Con i provvedimenti n. 29890 e n. 29888, emessi rispettivamente nei confronti di Google (Google Ireland ltd.) e di Apple (Apple Distribution International Ltd.), l’AGCM è intervenuta ancora una volta sulle modalità di raccolta e utilizzo a fini commerciali dei dati dei consumatori da parte degli OTT, sia in fase di creazione dell’account, sia in fase di fruizione dei servizi offerti da ciascuna delle due società.
In entrambi i casi l’Autorità, sulla scorta di quanto deciso da ultimo dal Consiglio di Stato con la sentenza n. 2631/2021 (Facebook), ha affermato la propria competenza ad esaminare la questione, stante il rapporto di complementarietà fra la normativa a tutela dei dati personali e la normativa sul divieto di pratiche commerciali scorrette, che riguarda un diverso campo di protezione del dato personale, inteso quale possibile oggetto di compravendita sia tra gli operatori del mercato, sia tra questi ultimi e gli interessati. Ciò perché “il fenomeno della «patrimonializzazione» del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti nella legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio” (così il provvedimento Google, sulla scorta della sentenza del Consiglio di Stato ricordata sopra).
Partendo da tale presupposto, l’Autorità ha ravvisato nella condotta dei due operatori due distinte pratiche commerciali scorrette:
– una pratica ingannevole, consistente nel fatto che al momento della raccolta del consenso del consumatore all’utilizzo dei suoi dati per finalità commerciali, i due operatori omettono di indicare con chiarezza l’esistenza di tali finalità. In entrambi i casi, rilevano i provvedimenti, le informazioni sull’utilizzo commerciale di tali dati non sono di immediata evidenza né sono esaustive, perché presenti solo in pagine raggiungibili attraverso link di consultazione meramente eventuale, e perché comunque non chiare, volte a porre in evidenza pretesi vantaggi derivanti al consumatore dalla prestazione del consenso;
– e una pratica aggressiva, consistente nell’indebito condizionamento esercitato dal consumatore al momento della creazione dell’account, attraverso caselle preimpostate con la prestazione del più ampio consenso all’utilizzo dei propri dati, salva la possibilità di opt-out attraverso una procedura complessa e di non immediata esecuzione. Procedimento, questo, che secondo la valutazione dell’Autorità non dà al consumatore la possibilità di effettuare una scelta preventiva ed espressa in ordine alla cessione dei propri dati.
Circa quest’ultimo punto, Apple aveva sostenuto che la base giuridica del trattamento non era costituita dal consenso dell’interessato (condizionato, secondo l’accusa, attraverso l’uso del meccanismo di opt-out), ma dal suo legittimo interesse all’uso per fini di marketing dei dati degli utenti con i quali aveva una relazione continuativa di tipo commerciale, in conformità alla normativa privacy europea. La posizione di rifiuto dell’AGCM sul punto però è stata netta: dopo aver ribadito che la condotta del professionista doveva essere esaminata alla luce del Codice del Consumo, e non di altre normative, ha anche ricordato (punti 97 e 98) che secondo il Garante privacy (provv. 15 gennaio 2020, n. 7) “la regola generale da seguire per il trattamento dei dati per finalità promozionali è quella del previo consenso informato, libero, specifico e documentato degli interessati”, e che il legittimo interesse, quale base giuridica alternativa, “non può surrogare il consenso giuridico dell’interessato quale base del marketing, anche nel caso di marketing diretto”.
I due procedimento si sono conclusi con l’irrogazione ai due professionisti della sanzione massima prevista dalla legge per ciascuna pratica scorretta (per un totale di 10 milioni di euro a carico di ciascuno di essi), e con l’inibitoria, e con l’ordine di pubblicazione di un estratto del provvedimento. Nel caso di Apple, l’Autorità ha osservato con rammarico che la direttiva 2019/2161/UE, che fissa il massimo edittale della sanzione irrogabile al 4% del fatturato annuo del professionista nello stato membro, non è stata ancora recepita nell’ordinamento nazionale, e che quindi allo stato la sanzione irrogata ha una scarsa efficacia deterrente, considerato il fatturato di Apple.
Avv. Paolina Testa
