ANDIG

La tutela della privacy e il diritto della concorrenza

La storia degli ultimi decenni dimostra come l’idea che l’uomo sia in grado di prevenire, e dunque dominare, ogni cambiamento si riduca ad una mera presunzione. Quando sul finire degli anni Cinquanta si iniziò a prospettare la possibilità di una rete in grado di permettere comunicazioni a grandi distanze, appariva utopico immaginare una vera e propria quarta rivoluzione industriale. Oggi, a differenza che in passato, si è invece consapevoli che il cammino del processo evolutivo, se non è mai stato così veloce, non sarà mai più altrettanto lento. Tutto ciò trae origine dall’esponenziale crescita di dati a disposizione – i c.d. Big Data – la cui quantità è tale da sfuggire alla gestione efficace degli strumenti tradizionali e per questo raccolti e analizzati in modo automatico o semi automatico tramite algoritmi appositamente allenati (es. sistemi di machine learning).

Tuttavia, lo sfruttamento dei Big Data da parte delle piattaforme digitali comporta con sé problemi legati alla tutela della privacy, dalla fase di collezione fino ai processi decisionali, potenzialmente inficiati dalle discriminazioni algoritmiche. La normativa europea, incentrata sul Regolamento (UE) 2016/679[1] (GDPR), identifica i limiti entro cui tali condotte possono considerarsi lecite, specie con riguardo alla profilazione degli utenti – ad oggi vero e proprio mezzo di arricchimento per le società di Internet. Su questo tema progressi sono stati fatti attraverso la previsione dell’articolo 22 GDPR, ai sensi del quale qualsiasi attività di profilazione deve essere sottoposta al consenso preventivo ed esplicito dell’interessato, pur riconoscendo la liceità delle diverse forme di tracciamento online (Considerando 30 GDPR). L’intero impianto normativo si rileva poi di particolare interesse quando si tratta dei rischi di personalizzazione dei prezzi, con ricadute in tema di diritto della concorrenza e integrazione dei relativi strumenti di enforcement

In origine, l’affermarsi del c.d. “potere informatico”[2] ha creato l’esigenza di passare da un diritto di privacy “passivo” (“right to be let alone[3]) a un diritto “attivo”, che non proibisse la raccolta, bensì proteggesse l’inevitabile flusso di dati che utilizzando la metafora di Bauman, si vedono scorrere nella dimensione multimediale nella loro forma più “liquida”[4]. Tale passaggio ha richiesto la formalizzazione del principio di accountability (art. 5, ultima par., GDPR) secondo il quale è responsabilità del titolare mettere in atto le misure adeguate alla gestione del rischio e al miglior rispetto della disciplina comunitaria. Di qui, la fiducia che i responsabili al trattamento dei dati personali sappiano creare “by design” sistemi in grado di garantire la protezione necessaria e che questa sia assicurata “by default”, ossia per impostazione predefinita. Un passo in avanti da parte del legislatore, che ha così realizzato il passaggio da un sistema di controllo preventivo (prior checking) ad uno successivo. Il nuovo approccio basato sul rischio nasce infatti dall’accettazione dell’incertezza che pervade il mercato digitale interconnesso (“residual risk”), ma che può essere gestita e veicolata attraverso misure proporzionate.

Tuttavia, nonostante l’apertura operata dalla Corte di Giustizia dell’Unione europea[5] (CGUE) verso l’accettazione di un’ineliminabile percentuale di rischio, l’Autorità italiana ha mostrato un lato più restrittivo e non del tutto allineato con l’orientamento comunitario[6]. La volontà di realizzare il massimo rispetto dei principi di minimizzazione e di liceità del trattamento si scontra infatti con le potenzialità del mondo digitale, in cui l’assoluta anonimizzazione si trasforma in un’utopica pretesa. Infatti, i principi di liceità, correttezza e trasparenza devono guidare lo sfruttamento e la circolazione dei dati personali, tutelando la sicurezza degli individui senza impedire la crescita dell’economia digitale. Tutto ciò in un ecosistema in cui il consenso viene articolato e stratificato su più livelli, potenzialmente infiniti, con il rischio di utilizzi illeciti e pratiche discriminatorie che oltrepassano il controllo degli utenti. Il tema ha inoltre portato alcuni studiosi ad avanzare teorie circa la possibilità del dynamic consent, sperimentato in ambito medico in relazione alle c.d. “bio-banche”[7], ma ulteriori soluzioni sono attese per proteggere utenti talvolta poco attenti e vulnerabili alle sollecitazioni provenienti dall’esterno. In effetti, le stesse problematiche, che legano gli aspetti privacy alla tutela dei consumatori, sono state affrontate anche oltreoceano dalla Federal Communications Commission statunitense, che ha proposto di adottare meccanismi di acquisizione del consenso preventivo ad attività con finalità ulteriori rispetto il servizio offerto[8] e di incrementare l’educazione digitale di aziende e utenti, per esempio attraverso la promozione di siti web come OnGuard Online incentrato sui temi basilari della sicurezza informatica[9]

In tale cornice, ciò che si vuole sottolineare è il legame con la disciplina antitrust, prendendo spunto dalle affermazioni della ex membro della FTC Pamela Jones Harbour, rese note con il dissenting statement nel caso dell’acquisizione Google/DoubleClick[10]. Infatti, in ipotesi di posizioni dominanti sul mercato le fusioni di ingenti quantità di dati, se da un lato favoriscono gli inserzionisti di contenuti pubblicitari e una maggiore personalizzazione dei contenuti, dall’altro non tengono conto della tutela dei consumatori stessi. Il rischio è quello di permettere la creazione di lock-in a danno degli utenti, in termini tecnologici e sociali, con conseguenza per la tutela della concorrenza nel mercato digitale. Come visto, in ambito europeo, la normativa del GDPR facilita la possibilità di trasferimento dei dati personali da una piattaforma all’altra; tuttavia, il pericolo evidenziato dall’Autorità garante della concorrenza italiana (AGCM) è che ciò comporti esiti positivi solo in ipotesi in cui vi sia stato un basso livello di manipolazione delle informazioni, in quanto una maggiore strutturazione porta con sé vantaggi in termini di visualizzazione e organizzazione dei dati, a cui difficilmente si è disposti a rinunciare.

Alla base dell’intero dibattito che circonda il bilanciamento della tutela della privacy nei mercati digitali si pone l’idea della patrimonializzazione del dato personale, per ciò fonte di guadagno e di interesse da parte degli operatori. La conclusione, però, non è scontata e merita approfondimenti, a partire dalla nota sentenza della Sesta Sezione del Consiglio di Stato n. 2631, del 29 marzo 2021[11]. La pronuncia ha infatti chiarito la qualificazione come pratica commerciale scorretta dell’utilizzo delle informazioni degli utenti per fini commerciali e di profilazione, nel caso di specie messa in atto da Facebook. Eppure, richiamando il quadro normativo europeo, si esclude che si possa parlare delle stesse in termini di pura “merce” di scambio, alla stregua dei diritti fondamentali attribuibili all’individuo in materia, dalla libera revocabilità del consenso, alla portabilità, fino al diritto all’oblio, da ultimo riconosciuto dalla CGUE nel 2014[12]. Si vuole escludere, dunque, l’idea che l’essenza dei dati quali diritto della personalità si perda in favore di una loro commercializzazione, che possa assimilarli ad un mero “corrispettivo” all’interno dell’economia digitale[13]; al contrario, la tutela offerta dall’ordinamento depone in favore di una (parziale) indisponibilità degli stessi.

A ben vedere, infatti, le affermazioni del Consiglio di Stato nella sentenza in commento non smettono di riconoscere la natura dei dati quali res extra commercium, ma contestano la condotta di «sfruttamento del dato personale reso disponibile dall’interessato in favore di un terzo soggetto che lo utilizzerà a fini commerciali, senza che di tale destino l’interessato conosca in modo compiuto le dinamiche, fuorviato peraltro dalle indicazioni che derivano dalla lettura delle condizioni di utilizzo (come nel caso di specie) di una “piattaforma informatica”»[14]. Così come l’adozione del GDPR ha condotto ad un cambio di paradigma rispetto la disciplina privacy comunitaria, la natura di diritto fondamentale è chiamata qui ad assumere vesti economiche che permettano, in modo implicito, di includere i dati personali nella variante del prezzo pagato per il servizio o anche come suo aspetto qualitativo. E, dal punto di vista del diritto della concorrenza, il livello di attenzione dedicato agli aspetti privacy può anche diventare un elemento di diversificazione delle offerte e, di conseguenza, uno dei parametri in base al quale l’utente può indirizzare le proprie scelte.

Allo stesso tempo, quanto ciò possa influenzare il lato della domanda dipende in parte dalla soggettiva propensione degli utenti a fornire le proprie informazioni e, in parte, dagli effetti sulla qualità globale dell’offerta che ne derivano. Infatti, come visto, nella maggior parte dei casi la dimensione dei Big Data raccolti è direttamente proporzionale alle utilità che possono trarsi dall’utilizzo delle piattaforme digitali: i sistemi di raccomandazione utilizzati per garantire agli utenti la personalizzazione del servizio si mostrano più efficaci, maggiore è il patrimonio informativo acquisito, e così “proprio in ragione di tale uso, [acquistano] un valore economico anche in assenza di corrispettivo monetario[15].

L’obiettivo del legislatore rimane quello di favorire la circolazione dei dati in uno spazio unico europeo, in cui l’aumento della conservazione ed elaborazione degli stessi comporti un’espansione del mercato che possa competere con le realtà statunitensi e asiatiche. Dunque, ancora una volta l’alternativa rimane quella di permettere ai singoli di acconsentire alle condotte in atto, senza che tale opportunità resti preclusa per il mero fatto che il social network ricopra una posizione dominante nel mercato. Tuttavia, in tale circostanza lo squilibrio evidente tra le parti impone un’analisi il più attenta possibile alle modalità e alle condizioni ivi imposte, da cui deve risultare in modo inequivoco un consenso libero e validamente prestato, nonché separato per ogni trattamento in atto. L’opportunità è stata colta dalla stessa società Meta agli inizi del mese di novembre 2023, quando, modificando la propria policy, ha esplicitamente messo gli utenti di fronte a due alternative: da un lato, accettare il processo di profilazione senza subire modifiche nelle modalità di utilizzo della piattaforma, dall’altro porre fine alla condotta al prezzo di un abbonamento pari a euro 12,99. Tale conclusione dà seguito al processo di trasformazione dei dati personali in moneta di scambio, con tutti i rischi insiti che il legislatore deve affrontare in tema di monetizzazione di diritti, non solo in ambito privacy ma altresì in ipotesi diverse e costituzionalmente rilevanti.

Di qui, la strategia europea si propone di creare un ambiente in cui le discipline settoriali possano combinarsi e insieme creare una crescita sicura e consapevole: infatti, già a partire dalla sentenza citata emerge la possibilità di creare un rapporto tra le autorità basato sul principio di leale collaborazione, dal quale trarre benefici per il mercato e senza che per questo si verifichi una sovrapposizione di poteri. Principio, inoltre, già sancito nei Trattati e fondamento dell’intero progetto europeo fin dalle sue origini, non solo in quanto obbligo di comportamento per le istituzioni ma anche criterio alla base della costruzione del nuovo ordinamento comunitario. Ciò conferma la necessità di un impianto di tutela multilivello, indispensabile per la promozione dell’ecosistema digitale, che sarà pienamente realizzato attraverso la crescita degli investimenti e delle infrastrutture adeguate a raggiungere quella sovranità tecnologica a cui l’Europa aspira. La stessa normativa di regolazione diventa un fattore concorrenziale che può in concreto alterare il regime di mobilizzazione delle informazioni, il loro sfruttamento e, in definitiva, favorire le aziende le cui attività possono svolgersi all’interno di confini più ampi, anche se meno sicuri.

In questa sede è infine utile analizzare come in Italia si conciliano i poteri attribuiti all’AGCM rispetto quelli riconosciuti al Garante privacy (Garante). In particolare, a livello normativo l’articolo 27-bis del Codice del Consumo[16], introdotto dal legislatore italiano con il recepimento della direttiva europea sui diritti dei consumatori[17], prevede che le competenze dell’AGCM vengano condivise con le autorità di regolazione ogni volta in cui pratiche commerciali scorrette si verifichino in settori regolamentati. La giurisprudenza ha quindi adottato un approccio multidisciplinare, riconoscendo come la tutela consumeristica assuma carattere complementare tanto verso la disciplina dei contratti, tanto nei confronti delle normative settoriali. Di conseguenza, nelle ipotesi in cui una violazione del Codice del Consumo si perpetui in ambiti regolati, il ruolo dell’AGCM non viene meno, ma deve coesistere rispetto i poteri attribuiti alle diverse autorità[18].

Con riferimento alle più recente giurisprudenza, paradigmatica è stata la pronuncia del Consiglio di Stato del 15 gennaio 2024, n. 497, in materia di privacy e violazione del principio di leale collaborazione. La sentenza trae origine dal provvedimento sanzionatorio adottato dall’AGCM in un’ipotesi di condotta ingannevole ed omissiva consistente nella mancata comunicazione ai clienti del trasferimento delle proprie informazioni, nonché del successivo utilizzo a fini commerciali[19]. In vero, nonostante la pratica incidesse sugli aspetti di protezione dei dati dei clienti, il procedimento era stato condotto senza alcun coinvolgimento del Garante, nonostante la presenza di fattispecie rispetto le quali erano plausibili più interventi di natura repressiva. In simili circostanze, la soluzione adottata dal Collegio ha ritenuto esistente un “deficit procedimentale” capace di travolgere il provvedimento a valle adottato in materia antitrust e, dunque, determinarne l’annullamento.

La conclusione si pone in totale raccordo con il precedente del 2021[20], in cui era stato chiarito come l’emersione di interessi ulteriori rispetto la normativa europea sulla protezione dei dati non potesse – in nessun modo – comportare una riduzione di tutela nei confronti delle persone fisiche. La precisazione appare necessaria al fine di sottolineare come lo scopo del legislatore europeo non è quello di creare “compartimenti stagni di tutela”, ma al contrario assicurare maggiori garanzie che coinvolgano più livelli di protezione, specie nei casi in cui intervengano finalità commerciali, ad insaputa del legittimo interessato. La sentenza richiama inoltre i principi stabiliti dalla CGUE nella decisione del 4 luglio 2023, in merito ai rapporti tra diritto della concorrenza e tutela della privacy. La pronuncia dei giudici di Lussemburgo ha seguito il rinvio pregiudiziale originato dal provvedimento dell’Autorità federale garante della concorrenza tedesca nei confronti di Facebook, con cui si vietava alla piattaforma di trattare dati personali ottenuti tramite l’adesione alle condizioni generali di utilizzo. La condotta, inquadrata nella fattispecie di abuso di posizione dominante ai sensi dell’articolo 102 TFUE, vincolava l’accesso al social network all’accettazione del trattamento di dati provenienti da siti webapp e altri servizi Meta, di conseguenza in palese contraddizione con i principi sanciti dal GDPR. Di qui, si chiedeva alla CGUE di esprimersi sulla possibilità che le autorità antitrust nazionali, nel corso dei relativi procedimenti, verifichino inter alia il rispetto della normativa sulla privacy: la soluzione raggiunta ha fornito ogni coordinata sul punto.

Non solo si è confermato il potere di accertamento incidentale, ma si è altresì chiarito come in suddette ipotesi non si realizzi alcun conflitto con il ruolo svolto da ciascuna autorità. Infatti, nonostante il timore che si possano verificare casi di conflitti interpretativi delle norme a tutela della privacy, il punto viene risolto alla luce del principio, nonché obbligo, di leale collaborazione. Si noti come, al fine di realizzare una completa attività di enforcement, i ruoli delle autorità sono intesi come complementari e non alternativi. In particolare, le finalità perseguite in ciascun settore rimangono su piani differenti, che seppur trasversali, non comportano alcuna sostituzione di potere. Ogni volta in cui un illecito antitrust si realizzi attraverso violazioni della disciplina in tema di privacy, il relativo accertamento rimane subordinato all’interpretazione delle norme secondo i criteri forniti dalle autorità di controllo del GDPR. Tali decisioni non potranno essere disattese, ferma la libertà di trarne proprie conclusioni inerenti al settore della concorrenza. In più, si impone una previa consultazione e, quindi, cooperazione tanto in ipotesi di dubbio sulla corretta applicazione della legge, tanto nel momento in cui sia già in corso una decisione parallela[21].

Dunque, le indicazioni fornite da parte della giurisprudenza, comunitaria e nazionale, dovrebbero essere in grado di rilassare le preoccupazioni di quanti temono una pericolosa trasformazione delle violazioni in tema di tutela dei dati personali in violazioni del diritto della concorrenza[22]. Dalle pronunce sopra esaminate emerge in modo palese come la leale collaborazione che si richiede alle autorità presupponga la distinzione dei rispettivi ruoli, evitando che le une possano pronunciarsi nelle aeree rimesse alla competenza altrui. L’accertamento effettuato dal Bundeskartellamt tedesco, nonché quanto riconosciuto dalla CGUE, non vuole realizzare una duplicazione dei poteri, bensì un loro coordinamento che possa essere la giusta risposta rispetto i nuovi scenari che devono essere affrontati.

Alla luce di quanto detto, il raccordo tra le autorità indipendenti richiesto a livello sia comunitario che nazionale, risulta sempre più necessario in scenari in cui non vi potrebbero essere congrue valutazioni senza una panoramica globale e multidisciplinare. In particolare, in tema di privacy, la strada appare tracciata verso una collaborazione sempre più attenta e penetrante. Tuttavia, il bilanciamento delineato nella teoria non è immediato nella pratica e gli sforzi richiesti a tutti gli operatori del settore appaiano inevitabili e di urgente realizzazione. La velocità con cui i mercati si stanno evolvendo e il continuo cammino tecnologico richiedono soluzioni sempre più pratiche, per cui si può immaginare di rimandare timori e preoccupazioni di teoria generale del diritto a futuri remoti e, si augura, più indulgenti. 

 

[1] Regolamento (UE) del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[2] E. Giannantonio, Introduzione all’informatica giuridica, Giuffrè, Milano, 1984, 215, citato in G. Ciacci, G. Buonomo, Profili di informatica giuridica, Cedam, Assago, 2021.

[3] Le origini delle discussioni in tema di privacy come “diritto di essere lasciato solo” possono ricollocarsi al saggio “The Right to Privacy”: v. Samuel D. Warren, Louis D. Brandeis, “The Right to Privacy”, in Harward Law Review, Vol. 4(5), 1890.

[4] Z. Bauman, Modernità Liquida, La Terza, Bari, 2011.

[5] Cfr. CGUE, Sentenza del 26 aprile 2023, causa T-557/20, parte di quel filone giurisprudenziale che propizia una più semplice circolazione delle informazioni.

[6] Cfr. Provvedimento del Garante, 1° giugno 2023, n. 226, adottato contro la società Thin S.r.l., in cui l’Autorità nazionale ha specificato come l’utilizzo di soli meccanismi di crittografia non può considerarsi strumento sufficiente affinché sia rispettato il «requisito della rimozione delle singolarità (single out) necessario a qualificare il trattamento come un’anonimizzazione».

[7] Commissione europea, “Report of the Expert Group on Dealing with Ethical and Regulatory Challenges of International Biobank Research, Biobanks for Europe. A Challenge for Governance”, 2011.

[8] FTC, “Protecting Consumer Privacy in an Era of Rapid Change: Recommendations for businesses and policymakers, 2012.

[9] FTC, OnGuard Online, disponibile su http://onguardonline.gov/.

[10] Decisione della Federal Trade Commission, 20 dicembre 2007, File No. 071-0170 - Google/DoubleClick.

[11] La pronuncia si pone in linea con l’orientamento comunitario che riconosce come “[i] dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto”, Commissione europea, Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali, SWD (2016) 163.

[12] «I diritti fondamentali [nel caso di specie, il diritto alla protezione dei dati personali] prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse di tale pubblico a trovare l’informazione suddetta in occasione di una ricerca concernente il nome di questa persona», CGUE, Sentenza del 13 maggio 2014, causa C-131/12, Google Spain, paragrafo 97.

[13] «Stante la collocazione della tutela dei dati personali nell’alveo dei diritti della personalità, la crescente commercializzazione di tali attributi non può snaturarne l’essenza: essi permangono strettamente inerenti la persona e non si assiste ad una reificazione degli stessi, che rimangono tutelati attraverso un modello basato su diritti individuali e sulla responsabilità̀ di chi gestisce tali attributi (i.e. il titolare del trattamento nel caso dei dati personali). Da qui l’impossibilità di applicare logiche meramente proprietarie ai dati personali o di seguire modelli d’oltreoceano favorevoli all’assimilazione delle informazioni personali all’ambito della proprietà intellettuale», Audizione del Prof. Mantelero del 21 novembre 2017, p. 6.

[14] Punto 8 della sentenza in commento.

[15] AGCM, n. 31124, 5 marzo 2024, TIKTOK CICATRICE FRANCESE, in Boll. 11/2024.

[16] Decreto-legislativo del 6 settembre 2005, n. 206.

[17] Direttiva 2011/83/UE del Parlamento europeo e del Consiglio del 25 ottobre 2011 sui diritti dei consumatori, recante modifica della direttiva 93/13/CEE del Consiglio e della direttiva 1999/44/CE del Parlamento europeo e del Consiglio e che abroga la direttiva 85/577/CEE del Consiglio e la direttiva 97/7/CE del Parlamento europeo e del Consiglio.  

[18] TAR Lazio, Sez. I, 8 settembre 2009, n. 8400.

[19] Cfr. AGCM, n. 28601, 9 marzo 2021, TELEPASS/ACCORDO PRIMA ASSICURAZIONE, in Boll. n. 12/2021.

[20] CdS, Sez. VI, sentenza del 29 marzo 2021, n. 2631.

[21] Cfr. CGUE, sentenza del 4 luglio 2023, causa C-225/21, paragrafo 55.

[22] «The transformation of privacy offences in antitrust offences shall be avoided»: L. Calzolari, “International and EU antitrust enforcement in the age of Big Data”, in Diritto del Commercio Internazionale, Fascicolo 4, 2017, 855.