WhatsApp: sanzione da 3 mln di euro dall’Antitrust per la coercitiva condivisione dei dati dei propri utenti a Facebo...
Con due provvedimenti dell’11 maggio 2017, l’Autorità Garante per la concorrenza e il mercato (“AGCM”) ha concluso due istruttorie (PS10601 e CV154), avviate nell’ottobre del 2016, nei confronti della società americana WhatsApp Inc. (“WhatsApp”), leader a livello mondiale nella fornitura di servizi di messaggistica istantanea.
Con il primo provvedimento, l’AGCM ha comminato a WhatsApp una sanzione pecuniaria pari a 3 milioni di Euro per aver posto in essere pratiche commerciali scorrette (rectius, aggressive) ai sensi degli artt. 20, 24 e 25 del D.Lgs. n. 206/2005 (c.d. “Codice del Consumo”) e, in particolare, per aver di fatto indotto gli utenti ad accettare integralmente i nuovi Termini di Utilizzo (così come aggiornati in data 25.8.2016), pena l’inutilizzabilità del servizio.
Nel merito, come evidenziato dall’Autorità, WhatsApp non avrebbe adeguatamente evidenziato ai nuovi utenti la possibilità di negare il consenso al trasferimento dei propri dati personali alla sua controllante, Facebook Inc. (“Facebook”), per finalità di profilazione e di invio di pubblicità mirata e, anzi, avrebbe operato condizionando e quindi inducendo i consumatori ad accettare, entro 30 giorni dalla comparsa dell’aggiornamento, le modifiche apportate ai Termini di Utilizzo. Agli utenti già registrati, invece, WhatsApp avrebbe concesso la possibilità di rifiutare tale trasferimento solo mediante la previsione di una opzione di spunta preimpostata, presente in una pagina “secondaria” dell’applicazione (cd. regime di “opt-out”).
Secondo l’AGCM, tale pratica commerciale, oltre ad essere idonea a falsare in maniera apprezzabile il comportamento economico dei consumatori, costretti a fornire il proprio consenso all’aggiornamento dei Termini di Utilizzo per poter usufruire del servizio di messaggistica, “contrasta altresì con la diligenza professionale che può legittimamente attendersi da un operatore nel settore dei cd. “consumer communication services”, tenuto conto delle caratteristiche dell’attività svolta e del fatto che WhatsApp rappresenta, con oltre 30-50 milioni di utenti, un operatore importante nel contesto del mercato italiano di riferimento”.
L’Autorità, inoltre, all’interno del proprio iter logico-argomentativo, ha posto l’accento sull’evidente vantaggio economico che tale pratica commerciale è idonea ad apportare a WhatsApp e a Facebook, precisando come i dati personali degli utenti assumano rilevanza economica proprio in forza della loro condivisione infragruppo; condivisione volta a consentire alle predette società di migliorare la propria attività di advertising e di profilazione dei consumatori iscritti alla sua piattaforma social.
Sul tema, l’AGCM, con una pronuncia senza precedenti, ha richiamato integralmente l’ormai consolidato orientamento della Commissione Europea (cfr. CE, “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25.5.2016, secondo cui “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto e vengono venduti a terzi per fini di lucro”) e, a sostegno delle proprie conclusioni, ha illustrato come “il patrimonio informativo costituito dai dati degli utenti di WhatsApp, utilizzato per la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing, acquista, proprio in ragione di tale uso, un valore economico”.
Ciò in quanto, ad avviso dell’Autorità, la strategia di business del gruppo WhatsApp/Facebook è riconducibile ad una attività di c.d. “cross-platform communication”, finalizzata a consentire agli utenti dei due social media di comunicare tra loro attraverso la condivisione dei dati personali degli utenti e di raggiungere risultati economici attraverso la monetizzazione dello scambio delle informazioni raccolte (cc.dd. “network effects – già analizzato dalla CE nell’esame dei profili concorrenziali della concentrazione FACEBOOK/WHATSAPP/caso COMP/M.7217).
Con il secondo provvedimento, invece, tale autorità ha accertato la vessatorietà, ex art. 33 del Codice del Consumo, di alcune clausole del modello contrattuale sottoposto all’accettazione dei consumatori che usufruiscono dell’applicazione di messaggistica di WhatsApp, aventi ad oggetto: (i) la previsione di esclusioni e limitazioni di responsabilità in favore di WhatsApp “molto ampie e assolutamente generiche”; (ii) la possibilità di sospendere discrezionalmente la disponibilità del servizio di messaggistica “senza motivo ne preavviso”; (iii) il diritto “unilaterale” di risolvere il contratto con gli utenti o di recedere, “in qualsiasi momento e per qualsiasi motivo”, dallo stesso; (iv) la facoltà di introdurre modifiche, anche economiche, ai Termini di Utilizzo del servizio, “senza indicarne le motivazioni e prevedendo che la continuazione dell’utilizzo dei servizi valga come accettazione di tali modifiche”; (v) la previsione della legge statunitense quale normativa applicabile al contratto di messaggistica e del Tribunale dello Stato della California quale unico foro competente a risolvere le controversie sorte con i consumatori; (vi) la mancanza di chiarezza circa la previsione del “diritto di recedere dagli ordini” e di non fornire rimborsi per i servizi offerti; (vii) la prevalenza, in caso di conflitti, della versione del contratto in lingua inglese rispetto a quella tradotta in italiano.
Per tali violazioni, WhatsApp è stata altresì condannata dall’AGCM alla pubblicazione (a proprie spese e per venti giorni consecutivi) del testo del provvedimento sia sulla home page del sito www.whatsapp.com – in versione italiana – sia all’interno della propria applicazione, tramite notifica da inviare agli utenti iscritti.
Il provvedimento dell’AGCM che sanziona l’illecito trattamento dei dati come una pratica commerciale aggressiva è assolutamente nuovo nel panorama giurisprudenziale italiano.
Se questo orientamento dovesse essere confermato, un trattamento a fini marketing effettuato non in conformità rispetto alla normativa vigente potrebbe essere sanzionato due volte, prima in base al Codice Privacy (e, a breve, al GDPR che prevede sanzioni fino al 4% del fatturato complessivo), sia in base al Codice del Consumo.
Ciò sempreché il provvedimento in questione non venga impugnato e, in tale sede, non si stabilisca che l’illecito in oggetto sia sanzionabile solo in base alla normativa privacy in forza del principio secondo cui “lex specialis derogat lex generalis”. Staremo a vedere.
Chiara Agostini & Nicolò Rappa