Raccogliere dati da Facebook senza suo consenso: è illecito?

Capita talora che Facebook (poi: F.) , invece che essere convenuta, sia attore: e cioè che, oltre a raccogliere dati dagli utenti, a sua volta subisca raccolte di dati dei sui utenti da un concorrente (c.d. data scraping e cioè raccolte massive ed automatizzate di dati).

La corte del Northern District della Californa ha deciso in via cautelare (temporary restraining order : “TRO”) la lite tra F. e Brandtotal ltd (poi: Br.) (US Nort. D. of California, 9 novembre 2020, Facebook v. Brandtotal, Case No.20-cv-07182-JCS).

Br. induceva i clienti ad installare due proprie estensioni scaricate da Google Store (UpVoice + AdsFeed) , con le quali raccoglieva molti loro dati su F. e su Instragram, nonostante misure adottate da F. per contrastare il fenomeno, p. 2..

Accortasene, F. disattivava sulla propria piattaforma gli account di Br.

Precisamente, secondo F., Br. faceva questo:

<< Once installed by the users . . . [BrandTotal] used the users’ browsers as a proxy to access Facebook computers, without Facebook’s authorization, meanwhile pretending to be a legitimate Facebook or Instagram user. The malicious extensions contained JavaScript files designed to web scrape the user’s profile information, user advertisement interest information, and advertisements and advertising metrics from ads appearing on a user’s account, while the user visited the Facebook or Instagram websites. The data scraped by [BrandTotal] included both public and non-publicly viewable data about the users.  [BrandTotal’s] malicious extensions were designed to web scrape Facebook and Instagram user profile information, regardless of the account’s privacy settings. The malicious extensions were programmed to send unauthorized, automated commands to Facebook and Instagram servers purporting to originate from the user (instead of [BrandTotal]), web scrape the information, and send the scraped data to the user’s computer, and then to servers that [BrandTotal] controlled >>, p. 3

Per precisazioni sulla parte in fatto, v.  Introduction, p. 1 ss e Background.  II, p. 2 ss.

I claims di F. sono: <<(1) breach of contract, based on the Facebook Network and Instagram terms of service, id. ¶¶ 67–73; (2) unjust enrichment, id. ¶¶ 74–80;
(3) unauthorized access in violation of the CFAA,
id. ¶¶ 81–86; (4) unauthorized access in violation of California Penal Code § 502, id. ¶¶ 87–95; (5) interference with contractual relations by inducing Facebook’s users to share their login credentials with BrandTotal, in violation of Facebook’s terms of service, id. ¶¶ 96–102; and (6) unlawful, unfair, or fraudulent business practices in violation of California’s Unfair Competition Law, Cal. Bus. & Prof. Code § 17200 (the “UCL”), Compl. ¶¶ 103–10. Facebook seeks both injunctive and compensatory relief. See id.
at 21–22, ¶¶ (a)–(h) (Prayer for Relief)>>, p. 5

Quelli di Br. sono:  <<(1) intentional interference with contract, based on contracts with its corporate customers, id. ¶¶ 32–41; (2) intentional interference with prospective economic advantage, id. ¶¶ 42–48; (3) unlawful, unfair, and fraudulent conduct in violation of the UCL, id. ¶¶ 49–63; and (4) declaratory judgment that BrandTotal has not breached any contract with Facebook because its access “has never been unlawful, misleading, or fraudulent,” because its products “have never impaired the proper working appearance or the intended operation of any Facebook product” or “accessed any Facebook product using automated means,” and because the individual users own the information at issue and have the right to decide whether to share it with BrandTotal, id. ¶¶ 64–73. BrandTotal seeks both injunctive and compensatory relief>>, p. 6/7.

La parte interessante è sub III, Analysis.

Qui , sub B a p. 12 ss , si espone che Br. ha invocato un precedente del 2019 hiQ Labs v. Linkedin in cui hiQLabs ottenne una riammissione ai servizi di Linkedin, pur avendo raccolto senza autorizzazione i dati dei suoi utenti. Solo che , fa notare il giudice, ci sono differenze sostanziali : i) mentre i dati di L. sono pubblici, quelli raccolti tramite F. sono invece largamente non pubblici (p. 22); ii) per questo l’interesse di F. al controllo dei dati è assai maggiore di quello di L., dato che molti sono ad accesso ristretto, p. 23.

Inoltre Br. non ha provato l’ irreparable harm per ottenere l’inibitoria della rimozione /disattivazione, p. 15 ss e 19-20.

Poi il giudice passa ad esaminare il likelihood of success (fumus boni iuris), p. 20 ss. Da un lato Br. non ha provato l’elemento soggettivo e cioè la consapevoelzza di F. che così facendo andava ad alterare il rapporto contratttuale tra Br e i suoi clienti, p. 21. Dall’altro c’è un serio interesse commerciale di F nell’ impedire l’accesso ai dati da parte di Br., p. 24 righe 18-22 e p. 26 righe 8-12.

Si aggiunge però che F. potrebbe aver agito così anche per impedire la sopravvivenza di (o comunque per danneggiare) un concorrente potenzialmente fastidioso nel mercato dell’advertising analytics: ciò dunque potrebbe far pendere la bilancia verso Br. per ragioni proconcorrenziali, p. 26.

Le ragioni proconcorrenziali sollevate da Br., però, sono serie ma non sufficienti: <The Court concludes that BrandTotal has raised serious questions as to the merits of this claim, but on the current record, it has not established a likelihood of success>, P. 26.

Complessivamente dunque , il bilanciamento equitativo delle pretese opposte (balancing of equities)  in relazione al danno per le parti porterebbe a far prevalere Br, p. 30-31,

Tenendo però conto di ragioni di public interest, la pretesa di inibitoria di Br verso F. va respinta, p. 31-34:  < BrandTotal has shown a risk of irreparable harm in the absence of relief, serious issues going to the merits of its claims, and a balance of hardships that tips in its favor, perhaps sharply so. The public interest, however, weighs against granting the relief that BrandTotal seeks >, p. 34