Il valore economico intrinseco attribuito ai dati personali alla luce della Sentenza del Consiglio di Stato n. 9614/2024 .

Il valore economico intrinseco attribuito ai dati personali alla luce della Sentenza del Consiglio di Stato n. 9614/2024[1].

Premessa

L’arresto giurisprudenziale del Consiglio di Stato acquista un peculiare interesse dettato dal fatto che il punto di partenza del giudice amministrativo, di secondo grado, è che la condotta contestata a Apple si compendia in una omissione di informazioni, e che le informazioni omesse avrebbero ad oggetto una utilizzazione “a fini commerciali”, da parte di Apple, di dati acquisiti dagli utenti.

Occorre, quindi, chiarire se nel caso di specie sia effettivamente ravvisabile una tale “utilizzazione a fini commerciali”, posto che– nel caso di specie non viene in considerazione una cessione di dati, da parte di Apple, a terzi, ma solo l’utilizzazione di essi per migliorare i servizi resi da Apple, tra i quali i servizi resi mediante le piattaforme Apple Store, iTunes Store e Apple Books: l’utilità che Apple riceve dalla acquisizione dei dati, quindi, in via diretta è costituita dal miglioramento delle performance delle indicate piattaforme e dall’accrescimento della possibilità che gli utenti che vi accedono acquistino dei prodotti, e in via indiretta dai compensi che Apple riceverebbe, a titolo di commissione, dai produttori dei beni o servizi compravenduti sulle citate piattaforme.

Il fatto

Con deliberazione n. 29888 del 9 novembre 2021 l’Autorità Garante della Concorrenza e del Mercato (in prosieguo solo “AGCM” o “Autorità”) ha sanzionato Apple Distribution International Limited (in prosieguo solo “Apple”) in relazione a due illeciti consumeristici, consistenti:

(a) in carenze informative in merito alla raccolta dei dati dell’utente a fini commerciali anche per l’utilizzo nell’ambito dell’App Store e degli altri Store Apple: attraverso la creazione dell’ID Apple, indispensabile per l’uso di tutti i dispositivi e i servizi offerti da Apple, e per l’accesso alla piattaforma App Store e agli altri Store Apple, Apple acquisirebbe i dati personali e di utilizzo dei servizi dell’utente per una loro utilizzazione a fini commerciali da parte della Società, senza portarne a conoscenza in maniera adeguata i consumatori stessi;

(b) nell’aver pre-impostato il consenso alla raccolta dei dati personali a fini commerciali da parte di Apple: in particolare, la Società avrebbe adottato una modalità di acquisizione del consenso all’uso dei dati degli utenti a fini commerciali in optout[1], ossia senza prevedere per il consumatore la possibilità di scelta preventiva ed espressa in merito alla cessione dei propri dati, la cui possibilità di acquisizione per la Società risulterebbe pre-impostata sin dalla fase di creazione dell’ID Apple, creazione che costituisce una azione obbligata per il consumatore che intenda utilizzare i dispositivi Apple; inoltre, il consumatore che vuole effettuare una scelta diversa deve intraprendere una complessa e non immediata procedura per la disattivazione dell’opzione.

La sanzione comminata ad Apple da AGCM.

In particolare, ritenuta la possibilità di applicare la disciplina del cumulo materiale, e considerato il fatturato globale realizzato da Apple nel 2020, l’Autorità ha irrogato per ciascuna delle due condotte la sanzione di €. 5.000.000,00.

L’impugnazione del provvedimento di GCM da parte di Apple innanzi al TAR.

L’indicato provvedimento è stato impugnato da Apple avanti al Tribunale Amministrativo Regionale per il Lazio, che ha accolto il ricorso.

Il TAR ha accolto il ricorso ritenendo il provvedimento impugnato inficiato da travisamenti in fatto nell’attività di accertamento svolta dall’Autorità e dall’assenza di una portata decettiva delle condotte contestate.

Secondo il primo giudice la condotta descritta al capo a) non implica, se non in via meramente eventuale, uno sfruttamento commerciale dei dati personali dell’utente, da questi forniti all’atto della creazione dell’ID: diversamente da quanto sostiene l’Autorità, la personalizzazione delle mail inviate all’utente ai fini di marketing avverrebbe, infatti, solo dopo che questi è già entrato negli stores, interagendo con essi. Inoltre, la “personalizzazione” degli stores non equivarrebbe a uno sfruttamento immediato e diretto delle informazioni raccolte, dal momento che Apple consegue un profitto solo nel caso in cui gli utenti effettuino un successivo acquisto ovvero attraverso la vendita di pubblicità tramite la funzione “Search ads”, che riguarda le app presenti nello store. In terzo luogo, il termine “personalizzazione” è accompagnato da una informativa “di primo livello”, resa disponibile tramite un apposito “link”, attraverso cui sono anche esplicitate le modalità di disabilitazione del servizio. Il TAR, inoltre, ha ritenuto insussistente il requisito della decettività della condotta, correlata all’uso dei termini “personalizzazione”, “consigli” e “raccomandazioni”, e ciò per la ragione che il tutto avviene all’interno di uno “store”, cioè di un “negozio virtuale”, il cui accesso intrinsecamente presuppone la consapevolezza da parte dell’utente della natura commerciale delle transazioni che al suo interno possono essere eseguite. Dunque – secondo il TAR – benché sia ragionevole ipotizzare che la profilazione del cliente possa essere utile ad Apple per migliorare la capacità “attrattiva” degli stores e, in ultima analisi, per accrescere il proprio fatturato, la condotta contestata non può ritenersi ingannevole perché è comunque necessaria una successiva scelta consapevole del consumatore che realizza una operazione di acquisto all’interno dei negozi virtuali.

Relativamente alla condotta sub b), il TAR ha ritenuto non corretta l’affermazione dell’Autorità secondo cui “la preattivazione in questione determina, già di per sé, il trasferimento e l’utilizzo dei dati da parte di Apple, una volta che questi vengano generati, senza la necessità a tal fine di ulteriori passaggi in cui l’utente possa confermare o modificare la scelta pre impostata”. Anche in questo caso per la ragione che attraverso la creazione dell’ID Apple e alla personalizzazione degli stores non viene effettuata una acquisizione a fini commerciali di dati, che presuppone il compimento da parte dell’utente di ulteriori attività. Mancherebbero, pertanto, gli elementi per considerare la pratica commerciale ingannevole e aggressiva, non avendo portata decettiva e non essendo in grado di produrre un “indebito condizionamento” del consumatore.

Il ricorso di AGCM davanti al Consiglio di Stato (CdS)

Avverso l’indicata decisione ha proposto appello l’Autorità.

Apple si è costituita in giudizio insistendo per la reiezione del gravame, riproponendo i motivi ottavo e decimo del ricorso originario, e svolgendo appello incidentale.

Per quanto di stretto interesse in questa sede, il CdS ha stabilito che:

– l’oggetto dell’informativa omessa è tutta quella elaborazione dei dati degli utenti che serve a profilarli e che consente la “patrimonializzazione” dei dati medesimi. Che tali dati non vengano fatti oggetto di cessione a terzi e che, pertanto, Apple non consegua un profitto dalla vendita diretta dei dati degli utenti, non significa che questi dati siano privi di un valore intrinseco. I dati personali sono idonei a identificare un individuo e il relativo patrimonio e proprio per tale ragione sono frequentemente oggetto di furto o di utilizzazione abusiva da parte di persone che intendono sfruttare, per i motivi più vari, l’altrui identità. Per questa ragione si può affermare che i dati personali costituiscono beni immateriali che possiedono un valore intrinseco, indipendente, cioè, dal valore che sarebbe ritraibile a seguito di una contrattazione di mercato. Il fatto stesso che si sia sentita, a livello nazionale ed europeo, la necessità di adottare una legislazione di tutela dei dati personali presuppone che essi possiedono un valore intrinseco, prima ed a prescindere dall’uso che ne sia fatto sul mercato, e proprio per tale ragione essi vanno tutelati “a priori”. Peraltro, è evidente che nella attuale economia la “patrimonializzazione” dei dati personali, da parte di professionisti come Apple, non fa che accrescere il suddetto valore intrinseco, dal momento che ne aumenta in modo concreto e notevole le possibilità di uno sfruttamento economico lecito.[2]

Il Collegio ha osservato, quindi, che la decisione dell’utente di fornire i propri dati, all’atto della creazione dell’ID Apple, integra una “decisione di natura commerciale” rilevante ai fini dell’applicazione dell’art. 21 del D. L.vo n. 206/2005. 11.3.1[3].

I debiti informativi a carico di Apple nei confronti dell’utenza.

Riguardo al motivo di cui alla lett. a), il CdS ha affermato che costituisce principio consolidato nella giurisprudenza della Sezione quello secondo cui l’obbligo di estrema chiarezza gravante sul professionista deve essere da costui assolto sin dal primo contatto, attraverso il quale debbono essere messi a disposizione del consumatore gli elementi essenziali per un’immediata percezione della offerta pubblicizzata. L’informativa “multilivello” fornita da Apple non rispetta questo principio[4]:

(i) perché richiedeva all’utente di aprire il link presente sulla prima schermata, che apriva una nuova schermata in cui l’utente era informato solo del fatto che avrebbe potuto ricevere e-mail di marketing e che avrebbe potuto disattivare il servizio di ricezione di email;

(ii) perché richiedeva all’utente di accedere agli Apple stores, aprendo i link ivi presenti sotto all’icona Dati & Privacy, per ottenere maggiori informazioni circa il modo in cui sarebbero stati utilizzati i dati rinvenienti dall’uso della piattaforma da parte dell’utente. Ad esonerare Apple dall’obbligo di fornire una informativa più esaustiva non può soccorrere neppure il fatto che lo spazio disponibile, sulla prima schermata, per l’informativa fosse ridotto: infatti Apple ben avrebbe potuto, prima del tasto “CONTINUA”, mettere a disposizione una schermata intera per veicolare le informazioni necessarie.

Apple è incorsa in una omissione di informazioni, rilevanti in quanto idonee a condizionare la decisione dell’utente di creare l’ID Apple, che comportava l’immediata cessione dei propri dati personali di base. La pratica commerciale in questione deve, conseguentemente, ritenersi ingannevole, ai sensi e per gli effetti dell’art. 22 del D. L.vo n. 206/2005.

[1] L’opt-out è l’opzione di annullamento dell’iscrizione o dell’adesione a un sito web, a un blog, a un gruppo o a qualsiasi altro servizio online.

[2] A tale proposito il CdS ha richiamato una sua precedente sentenza, la n. 2631 del 29 marzo 2021, ove veniva sancito che occorre rilevare che nella presente controversia, come quella decisa dall’indicato precedente, “non viene in emersione la commercializzazione del dato personale da parte dell’interessato, ma lo sfruttamento del dato personale reso disponibile dall’interessato in favore di un terzo soggetto che lo utilizzerà a fini commerciali, senza che di tale destino l’interessato conosca in modo compiuto le dinamiche, fuorviato peraltro dalle indicazioni che derivano dalla lettura delle condizioni di utilizzo (come nel caso di specie) di una “piattaforma informatica”. In altre parole il rimprovero rivolto al professionista consisterebbe nel non aver informato l’utente, che in questo caso si trasforma tecnicamente in “consumatore”, nel momento in cui rende disponibili i propri dati al fine di potere utilizzare gratuitamente i servizi offerti dalle società FB, prima di tale operazione, nell’ambito della quale l’utente resta convinto che il conseguimento dei vantaggi collegati con l’accesso alla piattaforma sia gratuito, non potendo quindi riconoscere ed accorgersi che a fronte del vantaggio si realizza una automatica profilazione ad uso commerciale, non chiaramente ed immediatamente indicata, all’atto del primo accesso, quale inevitabile conseguenza della messa a disposizione dei dati.” (cfr. sentenza n. 2631/2021, paragrafi 8 e 9).

[3] La definizione che l’art. 18, comma 1, lett. m), del D. L.vo n. 206/2005, fornisce di “decisione di natura commerciale”, comprende anche la decisione del consumatore relativa a “se tenere un prodotto o disfarsene”: l’utilizzazione del verbo “disfarsi” (“se defaire”, nella versione francese della Direttiva n. 29/2005, art. 2, lett. k) è particolarmente significativa, perché indica che può trattarsi anche di una decisione del consumatore non finalizzata al conseguimento di un controvalore immediato, quale corrispettivo della messa a disposizione dei propri dati personali. Ne consegue che la natura “commerciale” della decisione non è correlata al conseguimento, per il consumatore, di un profitto/prezzo immediato, ma deve essere valutata in base all’intrinseco valore del “prodotto”, così che la decisione di “disfarsi” di esso prodotto implica la rinuncia, da parte del consumatore, al relativo valore.

[4] Il CdS a tale proposito ha precisato che le Linee Guida sulla trasparenza del 29 novembre 2017 raccomandano (cfr. par. 35) di “seguire un approccio stratificato”, suggerendo “Per evitare un subissamento informativo …….l’impiego di dichiarazioni/informative sulla privacy stratificate per collegare le varie categorie d’informazioni da fornire all’interessato, piuttosto che l’inserimento di tutte le informazioni in un’unica informativa sulla schermata. L’approccio stratificato può aiutare a superare la tensione tra completezza e comprensione, nello specifico consentendo agli utenti di muoversi direttamente verso la sezione della dichiarazione/informativa che vogliono leggere…”; tuttavia si tratta chiaramente di una mera raccomandazione, che non crea obblighi precisi e, quindi, non obbligava affatto Apple a fornire notizie più dettagliate, circa l’uso che avrebbe fatto dei dati personali dei consumatori, solo al momento dell’accesso agli Store. Del resto, al successivo par. 36 le Linee Guida citate ribadiscono che “i titolari del trattamento devono essere in grado di dar prova di responsabilizzazione per quanto concerne le ulteriori informazioni cui decidono di assegnare priorità, la posizione del Gruppo è che, in linea con il principio di correttezza, oltre alle informazioni indicate nel presente paragrafo il primo strato/la prima modalità debba contenere anche quelle relative al trattamento che ha il maggiore impatto sull’interessato e al trattamento che potrebbe coglierlo di sorpresa. Pertanto, l’interessato dovrebbe essere in grado di comprendere dalle informazioni contenute nel primo strato/nella prima modalità quali saranno per lui le conseguenze del trattamento”. E’ dunque evidente che è comunque responsabilità del titolare del trattamento dei dati stabilire, anche nell’ambito di un approccio “stratificato”, o multilivello, quali siano le informazioni essenziali da fornire al momento del primo contatto, sia per soddisfare le esigenze di trasparenza, che per garantire la correttezza nei rapporti tra professionista e consumatore.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Il valore economico intrinseco attribuito ai dati personali alla luce della Sentenza del Consiglio di Stato n. 9614/2024

About Author / Davide De Luca

GPDP: per il calcolo della sanzione si tiene conto della gravità della violazione ma anche della posizione assunta dal titolare nella gestione della violazione.

Lo European data Protection Board, in data 2 dicembre 2024, ha pubblicato le linee guida relative all’applicazione dell’art. 48 del GDPR.

Lascia un commento Annulla risposta