Si può fare commercio di dati personali? [Consiglio di Stato, sentenza 29 marzo 2021 n. 2631]

di Giuseppe Cassano -

Consiglio di Sato, sentenza 29 marzo 2021 n. 2631; Pres. Sergio Santoro; Est. Stefano Toschei;

 

La nozione di “trattamento” del dato personale, quale emerge ex art. 4, par. 2, GDPR, si traduce in un ambito di riferibilità amplissimo rispetto all’utilizzo del dato così che la disciplina speciale unionale di tutela dei dati personali estende il proprio ambito di applicazione fin dove può giungere qualsiasi forma di relazione umana o automatica del dato personale, senza essere assoluta.

 

Ferma la centralità della disciplina discendente dal GDPR e dai Codici della privacy adottati dai Paesi membri dell’UE in materia di tutela di ogni strumento di sfruttamento dei dati personali, allorquando il trattamento investa e coinvolga comportamenti e situazioni disciplinate da altre fonti giuridiche a tutela di altri valori e interessi (altrettanto rilevanti quanto la tutela del dato riferibile alla persona fisica), l’ordinamento – unionale prima e interno poi – non può permettere che alcuna espropriazione applicativa di altre discipline di settore riduca le tutele garantite alle persone fisiche.

 

L’obbligo di estrema chiarezza gravante sul professionista deve essere da costui assolto sin dal primo contatto, attraverso il quale debbono essere messi a disposizione del consumatore gli elementi essenziali per un’immediata percezione della offerta pubblicizzata.

 

L’espressione “pratiche commerciali scorrette” designa le condotte che formano oggetto del divieto generale sancito dall’art. 20 d.lgs. 206/2005 (Codice del consumo, in attuazione della direttiva del Parlamento europeo e del Consiglio 11 maggio 2005, n. 2005/29/CE). La finalità perseguita dalla direttiva europea consiste nel garantire un elevato livello comune di tutela dei consumatori, procedendo ad un’armonizzazione completa delle norme relative alle pratiche commerciali sleali delle imprese, ivi compresa la pubblicità sleale, nei confronti dei consumatori. Scopo della normativa è quello di ricondurre l’attività commerciale in generale entro i binari della buona fede e della correttezza.

 

…Omissis…

FATTO e DIRITTO

  1. – La presente controversia, nella sede d’appello, muove dalla sentenza del Tribunale amministrativo regionale per il Lazio, Sez. I, 10 gennaio 2020 n. 260 con la quale è stato parzialmente accolto il ricorso (n. R.g. 15275/2018) proposto dalla società Facebook Ireland Limited nei confronti del provvedimento dell’Autorità garante della concorrenza e del mercato n. 27432 adottato in data 29 novembre 2018 con il quale, a conclusione del procedimento istruttorio PS/11112, sono state assunte le seguenti decisioni:
  2. a) che la pratica commerciale descritta al punto II sub a) del presente provvedimento, posta in essere da Facebook Inc e Facebook Ireland Ltd costituisce, per le ragioni e nei limiti esposti in motivazione, una pratica commerciale scorretta ai sensi degli artt. 21 e 22, del Codice del consumo, e ne vieta la continuazione;
  3. b) che la pratica commerciale descritta al punto II sub b) del presente provvedimento, posta in essere da Facebook Inc e Facebook Ireland Ltd costituisce, per le ragioni e nei limiti esposti in motivazione, una pratica commerciale scorretta ai sensi degli artt. 24 e 25, del Codice del consumo, e ne vieta la continuazione;
  4. c) di irrogare alla società Facebook Inc e Facebook Ireland Ltd, in solido, una sanzione amministrativa pecuniaria di 5.000.000 € (cinquemilioni di euro) per la violazione di cui alla lettera a);
  5. d) di irrogare alla società Facebook Inc e Facebook Ireland Ltd, in solido, una sanzione amministrativa pecuniaria di 5.000.000 € (cinquemilioni di euro) per la violazione di cui alla lettera b);
  6. e) che il Professionista comunichi all’Autorità, entro il termine di novanta giorni dalla notifica del presente provvedimento, le iniziative assunte in ottemperanza alla diffida di cui ai punti a) e b);
  7. f) che Facebook Inc e Facebook Ireland Ltd pubblichino, a loro cura e spese, una dichiarazione rettificativa ai sensi dell’articolo 27, comma 8, del Codice del consumo, secondo le seguenti modalità: a) il testo della dichiarazione rettificativa è quello riportato in allegato al presente provvedimento; b) la dichiarazione rettificativa riportata in allegato al presente provvedimento dovrà essere pubblicata: – entro quarantacinque giorni dall’avvenuta notificazione dello stesso sulla homepagedel sito internetaziendale per l’Italia, raggiungibile agli indirizzi https://it-it.facebook.com/ e https://m.facebook.com/, nonché sull’app Facebook, in posizione che consenta una immediata visibilità e di dimensioni pari ad un quinto della stessa; la pubblicazione della dichiarazione rettificativa dovrà permanere per venti giorni; – al primo accesso di ciascun utente registrato italiano sulla propria pagina personale a partire dalla mezzanotte del quarantacinquesimo giorno dall’avvenuta notificazione del provvedimento, attraverso un pop-up a schermata intera; c) la pubblicazione dovrà ricalcare in toto impostazione, struttura e aspetto della dichiarazione rettificativa allegata; d) i caratteri del testo dovranno essere del massimo corpo tipografico compatibile con lo spazio indicato al punto b) e le modalità di scrittura, di stampa e di diffusione non dovranno essere tali da vanificare gli effetti della pubblicazione; e) in particolare, nello spazio di pubblicazione della dichiarazione rettificativa – così come nelle altre pagine web del sito aziendale e nello spazio ulteriore del supporto utilizzato – non dovranno essere riportati messaggi che si pongano in contrasto con il contenuto della dichiarazione stessa o che comunque tendano ad attenuarne la portata e il significato;
  8. g) che la pubblicazione della dichiarazione rettificativa dovrà essere preceduta dalla comunicazione all’Autorità della data in cui la stessa avrà luogo e dovrà essere seguita, entro tre giorni, dall’invio all’Autorità di una copia originale di tale pubblicazione contenente la dichiarazione rettificativa pubblicata”.

Nei confronti della suindicata sentenza di primo grado propongono appello, per ovvi opposti motivi, sia l’Autorità garante della concorrenza e del mercato (d’ora in poi, per brevità l’Autorità ovvero AGCM) e la società Facebook Ireland Limited (d’ora in poi, per brevità, FB Irl.), chiedendone la riforma secondo le prospettazioni contrastanti tra di loro che qui di seguito saranno illustrate.

  1. – In via preliminare e prima ancora di descrivere la vicenda fattuale, identica per entrambi i ricorsi in appello, in quanto i due gravami attengono alla medesima controversia e hanno quale bersaglio la stessa sentenza del Tribunale amministrativo regionale per il Lazio (n. 260/2020), deve disporsi fin d’ora (anche per motivi di logica espositiva) la riunione degli stessi.

Va a tal proposito rammentato, in via generale e per completezza espositiva, che nel processo amministrativo, con riferimento al grado di appello, sussiste l’obbligo per il giudice di disporre la riunione degli appelli allorquando questi siano proposti avverso la stessa sentenza (art. 96, comma 1, c.p.c.), mentre in tutte le altre ipotesi la riunione dei ricorsi connessi attiene ad una scelta facoltativa e discrezionale del giudice, come si desume dalla formulazione testuale dell’art. 70 c.p.a., con la conseguenza che i provvedimenti adottati al riguardo hanno carattere meramente ordinatorio, sono privi di valenza decisoria e restano conseguentemente insindacabili in sede di gravame con l’unica eccezione del caso in cui la medesima domanda sia proposta con due distinti ricorsi dinanzi al medesimo giudice (cfr., tra le ultime, Cons. Stato, Sez. V, 24 maggio 2018 n. 3109).

Al di là dell’obbligo di riunione dei due ricorsi in appello qui in esame, in quanto proposti nei confronti della medesima sentenza di primo grado, emerge poi, in tutta evidenza, la integrale connessione soggettiva ed oggettiva tra gli stessi, recando quali parti processuali le stesse già costituite nel giudizio di primo grado ed avendo ad oggetto la delibazione di motivi di appello dal contenuto pressoché sovrapponibile.

Deriva da quanto sopra che va disposta la riunione del ricorso in grado di appello n. R.g. 1996/2020 al ricorso in grado di appello n. R.g. 1825/2020, in quanto quest’ultimo ricorso in appello è stato proposto in epoca antecedente rispetto al precedente, perché siano decisi in un unico contesto processuale e ciò sia per evidenti ragioni di economicità e speditezza dei giudizi sia al fine di prevenire la possibilità (eventuale) di un contrasto tra giudicati (cfr., ancora, Cons. Stato, Sez. IV, 7 gennaio 2013 n. 22 e 23 luglio 2012 n. 4201)

  1. – Dalla documentazione versata dalle parti qui in controversia nei due gradi di giudizio ed in entrambi i giudizi qui in decisione nonché dalla lettura della sentenza qui fatta oggetto di gravame si può ricostruire la vicenda contenziosa che ha condotto a questo giudizio in sede di appello come segue:

– il 6 aprile 2018 l’Autorità dava avvio ad un procedimento istruttorio (che prendeva numero PS1112) nei confronti delle società Facebook Inc. e Facebook Ireland Limited (quest’ultima, d’ora in poi, per brevità FB Ireland) in quanto veniva loro contestata la messa in campo di due distinte (all’epoca presunte) pratiche commerciali scorrette in violazione degli artt. 20, 21, 22, 24 e 25 d.lgs. 6 settembre 2005, n. 206 (cd. “Codice del consumo”);

– la “Pratica a)-pratica ingannevole” consisteva nelle “violazione degli artt. 20, 21 e 22 del Codice del consumo, in quanto il professionista non informerebbe adeguatamente e immediatamente l’utente, in fase di attivazione dell’account, dell’attività di raccolta e utilizzo, per finalità informative e/o commerciali, dei dati che egli cede, rendendolo edotto della sola gratuità della fruizione del servizio, così da indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso (registrazione al social network e permanenza nel medesimo)”;

– la “Pratica b)-pratica aggressiva) si riferiva alla “violazione degli artt. 20, 24 e 25 del Codice del consumo, in quanto il professionista eserciterebbe un indebito condizionamento nei confronti dei consumatori registrati, i quali, in cambio dell’utilizzo di FB, verrebbero costretti a consentire a FB/terzi la raccolta e l’utilizzo, per finalità informative e/o commerciali, dei dati che li riguardano (informazioni del proprio profilo FB, quelle derivanti dall’uso di FB e dalle proprie esperienze su siti e app di terzi), in modo inconsapevole e automatico, tramite un sistema di preselezione del consenso alla cessione e utilizzo dei dati, risultando indotti a mantenere attivo il trasferimento e l’uso dei propri dati da/a terzi operatori, per evitare di subire limitazioni nell’utilizzo del servizio, conseguenti alla deselezione”;

– nel corso dell’istruttoria FB Irl. opponeva all’Autorità, in prima battuta, il proprio difetto di legittimazione passiva (in quanto soggetto completamente estraneo alla fornitura del servizio in Italia), la carenza di potere in capo all’Autorità di contestare le suddette attività (in quanto trattasi di questioni attinenti alla gestione di dati personali, e, per di più, non è coinvolto l’interesse economico del singolo utente, ma, coerentemente con la natura privacy delle questioni, esclusivamente la tutela di diritti della persona, di carattere non patrimoniale e come tali extra commercium), oltre all’assenza di qualsivoglia elemento utile a considerare alla stregua di pratica commerciali scorrette o ingannevoli le attività più sopra descritte, considerato che era sempre stata osservata e resa la piena e corretta informazione agli utenti da parte di FB Irl.;

– all’esito del procedimento l’Autorità adottava il provvedimento n. 27432 del 29 novembre 2018 confermando integralmente il contenuto delle contestazioni e condannando le due società sottoposte alla procedura per ciascuna delle due contestazioni, infliggendo delle gravi sanzioni pecuniarie nonché rilevanti oneri di pubblicazione e comportamentali per il futuro;

– nello specifico, l’Autorità irrogava a Facebook Inc. e Facebook Ireland Ltd., in solido, due distinte sanzioni amministrative, ciascuna pari a 5.000.000 di euro;

– inoltre, con il provvedimento sanzionatorio l’Autorità disponeva la pubblicazione, a carico delle suddette società e a loro cura e spese, di una dichiarazione rettificativa, allegata al provvedimento, ai sensi dell’articolo 27, comma 8, del Codice del consumo con cui era testualmente specificato quanto segue: “Le società Facebook Inc. e Facebook Ireland Ltd. Non hanno informato adeguatamente ed immediatamente i consumatori, in fase di attivazione dell’account, dell’attività di raccolta, con intento commerciale, dei dati da loro forniti. In tal modo hanno indotto i consumatori a registrarsi sulla Piattaforma Facebook, enfatizzando la gratuità del servizio. Inoltre, hanno esercitato un indebito condizionamento nei confronti dei consumatori registrati, i quali subiscono, senza espresso e preventivo consenso, la trasmissione e l’uso da parte di Facebook e di terzi, per finalità commerciali, dei dati che li riguardano. L’indebito condizionamento deriva dalla preselezione da parte di Facebook delle opzioni sul consenso alla trasmissione dei propri dati da/a terzi, attraverso in particolare l’automatica applicazione della funzione “Piattaforma attiva” unitamente alla prospettazione, a seguito della disattivazione di tale Piattaforma, di rilevanti limitazione di fruibilità del social network e dei siti web/pp di terzi, più ampie e pervasive rispetto a quelle effettivamente applicate. Tali pratiche sono state valutate scorrette, ai sensi dell’art. 21,22, 24 e 25 del Decreto legislativo, n. 205/2005 (Codice del Consumo). L’Autorità ha disposto la pubblicazione della presente dichiarazione rettificativa ai sensi dell’art. 27, comma 8, del Codice del Consumo”;

– nei confronti del suddetto provvedimento insorgevano, per il tramite di due distinti ricorsi, proposti dinanzi al Tribunale amministrativo regionale per il Lazio, Facebook Ireland Ltd contestando numerose illegittimità e chiedendone l’annullamento;

– il TAR per il Lazio, con la sentenza n. 260/2020 (per quanto consta nel presente giudizio), ha accolto parzialmente il ricorso proposto da FB Irl. e con riferimento a quella parte del provvedimento impugnato riferita al comportamento indicato come “Pratica b” le censure dedotte, annullando in parte l’atto sanzionatorio con conseguente travolgimento delle sanzioni a detta pratica riferibili. Il giudice di primo grado respingeva, invece le censure dedotte con riferimento alla parte del provvedimento impugnato riferita alla “Pratica a”, confermando le corrispondenti sanzioni inflitte.

  1. – Come si è già più sopra riferito, nei confronti della sentenza del TAR per il Lazio n. 260/2020 propongono ora appello sia l’Autorità che FB Irl..

Quest’ultima società, con il ricorso in appello n. R.g. 1825/2020, propone i seguenti motivi di riforma della sentenza di primo grado:

1) Difetto assoluto di attribuzione del potere di sanzionare le due società da parte dell’Autorità per insussistenza di pratiche commerciali da porre in osservazione, attesa l’assenza di qualsiasi coinvolgimento di un corrispettivo patrimoniale e quindi della necessità di tutelare l’interesse economico dei consumatori. Nella vicenda che ha ritenuto l’Autorità di approfondire non ci si trova dinanzi ad una pratica commerciale scorretta, di talché neppure poteva dirsi sussistente il potere dell’Autorità di istruire la suddetta procedura e di sanzionare le due società. In particolare, nel caso di specie, non si assiste ad alcuna operazione di acquisto di un prodotto a fronte del pagamento di un prezzo da parte dell’utente di FB e quindi non si assiste a nessun coinvolgimento economico che possa ricondurre la questione nell’ambito del diritto consumeristico. In sostanza, ad avviso dell’appellante, “senza necessità di pagare un prezzo, non vi è nemmeno spazio per ipotizzare una pratica commerciale, né, ovviamente, si può ritenere l’affermazione della gratuità scorretta ed ingannevole (…) Quindi, nel contesto di una attività genuinamente gratuita quale è il servizio FB (dove gli utenti che si registrano possono usufruire di una pluralità di servizi innovativi che consentono loro di entrare in contatto e di comunicare con i propri amici, famiglie e comunità senza pagare alcunché), non vi è spazio, nemmeno teorico, per ipotizzare l’esistenza di una pratica commerciale” (così, testualmente, alle pagg. 8 e 9 dell’atto di appello). Né può immaginarsi possibile, come erroneamente ha inteso rappresentare il giudice di primo grado, che gli utenti cedano i propri dati a FB quale “corrispettivo” per la fornitura del servizio né che la trasmissione di dati personali possa attenere ad una attività economicamente valutabile, se non invece e al più, ad un mero profilo di tutela di alcuni diritti fondamentali della persona di carattere non patrimoniale. D’altronde che i dati personali non possano essere considerati alla stregua di una merce ovvero che il loro utilizzo possa costituire un mezzo di acquisto lo si evince dalla lettura del 24° considerando della direttiva 2019/770 del 20 maggio 2019 (nel quale si manifesta la volontà di “riconoscere appieno che la protezione dei dati personali è un diritto fondamentale e che tali dati non possono dunque essere considerati una merce” nonché dalle indicazioni espresse dal Garante europeo per la protezione dei dati (GEPD) nel parere del 14 marzo 2017 n. 4 (reso sulla proposta della suindicata direttiva) il quale, antiteticamente rispetto alla posizione assunta dalla Commissione europea, ha espresso la sua preoccupazione nei confronti della introduzione di disposizioni dalle quali potesse derivare la facoltà, per le persone, di utilizzare i “dati come controprestazione”, dovendosi evitare di minare l’attento equilibrio raggiunto dal Regolamento europeo sulla privacy (c.d. GDPR) che già fissa in modo compiuto condizioni rigorose per il trattamento dei dati personali nel mercato digitale. La caratterizzazione non corrispettiva e non sinallagmatica del caso in esame è poi confermata dalla circostanza che gli utenti di FB, sono liberi di scegliere la tipologia e la quantità di dati personali che intendono caricare e condividere, così come sono liberi di cancellarli in qualsiasi momento. Del resto gli utenti di FB forniscono volontariamente i propri dati ben prima che gli stessi siano utilizzati per pubblicità, giacché, come per qualsiasi social network, è proprio la condivisione dei dati e di altri contenuti relativi alla propria vita personale lo scopo della raccolta, al netto della circostanza che, anche in ragione delle norme contenute Regolamento eurounitario 679/2016, i dati personali di ciascun individuo costituiscono un bene extra commercium, trattandosi di diritti fondamentali della persona che non possono essere venduti, scambiati o, comunque, ridotti a un mero interesse economico;

2) Difetto assoluto di attribuzione ratione materiae con riferimento all’Autorità. Il giudice di primo grado non ha tenuto affatto in considerazione il principio secondo il quale, ai sensi dell’art. 3, par. 4, della direttiva 2005/29 “In caso di contrasto tra le disposizioni della presente Direttiva e altre norme comunitarie che disciplinino aspetti specifici delle pratiche commerciali sleali, prevalgono queste ultime e si applicano a tali aspetti specifici”. Tale principio trova, in particolare, applicazione nel campo degli obblighi di informazione. Conseguentemente, anche a non considerare che la pratica in esame non riguarda l’acquisto (per un corrispettivo economico o altra forma di pagamento) di un prodotto, e che quindi essa non può soggiacere alla disciplina sulle pratiche commerciali scorrette, comunque ricadrebbe completamente (attenendo chiaramente ed espressamente all’informazione sull’uso di dati personali) nell’ambito di applicazione della disciplina europea e nazionale sulla privacy, sulla base del principio di specialità e di armonizzazione tra le discipline unionali. Quanto sopra, con riferimento all’inapplicabilità al caso di specie della normativa, anche eurounitaria, di diritto consumeristico, con conseguente carenza di potere in capo all’Autorità di contestare prassi commerciali scorrette, in quanto i comportamenti oggetto di rilevazione non costituiscono prassi commerciali e rientrano a pieno titolo nella speciale disciplina della tutela dei dati personali, è significativamente confermato dalla circostanza che la contestazione formulata dall’Autorità con riguardo alla Pratica a), circa l’utilizzo di dati personali per profilare categorie di utenti ai quali inviare pubblicità targettizzate, attiene al settore degli obblighi informativi in materia di profilazione, che sono compiutamente e dettagliatamente disciplinati dal GDPR, con esclusione, quindi, dal raggio di applicazione, della normativa attinente alla tutela dei consumatori. In conclusione l’assenza di un interesse economico esclude radicalmente l’applicabilità della disciplina di cui alla direttiva 2005/29, considerato anche che “nel diritto vivente dell’Unione europea è del tutto consolidato il principio di massima armonizzazione e quindi autosufficienza e completezza della disciplina privacy” (così, testualmente, a pag. 19 dell’atto di appello);

3) Violazione della riserva di regolamento UE, per come fissata dall’art. 288, comma 2, TFUE. La sentenza di primo grado, nel ritenere applicabile al caso di specie (in ciò convergendo con la posizione dell’Autorità) la normativa consumeristica nazionale, erroneamente non ha tenuto conto della portata della previsione contenuta nell’art. 288, comma 2, TFUE in virtù della quale alle disposizioni recate da Regolamenti eurounitari deve attribuirsi non solo forza di immediata penetrazione degli ordinamenti dei paesi membri ma anche, a carico di questi ultimi, ma anche impermeabilità e prevalenza rispetto alle normative interne contrastanti, sicché gli Stati membri hanno l’obbligo di non applicare alcun tipo di provvedimento legislativo, anche posteriore, che sia incompatibile con le disposizioni regolamentari (ovvero integrativo delle stesse), non essendo possibile neppure subordinare la concreta applicazione di un Regolamento ad alcuna disposizione o prassi di carattere nazionale che possa ostacolare l’efficacia immediata della norma regolamentare. Ne deriva che il più volte qui citato Regolamento privacy non può essere messo in discussione o anche solo integrato da un atto legislativo nazionale in tema di pratiche commerciali scorrette, anche perché, contrariamente opinando, non sarebbe neppure possibile assicurare un’applicazione uniforme e certa alle regole sulla gestione dei dati personali in Europa, per come è affermato dal considerando 13 del Regolamento 679/2016 in materia di privacy;

4) Violazione del principio di specialità in materia sanzionatoria e della l. 24 novembre 1981, n. 689. Quanto si è riferito sopra in ordine al principio di specialità nell’ambito del diritto unionale è trasferibile alla violazione del medesimo principio con riguardo alla legge speciale in materia di sanzioni amministrative pecuniarie e in particolare con le disposizioni recate dagli artt. 9 l. 689/1981 e 15 c.p.. Se è vero che il concorso apparente di norme sussiste quando più leggi regolano la stessa materia, intesa come stessa situazione di fatto, ipotesi che si verifica quando il medesimo accadimento concreto, inteso come fatto storicamente determinato, è idoneo ad integrare il contenuto descrittivo di diverse previsioni legislative astratte a carattere sanzionatorio, detta situazione appare essere completamente sovrapponibile alla vicenda qui in esame. In essa, infatti, la contestata modalità di utilizzo dei dati personali dei consumatori, qualora dovesse rinvenirsi in detta attività una condotta scorretta, dovrebbe essere sanzionata secondo le specifiche previsioni della disciplina privacy e non certo sulla base di previsioni più generali quali sono quelle sulle pratiche commerciali scorrette. Da qui, conseguentemente, deriva che anche le sanzioni applicabili dovrebbero essere quelle previste dalla disciplina speciale effettivamente applicabile;

5) Violazione dell’art. 56 del Regolamento UE 2016/679. Il predetto Regolamento eurounitario, nel disciplinare la materia dei trattamenti transfrontalieri di dati su internet, all’art. 56 assegna una competenza esclusiva all’Autorità capofila, che, nella specie coincide con l’Autorità per il trattamento dei dati irlandese, tenuto conto della sede del titolare del trattamento dei dati in questione, Ne deriva che l’AGCM non aveva il potere di indagare sul corretto utilizzo dei dati degli utenti effettuato dal FB (né lo possedeva alcun’altra Autorità italiana), perché tale potere di indagine è dalla normativa eurounitaria assegnato all’Autorità di tutela dei dati personali irlandese che, in virtù delle disposizioni recate dal GDPR e in ragione della circostanza che la società FB Ireland Limited ha sede in Irlanda, è il solo soggetto cui compete il controllo sulle operazioni di trattamento dei dati personali realizzate da FB in Europa e, quindi, anche in Italia. La conseguenza di ciò è la nullità o, comunque, la invalidità del provvedimento impugnato in primo grado;

6) Violazione del principio di legalità/prevedibilità. Da quanto sopra deriva anche che l’intervento sanzionatorio posto in essere dall’Autorità ha violato il principio di cui all’art. 7 CEDU in ragione del quale il privato ha diritto a conoscere e prevedere con ragionevole esattezza le possibili conseguenze pregiudizievoli delle proprie azioni e omissioni, tutela che nel caso di specie non è stata garantita nel momento stesso in cui l’Autorità ha ritenuto possibile sanzionare FB sulla base di una disciplina (quella sulle pratiche commerciali scorrette) la cui applicazione era del tutto imprevedibile e nuova in relazione a discipline speciali, quale è quella del corretto utilizzo dei dati personale di utenti. Le sanzioni inflitte con il provvedimento impugnato si presentano, quindi, in contrasto con il principio di ragionevole prevedibilità della illeceità delle condotte e delle loro possibili conseguenze pregiudizievoli;

7) Inesistenza di qualsivoglia condotta in violazione della disciplina sulle pratiche commerciali scorrette. La condotta contestata dall’Autorità a FB per la Pratica a) è la seguente: “Nella fase di prima registrazione dell’utente nella Piattaforma FB (sito web e app), il Professionista ha adottato un’informativa priva di immediatezza, chiarezza e completezza, in riferimento alla propria attività di raccolta e utilizzo, a fini commerciali, dei dati dei propri utenti”. Va però specificato che gli utenti medi non sono fuorviati dalla descrizione del servizio come “gratuito”, perché il significato di tale termine rappresenta che all’atto della registrazione, con riguardo alla raccolta e all’utilizzo dei dati degli utenti, queste (operazioni) si realizzano senza alcun costo monetario per l’utente. Del resto “l’utente FB sa benissimo, che un sito gratuito non può che reggersi tramite introiti pubblicitari mirati (se non altro perché continuamente sperimenta ed apprezza tali pubblicità “personalizzate”). Peraltro, tale modello di business non è certo proprio solo di FB: al contrario, è tipico di tutti i servizi online gratuiti e quindi vero e proprio fatto notorio” (così, testualmente, a pag. 30 dell’atto di appello). A ciò si aggiunga che, ai fini della contestazione nei confronti di FB, l’Autorità non ha provato che il consumatore medio sarebbe stato indotto ad assumere una decisione di natura commerciale che non avrebbe altrimenti assunto, dovendo anche chiarire in quale modo un servizio gratuito possa determinare un vulnus per il consumatore-utente ovvero costituire una informazione non trasparente o non esaustiva. In tale contesto va aggiunto che l’utilizzo di informazioni stratificate tramite link è del tutto legittimo e coerente con l’obiettivo di fornire informazioni organiche, chiare e complete, per come si evince sia dalla previsione contenuta nell’art. 12, par. 7, del GDPR sia nelle Linee guida in materia di processi decisionali automatizzati e profilazione, create dal Gruppo di lavoro Art. 29 per la protezione dei dati, che al punto 35 dei propri Orientamenti (Allegato 1 – Raccomandazioni sulle buone prassi), “raccomanda in particolare l’impiego di dichiarazioni/informative sulla privacy stratificate per collegare le varie categorie d’informazioni da fornire all’interessato, piuttosto che l’inserimento di tutte le informazioni in un’unica informativa sulla schermata”;

8) Violazione del principio di proporzionalità quanto all’obbligo di pubblicazione della dichiarazione rettificativa e alle misure imposte per superare la pretesa condotta illecita. Ad ogni modo e in disparte tutto quanto esemplificato nel motivare le censure che dovrebbero condurre all’annullamento del provvedimento sanzionatorio per illegittimità strutturali della contestazione mossa a FB, sta di fatto che la sentenza qui oggetto di appello ha erroneamente ritenuto proporzionata l’entità delle sanzioni inflitte, ivi compresi l’obbligo imposto di pubblicare la dichiarazione rettificativa e quello di porre fine alle presunte infrazioni. La pubblicazione della dichiarazione che l’Autorità ha imposto quale sanzione ulteriore rispetto a quella pecuniaria finirebbe con l’incrinare significativamente il rapporto di fiducia con gli utenti, insinuando in questi ultimi il dubbio di un loro complessivo (e occulto) sfruttamento. A ciò si aggiunga che la prescrizione, imposta anch’essa dall’Autorità, che vieta a FB di indicare qualsiasi formulazione nella dichiarazione idonea ad attenuarne la portata, si presenta dai contenuti indefiniti e indeterminati, tanto da poter supporre che essa si spinga fino al punto di voler impedire a FB persino di menzionare l’esercizio del proprio diritto all’esercizio di un’azione giudiziale. La “misura prevede prescrizioni chiaramente spropositate, rispetto alla finalità perseguita, anche in termini di dimensioni, carattere e utilizzo di pop up (…) pure la prescrizione per cui a ogni primo accesso di un utente si visualizzi la dichiarazione, con la conseguente necessità di mantenerla operativa potenzialmente per anni (a seconda della scelta, imprevedibile, dell’utente di accedere anche a distanza di molto tempo), è del tutto eccessiva” (così, testualmente, a pag. 37 dell’atto di appello). Quanto alla “cessazione delle violazioni, le misure richieste imporrebbero a FB alcuni notevoli cambiamenti sulla propria infrastruttura a seguito dei quali la stessa funzionerebbe diversamente – nella fase di registrazione – solo in Italia, con un impatto evidente e sproporzionato sulla uniformità della presentazione del servizio e del marchio” (così ancora, testualmente, a pag. 38 dell’atto di appello).

  1. – Con il ricorso in appello n. R.g. 1996/2020, l’Autorità chiede anch’essa la riforma della sentenza del TAR per il Lazio n. 260/2020, in questo caso (differentemente dall’altra appellante, ovviamente) nella parte in cui ha accolto, con riferimento alla Pratica b), l’impugnazione proposta in primo grado da FB Irl.

Con un unico e complesso motivo d’appello l’Autorità contesta, con riferimento alla sentenza qui oggetto di gravame, nella parte in cui il TAR per il Lazio ha accolto il ricorso di primo grado nella parte riferita alla c.d. Pratica b), ritenuta dall’Autorità come aggressiva, la violazione della normativa in materia di pratiche commerciali aggressive e delle relative disposizioni del Codice del consumo nonché il travisamento dei fatti e l’erroneità della motivazione.

Ad avviso dell’Autorità erra il primo giudice allorquando, con riferimento alla Pratica b), osserva testualmente, al fine di escludere la riconducibilità a “pratica aggressiva”, del comportamento contestato alle due società, che:

  1. a) “la “preattivazione”della piattaforma Facebook (vale a dire la “pre-selezione” delle opzioni a disposizioni) nonsolo non comporta alcuna trasmissione di dati dalla piattaforma a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme”;
  2. b) “al fine di realizzare l’integrazione, è necessario compiere numerosi passaggi, che si concludono soloquando, una volta raggiunta tramite il login di Facebook la “app” di terzi, l’utente decide di procederealla sua installazione”;
  3. c) quindi “l’affermazione dell’Autorità secondo cui la piattaforma di Facebook era “automaticamente attivata con validità autorizzativa generale” non risulta, in definitiva, corretta, avendo di converso dimostrato il professionista che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web”;
  4. d) con la ulteriore conseguenza che “il giudizio circa la presunta natura “aggressiva” delle locuzioni usate per disincentivare l’utente dal disattivare la piattaforma risulta non adeguatamente motivato o approfondito, nonché parzialmente contraddittorio, in quanto sono effettivamente presenti delle conseguenze negative in caso di disattivazioneL’utilizzo, poi, da parte di Facebook di espressioni in alcuni casi dubitative in relazione alle possibili limitazioni nell’uso della “app” di terzi nel caso di disattivazione dell’integrazione si giustifica in ragione della circostanza che i dati in oggetto sono, per l’appunto, detenuti e trattati da soggetti terzi.”.

In particolare, secondo l’Autorità appellante, erra il primo giudice che, nell’annullare in parte qua il provvedimento sanzionatorio adottato dall’Autorità, ritiene non corretto il ragionamento sviluppato dall’AGCM nel considerare aggressiva la “Pratica b)” a causa della cattiva ricostruzione operata dalla medesima Autorità in ordine al funzionamento della integrazione delle piattaforme nonché a causa dell’assenza di elementi sufficienti a dimostrare l’esistenza di una condotta idonea a condizionare le scelte del consumatore, in quanto l’Autorità non ha contestato alle due società il solo fatto di avere programmato la pre-attivazione della piattaforma Facebook in modo da determinare un immediato trasferimento di dati a soggetti terzi, quanto piuttosto (e in ciò si compendierebbe la contestata Pratica b) aggressiva) di avere le due società utilizzato un ripetuto meccanismo c.d. opt-out, complessivamente ritenuto aggressivorispetto alla decisione commerciale che il consumatore è chiamato ad assumere in ordine alla cessione dei suoi dati da FB a terzi per lo svolgimento di successive attività commerciali e ciò in disparte dalla circostanza che i dati fossero o meno immediatamente trasferiti da FB ai soggetti terzi.

Diversamente da quello che ha ritenuto di osservare il Tribunale amministrativo regionale e per come invece la stessa Autorità aveva chiarito nella motivazione del provvedimento impugnato, emergeva che, in base alle risultanze istruttorie e con riferimento alla circostanza, sottolineata dal primo giudice, che il trasferimento dei dati avverrebbe solo a seguito del completamento di ulteriori “passaggi”, nel corso dei quali l’utente potrebbe decidere di fare “opt in” alla condivisione dei dati che potrebbero essere richiesti dalle terze parti, tali ulteriori “passaggi” implicano, però e in ogni caso, un “opt-out”, ovvero non prevedono una scelta in “opt-in” consapevole dell’utente in merito ai dati da condividere con i terzi, ma solo una eventuale deselezione di scelte già operate da FB.

L’Autorità, in conclusione e in disparte la segnalata difficoltà di comprendere quale ruolo giochi nel contatto con l’utente l’attività di preattivazione della Piattaforma, in quanto dalla stessa Relazione tecnica prodotta da FB si evince che detta attività di preattivazione non consentirebbe alcuna integrazione con terze parti né il trasferimento dei dati, puntualizza che l’accertamento dell’aggressività della pratica è dimostrato proprio dal ripetuto meccanismo di pre-selezione (opt-out) applicato da FB agli utenti, anche nei “numerosi passaggi” successivi alla creazione dell’account e alla preattivazione della Piattaforma, durante i quali l’utente/consumatore non è mai messo nella condizione di effettuare una scelta attiva e diretta, dovendosi al contrario adoperare – sempre che sia in grado di cogliere l’esistenza di tali pre-spuntature – per disattivare in modalità c.d. di opt out i dati che non volesse cedere per finalità commerciali e che il professionista ha “scelto” al suo posto. Sicché il “meccanismo di plurime pre-attivazioni priva senza dubbio il consumatore della possibilità di scegliere attraverso quell’azione positiva richiesta anche a livello europeo se e che cosa trasferire ai terzi rimettendo – contrariamente all’impostazione della disciplina recata dal Codice del consumo – in capo a Facebook (ossia al professionista) tale prerogativa dell’utenza” (in questo senso a pag. 12 dell’atto di appello proposto dall’Autorità).

  1. – Nei due giudizi tutte le parti intimate si sono costituite depositando documentazione.

Nel ricorso n. R.g. 1825/2020 FB Irl. proponeva domanda cautelare che la Sezione accoglieva con ordinanza 8 giugno 2020 n. 3285.

Le parti hanno depositato memorie, anche di replica e note d’udienza con ulteriori documenti confermando le conclusioni già rappresentate nei precedenti atti processuali.

  1. – Per ragioni di logica espositiva deve essere previamente scrutinato l’appello proposto da FB Irl., con il quale quest’ultima società chiede la riforma della sentenza del TAR per il Lazio n. 260/2000 nella parte in cui, accogliendo solo parzialmente il ricorso proposto dalla predetta società in primo grado e annullando il provvedimento impugnato (delibera dell’Autorità garante della concorrenza e del mercato n. 27432 adottato in data 29 novembre 2018) nella sola parte in cui l’Autorità aveva ritenuto aggressiva e meritevole di sanzione la “Pratica b)” imputata a FB Inc. e a FB Ireland Ltd. (per “violazione degli artt. 20, 24 e 25 del Codice del consumo, in quanto il professionista eserciterebbe un indebito condizionamento nei confronti dei consumatori registrati, i quali, in cambio dell’utilizzo di FB, verrebbero costretti a consentire a FB/terzi la raccolta e l’utilizzo, per finalità informative e/o commerciali, dei dati che li riguardano (informazioni del proprio profilo FB, quelle derivanti dall’uso di FB e dalle proprie esperienze su siti e app di terzi), in modo inconsapevole e automatico, tramite un sistema di preselezione del consenso alla cessione e utilizzo dei dati, risultando indotti a mantenere attivo il trasferimento e l’uso dei propri dati da/a terzi operatori, per evitare di subire limitazioni nell’utilizzo del servizio, conseguenti alla deselezione”), aveva invece ritenuto legittimo il provvedimento dell’Autorità nella parte in cui ha ritenuto ingannevole e meritevole di sanzione la “Pratica a)” imputata a FB Inc. e a FB Ireland Ltd. (per “violazione degli artt. 20, 21 e 22 del Codice del consumo, in quanto il professionista non informerebbe adeguatamente e immediatamente l’utente, in fase di attivazione dell’account, dell’attività di raccolta e utilizzo, per finalità informative e/o commerciali, dei dati che egli cede, rendendolo edotto della sola gratuità della fruizione del servizio, così da indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso (registrazione al social network e permanenza nel medesimo)”.

Limitando dunque, per il momento, l’esame del provvedimento dell’Autorità impugnato in primo grado alle sole contestazioni riferibili alla “Pratica a)” imputata alle due società, va sinteticamente rammentato che:

– (come ha riferito il giudice di primo grado a pag. 9 della sentenza qui oggetto di appello) l’Autorità ha rilevato che “Sino al 15 aprile 2018, l’utente che accedeva alla homepage di FB per registrarsi sulla Piattaforma (sito web e app), a fronte di un claim sulla gratuità del servizio offerto “Iscriviti E’ gratis e lo sarà per sempre”, non trovava un altrettanto evidente e chiaro richiamo sulla raccolta e uso a fini commerciali dei propri dati da parte di FB” (così, testualmente, al par. 18 del provvedimento dell’Autorità impugnato in primo grado). L’informazione era ritenuta non veritiera e fuorviante in quanto la raccolta e sfruttamento dei dati degli utenti a fini remunerativi si configurava come controprestazione del servizio offerto dal social network, in quanto dotati di valore commerciale. In particolare, osservava l’Autorità, “i ricavi provenienti dalla pubblicità on line, basata sulla profilazione degli utenti a partire dai loro dati, costituiscono l’intero fatturato di Facebook Ireland Ltd. e il 98% del fatturato di Facebook Inc.”;

– il TAR per il Lazio ha ritenuto corretta la ricostruzione operata dall’Autorità con riferimento alla sopradescritta pratica comportamentale, confermandone la capacità di ingannare l’utenza, in quanto: a) non è condivisibile la prospettazione di FB Irl. nella parte in cui sostiene che, nel caso di specie e nella condotta imputabile alle due società, “non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare”, atteso che “gli obblighi asseritamente violati sarebbero tutti attinenti al diverso profilo del trattamento dei dati personali degli utenti, disciplinato unicamente dal “Regolamento privacy” che, in virtù del principio di specialità, assorbirebbe la condotta in questione”, tenuto conto che “Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un social network” (così, testualmente, a pag. 11 della sentenza); b) inoltre, deve escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”. Tra le previsioni recate dalla direttiva 2005/29 e quelle contenute nel GDPR intercorre un rapporto (non di esclusione reciproca ma) di complementarietà, “imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole” (così ancora, testualmente, a pag. 13 della sentenza), non paventandosi, proprio per le suindicate ragioni, alcun rischio di un effetto plurisanzionatorio della medesima condotta in capo al medesimo professionista, dal momento che l’oggetto di indagine da parte delle competenti autorità si concentra su condotte differenti messe in campo dall’operatore; c) nella condotta delle società ricorrenti si evidenzia, nella specie, una evidente informazione ingannevole, perché “il “claim” utilizzato da Facebook nella pagina di registrazione per invogliare gli utenti a iscriversi (“Iscriviti E’ gratis e lo sarà per sempre”) lasciava intendere l’assenza di una controprestazione richiesta al consumatore in cambio della fruizione del servizio”, mentre, per incompletezza delle informazioni fornite, l’utente non poteva immediatamente venire a sapere che a fronte della proclamata gratuità del servizio, per come dichiarata nel surriprodotto “claim”, “il professionista avrebbe poi utilizzato i dati dell’utente a fini remunerativi, perseguendo un intento commerciale” (così, testualmente, a pag. 15 della sentenza); d) a ciò va aggiunto che l’Autorità, nel provvedimento sanzionatorio impugnato, “ha fornito una puntuale motivazione, supportata da una adeguata istruttoria, sulla carenza di sufficienti informazioni, nel processo di registrazione, circa il valore commerciale dei dati e allo scopo commerciale perseguito”, oltre ad avere dimostrato che il “banner cookie”, inserito successivamente all’avvio del procedimento, si è mostrato “inidoneo a far venire meno l’omissione e l’ingannevolezza riscontrata, in quanto “oltre a non essere contestuale alla registrazione in FB, risulta generico oltreché scarsamente esplicativo e, laddove visualizzato in tale fase, nemmeno adiacente al pulsante di creazione dell’account” (così, testualmente, a pag. 15 della sentenza).

– la società appellante ha contestato analiticamente, nel presente giudizio di secondo grado, la correttezza di ciascuna delle osservazioni (qui sopra sinteticamente illustrate e in parte riprodotte) grazie alle quali il giudice di prime cure ha ritenuto infondati i motivi di censura dedotti con riferimento alla parte del provvedimento sanzionatorio dell’Autorità nel quale si è contestata la ingannevolezza della Pratica a).

  1. – Il Collegio ritiene di dover affrontare, in prima battuta, il tema della non commercialità dei dati personali e quindi della non riconducibilità del loro trattamento con riguardo al diritto consumeristico, di modo che (secondo tale prospettiva coltivata dalla società appellante) la non patrimonialità del dato personale rende inapplicabile la disciplina in materia consumeristica alla tutela dei dati personali, cui è rivolta, in via esclusiva, la specifica normazione recata dal Regolamento eurounitario n. 679/2016.

L’Autorità, con il provvedimento n. 27432 adottato in data 29 novembre 2018, ha inteso sanzionare l’esercizio da parte delle società FB Inc. e FB Ireland Limited di un indebito condizionamento del consumatore-utente attraverso la richiesta dell’inserimento dei suoi dati sulla piattaforma, destinandoli poi alla profilazione commerciale con finalità di marketing, quale passaggio vincolante per poter accedere alla iscrizione, che veniva proclamata “gratuita”.

Orbene, seppure si volesse aderire alla tesi della odierna parte appellante secondo la quale il dato personale costituisce una res extra commercium, la patrimonializzazione del dato personale, che nel caso di specie avviene inconsapevolmente (ad avviso dell’Autorità nel momento in cui accusa una informazione ingannevole nell’esercizio della pratica in questione), costituisce il frutto dell’intervento delle società attraverso la messa a disposizione del dato – e della profilazione dell’utente – a fini commerciali.

Non si tratta in questo caso di affermare se il diritto consumeristico possa o meno sovrapporsi al diritto alla tutela dei dati personali, intesi i due “diritti” quali distinte categorie settoriali che sono disciplinate da normative speciali e quindi non sovrapponibili tra di loro; al contrario ciò che emerge dall’attività [Pratica a)-ingannevole] messa in campo dalle due società è lo sfruttamento, inconsapevolmente per l’utente, dei dati da costui offerti al momento dell’iscrizione. E’ indubbiamente vero che la nozione di “trattamento” del dato personale, per come emerge dalla lettura dell’art. 4, par. 2, GDPR, si traduce in un ambito di riferibilità amplissimo rispetto all’utilizzo del dato e che dunque la disciplina speciale unionale di tutela dei dati personali estende il proprio ambito di applicazione fin dove può giungere qualsiasi forma di relazione umana o automatica del dato personale, tuttavia non può ritenersi possibile, né una tale conclusione è traibile dall’esame norme del GDPR (ivi compresi i “considerando”) e dagli orientamenti in materia espressi dalla Corte di giustizia UE, che l’ambito di applicazione della disciplina speciale ed esclusiva (anche nel senso che esclude l’applicazione di altre discipline) possa essere “assoluta”.

Una siffatta conclusione sarebbe irragionevole, dal momento che ogni scienza giuridica o comportamento umano (finanche attraverso meccanismi automatici collegati all’utilizzo di strumenti informatici o digitali) coinvolge inevitabilmente dati personali.

Riconoscere dunque la assoluta specialità del settore riferibile alla tutela dei dati personali condurrebbe, inevitabilmente, ad escludere in radice, l’applicabilità di ogni altra disciplina giuridica.

Ferma dunque la riconosciuta “centralità” della disciplina discendente dal GDPR e dai Codici della privacy adottati dai Paesi membri in materia di tutela di ogni strumento di sfruttamento dei dati personali, deve comunque ritenersi che allorquando il trattamento investa e coinvolga comportamenti e situazioni disciplinate da altre fonti giuridiche a tutela di altri valori e interessi (altrettanto rilevanti quanto la tutela del dato riferibile alla persona fisica), l’ordinamento – unionale prima e interno poi – non può permettere che alcuna espropriazione applicativa di altre discipline di settore, quale è quella, per il caso che qui interessa, della tutela del consumatore, riduca le tutele garantite alle persone fisiche.

Non è irrilevante che il legislatore eurounitario, nel 9° considerando del GDPR, dopo avere rammentato che gli obiettivi e i principi recati dalla direttiva 95/46/CE rimangono tuttora validi, abbia dovuto ammettere che l’introduzione delle surrichiamata direttiva “non ha impedito la frammentazione dell’applicazione della protezione dei dati personali nel territorio dell’Unione, né ha eliminato l’incertezza giuridica o la percezione, largamente diffusa nel pubblico, che in particolare le operazioni online comportino rischi per la protezione delle persone fisiche”. Proprio per questa ragione il legislatore eurounitario ha, altresì, ammesso la compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri possono “ostacolare la libera circolazione dei dati personali all’interno dell’Unione” finendo per “costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. Tale divario creatosi nei livelli di protezione è dovuto alle divergenze nell’attuare e applicare la direttiva 95/46/CE”.

Le surriprodotte considerazioni, ad avviso del Collegio, vanno interpretate non nel senso della creazione di “compartimenti stagni di tutela” ma della esigenza di garantire “tutele multilivello” che possano amplificare il livello di garanzia dei diritti delle persone fisiche, anche quando un diritto personalissimo sia “sfruttato” a fini commerciali, indipendentemente dalla volontà dell’interessato-utente-consumatore. Nell’appena descritta accezione non viene in emersione la commercializzazione del dato personale da parte dell’interessato, ma lo sfruttamento del dato personale reso disponibile dall’interessato in favore di un terzo soggetto che lo utilizzerà a fini commerciali, senza che di tale destino l’interessato conosca in modo compiuto le dinamiche, fuorviato peraltro dalle indicazioni che derivano dalla lettura delle condizioni di utilizzo (come nel caso di specie) di una “piattaforma informatica”.

  1. – In altre parole il rimprovero rivolto al professionista consisterebbe nel non aver informato l’utente, che in questo caso si trasforma tecnicamente in “consumatore”, nel momento in cui rende disponibili i propri dati al fine di potere utilizzare gratuitamente i servizi offerti dalle società FB, prima di tale operazione, nell’ambito della quale l’utente resta convinto che il conseguimento dei vantaggi collegati con l’accesso alla piattaforma sia gratuito, non potendo quindi riconoscere ed accorgersi che a fronte del vantaggio si realizza una automatica profilazione ad uso commerciale, non chiaramente ed immediatamente indicata, all’atto del primo accesso, quale inevitabile conseguenza della messa a disposizione dei dati.

Dal che discenderebbe l’irrilevanza dell’affermazione espressa dalla società appellante secondo la quale l’utente potrebbe comunque effettuare una operazione di “deselezione” tornando a salvaguardare i propri dati, in quanto:

– tale eventuale accadimento sarebbe comunque successivo alla iniziale profilazione, con la conseguenza che i dati, successivamente fatti oggetto di “deselezione”, sono già stati messi nella disponibilità dei soggetti che intendono sfruttarli commercialmente;

– la “deselezione” determina, quale conseguenza, il venire meno dei servizi social promessi come gratuiti ma che, evidentemente, gratuiti non sono, finendo per rappresentate il “corrispettivo” della messa a disposizione dei dati personali del singolo utente a fini commerciali.

Può quindi confermarsi che, diversamente da quanto ritenuto dalla società appellante, la disciplina della tutela della privacy e il Codice del consumo presentano ambiti operativi differenti e non contrastanti.

Nemmeno sussisterebbe la ravvisata sovrapponibilità del regime sanzionatorio tra i due settori, avendo ad oggetto il primo la violazione delle regole di trattamento dei dati personali (che in questa sede non rileva) ed il secondo il condizionamento della consapevolezza dell’utente che per ottenere benefici illustrati come gratuiti deve cedere dati personali che non saranno utilizzati esclusivamente per ottenere i servizi ai quali aspira, ma costituiranno uno strumento di profilazione dell’utente a fini commerciali, in assenza di una adeguata e preventiva informazione del consumatore.

Come risulta sia dall’avversato provvedimento sanzionatorio sia dalle affermazioni di FB, per poter ottenere i servizi corrispondenti alle finalità sociali e culturali, tipiche di un social network, all’atto dell’accesso al sito e nella pagina di registrazione a Facebook, “a fronte del claim “Facebook ti aiuta a connetterti e rimanere in contatto con le persone della tua vita”, rileva, dunque, l’assenza di un adeguato alert che informi gli utenti, con immediatezza ed efficacia, in merito alla centralità del valore commerciale dei propri dati rispetto al servizio di social network offerto, limitandosi FB a sottolineare come l’iscrizione sia gratuita per sempre. L’incompletezza dell’informazione fornita nella pagina di accesso a Facebook non viene meno neanche per la recente introduzione, da aprile 2018, del “banner cookie” in quanto la sua visualizzazione è solo eventuale e non necessariamente collegata alla registrazione nella Piattaforma FB. Infatti, il banner non compare in fase di creazione dell’account qualora l’utente abbia già “cliccato e navigato” sul sito. Inoltre, esso è, comunque, generico e collocato in posizione non adiacente all’indicazione della gratuità del servizio.” (così, testualmente, al punto 55 del provvedimento sanzionatorio impugnato in primo grado).

Peraltro, in disparte che il banner di cui sopra è imposto da altra normativa (quella di tutela dei dati personali), dall’istruttoria è emerso che i vari link ai quali rimanda il messaggio di iscrizione “Normativa sui dati” e “Normativa sui cookie”, in disparte il carattere più piccolo che li rappresenta, e quindi di non immediata percezione quanto alla rilevanza del contenuto, anche nelle versioni modificate nel tempo e successivamente all’avvio dell’istruttoria da parte dell’Autorità (4 aprile 2018 e 19 aprile 2018), contengono informazioni generiche e non puntuali circa l’effettivo utilizzo dei dati messi a disposizione dall’utente, esaltando maggiormente il carattere gratuito della iscrizione nonché la notevole capacità di interrelazione della quale l’utente avrebbe potuto godere iscrivendosi e fornendo i suoi dati (ad esempio si legge che l’obiettivo di Facebook “è dare alle persone il potere di creare community e rendere il mondo più unito. Per ottenere tale obiettivo, forniamo all’utente i Prodotti e i servizi descritti qui sotto: Offerta di un’esperienza personalizzata all’utente […] Connessione con persone e a organizzazioni di interesse […] Scoperta di contenuti, prodotti e servizi che potrebbero interessare all’utente […]” (così nella nota n. 15 del provvedimento sanzionatorio impugnato).

Al contrario, nel momento in cui l’utente intendesse escludere alcuni dei dati offerti dall’utilizzo commerciale, nel corrispondente box di avviso vengono puntualmente declinati gli “svantaggi” di una siffatta operazione, che provocherebbe una inevitabile dequotazione delle capacità relazionali dell’utente iscritto nella “piattaforma”.

Al punto 24 del provvedimento sanzionatorio si legge che “In caso di disattivazione della Piattaforma, venivano, dunque, prospettate delle limitazioni nella fruizione del servizio sulla cui rilevanza giova richiamare quanto espresso dalla stessa FB, a parere della quale “uno dei modi principali attraverso cui gli utenti di Facebook possono connettersi e condividere è scegliendo di collegare il proprio account Facebook ad altri servizi. Ciò è possibile in diversi modi: ad esempio, i plug-in social di Facebook come il pulsante ‘Mi piace’ possono offrire agli utenti di Facebook un’esperienza online più ricca, consentendo loro di condividere facilmente contenuti da altri siti web o vedere ciò che i loro amici hanno apprezzato e condiviso su Internet durante la navigazione di altri siti web”.

Utilizzando il tasto disattiva era chiaramente descritto all’utente che “Se disattivi le app della Piattaforma:

  • Non potrai accedere ai siti Web o alle app usando Facebook.
  • Non sarai in grado di accedere ai giochi o alle applicazioni mobili usando Facebook.
  • I tuoi amici non potranno interagire con te e condividere elementi usando le app e i siti Web.
  • Verrà disattivata anche la personalizzazione istantanea.
  • Le app che hai installato in precedenza potrebbero ancora essere in possesso di informazioni che hai condiviso con loro. Contatta queste app per ottenere informazioni su come rimuovere questi dati.
  • Le app a cui hai effettuato l’accesso (tramite Facebook o in modo anonimo) saranno rimosse.
  • I post delle app saranno rimossi dal tuo profilo”.

La “minacciosità” delle conseguenze non è bilanciata, evidentemente, dalla completezza delle informazioni sulle conseguenze della iscrizione in piattaforma, circa l’utilizzo a fini commerciali dei dati messi a disposizione dell’utente nel momento dell’attivazione del profilo.

A ciò si aggiunga che (per come riferito dall’Autorità nel provvedimento sanzionatorio impugnato al punto 25), “Sebbene FB abbia modificato, a partire dal 16 aprile 2018, la schermata relativa alla Piattaforma di integrazione/trasmissione dati da/a FB (sito web e app) ai/dai siti web/app di terzi21, risultano, in ogni caso, invariati sia il meccanismo di preselezione (opt-out) che le modalità di condizionamento dell’utente e i relativi effetti, confermandosi, pertanto, le medesime caratteristiche rilevate con riferimento alla versione precedente del sito web/app di FB.”.

  1. – Siffatta condotta, come correttamente ritenuto dall’Autorità, integra gli elementi di una pratica commerciale ingannevole in quanto (per come si legge testualmente al punto 55 del provvedimento sanzionatorio):

– nella schermata di registrazione a FB, sia nella versione on line fino al 15 aprile 2018 che nella versione attualmente accessibile (tramite sito e app), il Professionista omette informazioni rilevanti di cui il consumatore necessita al fine di assumere una decisione consapevole di natura commerciale quale è quella di registrarsi nella Piattaforma Facebook per usufruire dell’omonimo servizio di social network;

– Facebook non informa l’utente con chiarezza e immediatezza in merito alla raccolta e all’utilizzo, a fini remunerativi, dei dati dell’utente da parte del Professionista e, conseguentemente, dell’intento commerciale perseguito, volto alla monetizzazione dei medesimi;

– le informazioni fornite risultano generiche ed incomplete senza adeguatamente distinguere tra, da un lato, l’utilizzo dei dati funzionale alla personalizzazione del servizio con l’obiettivo di facilitare la socializzazione con altri utenti “consumatori”, dall’altro, l’utilizzo dei dati per realizzare campagne pubblicitarie mirate;

– a ciò si aggiunga, quale aggravante del comportamento significativamente ingannevole, che nell’uso di FB, le finalità commerciali si prestano ad essere confuse con le finalità sociali e culturali, tipiche di un social network;

– infatti, nella pagina di registrazione a FB, a fronte del claim “Facebook ti aiuta a connetterti e rimanere in contatto con le persone della tua vita”, rileva, dunque, l’assenza di un adeguato alert che informi gli utenti, con immediatezza ed efficacia, in merito alla centralità del valore commerciale dei propri dati rispetto al servizio di social network offerto, limitandosi FB a sottolineare come l’iscrizione sia gratuita per sempre;

– l’incompletezza dell’informazione fornita nella pagina di accesso a Facebook non viene meno neanche per la recente introduzione, da aprile 2018, del “banner cookie” in quanto la sua visualizzazione è solo eventuale e non necessariamente collegata alla registrazione nella Piattaforma FB;

– il banner in questione non compare in fase di creazione dell’account qualora l’utente abbia già “cliccato e navigato” sul sito ed esso è, comunque, generico e collocato in posizione non adiacente all’indicazione della gratuità del servizio.

A fronte dunque della promessa gratuità del servizio l’utente era indotto ad accedere per ottenere i vantaggi “immateriali” costituiti dalla adesione e coinvolgimento in un social network in seguito all’iscrizione nella piattaforma mettendo a disposizione i propri dati personali, che venivano dunque coinvolti nella profilazione a fini commerciali senza che l’utente fosse stato reso edotto in modo efficace dell’esatta portata di tale utilizzo, che poteva essere interrotto, con revoca del consenso, solo in epoca successiva (difatti, pur potendo successivamente disattivare l’utilizzo dei dati, al momento della iscrizione in piattaforma l’utente non poteva esimersi dal cedere al professionista la mole di dati personali inseriti nel portale all’atto della registrazione e dall’autorizzarlo al loro trattamento) e a fronte di una capillare indicazione degli svantaggi che ne sarebbero conseguiti.

Peraltro, contrariamente a quanto sostenuto dalle società in sede istruttoria, i dati conferiti permettevano la profilazione dell’utente, arricchendo in questo modo la base dati dei clienti per finalità strettamente commerciali.

  1. – Vale la pena sinteticamente ricordare che il Codice del consumo, all’art. 2, comma 2, lettere c), c-bis) ed e) riconosce ai consumatori ed agli utenti, come fondamentali, i diritti “ad una adeguata informazione e ad una corretta pubblicità”, “all’esercizio delle pratiche commerciali secondo principi di buona fede, correttezza e lealtà” e “alla correttezza, alla trasparenza ed all’equità nei rapporti contrattuali”.

Il successivo art. 5, comma 3, del medesimo codice, stabilisce, inoltre, che “Le informazioni al consumatore, da chiunque provengano, devono essere adeguate alla tecnica di comunicazione impiegata ed espresse in modo chiaro e comprensibile, tenuto anche conto delle modalità di conclusione del contratto o delle caratteristiche del settore, tali da assicurare la consapevolezza del consumatore”.

Per pacifica giurisprudenza, da cui il Collegio non ha motivo di discostarsi, l’obbligo di estrema chiarezza gravante sul professionista deve essere da costui assolto sin dal primo contatto, attraverso il quale debbono essere messi a disposizione del consumatore gli elementi essenziali per un’immediata percezione della offerta pubblicizzata (cfr., fra le tante, Cons. Stato, Sez. VI, 14 ottobre 2019 n. 6984, 15 luglio 2019 n. 4976 e 23 maggio 2019 n. 3347).

Nel caso di specie, come correttamente rilevato sia dall’Autorità, sia dal giudice di prime cure, il descritto obbligo di chiarezza non risulta rispettato, atteso che le informazioni rese all’utente al primo contatto, lungi dal contenere gli elementi essenziali per comprendere le condizioni e i limiti delle conseguenze che, a fronte della gratuità dei servizi offerti, deriveranno dalla profilazione in termini di indefinibilità dei soggetti che utilizzeranno i dati personali messi a disposizione e del tipo di utilizzo commerciale connesso, lasciano supporre che sia possibile ottenere immediatamente e facilmente, ma soprattutto “gratuitamente” (e per tutto il periodo in cui l’utente manterrà l’iscrizione in piattaforma), il vantaggio collegato dal ricevimento dei servizi tipici di un social network senza oneri economici, omettendo di comunicare che, invece, ciò avverrà (e si manterrà) solo se (e fino a quando) i dati saranno resi disponibili a soggetti commerciali non definibili anticipatamente ed operanti in settori anch’essi non pre-indicati per finalità di uso commerciale e di diffusione pubblicitaria.

Tanto basta a integrare gli estremi della pratica ingannevole, in quanto nel contesto del messaggio iniziale non si dà adeguato risalto alle suindicate conseguenze.

Tutto quanto sopra si è illustrato, in fatto ed in diritto, milita nel senso di escludere la fondatezza dei motivi di appello dedotti dalla società appellante con riferimento alla sezione del provvedimento sanzionatorio adottato dall’Autorità riferibile alla Pratica a).

  1. – Ciò vale anche per le censure riferita all’entità della sanzione inflitta nella specie.

Sostiene l’appellante che il provvedimento sanzionatorio violi il principio di proporzionalità quanto all’obbligo di pubblicazione della dichiarazione rettificativa e alle misure imposte per superare la pretesa condotta illecita. Nello stesso tempo FB Irl. lamenta che la sentenza qui oggetto di appello ha erroneamente ritenuto proporzionata l’entità delle sanzioni inflitte, ivi compresi l’obbligo imposto di pubblicare la dichiarazione rettificativa e quello di porre fine alle presunte infrazioni. Infatti l’obbligo di pubblicare una dichiarazione come quella dal contenuto imposto dettagliatamente dall’Autorità finirebbe con l’incrinare significativamente il rapporto di fiducia tra FB e gli utenti, insinuando in questi ultimi il dubbio di un loro complessivo (e occulto) sfruttamento.

Ne deriva che la dichiarazione, così come viene richiesto di fare, non solo finisce con il costituire una ulteriore gravosa sanzione, oltre a quella pecuniaria, che, impedendo l’Autorità a FB anche solo di introdurre formule attenuative, si trasforma in un pregiudizio per la società dai contenuti indefiniti e indeterminati e quindi ne manifesta non solo la sproporzione ma anche la irragionevolezza.

In linea generale, i parametri di riferimento individuati dall’art. 11 l. 24 novembre 1981, n. 689, in virtù del richiamo previsto all’art. 27, comma 13, d.lgs. 206/2005, sono: la gravità della violazione, l’opera svolta dall’impresa per eliminare o attenuare l’infrazione, la personalità dell’agente nonché le condizioni economiche dell’impresa stessa, ovvero la dimensione economica del professionista (al duplice fine di garantire l’adeguatezza e la proporzionalità della sanzione e di apprezzare compiutamente la valenza potenzialmente lesiva della condotta per i consumatori).

Avuto riguardo poi alla cornice edittale l’art. 27, comma 9, del Codice del consumo, prevede che: “con il provvedimento che vieta la pratica commerciale scorretta, l’Autorità dispone, inoltre, l’applicazione di una sanzione amministrativa pecuniaria da 5.000,00 euro a 5.000.000 euro, tenuto conto della gravità e della durata della violazione”.

Nel caso di specie, se per un verso risulta assente qualsiasi elemento di travisamento o manifesta irrazionalità, in merito al corretto utilizzo dei parametri normativi, per un altro verso le sanzioni ingiunte appaiono proporzionate.

A quest’ultimo riguardo va evidenziato il fatto che la misura applicata, sia sotto il profilo della sanzione pecuniaria sia con riguardo all’obbligo di pubblicazione dell’avviso all’utenza e al contenuto dello stesso, in grado di poter tentare di riequilibrare un contesto disinformativo protratto per più anni e che ha raggiunto un numero decisamente importante di persone, appare del tutto proporzionata e non viziata negli invocati termini di eccesso, non tanto e non solo rispetto al fatturato delle società coinvolte quanto, in termini preminenti e dirimenti, alla gravità della condotta contestata in relazione ad un oggetto di primaria rilevanza per il consumatore quel è la diffusione di dati personali ad uso commerciale e l’incertezza di chi e in quale modo faccia uso di tali dati a fini commerciali.

Gli importi appaiono altresì congruenti alla luce dei parametri di quantificazione individuati: nella gravità della violazione, tenuto conto dell’ampia diffusione dei messaggi e della elevata capacità di raggiungere un numero elevato di utenti nonché della rilevanza della garanzia a tutela del consumatore; nell’importanza del professionista, trattandosi di società che gestiscono un diffusissimo social network; nella pluralità dei profili di ambiguità rilevati; nell’ampia diffusione dei messaggi contestati, peraltro tramite internet.

Nei punti da 75 a 79 del provvedimento sanzionatorio, sono raccolte le puntuali motivazioni sopra illustrate, con riferimento all’entità della sanzione pecuniaria, che costituiscono il valido presupposto per l’imposizione dell’onere di pubblicazione della comunicazione all’utenza.

Testualmente:

– “75. Per quanto riguarda la prima pratica contestata, con riguardo alla gravità della violazione, si tiene conto, nella fattispecie in esame, della particolare natura del profilo di scorrettezza, caratterizzato da rilevanti carenze informative sul trattamento dei dati degli utenti, che costituiscono patrimonio di rilevante valore economico per gli stessi.”;

– “76. Si considera, altresì, la rilevanza del Professionista, un operatore, di elevata notorietà, leader del settore globale e italiano di riferimento, per fatturato (33,9 miliardi di euro di fatturato mondiale) e numero utenti (31 milioni in Italia).”;

– “77. Rileva, inoltre, ai fini della gravità, il grado di diffusione della pratica, che è estesa, tramite internet, a tutto il territorio nazionale.”;

– “78. La gravità discende, infine, dalla peculiarità del contesto di riferimento in quanto innovativo e implicante l’acquisizione, scambio e utilizzo di informazioni personali rilevanti alle quali è attribuito un ingente valore economico.”;

– “79. Per quanto riguarda la durata della violazione, dagli elementi disponibili in atti si evince che la pratica commerciale oggetto del presente procedimento è stata posta in essere almeno dal maggio 2008 e risulta, ad oggi, ancora in corso.”.

Va poi sottolineato come la sanzione pecuniaria è solo apparentemente irrogata nell’entità massima prevista dalla norma, atteso che l’importo è inflitto in solido tra le due società, sicché, nella sostanza, la sanzione indicata nel provvedimento pesa in modo dimezzato per ciascuna società.

Risulta poi giustificata e proporzionata la misura accessoria ai sensi dell’art. 27, comma 8 del Codice del consumo, secondo cui, con il provvedimento che irroga la sanzione pecuniaria, “può essere disposta, a cura e spese del professionista, la pubblicazione della delibera, anche per estratto, ovvero di un’apposita dichiarazione rettificativa, in modo da impedire che le pratiche commerciali scorrette continuino a produrre effetti”. Tenuto conto che i messaggi ingannevoli sono stati diffusi per un lungo periodo, la pubblicazione di una dichiarazione rettificativa si imponeva al fine di impedire che il messaggio ritenuto ingannevole o illecito continuasse a produrre i suoi effetti confusori.

La proporzionalità del contenuto del messaggio, per come indicato dall’Autorità, lungi dall’impedire di divulgare la proposizione di ricorsi o l’attivazione di altri strumenti di tutela anche giudiziale della posizione delle due società dinanzi alle contestazioni espresse dall’Autorità, appare al Collegio congruo e proporzionato in ragione della gravità della diffusione dei messaggi ingannevoli. Peraltro la valutazione del contenuto del messaggio, che assume un ruolo di riequilibrio informativo nel rapporto tra Professionista e utente, inquinato dalla condotta sanzionata, tale da raggiungere anche chi ancora non ha intrapreso attività con il predetto Professionista, è lasciata alla discrezionalità dell’Autorità, sicché al giudice amministrativo non resta altro se non la verifica della non illogicità o irragionevolezza della scelta operata dall’Autorità che, nella specie, come sopra si è anticipato, non pare al Collegio sussistere.

Complessivamente, dunque, in ragione dell’analitico scrutinio sopra rappresentato, i motivi di appello dedotti da FB Irl. non si prestano ad essere accolti e l’appello da detta società proposto va respinto.

  1. – Il Collegio deve ora farsi carico dell’appello proposto dall’Antitrust (con il ricorso n. R.g. 1996/2020) con il quale l’Autorità chiede il parziale annullamento della sentenza del TAR per il Lazio n. 260/2020 nella parte in cui ha ritenuto il provvedimento sanzionatorio, n. 27432 adottato dall’AGCM in data 29 novembre 2018, illegittimo laddove ha qualificato come “aggressivo” il comportamento messo in campo nella specie da FB Inc. e da FB Ireland e definito come Pratica b).

Detto comportamento si compendiava nella operazione di trasmissione dei dati degli utenti registrati a Facebook dalla Piattaforma (sito “web/app”) del social network ai siti web/app di terzi.

Nello specifico l’Autorità al punto 63 del provvedimento sanzionatorio impugnato in primo grado ha descritto il comportamento nel senso che la Piattaforma era “(…) automaticamente attivata con validità autorizzativa generale, senza alcun preventivo consenso espresso da parte dell’utente in quanto la relativa opzione risultava preselezionata da FB, residuando, in capo al soggetto interessato, una mera facoltà di opt-out”. Inoltre, sempre nel predetto provvedimento sanzionatorio, l’Autorità ha specificato che l’utente veniva indotto a credere che, in caso di disattivazione della Piattaforma, le conseguenze per lui penalizzanti, sia nella fruizione del social network, sia nella accessibilità e utilizzo dei siti web e app di terzi, sarebbero state ben più ampie e pervasive rispetto a quanto realmente previsto e tecnicamente necessario.

Il primo giudice ha accolto le censure sul punto dedotte dalle due società con il ricorso di primo grado (nello specifico il nono motivo), segnalando come, nella realtà e per quanto era stato comprovato nel corso dell’istruttoria dalle due società (documento n. 5 allegato al ricorso), “al fine di realizzare l’integrazione, è necessario compiere numerosi passaggi, che si concludono solo quando, una volta raggiunta tramite il login di Facebook la “app” di terzi, l’utente decide di procedere alla sua installazione” (così, testualmente, a pag. 18 della sentenza qui oggetto di appello).

In effetti, analizzando la documentazione prodotta dalle due società e comparandone i contenuti con la motivazione sul punto espressa nel provvedimento sanzionatorio impugnato, emerge che, a differenza di quanto viene sostenuto ancora in grado di appello dall’Autorità, non si presenta verosimile che l’esistenza di una “pre-attivazione” della piattaforma, in ragione di un meccanismo di “opt-in” preimpostato, impedirebbe all’utente di comprendere la modalità e finalità di utilizzo, sia da parte dei terzi che da parte di Facebook, dei dati raccolti a seguito dell’integrazione tra piattaforme.

  1. – In punto di diritto al Collegio pare opportuno chiarire, in via generale, quanto segue.

Come si è già avuto modo di anticipare (e come è stato ribadito dalla Sezione in molte occasioni, cfr., tra le ultime, Cons. Stato Sez. VI, 14 aprile 2020 n. 2414), l’espressione “pratiche commerciali scorrette” designa le condotte che formano oggetto del divieto generale sancito dall’art. 20 d.lgs. 206/2005 (recante il Codice del consumo, in attuazione della direttiva del Parlamento europeo e del Consiglio 11 maggio 2005, n. 2005/29/CE). La finalità perseguita dalla direttiva europea consiste nel garantire, come si desume dal “considerando 23”, un elevato livello comune di tutela dei consumatori, procedendo ad un’armonizzazione completa delle norme relative alle pratiche commerciali sleali delle imprese, ivi compresa la pubblicità sleale, nei confronti dei consumatori.

Scopo della normativa è quello di ricondurre l’attività commerciale in generale entro i binari della buona fede e della correttezza. Il fondamento dell’intervento è duplice: da un lato, esso si ispira ad una rinnovata lettura della garanzia costituzionale della libertà contrattuale, la cui piena esplicazione si ritiene presupponga un contesto di piena “bilateralità”, dall’altro, in termini analisi economica, la trasparenza del mercato è idonea ad innescare un controllo decentrato sulle condotte degli operatori economici inefficienti. Le politiche di tutela della concorrenza e del consumatore sono sinergicamente orientate a promuovere il benessere dell’intero sistema economico.

Per “pratiche commerciali” – assoggettate al titolo III della parte II del Codice del consumo – si intendono tutti i comportamenti tenuti da professionisti che siano oggettivamente “correlati” alla “promozione, vendita o fornitura” di beni o servizi a consumatori, e posti in essere anteriormente, contestualmente o anche posteriormente all’instaurazione dei rapporti contrattuali.

Quanto ai criteri in applicazione dei quali deve stabilirsi se una determinata pratica commerciale sia o meno “scorretta”, il comma 2 dell’art. 20 del Codice del consumo stabilisce in termini generali che una pratica commerciale è scorretta se “è contraria alla diligenza professionale” ed “è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio che raggiunge o al quale è diretta o del membro medio di un gruppo qualora la pratica commerciale sia diretta a un determinato gruppo di consumatori”.

Nella trama normativa, tale definizione generale di pratica scorretta si scompone in due diverse categorie: le pratiche ingannevoli (di cui agli artt. 21 e 22) e le pratiche aggressive (di cui agli artt. 24 e 25). Il legislatore ha inoltre analiticamente individuato una serie di specifiche tipologie di pratiche commerciali (le c.d. liste nere) da considerarsi sicuramente ingannevoli e aggressive (art. 23 e 26, cui si aggiungono le previsioni speciali di cui ai commi 3 e 4 dell’art. 21 e all’art. 22-bis), senza che si renda necessario accertare la sua contrarietà alla “diligenza professionale” nonché dalla sua concreta attitudine “a falsare il comportamento economico del consumatore”.

Fermo quanto sopra, al fine di stabilire la tipologia di condotta scorretta ascrivibile al comportamento del Professionista occorre;

– prima stabilire se la condotta contestata possa essere inquadrata all’interno delle “liste nere” (di cui agli articoli 23 e 26): in caso di risposta positiva, la pratica dovrà qualificarsi scorretta senza che si renda necessario accertare la sua contrarietà alla “diligenza professionale” e la sua concreta attitudine “a falsare il comportamento economico del consumatore”;

– qualora la pratica non sia ricompresa in nessuna delle due fattispecie presuntive, accertare se ricorrono gli estremi della pratica commerciale ingannevole (artt. 21 e 22) oppure aggressiva (artt. 24 e 25): in tal caso, la verifica di ingannevolezza ed aggressività integra di per sé la contrarietà alla “diligenza professionale”;

  1. – Tenuto conto di quanto sopra, va puntualizzato che è lo stesso Codice del consumo a precisare i limiti della pratica commerciale “aggressiva”. Infatti, nel definirla all’art. 24, il d.lgs. 206/2005 evidenzia come tale sia quella pratica che “tenuto conto di tutte le caratteristiche e circostanze del caso, mediante molestie, coercizione, compreso il ricorso alla forza fisica o indebito condizionamento, limita o è idonea a limitare considerevolmente la libertà di scelta o di comportamento del consumatore medio in relazione al prodotto e, pertanto, lo induce o è idonea ad indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso”.

È così il testo di legge ad introdurre il profilo della ponderazione concreta delle “caratteristiche e circostanze del caso” quale metro ineludibile nella valutazione dei comportamenti. Il che appare estremante rilevante nella vicenda qui in esame, tenuto conto che la pratica ingannevole più sopra rappresentata (e ritenuta sussistente) ha ad oggetto ugualmente la coercizione degli intendimenti dell’utente, attirandolo nel circuito apparentemente virtuoso e conveniente della gratuità dell’accesso ai servizi, per poi celare le modalità di utilizzo dei dati immessi in piattaforma dall’utente tesso ai fini commerciali. Tuttavia la pratica per essere “aggressiva” necessita di un quid pluris che provochi una sorta di manipolazione concreta o anestetizzi abilmente la volontà dell’utente, non incidendo meramente e semplicemente sul suo diritto a conoscere le informazioni necessarie ad effettuare una libera e consapevole scelta, ma che si concretizzi in una condotta che sia addirittura capace di coartare il comportamento (e quindi la libertà di scelta) dell’utente.

Come ha correttamente riferito il giudice di primo grado, la “pre-attivazione” della piattaforma Facebook (vale a dire la “preselezione” delle opzioni a disposizioni) non solo non comporta alcuna trasmissione di dati in modo diretto ed immediato dalla piattaforma di FB a quella di soggetti terzi, ma è seguita da una ulteriore serie di passaggi necessitati, in cui l’utente è chiamato a decidere se e quali dei suoi dati intende condividere al fine di consentire l’integrazione tra le piattaforme. Ne deriva che quanto contenuto nel provvedimento sanzionatorio impugnato a conferma, secondo l’Autorità, dell’aggressività della condotta, in quanto la piattaforma di Facebook era “automaticamente attivata con validità autorizzativa generale”, risulta essere contraddittorio con quanto la stessa Autorità ha ritenuto di indicare al punto 66 del ridetto provvedimento sanzionatorio, nella parte in cui specifica che “In base a quanto rappresentato dalla stessa FB quando la Piattaforma è “disattiva”, l’utente che tenti di collegare il proprio account con un servizio offerto da terzi, avrà, infatti, sempre e comunque, la possibilità di effettuare l’integrazione/scambio attivando la Piattaforma in questione”.

Orbene, l’avere tenuto in considerazione l’Autorità quanto dichiarato da FB, senza contestarne le affermazioni, ma anzi riproducendole nella parte motiva del provvedimento, costituisce una operazione di contraddittorietà degli esiti dell’istruttoria svolta dalla medesima Autorità, avendo quest’ultima, nella sostanza, preso pubblicamente atto che il professionista abbia dimostrato, durante il procedimento, “che la piattaforma non rappresenta un mezzo attraverso cui gli utenti forniscono il consenso al trasferimento dei dati, dal momento che ciò avviene in un momento successivo, su base granulare per ogni singola “app/sito web” (così, testualmente, a pag. 18 della sentenza qui oggetto di appello).

Il che rende indimostrabile quanto affermato dall’Autorità in conclusione del punto 66 del provvedimento sanzionatorio impugnato in primo grado, nella parte in cui conclude nel senso che “(…) il meccanismo in uso della preattivazione della Piattaforma non garantisce, per le ragioni sopra esposte, una scelta libera e consapevole da parte dell’utente”.

Conseguentemente anche l’appello proposto dall’Autorità non merita accoglimento.

  1. – La presente decisione è stata assunta tenendo conto dell’ormai consolidato “principio della ragione più liquida”, corollario del principio di economia processuale (cfr. Cons. Stato, Ad. pl., 5 gennaio 2015 n. 5 nonché Cass., Sez. un., 12 dicembre 2014 n. 26242), che ha consentito di derogare all’ordine logico di esame delle questioni e che le questioni sopra vagliate esauriscono la vicenda sottoposta alla Sezione, essendo stati toccati tutti gli aspetti rilevanti a norma dell’art. 112 c.p.c., in aderenza al principio sostanziale di corrispondenza tra il chiesto e pronunciato (come chiarito dalla giurisprudenza costante, ex plurimis, per le affermazioni più risalenti, Cass. civ., Sez. II, 22 marzo 1995 n. 3260 e, per quelle più recenti, Cass. civ., Sez. V, 16 maggio 2012 n. 7663 e per il Consiglio di Stato, Sez. VI, 18 luglio 2016 n. 3176), con la conseguenza che gli argomenti di doglianza non espressamente esaminati sono stati dal Collegio ritenuti non rilevanti ai fini della decisione e comunque inidonei a supportare una conclusione di tipo diverso
  2. – In ragione di tutto quanto si è sopra esposto gli appelli, per come riuniti, debbono essere entrambi respinti, non trovando fondatezza i motivi dedotti in entrambi i mezzi di gravame proposti, con conseguente conferma della sentenza di primo grado e del parziale accoglimento, nei limiti espressi in detta sentenza, del ricorso di primo grado.

Le spese del grado di giudizio possono compensarsi tra tutte le parti in lite, con riferimento agli appelli riuniti, sussistendo i presupposti di cui all’art. 92 c.p.c, per come espressamente richiamato dall’art. 26, comma 1, c.p.a., stante la peculiarità e la complessità, sia in punto di fatto che di diritto, delle questioni oggetto di contenzioso.

P.Q.M.

Il Consiglio di Stato in sede giurisdizionale (Sezione Sesta), definitivamente pronunciando sugli appelli, come in epigrafe indicati:

1) dispone la riunione del ricorso in grado di appello n. R.g. 1996/2020 al ricorso in grado di appello n. R.g. 1825/2020;

2) li respinge entrambi e, per l’effetto, conferma la sentenza del Tribunale amministrativo regionale per il Lazio, Sez. I, 10 gennaio 2020 n. 260 con la quale è stato parzialmente accolto il ricorso (n. R.g. 15275/2018) proposto in primo grado;

3) spese del grado di appello per entrambi i giudizi riuniti compensate.