PIÙ ARMI A DIFESA DEI CONSUMATORI: LA GESTIONE DEI DATI È PURE UNA QUESTIONE DI CONCORRENZA
Antonio Ciccia Messina
In nome del rispetto della privacy raddoppiano le tutele per i consumatori. Una violazione della riservatezza fa diventare ingannevole una pubblicità, sleale una pratica concorrenziale, vessatoria una clausola contrattuale, abusiva una posizione di dominanza del mercato, restrittiva della concorrenza un’intesa tra operatori economici. Il consumatore ha tre strade complementari da percorrere. Le prime due sono di natura amministrativa: può andare dal Garante della privacy e chiedergli di intervenire con una sanzione e/o una misura correttiva, ai sensi del Regolamento Ue sulla protezione dei dati n. 2016/679 (Gdpr); il consumatore può anche rivolgersi all’autorità Antitrust, invocando provvedimenti sanzionatori e di regolazione del mercato. La terza via è quella giudiziale, potendosi rivolgere anche al giudice civile per il risarcimento dei danni subiti per effetto degli illeciti contro privacy e concorrenza.

Per l’ambito amministrativo, la possibilità del doppio binario di tutela è stata sostenuta dall’avvocato generale della Ue, del 20/9/2022 nella causa C-252/21, pendente davanti Corte di giustizia dell’Unione europea. La questione non è di fredda procedura, ma ha conseguenze sostanziali. L’arsenale di difesa del consumatore duplica gli strumenti a disposizione. Tutto ciò è tanto più decisivo quanto più forte contrattualmente è l’operatore economico con cui si ha a che fare.

Come nel caso della vicenda rimessa alla decisione dei giudici del Lussemburgo, che coinvolge la società Meta Platforms, proprietaria della rete sociale Facebook. Nel caso specifico, come riferisce la Corte di giustizia Ue, gli utenti di Facebook, devono accettare le condizioni d’uso del social network. E tra queste condizioni ci sono quelle che permettono a Meta di raccogliere massivamente i dati tramite il web. Meta, infatti, si riserva il diritto di raccogliere dati da servizi nell’orbita della stessa Meta, come quelli di Instagram e WhatsApp.

Inoltre, le condizioni aprono la strada alla raccolta di dati anche da siti Internet e applicazioni di terzi, attraverso interfacce integrate oppure mediante i cosiddetti cookies memorizzati nel computer o nel dispositivo mobile dell’utente. Tutta questa mole immensa e crescente di dati è incrociata con l’account Facebook dell’utente interessato e Meta li usa, in particolare, a fini pubblicitari, con profilazione dei gusti, preferenze e abitudini delle persone. In Germania, a fronte di tutto ciò, è intervenuto il nazionale Garante antitrust, che ha qualificato sulla base dei parametri della disciplina della concorrenza tutte queste enormi raccolte ed elaborazioni di dati, qualificandole come uno sfruttamento abusivo della posizione dominante di Meta sul mercato delle reti sociali per gli utenti privati. La non conformità al Gdpr, dunque, è stata la base e il corpo della contestazione della violazione della disciplina della concorrenza. La conseguenza di questo accertamento l’Antitrust tedesca ha vietato a Meta la raccolta massiva degli utenti per fare pubblicità e marketing. E da qui è partito il contenzioso arrivato agli uffici della corte Ue, davanti alla quale Meta ha giocato la carta dell’incompetenza dei garanti Antitrust a valutare le violazioni della privacy.

Secondo Facebook ciascuna autorità ha il suo ambito di competenza e non ci possono essere invasioni o commistioni: in particolare la valutazione delle violazioni della privacy sono riservate ai Garanti della privacy. A dire il vero, Facebook aveva già sostenuto, ma senza successo, l’argomento della distinzione dei poteri anche in Italia: il Tar Lazio (sentenze 260 e 261 del 2020) e il Consiglio di Stato (sentenze 2630 e 2631 del 2021), a proposito di contestati servizi gratuiti dietro conferimento di dati, sono stati di contraria opinione.

Anche l’avvocato generale Ue, che deve formulare le sue conclusioni nel corso dei procedimenti sottoposti alla decisione della Corte di giustizia, si è messo su questa scia e ha proposto alla Cgue di affermare che per valutare una violazione della concorrenza l’Autorità antitrust può incidentalmente indagare se una prassi imprenditoriale sia conforme o meno al Gdpr. Se le conclusioni dell’avvocato Ue saranno accolte dalla Corte di giustizia, i consumatori avranno un formidabile precedente a loro favore, con conseguenze per le imprese anche di carattere gestionale e operativo.

Dal punto di vista delle imprese, infatti, occorrerà verificare la modulistica contrattuale da valutare con il doppio parametro: prevedere nei contratti commerciali condizioni di utilizzo di servizi in violazione del Gdpr sarà censurabile sia dal punto di vista delle tutele del consumatore sia da quello delle tutele dell’interessato-privacy. Salvo rassegnarsi o consapevolmente optare per la preparazione a duplici procedimenti amministrative di contestazioni. Dal punto di vista dei consumatori e delle loro associazioni si aprirà la riflessione se inviare in parallelo alla segnalazione o al reclamo al Garante della privacy anche una segnalazione all’autorità Antitrust. E, infine, dal punto di vista delle due autorità si deve intensificare il canale di scambio reciproco di notizie a proposito di istruttorie e procedimenti e delle relative decisioni.

Sui social la via obbligata è la raccolta del consenso esplicito
Il social non è un distributore automatico di dati liberamente utilizzabili. Ciò che è pubblicato (post, fotografia, video), quindi, non è necessariamente di dominio pubblico. È quanto si desume dalle conclusioni dall’avvocato generale della Ue, del 20/9/2022 nella causa C-252/21, pendente davanti Corte di giustizia dell’Unione europea (si veda articolo principale in pagina). Il quesito cui dovrà rispondere definitivamente la Corte riguarda i dati sensibili, ossia se l’accesso a siti e app e/o l’inserimento di dati e/o l’azionamento di pulsanti (“plug-in social” come “Mi piace”, “Condividi” o “Facebook Login” o “Account Kit”) integrati in tali siti o app da un fornitore come Facebook costituiscano una modalità di rendere manifestamente pubblici i dati relativi all’accesso di per sé e/o i dati immessi da parte dell’utente. Se la risposta fosse affermativa, grazie all’articolo 9, paragrafo 2, lettera e), del Gdpr, questi dati si potranno trattare senza consenso. L’avvocato Ue, chiamato a formulare le conclusioni e di rimetterle alla Corte, risponde negativamente ritenendo che quei comportamenti non sono univoci. Per ritenere che una persona abbia manifestamente reso pubblici i suoi dati, l’utente deve avere piena consapevolezza del fatto che, con un atto esplicito, rende pubblici dati personali: secondo l’avvocato generale, la consultazione di siti Internet e applicazioni, l’inserimento di dati in tali siti e applicazioni o l’attivazione di pulsanti di selezione integrati in essi non può, in linea di principio, essere equiparato a un comportamento che rende manifestamente pubblici i dati personali sensibili. Non c’è alternativa alla raccolta del consenso esplicito. Evitare il consenso dell’interessato non è cosa semplice neppure per i dati diversi da quelli sensibili. Si potrebbe usare una previsione del Gdpr che ammette il trattamento dei dati senza consenso se l’operatore economico possa vantare un legittimo interesse, da bilanciare con i diritti e gli interessi delle persone (articolo 6, primo paragrafo lettera f). Il Gdpr non va, però, nel dettaglio del catalogo dei legittimi interessi e lascia all’operatore economico di auto-dichiarare quale esso sia. A questo riguardo le conclusioni dell’avvocato Ue avvertono gli operatori che non bisogna esagerare. E invitano a fare un corretto e leale bilanciamento. L’impresa, poi, deve far capire quali sono i suoi diretti interessi e non sostenere di trattare dati senza il consenso per esigenze dell’interessato. Sarebbe come dire: tratto i tuoi dati senza il tuo consenso, ma ritengo che tu ne otterrai un beneficio. Al contrario fare il bilanciamento significa che l’impresa ha un suo interesse imprenditoriale superiore agli interessi particolari dell’utente e, perciò, tratta dati senza il consenso di quest’ultimo. Non basta sostenere che l’utente avrà un bene o non avrà alcun male. Nel caso del procedimento citato, Facebook ha sostenuto di avere un legittimo interesse a trattare dati senza consenso perché di interesse dell’utente la personalizzazione dei contenuti e della pubblicità, l’utilizzo coerente e senza interruzioni dei servizi propri del gruppo Meta Platforms, la sicurezza della rete e il miglioramento del prodotto. L’avvocato non ha seguito questa linea perché Facebook non ha dimostrato che tutte le esigenze elencate siano oggettivamente necessarie alla prestazione dei servizi del social network.
Fonte:
logoitalia oggi7