Consumatori tedeschi vs. Facebook: la condanna del social network per violazione della normativa sul trattamento dei dati personali
Di Egle Urso
Corte distrettuale di Berlino, 24 gennaio 2018
Abstract
La Corte Regionale di Berlino ha condannato Facebook per violazione delle norme sul trattamento dei dati personali, in un’azione intrapresa dall’Associazione Nazionale dei Consumatori, dichiarando l’illegittimità di alcune clausole ed impostazioni di default del servizio, sulla base di una mancata acquisizione del consenso all’utenza. La sentenza, alla vigilia dell’entrata in vigore del Regolamento sulla Protezione dei Dati Personali, afferma importanti principi su privacy e consenso, in linea con le indicazioni del legislatore europeo.
Indice
1. Introduzione
2. Impostazioni di default e consenso
3. Termini e condizioni d’uso
4. «Facebook è gratis e lo sarà sempre»
1. Introduzione
Lo scorso 28 gennaio, la Corte Regionale Tedesca con sede a Berlino ha, in prima istanza, condannato il noto social network per la violazione della normativa nazionale in materia di trattamento dei dati personali[1], oltre che della disciplina relativa alle condizioni di servizio a tutela del consumatore, in relazione ad alcune clausole ed impostazioni di default, in quanto funzionali a eludere le norme sull’acquisizione del consenso.
La sentenza, pubblicata alla vigilia dell’applicazione del nuovo Regolamento sulla Protezione dei Dati Personali (GDPR), arriva al termine di una battaglia legale durata più di due anni, intrapresa dall’Associazione dei Consumatori Tedeschi (Verbraucherzentrale Bundesverband – VZBV), e stabilisce importanti principi sulle modalità di acquisizione del consenso per il trattamento dei dati personali, oltre che sulla liceità di alcuni fra i più noti termini del servizio.
La Corte ha valutato la compatibilità delle clausole e impostazioni contestate con la vigente normativa, accogliendo circa la metà delle doglianze attoree, constatando in particolare:
- la violazione della normativa sul trattamento dei dati e delle norme per l’acquisizione del consenso, in relazione ad alcune impostazioni di default;
- la violazione delle norme sull’equità di termini e condizioni, in relazione ad alcune clausole inserite nella policydi Facebook, fra cui la clausola che impone agli utenti l’utilizzo del loro vero nome;
- la liceità dello slogan «Facebook è gratis e lo sarà sempre».
2. Impostazioni di default e consenso
La Corte ha innanzitutto dichiarato invalide cinque clausole di default inserite nelle impostazioni del noto social network, sulla base di una mancata acquisizione del consenso informato all’utenza. Fra queste, un’impostazione pre-attivata nell’applicazione mobile che rileva la localizzazione degli utenti durante le chat ed una casella preselezionata nelle impostazioni privacy, che autorizza il collegamento della Timeline dell’utente a motori di ricerca esterni, rendendo in questo modo i profili facilmente accessibili tramite una semplice ricerca web.
Secondo la legge federale tedesca sulla protezione dei dati, che traspone la Direttiva Europea (Direttiva 95/46/CE), i dati personali possono essere raccolti e processati solo con il consenso dell’utente, e tale consenso dovrà essere ovviamente «informato», e basato su una policy chiara ed accessibile con riferimento a natura, scopo e finalità del trattamento. Nel caso di specie, la Corte ha rilevato come tali impostazioni di default non possano costituire una lecita modalità di acquisizione del consenso, in quanto non forniscono informazioni chiare e complete sul trattamento dei dati personali degli utenti quando questi accedono ed utilizzano la piattaforma; pertanto, secondo la Corte tedesca gli utenti non essendo effettivamente consapevoli delle modalità di trattamento dei dati che forniscono a Facebook, sono indotti a prestare un consenso «disinformato», che non può ritenersi conforme ai requisiti della normativa vigente, e l’ utilizzo continuato del servizio, sottolinea ancora la Corte, può essere considerato alla stregua di un implicito consenso[2].
La posizione della Corte sull’acquisizione del consenso risulta perfettamente in linea, oltre che con la vigente normativa europea, con il nuovo GDPR, applicabile dal 25 maggio 2018. Il nuovo articolo 4 n. 11 infatti, definisce il consenso come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento». La normativa specifica ancora, al Considerando 32, che il consenso debba essere espresso «mediante un atto positivo inequivocabile», escludendo invece tassativamente «il silenzio, l’inattività o la preselezione di caselle».
Sul punto insiste anche il parere del Gruppo di Lavoro ex art. 29 della direttiva 95/46/EC[3], che sottolinea ancora una volta l’importanza della manifestazione chiara ed inequivocabile del consenso, e precisa come l’utilizzo di caselle pre-selezionate sia invalido sulla base del Regolamento e come il silenzio o l’inattività da parte dell’utente, insieme con la mera continuazione nell’utilizzo del servizio, non possano essere considerate quali indicazioni attive di un consenso.
3. Termini e condizioni d’uso
Lo scrutinio della Corte tedesca ha colpito inoltre alcune clausole presenti nei Termini e Condizioni del servizio (otto per la precisione), ed in particolare una clausola che autorizza il trasferimento di dati personali negli Stati Uniti ed un consenso pre-formulato all’utilizzo di nomi e foto profilo degli utenti per finalità commerciali, incluse profilazione e marketing. La Corte ha in particolare accolto le doglianze attoree, ritenendo che tali «dichiarazioni preformate» non possono costituire un «effettivo consenso» al trattamento dei dati, in quanto questo risulta «inquadrato in modo troppo vago».
Uno degli aspetti della sentenza che ha sicuramente destato più attenzione mediatica, è la dichiarazione di invalidità della clausola che permette agli utenti di registrarsi solo utilizzando il vero nome e cognome; tale pronuncia ha infatti destato delle perplessità, anche alla luce della recente normativa tedesca, entrata in vigore lo scorso gennaio, volta alla repressione di reati ed abusi commessi online attraverso social network, che prevede importanti sanzioni per la diffusione su tali piattaforme di hate speach e fake news Secondo il giudicante tedesco, una clausola che condiziona la registrazione e l’utilizzo di un servizio all’uso del vero nome dell’utente, e non permette invece la registrazione sotto pseudonimi o anche in forma anonima, deve essere dichiarata invalida, poiché ritenuta una «modalità celata» di acquisizione del consenso al trattamento dei dati, in quanto l’utente, al fine di utilizzare i servizi offerti da Facebook, non ha altra scelta che fornire i propri dati personali, essendogli invece precluso un utilizzo in forma anonima o pseudonima.
L’associazione dei consumatori aveva in realtà sostenuto, davanti alla Corte, che tale clausola fosse in contrasto con la normativa domestica sulle telecomunicazioni[4], che prevede invece l’obbligo per i service providers di permettere anche l’utilizzo anonimo (o sotto pseudonimo) ai propri utenti; la Corte tuttavia si è limitata a riconoscere l’illegittimità della clausola per viziata acquisizione del consenso, senza invece pronunciarsi sulla compatibilità con la suddetta normativa.
La decisione tedesca, offre qui alcuni interessanti spunti di riflessione.
Innanzitutto, la policy del «real name» che al più consente l’uso di diminutivi, abbreviativi o vezzeggiativi, di fatto permette a Facebook di raccogliere dati reali e precisi sui propri utenti, anche per successivi trattamenti, e di esercitare su questi un controllo in maniera molto più agevole.
In questo senso, è stato osservato come tale policy potrebbe risultare incompatibile con il nuovo principio di minimizzazione dei dati previsto dal GDPR (art. 5, c. 1, lett. c), che impone che i dati personali siano «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati»[5]. Qualora si adotti questo approccio, e si consideri dunque non strettamente necessario fornire il vero nome e cognome al fine di fruire dei servizi di un social network, si dovrebbe riconsiderare la compatibilità con la imminente normativa, anche delle clausole di altri servizi che subordinano la registrazione a questo requisito.
Sotto un diverso profilo, invece, tale sentenza andrebbe letta anche alla luce sopra citata legge tedesca sull’hate speech, entrata in vigore solo pochi mesi fa, che si rivolge nello specifico ai maggiori social media e prevede importanti sanzioni per la mancata pronta rimozione (entro 24 ore) di contenuti manifestamente illeciti. Quali contenuti costituiscano effettivamente hate speech rimane impossibile da stabilire a priori, e proprio questo aspetto della normativa ha attirato diverse critiche da parte di coloro che ravvisano in una tale rigida disciplina una minaccia alla libertà di espressione online.
In questo senso dunque, la registrazione tramite real name sarebbe rilevante in termini di accountability e di enforcement della disciplina in materia di diffamazione, permettendo a Facebook (insieme agli altri maggiori social network interessati dai nuovi obblighi), un più agevole controllo sull’utenza e facilitando, dunque, l’identificazione in caso di illeciti.
Tale policy, dunque, si porrebbe all’interno del dibattito fra coloro che vedono l’anonimato su internet quale garanzia non solo della privacy, ma anche della libertà di espressione, da un lato[6], e la necessità di assicurare un’accountability degli utenti nei confronti della comunità, dall’altro, anche in relazione alle nuove e più stringenti norme su diffamazione online e sull’ hate speech. La Corte tedesca, tuttavia, come già accennato, evita di entrare nel merito della questione, dichiarando a priori la clausola invalida sulla base di una viziata acquisizione del consenso.
4. «Facebook è gratis e lo sarà sempre»
Gli attori avevano infine contestato al Social Network il suo ben noto slogan «Facebook è gratis e lo sarà sempre» quale forma di pubblicità ingannevole, in quanto gli utenti, seppure effettivamente non corrispondono una somma in denaro per l’utilizzo del servizio, pagano comunque con una diversa «valuta», ovvero i propri dati personali, che Facebook utilizza per finalità di marketing e pubblicitarie. La Corte tedesca ha tuttavia considerato la clausola valida, sulla base della considerazione che un “bene intangibile” come lo sono i dati, non può essere considerato un costo effettivo, e dunque, di conseguenza, lo slogan del sito non trae in inganno gli utenti.
La posizione della Corte sul punto è abbastanza anomala, e controcorrente rispetto al trend generale delle Corti ed Autorità nazionali, che invece considerano i data quali veri e propri asset economici, soprattutto in relazione ai grandi colossi del web, quali Facebook e Google, che hanno consolidato nel tempo il loro potere di mercato proprio grazie ai dati degli utenti, e ovviamente basano su questi anche la maggior parte delle loro revenues.
In questo senso si inserisce, ad esempio, la posizione dell’Autorità Garante per la Concorrenza tedesca, che sta attualmente indagando su un presunto abuso di posizione dominante di Facebook nel mercato dei social media, ritenendo appunto come il potere di mercato di Facebook derivi proprio dalla quantità (e qualità) di dati da questo detenuti; in particolare, l’Ufficio Antitrust Federale ha recentemente presentato i risultati preliminari di un’indagine durata più di 20 mesi, nei quali ha concluso che Facebook ha abusato di una posizione dominante tra i social network ottenendo l’accesso a dati di terze parti, attraverso WhatsApp e Instagram, nonché tramite il monitoraggio delle attività degli utenti sul web.
Allo stesso modo anche la Commissione Europea[7], che ha avuto modo di pronunciarsi proprio sull’acquisizione dell’applicazione di messaggistica istantanea da parte di Facebook, ha pacificamente riconosciuto come i dati personali e le preferenze degli utenti abbiano un valore economico concreto e siano oggetto di importanti scambi commerciali, specialmente per aziende come Facebook, e che dunque i dati che gli utenti forniscono, seppure non siano beni tangibili, hanno natura di controprestazione non pecuniaria, dal cui sfruttamento queste aziende ricavano importanti guadagni.
Nonostante questa sentenza porti con sé importanti implicazioni con riguardo al trattamento dei dati e all’acquisizione del consenso da parte dei social network, la situazione è ancora in divenire, ed entrambe le parti hanno manifestato l’intenzione di procedere in appello. Non resta dunque che attendere il contributo del Giudice di secondo grado che dovrà, chiaramente, pronunciarsi sulle questioni sulla base del nuovo Regolamento, direttamente applicabile dal 25 maggio.
[1] Legge federale sulla protezione dei dati personali, (Bundesdatenschutzgesetz – BDSG).
[2] https://www.williamfry.com/newsandinsights/news-article/2018/02/21/german-court-finds-facebook-default-settings-unlawful
[3] Gruppo di Lavoro ex art. 29; Linee guida sul Consenso, 10 Aprile 2018
[4] German Telemedia Act, Sezione 13 n. (6)
[5] D. Stella e N. Casazza, GDPR: Facebook condannata per violazione della privacy e della normativa a tutela dei consumatori, 2018
[6] Sul punto, l’opinione del Consiglio d’Europa nella Guida dei Diritti Umani per gli Utenti Internet nella quale si afferma come il principio dell’anonimato abbia lo scopo di «garantire una protezione contro la sorveglianza online e favorire la libertà di espressione» e in ciò, gli Stati membri dovrebbero rispettare la volontà degli utenti di Internet di non rivelare la loro identità, principio che va ovviamente bilanciato con la necessità di adottare misure per rintracciare gli autori di atti criminali, conformemente alle normative nazionali e comunitarie; vedi Raccomandazione CM/Rec(2014)6
[7] Caso N. COMP/M. 7217-Facebook/Whatsapp
Redatto il 31 maggio 2018