Con una interessante sentenza, il Consiglio di Stato (Sez. VI, 2 dicembre 2024, n. 9614) è intervenuto su uno dei temi più delicati dei mercati digitali contemporanei: la qualificazione giuridica dei dati personali, il rapporto tra tutela del consumatore, consenso informato e valore economico delle informazioni fornite dagli utenti nell’accesso ai servizi digitali.
La pronunzia trae origine dal provvedimento dell’Autorità Garante della Concorrenza e del Mercato con cui è stata irrogata una sanzione di 10 milioni di Euro alla società Apple per avere posto in essere due condotte in violazione della normativa a tutela del consumatore (ex D.Lgs., 6 settembre 2005, n. 206), consistenti: i) nell’omessa o inadeguata informazione agli utenti circa la raccolta e l’utilizzo dei dati personali a fini commerciali; ii) e nella predisposizione di meccanismi di pre-flag del consenso (ossia di pre-impostazione del consenso al trattamento dei dati personali per finalità di marketing), unitamente a procedure particolarmente complesse per la successiva revoca del consenso.
In disparte l’esito concreto del giudizio e della ricostruzione del singolo caso, ciò che rende la sentenza particolarmente significativa è il portato delle affermazioni contenute nella motivazione, che uniscono il diritto dei consumatori, il diritto della concorrenza, la protezione dei dati personali e l’economia digitale. Il Consiglio di Stato, infatti, muove da un principio e da affermazioni ormai difficilmente eludibili: nell’attuale mondo digitale i dati personali rappresentano una risorsa strategica, capace di generare valore economico diretto e indiretto, costituendo uno degli elementi centrali dei modelli di business delle piattaforme e dei servizi online. La scelta dell’utente di fornire il proprio dato personale per aprire un account su una piattaforma digitale non è più un elemento neutro del rapporto, ma si inserisce in un vero e proprio scambio economico. Diventa quindi una “decisione di natura commerciale” ai sensi dell’art. 21 del D.Lgs., 6 settembre 2005, n. 206, anche quando l’accesso al servizio non comporti all’apparenza un pagamento monetario immediato.
A questo proposito, già con la nota sentenza del Consiglio di Stato sul caso Facebook (Cons. Stato, Sez. VI, 29 marzo 2021, n. 2631), il Giudice Amministrativo aveva riconosciuto che la messa a disposizione dei dati personali da parte dell’utente può assumere rilievo economico e incidere sulle scelte di natura commerciale, imponendo un elevato standard di trasparenza informativa. La pronuncia in esame si inserisce quindi nel percorso giurisprudenziale già tracciato, rafforzando l’idea che, nell’economia digitale, la fornitura del dato personale costituisca un elemento centrale del rapporto tra utente e piattaforma e richieda, proprio per questo, una tutela sostanziale e non meramente formale. Le violazioni connesse all’uso di dati personali non sono punibili solo a norma del General Data Protection Regulation (GDPR), ma, se inserite nel contesto del rapporto economico tra utente e piattaforma, possono integrare anche pratiche commerciali scorrette, rilevanti ai sensi della normativa a tutela del consumatore e della disciplina antitrust, nonché costituire comportamenti idonei ad alterare le dinamiche concorrenziali del mercato digitale.
Va da sé che, anche alla luce della lettura offerta dal Giudice Amministrativo, il dato personale può essere oggi letto come portatore di una duplice natura: da un lato, bene giuridico strettamente connesso alla persona e ai suoi diritti fondamentali, oggetto di una tutela rafforzata nell’ordinamento europeo e nazionale; dall’altro, bene economico dotato di un intrinseco valore commerciale. È proprio questa duplicità a richiedere un livello di protezione più elevato e una maggiore attenzione alle modalità attraverso cui l’utente viene informato e messo in condizione di compiere scelte realmente libere e consapevoli.
Ne deriva una concezione sostanziale della trasparenza: non è sufficiente che l’informazione sia formalmente presente in un documento o in un’informativa articolata, ma è necessario che essa sia concretamente comprensibile, in modo da orientare consapevolmente le scelte dell’interessato.
Questo approccio ha effetti di particolare rilievo sul piano applicativo. Le imprese che operano nel digitale, e più in generale tutte quelle che fondano parte della propria attività sul trattamento dei dati personali, sono chiamate a rivedere il proprio modo di concepire la compliance: non più come mero adempimento documentale, ma come componente strutturale del servizio reso. Le informative devono essere chiare e semplici e i meccanismi di consenso devono essere progettati in modo da evitare ogni forma di condizionamento. Anche le impostazioni predefinite devono riflettere un effettivo rispetto della libertà di scelta, garantendo una interazione digitale trasparente tra la persona fisica e il mondo virtuale.
In questo senso, la pronuncia del Consiglio di Stato si inserisce coerentemente nella logica del c.d. “principio di privacy by design” sancito dall’art. 25 del GDPR. La tutela dei diritti non può essere effettuata a valle, attraverso informative complesse o strumenti correttivi, ma deve essere integrata a monte nella progettazione dei sistemi, delle interfacce e dei processi. Lo si ripete, non si tratta più soltanto di compliance formale, ma di garantire una tutela effettiva, in modo da assicurare il rispetto del principio di privacy by design secondo quanto sancito dal GDPR.
Letta in una chiave più ampia, la sentenza sembra inoltre assumere un significato ancora più profondo. Il Consiglio di Stato, con questa decisione, sembra estendere al mondo delle imprese e dei soggetti privati operanti nel digitale un principio tradizionalmente proprio del diritto amministrativo: quello della trasparenza come presupposto della legittimità dell’azione. Viene così alla mente il richiamo alla celebre affermazione di Filippo Turati secondo cui la pubblica amministrazione deve essere una “casa di vetro”. Se, storicamente, tale principio era rivolto a garantire il cittadino nei confronti del potere pubblico, oggi il Giudice Amministrativo sembra applicare la stessa logica alle piattaforme e agli operatori economici che, attraverso l’uso dei dati, esercitano un potere significativo sulle scelte degli utenti e incidono concretamente sulle loro decisioni economiche.
La “casa di vetro” che è possibile intravedere nelle parole della sentenza non è più soltanto quella dell’amministrazione, ma diventa anche un obbligo per le società digitali. Ad esse l’ordinamento nazionale ed euro-unitario non vieta di fare “business” con i dati personali dei cittadini, ma impone di farlo in modo trasparente, leale e consapevole, attraverso informative comprensibili e sistemi progettati nel rispetto dei diritti degli utenti.
In questa prospettiva, la pronuncia del Consiglio di Stato rappresenta un chiaro monito per le imprese: la gestione dei dati personali non può più essere considerata un mero adempimento formale, ma diventa parte integrante della responsabilità giuridica e organizzativa dell’impresa stessa. La trasparenza, lungi dall’essere un limite all’attività economica, si configura come presupposto di legittimità dei modelli di business digitali e come elemento essenziale per la costruzione di un rapporto di fiducia tra imprese digitali e cittadini.
Il valore dei dati personali alla prova del giudice amministrativo: la duplice natura del dato e l’estensione del paradigma della “casa di vetro” alle imprese digitali.
A cura di Maria Novella Di Giandomenico, Senior Associate
Con una interessante sentenza, il Consiglio di Stato (Sez. VI, 2 dicembre 2024, n. 9614) è intervenuto su uno dei temi più delicati dei mercati digitali contemporanei: la qualificazione giuridica dei dati personali, il rapporto tra tutela del consumatore, consenso informato e valore economico delle informazioni fornite dagli utenti nell’accesso ai servizi digitali.
La pronunzia trae origine dal provvedimento dell’Autorità Garante della Concorrenza e del Mercato con cui è stata irrogata una sanzione di 10 milioni di Euro alla società Apple per avere posto in essere due condotte in violazione della normativa a tutela del consumatore (ex D.Lgs., 6 settembre 2005, n. 206), consistenti: i) nell’omessa o inadeguata informazione agli utenti circa la raccolta e l’utilizzo dei dati personali a fini commerciali; ii) e nella predisposizione di meccanismi di pre-flag del consenso (ossia di pre-impostazione del consenso al trattamento dei dati personali per finalità di marketing), unitamente a procedure particolarmente complesse per la successiva revoca del consenso.
In disparte l’esito concreto del giudizio e della ricostruzione del singolo caso, ciò che rende la sentenza particolarmente significativa è il portato delle affermazioni contenute nella motivazione, che uniscono il diritto dei consumatori, il diritto della concorrenza, la protezione dei dati personali e l’economia digitale. Il Consiglio di Stato, infatti, muove da un principio e da affermazioni ormai difficilmente eludibili: nell’attuale mondo digitale i dati personali rappresentano una risorsa strategica, capace di generare valore economico diretto e indiretto, costituendo uno degli elementi centrali dei modelli di business delle piattaforme e dei servizi online. La scelta dell’utente di fornire il proprio dato personale per aprire un account su una piattaforma digitale non è più un elemento neutro del rapporto, ma si inserisce in un vero e proprio scambio economico. Diventa quindi una “decisione di natura commerciale” ai sensi dell’art. 21 del D.Lgs., 6 settembre 2005, n. 206, anche quando l’accesso al servizio non comporti all’apparenza un pagamento monetario immediato.
A questo proposito, già con la nota sentenza del Consiglio di Stato sul caso Facebook (Cons. Stato, Sez. VI, 29 marzo 2021, n. 2631), il Giudice Amministrativo aveva riconosciuto che la messa a disposizione dei dati personali da parte dell’utente può assumere rilievo economico e incidere sulle scelte di natura commerciale, imponendo un elevato standard di trasparenza informativa. La pronuncia in esame si inserisce quindi nel percorso giurisprudenziale già tracciato, rafforzando l’idea che, nell’economia digitale, la fornitura del dato personale costituisca un elemento centrale del rapporto tra utente e piattaforma e richieda, proprio per questo, una tutela sostanziale e non meramente formale. Le violazioni connesse all’uso di dati personali non sono punibili solo a norma del General Data Protection Regulation (GDPR), ma, se inserite nel contesto del rapporto economico tra utente e piattaforma, possono integrare anche pratiche commerciali scorrette, rilevanti ai sensi della normativa a tutela del consumatore e della disciplina antitrust, nonché costituire comportamenti idonei ad alterare le dinamiche concorrenziali del mercato digitale.
Va da sé che, anche alla luce della lettura offerta dal Giudice Amministrativo, il dato personale può essere oggi letto come portatore di una duplice natura: da un lato, bene giuridico strettamente connesso alla persona e ai suoi diritti fondamentali, oggetto di una tutela rafforzata nell’ordinamento europeo e nazionale; dall’altro, bene economico dotato di un intrinseco valore commerciale. È proprio questa duplicità a richiedere un livello di protezione più elevato e una maggiore attenzione alle modalità attraverso cui l’utente viene informato e messo in condizione di compiere scelte realmente libere e consapevoli.
Ne deriva una concezione sostanziale della trasparenza: non è sufficiente che l’informazione sia formalmente presente in un documento o in un’informativa articolata, ma è necessario che essa sia concretamente comprensibile, in modo da orientare consapevolmente le scelte dell’interessato.
Questo approccio ha effetti di particolare rilievo sul piano applicativo. Le imprese che operano nel digitale, e più in generale tutte quelle che fondano parte della propria attività sul trattamento dei dati personali, sono chiamate a rivedere il proprio modo di concepire la compliance: non più come mero adempimento documentale, ma come componente strutturale del servizio reso. Le informative devono essere chiare e semplici e i meccanismi di consenso devono essere progettati in modo da evitare ogni forma di condizionamento. Anche le impostazioni predefinite devono riflettere un effettivo rispetto della libertà di scelta, garantendo una interazione digitale trasparente tra la persona fisica e il mondo virtuale.
In questo senso, la pronuncia del Consiglio di Stato si inserisce coerentemente nella logica del c.d. “principio di privacy by design” sancito dall’art. 25 del GDPR. La tutela dei diritti non può essere effettuata a valle, attraverso informative complesse o strumenti correttivi, ma deve essere integrata a monte nella progettazione dei sistemi, delle interfacce e dei processi. Lo si ripete, non si tratta più soltanto di compliance formale, ma di garantire una tutela effettiva, in modo da assicurare il rispetto del principio di privacy by design secondo quanto sancito dal GDPR.
Letta in una chiave più ampia, la sentenza sembra inoltre assumere un significato ancora più profondo. Il Consiglio di Stato, con questa decisione, sembra estendere al mondo delle imprese e dei soggetti privati operanti nel digitale un principio tradizionalmente proprio del diritto amministrativo: quello della trasparenza come presupposto della legittimità dell’azione. Viene così alla mente il richiamo alla celebre affermazione di Filippo Turati secondo cui la pubblica amministrazione deve essere una “casa di vetro”. Se, storicamente, tale principio era rivolto a garantire il cittadino nei confronti del potere pubblico, oggi il Giudice Amministrativo sembra applicare la stessa logica alle piattaforme e agli operatori economici che, attraverso l’uso dei dati, esercitano un potere significativo sulle scelte degli utenti e incidono concretamente sulle loro decisioni economiche.
La “casa di vetro” che è possibile intravedere nelle parole della sentenza non è più soltanto quella dell’amministrazione, ma diventa anche un obbligo per le società digitali. Ad esse l’ordinamento nazionale ed euro-unitario non vieta di fare “business” con i dati personali dei cittadini, ma impone di farlo in modo trasparente, leale e consapevole, attraverso informative comprensibili e sistemi progettati nel rispetto dei diritti degli utenti.
In questa prospettiva, la pronuncia del Consiglio di Stato rappresenta un chiaro monito per le imprese: la gestione dei dati personali non può più essere considerata un mero adempimento formale, ma diventa parte integrante della responsabilità giuridica e organizzativa dell’impresa stessa. La trasparenza, lungi dall’essere un limite all’attività economica, si configura come presupposto di legittimità dei modelli di business digitali e come elemento essenziale per la costruzione di un rapporto di fiducia tra imprese digitali e cittadini.