Provvedimenti sanzionatori

Antitrust, sanzioni ai “dark pattern” di Google e Apple

Le due aziende avrebbero violato i propri oneri informativi e di raccolta del consenso verso gli utenti. Quando la mancanza di informativa e libero consenso non rilevano solo per la privacy

07 Dic 2021

Andrea Michinelli

avvocato, FIP, LA ISO 27001:2013, studio legale d’Ammassa & Partners

L’Antitrust (AGCM) ha sanzionato recentemente con due pronunce “gemelle i colossi USA Google e Apple, per 10 milioni di euro a testa e il divieto di proseguire in condotte illecite. Al di là dell’ammontare della sanzione (che pare davvero esigua in rapporto alle aziende in gioco e prevedibili profitti conseguiti, capiremo il perché più avanti), rileva il tema “di confine” tra privacy e tutela del consumatore: difatti le due aziende avrebbero violato i propri oneri informativi e di raccolta del consenso verso gli utenti. Avrebbero cioè occultato il loro utilizzo dei dati personali per svariati fini commerciali, oltre a non richiedere un consenso per questo. La tematica potrà sembrare familiare a chi si occupa di privacy, tuttavia essendoci di mezzo l’Antitrust l’indagine e le delibere sanzionatorie sono state improntate alla tutela dei consumatori, non già al rispetto della normativa sulla protezione dei dati personali. Vediamo di capire come.

Sanzione Antitrust: tutela del consumatore e/o dei dati personali?

Nonostante spesso si contrappongano – ad es. nell’attuale battaglia per la transizione del digital advertising senza cookie di terzi -, alla luce dei fatti le condotte dei colossi USA Google e Apple paiono improntate a una somiglianza tale da far pensare a un “cartello”, più o meno implicito. E di conseguenza l’Antitrust è arrivata a pubblicare in contemporanea i propri provvedimenti, diversi in alcuni dettagli ma in definitiva quasi identici nell’analisi e nei risultati.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Trattandosi di condotte basate sul piano informativo e sul consenso, viene da chiedersi se il Garante per la protezione dei dati personali deciderà ora di intervenire, in parallelo, con una propria indagine imperniata sul rispetto ad es. degli artt. 13 (informativa) e 7 (consenso) del GDPR. Come anticipato, l’AGCM non ha esaminato le condotte delle aziende secondo la normativa privacy (appunto non di sua competenza), bensì attraverso la lente della tutela dei consumatori (interessati, nella tassonomia del GDPR). Questo aspetto era stato criticato anche dalle società colpite negli atti istruttori, ove affermavano che tali temi fossero semmai oggetto di interesse del Garante per la protezione dei dati personali e non già dell’Antitrust. Tentativo superfluo visto che sono numerose le pronunce (anche di terze autorità come Consiglio di Stato e TAR, per restare sul piano nazionale) ove si chiarisce il rapporto di complementarietà delle discipline: quella sulla privacy tutela i diritti fondamentali della persona connessi all’uso dei dati personali, quella consumeristica protegge il consumatore da scelte economiche indotte da pratiche commerciali illecite connesse all’utilizzo dei dati personali.

Diversi i campi di applicazione e gli interessi tutelati, pur rilevanti sui medesimi piani dell’informativa e del consenso. Tanto più quando – come nei casi in parola – i dati personali sono oggetto di una “patrimonializzazione” che impone agli operatori la dovuta trasparenza. Ciò sarà ancora più chiaro ora col recepimento nazionale della Direttiva 2019/770, attuato recentemente con D.Lgs. 173/2021, dedicata al caso in cui “l’operatore economico fornisce o si impegna a fornire contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si impegna a fornire dati personali all’operatore economico”, dunque con dati quali controprestazione contrattuale.

Antitrust

Così fan tutti: i big player e il (mancato) rispetto dei consumatori

Le norme violate del Codice del Consumo, per entrambe le aziende, sono state riconosciute in quelle (artt. 21 e 22) delle pratiche commerciali ingannevoli, abbinate a quelle (artt. 24 e 25) aggressive. Le prime sono ad es. le condotte omissive circa la finalità commerciale nell’uso dei dati, le seconde ad es. gli indebiti condizionamenti che coartano la libertà del consumatore (il mancato consenso, nello specifico).

Venendo alle condotte, dobbiamo allora attuare un distinguo che rispecchi tali aree normative: il momento informativo (ingannevole) e quello consensuale (coartato):

a) il momento informativo è pari per entrambe le aziende: sia Google che Apple hanno giocato sulla creazione degli account utente, fondamentali per fruire dei servizi e prodotti offerti. Proprio per questo il layout e le informazioni resi agli utenti (il provvedimento dell’AGCM è ricco di screen shot che chiariscono quanto asserito con diversi esempi) sono stati sfruttati by design: l’informativa è stata ritenuta occultata dentro i Termini di servizio (dunque unitamente a informazioni di altro tipo) o altre pagine accessibili, peraltro, solo tramite un link. Da qui è discesa una consultazione informativa solo eventuale, oltre a occultare l’uso commerciale dei dati personali acquisiti. Il grosso degli utenti non ha così potuto nemmeno accorgersi di questi utilizzi marketing, prendendo una decisione di registrazione dell’account non sapendo cosa sarebbe accaduto ai propri dati, bensì presumendo che ci si limitasse a usarli per rendere i servizi previsti; si è dunque sfruttata e alimentata un’asimmetria informativa a danno dell’utente consumatore; è interessante che nel caso di Google l’AGCM puntualizzi come fornire pop-up informativi nell’immediatezza dell’accettazione che conclude il processo di registrazione dell’utente sia inutile perché successivo alla decisione ormai assunta di creare un account, pop-up peraltro “opaco” sul piano informativo e privo di riferimenti chiari e inequivoci all’uso dei dati per fini di marketing;

b) il momento consensuale, di nuovo, è simile nei due casi: ambedue le aziende hanno giocato sull’attuare un opt-out (eventuale intervento a posteriori dell’utente, che avrebbe dovuto deselezionare in prima persona l’opzione che bloccasse il flusso di dati) invece del dovuto opt-in (il consenso, che avrebbe dovuto essere ex ante e non certo preselezionato, per attivare l’uso commerciale dei dati). In entrambi i casi si è sfrutta la pre-impostazione a svantaggio dell’utente: nel caso di Google, di una pre-attivazione che ha generato il trasferimento dei dati senza ulteriori passaggi con cui si potesse confermare o modificare la pre-impostazione; quanto a Apple, la pre-attivazione sarebbe stata sfruttata nelle varie fasi (creazione dell’ID e accesso all’Apple Store) di registrazione, con distinte procedure di disattivazione per rendere più farraginoso e faticoso il loro ricorso (cioè Apple avrebbe costretto gli utenti che volessero intervenire sui propri dati personali ad accedere a ogni distinta app di Store nel caso – ad es. Books, iTunes, ecc. – oltre che ad ogni modalità di promozione – ad es. via e-mail, notifiche push, annunci personalizzati); una vera e propria “non-privacy by default” se pensiamo a quanto richiesto dal GDPR e che nel contesto consumeristico potremmo azzardare come “misleading by default” che induce a prendere decisioni commerciali che altrimenti non si sarebbero prese, oltre a pre-impostare eventuali opzioni all’insegna dell’opacità e del massimo consentito; si noti che comunque l’Antitrust non si è spinta a contestare la mancata granularità delle finalità marketing che, sia lato privacy che lato scelte consumeristiche, sarebbero dovute essere debitamente segmentate con consensi specifici (ad es. per marketing proprio, di terzi, mediante profilazione) oltre che a una debita segnalazione dei dati facoltativi (per fini di marketing) rispetto a quelli obbligatori (per fini di creazione account e fruizione dei servizi).

Possiamo allora parlare di dark pattern”, cioè di strategie manipolatorie che sfruttano le debolezze degli utenti (contestuali, psicologiche, conoscitive, ecc.) per influenzarne e guidare le decisioni, per quanto attuato dai colossi sanzionati? Sì, sebbene provvedimenti dell’Antitrust non parlino esplicitamente di “dark pattern”, come visto sopra ne hanno delineato tutti i caratteri. Salvo aggiungere che non si tratta nemmeno di modelli particolarmente elaborati, anzi: si potrebbe parlare ad es. di misdirection e sneaking, sfruttando la nota tassonomia di Brignull, onde cercare di dare una falsa rappresentazione dell’azione dell’utente o di depistare. Si tratta di tattiche banali che però garantiscono risultati di alto livello, più per sommatoria e confusione che altro, oltre che per la disattenzione sempre crescente degli utenti.

Interessante il lavoro in merito svolto dall’autorità francese per la protezione dei dati, la CNIL, per capirne di più, fornendo una mappa concettuale per “navigare” le varie tipologie di condotta ingannevole.

Sanzione Antitrust: inefficace in attesa di riforma

È la stessa autorità nei provvedimenti sanzionatori ad ammettere la debolezza e non deterrenza delle sanzioni qui comminate (in totale 10 milioni di euro a testa), pur nel massimo consentito – nonostante si riconoscano tanti fattori di gravità e aggravanti, come la durata della condotta (per Google dal 2015 a oggi, per Apple dal 2016 a oggi), la diffusione della pratica, la particolare natura della scorrettezza e aggressività (specie considerando il valore economico dei dati personali), la rilevanza delle società coinvolte, la peculiarità del contesto di riferimento (cioè Internet, innovativo e implicante l’uso di dati personali con valore economico), la recidiva (per Apple, già colpita da diversi provvedimenti AGCM). Solo per dare un riferimento, l’AGCM segnala che Apple, nel periodo di riferimento, avrebbe incassato dalle vendite dei suoi Store somme per diverse centinaia di milioni di euro, a fronte di decine di milioni di profili aperti dagli utenti.

Entrambe le società, stando agli atti, avrebbero applicato in corso d’opera modifiche e miglioramenti alle condotte contestate; tuttavia, l’AGCM ne ha ravvisato la loro sostanziale insufficienza quanto a una sostanziale correzione davvero rispettosa della normativa, oltre che del tutto inefficaci per sanare la posizione degli utenti pregressi ancora legati agli effetti di scelte “inconsapevoli” o assenti.

Conclusioni

Il problema è “nel manico”: la normativa attuale non permette di esorbitare rispetto a quanto previsto dalla l. 689/1981 qui applicata (è richiamata dall’art. 27.13 del Codice del Consumo), quando si è in attesa che a livello nazionale si recepisca la Direttiva 2019/2161 (modernizzazione della protezione dei consumatori) che fissa ad almeno il 4% del fatturato annuo del Professionista nello Stato membro” il massimo edittale. Ciò significa che nel fissare il massimo edittale il nostro Paese potrebbe fissare anche un valore superiore al 4%, volendo, a maggior tutela dei consumatori e deterrenza verso gli operatori commerciali. Con tali indici di riferimento, potenzialmente superiori alle soglie sanzionatori del GDPR, si auspica che finalmente le società siano davvero disincentivate dal procedere con tali pratiche.

Va segnalato che il nostro Paese avrebbe dovuto recepire questa Direttiva, con opportune modifiche al Codice del Consumo, entro il 28 novembre 2021. In settembre era stato presentato un disegno di legge di delega al Governo per il recepimento: alla data odierna si è ancora in attesa di provvedimenti definitivi, in ritardo rispetto alla scadenza e con possibile procedura di infrazione comunitaria per mancato recepimento nei termini.

@RIPRODUZIONE RISERVATA
M
Andrea Michinelli
avvocato, FIP, LA ISO 27001:2013, studio legale d’Ammassa & Partners
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection

Articolo 1 di 5