Si può fare commercio di dati personali? Scorza: “Consiglio di Stato boccia ricorso Facebook, ecco le questioni aperte”. Il Consiglio di Stato ha respinto il ricorso Facebook su una sanzione Antitrust che giudica ingannevole presentarsi agli utenti come gratis mentre, in realtà, il social farebbe pagare in dati personali. Una sentenza che ora apre interrogativi sui massimi sistemi di privacy e data economy…
Intervento di Guido Scorza, Componente del Garante per la protezione dei dati personali
(Agenda Digitale, 30 marzo 2021)
“I dati personali di ciascun individuo costituiscono un bene extra commercium, trattandosi di diritti fondamentali della persona che non possono essere venduti, scambiati o, comunque, ridotti a un mero interesse economico”.
Se qualcuno vi chiedesse chi può aver scritto queste parole, cosa rispondereste?
Non pensereste, forse, a un’Autorità di protezione dei dati personali, a un attivista dei diritti fondamentali o, magari, allo special rapporteur per la privacy delle Nazioni Unite?
Ma vi sbagliereste.
La sentenza del Consiglio di Stato contro Facebook
Le parole in questione sono uscite dalla penna dei legali di Facebook, il social network più popolare del mondo, il servizio online alfiere del modello di business che fa girare l’intero web o, almeno, buona parte di esso, basato sullo sfruttamento per finalità commerciali dei dati personali degli utenti.
Le riassumono così – parola più parola meno – i Giudici del Consiglio di Stato nella loro sentenza di ieri con la quale confermano la decisione dell’Autorità Garante per la concorrenza ed il mercato che aveva contestato a Facebook nel 2018 l’ingannevolezza e la scorrettezza commerciale insita nel presentarsi agli utenti come gratis mentre, in realtà, si farebbe pagare in dati personali che sfrutterebbe poi nella dimensione commerciale.
Siamo al paradosso di un gigante della data economy che difende la natura di diritto fondamentale della protezione dei dati e che sostiene che tale natura impedirebbe di confondere il sacro con il profano e considerare i dati personali come il prezzo di un servizio digitale.
I dati personali non siano più merce di scambio
Ma è proprio questo paradosso a dirla lunga sulla complessità della questione che abbiamo davanti, questione rispetto alla quale la decisione del Consiglio di Stato, pure importante e preziosa, è, davvero, poca cosa.
Viviamo immersi in un ecosistema nel quale la realtà è quella che, dapprima l’Autorità Antitrust e ora i giudici del Consiglio di Stato, annotano: i dati personali sono merce di scambio per la fruizione di ogni genere di servizio e sono sfruttati commercialmente per produrre ricchezza nella dimensione commerciale, imprenditoriale e professionale.
E tale circostanza, in realtà, non sfugge neppure a Facebook che, infatti, nel proprio atto di appello – anche se in subordine rispetto al resto – scrive: “un utente FB sa benissimo, che un sito gratuito non può che reggersi tramite introiti pubblicitari mirati (se non altro perché continuamente sperimenta ed apprezza tali pubblicità “personalizzate”). Peraltro, tale modello di business non è certo proprio solo di FB: al contrario, è tipico di tutti i servizi online gratuiti e quindi vero e proprio fatto notorio”.
Eppure i dati personali – come paradossalmente ricorda Facebook – rappresentano la nostra identità personale e sono oggetto di un diritto fondamentale.
“Non può immaginarsi possibile – scrivono sempre i legali di Facebook – come erroneamente ha inteso rappresentare il giudice di primo grado (ndr il TAR Lazio), che gli utenti cedano i propri dati a Facebook quale ‘corrispettivo’ per la fornitura del servizio né che la trasmissione di dati personali possa attenere ad una attività economicamente valutabile, se non invece e al più, ad un mero profilo di tutela di alcuni diritti fondamentali”.
Non può immaginarsi possibile ma così è nei fatti.
Utenti inconsapevoli
Non solo gli utenti cedono dati contro servizi ma, proprio come conferma la vicenda oggetto della decisione di ieri del Consiglio di Stato, lo fanno anche inconsapevolmente ovvero senza essere adeguatamente informati del rilievo giuridico-economico dell’adesione alle condizioni generali di contratto di una delle piattaforme in questione.
E – ma questo è un problema nel problema – questo accade anche quando a aderire a tali condizioni sono dei minorenni che hanno, evidentemente, ancora minor capacità di comprendere il significato e il valore della loro adesione a un contratto attraverso il quale si impegnano a consegnare una parte più o meno rilevante del proprio sé al fornitore di un servizio in cambio, appunto, della fruizione di quel servizio.
Il chiarimento del Consiglio di Stato
Ma, appunto, il Consiglio di Stato ritiene di non poter aderire alla tesi di Facebook secondo la quale la natura di diritto fondamentale del diritto alla privacy produrrebbe come immediata conseguenza l’inapplicabilità alla propria condotta della disciplina in materia di pratiche commerciali scorrette e chiarisce che, comunque, anche laddove “si volesse aderire alla tesi della odierna parte appellante (ndr Facebook) secondo la quale il dato personale costituisce una res extra commercium, la patrimonializzazione del dato personale, che nel caso di specie avviene inconsapevolmente (ad avviso dell’Autorità nel momento in cui accusa una informazione ingannevole nell’esercizio della pratica in questione), costituisce il frutto dell’intervento delle società attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali”.
E, naturalmente, almeno nell’osservazione del fenomeno nella dimensione di mercato ha ragione il Consiglio di Stato.
Che quei dati siano o meno il corrispettivo del servizio che Facebook rende disponibile ai suoi utenti, che l’utente ne sia o meno consapevole e, persino, che ciò sia o meno legittimo stante la natura fondamentale del diritto alla privacy, ciò che conta è che inequivocabilmente i dati personali degli utenti vengono raccolti e trattati in una dimensione commerciale e sfruttati per trarne profitto.
Qui vale la pena fermarsi e fare sintesi.
Due punti fermi segnati dal Consiglio di Stato
Ci sono due punti fermi che il Consiglio di Stato sembra segnare.
Il primo. Lo sfruttamento dei dati personali per finalità commerciali nell’ambito di un servizio online – anche a prescindere dalla configurabilità del trattamento in termini di corrispettivo del servizio – comporta che l’attività del fornitore ricade oltre che nell’ambito di applicabilità della disciplina europea sulla protezione dei dati personali anche in quello della disciplina consumeristica.
Il secondo. Se il fornitore di un servizio sfrutta commercialmente i dati dei suoi utenti – anche appunto quando il trattamento non si ritenesse configurabile come corrispettivo del servizio – il servizio non può essere presentato al pubblico come gratuito. Un po’ come dire che Internet o la più parte di Internet, al contrario di quanto molto spesso si pensa, non è gratis.
Quest’ultimo ha un importante valore culturale-educativo perché potrebbe valere a suggerire a tanti di prestare più attenzione ai dati personali che letteralmente seminiamo online nel nostro utilizzo di una miriade di servizi digitali diversi.
Le questioni aperte
Il primo, però, apre la porta a una serie di questioni non di poco conto che la decisione del Consiglio di Stato non risolve e sulle quali ci troveremo ancora a confrontarci:
Il Consiglio di Stato prova a evitare di scioglierlo ma il nodo esiste ed è rilevante: un trattamento di dati personali può essere corrispettivo di un servizio?
Se può esserlo quali elementi – oltre a quelli identificati come necessari dalla disciplina europea generale sulla protezione dei dati personali (GDPR) – il titolare del trattamento quale fornitore del servizio dovrebbe fornire agli interessati nella loro qualità di utenti del servizio?
Se un contratto può avere come corrispettivo un trattamento di dati personali, un minore può perfezionarlo pur essendo evidente che difficilmente potrà apprezzare il significato e il valore delle obbligazioni che assume nei confronti del titolare del trattamento quale fornitore del servizio? E se il minore ha meno di quattordici anni, età che in Italia, sotto altro profilo, è quella minima necessaria perché un minore si consideri capace di prestare un consenso al trattamento dei dati commerciali?
Chi è competente a conoscere di vicende relative a trattamenti di dati personali svolti in assenza di sufficiente trasparenza nei confronti dell’interessato nell’ambito di un’attività commerciale? L’Autorità Garante per la concorrenza e per il mercato? Il Garante per la protezione dei dati personali? La prima previo parere del secondo come sembrerebbe suggerire il codice del consumo? Entrambe attraverso un nuovo procedimento che andrebbe, forse, costruito stante la crescente rilevanza di fattispecie di questo genere?
Se le due Autorità hanno, come forse è ragionevole che sia, competenze concorrenti – a prescindere da come sia più opportuno le esercitino – ciascuna per i profili rientranti nelle proprie finalità istituzionali è lecito che il titolare del trattamento/fornitore del servizio/professionista sia, in ipotesi, destinatario di due distinte sanzioni e, prima ancora, debba difendersi, in sequenza, davanti a entrambe? Ferma restando, peraltro, sempre e comunque la competenza del giudice ordinario.
E, probabilmente, le questioni che restano aperte dopo la recente decisione del Consiglio di Stato che pure chiude una vicenda importante sono molte di più.
Non resta che confrontarsi, discuterne, affrontarle nell’interesse dei cittadini e delle imprese.