Anche il secondo round nel confronto tra l’AGCM e Facebook è giunto al termine con l’irrogazione di una nuova sanzione complessiva di € 7 milioni nei confronti di Facebook Ireland Ltd. e Facebook Inc. in solido tra loro.

La vicenda è stata seguita nelle sue varie articolazioni (v. Alert del 13 dicembre 2018 e 30 gennaio 2020) che denotano come l’attuale modello di business dei social network apparentemente gratuiti, fa fatica a rientrare nei canoni normativi della tutela del consumo e dei dati personali. 

Precedenti passi

Figura 1 – Articolazione del contenzioso tra AGCM e Facebook.

Col provvedimento iniziale, l’AGCM aveva contestato a Facebook – precisamente a Facebook Ireland Ltd. ed a Facebook Inc. – di praticare l’attività commerciale dando luogo a due violazioni del codice del consumo consistenti in: una pratica scorretta ed una aggressiva.

Perchè le due Facebook

Nel provvedimento AGCM si evidenzia che Facebook Inc. «è la società controllante al 100%, di Facebook Ireland Ltd. e soggetto che trae vantaggio economico dalle condotte qui in esame, essendo capogruppo del gruppo FB». Su questa circostanza, «si richiama il principio affermato dalla giurisprudenza, in base al quale “[n]ella materia antitrust […] in presenza di una società che detiene il 100% del capitale sociale di un’altra società, si presume che la società controllante eserciti un’influenza determinante nello svolgimento dell’attività della controllata, tale da farla ritenere responsabile per gli illeciti da quest’ultima materialmente realizzati”». La ragione dell’applicabilità di tale principio alle sanzioni per pratiche commerciali scorrette va individuata, secondo giurisprudenza, nel fatto che «la diversità dei due plessi normativi (antitrust e tutela del consumatore) non elide la matrice e la ratio comune degli stessi che, quand’anche sotto diversi angoli visuali, attengono, per entrambi, alla tutela dell’endiadi costituita dal mercato e dalla libertà di concorrenza».

In conclusione, lo stato di controllante al 100%, l’influenza determinante esercitata da Facebook Inc. su Facebook Ireland Ltd., l’omessa vigilanza della controllante sulla controllata, rende la casa madre responsabile in solido per gli illeciti commessi dalla controllata.

Nel dominio data protection si perviene a conclusioni analoghe secondo i principi della stretta correlazione delle attività di trattamento di dati personali tra le due entità (CGUE C-131/12,Google Spain, linee guida EDPB 3/2018 sull’ambito territoriale). 

Pratiche scorrette e aggressive

Il primo provvedimento dell’AGCM ha ritenuto entrambe Facebook Inc. e Facebook Ireland Ltd. responsabili per pratiche scorrette e aggressive. 

La pratica scorretta, ritenuta “ingannevole”, consisteva nell’avere adottato, nella fase di prima registrazione dell’utente nella Piattaforma Facebook (sito “web” e “app”), un’informativa ritenuta da AGCM priva di immediatezza, chiarezza e completezza, in riferimento alla attività di raccolta e utilizzo, a fini commerciali, dei dati degli utenti.

La seconda pratica, qualificata come “aggressiva”, si concretizzava nell’applicazione, in relazione agli utenti registrati sulla piattaforma, di un meccanismo che, secondo la ricostruzione dell’Autorità, comportava la trasmissione dei dati degli utenti dalla Piattaforma del social network ai siti “web/app” di terzi e viceversa, senza preventivo consenso espresso dell’interessato, per l’uso degli stessi a fini di profilazione e commerciali.