece, alla seconda condotta contestata, ovverosia la sussistenza di una pratica commerciale aggressiva connessa alla preimpostazione del consenso alla cessione dei dati personali degli utenti a fini commerciali, il diverso risultato cui il Collegio perviene pare da imputarsi al diverso modello di business dei due ricorrenti.
Va chiarito, preliminarmente, che la pratica commerciale aggressiva, ai seni dell’art. 24 del codice del consumo, è quella che determina un indebito condizionamento del consumatore rispetto alla decisione di natura commerciale che egli si appresta a compiere. Siffatto condizionamento comprende tutti i casi in cui, pur senza vere e proprie molestie o coercizioni, sia comunque rinvenibile uno sfruttamento, da parte del professionista, di una posizione di potere rispetto al consumatore per esercitare una pressione tale da limitare notevolmente la capacità del consumatore di prendere una decisione consapevole.
Nel caso di Apple, ad avviso del TAR, la pre-attivazione in questione non determina, già di per sé, il trasferimento e l’utilizzo dei dati, una volta che questi vengano generati, senza la necessità a tal fine di ulteriori passaggi in cui l’utente possa confermare o modificare la scelta preimpostata. Mancherebbero, pertanto, gli elementi per considerare la pratica commerciale ingannevole e aggressiva, non avendo portata decettiva e non essendo in grado di produrre un indebito condizionamento del consumatore.
Nel caso di Google, invece, vi era una relazione diretta tra pre-attivazione e sfruttamento dei dati e le caselle preimpostate potevano essere deselezionate solo attraverso una procedura non immediata, che richiedeva un comportamento attivo da parte dell’utente, dipendente dalle informazioni fornite dalla ricorrente, non di immediata percepibilità. Inoltre, nei messaggi disponibili sul sito Google non si evidenziava in alcun modo che la preimpostazione del consenso comportava la possibilità di utilizzo dei dati a fini commerciali.
Pertanto, Il TAR ha concluso che “il sistema di preselezione predisposto dalla ricorrente, con riferimento alla scelta relativa al trasferimento dei dati per l’utilizzo a fini commerciali, ha indotto un numero considerevole di iscritti ad assumere, senza la dovuta informazione al riguardo e, quindi, in modo inconsapevole, una decisione che comportava la preventiva generale abilitazione all’utilizzo e condivisione a fini commerciali dei dati”.
Per completezza va aggiunto che Google ha successivamente attivato un nuovo processo di registrazione dell’account che fornisce ai consumatori una informativa sul trattamento dei loro dati, incluso il loro possibile uso per scopi commerciali, senza preselezionare alcuna opzione.
Ciò, tuttavia, non ha potuto incidere sui profili di scorrettezza contestati poiché non ha riguardato le impostazioni relative agli account già in essere, lasciando invariata la posizione di tutti gli utenti che già disponevano di un account Google.
Conclusioni
In conclusione, le pronunce in commento hanno ribadito due punti di assoluto rilievo dai quali nessun operatore di mercato può più prescindere.
Il primo è che i dati personali sono parte del rapporto sinallagmatico che lega l’utente alla piattaforma: sono la controprestazione del servizio che egli riceve e vanno considerati in quanto tali. Ogni narrazione che neghi questo principio è (e sempre più sarà) destinata a scontrarsi con le pronunce delle corti, nazionali e comunitarie.
Il secondo è che il processo di gestione dei dati è parte integrante del rapporto di consumo: se già oggi nessuno penserebbe di mettere sul mercato un prodotto in cui il prezzo sia occultato o indicato in modo non trasparente, così andrebbe fatto quando il “prezzo” è rappresentato dai dati personali. Ancora una volta, negare questa evidenza significa negare le basi stesse della data economy.