Home
Lo studio
Risorse
Contatti
Lo studio

Decisioni

Facebook viola i dati personali (TAR Lazio, 260/20)

10 gennaio 2020, TAR Lazio

Il dato personale è espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio: sussiste però anche un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.

Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

 

TAR Lazio

sez. I, sentenza 18 dicembre 2019 – 10 gennaio 2020, n. 260
Presidente Correale – Estensore Brancatelli

Fatto

1. In data 6 aprile 2018 l’Autorità Garante della Concorrenza e del Mercato (in avanti, “Autorità” o “Agcm”) ha avviato il procedimento istruttorio PS1112 nei confronti di Facebook Inc. e Facebook Ireland Limited (quest’ultima in seguito indicata come “Facebook Ireland”, “Facebook” o “la società ricorrente”) in relazione a presunte pratiche commerciali scorrette in violazione degli articoli 20, 21, 22, 24 e 25 del decreto legislativo n. 206 del 6 settembre 2005 (cd. “Codice del Consumo”).

2. Veniva, in particolare, ipotizzata l’esistenza di due distinte pratiche commerciali aventi ad oggetto la raccolta, lo scambio con terzi e l’utilizzo, a fini commerciali, dei dati dei propri utenti consumatori, incluse le informazioni sui loro interessi “on line”.
3. La prima pratica, ritenuta “ingannevole” e rubricata sub a), consisteva nell’avere adottato, nella fase di prima registrazione dell’utente nella Piattaforma Facebook (sito “web” e “app”), un’informativa ritenuta da Agcm priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti.
4. La pratica sub b), qualificata come “aggressiva”, si concretizzava nella applicazione, in relazione agli utenti registrati sulla piattaforma, di un meccanismo che, secondo la ricostruzione dell’Autorità, comportava la trasmissione dei dati degli utenti dalla Piattaforma del “social network” ai siti “web/app” di terzi e viceversa, senza preventivo consenso espresso dell’interessato, per l’uso degli stessi a fini di profilazione e commerciali.
5. Al procedimento partecipavano anche talune associazioni a tutela degli interessi dei consumatori, tra cui Altroconsumo, Movimento Difesa del Cittadino e Unione Nazionale Consumatori.
6. Il procedimento si concludeva con l’impugnato provvedimento n. 27432 del 29 novembre 2018 con il quale Agcm, conformemente al parere espresso dall’Autorità per le garanzie nelle comunicazioni (“AgCom”) deliberava che: la pratica a) posta in essere da Facebook Inc. e Facebook Ireland Ltd. costituiva una pratica commerciale scorretta ai sensi degli artt. 21 e 22, del Codice del Consumo; la pratica b) era scorretta ai sensi degli artt. 24 e 25, del Codice del Consumo. Vietava, altresì, la continuazione di entrambe le pratiche e applicava ad entrambe le società, in solido, due distinte sanzioni amministrative, ciascuna pari a € 5.000.000,00. Era, inoltre, imposta la pubblicazione, a loro cura e spese, di una dichiarazione rettificativa allegata al provvedimento, ai sensi dell’articolo 27, comma 8, del Codice del Consumo, secondo le modalità riportate nel provvedimento stesso.
7. Avverso il provvedimento sanzionatorio Facebook Ireland ha presentato ricorso, chiedendone l’annullamento per i seguenti motivi:
I. Difetto assoluto di attribuzione dell'AGCM, in quanto non si tratta di pratiche commerciali, in mancanza di un corrispettivo patrimoniale e quindi della necessità di tutelare l'interesse economico dei consumatori. Violazione degli artt. 18 ss. del Codice del Consumo e della Direttiva 2005/29/CE (“Direttiva sulle pratiche commerciali sleali”).
Il primo vizio che secondo parte ricorrente inficia il provvedimento, anche sotto il profilo della nullità per carenza di attribuzione, è la circostanza che non sussisteva alcuna pratica commerciale e, quindi, alcuna competenza dell'Agcm. Ciò in quanto, deduce la ricorrente, il servizio di Facebook è fornito agli utenti gratuitamente, nel senso tecnico (ed oggettivo) che nessun corrispettivo patrimoniale (nemmeno indiretto) è richiesto. Richiamata la direttiva europea in materia di pratiche commerciali sleali, Facebook Ireland afferma che occorre che un consumatore acquisti e paghi (o sia indotto ad acquistare o pagare) un prodotto, perché si possa ipotizzare una pratica commerciale scorretta.
II. Difetto assoluto di attribuzione dell'AGCM, “ratione materiae”, ossia in quanto la disciplina da applicare era unicamente quella sulla “privacy” (Regolamento UE 2016/679, "Regolamento privacy"). Violazione del principio di specialità, di cui all'art. 3, co. 4, della Direttiva sulle pratiche commerciali sleali. Violazione del Regolamento Privacy.
La pratica in questione sarebbe comunque assorbita completamente (attenendo all'uso di dati personali) nella disciplina europea sulla “privacy”, sulla base del principio di specialità di cui all'art. 3, comma 4, della Direttiva sulle pratiche commerciali sleali. La disciplina “privacy” si occuperebbe direttamente e compiutamente dei profili oggetto di controversia, anche in vista della affermazione del principio di correttezza e trasparenza nei rapporti tra professionisti e consumatori, ai sensi del “considerando” 39 del Regolamento UE 2016/679 (“Regolamento privacy”).
III. Violazione della riserva di regolamento UE, quale stabilita dall'art. 288, co. 2, TFUE e dalla giurisprudenza dell'Unione Europea. Violazione del considerando 13 del Regolamento UE 2016/679.
Il “Regolamento privacy”, in ragione della sua natura, non poteva essere messo in discussione o anche solo integrato da un atto legislativo nazionale in tema di pratiche commerciali scorrette, dovendo trovare prevalente applicazione in tutte le fattispecie di uso dei dati personali di consumatori.
IV. Violazione del principio di specialità in materia sanzionatoria. Violazione dell'art. 9, l. 689/1981. Violazione dei principi sul concorso apparente di norme sanzionatorie.
Poiché tra le “sanzioni privacy” ipoteticamente infliggibili e quelle per pratiche commerciali scorrette sussiste, secondo la prospettazione di parte ricorrente, un rapporto di specialità in favore delle prime, unicamente queste sarebbero ipotizzabili in presenza di un illecito, inteso come fatto storico della condotta, da non considerare in termini astratti o in relazione ai beni giuridici protetti dalla varie discipline sanzionatorie.
V. Violazione dell'art. 56 del Regolamento UE 2016/679. Difetto assoluto di attribuzione.
Ai sensi del “Regolamento privacy”, sussisterebbe la competenza esclusiva all'Autorità capofila (nella specie l'Autorità privacy irlandese, data la sede del titolare del trattamento dei dati) in qualità di unico interlocutore per quanto riguarda il trattamento transfrontaliero. Ne consegue, secondo la tesi di parte ricorrente, che nessuna Autorità italiana (anche se per ipotesi competente in materia di “privacy”) avrebbe potuto esercitare diretti poteri di controllo e sanzione sulle pratiche qui in questione, dato che il trattamento dei dati non riguardava la sola Italia ma aveva carattere europeo.
VI. Violazione del principio di legalità/prevedibilità. Violazione dell'art. 7 CEDU e dell'art. 25 Cost.. Violazione del considerando 13 del Regolamento UE 2016/679.
Facebook sarebbe stata sanzionata sulla base di una disciplina (quella sulle pratiche commerciali scorrette) la cui applicazione era imprevedibile e nuova, venendo in considerazione quanto meno una interpretazione estensiva, vietata dall’art. 7 CEDU, delle sanzioni sulle pratiche commerciali al diverso tema della gestione dei dati personali e comunque a pratiche in cui non viene in questione un interesse economico diretto del consumatore.
VII. Inesistenza di qualsivoglia condotta in violazione della disciplina sulle pratiche commerciali scorrette. Violazione del Codice del Consumo e della disciplina “privacy”. Inesigibilità della condotta richiesta per irrisolvibile contraddittorietà tra gli standard “privacy” e quelli prospettati dall'AGCM.
In relazione alla condotta sub a), le contestazioni dell’Autorità sarebbero infondate in quanto i consumatori medi non sarebbero fuorviati dalla descrizione del servizio come “gratuito” e Facebook Ireland fornirebbe continuamente ai propri utenti informazioni trasparenti ed esaustive sul trattamento dei dati e su come gli stessi possano, in qualsiasi momento, gestire i propri dati e modificare le preferenze espresse in precedenza.
Quanto alla pratica sub b), il Provvedimento affermerebbe erroneamente l’esistenza di un generale inconsapevole ed automatico trasferimento dei dati degli utenti. In ogni caso, la pratica non potrebbe dirsi “aggressiva”, mancando comportamenti invasivi della libertà di scelta del consumatore. Afferma parte ricorrente che Facebook si sarebbe limitata a fornire agli utenti informazioni chiare, trasparenti e complete sulle conseguenze derivanti dalla disattivazione della Piattaforma, senza alcun condizionamento della volontà del consumatore per indurlo ad effettuare una scelta di cui non fosse convinto.
Inoltre, qualora si ritenesse che Facebook Ireland avesse posto in essere comportamenti contrari al Codice del Consumo, si tratterebbe al massimo di un’unica pratica commerciale scorretta, non aggressiva, in quanto la pratica sub b) dovrebbe ritenersi assorbita della pratica sub a).
VIII. In via subordinata, violazione del principio di proporzionalità quanto all'obbligo di pubblicazione della dichiarazione rettificativa e alle misure imposte per superare la pretesa condotta illecita. Violazione degli artt. 24 e 41 Cost.
In subordine all’accoglimento dei precedenti motivi, Facebook Ireland contesta anche l’obbligo di pubblicare la dichiarazione rettificativa, nonché quello di porre fine alle presunte infrazioni in solo 90 giorni.
Quanto alla dichiarazione rettificativa, essa è considerata eccessivamente gravosa ed invasiva, in quanto incrinerebbe il rapporto di fiducia con gli utenti e le modalità di pubblicazione prescritte dall’Autorità sarebbero sproporzionate rispetto alla finalità perseguita.
Non sarebbe proporzionato nemmeno l’invito alla cessazione delle violazioni da realizzare entro 90 giorni, in quanto le misure richieste imporrebbero a Facebook notevoli cambiamenti sulla propria infrastruttura, i quali, anche se formalmente solo a livello italiano, si imporrebbero di fatto a livello globale, dato l'intrinseco carattere unitario di un “social media”.
8. L’Agcm si è costituita in giudizio, chiedendo la reiezione del ricorso siccome infondato. Si è costituita in giudizio anche Altroconsumo, insistendo nell’infondatezza del gravame.
9. Alla camera di consiglio del 16 gennaio 2019 la domanda cautelare presentata unitamente al ricorso è stata accolta limitatamente alla sospensione dell’imposizione dell’obbligo di esporre e pubblicare la dichiarazione rettificativa, in considerazione delle difficoltà tecniche prospettate dalla ricorrente, anche in ordine ai tempi necessari per la completa ottemperanza.
10. All’esito della udienza pubblica del 17 aprile 2019, è stata disposta istruttoria al fine di acquisire dalla parte ricorrente informazioni relative a talune modifiche sulle proprie condizioni d’uso, relative alle modalità di utilizzo dei dati dei consumatori, in procinto di essere adottate a seguito di un impegno assunto con la Commissione europea.
11. Parte ricorrente ha depositato in data 28 giugno 2019 una memoria e documenti, al fine di fornire i chiarimenti richiesti.
12. In vista della nuova udienza fissata per la trattazione della causa, le parti hanno depositato ulteriori memorie, insistendo nelle reciproche posizioni.
13. All’udienza pubblica del 18 dicembre 2019, uditi per le parti i difensori presenti e su loro conforme richiesta, la causa è stata trattenuta in decisione.

Diritto

1. La controversia ha ad oggetto due distinte condotte poste in essere da Facebook e sanzionate dall’Agcm in quanto ritenute, rispettivamente, ingannevoli e aggressive nei confronti dei consumatori.

2. La prima pratica riguarda la fase di registrazione dell’utente nella Piattaforma FB (sito “web” e “app”) e consiste nel rilascio di un’informativa ritenuta poco chiara e incompleta.
Nello specifico, l’Autorità rilevava che ”Sino al 15 aprile 2018, l’utente che accedeva alla homepage di FB per registrarsi sulla Piattaforma (sito web e app), a fronte di un claim sulla gratuità del servizio offerto “Iscriviti E’ gratis e lo sarà per sempre”, non trovava un altrettanto evidente e chiaro richiamo sulla raccolta e uso a fini commerciali dei propri dati da parte di FB” (cfr. par. 18 del provvedimento).

L’informazione era ritenuta non veritiera e fuorviante in quanto la raccolta e lo sfruttamento dei dati degli utenti a fini remunerativi si configurava come contro-prestazione del servizio offerto dal “social network”, perché dotati di valore commerciale. In particolare, osservava Agcm, “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.”.

3. La seconda pratica concerne il meccanismo che comporta la trasmissione dei dati degli utenti dalla Piattaforma (sito “web/app”) del “social network” ai siti “web/app” di terzi e viceversa. Agcm ha ritenuto che tale trasmissione avvenisse con modalità insistenti e tali da condizionare le scelte del consumatore. Nello specifico, rilevava che la Piattaforma “risultava (…) automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out” (par. 59). Osservava anche che “l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le limitazioni sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario”, con l’effetto di indurlo a non modificare la scelta operata dalla società (par. 61).

4. Preliminarmente, il Collegio non accoglie l’istanza al superamento del numero massimo di pagine, presentata dalla parte ricorrente successivamente alla presentazione del ricorso. Ciò in quanto, pur avendo argomentato l’esponente in ordine alla ricorrenza dei presupposti di cui all’art. 6 del decreto del Presidente del Consiglio di Stato n. 167 del 22 dicembre 2016 - e quindi alla ricorrenza delle condizioni che legittimano la proposizione della richiesta di superamento - non ha poi individuato “gravi e giustificati motivi” che, ai sensi del successivo articolo 7, legittimano la proponibilità dell’autorizzazione successiva in luogo di quella preventiva.

5. Passando all’esame del merito della controversia, per ragioni di carattere espositivo saranno in primo luogo scrutinati i motivi di ricorso in relazione alla prima condotta sanzionata.

6. Le censure di parte ricorrente riguardano innanzitutto la carenza di potere dell’Agcm, che avrebbe invaso un campo di esclusiva competenza dell’Autorità garante per la “privacy”, in quanto: non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare; gli obblighi asseritamente violati sarebbero tutti attinenti al diverso profilo del trattamento dei dati personali degli utenti, disciplinato unicamente dal “Regolamento privacy” che, in virtù del principio di specialità, assorbirebbe la condotta in questione.

Le doglianze non possono essere condivise.

Le tesi di parte ricorrente presuppongono che l’unica tutela del dato personale sia quella rinvenibile nella sua accezione di diritto fondamentale dell’individuo, e per tale motivo Facebook era tenuta esclusivamente al corretto trattamento dei dati dell’utente ai fini dell’iscrizione e dell’utilizzo del “social network”. Tuttavia, tale approccio sconta una visione parziale delle potenzialità insite nello sfruttamento dei dati personali, che possono altresì costituire un “asset” disponibile in senso negoziale, suscettibile di sfruttamento economico e, quindi, idoneo ad assurgere alla funzione di “controprestazione” in senso tecnico di un contratto.
A fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.

Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

7. La possibilità di uno sfruttamento economico del dato personale nell’ambito delle “piattaforme social” e la conseguente necessità di tutelare il consumatore che le utilizzi non può neppure definirsi, come prospettato da Facebook, un concetto del tutto innovativo, frutto di una interpretazione “estensiva” di norme sanzionatorie, come tale contraria al principio di prevedibilità.

Già negli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016, la Commissione Europea aveva affermato che “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto”.

La stessa Agcm, conformemente alle indicazioni provenienti in ambito comunitario, aveva sanzionato l’11 maggio 2017 con il provvedimento PS10601 un operatore di “social network” per pratiche commerciali scorrette nei confronti della propria utenza, osservando che il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di “marketing” “…acquista, proprio in ragione di tale uso, un valore economico idoneo, dunque, a configurare l’esistenza di un rapporto di consumo tra il Professionista e l’utente” (cfr. il par. 54 del richiamato provvedimento).

Anche nella decisione della Commissione Europea del 3 ottobre 2014 e pubblicata il 19 novembre 2014, che ha autorizzato la concentrazione relativa all’acquisizione da parte di Facebook di tale operatore di “social network”, erano presenti considerazioni sul valore economico dei dati degli utenti.

Da ultimo, l’esistenza di prestazioni corrispettive nei contratti per la fornitura di servizi di “social media” è stata affermata anche dal “network” europeo di autorità nazionali per la cooperazione della tutela dei consumatori di cui al Regolamento 2006/2004/CE. Nell’affrontare il tema della possibile contrarietà delle Condizioni d’Uso della piattaforma Facebook alla direttiva 93/13/CEE, concernente le clausole abusive nei contratti con i consumatori, il network ha avuto modo di affermare che tale direttiva “si applica a tutti i contratti tra consumatori e professionisti, a prescindere dalla natura onerosa di tali contratti, inclusi i contratti in cui il contenuto e la profilazione generati dal consumatore rappresentano la controprestazione alternativa al denaro” (cfr. pag. 19 della lettera del 9 novembre 2016 inviata a Facebook con cui è stata trasmessa la Posizione Comune del Network, allegata alla memoria di parte ricorrente del 28 giugno 2019).


8. Deve anche escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”.

La non sovrapponibilità dei piani relativi alla tutela della “privacy” e alla protezione del consumatore si desume dalle considerazioni svolte dalla Corte di giustizia dell’Unione Europea, del 13 settembre 2018, nelle cause riunite C 54/17 e C 55/17, nella quale si è statuito che la disciplina consumeristica non trova applicazione “unicamente quando disposizioni estranee a quest’ultima, disciplinanti aspetti specifici delle pratiche commerciali sleali, impongono ai professionisti, senza alcun margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29”.
Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole.
9. Per le medesime ragioni, non esiste neppure il paventato rischio di un effetto plurisanzionatorio della medesima condotta (intesa come identico fatto storico) posta in essere dal professionista che gestisce il “social network”. L’oggetto di indagine da parte delle competenti autorità riguarda, infatti, condotte differenti dell’operatore, afferenti nel primo caso al corretto trattamento del dato personale ai fini dell’utilizzo della piattaforma e nel secondo caso alla chiarezza e completezza dell’informazione circa lo sfruttamento del dato ai fini commerciali.
10. Dunque, in termini generali, il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili da tali dati saranno usate per finalità commerciali che vanno al di là della utilizzazione nel solo “social network”: in assenza di adeguate informazioni, ovvero nel caso di affermazioni fuorvianti, la pratica posta in essere può quindi qualificarsi come ingannevole.
11. La prima condotta sanzionata presenta effettivamente tale carattere, in quanto il “claim” utilizzato da Facebook nella pagina di registrazione per invogliare gli utenti a iscriversi (“Iscriviti E’ gratis e lo sarà per sempre”) lasciava intendere l’assenza di una controprestazione richiesta al consumatore in cambio della fruizione del servizio.
In proposito, parte ricorrente non può essere seguita laddove sostiene che il richiamo al concetto di gratuità sarebbe giustificato dalla mancata richiesta del pagamento di una somma di denaro e che il consumatore medio attribuirebbe a tale termine, nella sua accezione comune, il significato di mera assenza di un corrispettivo patrimoniale. La pratica, infatti, è stata sanzionata in ragione della incompletezza delle informazioni fornite, che a fronte del “claim” di “gratuità” del servizio non consentivano al consumatore di comprendere che il professionista avrebbe poi utilizzato i dati dell’utente a fini remunerativi, perseguendo un intento commerciale (cfr. par. 55 provv.).
In argomento, il provvedimento ha fornito una puntuale motivazione, supportata da una adeguata istruttoria, sulla carenza di sufficienti informazioni, nel processo di registrazione, circa il valore commerciale dei dati e allo scopo commerciale perseguito.
L’affermazione di parte ricorrente secondo cui l’onere informativo imposto a Facebook imporrebbe uno standard inconciliabile con gli Orientamenti sulla trasparenza ai sensi del “Regolamento Privacy” rimane indimostrata e, anzi, contraddetta dagli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 2016, che impongono espressamente ai professionisti di non occultare l’intento commerciale di una pratica.
La circostanza, poi, che ai fini della predisposizione della cosiddetta “informativa privacy” i relativi orientamenti suggeriscano una suddivisione in sezioni ovvero “stratificata on line” non è rilevante ai fini della carenza informativa del “claim” rilevata dall’Autorità, in ragione della diversità dei campi di applicazione e degli strumenti di tutela previsti dalle relative normative di settore.
12. L’Autorità nel provvedimento impugnato ha anche ampiamente confutato le tesi di parte ricorrente circa la completezza e chiarezza delle informazioni successivamente accessibili tramite “link” alla Normativa dati, alle Condizioni d’uso e alla Normativa Cookie, rilevando, alla stregua di un giudizio logicamente formulato, come le informazioni in questione non fossero né chiaramente né immediatamente percepibili. Quanto al “banner cookie”, inserito successivamente all’avvio del procedimento, è stato legittimamente ritenuto dall’Autorità inidoneo a far venire meno l’omissione e l’ingannevolezza riscontrata, in quanto “oltre a non essere contestuale alla registrazione in FB, risulta generico oltreché scarsamente esplicativo e, laddove visualizzato in tale fase, nemmeno adiacente al pulsante di creazione dell’account” (par. 21).
13. Dunque, il giudizio di ingannevolezza della condotta sub a) formulato nel provvedimento impugnato si sottrae ai vizi denunciati, risultando corretta la valutazione della Autorità circa l’idoneità della pratica a trarre in inganno il consumatore e a impedire la formazione di una scelta consapevole, omettendo di informarlo del valore economico di cui la società beneficia in conseguenza della sua registrazione al “social network”.
14. Quanto alle doglianze circa l’obbligo di pubblicare una dichiarazione rettificativa, occorre premettere che si tratta di una misura accessoria prevista dell’art. 27, comma 8, del codice del consumo, secondo cui, con il provvedimento che irroga la sanzione pecuniaria, “può essere disposta, a cura e spese del professionista, la pubblicazione della delibera, anche per estratto, ovvero di un’apposita dichiarazione rettificativa, in modo da impedire che le pratiche commerciali scorrette continuino a produrre effetti”.
Si è chiarito che la dichiarazione non ha lo scopo di sanzionare l'operatore pubblicitario, ovvero di risarcire i soggetti già lesi dal messaggio, bensì di impedire, da un lato, eventuali future riedizioni del messaggio e dall’altro di contrastare l’eventuale persistere degli effetti del “claim” ingannevole. Di conseguenza, le modalità e le forme di detta pubblicazione sono rimesse alla valutazione discrezionale dell'Autorità e condizionate dalla necessità di raggiungere lo scopo per il quale essa è stata disposta (cfr. Tar Lazio, sez. I, n. 2306/2007; Cons. Stato, sez. VI, 21 luglio 2003 n. 4211).
L’obbligo di pubblicazione della dichiarazione risulta del tutto giustificato, avuto riguardo alle finalità perseguite, e proporzionato, quanto alle modalità imposte, alla diffusione del messaggio.
In argomento, le critiche nel ricorso secondo cui la pubblicazione della dichiarazione incrinerebbe il rapporto di fiducia con gli utenti non possono assumere rilevanza, trattandosi di valutazioni, indimostrate, di opportunità, che impingono nella sfera di discrezionalità riservata all’Autorità ma non determinano una potenziale illegittimità del provvedimento nella parte “de qua”.
Anche le censure relative al difetto di proporzionalità della misura rispetto allo scopo che persegue non si palesano fondate, alla luce delle modalità tecniche previste dalla stessa Autorità, che richiede la visibilità “mirata” della stessa solo a chi acceda alla “homepage” di Facebook o alla relativa “app”, per un periodo di tempo circoscritto (pari a venti giorni), e a ciascun utente registrato per una sola volta in occasione del suo primo accesso alla propria pagina personale Facebook.

Infine, quanto alle deduzioni di Facebook, compendiate in una relazione tecnica allegata al ricorso, in cui si sostiene di non potere ottemperare pienamente alla misura imposta dall’Autorità, anche in ragione della genericità di alcune indicazioni, il Collegio osserva, in relazione alle criticità ravvisate sulle modifiche da apportare alla “app” di Facebook, che non risulta dimostrata l’impossibilità tecnica di realizzarle attraverso il rilascio di un aggiornamento dell’applicazione.

Quanto alle altre difficoltà tecniche prospettate dalla ricorrente (quali quelle relative al formato della dichiarazione e alla visualizzazione del “pop-up” agli utenti italiani e per una sola volta) si tratta di questioni di carattere interpretativo, che non incidono sulla corretta imposizione della misura ma al più potranno essere affrontate dalla parte e dall’Autorità in sede di verifica dell’ottemperanza al provvedimento stesso, entro il cui ambito l’Agcm sarà tenuta a fornire a Facebook ogni chiarimento necessario per consentire una compiuta esecuzione della misura.

15. E’ possibile passare allo scrutinio delle censure riguardanti la pratica sub b) descritta nel provvedimento impugnato, che ha ad oggetto il meccanismo di trasmissione dei dati degli utenti registrati a Facebook dalla Piattaforma (sito “web/app”) del social network ai siti “web/app” di terzi.

L’Autorità ha rilevato che la Piattaforma era “automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out”. L’Autorità ha affermato che l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le conseguenze per lui penalizzanti, sia nella fruizione del “social network”, sia nella accessibilità e utilizzo dei siti “web” e “app” di terzi, sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario (par. 61).

In definitiva, secondo l’Autorità, nonostante alcune modifiche operate dal professionista dopo l’avvio del procedimento sanzionatorio, sussisteva una pratica commerciale aggressiva in quanto Facebook continuava nella condotta di “preflaggare le opzioni a disposizione dell’utente e di disincentivarne la deselezione ricorrendo all’uso di espressioni atte a condizionare l’utente sulla reale portata delle conseguenze derivanti dalla deselezione medesima” (par. 63).

L’Autorità contesta, quindi, alla parte ricorrente l’esistenza di una “pre-attivazione” della piattaforma che, in ragione del meccanismo di “opt-in” preimpostato, non consentirebbe agli utenti di comprendere la modalità e finalità di utilizzo, sia da parte dei terzi che da parte di Facebook, dei dati raccolti a seguito dell’integrazione tra piattaforme.

16. La ricostruzione del modello di funzionamento del meccanismo di integrazione delle piattaforme riportata nel provvedimento sconta dei travisamenti in punto di fatto che, come dedotto nel settimo motivo di ricorso, nella sezione B), lett. i), inficiano la correttezza del percorso motivazionale seguito dall’Autorità.
Difatti, come documentato nell’allegato rubricato “doc. n. 5” al ricorso, al fine di realizzare l’integrazione, è necessario compiere numerosi passaggi, che si concludono solo quando, una volta raggiunta tramite il “login” di Facebook la “app” di terzi, l’utente decide di procedere alla sua installazione.

Dunque, la “pre-attivazione” della piattaforma Facebook (vale a dire la “pre-selezione” delle opzioni a disposizioni) non solo non comporta alcuna trasmissione di dati dalla piattaforma a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme. L’affermazione dell’Autorità secondo cui la piattaforma di Facebook era “automaticamente attivata con validità autorizzativa generale” non risulta, in definitiva, corretta, avendo di converso dimostrato il professionista che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web”.

Deve, poi, osservarsi, che il giudizio circa la presunta natura “aggressiva” delle locuzioni usate per disincentivare l’utente dal disattivare la piattaforma risulta non adeguatamente motivato o approfondito, nonché parzialmente contraddittorio, in quanto sono effettivamente presenti delle conseguenze negative in caso di disattivazione. L’utilizzo, poi, da parte di Facebook di espressioni in alcuni casi dubitative in relazione alle possibili limitazioni nell’uso della “app” di terzi nel caso di disattivazione dell’integrazione si giustifica in ragione della circostanza che i dati in oggetto sono, per l’appunto, detenuti e trattati da soggetti terzi.

Anche nei casi in cui determinate applicazioni terze prevedano un meccanismo di integrazione diverso dal “Facebook login” (quali i “plug-in” social “Mi piace” o “Condividi”) Facebook avverte nella Normativa sui dati della possibilità che questi possono ricevere informazioni su ciò che l’utente pubblica o condivide e che “le informazioni raccolte da tali soggetti terzi sono soggette alle loro condizioni e normative, non alle nostre” (cfr. il doc. 6 allegato al ricorso).

Deve anche osservarsi che eventuali contestazioni sulla non pertinenza o eccedenza del trattamento dei dati dell’utente rispetto alla finalità del trattamento stesso sarebbero di competenza dell’Autorità garante per la “privacy”, trattandosi di profili che non incidono sulla libertà di scelta del consumatore.

17. Dunque, il provvedimento dell’Autorità, quanto alla condotta descritta alla lettera sub b), si palesa illegittimo in ragione dei denunciati vizi di cattiva ricostruzione del funzionamento della integrazione delle piattaforme e dell’assenza di elementi sufficienti a dimostrare l’esistenza di una condotta idonea a condizionare le scelte del consumatore.

18. In conclusione, limitatamente all’accertamento dell’illegittimità della condotta sub b) e alle conseguenze - sanzionatorie, inibitorie e di adozione di una dichiarazione rettificativa – imposte dall’Autorità, il provvedimento impugnato deve essere annullato, dovendosene invece confermare la legittimità per la restante parte.
19. L’accoglimento solo parziale del ricorso, nonché il mancato rispetto del principio di sinteticità degli scritti difensivi, giustificano la compensazione delle spese di lite.

P.Q.M.

Il Tribunale Amministrativo Regionale per il Lazio (Sezione Prima), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie in parte e, ai sensi e per gli effetti di cui in motivazione, annulla il provvedimento impugnato, limitatamente alla pratica commerciale descritta alla lettera b).
Compensa le spese.
Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.