L’Italia e il Garante per la privacy sono da poco saliti agli onori della cronaca per aver – come prima Autorità al mondo – stoppato temporaneamente ChatGTP per violazioni della normativa GDPR[1].
Il caso è indubbiamente eclatante. Eppure, non è la prima volta che l’Italia si presenta sulla scena internazionale come leadernell’affrontare questioni digital particolarmente complesse.
Ad esempio, recentemente, è emersa dagli organi di stampa un’indagine condotta dalla Procura di Milano nei confronti di META, colosso americano guidato da Mark Zuckerberg, per omessa
dichiarazione dell’Iva dovuta su operazioni, asseritamente gratuite, di scambio tra dati personali degli utenti – utilizzati per la pubblicità profilata[2] – e i servizi delle piattaforme social offerti dalla stessa società.
Nonostante le “luci della ribalta” siano ora tutte sul caso ChatGTP, vale certamente la pena condividere qualche riflessione sulla vicenda META che pure potrebbe avere effetti potenzialmente dirompenti per i provider di servizi simili a quelli offerti dalla società americana data la sempre maggiore centralità dei dati nell’attuale contesto globale di digitalizzazione.
Una premessa d’obbligo: l’importanza dei dati personali nella “data economy”
Con milioni di utenti iscritti Facebook, Instagram e Whatsapp sono senza dubbio alcune tra le piattaforme social più utilizzate al mondo. Tutte appartengono alla galassia di proprietà del gruppo META che infatti è considerato uno dei maggiori player del settore.
Gran parte delle fortune delle big tech come META sono state costruite grazie alla capacità di utilizzare i dati personali degli utenti ai fini di attuare massicce campagne di online advertising[3].
Nella pratica, infatti, i dati personali degli utenti, come ad esempio l’età, il sesso, la loro posizione geografica e le preferenze di acquisto, sono elementi preziosi per le società che, attraverso i social media, cercano di raggiungere un target specifico di pubblico con la pubblicità online.
Le grandi società tecnologiche (come META) raccolgono questi dati per “profilare” i propri utenti. Ricavano poi ingenti profitti dalle vendite dei dati così elaborati agli inserzionisti operanti all’interno del proprio network[4].
Questi modelli di business sono spesso “messi all’indice” dato che fonderebbero la loro elevata profittabilità sulla scarsa (o nulla) consapevolezza degli utenti relativamente alla messa a disposizione dei loro dati personali alle piattaforme.
Ad esempio, nelle condizioni d’uso di Facebook che gli utenti devono accettare al momento dell’iscrizione alla piattaforma, si specifica (in una clausola che “si perde” in mezzo alle decine di altre disposizioni contrattuali) quanto segue[5]:
“… Anziché pagare per l’uso di Facebook e degli altri prodotti e servizi offerti, utilizzando i Prodotti di Meta … l’utente riconosce che Meta possa mostrare inserzioni personalizzate e altri contenuti commerciali e sponsorizzati, la cui promozione all’interno e all’esterno dei prodotti delle aziende di Meta avviene dietro pagamento da parte di aziende e organizzazioni. Usiamo i dati personali dell’utente (ad es. informazioni su attività e interessi) per mostrargli inserzioni personalizzate e contenuti sponsorizzati che potrebbe ritenere pertinenti.
… Non vendiamo i dati personali dell’utente. Consentiamo agli inserzionisti di indicare elementi quali i propri obiettivi di business e il tipo di pubblico a cui desidera mostrare le proprie inserzioni (ad es. utenti fra i 18 e i 35 anni con la passione per il ciclismo). Mostriamo quindi le inserzioni agli utenti che, a nostro avviso, potrebbero essere interessati …”[6].
Il fulcro della questione risiede dunque nella centralità che i dati assumono in termini di redditività per gruppi come META e nel fatto che tali dati presentano caratteristiche analoghe ad un bene immateriale con un valore economico. Ai fini di questa analisi, si rileva come sia pacifico che il colosso americano per i propri servizi non richiede infatti un corrispettivo in denaro ma otterrebbe come “contro-partita” la possibilità di trattare i dati personali dei propri utenti.
L’indagine della Procura Europea e di Milano
Nel contesto appena delineato si inserisce l’indagine nei confronti di META avviata dalla Procura Europea e trasferita per competenza alle Competenti Autorità milanesi.
Sulla base delle informazioni disponibili in rete, sarebbe ipotizzato il reato di omessa dichiarazione dell’Iva (assorbente dell’omesso versamento dell’imposta) asseritamente dovuta dalla società italiana del Gruppo META sui corrispettivi delle operazioni poste in essere con gli (asseritamente ignari) utenti italiani. In pratica, la base imponibile dell’imposta che si ritiene sottratta all’erario ammonterebbe al valore dei dati personali che META avrebbe acquisito dagli utenti italiani al momento della registrazione sulle piattaforme del Gruppo tra gli anni 2015 e 2021. Durante tale periodo, secondo gli accertatori l’imposta dovuta da META all’erario italiano ammonterebbe a circa €220 milioni un di cui dei complessivi circa €870 milioni dovuti a livello europeo.
È ragionevole ipotizzare che i verificatori abbiano contestato il fatto che il consenso all’uso dei dati in cambio del servizio offerto da META (attraverso Meta Platforms Ireland Limited) sia solo in apparenza caratterizzato da gratuità, requisito che ne avrebbe escluso la rilevanza ai fini Iva[7] e di cui difetterebbero per definizione, secondo il più recente orientamento dell’agenzia delle entrate[8], operazioni con caratteristiche analoghe a quella in esame.
In questa prospettiva la contestazione delle Autorità muoverebbe dal presupposto che, in realtà, tra utenti e META si sarebbe realizzato uno scambio di servizi con obbligazioni reciproche dietro corrispettivo.
Parrebbe, infatti, che lo schema accusatorio teorizzi l’obbligo di cessione di beni immateriali (qualificabile come prestazione di servizio ai fini Iva) da parte degli utenti in favore di META a fronte dell’obbligo di questa di concedere in fruizione le piattaforme social.
Nella specie, i dati degli utenti rappresenterebbero il corrispettivo della prestazione di servizi effettuata da META.
Secondo la normativa Iva nazionale, tali operazioni dette permutative – cessioni di beni e prestazioni di servizi effettuate in corrispettivo di altre cessioni di beni o prestazioni di servizi – andrebbero assoggettate all’imposta separatamente da quelle in corrispondenza delle quali sono effettuate ex art. 11 del DPR 633/72[9].
In altri termini, nelle operazioni permutative le due prestazioni (che compongono la permuta) devono essere considerate isolatamente (i.e. due singole prestazioni di servizi) sebbene, nella specie la sola operazione assoggettabile ad IVA risulterebbe essere quella effettuata da META agli utenti – per carenza, nell’altra operazione, del requisito soggettivo in capo agli utenti.
Ciò posto, l’elemento di novità in questo paradigma accusatorio attiene alla determinazione della base imponibile su cui calcolare l’imposta che, nel caso delle operazioni permutative, sarebbe costituita dal valore normale dei beni e dei servizi che formano oggetto di ciascuna di esse (art. 13, comma 2, lett. d)).
Per superare l’evidente empasse dell’identificazione del valore di questi dati, non quantificato né quantificabile nel momento in cui sono “affidati” dagli utenti a META, gli inquirenti si sarebbero verosimilmente basati su elementi economici non immediatamente disponibili ed esterni all’accordo utenti / META.
Sembrerebbe, infatti, che per definire l’ammontare dai dati assunti quale corrispettivo i verificatori ne abbiano considerato il valore (di mercato) desumibile dai proventi su di essi realizzati da META.
In concreto, quindi avrebbero ritenuto di poter “monetizzare” detti dati prendendo a riferimento l’ammontare che soggetti terzi sul mercato sono disposti a versare per poterne disporre.
Tale approccio accertativo, pur criticabile sotto varie angolazioni, avrebbe il pregio di essere conforme, oltreché all’indirizzo della prassi nazionale, altresì alla giurisprudenza che ha sancito la necessità che il corrispettivo sia espresso in denaro (e.g. CGUE Causa C-380/99) e che questo possa corrispondere all’impegno a eseguire una cessione di beni oppure una prestazione di servizi (Cass. n. 7947/2019).
Conclusioni
In attesa che emergano ulteriori elementi sulla vicenda META, l’impressione è che l’indagine possa rappresentare il primo atto di un più ampio fenomeno investigativo su questi temi a carico delle big tech.
A questo stadio, si possono trarre almeno due macro-conclusioni:
- da un punto di vista “privacy” le società attive nel mercato digitale dovranno sicuramente porsi il tema relativo alla monetizzazione dei dati. Se questo concetto fosse effettivamente “sdoganato” vi potrebbe essere la necessità di un ripensamento globale dei loro modelli di business. Le piattaforme che intendono utilizzare dati personali degli utenti per fini di profilazione potrebbero dunque essere chiamate a proporre agli utenti stessi delle formule che consentano una valorizzazione dei loro personal data. Tale processo è già in corso. Ad esempio, in svariati paesi europei (tra cui l’Italia) le principali testate giornalistiche online hanno adottato, negli scorsi mesi, dei cosiddetti pay wall in cui chiedono esplicito consenso per utilizzo di cookie per finalità di profilazione. Nel caso in cui tale consenso non venga fornito, viene richiesto il pagamento di un abbonamento per la fruizione dei contenuti proposti sul web dalle testate stesse[10];
- da un punto di vista tributario, invece, questo nuovo paradigma accertativo aprirebbe, ove fosse ritenuto fondato, a indagini seriali e significative conseguenze nei confronti di gruppi che nel web operino in maniera analoga a META, e. offrendo servizi web in cambio di dati degli utenti. Va tuttavia rilevato come ad un primo esame l’impianto accusatorio trapelato per sommi capi dal web parrebbe prestare il fianco a diverse possibili critiche sul piano tecnico[11].
Sulla scorta di queste preliminari considerazioni, appare altamente consigliabile, per i gruppi interessati da questioni analoghe e che trattano dati personali degli utenti per finalità di profilazione, svolgere un assessment delle attuali e potenziali esposizioni a rischi legati alla normativa privacy alla luce di questo nuovo trend che attribuisce un valore economico ai personal data. Come abbiamo visto, tale valutazione dovrà necessariamente avere come campo di indagine principale anche le ricadute che potrebbero esservi in materia fiscale.
[1] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9870847
[2] www-ilfattoquotidiano-it.cdn.ampproject.org/c/s/www.ilfattoquotidiano.it/2023/02/22/gruppo-meta-inchiesta-su-possibile-evasione-iva-da-870-milioni-di-euro-lindagine-anticipata-da-il-fatto-quotidiano/7073748/amp/
[3] www.wired.com/insights/2014/07/data-new-oil-digital-economy/
[4] Ad esempio, gli utenti donna con predilezione per lo sport che si trovano in Italia.
[5] In particolare, si nota che recentemente è stata, inter alia, comminata una maxi-multa di 390 milioni proprio a META a cui è stato contestato dall’autorità per la protezione dei dati irlandese di aver utilizzato la base legale dell’esecuzione del contratto come “leva” per condurre la propria pubblicità mirata. Il garante irlandese ha assunto la posizione per cui la personalizzazione degli annunci sui social network può invece avvenire solo dopo specifica prestazione di consenso da parte dell’utente (cfr. https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland).
[6] Cfr. punto no. 2 delle condizioni di uso di Facebook reperibili al seguente link: https://www.facebook.com/legal/terms
[7] Cfr. art. 3 c. 3 del DPR 633/72, Working paper 30.10.2018 n. 958 del Comitato IVA.
[8] Cfr. risposta a interpello n. 31/2023.
[9] Cfr. art. 3 c. 3 del DPR 633/72, Working paper 30.10.2018 n. 958 del Comitato IVA.
[10] Al momento è in corso un’istruttoria del Garante Italiano per valutare la conformità di queste iniziative al GDPR (cfr. https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9815415).
[11] Anzitutto, se la ricostruzione qui ipotizzata trovasse riscontro, non parrebbe fondata la tesi che assuma, puramente e semplicemente, come corrispettivo il dato economico dei proventi percepiti da META. Ciò essenzialmente per due ragioni in parte complementari.
La prima riguarda la sussistenza di uno dei requisiti richiesti dalla normativa Iva nazionale su cui si fonderebbe il rilievo dei verificatori (art. 3 DPR n. 633/1972). Nel presupposto che siano verificate le ulteriori condizioni della norma Iva, non poche criticità potrebbero derivare dal calcolo della soglia di valore del singolo servizio prestato per utente (€50) al cui superamento è ancorata l’imponibilità ai fini dell’imposta.
La seconda riguarda l’apparente disinteresse rispetto al fatto che i dati forniti da META agli inserzionisti sono frutto di complessi processi di elaborazione eseguiti dal service provider attraverso proprie risorse. Per dirla altrimenti, i dati degli utenti non avrebbero verosimilmente alcun valore economicamente apprezzabile (o “monetizzabile”) se non fossero stati rielaborati e categorizzati da parte di META attraverso l’impiego di ingenti risorse. Tali attività di elaborazione dati, ad alto valore aggiunto, andrebbero valorizzate isolatamente per poter propriamente indentificare l’eventuale valore residuale economico dei dati degli utenti. Sicchè, il valore di tali attività dovrebbe essere espunto ovvero non rilevare quale corrispettivo ai fini Iva del servizio prestato da META agli utenti nell’ambito dell’asserita operazione permutativa. Sulla base delle informazioni sinora disponibili sulla vicenda non è però dato sapere se le autorità abbiano o meno tenuto conto di tale circostanza per giungere alle contestazioni elevate.
Ulteriore profilo di apparente debolezza delle accuse nei confronti di META si rinviene nella contrarietà all’orientamento di certa giurisprudenza della CGUE (e.g. C-432/15, C-246/08, C-16/93) – anche richiamata nel menzionato Working paper del Comitato IVA – che esclude la rilevanza Iva in fattispecie analoghe a quella oggetto di indagine – nello specifico trattasi di casi in cui gli IT services siano prestati in cambio dell’ottenimento dei dati personali del cliente fruitore.