Operazione Netfix
No, non ho dimenticato un carattere.
Il movimento consumatori ha ottenuto una vittoria con una sentenza (n.4993/2026 Trib. Roma) che mette in seria difficoltà Netflix. È stata accertata una pratica scorretta e la nullità e inefficacia di specifiche clausole contrattuali per gli abbonamenti dal 2017 al gennaio 2024. Una brutta botta perché, oltre al fatto di essere stata etichettata come "monella", Netflix dovrà rimediare concretamente. Inoltre il tribunale ha stabilito che Netflix debba ora informare tutti i clienti del diritto ad essere rimborsati per gli aumenti illegittimi. Una batosta anche per l'immagine.
Da utente di vecchia data, sempre in bolletta, mi sono interessato alla questione notando alcune cose che meritano un approfondimento.
Il sito del movimento rimanda a un form di raccolta dati presentato con queste parole: "Per manifestare il tuo interesse ad aderire alla class action ⇒ compila il modulo online." Non si parla di contratto, di associarsi né di altro. Una semplice richiesta di maggiori dettagli. Questa frasetta è in aperto contrasto con l'informativa privacy che segue... ma di questo parlo alla fine.
La pagina mostra un cookiebanner che ha l'unica funzione di dare all'utente l'illusione del controllo:
L'utente pensa: "Bene, ci sarebbero 13 cookie di marketing ed altri 9 non classificati, ma io non li autorizzo e sono al sicuro"... Balle.
Con una semplice analisi si può verificare che il cookiebanner faccia schifo, uno dei tanti che fanno solo finta di gestire i cookie e che i collegamenti con i server esterni (e i relativi tracker) si attivano ben prima ed a prescindere del banner stesso. In breve, ti chiedono se sei d'accordo mentre hai già la loro mano sul culo!
A questo punto prescindo da ciò che il banner e l'informativa privacy dichiarano, tanto è carta straccia. Scopro così che, mentre si visita la pagina, i dati personali sono già acquisiti e condivisi in abbondanza con:
- un'azienda che, con la scusa del cookiebanner, acquisisce i tuoi dati per rivenderli a chi gli pare
- google fonts, che acquisisce i tuoi dati per farci profilazione e tutto il peggio si possa immaginare
- addtoany che, con la scusa di mostrarti comodi pulsantini colorati per condividere la pagina sui tuoi social, acquisisce i tuoi dati personali per rivenderli e farci ciò che vuole, anche se i pulsantini non li vuoi usare
- un'azienda che fornisce un chatbot che acquisisce i tuoi dati anche se il chatbot non vuoi proprio utilizzarlo.
- Altre aziendine minori che non mi preoccupano perché sono pesci piccoli... ma che acquisiscono comunque i tuoi dati e ciao ciao anche lì.
"Ma quali dati? Non ho ancora condiviso nulla né ho detto chi sono", ci si potrebbe domandare. Anime candide del web! Il fatto di visitare quella pagina qualifica già l'utente, i suoi interessi, il fatto che sia tecnologicamente attivo e aggiornato, che conosca netflix, che magari abbia un interesse personale connesso ad un abbonamento, per condividere poi molto più di quello che si vede: indirizzo IP, luogo, tipo di terminale e sistema operativo, dimensioni dello schermo, sito di provenienza e a tanto altro. Si chiama fingerprinting. Inoltre una valanga di metadati: quanto tempo tieni aperta la pagina, se e quante volte ci torni, se apri i link e conferisci ulteriori informazioni su di te, rendendo possibile una profilazione piuttosto precisa. Inoltre, collegando i dati di ciascuna visita con quelli già disponibili, si può creare un vero e proprio dossier sulla persona che sei, pur senza sapere il nome che, a conti fatti, è la cosa meno interessante per chi vorrà usare questi dati. Se una cosa può essere fatta, verrà fatta e, generalmente, non nel tuo interesse.
Non male per il Movimento Consumatori che si prefigge il nobile scopo di aiutare e proteggere la gente.
A questo punto non posso abbandonare il lavoro a metà... vado avanti e apro il form. Per fortuna questo è abbastanza pulito, non ci sono porcherie nascoste, se non un recaptcha e poco altro. Ma il form non ha bisogno di rubare informazioni, siamo noi a dirgli di tutto e di più: nome, cognome, indirizzo email, telefono, residenza, abbonamento a netflix posseduto, ecc. Premendo invio, tutti questi dati vengono registrati dalla piattaforma e condivisi con il movimento consumatori. Se fosse solo questo, non mi preoccuperei particolarmente, ma la piattaforma si chiama wufoo.com ed è un marchio di proprietà di SurveyMonkey Inc. , azienda americana che con i dati ci fa tutto ciò che vuole, specialmente con i dati di persone non americane. SurveyMonkey è uno dei cattivoni del web, una di quelle aziende che hanno trasformato un bel posto nella fogna che tutti consociamo... gratis e con una bella grafica, naturalmente. In pratica, i dati inseriti nel form andranno al Movimento Consumatori, ma anche a una miriade di altre aziende che, se elencassi qui, andrei in buffer overflow. Usare questo fornitore configura un trasferimento di dati personali altrui verso Paesi Terzi (Extra-UE) ai sensi del Capo V del GDPR. Poiché l'informativa dichiara di usare le Clausole Contrattuali Tipo ma in modo del tutto "generico", c'è un problema di Data Protection Impact e conformità per i cittadini europei coinvolti. Il Movimento Consumatori non si può permettere un errore simile.
Andiamo sempre meglio, direi, specialmente per il Movimento Consumatori che si prefigge il nobile scopo di "contribuire al pieno riconoscimento e alla realizzazione dei diritti di cittadinanza economica nel mercato".
In questi casi, normalmente, chiudo tutto, invoco un supereroe immaginario a caso, uno dei tanti, e proseguo la mia vita come se niente fosse. Questa volta no, non lascio perdere, sia perché quel rimborso mi interessa, sia perché intravedo una moltitudine di persone ignare naviganti e cliccanti che si stanno per mettere nei guai, proprio come ho fatto io.
Da buon DPO cerco l'informativa privacy del Movimento Consumatori per capire meglio... e qui le invocazioni assumono toni decisamente coloriti e travolgono una schiera di esseri immaginari decisamente ampia, direi interconfessionale.
Ossignur! La frasetta della morte! Il consenso obbligatorio affogato in altre cose... uno strafalcione da matita blu. Ma che cosa state combinando da quelle parti? Vorrei pensare che sia solo opera di uno stagista in hangover, ma temo sia molto peggio di così.
Apro questo link, anche se ho paura che non finirà affatto bene:
Azzardo un'ipotesi: informativa scritta da un cretino, ubriaco, dettandola al telefono viaggiando in macchina su una strada con tante gallerie, al suo assistente alloglotto.
"Legittimo Interesse" alla cazzo! Usarlo per tutti i dati che il sito cattura è folle. Ci vuole il consenso, ma questo viene chiesto solo per finta e l'informativa non lo cita nemmeno. Inoltre, quando si parla di legittimo interesse non si capisce niente. Il GDPR richiede espressamente che, qualora il trattamento si basi sul legittimo interesse, il titolare debba indicare all'interessato quali siano nello specifico tali legittimi interessi perseguiti. Qui niente, solo una formula generica che impedisce all'utente di comprendere il trattamento e viola il principio di trasparenza. Ecchecazzo!
È fantastico... per chiedere informazioni ho dovuto cliccare una casella per conferire obbligatoriamente un consenso che nell'informativa non c'è. Non so che sostanza sia, ma passatela, per favore.
Il Movimento Consumatori, facendo trattamenti su larga scale, deve avere un DPO e, per questo, sarò molto sintetico, anche per rispetto del collega che dovrà occuparsi della questione che, con tutta evidenza, è completamente sfuggita alla sua attenzione:
| Requisito art. 13 GDPR | C'è? | Note |
| Identità e contatti titolare | Sì | Completa: Movimento Consumatori, indirizzo, CF, tel, email. |
| Eventuale DPO | NO | Stupefacente che non ci sia! |
| Finalità e base giuridica | 'una schifezza | Consenso preteso obbligatoriamente e a vanvera. Finalità (a-b-c-d) con base giuridica (“esecuzione contratto/precontrattuale”) sbagliata! Qui si ci vuole il legittimo interesse. Anche se fosse il contratto sarebbe generica per newsletter/marketing (c); serve separazione con consenso distinto . |
| Categorie dati | in parte | Dati navigazione e forniti volontariamente ok, ma non specifica campi form class action (es. nome, email, dettagli Netflix). |
| Destinatari | NO | “Sedi locali, consulenti” generici; manca indicazione dei Data Processor (art. 28) e mancano tutte le indicazioni evidenziate dall'analisi . |
| Trasferimenti extra-UE | Sì, ma non ci credo | Garanzie Capo V GDPR indicate, ma generiche senza SAE o BCC standard. Inverosimili rispetto alle evidenze dell'analisi. |
| Periodo conservazione | NO | Solo “tempo necessario”; manca policy specifica (es. 10 anni fiscali, durata class action + 5 anni) . |
| Diritti interessati | in parte | Elenca accesso/rettifica ecc. + email, ma manca opposizione marketing, revoca granulare e link Garante |
| Diritto reclamo Garante | in parte | Autorità di controllo” vago; serve www.garanteprivacy.it |
| Obbligatorietà conferimento | paciugato | È espresso in modo contraddittorio. |
| Esistenza decisioni automatizzate | velo pietoso | ci sono ma non sono dichiarate. |
| Data aggiornamento | hem hem | 02/02/2021, obsoleta ad oggi (2026) |
L’informativa è molto “generale” e pensata per il sito del Movimento Consumatori, non spiega affatto il trattamento connesso alla specifica campagna/class action Netflix. Ne deriva una violazione grave della trasparenza e, di riflesso, del principio di "limitazione della finalità" (Art. 5, par. 1, lett. b del GDPR). In un contesto di azione collettiva, l’interessato deve capire chiaramente se i suoi dati serviranno solo per essere ricontattato, per valutare l’adesione, per predisporre atti difensivi o per essere comunicati a legali/consulenti e ad eventuali controinteressati.
Qui si capiscono cose diverse rispetto a quelle che avvengono realmente. Una brutta faccenda, quindi.
Volendo sistemare le cose, io partirei da qui:
- Mancata specificità class action: l'informativa non descrive trattamenti giudiziari (es. comunicazione a giudici/Netflix) né campi form specifici. Bisognerebbe scrivere un'informativa apposta, non riproporre quella standard preparata da chissachi ai tempi di Carlo Cudega
- Base giuridica marketing: newsletter (c) non separata da assistenza; il consenso così acquisito non è valido e i trattamenti illeciti. Che il consenso sia obbligatorio è abominevole.
- Destinatari/Responsabili: elenco generico senza nomi/contratti; violazione art. 28.
- Retention policy: vaga, viola minimizzazione (art. 5).
- Diritti incompleti: no istruzioni dettagliate esercizio/revoca.
- Cookie e tracker da sistemare: social plug-in descritti in modo errato, condividono dati anche senza interazione , manca banner cookie funzionante (ePrivacy + Provv. Garante 2021).
Per ora, provo una grande delusione per un esempio di sciatteria e cialtronaggine ai massimi livelli che coinvolgerà migliaia di persone ignare. Consiglio personale: non compilate quel form. Non serve a niente in questo momento, se non a dare dati personali in mano a data broker. La vicenda andrà avanti e ci saranno diverse modalità per chiedere i rimborsi direttamente a Netflix o aggiungersi alla eventuale class action.
Direi che ne possiamo riparlare dopo il Fix... fix di Netflix e fix della protezione dei dati del Movimento Consumatori.
Ah, dimenticavo, complimenti per la vittoria in tribunale... ma solo per quello, perché il resto fa schifo.
Prosit
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.
Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.
Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è si... allora una birra virtuale è d'obbligo!