Consiglio di Stato 2025- Consiglio di Stato del 2025 evidenzia la distinzione tra le competenze del Garante della Privacy e quelle dell'Autorità Garante della Concorrenza e del Mercato (Antitrust) in merito alla protezione dei diritti dei consumatori e alla regolamentazione delle pratiche commerciali.

 

 

Consiglio di Stato 2025- Consiglio di Stato del 2025 evidenzia la distinzione tra le competenze del Garante della Privacy e quelle dell'Autorità Garante della Concorrenza e del Mercato (Antitrust) in merito alla protezione dei diritti dei consumatori e alla regolamentazione delle pratiche commerciali.

Si sottolinea che il Garante della Privacy ha il compito di tutelare il diritto alla privacy, applicando sanzioni per le violazioni degli obblighi in materia di protezione dei dati personali. D'altra parte, il codice del consumo si occupa di salvaguardare i consumatori da pratiche commerciali scorrette, come quelle ingannevoli o aggressive.

La sentenza chiarisce che non esistono norme specifiche in materia di privacy che regolamentano direttamente le pratiche commerciali sleali, il che implica che non ci siano conflitti tra i requisiti previsti dalla normativa sulla protezione dei dati e quelli stabiliti dalle direttive europee sulle pratiche commerciali. Pertanto, l'Antitrust è ritenuto competente ad adottare provvedimenti contro le pratiche commerciali scorrette, in quanto queste rientrano nel suo ambito di applicazione.

Questo approccio normativo evidenzia come il diritto alla privacy e la protezione dei consumatori, pur essendo ambiti distinti, si integrino per garantire una tutela complessiva degli interessi degli individui nel contesto commerciale.




Pubblicato il 07/01/2025
N. 00080/2025REG.PROV.COLL.
N. 01618/2023 REG.RIC.
 
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
Il Consiglio di Stato
in sede giurisdizionale (Sezione Sesta)
ha pronunciato la presente
SENTENZA
sul ricorso numero di registro generale 1618 del 2023, proposto da
Google Ireland Limited, in persona del legale rappresentante pro tempore, rappresentata e difesa dagli avvocati Claudio Tesauro, Mario Siragusa, Fausto Caronna e Angelo Raffaele Cassano, con domicilio digitale come da PEC da Registri di Giustizia;
contro
Autorità Garante della Concorrenza e del Mercato, in persona del legale rappresentante pro tempore, rappresentata e difesa dall'Avvocatura Generale dello Stato, domiciliataria ex lege in Roma, via dei Portoghesi, 12;
nei confronti
U.DI.CON. APS (Unione Difesa Consumatori), in persona del legale rappresentante pro tempore, rappresentata e difesa dagli avvocati Donato Patera e Giuseppe Catalano, con domicilio digitale come da PEC da Registri di Giustizia;
per la riforma
della sentenza del Tribunale Amministrativo Regionale per il Lazio, Sezione Prima, n. 15326 del 18 novembre 2022.


Visti il ricorso in appello e i relativi allegati;
Visti gli atti di costituzione in giudizio dell’Autorità Garante della Concorrenza e del Mercato e della U.DI.CON. APS;
Visti tutti gli atti della causa;
Relatore, nell'udienza pubblica del giorno 12 dicembre 2024, il Cons. Roberto Caponigro e uditi gli avvocati Angelo Raffaele Cassano, Mario Siragusa e Fausto Caronna;
Ritenuto e considerato in fatto e diritto quanto segue.


FATTO e DIRITTO
1. L’Autorità Garante della Concorrenza e del Mercato, nell’adunanza del 16 novembre 2021, ha deliberato:
a) che la pratica commerciale descritta al punto II, sub a), del provvedimento, posta in essere da Google Ireland Ltd. costituisce, per le ragioni e nei limiti esposti in motivazione, una pratica commerciale scorretta ai sensi degli artt. 21 e 22 del codice del consumo, e ne vieta la diffusione o reiterazione;
b) che la pratica commerciale descritta al punto II, sub b), del provvedimento, posta in essere da Google Ireland Ltd. costituisce, per le ragioni e nei limiti esposti in motivazione, una pratica commerciale scorretta ai sensi degli artt. 24 e 25 del codice del consumo, e ne vieta la diffusione o reiterazione;
c) di irrogare alla società Google Ireland Ltd. una sanzione amministrativa pecuniaria di 5.000.000 € (cinquemilioni di euro) per la violazione di cui alla lettera a);
d) di irrogare alla società Google Ireland Ltd. una sanzione amministrativa pecuniaria di 5.000.000 € (cinquemilioni di euro) per la violazione di cui alla lettera b);
e) che il Professionista comunichi all’Autorità, entro il termine di novanta giorni dalla notifica del provvedimento, le iniziative assunte in ottemperanza alla diffida di cui al punto a).
Il procedimento avviato dall’Antitrust ha riguardato due distinte pratiche poste in essere da Google, aventi ad oggetto la raccolta e l’utilizzo, a fini commerciali, dei dati dei propri utenti – consumatori, sia nella fase di creazione dell’ID Google, sia nella fase di accesso ad altri servizi offerti dalla Società, i quali, a loro volta, comportano raccolta di dati.
In particolare, l’Autorità ha distinto le due pratiche nel seguente modo:
Pratica a)
Nella fase di creazione dell’account di Google, indispensabile per l’utilizzo di tutti i servizi offerti dalla Società, e in fase di utilizzo di vari servizi offerti da Google, il Professionista ha adottato un’informativa priva di immediatezza, chiarezza e completezza, in riferimento alla propria attività di acquisizione di dati personali e di ricerca dell’utente per un loro utilizzo a fini commerciali.
Pratica b)
Il Professionista, laddove il consumatore proceda alla creazione di un account Google, applica una procedura basata su una modalità di acquisizione del consenso all’uso dei dati degli utenti a fini commerciali in opt-out, ossia senza prevedere per il consumatore la facoltà di scelta preventiva ed espressa in merito alla cessione dei propri dati. L’opzione a disposizione dell’utente di autorizzare o meno tale modalità risulta, infatti, pre-impostata sulla possibilità di acquisizione dei dati per la Società nella fase di creazione dell’ID Google, passaggio obbligato per il consumatore che intenda utilizzare la maggior parte dei servizi di Google.
La Google Ireland Ltd. (di seguito solo Google) ha impugnato tale provvedimento dinanzi al Tar per il Lazio che, con la sentenza della Prima Sezione n. 15326 del 18 novembre 2022, ha respinto il ricorso.
Di talché, Google ha proposto il presente appello, articolando i seguenti motivi di impugnativa:
I. Sull’incompetenza dell’AGCM: nullità per difetto assoluto di attribuzione, incompetenza, violazione e falsa applicazione degli articoli 1,18, 20, 21, 24 e 25 del codice del consumo. Eccesso di potere per difetto di istruttoria e motivazione, illogicità irragionevolezza, travisamento in fatto e in diritto.
L’AGCM sarebbe intervenuta su aspetti estranei alla sua sfera di competenza, interamente regolati dalla disciplina sulla privacy e demandati alle cure del Garante per la protezione dei dati personali.
Sussisterebbe una manifesta contraddizione tra i criteri di risoluzione enunciati, rispettivamente, nella sentenza del Consiglio di Stato n. 2631 del 2021, c.d. sentenza Facebook (complementarietà) e nella c.d. sentenza Carte TIM della Corte di Giustizia dell’Unione Europea resa sulle cause riunite C-54/17 e C-55/17 (incompatibilità).
Infatti, applicando la sentenza Carte SIM la competenza potrebbe essere, alternativamente, del Garante o dell’AGCM, mentre, applicando il criterio della sentenza Facebook, le due Autorità sarebbero sempre entrambe competenti.
La Corte di Giustizia, ad oggi, non si sarebbe pronunciata sul rapporto tra normativa privacy e normativa sulle pratiche commerciali scorrette, atteso che la sentenza Carte SIM riguarda normative settoriali (nella specie quella del settore delle comunicazioni elettroniche), non una normativa di carattere generale, applicabile trasversalmente a tutti i settori, quale è la normativa privacy.
Applicando il criterio di incompatibilità (declinato nella sentenza Carte SIM e nella successiva giurisprudenza amministrativa su di essa sviluppatasi) se ne dovrebbe concludere che, posta l’insussistenza di un contrasto antinomico tra normativa sulle pratiche commerciali scorrette e normativa privacy, la prima dovrebbe prevalere sempre, con la conseguenza che la seconda non si applicherebbe mai a tutte le condotte che, come quella oggetto del presente giudizio, sono soggette a entrambi i plessi normativi.
Invocando, come avrebbe fatto il TAR Lazio, allo stesso tempo sia il criterio di complementarietà, sia il criterio di incompatibilità, quali criteri di risoluzione del rapporto tra norme rispetto a una medesima condotta materiale, si perverrebbe a conclusioni non solo manifestamente contraddittorie, ma anche inammissibili, dandosi la stura a duplicazioni di interventi sanzionatori a carico delle imprese.
Per evitare i suddetti opposti approdi, entrambi inammissibili (ossia, secondo il criterio di incompatibilità della giurisprudenza Carte SIM, prevalenza sempre e comunque della normativa sulle pratiche commerciali scorrette, con conseguente disapplicazione della normativa privacy o, secondo il criterio di complementarietà della giurisprudenza, solo nazionale, Facebook, parallela applicazione dei due plessi, con sistematico avallo di duplicazione di interventi), il criterio di risoluzione del rapporto tra norme dovrebbe essere diverso.
Laddove specifiche condotte, come quella controversa, siano sussumibili sia sotto la normativa privacy, sia sotto la normativa sulle pratiche commerciali scorrette, e siano interamente e compiutamente regolamentate dalla prima – con l’effetto di tutelare la libertà di determinazione degli individui rispetto all’utilizzo dei dati personali, non solo in quanto espressione di un diritto fondamentale della persona, ma anche in quanto espressione della libertà economica dell’individuo quale consumatore – dovrebbe essere riconosciuta la prevalenza della normativa privacy su quella delle pratiche commerciali scorrette, con conseguente incompetenza dell’AGCM.
Sarebbe necessario interpretare e applicare correttamente la norma di relazione di cui all’art. 3(4) della Direttiva 2005/29/CE (recepita in Italia con l’art. 19(3) del Codice del Consumo) in relazione al rapporto tra normativa a tutela del consumatore e normativa privacy, questione di cui la sentenza della Corte di Giustizia nel caso Carte SIM non si è occupata. D’altra parte, una situazione di vero e proprio “contrasto” avrebbe luogo tutte le volte in cui – come avvenuto nel caso di specie – uno stesso atto o fatto, astrattamente sussumibile nell’ambito di applicazione della normativa sulle pratiche commerciali scorrette, sia al contempo soggetto anche alla normativa privacy, con disposizioni puntuali che ne disciplinano interamente tutti i profili assorbendo anche la tutela delle scelte “economiche” dei consumatori. Infatti, posto che la Direttiva 2005/29/CE detta una armonizzazione completa che non consente agli Stati membri di approntare un regime diverso (sia esso più o meno favorevole ai consumatori) (ex multis Corte di Giustizia, 22 aprile 2009, cause riunite, C-261/07 e C-299/07, § 52), disposizioni privacy che dettino un regime diverso (ad es., sotto il profilo delle modalità di protezione della libertà negoziale), si porrebbero appunto in insanabile contrasto con la Direttiva 2005/29/CE, con conseguente loro inapplicabilità.
In definitiva, nel caso di specie, la tutela delle scelte economiche del consumatore sarebbe interamente assorbita dalla normativa privacy, per cui, per tali condotte, vale a dire prestazione del consenso al trattamento dei dati personali per finalità commerciali, non residuerebbero margini non regolamentati o non adeguatamente presidiati da tale normativa rispetto ai quali possa trovare applicazione la ulteriore e duplicativa protezione di cui alla normativa generale sulle pratiche commerciali scorrette, che, quindi, sarebbe inapplicabile, con conseguente incompetenza dell’AGCM.
Qualora si nutrissero dubbi sulla corretta interpretazione e applicazione al caso di specie delle norme e dei principi giuridici sopra richiamati, il giudice di appello sarebbe tenuto, nel rispetto degli obblighi discendenti dal diritto UE in quanto “organo giurisdizionale nazionale, avverso le cui decisioni non [può] proporsi un ricorso giurisdizionale di diritto interno” ai sensi e per gli effetti dell’art. 267(3) TFUE, a porre preliminarmente questioni pregiudiziali alla Corte di Giustizia dell’Unione Europea.
La scelta degli utenti di acconsentire al trattamento dei loro dati personali per finalità pubblicitarie non costituirebbe comunque una “decisione di natura commerciale” ai sensi del Codice del Consumo, atteso che i dati non hanno mai rappresentato il “prezzo”, né la “controprestazione” fornita dagli utenti per accedere ai Servizi o per creare un Account, sicché, anche sotto tale profilo, non sussisterebbe la competenza dell’AGCM in materia.
Gli utenti avrebbero sempre avuto pieno e incondizionato accesso ai Servizi e all’Account Google, anche qualora non avessero autorizzato l’uso dei loro dati per finalità commerciali e questo segnerebbe una radicale differenza rispetto ad altre fattispecie.
Non sussisterebbe, nel caso di Google, un rapporto sinallagmatico tra l’accesso ad un determinato servizio e il conferimento dei dati da parte dell’utente, sicché parlare di “decisione di natura commerciale” degli utenti sarebbe chiaramente errato, in quanto un consumatore adotterebbe una “decisione di natura commerciale” rilevante ai sensi della disciplina consumeristica quando paga un prezzo o, comunque, fornisce una controprestazione al fine di poter ottenere un prodotto o servizio.
II. Sull’assenza di pratiche ingannevoli: violazione e falsa applicazione degli articoli 20, 21 e 22 del codice del consumo e degli articoli 5, 6 e 7 della direttiva 2005/29/CE, eccesso di potere in tutte le sue figure sintomatiche, carenza di istruttoria, travisamento in fatto e in diritto, erroneità sui presupposti, illogicità, contraddittorietà e irragionevolezza.
L’AGCM ha contestato a Google di non aver informato adeguatamente i consumatori in merito alla possibilità che i loro dati potessero essere utilizzati per mostrare annunci personalizzati.
La ricostruzione effettuata dall’Autorità, confermata anche dal TAR Lazio, sarebbe errata poiché (a) si basa su un evidente travisamento dei fatti e (b) ignora colpevolmente il parametro fondamentale per verificare l’ingannevolezza di una pratica commerciale: quello del consumatore medio.
Infatti, non sussisterebbe un’informativa “di consultazione meramente eventuale” e/o “caratterizzata da opacità informativa”.
La Direttiva 2005/29/CE (artt. 5, 6 e 7) e il Codice del Consumo (artt. 20, 21 e 22) prevedono espressamente che, al fine di determinare se una pratica commerciale sia da considerarsi ingannevole, occorre verificare se la stessa sia idonea ad alterare il comportamento del c.d. “consumatore medio”, ossia di un soggetto “normalmente informato e ragionevolmente attento ed avveduto” (cfr. ex multis Corte di Giustizia nelle cause C-335/21, C-922/19 e C-628/17 e Consiglio di Stato, sentenze n. 6998/2022 e 7535/2021).
Google, a conferma, ha citato i risultati dell’indagine conoscitiva sui big data condotta nel 2018 dalla stessa AGCM, dal Garante Privacy e dall’AGCOM, da cui sarebbe emerso che la maggioranza dei consumatori è pienamente consapevole del fatto che:
(i) navigando su internet gli utenti producono dati che consentono ai provider di analizzare il loro comportamento e fare delle previsioni sui comportamenti futuri sia a fini pubblicitari che per altre finalità;
(ii) navigando su internet e accettando l’attivazione dei cookies, gli utenti autorizzano i provider di servizi online a raccogliere e trattare i loro dati personali per analisi e previsioni sui relativi comportamenti sia a fini pubblicitari che per altre finalità.
Laddove il Consiglio di Stato dovesse nutrire dubbi circa la possibilità per l’AGCM di ignorare il parametro del consumatore medio in sede di accertamento di una pratica commerciale ingannevole, l’appellante ha chiesto che sia sottoposto alla Corte di Giustizia dell’Unione Europea il seguente
quesito pregiudiziale ex art. 267 TFUE:
“se, al fine di valutare la sussistenza di una pratica commerciale ingannevole ai sensi della disciplina nazionale di recepimento degli articoli 5, 6 e 7 Direttiva 2005/29/CE, l’autorità preposta debba tenere conto degli studi prodotti dall’impresa indagata al fine di dimostrare l’inidoneità della sua comunicazione ad ingannare il ‘consumatore medio’ o possa semplicemente disinteressarsene”.
III. Sull’assenza di pratiche aggressive: violazione e falsa applicazione degli articoli 20, 24 e 25 del codice del consumo, eccesso di potere per carenza di istruttoria, travisamento in fatto e in diritto, erroneità dei presupposti, illogicità e irragionevolezza
L’AGCM ha contestato a Google di essersi resa responsabile di una pratica commerciale aggressiva per aver previsto, in sede di creazione dell’Account, un meccanismo di preselezione del consenso degli utenti a ricevere annunci personalizzati che condizionava la loro libertà di scelta.
Le conclusioni dell’Autorità sarebbero errate (a) sia sotto il profilo della ricostruzione dei fatti, che sarebbero stati chiaramente travisati (b) sia dal punto di vista giuridico, visto che l’AGCM ha qualificato come aggressiva una pratica che, anche a voler seguire l’erronea ricostruzione contenuta nel Provvedimento, non integrerebbe in ogni caso i requisiti di tale fattispecie.
Come già documentato nel corso dell’istruttoria, prima di concludere il processo di creazione dell’Account e, pertanto, prima ancora di raccogliere i dati di navigazione degli iscritti, Google chiedeva ripetutamente agli utenti se fossero effettivamente interessati a ricevere annunci personalizzati.
La mera “preimpostazione” del consenso dei consumatori al trasferimento dei loro dati a Google per ricevere annunci personalizzati non sarebbe in ogni caso sufficiente ad integrare gli estremi di una pratica commerciale aggressiva.
L’eventuale carenza informativa sugli effetti della preselezione rivelerebbe semmai sotto il profilo della ingannevolezza e non già dell’aggressività della pratica commerciale contestata.
Il Codice del Consumo (artt. 20-25) e la Direttiva 2005/29/CE (artt. 5-9) distinguono, infatti, nettamente le pratiche commerciali ingannevoli da quelle aggressive prevedendo che: (i) le prime hanno ad oggetto condotte idonee a “ingannare il consumatore medio”, ossia a confonderlo sull’effettiva convenienza di un affare, mentre (ii) le seconde incidono sulla “libertà di scelta" del consumatore il quale, pur percependo che l’affare che sta concludendo non è conveniente, si sente comunque “forzato” a concluderlo.
Nel provvedimento sarebbe stata qualificata come “aggressiva” una pratica commerciale che, anche a voler ritenere corretta la ricostruzione dei fatti svolta dall’AGCM (secondo cui la “preselezione” indurrebbe gli utenti a trasferire i loro dati a Google in maniera “inconsapevole”), non presenta in ogni caso i requisiti di legge necessari ad integrare una violazione degli articoli 24 e 25 del Codice del Consumo.
Laddove il Consiglio di Stato nutrisse dei dubbi su tale aspetto, l’appellante ha chiesto che sia sottoposto alla Corte di Giustizia dell’Unione Europea il seguente quesito pregiudiziale ex art. 267 TFUE:
“se la preselezione del consenso dei consumatori, liberamente modificabile da questi ultimi senza alcuna conseguenza o prospettazione di conseguenza negativa, ma accompagnata da un’informativa poco chiara in merito alle implicazioni della preselezione, debba essere classificata come una pratica commerciale aggressiva idonea a condizionare la libertà di scelta dei consumatori o debba invece essere inquadrata nel novero delle pratiche commerciali ingannevoli, ossia idonee ad ingannare il consumatore medio”.
IV. Sulla quantificazione della sanzione: manifesta violazione di legge ed in particolare dell’art. 27, commi 9 e 13, codice del consumo e dell’art. 11 della l. n. 689/81 relativamente alla decisione di comminare una sanzione afflittiva ed al suo ammontare. Eccesso di potere, carenza di motivazione, travisamento in fatto e in diritto, difetto di proporzionalità e irragionevolezza.
La condotta di Google (illegittimamente censurata dall’AGCM) integrerebbe un’unica pratica commerciale, non due distinte: (i) le condotte di Google oggetto del provvedimento hanno matrice unitaria, pertenendo tutte alle modalità di acquisizione del consenso dei consumatori; (ii) interessano i medesimi prodotti (i Servizi); (iii) afferiscono a un’unica e medesima asserita scelta di natura commerciale del consumatore (appunto, la prestazione del consenso al trattamento dei dati personali per finalità commerciali); (iv) riguardano, sul piano temporale, la medesima fase rispetto alla promozione e collocazione dei Servizi.
Il cumulo materiale di sanzioni sarebbe possibile solo “in presenza di una pluralità di condotte dotate di autonomia strutturale e funzionale” (sentenza del Consiglio di Stato n. 6233/2020), essendo invece richiesta l’applicazione di una sanzione unitaria quando le condotte indagate sono tutte “finalizzate – sotto il profilo teleologico – al conseguimento di un medesimo obiettivo” (sentenza del Consiglio di Stato n. 38/2016).
L’assenza di segnalazioni o reclami al fascicolo istruttorio dimostrerebbe la portata limitata degli effetti discendenti dalle condotte contestate a Google e confermerebbe l’assenza di un significativo pregiudizio per i consumatori e tali effetti, secondo la migliore giurisprudenza, dovrebbero essere presi in considerazione al fine di calibrare il giudizio di gravità della stessa, cui commisurare la sanzione da irrogare.
Il TAR Lazio (analogamente all’AGCM) non avrebbe nemmeno tenuto conto dello sforzo collaborativo di Google, comprovato sia dalla pronta esecuzione di tutti gli incombenti istruttori richiesti, sia dall’offerta di assunzione d’impegni, sebbene legittimamente rigettati dall’Autorità.
La durata delle violazioni erroneamente imputate a Google non potrebbe superare la data di comunicazione all’AGCM dell’avvenuta spontanea attuazione di misure in merito, non rilevando a tal fine la diversa questione della rimozione degli effetti in ipotesi già prodottisi nel passato, peraltro inesistenti e comunque indimostrati.
Le due sanzioni irrogate, ciascuna pari al massimo edittale, dunque per un ammontare totale di € 10.000.000, ossia il doppio del massimo edittale consentito, a fronte di una condotta manifestamente unitaria, sarebbero del tutto sproporzionate alla luce dei paradigmi normativi rilevanti.
L’Autorità Garante della Concorrenza e del Mercato e l’U.DI.CON. APS hanno analiticamente controdedotto concludendo per il rigetto dell’appello.
Nella memoria di replica, Google, tra l’altro, ha evidenziato che, ove residuassero dubbi sulla corretta ricostruzione del rapporto tra la normativa in materia di privacy e la normativa in materia di pratiche commerciali scorrette – questione sulla quale la Corte di Giustizia UE non si è ancora pronunciata – il Consiglio di Stato, quale giudice di ultima istanza, sarebbe tenuto a sottoporre al giudice europeo, ai sensi dell’art. 267 TFUE, una questione pregiudiziale in relazione ai seguenti quesiti:
“- Se gli articoli 4(11), 6(1)(a), 7 e 12 del Regolamento (UE) n. 2016/679, letti alla luce dei considerando 32 e 42, nel disciplinare i requisiti del consenso degli interessati al trattamento dei dati personali e le relative modalità di acquisizione, garantiscano la libertà di determinazione dei soggetti interessati rispetto al trattamento dei dati personali (anche) per finalità commerciali, sia nella sua dimensione di diritto fondamentale della persona, sia, laddove detto consenso sia condizione per la fruizione di un dato servizio, nella sua dimensione economica, sovrapponendosi agli articoli 5 e ss. della Direttiva 2005/29/CE e alle corrispondenti norme di trasposizione nazionale e assorbendone, in questo caso, le relative valutazioni;
- Se l’articolo 3(4) della Direttiva 2005/29/CE e le corrispondenti norme di trasposizione nazionale debbano essere interpretati nel senso che, in presenza di condotte relative all’acquisizione dei consensi degli interessati al trattamento dei dati personali, interamente regolate dalla normativa in materia di protezione dei dati personali e in particolare dagli articoli 4(11), 6(1)(a), 7 e 12 del Regolamento (UE) n. 2016/679, l’applicazione di queste ultime assorba quella delle norme di cui alla Direttiva 2005/29/CE e dunque prevalga su di esse, precludendo autonomi interventi sanzionatori da parte delle autorità nazionali preposte all’applicazione della Direttiva 2005/29/CE”.
All’udienza pubblica del 12 dicembre 2024, la causa è stata trattenuta per la decisione.
2. Con una prima, articolata, serie di doglianze, Google ha sostenuto l’incompetenza dell’Autorità antitrust sotto due distinti profili, vale a dire la competenza trasversale ed esclusiva del Garante della Privacy e l’assenza di un rapporto consumeristico.
In particolare, in ordine al rapporto tra la normativa sulle pratiche commerciali scorrette e la disciplina della tutela della privacy, ha ritenuto debba essere riconosciuta prevalenza alla seconda sulla prima; ha poi dedotto che le attività oggetto del provvedimento non costituirebbero una decisione di natura commerciale, in quanto non rappresenterebbero il prezzo o la controprestazione degli utenti per accedere ai servizi offerti.
2.1. In primo luogo, deve essere esaminato il delicato tema dell’actio finium regundorum tra Autorità Garante della Concorrenza e del Mercato e l’Autorità Garante della Privacy in materia di pratiche commerciali scorrette.
2.1.1. La giurisprudenza della Sezione, anche attraverso il richiamo alla giurisprudenza del giudice europeo, ha già esaminato il rapporto nella detta materia tra l’Autorità Antitrust e le Autorità di settore, pervenendo a conclusioni che il Collegio condivide pienamente
La giurisprudenza europea e la giurisprudenza nazionale hanno ritenuto che al criterio della specialità, che vedrebbe prevalere la competenza dell’Autorità settoriale, debba preferirsi il criterio della incompatibilità, che vede possibile l’intervento dell’Autorità di settore solo qualora la condotta contestata abbia “ambiti specifici”, nel senso che non rientri nel potere di intervento dell’Antitrust.
In altri termini, l’incompatibilità, con conseguente competenza dell’Autorità di settore, sussisterebbe quando la condotta posta in essere costituisce oggetto di possibile intervento solo da parte di quest’ultima, laddove, se la condotta contestata è tale da rientrare in astratto nel potere di intervento di ambedue le Autorità, la competenza è dell’Antitrust, non dell’Autorità di settore.
In particolare, la giurisprudenza della Sezione (da ultimo sentenze 9 luglio 2024, n. 6077; 5 giugno 2024, n. 5030 e 5 aprile 2024, n. 3175, alle quali si fa riferimento anche ai sensi dell’art. 74 c.p.a.) ha formulato le seguenti considerazioni, dalle quali il Collegio non ha ragioni per discostarsi:
“ … La giurisprudenza europea ha chiarito che la formula dell’art. 3 comma 4 della Direttiva, secondo la quale “In caso di contrasto tra le disposizioni della presente direttiva e altre norme comunitarie che disciplinino aspetti specifici delle pratiche commerciali sleali, prevalgono queste ultime e si applicano a tali aspetti specifici”, si applica anzitutto al solo caso di contrasto fra norme europee, e non al caso di contrasto fra norme europee e norme nazionali ed ha poi nella sostanza un campo di applicazione molto limitato, ristretto al caso in cui “disposizioni estranee” alla direttiva disciplinino “aspetti specifici” delle pratiche commerciali sleali, in modo da imporre “ai professionisti, senza alcun margine di manovra, obblighi incompatibili” con quelli stabiliti dalla direttiva stessa. Al di fuori da questo caso, che nella specie non si configura, la normativa europea non osta ad una normativa nazionale, come quella in esame, per cui la competenza a sanzionare le pratiche commerciali aggressive spetta all’Autorità generalmente competente in materia di concorrenza e mercati, e non all’Autorità specifica di settore” (cfr. ad es. Consiglio di Stato, sez. VI, n. 665 del 2021). In proposito rileva l’insegnamento della Corte di Giustizia dell’Unione europea (sez. II, sentenza 13 settembre 2018, n. 54). La Corte ha affermato che la nozione di «contrasto» fra normativa consumeristica e normativa di settore non comporta per la sua soluzione il riferirsi ad un principio di specialità bensì denota «un rapporto tra le disposizioni cui si riferisce che va oltre la mera difformità o la semplice differenza, mostrando una divergenza che non può essere superata mediante una formula inclusiva che permetta la coesistenza di entrambe le realtà, senza che sia necessario snaturarle”.
Ne consegue “che «contrasto» sussiste unicamente quando «disposizioni estranee» alla direttiva n. 29 del 2005, disciplinanti «aspetti specifici delle pratiche commerciali sleali», impongono «ai professionisti, senza alcun margine di manovra, obblighi incompatibili» con quelli stabiliti dalla suddetta direttiva. Da quanto esposto risulta come il Giudice Europeo ritiene che il criterio di risoluzione di una possibile concorrenza di norme che disciplinano la condotta contestata sia costituito non dal “criterio di specialità” ma dal “criterio di incompatibilità”. La Corte di Giustizia decreta, pertanto, l’abbandono dei criteri di matrice penalistica che sono poco compatibili con la natura delle regole di condotta contemplate nei due settori. Queste, come già sottolineato, essendo espressione del principio di buona fede e demandando al caso concreto la loro completa tipizzazione, non si prestano ad un confronto astratto mediante comparazione delle fattispecie. In questa prospettiva, l’espressione «aspetti specifici» della pratica commerciale scorretta impone un confronto non tra interi settori o tra fattispecie concrete, ma tra singole norme generali e di settore, con applicazione di queste ultime soltanto qualora esse contengano profili di disciplina incompatibili con quelle generali di disciplina delle pratiche commerciali scorrette. Ne consegue che la normativa di settore non disciplinerà pratiche commerciali scorrette, ma condotte che presentano aspetti di divergenza radicale con tali pratiche e che sul diritto dei consumatori si afferma una disciplina generale dell’Antitrust.
… In termini di riparto di competenza va quindi ribadito il principio a mente del quale la regola generale è che, in presenza di una pratica commerciale scorretta, la competenza è dell’Autorità garante della concorrenza e del mercato. La competenza delle altre Autorità di settore è residuale e ricorre soltanto quando la disciplina di settore regoli “aspetti specifici” delle pratiche che rendono le due discipline incompatibili (cfr. ad es. Consiglio di Stato sez. VI nn. 7296 e 4357 del 2019).
Va ribadita la piena complementarietà e possibilità di armonizzazione tra disciplina del Codice del Consumo e regolazioni settoriali: il criterio cui fare riferimento per la soluzione dei casi in cui la condotta contestata sia soggetta a discipline concorrenti deve essere quello “di incompatibilità” e non quello “di specialità”. Il citato “criterio di incompatibilità” implica che tra le due discipline sussista una complessiva divergenza di contenuti che non ne consenta l’astratta coesistenza …”.
2.1.2. Tali principi di diritto sono applicabili anche alla fattispecie in esame, sebbene l’appellante abbia condivisibilmente sostenuto che la disciplina della privacy costituisce una normativa di carattere generale, applicabile trasversalmente a tutti i settori.
Tale considerazione, infatti, attiene alla correttezza del trattamento dei dati personali, che investe orizzontalmente ogni settore della vita sociale, al fine di garantire la tutela dei connessi diritti della personalità, ma non investe la trasparenza delle informazioni circa lo sfruttamento di tali dati ai fini commerciali nell’ambito di un rapporto consumeristico.
In altri termini, la normativa sulla privacy è posta a tutela dei diritti della personalità, non a tutela della libertà del consumatore, sicché, sotto tale ultimo profilo, costituisce, ai fini in discorso, una normativa settoriale come le altre, con conseguente applicazione dei principi enunciati.
In proposito, la Sezione (cfr. Cons. Stato, VI, 29 marzo 2021, n. 2631) ha già avuto modo di chiarire, in relazione ad altro contenzioso, che “Non si tratta in questo caso di affermare se il diritto consumeristico possa o meno sovrapporsi al diritto alla tutela dei dati personali, intesi i due “diritti” quali distinte categorie settoriali che sono disciplinate da normative speciali e quindi non sovrapponibili tra di loro; al contrario ciò che emerge dall’attività [Pratica a)-ingannevole] messa in campo dalle due società è lo sfruttamento, inconsapevolmente per l’utente, dei dati da costui offerti al momento dell’iscrizione. E’ indubbiamente vero che la nozione di “trattamento” del dato personale, per come emerge dalla lettura dell’art. 4, par. 2, GDPR, si traduce in un ambito di riferibilità amplissimo rispetto all’utilizzo del dato e che dunque la disciplina speciale unionale di tutela dei dati personali estende il proprio ambito di applicazione fin dove può giungere qualsiasi forma di relazione umana o automatica del dato personale, tuttavia non può ritenersi possibile, né una tale conclusione è traibile dall’esame norme del GDPR (ivi compresi i “considerando”) e dagli orientamenti in materia espressi dalla Corte di giustizia UE, che l’ambito di applicazione della disciplina speciale ed esclusiva (anche nel senso che esclude l’applicazione di altre discipline) possa essere “assoluta”.
Una siffatta conclusione sarebbe irragionevole, dal momento che ogni scienza giuridica o comportamento umano (finanche attraverso meccanismi automatici collegati all’utilizzo di strumenti informatici o digitali) coinvolge inevitabilmente dati personali.
Riconoscere dunque la assoluta specialità del settore riferibile alla tutela dei dati personali condurrebbe, inevitabilmente, ad escludere in radice, l’applicabilità di ogni altra disciplina giuridica.
Ferma dunque la riconosciuta “centralità” della disciplina discendente dal GDPR e dai Codici della privacy adottati dai Paesi membri in materia di tutela di ogni strumento di sfruttamento dei dati personali, deve comunque ritenersi che allorquando il trattamento investa e coinvolga comportamenti e situazioni disciplinate da altre fonti giuridiche a tutela di altri valori e interessi (altrettanto rilevanti quanto la tutela del dato riferibile alla persona fisica), l’ordinamento – unionale prima e interno poi – non può permettere che alcuna espropriazione applicativa di altre discipline di settore, quale è quella, per il caso che qui interessa, della tutela del consumatore, riduca le tutele garantite alle persone fisiche”.
2.2. Le condotte oggetto di intervento dell’Autorità si inseriscono nell’ambito di un rapporto di consumo e, quindi, costituiscono decisioni di natura commerciale.
Ai sensi dell’art. 3 del d.lgs. n. 206 del 2005, il consumatore o utente è “la persona fisica che agisce per scopi estranei all’attività imprenditoriale, commerciale, artigianale o professionale eventualmente svolta”, mentre il professionista è “la persona fisica o giuridica che agisce nell’esercizio della propria attività imprenditoriale commerciale, artigianale o professionale, ovvero un suo intermediario”. Il prodotto è “qualsiasi prodotto destinato al consumatore, anche nel quadro di una prestazione di servizi, … fornito o reso disponibile a titolo oneroso o gratuito nell’ambito di un’attività commerciale …”.
L’oggetto dell’accertamento compiuto dall’Antitrust, come evidenziato, non attiene alla correttezza del trattamento dei dati personali (che costituisce il campo di intervento del garante della Privacy), ma alle modalità di informazione sullo sfruttamento di tali dati a fini commerciali nell’ambito di un rapporto di consumo.
In altri termini, ciò che l’Autorità contesta non è la violazione di un diritto della personalità legato al trattamento dei dati personali, ma l’opacità ed incompletezza informativa sullo sfruttamento dei dati personali a fini commerciali.
Tale sfruttamento inerisce ad un rapporto di consumo in presenza del fenomeno c.d. della patrimonializzazione del dato personale, tipico delle nuove economie dei mercati digitali.
Lo sfruttamento dei dati personali, infatti, si configura come una controprestazione del servizio offerto dal professionista, in quanto dotato di valore commerciale.
Il professionista raccoglie i dati personali degli utenti e li usa a fini di profilazione per terzi con vendita di spazi pubblicitari e, quindi, con attività di intermediazione pubblicitaria e quant’altro.
In sostanza, si crea un rapporto trilatero: il consumatore accede ai servizi di Google consentendo, inconsapevolmente anche se non obbligatoriamente (vale a dire in assenza di una corretta e adeguata informazione: è questo il profilo critico rilevato dall’Antitrust), l’utilizzo dei propri dati a Google, il quale cede i dati a terzi previo corrispettivo per le inserzioni pubblicitarie.
In altre parole: i consumatori accedono ai servizi offerti da Google; Google cede i dati personali oggetto di profilazione dietro corrispettivo e le imprese pubblicizzano a pagamento i loro prodotti.
I ricavi provenienti dai servizi pubblicitari, che derivano dall’attività di profilazione, costituiscono la fonte principale del fatturato di Google e, d’altra parte, la stessa appellante ha sostenuto come sia “notorio che tutti i servizi online hanno necessitò di coprire i propri costi” e che, “con l’eccezione di wikipedia e i siti istituzionali …, tutti i servizi online che non si trovino dietro un paywall sono monetizzati attraverso la pubblicità”.
Lo scopo principale della profilazione è proprio quello di raccogliere dati personali e trasformarli in informazioni da utilizzare per la costruzione di pubblicità e sponsorizzazioni calibrate sugli interessi dell’utente, con lo scopo di far acquistare un determinato prodotto o servizio.
A nulla rileva che Google erogherebbe i servizi agli utenti anche senza l’utilizzazione dei dati, atteso che la opacità informativa sarebbe proprio strumentale ad ottenere lo sfruttamento a fini commerciali dei dati personali, il cui valore patrimoniale emerge con evidenza, sia pure in via indiretta, in quanto costituisce la “merce di scambio” per le imprese che, a pagamento, trasmettono inserzioni pubblicitarie “personalizzate” per ogni singolo utente.
I cookie di profilazione, in tale logica, come già evidenziato, sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete.
Peraltro, come rilevato dalla difesa erariale, giova considerare che con gli “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25 maggio 2016 e, poi, del 29 dicembre 2021, la Commissione europea, tra l’altro, ha posto in rilievo che “I dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto e vengono venduti a terzi”.
2.3. La doglianza relativa alla omessa preventiva acquisizione del parere del Garante della Privacy è stata formulata, con il richiamo di un’altra sentenza della Sezione (sentenza Telepass n. 497 del 15 gennaio 2024) che aveva statuito sul punto, con la memoria conclusiva, ma la stessa non risulta contenuta nel ricorso di primo grado ed è solo marginalmente presente nel ricorso in appello (pag. 11), sicché, per il divieto dei nova in appello sancito dall’art. 104 c.p.a., la prospettazione del vizio è inammissibile.
2.4. Sul tema del riparto di competenze tra Autorità antitrust e Autorità Garante della Privacy, l’appellante ha formulato diverse questioni pregiudiziali, con richiesta di rimessione alla Corte di Giustizia dell’Unione Europea ai sensi dell’art. 267, comma 3, TFUE, sia nell’atto di appello che nella memoria conclusiva.
2.4.1. In linea generale, il Collegio rileva che la finalità dell’obbligo del rinvio pregiudiziale è quella di assicurare l’uniforme applicazione del diritto dell’Unione, la quale sarebbe pregiudicata laddove all’interno dei vari ordinamenti nazionali si consolidassero orientamenti ermeneutici difformi.
Di talché, il giudice nazionale di ultima istanza è obbligato a sollevare la questione di pregiudizialità comunitaria, con le sole eccezioni individuate dalla stessa Corte di Giustizia dell’Unione Europea nella sentenza c.d. Cilfit del 6 ottobre 1982, causa 283/81, e, più recentemente, nella sentenza c.d. Consorzio Italian Management/Catania Multiservizi 6 ottobre 2021, causa 561/19.
La sentenza del 2021 costituisce una lieve evoluzione rispetto a quella del 1982, atteso che le eccezioni all’obbligo di rinvio risultano modificate e precisate ma con conferma sostanziale dei presupposti per la rimessione.
Tali deroghe possono essere così riassunte:
1) la questione non è “pertinente” (secondo la dizione utilizzata nel caso Cilfit) o non è “rilevante” (secondo la dizione utilizzata nel caso Catania Multiservizi);
2) la disposizione eurounitaria di cui è causa abbia già costituito oggetto di interpretazione da parte della Corte di Giustizia;
3) non vi siano ragionevoli dubbi sull’interpretazione di una norma eurounitaria.
La Corte di Giustizia, nei paragrafi da 40 a 46 della sentenza Catania Multiservizi, con riferimento alla terza eccezione, ha altresì indicato i criteri interpretativi ai quali il giudice nazionale di ultima istanza deve far riferimento per concludere sull’assenza di elementi atti a far sorgere un dubbio ragionevole.
La Corte di Giustizia, Sesta Sezione, con l’ordinanza del 15 dicembre 2022, causa 597/21, a seguito di un ulteriore rinvio pregiudiziale di questo Consiglio di Stato in ordine alla terza ipotesi derogatoria, ha così statuito:
“L’articolo 267 TFUE deve essere interpretato nel senso che un giudice nazionale avverso le cui decisioni non possa proporsi ricorso giurisdizionale di diritto interno può astenersi dal sottoporre alla Corte una questione di interpretazione del diritto dell’Unione e risolverla sotto la propria responsabilità laddove la corretta interpretazione del diritto dell’Unione si imponga con un’evidenza tale da non lasciar adito ad alcun ragionevole dubbio. L’esistenza di una siffatta eventualità deve essere valutata in base alle caratteristiche proprie del diritto dell’Unione, alle difficoltà particolari relative alla sua interpretazione e al rischio di divergenze giurisprudenziali in seno all’Unione europea.
Tale giudice nazionale non è tenuto a dimostrare in maniera circostanziata che gli altri giudici di ultima istanza degli Stati membri e la Corte adotterebbero la medesima interpretazione, ma deve aver maturato la convinzione, sulla base di una valutazione che tenga conto dei citati elementi, che la stessa evidenza si imponga anche agli altri giudici nazionali in parola e alla Corte”.
La sentenza della Grande Sezione della Corte europea del 15 ottobre 2024 (causa C-144/23, Kubera contro Repubblica di Slovenia), da ultimo, ha enunciato, al punto 2), il seguente principio di diritto:
“L’articolo 267 TFUE, letto alla luce dell’articolo 47, secondo comma, della Carta dei diritti fondamentali dell’Unione europea, deve essere interpretato nel senso che una giurisdizione nazionale avverso le cui decisioni non possa proporsi un ricorso giurisdizionale di diritto interno deve esporre, nella decisione con la quale respinge un’istanza di autorizzazione di un ricorso per revisione … contenente una richiesta di sottoporre in via pregiudiziale alla Corte una questione relativa all’interpretazione o alla validità di una disposizione del diritto dell’Unione, i motivi per i quali essa non ha proceduto a tale rinvio, vale a dire o che tale questione non è rilevante ai fini della soluzione della controversia, o che la disposizione del diritto dell’Unione di cui trattasi è già stata oggetto di interpretazione da parte della Corte, o che l’interpretazione corretta del diritto dell’Unione si impone con tale evidenza da non lasciar adito a ragionevoli dubbi”.
Infatti, al paragrafo 62, il giudice europeo ha specificato che la motivazione della decisione del giudice nazionale di essere esonerato dall’obbligo di effettuare un rinvio pregiudiziale alla Corte ex art. 267, terzo comma, TFUE deve far emergere “o che la questione di diritto dell’Unione sollevata non è rilevante ai fini della soluzione della controversia, o che l’interpretazione della disposizione considerata del diritto dell’Unione è fondata sulla giurisprudenza della Corte, o, in mancanza di tale giurisprudenza, che l’interpretazione del diritto dell’Unione si è imposta al giudice nazionale di ultima istanza con un’evidenza tale da non lasciar adito a ragionevoli dubbi (sentenza del 6 ottobre 2021, Consorzio Italian Management e Catania Multiservizi, C-561/19, EU:C:2021:799, punto 51)”.
2.4.2. Con il ricorso in appello, Google – nel sostenere che, qualora si nutrissero dubbi sulla corretta interpretazione e applicazione al caso di specie delle norme e dei principi giuridici relativi al riparto di competenze tra Antitrust e Garante della Privacy, il giudice di appello sarebbe tenuto, nel rispetto degli obblighi discendenti dal diritto UE in quanto “organo giurisdizionale nazionale, avverso le cui decisioni non [può] proporsi un ricorso giurisdizionale di diritto interno”, ai sensi e per gli effetti dell’art. 267(3) TFUE, a porre preliminarmente questioni pregiudiziali alla Corte di Giustizia dell’Unione Europea - ha formulato le seguenti specifiche richieste di rimessione alla Corte di Giustizia:
“se, al fine di valutare la sussistenza di una pratica commerciale ingannevole ai sensi della disciplina nazionale di recepimento degli articoli 5, 6 e 7 Direttiva 2005/29/CE, l’autorità preposta debba tenere conto degli studi prodotti dall’impresa indagata al fine di dimostrare l’inidoneità della sua comunicazione ad ingannare il ‘consumatore medio’ o possa semplicemente disinteressarsene”;
“se la preselezione del consenso dei consumatori, liberamente modificabile da questi ultimi senza alcuna conseguenza o prospettazione di conseguenza negativa, ma accompagnata da un’informativa poco chiara in merito alle implicazioni della preselezione, debba essere classificata come una pratica commerciale aggressiva idonea a condizionare la libertà di scelta dei consumatori o debba invece essere inquadrata nel novero delle pratiche commerciali ingannevoli, ossia idonee ad ingannare il consumatore medio”.
Le questioni proposte con il ricorso in appello devono ritenersi inammissibili, in quanto con le stesse nessuna reale ed effettiva questione pregiudiziale può dirsi sollevata da Google, né appare comunque configurabile, vale a dire che, nella prospettazione di parte, non si rileva un dubbio interpretativo sulla portata delle norme europee, mentre quanto proposto sembra risolversi nel tentativo di richiedere alla Corte di Giustizia di valutare i fatti concreti (cfr., sul tema, Cons. Stato, VI, 13 novembre 2024, n. 9138).
Ciò che Google chiede di demandare alla Corte di Giustizia, in concreto, è la valutazione di taluni profili del merito della causa, da ritenersi inammissibile alla stregua dei principi espressi dal Giudice europeo.
Al giudice nazionale, invero, appartiene in via esclusiva il potere di decidere la controversia e di valutazione dei fatti e delle emergenze istruttorie (cfr. sentenza, 19 marzo 1964, causa 75/63, Unger; sentenza, 26 settembre 1996, causa C-341/94) ed al giudice nazionale spetta applicare le norme di diritto comunitario al caso concreto, sicché “la Corte non è competente a pronunciarsi sui fatti della causa principale, dato che tali questioni rientrano nella competenza esclusiva del giudice nazionale (sentenza 22 giugno 2000, causa C-318/98, Fornasar e a., Racc. pag. I-4785, punto 32)” (sentenza 16.10.2003, Causa C-421/01).
2.4.3. La questione pregiudiziale formulata nella memoria conclusiva, invece, concerne i seguenti quesiti:
“- Se gli articoli 4 (11), 6 (1) (a), 7 e 12 del Regolamento (UE) n. 2016/679, letti alla luce dei considerando 32 e 42, nel disciplinare i requisiti del consenso degli interessati al trattamento dei dati personali e le relative modalità di acquisizione, garantiscano la libertà di determinazione dei soggetti interessati rispetto al trattamento dei dati personali (anche) per finalità commerciali, sia nella sua dimensione di diritto fondamentale della persona, sia, laddove detto consenso sia condizione per la fruizione di un dato servizio, nella sua dimensione economica, sovrapponendosi agli articoli 5 e ss. della Direttiva 2005/29/CE e alle corrispondenti norme di trasposizione nazionale e assorbendone, in questo caso, le relative valutazioni;
- Se l’articolo 3 (4) della Direttiva 2005/29/CE e le corrispondenti norme di trasposizione nazionale debbano essere interpretati nel senso che, in presenza di condotte relative all’acquisizione dei consensi degli interessati al trattamento dei 9 dati personali, interamente regolate dalla normativa in materia di protezione dei dati personali e in particolare dagli articoli 4(11), 6(1)(a), 7 e 12 del Regolamento (UE) n. 2016/679, l’applicazione di queste ultime assorba quella delle norme di cui alla Direttiva 2005/29/CE e dunque prevalga su di esse, precludendo autonomi interventi sanzionatori da parte delle autorità nazionali preposte all’applicazione della Direttiva 2005/29/CE”.
La questione non è irrilevante ai fini della decisione della controversia e non risulta ancora specificamente affrontata dalla CGUE che, invece, ha precisato il rapporto tra concorrenza e tutela dei dati personali in ordine ad una fattispecie di abuso dominante (sentenza Meta Platforms della Grande Sezione, 4 luglio 2023).
Tuttavia, il Collegio ritiene di essere esonerato dall’obbligo di rimessione ai sensi dell’art. 267, comma 3, TFUE, atteso che l’interpretazione del diritto dell’Unione, nella fattispecie, tenendo conto della stessa giurisprudenza europea, si impone al giudice nazionale di ultima istanza con un’evidenza tale da non lasciar adito a ragionevoli dubbi.
Infatti, si è già avuto modo di evidenziare come il giudice europeo (sentenza della Seconda Sezione 13 settembre 2018) abbia sancito il criterio c.d. dell’incompatibilità in luogo di quello c.d. della specialità al fine di individuare l’Autorità competente, se l’Autorità antitrust o l’Autorità di settore, in materia di pratiche commerciali scorrette.
In proposito, occorre ribadire che, se, da un lato, la normativa sulla privacy ha un carattere trasversale, in quanto relativa ad ogni settore dell’ordinamento, dall’altro, la stessa è posta a tutela dei diritti della personalità, non a tutela della libertà del consumatore, sicché, per quanto attiene alla materia delle pratiche commerciali scorrette, costituisce una normativa settoriale come le altre, con conseguente applicazione del criterio c.d. della incompatibilità sancito inequivocabilmente dal giudice europeo.
In altri termini, per quanto riguarda il trattamento dei dati ai fini della tutela dei diritti della personalità, la normativa sulla privacy ha carattere “orizzontale”, estendendosi ad ogni branca dell’attività sociale, mentre, per quanto concerne lo sfruttamento dei dati a fini commerciali, la stessa normativa ha carattere “verticale” e non è incompatibile con la specifica normativa di settore.
Pertanto, come condivisibilmente esposto al paragrafo 50 della delibera impugnata – atteso che, allo scopo di tutelare uno dei diritti fondamentali della persona umana, spetta al Garante della Privacy la competenza ad applicare le sanzioni per la violazione degli obblighi ivi previsti, mentre il codice del consumo, in materia di pratiche commerciali scorrette, ha il compito di tutelare il consumatore da scelte economiche indotte da pratiche ingannevoli e aggressive – il diritto alla privacy ed il codice del consumo hanno un campo di applicazione differente e perseguono interessi distinti, integrandosi in maniera complementare.
Nella fattispecie in esame, nessuna norma in materia di privacy disciplina aspetti specifici delle pratiche commerciali sleali, imponendo ai professionisti, senza alcuna margine di manovra, obblighi incompatibili con quelli stabiliti dalla direttiva 2005/29, sicché, in ragione del quadro normativo chiarito dalla stessa Corte di Giustizia dell’Unione Europea, l’Antitrust deve ritenersi senz’altro competente all’adozione del provvedimento in contestazione.
3. L’Autorità è pervenuta all’adozione del provvedimento impugnato, sulla base di un articolato corredo motivazionale, concludendo come segue:
“75. La pratica a) … integra una fattispecie di pratica commerciale scorretta in violazione degli [artt.] 21 e 22 del codice del consumo: La Società non ha fornito informazioni ai consumatori, in maniera immediata ed adeguata nella fase di creazione dell’ID Google e, successivamente, in occasione dell’utilizzo dei servizi offerti e dell’accesso a tutte le piattaforme commerciali Google, in merito alla raccolta ed utilizzo dei loro dati personali a fini commerciali. Il consumatore non viene informato dalla Società che l’iscrizione e l’uso dei servizi offerti da Google implica un utilizzo dei suoi dati a fini commerciali da parte del Professionista, con l’effetto di indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso.
76. La pratica b) … integra una fattispecie di pratica commerciale aggressiva in violazione degli artt. 24 e 25 del Codice del Consumo, in quanto limita considerevolmente la libertà di scelta del consumatore, facendogli assumere una decisione di natura commerciale che non avrebbe altrimenti preso, ossia cedere automaticamente i propri dati a Google. In particolare, il Professionista esercita un indebito condizionamento nei confronti dei propri utenti, attraverso la preimpostazione del consenso all’acquisizione ed utilizzo dei loro dati personali a fini commerciali, non consentendo ai consumatori la possibilità di esprimere in maniera preventiva, consapevole e autonoma la propria volontà in merito all’eventuale cessione dei propri dati a fini commerciali. Il consenso alla cessione dei dati risulta già preimpostato dalla Società sin dalla fase di creazione dell’ID account in quanto, nell’area di controllo della privacy in cui si gestisce il consenso al trattamento dei propri dati per finalità commerciali, le impostazioni risultano essere preselezionate sulla concessione all’autorizzazione all’utilizzo dei dati. La pre-attivazione determina, già di per sé, il trasferimento e l’utilizzo dei dati da parte di Google, una volta che questi vengano generati, senza la necessità a tal fine di ulteriori passaggi in cui l’utente possa confermare o modificare la scelta preimpostata. Il consumatore non è dunque posto nella condizione di poter esprimere preventivamente, liberamente ed in modo specifico, il consenso all’utilizzo dei propri dati personali a fini commerciali. Esso si trova, dunque, obbligato a dover compiere una complessa e non immediata procedura per la disattivazione nel caso in cui non intenda concedere alcun consenso all’utilizzo dei propri dati personali”.
3.1. Le doglianze formulate avverso l’accertamento della pratica commerciale scorretta sub a) sono infondate.
L’art. 21 del d.lgs. n. 206 del 2005, rubricato “Azioni ingannevoli”, stabilisce, al comma 1, che:
“E' considerata ingannevole una pratica commerciale che contiene informazioni non rispondenti al vero o, seppure di fatto corretta, in qualsiasi modo, anche nella sua presentazione complessiva, induce o è idonea ad indurre in errore il consumatore medio riguardo ad uno o più dei seguenti elementi e, in ogni caso, lo induce o è idonea a indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso …”:
L’art. 22, comma 1, dello stesso codice del consumo, rubricato “Omissioni ingannevoli”, prevede che:
“E' considerata ingannevole una pratica commerciale che nella fattispecie concreta, tenuto conto di tutte le caratteristiche e circostanze del caso, nonché dei limiti del mezzo di comunicazione impiegato, omette informazioni rilevanti di cui il consumatore medio ha bisogno in tale contesto per prendere una decisione consapevole di natura commerciale e induce o è idonea ad indurre in tal modo il consumatore medio ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso”.
L’Autorità Garante della Concorrenza e del Mercato, nella sostanza, ha contestato a Google di non avere informato adeguatamente i consumatori circa la possibilità che i loro dati potessero essere utilizzati per mostrare loro annunci personalizzati, per cui la patrimonializzazione del dato personale, frutto dell’intervento della Società attraverso la messa a disposizione dei dati e la profilazione dell’utente a fini commerciali, è avvenuta senza la dovuta consapevolezza da parte dei consumatori.
L’Autorità, quindi, ha sanzionato la condotta con cui Google non ha fornito in modo chiaro informazioni rilevanti, alterando in tal modo la capacità del consumatore di assumere una decisione consapevole.
La condotta oggetto dell’accertamento è una tipica fattispecie di pratica commerciale scorretta (in cui, come visto, rientrano sia le azioni che le omissioni ingannevoli), avendo l’Autorità evidenziato, con una valutazione che non risulta manifestamente illogica o basata su un travisamento dei fatti, come, in fase di creazione dell’account Google e durante l’utilizzo di vari servizi offerti da Google, il professionista abbia omesso informazioni rilevanti necessarie per il consumatore al fine di assumere una decisione consapevole di natura commerciale e cioè di accettare che il professionista raccolga e usi a fini commerciali i suoi dati
L’Autorità antitrust ha chiaramente rappresentato le ragioni per le quali Google non fornisce un’immediata ed esplicita indicazione ai consumatori in merito alla raccolta ed utilizzo dei loro dati personali a fini commerciali da parte della Società.
Sul punto, occorre considerare che l’Amministrazione procedente ha esercitato il potere conferitole dalla legge, avente natura di discrezionalità tecnica, sicché la conclusiva valutazione è un apprezzamento di merito, di per sé non sindacabile, ma soggetto in limiti assai ristretti al giudizio di legittimità, proprio in quanto espressione di discrezionalità tecnica.
La discrezionalità tecnica, infatti, è censurabile in sede giurisdizionale solo quando il suo esercizio appaia ictu oculi viziato da manifesta illogicità, irragionevolezza, arbitrarietà o travisamento dei fatti o laddove sia carente di istruttoria e di motivazione.
L’Amministrazione, nell’effettuare le valutazioni di competenza, in linea di massima, applica concetti non esatti, ma opinabili, con la conseguenza, già evidenziata, che può ritenersi illegittima solo la valutazione che, con riguardo alla concreta situazione, si riveli manifestamente illogica, vale a dire che non sia nemmeno plausibile, e non già una valutazione che, pur opinabile nel merito, sia da considerare comunque ragionevole, ovvero la valutazione che sia basata su un travisamento dei fatti.
Il ricorso a criteri di valutazione tecnica, infatti, in qualsiasi campo, non offre sempre risposte univoche, ma costituisce un apprezzamento non privo di un certo grado di opinabilità e, in tali situazioni, il sindacato del giudice, essendo pur sempre un sindacato di legittimità e non di merito, è destinato ad arrestarsi sul limite oltre il quale la stessa opinabilità dell'apprezzamento operato dall'amministrazione impedisce d'individuare un parametro giuridico che consenta di definire quell'apprezzamento illegittimo (cfr., ex multis, Cass. Civ., SS.UU., 20 gennaio 2014, n. 1013).
Sugli atti in discorso, essendo gli stessi sindacabili dal giudice amministrativo per vizi di legittimità e non di merito, non è consentito al giudice amministrativo esercitare un controllo intrinseco in ordine alle valutazioni tecniche opinabili, in quanto ciò si tradurrebbe nell'esercizio da parte del suddetto giudice di un potere sostitutivo spinto fino a sovrapporre la propria valutazione a quella dell'amministrazione, fermo però restando che anche sulle valutazioni tecniche è esercitabile in sede giurisdizionale il controllo di ragionevolezza, logicità, coerenza ed attendibilità.
La differenza tra giurisdizione di legittimità e giurisdizione di merito, in sostanza, può individuarsi nel fatto che, nel giudizio di legittimità, il giudice agisce “in seconda battuta”, verificando, nei limiti delle censure dedotte, se le valutazioni effettuate dall’organo competente sono viziate da eccesso di potere per manifesta irragionevolezza o da travisamento dei fatti, vale a dire se le stesse, pur opinabili, esulano dal perimetro della plausibilità, mentre, nel giudizio di merito, il giudice agisce “in prima battuta”, sostituendosi all’Amministrazione ed effettuando direttamente e nuovamente le valutazioni a questa spettanti, con la possibilità, non contemplata dall’ordinamento se non per le eccezionali e limitatissime ipotesi di giurisdizione con cognizione estesa al merito di cui all’art. 134 c.p.a., di sostituire la propria valutazione alla valutazione dell’Amministrazione anche nell’ipotesi in cui quest’ultima, sebbene opinabile, sia plausibile.
In altri termini, nella giurisdizione di legittimità, la domanda a cui il giudice deve rispondere non è se sia d’accordo o meno con la valutazione effettuata dall’Amministrazione competente, atteso che in tal caso il suo sindacato trasmoderebbe nel merito amministrativo, ma se tale manifestazione di giudizio sia o meno abnorme, la qual cosa, invece, concreterebbe il vizio di eccesso di potere.
Nella fattispecie in esame, le valutazioni formulate dall’Autorità e chiaramente rappresentate con riferimento alla pratica sub a), sia pure opinabili, sono senz’altro plausibili, per cui nessuno dei vizi di legittimità dedotti può dirsi sussistere nell’azione amministrativa.
Né può sostenersi che l’AGCM abbia ignorato il parametro del consumatore medio, perché le valutazioni espresse sono compatibili anche con riferimento agli utenti che abitualmente utilizzano i dispositivi informatici e, quindi, sono normalmente informati sulla c.d. navigazione in rete.
Infatti, la circostanza che l’utente medio che naviga online sia consapevole del possibile utilizzo dei dati personali per finalità pubblicitarie non esime affatto il professionista dall’onere di adottare un sistema informativo sulla profilazione dei dati personali chiaro, esaustivo e di immediata percezione, tanto più che non è irragionevole ritenere che la maggioranza degli utenti accede ai servizi in modo rapido, senza soffermarsi eccessivamente sulle indicazioni preliminari; per cui è necessario che le informazioni siano immediatamente percepibili, senza la necessità di interpretare le stesse o di consultare ulteriori link.
Peraltro, con i già richiamati “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali”, la Commissione europea, tra l’altro, ha posto in rilievo che:
“I dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto e vengono venduti a terzi.
Di conseguenza, ai sensi dell'articolo 7, paragrafo 2, e dell'allegato I, punto 22, della direttiva, se il professionista non comunica al consumatore che i dati che è tenuto a fornire per accedere al servizio saranno usati a fini commerciali, questa pratica può essere considerata un'omissione ingannevole di informazioni rilevanti”.
3.2. Le doglianze proposte con riferimento alla pratica sub b), invece, sono fondate.
L’art. 24 del d.lgs. n. 206 del 2005, rubricato “pratiche commerciali aggressive”, stabilisce che:
“1. E' considerata aggressiva una pratica commerciale che, nella fattispecie concreta, tenuto conto di tutte le caratteristiche e circostanze del caso, mediante molestie, coercizione, compreso il ricorso alla forza fisica o indebito condizionamento, limita o è idonea a limitare considerevolmente la libertà di scelta o di comportamento del consumatore medio in relazione al prodotto e, pertanto, lo induce o è idonea ad indurlo ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso”.
L’art. 25 del codice del consumo, rubricato “ricorso a molestie, coercizione o indebito condizionamento”, dispone che:
1. Nel determinare se una pratica commerciale comporta, ai fini del presente capo, molestie, coercizione, compreso il ricorso alla forza fisica, o indebito condizionamento, sono presi in considerazione i seguenti elementi:
a) i tempi, il luogo, la natura o la persistenza;
b) il ricorso alla minaccia fisica o verbale;
c) lo sfruttamento da parte del professionista di qualsivoglia evento tragico o circostanza specifica di gravità tale da alterare la capacità di valutazione del consumatore, al fine di influenzarne la decisione relativa al prodotto;
d) qualsiasi ostacolo non contrattuale, oneroso o sproporzionato, imposto dal professionista qualora un consumatore intenda esercitare diritti contrattuali, compresi il diritto di risolvere un contratto o quello di cambiare prodotto o rivolgersi ad un altro professionista;
e) qualsiasi minaccia di promuovere un'azione legale ove tale azione sia manifestamente temeraria o infondata”.
Nella fattispecie, quindi, l’Autorità ha accertato un indebito condizionamento idoneo a limitare considerevolmente la libertà di scelta del consumatore medio.
3.2.1. In primo luogo, le doglianze proposte si presentano condivisibili laddove Google ha efficacemente posto in rilievo come il provvedimento al paragrafo 64, nell’evidenziare che “La pre-attivazione determina, già di per sé, il trasferimento e l’utilizzo dei dati da parte di Google, una volta che questi vengono generati, senza la necessità a tal fine di ulteriori passaggi in cui l’utente possa confermare o modificare la scelta preimpostata”, non abbia considerato che, prima di raccogliere i dati degli utenti, Google ha chiesto agli stessi più di una volta se fossero interessati a ricevere gli annunci personalizzati, attraverso pop up mostrati all’inizio ed al termine del processo di registrazione.
In altre parole, la preselezione delle opzioni a disposizione non solo non comporta alcuna trasmissione dei dati in modo diretto ed immediato, ma è seguita da altri passaggi in cui il consumatore ha la possibilità di deselezionare l’impostazione che prevede la profilazione dei dati a fini commerciali (cfr., in proposito, sentenze Consiglio di Stato, VI, 2 dicembre 2024, n. 9614 e 29 marzo 2021, n. 2631).
3.2.2. Inoltre, occorre ritenere che la preimpostazione del consenso al trasferimento dei dati per ricevere annunci personalizzati non è idonea ad integrare di per sé sola una pratica commerciale aggressiva.
La pratica commerciale per essere qualificata aggressiva necessita di un quid pluris che si traduca in una condotta capace di coartare la libertà di scelta dell’utente, il che, nel caso di specie, non sembra configurabile.
Il metodo opt-out anziché opt-in, in assenza di ulteriori caratteristiche, può concorrere alla formazione di una pratica commerciale ingannevole, ma non può assumere il rilievo di indebito condizionamento richiesto dall’art. 24 del codice del consumo, in quanto il consumatore, sia pure attraverso un atto di deselezione dell’opzione predeterminata e di apposizione del flag su un diverso spazio, può, anche se in modo più difficoltoso, evitare di compiere la scelta proposta.
La carenza informativa sugli effetti della preselezione, in definitiva, rileva sotto il profilo della ingannevolezza e, quindi, sulla consapevolezza, ma non in termini di aggressività, vale a dire sulla libertà di scelta, della pratica commerciale.
Il sistema utilizzato dal professionista, pertanto, si presenta ragionevolmente idoneo ad ingannare il consumatore medio, ma non ad incidere sulla libertà di scelta dello stesso.
3.2.3. Ad ogni buon conto, le due pratiche commerciali contestate non sono caratterizzate da un’autonomia strutturale e funzionale, in quanto, attenendo entrambe alle modalità di acquisizione del consenso dei consumatori in relazione ai medesimi prodotti, sono relative ad un medesimo segmento temporale e procedurale e, inoltre, perseguono l’identica finalità di trattamento dei dati personali per finalità commerciali.
In relazione al profilo teleologico-funzionale, quindi, la condotta di Google può essere considerata unitaria, poiché entrambe le fattispecie contestate sono finalizzate al rilascio dei consensi per l’invio di messaggi pubblicitari standardizzati.
Di qui, l’illegittima applicazione del cumulo materiale delle sanzioni.
4. Ne consegue che l’appello deve essere in parte accolto, con riferimento alla pratica commerciale sub b), mentre deve essere respinto per il resto, con riferimento alla pratica commerciale sub a).
5. Per quanto concerne la quantificazione della sanzione relativa alla pratica sub a), tenuto conto in particolare delle condizioni economiche dell’impresa, risulta ragionevole e non inficiata dai dedotti vizi di legittimità l’applicazione della sanzione pecuniaria nella misura massima prevista dall’art. 27, comma 9, del codice del consumo, per un importo di € 5.000.000,00.
D’altra parte, la sanzione pecuniaria deve avere carattere di deterrenza e, essendo previsto uno stesso range (da € 5.000,00 ad € 5.000,00) per tutte le imprese, è evidente che nei confronti delle persone giuridiche di rilevantissime dimensioni economiche come l’appellante, dimensioni puntualmente descritte nel provvedimento impugnato al paragrafo 81, tale efficacia può prodursi solo se applicata la sanzione nella misura massima.
In ordine alla deterrenza della sanzione, anzi, al paragrafo 85, il detto provvedimento ha posto in rilievo che, “in considerazione dell’estrema gravità della pratica, anche in relazione al fatturato specifico generato da Google nell’anno 2019, la sanzione, seppure irrogata nel massimo edittale, non risulta deterrente”, precisando subito dopo (paragrafo 86) che “d’altra parte … allo stato, non è ancora stata recepita nell’ordinamento nazionale la Direttiva 2019/2161/UE che fissa ad almeno il 4% del fatturato annuo del Professionista nello Stato membro interessato il massimo edittale della sanzione irrogabile”.
Ne consegue, pertanto, anche l’irrilevanza delle altre censure dedotte in tema di quantificazione della sanzione.
6. In conclusione, l’appello va accolto in parte e, per l’effetto, in parziale riforma della sentenza impugnata, deve essere in parte accolto il ricorso proposto in primo grado, con conseguente annullamento parziale del provvedimento impugnato, con riferimento ai punti b) e d) del suo dispositivo. L’appello deve essere respinto per il resto.
7. Le spese del doppio grado di giudizio, considerata la particolare complessità, in fatto ed in diritto della controversia, e considerato l’esito complessivo della stessa, possono essere integralmente compensate tra le parti.
P.Q.M.
Il Consiglio di Stato in sede giurisdizionale, Sezione Sesta, definitivamente pronunciando, accoglie in parte l’appello in epigrafe (R.G. n. 1618 del 2023) e, per l’effetto, in parziale riforma della sentenza impugnata, accoglie in parte il ricorso proposto in primo grado e annulla in parte l’impugnata delibera dell’AGCM adottata nell’adunanza del 16 novembre 2021, con riferimento alle lettere b) e d) del dispositivo; respinge l’appello per il resto.
Compensa integralmente tra le parti le spese del doppio grado di giudizio.
Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.
Così deciso in Roma, nella camera di consiglio del giorno 12 dicembre 2024, con l'intervento dei magistrati:
Carmine Volpe, Presidente
Luigi Massimiliano Tarantino, Consigliere
Oreste Mario Caputo, Consigliere
Roberto Caponigro, Consigliere, Estensore
Lorenzo Cordi', Consigliere
         
         
L'ESTENSORE        IL PRESIDENTE
Roberto Caponigro        Carmine Volpe
         
         
         
         
         
IL SEGRETARIO