Scroll Top

Dati Personali: Facebook sanzionata in Italia 10 milioni di euro ma non (ancora) dal Garante Privacy

[:it]A cura dell’Avv. Massimo Simbula

La posizione dell’AGCM

Il 29 novembre 2018 l’Autorità Garante della Concorrenza e del Mercato (AGCM), l’Authority italiana che tutela tutti noi consumatori, ha irrogato una sanzione complessiva nei confronti di Facebook Inc. (e Facebook Ireland obbligata in solido con la prima) perché il colosso Statunitense:

a) nella fase di prima registrazione dell’utente alla piattaforma, avrebbe adottato una informativa priva di immediatezza, chiarezza e completezza, in riferimento alla propria attività di raccolta e utilizzo, a fini commerciali, dei dati dei propri utenti;

b) applicherebbe, in relazione ai propri utenti registrati, un meccanismo che, tramite i diversi passaggi in cui si articola, comporterebbe la trasmissione dei dati degli utenti dalla piattaforma del social network ai siti web e applicazioni di terzi e viceversa, senza preventivo consenso espresso dell’interessato, per l’uso degli stessi a fini di profilazione e commerciali. L’opzione a disposizione dell’utente di autorizzare o meno tale modalità risulta, infatti, preimpostata sul consenso all’integrazione tecnica tra Facebook e i siti web e applicazioni di terzi che comporterebbe, in via predefinita, anche una generica predisposizione alla trasmissione reciproca (Facebook/Terzi) dei dati degli utenti Facebook, con possibilità di negare il consenso ma con espressa azione dell’utente (il cosiddetto “opt-out”). Peraltro Facebook prospetterebbe, in conseguenza della disattivazione della integrazione, conseguenze penalizzanti per l’utente, sia nella fruizione di Facebook, sia nella accessibilità e utilizzo di siti web e app di terzi.

Il condizionale naturalmente è d’obbligo perché, se è vero che Facebook, leggendo la delibera AGCM, è tenuta a versare i 10 milioni di € nelle casse dello stato entro 30 giorni dalla notifica del provvedimento, è anche vero che la stessa può dimostrare la sua “innocenza”, proponendo ricorso al TAR Lazio entro 60 gg. decorrenti dal medesimo termine.

Ed in effetti Facebook ha ripetutamente contestato la fondatezza della scorrettezza e aggressività delle sue condotte in violazione del Decreto Legislativo 206/2005 (Codice del Consumo) evidenziate da AGCM anche sulla base delle posizioni espresse da Altroconsumo, Movimento Difesa del Cittadino e Unione Nazionale Consumatori quali segnalanti e soggetti che hanno partecipato al procedimento AGCM.

Tra le diverse accuse formulate da AGCM, merita particolare attenzione quella relativa alla dichiarata assenza di corrispettivo.

Facebook infatti, all’atto della iscrizione dell’utente, dichiara in bella vista nel modulo di iscrizione: “Iscriviti. E’ gratis e lo sarà per sempre”.

Ora: secondo AGCM questa dichiarazione non sarebbe corretta poiché se è vero che l’utente non deve pagare con denaro per iscriversi e utilizzare il servizio, è anche vero che (citando l’Authority) “…il business model del gruppo Facebook si fonda proprio sulla raccolta e sfruttamento dei dati degli utenti a fini remunerativi configurandosi, pertanto, tali dati come contro-prestazione del servizio offerto dal social network, in quanto dotati di valore commerciale. In particolare, i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd e il 98% del fatturato di Facebook Inc.”

La difesa di Facebook

Facebook ha contestato duramente le accuse e in particolare ha rilevato che:

a) AGCM non avrebbe competenze a giudicare in materia di dati personali poiché la questione rientra nell’ambito dei poteri di controllo del Garante Privacy. Sul punto Facebook ha evidenziato che il garante Privacy Irlandese, a seguito di un audit condotto sulla società per il periodo 2011-2012 avrebbe concluso che “tutti i possibili aspetti sensibili erano stati affrontati in modo soddisfacente” e che gli utenti di Facebook “erano messi in condizione di assumere scelte informate circa i dati personali che loro o i loro amici potevano scegliere di condividere con le app di terze parti”.

b) Facebook “non inganna e non fuorvia gli utenti in relazione ai dati che raccoglie né in relazione al modo in cui tali dati sono trattati, anche con riferimento alle terze parti”. I dati degli utenti, secondo Facebook, non rappresenterebbero un corrispettivo, ed i consumatori, in ogni caso, non verrebbero fuorviati dalla indicazione che Facebook è un servizio gratuito alla luce del significato comune che chiaramente ha il termine gratuito. E anche ove si volesse considerare il dato personale una sorta di corrispettivo, l’utente non sarebbe fuorviato poiché ben sa quali sono gli utilizzi che Facebook fa di questi dati.

La vicenda si può quindi dire che non è finita qui anche perché in gioco per Facebook non c’è solo la sanzione da 10 milioni di euro (ben poca cosa rispetto ai circa 47,5 miliardi di euro di fatturato al 31 dicembre 2017), ma la sua immagine e la sua reputazione tra i suoi oltre 31 milioni di utenti in Italia (senza contare i riflessi che potrebbero esserci all’estero).

Ci attendiamo quindi una dura battaglia in sede giudiziale al TAR lazio.

Ciò detto, rimango alquanto perplesso dalla decisione di AGCM di procedere alla irrogazione delle sanzioni.

Al di la dei fatti, tutti evidentemente ancora da accertare in via definitiva, mi chiedo se abbia senso che AGCM si pronunci in materia di dati personali anziché lasciare al Garante Privacy il compito di intervenire.

Ci si chiede, infatti, che impatto possa avere su un futuro procedimento privacy, una eventuale pronuncia del TAR Lazio (non di mera legittimità) sulle condotte poste in essere da Facebook.

Vale infatti la pena ricordare che il garante Privacy può irrogare ben più pesanti sanzioni ai sensi del regolamento europeo sul trattamento dati personali (GDPR). Sanzioni che possono arrivare fino al 4% del fatturato mondiale dell’ultimo anno e quindi per Facebook, sulla base del suo ultimo bilancio, una sanzione di quasi due miliardi di euro, che farebbe impallidire la sanzione da 10 milioni di euro appena emessa.

[:]