Il Consiglio di Stato ha affermato molto chiaramente che per le piattaforme on line e, in generale, per i fornitori di servizi digitali non è sufficiente conformarsi alle norme sulla privacy, ma devono essere altresì garantiti tutta una serie di diritti previsti a tutela dei consumatori.
Le norme sulla tutela dei consumatori non riguardano infatti solo le forniture di beni “fisici” o i servizi dati a pagamento, bensì anche i servizi digitali offerti a titolo gratuito, qualora “in cambio” vengano richiesti dati personali degli utenti.
È stato inoltre chiarito che, in caso di violazioni, le sanzioni pecuniarie previste dalle norme sulla protezione dei dati e da quelle per la tutela dei consumatori sono cumulabili, non alternative.
A cosa devono stare quindi attenti gli imprenditori che offrono servizi digitali, per evitare di essere sanzionati, come è successo a Facebook?
Il caso Facebook
Il Consiglio di Stato ha confermato la sanzione che ha colpito Facebook per la pratica commerciale ingannevole consistente nell’omessa informazione al consumatore sulla raccolta e l’utilizzo dei dati per scopi commerciali (sentt. nn. 2630 e 2631 del 29 marzo 2021).
Questa sanzione non veniva dal Garante privacy, come ci si potrebbe aspettare, bensì dall’Autorità Garante della Concorrenza e del Mercato (AGCM), che è competente a decidere sulle pratiche commerciali scorrette delle imprese nei confronti dei consumatori. La stessa sanzione era stata confermata dal TAR del Lazio, insieme a quella relativa alla pratica aggressiva consistente nel trasferimento di dati a soggetti terzi, senza un effettivo e libero consenso dell’utente. Su questo punto il Consiglio di Stato ha sostenuto che la pratica commerciale non fosse scorretta, perché in realtà all’utente era consentita la scelta se trasferire o meno i propri dati ad altre piattaforme e service provider.
Invece, il punto fondamentale che è stato riaffermato dal Consiglio di Stato, confermando la sanzione per la pratica ingannevole, è che tutti gli utenti dei social network devono essere tutelati, oltre che ai sensi del GDPR e del Codice Privacy, anche in base alla normativa sui diritti dei consumatori.
Il rispetto delle norme sul trattamento dei dati personali non basta!
Facebook ha provato a sostenere che, siccome i dati personali sono beni extra commercium, è possibile affermare che il servizio digitale in questione è offerto gratuitamente, senza corrispettivo, e che per questo non si dovrebbe applicare la disciplina consumeristica. Facebook ha sostenuto altresì che le norme a tutela dei consumatori sarebbero comunque “assorbite” da quelle relative alla privacy.
La prima questione è una di quelle che ha riempito negli ultimi anni i discorsi di centinaia di studiosi e politici: esiste la proprietà sui dati personali? L’interessato può farne “uso e abuso”, fino al punto di venderli dietro compenso o di utilizzarli come merce di scambio?
A prescindere dalla qualificazione da dare ai dati personali, tuttavia, è evidente che ormai, di fatto, spopolano modelli di business che si basano proprio sull’utilizzo e lo sfruttamento economico dei dati, inclusi quelli personali.
Ecco che allora si arriva alla seconda questione, alla quale il Consiglio di Stato ha risposto confermando che la tutela che deriva dal GDPR per i dati personali non esclude quella prevista dalle norme sui diritti dei consumatori.
Questo è del resto in linea con quanto previsto da alcune direttive già elaborate dall’Unione Europea, ma che saranno attuate dagli Stati Membri a partire dal 2022.
In particolare, la Direttiva 2019/770/UE (sul contenuto digitale e i servizi digitali) e la Direttiva 2019/2161/UE (sulla modernizzazione delle norme per la protezione dei consumatori), che dovranno essere trasposte nella legislazione dei singoli Stati membri a partire dal 2022, hanno previsto espressamente che tutte le norme a tutela dei consumatori si applichino anche alla fornitura di servizi digitali e di contenuto digitale. Le Direttive definiscono servizi digitali quelli che consentono di creare, trasformare, archiviare dati in formato digitale o di accedervi, e quelli che consentono la condivisione di dati caricati o creati dal consumatore e da altri utenti.
Le stesse Direttive stabiliscono altresì che alle stesse regole sono soggetti anche coloro che forniscano servizi digitali in forma “gratuita”, richiedendo però, in cambio del servizio, l’accesso ai dati personali degli utenti, in misura superiore rispetto a quelli necessari ai fini dell’esecuzione del contratto. In questo modo, i dati vengono di fatto paragonati ad un “corrispettivo” per la fornitura del servizio.
Quale tutela deve essere quindi garantita agli utenti-consumatori da parte di piccoli e grandi service provider?
I consumatori, in primo luogo, non devono essere resi vittime di pratiche commerciali scorrette (aggressive o ingannevoli), come è accaduto nel caso di specie.
In secondo luogo, prima della conclusione di qualsiasi contratto, tutti i consumatori hanno il diritto di ricevere una serie di informazioni non solo sulle modalità di trattamento dei propri dati personali, ma anche su tutte le condizioni che regolano il contratto con le piattaforme on line. Queste informazioni dovrebbero essere altresì fornite in una forma facilmente comprensibile, rendendo altresì chiaro in quale momento effettivamente l’utente “sottoscrive” il contratto.
Gli obblighi informativi sono disciplinati in Italia dal Codice del Consumo e sono quelli cui i fornitori adempiono redigendo le condizioni generali di vendita o fornitura, che vengono poi caricate sui siti di e-commerce o rese disponibili con l’accesso a determinati servizi. Ma cosa è previsto in più dalle nuove Direttive?
Innanzitutto, come si è detto, tutte le informazioni al consumatore che si ritrovano nelle condizioni generali di vendita o fornitura di siti e-commerce o marketplace, dovranno necessariamente essere previste anche nel caso in cui invece che “beni fisici”, si offrano contenuti o servizi digitali.
Nuovi obblighi informativi deriveranno invece dalle ultime Direttive europee e riguarderanno, ad esempio, i mezzi per contattare il professionista, che potranno anche essere mezzi di comunicazione elettronica, a patto che garantiscano una corrispondenza scritta, che rechino la data e l’orario dei relativi messaggi e che siano registrati su un supporto durevole. Dovrà inoltre essere prevista una garanzia legale di conformità anche per il contenuto digitale e i servizi digitali.
Questo è vero anche nel caso in cui determinati servizi vengano offerti “gratis”, ma in cambio della condivisione di dati personali.
Inoltre, chi offre beni e servizi digitali, dovrà essere in grado di descriverne le esatte funzionalità e le misure applicabili di protezione tecnica, nonché ogni compatibilità e interoperabilità pertinente dei beni con elementi digitali e dei servizi digitali.
Le direttive prevedono altresì maggiori obblighi di informazione specifici per i prodotti e servizi offerti su mercati online e richiamano espressamente il necessario rispetto di tutti gli obblighi in materia di trattamento di dati personali previsti dal GDPR.
La “lezione di Facebook” per tutti gli imprenditori
Gli imprenditori che si adatteranno a tutte le normative potranno essere certi di affacciarsi sul mercato non solo italiano, ma anche europeo con tranquillità e senza rischi di vedersi esposti a sanzioni o richieste di risarcimento.
D’altra parte, tutti noi, che siamo utenti-consumatori nei confronti delle grandi piattaforme come Facebook, godremo di qualche tutela in più e soprattutto potremo acquisire qualche consapevolezza in più sui nostri “affari on line”.
Dunque, non è mai troppo presto per dedicarsi alla compliance delle proprie prassi aziendali e nello Studio legale Soccol potrete trovare tutte le competenze di cui avete bisogno!
