Il rapporto tra privacy e tutela dei consumatori: norme, giurisprudenza e casi recenti - Agenda Digitale

dati personali e diritto

Il rapporto tra privacy e tutela dei consumatori: norme, giurisprudenza e casi recenti

Informativa privacy e termini e condizioni del servizio sono sempre di più due facce della stessa medaglia: devono essere coerenti tra loro, chiari, trasparenti. Lo devono essere per l’interessato e per il consumatore. Ecco cosa le società dovrebbero considerare quando i dati personali trattati sono quelli dei consumatori

11 Giu 2021
Gianluigi Marino

Partner, Head of Data Protection practice, Osborne Clarke

Quando si tratta di dati personali e diritto, il primo pensiero degli operatori va al rispetto della normativa specifica in materia e cioè al GDPR.

È ovviamente corretto ma rischia di non essere un approccio completo, al fine di mitigare tutti i possibili rischi. La centralità dello sfruttamento dei dati e la trasparenza che è richiesta nei confronti di coloro a cui i dati si riferiscono si traduce in una interazione sempre più marcata con la normativa a tutela dei consumatori.

Le violazioni in materia di protezione dei dati personali possono quindi costituire una pratica commerciale scorretta.

I nostri dati sul cloud delle big tech, anche l’Europa (EDPS) vuole vederci chiaro

Non si tratta di una speculazione di diritto ma di un dato di fatto acquisito. A tal proposito, basti leggere gli Orientamenti per l’attuazione/applicazione della direttiva 2005/29/ce relativa alle pratiche commerciali sleali del 2016 della Commissione Europea oppure le recenti pronunce dell’AGCM (e non del Garante!) nei confronti di Facebook, HP, Telepass, Unipol, Dropbox. Ancora, uno sguardo alla direttiva Omnibus e alle proposte di Digital Market Act e Digital Services Act rende evidente come le questioni relative ai dati personali non sono solo quelle circa la loro protezione.

Cerchiamo allora di capire cosa le società dovrebbero tenere in considerazione quando i dati personali che trattano sono quelli dei consumatori.

Gli orientamenti della Commissione europea

Gli Orientamenti della Commissione UE del 2016 sono un documento piuttosto corposo e molto interessante in cui vengono analizzate le interazioni di numerose normative di matrice europea, incluse quella a tutela dei dati personali, con la direttiva 2005/29/CE relativa alle pratiche commerciali sleali (che, a sua volta, sarà modificata dalla direttiva Omnibus 2019/2161 a far data dal prossimo 28 maggio 2022).

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

La Commissione sottolinea che, dato il suo ambito di applicazione generale, la direttiva si applica a molte pratiche commerciali che sono disciplinate anche da altre normative generali o settoriali dell’UE.

Di conseguenza, la direttiva sulle pratiche commerciali sleali funziona da “rete di sicurezza”, assicurando che si possa mantenere un livello comune elevato di protezione dei consumatori contro le pratiche commerciali sleali in tutti i settori, anche integrando e colmando le lacune in altre normative dell’UE. Ove sia in vigore una legislazione di settore o altra normativa dell’UE e le sue disposizioni si sovrappongano alle disposizioni della direttiva, prevalgono le disposizioni della lex specialis.

Tuttavia, sebbene la direttiva non si applichi all’aspetto specifico della pratica commerciale disciplinato da una norma settoriale (protezione dei dati personali), essa rimane pertinente per valutare altri possibili aspetti della pratica commerciale non contemplati dalle disposizioni settoriali, come, per esempio, il comportamento aggressivo di un professionista.

In breve, in generale, l’applicazione della direttiva sulle pratiche commerciali sleali non è di per sé esclusa solo perché esistono altre normative dell’UE che disciplinano aspetti specifici di dette pratiche.

Nel caso specifico dell’interazione con le normative europee in materia di protezione dei dati personali (GDPR e direttiva e-Privacy), gli Orientamenti si soffermano sul fatto che la violazione delle norme in materia di protezione dei dati andrebbe presa in considerazione quando si valuta il carattere sleale di una pratica commerciale ai sensi di quest’ultima direttiva (la 2005/29, recepita negli articoli da 20 in poi del Codice del Consumo), in particolare nel caso in cui il professionista esegua il trattamento dei dati dei consumatori in violazione degli obblighi in materia di protezione dei dati, cioè a fini di invio di materiale pubblicitario o per qualsiasi altra finalità commerciale, come la profilazione, i prezzi personalizzati o le applicazioni relative ai big data.

Dal punto di vista della direttiva sulle pratiche commerciali sleali, il primo aspetto da esaminare riguarda la trasparenza della pratica. I professionisti non devono ingannare i consumatori su aspetti che possono incidere sulle loro decisioni di natura commerciale. Più specificamente, i professionisti non devono occultare l’intento commerciale della pratica commerciale. Ancora, l’obbligo di informazione dei consumatori riguardo al trattamento dei dati personali, non solo per quanto riguarda le comunicazioni commerciali, può essere considerato rilevante ai fini dell’individuazione delle omissioni ingannevoli.

I dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto e vengono venduti a terzi. Di conseguenza, se il professionista non comunica al consumatore che i dati che è tenuto a fornire per accedere al servizio saranno usati a fini commerciali, questa pratica può essere considerata un’omissione ingannevole di informazioni rilevanti (art. 21 comma 2 e art. 23, lettera aa) del Codice del Consumo).

Ovviamente tutto ciò si aggiunge, a seconda delle circostanze, alle violazioni in materia di protezione dei dati, che impongono – tra le altre cose – di fornire all’interessato le necessarie informazioni riguardo alle finalità del trattamento dei dati personali e che potrebbero essere separatamente sanzionate dal Garante.

Alcuni esempi recenti in Italia

Nel caso Facebook, a novembre 2018, l’AGCM ha contestato ai professionisti due pratiche commerciali, l’una ingannevole e l’altra aggressiva, relative (a) alla mancanza di informazioni ai consumatori dell’attività di raccolta, con intento commerciale, dei dati da loro forniti, e, più in generale, delle finalità remunerative che sottendono la fornitura del servizio di social network enfatizzandone la sola gratuità, così da indurli ad assumere una decisione di natura commerciale che non avrebbero altrimenti preso e (b) all’indebito condizionamento dei consumatori registrati (derivante dalla preselezione da parte di Facebook delle opzioni sul consenso alla trasmissione dei propri dati da/a terzi, attraverso in particolare l’automatica attivazione della funzione “Piattaforma attiva”, unitamente alla prospettazione, a seguito della disattivazione di tale Piattaforma, di rilevanti limitazioni di fruibilità del social network e dei siti web/app di terzi, più ampie e pervasive rispetto a quelle effettivamente applicate) i quali subiscono, senza espresso e preventivo consenso, quindi in modo inconsapevole e automatico, la trasmissione e l’uso da parte di FB/terzi, per finalità commerciali, dei dati che li riguardano.

La sentenza del TAR Lazio, sez. I, 18 dicembre 2019 – 10 gennaio 2020, n. 260 ha annullato il provvedimento AGCM, limitatamente alla pratica commerciale descritta alla lettera b) e, di recente, il Consiglio di Stato, con sentenza 02631/2021, ha confermato la decisione di primo grado.

Per quanto qui rileva, è interessante la parte in cui viene affrontata l’eccezione relativa al difetto assoluto di attribuzione ratione materiae con riferimento all’AGCM in ossequio al principio secondo il quale, ai sensi dell’art. 3, par. 4, della direttiva 2005/29 “In caso di contrasto tra le disposizioni della presente Direttiva e altre norme comunitarie che disciplinino aspetti specifici delle pratiche commerciali sleali, prevalgono queste ultime e si applicano a tali aspetti specifici”.

In estrema sintesi, il Consiglio di Stato conferma che:

  • la definizione di “trattamento di dati personali” è amplissima e ogni comportamento umano coinvolge inevitabilmente dati personali. L’ambito applicativo della normativa privacy non può intendersi assoluto ed esclusivo di altre discipline;
  • ferma restando la centralità della normativa privacy, l’interessato non può essere privato delle tutele a lui riservate in quanto consumatore;
  • esiste l’esigenza di garantire “tutele multilivello” che possano amplificare il livello di garanzia dei diritti delle persone fisiche, anche quando un diritto personalissimo sia “sfruttato” a fini commerciali, indipendentemente dalla volontà dell’interessato-utente-consumatore;
  • il rimprovero rivolto al professionista consisterebbe nel non aver informato l’utente, che in questo caso si trasforma tecnicamente in “consumatore”, nel momento in cui rende disponibili i propri dati al fine di potere utilizzare gratuitamente i servizi offerti dalle società FB, prima di tale operazione, nell’ambito della quale l’utente resta convinto che il conseguimento dei vantaggi collegati con l’accesso alla piattaforma sia gratuito, non potendo quindi riconoscere ed accorgersi che a fronte del vantaggio si realizza una automatica profilazione ad uso commerciale, non chiaramente ed immediatamente indicata, all’atto del primo accesso, quale inevitabile conseguenza della messa a disposizione dei dati;
  • la disciplina della tutela della privacy e il Codice del Consumo presentano ambiti operativi differenti e non contrastanti;
  • non vi è sovrapponibilità del regime sanzionatorio tra i due settori, avendo ad oggetto il primo la violazione delle regole di trattamento dei dati personali (che non rileva in ambito AGCM) ed il secondo il condizionamento della consapevolezza dell’utente che per ottenere benefici illustrati come gratuiti deve cedere dati personali che non saranno utilizzati esclusivamente per ottenere i servizi ai quali aspira, ma costituiranno uno strumento di profilazione dell’utente a fini commerciali, in assenza di una adeguata e preventiva informazione del consumatore.

Il caso HP

Nel caso HP, nello scorso novembre 2020, tra le varie cose, l’AGCM ha contestato ai professionisti anche la registrazione e comunicazione da parte delle stampanti HP dei dati relativi alle specifiche cartucce utilizzate e il diniego dell’assistenza prevista dalla garanzia commerciale e legale di conformità nel caso in cui siano state utilizzate cartucce non originali. L’Autorità ha rilevato che il professionista non ha informato l’utente circa l’utilizzo dei dati relativi alle cartucce utilizzate dalle stampanti per la creazione e l’alimentazione dell’archivio di “Big Data” di HP. Ciò non sarebbe avvenuto nè nell’ambito dell’informativa privacy nè al momento della installazione guidata della stampante ove viene sollecitato il consenso alla raccolta periodica di dati di utilizzo da parte di HP, ma esclusivamente allo scopo di “fornire migliori versioni del Suo software di avvio HP. Ad avviso dell’Autorità, le condotte esaminate appaiono integrare una distinta pratica commerciale scorretta ai sensi degli artt. 20, 24 e 25 del Codice del Consumo poiché HP ha, per un verso, registrato i dati di funzionamento delle stampanti al fine di raccoglierli in un archivio di “Big Data” per utilizzarli nello sviluppo di elaborazioni finalizzate alla formulazione delle proprie strategie commerciali all’insaputa dei propri clienti e, per altro verso, ha successivamente rifiutato di fornire la garanzia per le stampanti HP che hanno utilizzato le cartucce non originali negando altresì l’attestazione di alcuna correlazione causale fra il malfunzionamento della stampante e l’utilizzo di cartucce non originali quale fondamento del rifiuto di prestazione dell’assistenza in garanzia, il che ostacola di fatto la prestazione ai consumatori della garanzia legale di conformità da parte dei venditori.

Probabilmente, in questo caso più che in altri, è più evidente il diverso punto di vista della tutela del consumatore collegato al trattamento dei dati personali degli utenti e a quella esigenza di tutela multilivello indicata dal Consiglio di Stato.

Il caso Unipol

Nel caso Unipol, nello scorso febbraio 2021, tra le varie cose, l’AGCM ha contestato ai professionisti l’aver pre-impostato i campi relativi al rilascio del consenso al trattamento, anche a fini commerciali, dei dati personali forniti dal cliente al momento dell’adesione a una determinata promozione. Nel provvedimento con cui AGCM ha accettato gli impegni della società assicurativa, si legge che i dati necessari alla gestione della procedura di generazione del voucher erano: il numero di targa, la data di nascita del consumatore e il numero di cellulare. L’indirizzo email era facoltativo. Sulla pagina web dedicata all’adesione all’iniziativa promozionale in esame erano presenti quattro caselle: quella di presa visione dell’informativa privacy (accettazione obbligatoria) e quelle con accettazione facoltativa del consenso al trattamento dei dati per fini commerciali, per profilazione e per comunicazioni a società del gruppo Unipol. Tali caselle non erano pre-flaggate. È previsto, inoltre, un meccanismo di scroll down che impone al cliente di scorrere l’intero testo dell’informativa privacy, che include il trattamento anche ai fini commerciali, per poter rilasciare in tutto o in parte i consensi richiesti. Sempre nel provvedimento, si legge che Unipol, a partire dal 30 maggio 2020, ha deciso di eliminare la possibilità di rilasciare i tre consensi commerciali facoltativi. Tale decisione è stata anche cristallizzata negli impegni proposti all’AGCM e da questa approvati. La sola lettura del provvedimento nel suo complesso non chiarisce del tutto quale sarebbe stato il profilo di scorrettezza di questa porzione della pratica commerciale della società tuttavia resta il fatto che le modalità di raccolta del consenso marketing sono state oggetto di attenzione di un’autorità regolamentare diversa dal Garante per la protezione dei dati personali.

Il caso Telepass

Nel caso Telepass, nello scorso marzo 2021, tra le varie cose, l’AGCM ha contestato ai professionisti l’assenza di informativa circa il trasferimento dei dati dei clienti dalle compagnie assicurative partner a Telepass e il loro utilizzo a fini commerciali. Stando al provvedimento, l’utente interessato al preventivo RC Auto veniva informato solo all’interno dell’informativa privacy, cui veniva fatto meramente rinvio all’inizio del funnel di preventivazione, del fatto che le società raccoglievano le informazioni necessarie per il calcolo del preventivo e le trattavano per finalità di marketing. Tale circostanza avrebbe confuso gli utenti in ordine al tipo d’informazioni acquisite dai professionisti: da un lato, il consumatore riceveva alcune informazioni sul livello di riservatezza dei dati personali, mentre dall’altro lato non apprendeva chiaramente quali fosseri le modalità di gestione, di conservazione e di utilizzo dei suoi dati. Per il resto, l’informazione fornita in sede di presentazione del servizio di preventivazione si sarebbe limitata a enfatizzare la semplicità e velocità, nonché la convenienza della procedura e della visualizzazione del preventivo della polizza RC Auto sull’App, potendosi poi acquistare il prodotto direttamente tramite l’APP usufruendo inoltre di uno sconto particolare.

Di fatto, l’Autorità ha sollevato nei confronti di Telepass qualcosa di simile a quanto contestato a Facebook, vale a dire la mancata informazione sull’utilizzo commerciale dei dati del consumatore in sede di presentazione del servizio (e quindi non solo nell’informativa privacy). Interessante ma purtroppo lacunoso il punto 56 del provvedimento dove l’Autorità osserva che i correttivi (integrazioni informative) adottati da Telepass risultano idonei a risolvere i profili di criticità evidenziati, senza però descrivere tali misure rimediali.

Il caso Dropbox

Nel caso Dropbox, nello scorso aprile 2021, tra le varie cose, l’AGCM ha contestato al professionista una carenza informativa sull’utilizzo dei dati personali degli utenti (anche a fini commerciali), in fase di registrazione dell’account per accedere al servizio offerto. A tal proposito, con il provvedimento di accettazione degli impegni proposti dal professionista, AGCM ha validato la legittimità dell’inserimento di un link alle Norme sulla Privacy nella casella di spunta per l’accettazione dei Termini di Servizio (oltre al link già disponibile in calce alla pagina di registrazione), in modo da mettere a disposizione degli utenti una chiara e trasparente informativa sulla privacy prima dell’attivazione dell’account.

Conclusioni

Le società che trattano dati personali di consumatori dovrebbero avere una visione complessiva e non settoriale della compliance. La revisione della user journey, della user experience, delle modalità di raccolta delle informazioni in-app dovrebbe essere congegnata tenendo in considerazione contemporaneamente aspetti e punti di vista diversi. Una questione di dati personali potrebbe avere conseguenze su un claim commerciale. Informativa privacy e termini e condizioni del servizio sono sempre di più due documenti che sono facce della stessa medaglia (si pensi al tema della personalizzazione automatizzata dei prezzi); devono essere coerenti tra di loro, chiari, trasparenti. Lo devono essere per l’interessato e lo devono essere per il consumatore.

Il livello di trasparenza si alza sempre di più. Vedremo se il legislatore deciderà in futuro di alzare anche le sanzioni per pratiche commerciali scorrette di cui al Codice del Consumo. Per adesso il rischio è di 5 milioni di euro per ogni pratica.

E ovviamente fermo restando ogni discorso, anche in tema di rischio di sanzione pecuniaria, correlato alle violazioni del GDPR.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4