La Corte Federale di Giustizia Tedesca ha di recente sottoposto alla Corte di Giustizia dell’Unione Europea una spinosa questione pregiudiziale: le associazioni di tutela dei consumatori sono autorizzate ad avviare un’azione civile in caso di violazione del GDPR? Ed inoltre, l’art 80 può ritenersi in conflitto con le leggi dei singoli stati membri che potrebbero autorizzare associazioni di consumatori ad agire anche a tutela di diritti previsti nel GDPR?
Queste due semplici domande nascondono risvolti molto interessanti e degni di essere analizzati compiutamente.
Posto che le legislazioni dei vari stati europei riconoscono poteri differenti in capo alle associazioni dei consumatori, quello che ci interessa evidenziare è un aspetto fondamentale che però emerge solo leggendo fra le righe delle questioni poste alla Corte di Giustizia.
Il background
Tutto nasce da una nuova interpretazione normativa proveniente da alcune corti tedesche che, di fatto, stanno colpendo su più fronti il business model di Facebook ritenuto (a torto o a ragione) capace di integrare gli estremi della concorrenza sleale e dell’abuso di posizione dominante.
In particolare, come riporta anche il New York Times, le corti hanno ritenuto che Facebook avrebbe infranto le leggi sulla concorrenza combinando i dati raccolti sugli utenti provenienti dalle sue diverse piattaforme nonché da siti Web esterni e app di terze parti.
In particolare, le autorità tedesche hanno sostenuto che Facebook avrebbe usato ingiustamente la propria posizione di mercato per raccogliere dati su milioni di utenti, provenienti anche da siti di terze parti che utilizzavano strumenti come i pulsanti “Mi piace” e “Condividi” di Facebook oltreché un servizio di analisi chiamato Facebook Pixel.
L’ingiustizia di questo business model proverrebbe dal fatto che i consumatori si sarebbero trovati di fronte a una scelta ingiusta: accettare di consegnare grandi quantità di dati personali o non utilizzare affatto i servizi di Facebook, circostanza questa capace di evidenziare in modo nitido l’esercizio del potere dominante della società di Mark Zuckerberg.
Questa interpretazione della normativa ha evidentemente causato tutta una serie di ricorsi e di appelli che stanno tenendo tutt’ora banco in Germania.
In generale, possiamo dire che in Unione Europea si sta smuovendo qualcosa contro le big del tech le quali, sempre più di sovente, vengono messe sotto la lente di controllo. Non è un caso se la Commissione Europea, di recente, ha avviato indagini formali per valutare se le regole di Apple per gli sviluppatori sulla distribuzione di app tramite App Store violino le regole di concorrenza dell’UE. Le indagini, si legge nel comunicato ufficiale, riguardano in particolare l’uso obbligatorio del sistema di acquisto in-app di Apple e le restrizioni sulla capacità degli sviluppatori di informare gli utenti di iPhone e iPad su possibilità di acquisto alternative più economiche al di fuori delle app. Insomma, sembra che qualcosa stia cambiando in Europa.
In tal senso il fatto che una delle liti intentate nei confronti di Facebook sia arrivata dinnanzi alla Corte Europea è un elemento di non seconda importanza.
La decisione di questa Corte avrà difatti conseguenze importanti sull’interpretazione del diritto europeo e sulle pratiche commerciali di tutte le big. Per questo diventa fondamentale capirne i presupposti di diritto.
Consumatori o interessati?
Difatti, i quesiti sollevati hanno come presupposto naturale il fatto che un’azienda abbia in qualche modo posto in essere un’attività dannosa (anche solo potenzialmente) rispetto ai diritti dei consumatori.
Non è affatto banale come presupposto e, anzi, a parere di chi scrive era auspicabile che qualcuno prima o poi sollevasse la questione. Si perché, il GDPR, come noto, è norma a tutela delle persone fisiche e, in particolare, delle persone fisiche che forniscono dati per ottenere beni e servizi. Questa descrizione coincide perfettamente con quella di cliente o di consumatore ma, allora, facendo un passo ulteriore, possiamo affermare che violando il GDPR si violano anche i diritti dei consumatori?
A questa domanda è possibile rispondere guardando alla normativa.
In Italia, l’art. 2 del Codice del Consumo prevede che ai consumatori sia riconosciuto, tra l’altro, il diritto ad una adeguata informazione e a una corretta pubblicità; all’esercizio delle pratiche commerciali secondo principi di buona fede, correttezza e lealtà; alla correttezza, alla trasparenza ed all’equità nei rapporti contrattuali.
In sostanza il consumatore deve essere messo nella condizione di potersi informare e di indirizzare le proprie scelte di conseguenza. Questo vale, ad esempio, per la politica dei prezzi, che devono essere chiari consentendo al consumatore di capire se c’è stato un ribasso ed in che misura. E se l’imprenditore richiedesse dati senza fornire l’informativa? Si potrebbe ritenere violato il principio di correttezza e trasparenza individuato nell’art. 2 del Codice Consumo?
Facciamo un esempio: il consumatore si iscrive ad un programma fedeltà. L’impresa erogatrice, però, il vero profitto non lo trae dall’utilizzo della fidelity card ma dalla vendita di dati a soggetti terzi. Accantonando il GDPR per un momento, il consumatore, in base alla legge sul Consumo, può ritenersi un consumatore informato oppure no?
A parere di chi scrive la risposta è no.
Vediamo così che trattamento dei dati e tutela del consumatore si confondono divenendo un’unica cosa. Non a caso negli Stati Uniti da sempre la privacy viene vista come una branca del diritto dei consumatori.
Se un soggetto acquista un servizio ha diritto ad avere una conoscenza adeguata su tutti gli aspetti contrattuali che lo legheranno alla società erogatrice.
E se il servizio è gratuito?
La verità è che, come sappiamo, spesso dietro ai servizi gratuiti si celano società che traggono profitto proprio dal trattamento di dati, circostanza questa che rende ancora più evidente la commistione tra GDPR e diritto dei consumatori.
Diritti dei consumatori e diritti degli interessati, la parola alla Corte Ue
Ora, la corte tedesca ha però correttamente evidenziato come l’art. 80 del GDPR preveda stringenti requisiti per poter procedere con una azione a tutela degli interessati. Da qui la domanda: le leggi nazionali che prevedono la possibilità di tutelare i consumatori (anche da danni provenienti dal mancato rispetto del GDPR) devono ritenersi incompatibili oppure no?
La risposta della Corte di Giustizia a questa domanda potrebbe creare grossi problemi all’intero ordinamento europeo. Difatti, nel caso in cui la Corte dovesse propendere per l’incompatibilità delle norme nazionali decreterebbe l’incostituzionalità delle stesse e sancirebbe una netta distinzione tra i diritti dei consumatori e diritti degli interessati, circostanza questa che sarebbe insensata alla luce di quanto sin qui esposto. Qualora invece la Corte ritenesse le norme compatibili si creerebbe un grosso problema di coordinamento tra il diritto nazionale ed il diritto europeo. Del resto, che senso avrebbe utilizzare le stringenti procedure di cui all’art. 80 GDPR se lo stesso identico risultato potrebbe essere raggiunto utilizzando, ad esempio, le procedure previste nell’art. 140 bis del Codice del Consumo italiano?
In realtà, questo esempio, che potrebbe forse calzare bene per l’ordinamento tedesco, non è molto aderente a quella che è la situazione italiana.
Difatti, nel nostro caso è più probabile che le associazioni utilizzino la procedura di cui all’art. 80 GDPR piuttosto che quella di cui al 140 bis del Codice del Consumo e ciò per due ordini di motivi.
Il primo: mentre il Codice prevede che le associazioni possano agire per la tutela dei propri associati, il GDPR prevede che le stesse possano agire anche senza mandato, circostanza questa che facilita l’azione la quale non deve più passare da attività di proselitismo volte ad ottenere mandati o comunque appoggi per una determinata causa.
Il secondo: mentre il Codice del Consumo prevede la necessaria esistenza di un danno, il GDPR questo non lo prevede espressamente ritenendo quindi possibile agire anche prima che la condotta dell’imprenditore possa avere effetti dannosi.
Riflessi sulla concorrenza
Un ultimo aspetto da affrontare riguarda i rapporti dell’impresa nei confronti dei propri competitor.
Difatti se, come abbiamo visto, il confine tra diritto dell’interessato e diritto del consumatore è piuttosto labile, viene da chiedersi che tipo di conseguenze può avere, sulla concorrenza, il mancato rispetto del GDPR.
L’art. 2598 cc prevede che compie atti di concorrenza sleale chiunque […] “3) si vale direttamente o indirettamente di ogni altro mezzo non conforme ai principi della correttezza professionale e idoneo a danneggiare l’altrui azienda”.
La domanda quindi è: il mancato rispetto del GDPR può costituire un vantaggio commerciale non conforme ai principi di correttezza?
Per capirlo facciamo un esempio: abbiamo due giornali locali. Come noto, i giornali locali sopravvivono grazie alle pubblicità degli inserzionisti i quali, nello scegliere tra i vari giornali, decide in base al numero di copie distribuite.
Ora, il giornale “A” ha rispettato tutte le norme di cui al GDPR e, dal 25 maggio 2018 ha creato una newsletter inserendo solo i dati per i quali esiste un consenso o altra base giuridica idonea.
Il giornale “B” ha del tutto ignorato i dettami del GDPR ed ha inserito chiunque nel suo database che, infatti, vanta un numero di contatti due volte superiore a quello del proprio diretto concorrente.
Secondo voi il giornale “B” ha attuato una condotta conforme ai dettami della correttezza professionale oppure no?
A mio parere la risposta è no. Ma questo orientamento, qualora adottato su larga scala, aprirebbe le porte a numerose implicazioni. Di fatto, allora, anche chi non rispetta le regole in materia di sicurezza ed igiene potrebbe essere avvantaggiato, come anche chi -per ipotesi- non paga le tasse sulle insegne o chi non paga il plateatico per i tavolini esterni. Insomma, chiunque, traendo un vantaggio imprenditoriale dalla violazione della normativa, potrebbe essere tacciato anche di concorrenza sleale.
Certo, la ampia previsione dell’art 2598 cc, tendenzialmente, non esclude questa circostanza. Forse anche in questo caso, come per i consumatori, servirebbe un intervento di armonizzazione per spiegare come coordinare le norme.
Del resto, come ripetuto in diverse occasioni il GDPR è qui per restare e, anzi, col tempo è probabile che le transazioni commerciali avranno sempre più come oggetto principale i dati dell’interessato. Per questo motivo diritto dei consumatori e della concorrenza andranno sempre più a confondersi con il diritto degli interessati. Non resta quindi che attendere l’intervento chiarificatore della Corte di Giustizia dell’Unione Europea.
