Una recente pronuncia del Consiglio di Stato ha confermato un approccio di maggiore tutela per gli utenti delle piattaforme digitali, sancendo che un difetto di trasparenza nella raccolta dei dati personali possa, in determinati casi, integrare una pratica commerciale scorretta ai sensi del Codice del Consumo.
Il caso sulla scarsa trasparenza come pratica commerciale scorretta
Al centro della vicenda vi è una nota società di tecnologia e servizi digitali, già destinataria di una sanzione amministrativa pari a 10 milioni di euro da parte dell’Autorità Garante della Concorrenza e del Mercato (AGCM). L’istruttoria antitrust aveva rilevato una informativa non adeguata sulla finalità commerciale dei dati raccolti, nonché meccanismi ritenuti complicati per rifiutare o revocare il consenso alla profilazione e al marketing.
In sostanza, l’utente si trovava a dover fornire (o dover successivamente revocare con difficoltà) il proprio consenso al trattamento dei dati per finalità di marketing, come condizione necessaria per accedere ad alcune funzionalità fondamentali.
Il provvedimento dell’AGCM, inizialmente riformato dal TAR del Lazio, è stato in parte ripristinato dal Consiglio di Stato, che ha riconosciuto il difetto di trasparenza informativa nei confronti dell’utente come elemento integrante di una pratica commerciale ingannevole.
I punti chiave della pronuncia
- Valore intrinseco dei dati: il Consiglio di Stato riconosce come i dati personali (e i dati di navigazione) possiedano un valore intrinseco anche economico (in quanto considerati alla base di attività come la profilazione degli utenti e marketing personalizzato), con la decisione dell’utente di fornire i propri dati all’atto della creazione dell’ID della piattaforma che integrerebbe una “decisione di natura commerciale” rilevante ai fini dell’applicazione del Codice del Consumo. Di conseguenza, la loro raccolta è suscettibile di rientrare a pieno titolo nelle pratiche commerciali soggette alla disciplina consumeristica.
- Informative “multilivello” e facilità di revoca del consenso: la sentenza sottolinea la necessità di informative chiare, semplici e facilmente consultabili, ribadendo come il consenso alla profilazione e al marketing deve poter essere revocato con la stessa facilità con cui viene prestato. L’utilizzo di informative c.d. “multilivello” troppo complesse può costituire un ostacolo a quanto sopra, generando confusione nell’utente in merito all’effettivo utilizzo dei propri dati.
Nel caso di specie, l’informativa è stata ritenuta troppo complessa in quanto: i) richiedeva all’utente di aprire un link presente sulla prima schermata, che apriva una nuova schermata in cui l’utente era informato solo del fatto che avrebbe potuto ricevere e-mail di marketing e che avrebbe potuto disattivare il servizio di ricezione di email; (ii) al fine di ottenere maggiori informazioni circa il modo in cui sarebbero stati utilizzati i dati rinvenienti dall’uso della piattaforma, richiedeva all’utente di accedere allo store digitale dell’organizzazione, aprendo i link posizionati sotto una specifica icona,
- Codice del Consumo e GDPR: il difetto di trasparenza in materia di dati personali non costituisce soltanto una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR), ma può anche configurare una pratica commerciale scorretta ai sensi del Codice del Consumo. Ne discende una tutela duplice per i consumatori, che vengono protetti tanto sotto il profilo dei dati personali quanto da possibili prassi ingannevoli o aggressive.
Implicazioni pratiche
- Per le piattaforme digitali: la sentenza stabilisce come la gestione dei dati personali non possa prescindere da un’adeguata trasparenza nei confronti degli utenti. Pratiche come la presentazione di una informativa frammentata o la profilazione “occulta” rischiano di esporre le aziende a sanzioni sia sotto il profilo della tutela del consumatore, sia sotto quello del GDPR.
- Per i consumatori: aumenta la consapevolezza del valore economico dei propri dati e, al contempo, la possibilità di fare leva sulle norme in materia di pratiche commerciali scorrette quando si riscontrano carenze informative o procedure di acquisizione del consenso complesse.
Conclusioni
La decisione del Consiglio di Stato evidenzia come la tutela dei dati personali e la salvaguardia del consumatore siano connesse, riconoscendo ai dati un valore intrinseco (anche) economico e imponendo che siano trattati in modo trasparente. Le piattaforme digitali dovranno quindi assicurarsi di fornire una informativa comprensibile, tenendo sempre presente il rispetto della volontà dell’utente, pena l’applicazione di sanzioni tanto da parte dell’Autorità garante per la protezione dei dati quanto di quelle che vigilano sulla correttezza delle pratiche commerciali.
In tema di recenti decisioni da parte del Garante, può essere di interesse la lettura de “Il Garante ha pubblicato una sanzione per l’accesso alla posta elettronica dei dipendenti dopo la cessazione del rapporto di lavoro“.
