SOMMARIO: 1. Massima. 2. Antefatto della causa. 3. Le motivazioni della pronuncia della Corte di giustizia.
Massima
Un’autorità nazionale garante della concorrenza può constatare, nell’ambito dell’esame di un abuso di posizione dominante, una violazione del RGPD. Essendo tenuta al rispetto del principio di leale cooperazione, essa deve tuttavia prendere in considerazione qualsiasi decisione o indagine dell’autorità di controllo competente in forza di tale regolamento.
Antefatto della causa
Meta Platforms Ireland gestisce l’offerta del social network online Facebook nell’Unione Europea. Gli utenti che si registrano su Facebook accettano le condizioni generali stabilite da questa società, inclusa la politica sulla privacy e l’uso dei cookie. In base a queste condizioni, Meta Platforms Ireland raccoglie dati sulle attività degli utenti sia all’interno che all’esterno del social network e li associa agli account Facebook degli utenti stessi. Questi dati, noti anche come “dati off Facebook”, includono informazioni sulla navigazione su siti web e app di terze parti, nonché sull’uso di altri servizi online di Meta, come Instagram e WhatsApp. Questi dati vengono utilizzati per personalizzare gli annunci pubblicitari rivolti agli utenti di Facebook.
L’autorità federale tedesca responsabile della concorrenza, il Bundeskartellamt, ha emesso un divieto, in particolare, di condizionare l’uso del social network Facebook da parte degli utenti privati residenti in Germania al consenso per il trattamento dei loro ‘dati off Facebook’ e di procedere a tale trattamento senza il loro esplicito consenso. Tale decisione è stata motivata dal fatto che questo trattamento non era conforme al Regolamento Generale sulla Protezione dei Dati (RGPD) e costituiva un abuso della posizione dominante di Meta Platforms Ireland sul mercato tedesco dei social network online.
In risposta a un ricorso contro questa decisione, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha chiesto alla Corte di giustizia se le autorità nazionali responsabili della concorrenza possano verificare la conformità di un trattamento dei dati ai requisiti stabiliti dal RGPD. Inoltre, il giudice tedesco ha chiesto chiarimenti sull’interpretazione e sull’applicazione di alcune disposizioni del RGPD riguardo al trattamento dei dati da parte di un operatore di un social network online.
Le motivazioni della pronuncia della Corte di giustizia
La Corte di giustizia ha osservato che, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, è potuto risultare necessario che l’autorità garante della concorrenza dello Stato membro interessato abbia esaminato anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme previste dal RGPD. Tuttavia, nel caso in cui questa autorità nazionale di controllo della concorrenza riscontri una violazione del RGPD, essa non deve assumere il ruolo delle autorità di controllo previste dallo stesso regolamento. In altre parole, la valutazione della conformità al RGPD è limitata a verificare se esista un abuso di posizione dominante e a imporre le misure necessarie per porvi fine, in conformità con le leggi sulla concorrenza.
Al fine di garantire un’applicazione coerente del RGPD, le autorità nazionali garanti della concorrenza sono tenute a cooperare lealmente con le autorità che garantiscono il rispetto di detto regolamento. In particolare, se un’autorità nazionale di controllo della concorrenza ritiene che sia necessario valutare se il comportamento di un’azienda sia conforme alle disposizioni del RGPD, deve prima verificare se tale comportamento o uno simile sia già stato oggetto di una decisione da parte dell’autorità di controllo competente o della Corte di giustizia. In caso affermativo, essa non può discostarsi da questa decisione, ma ha comunque la libertà di trarre le proprie conclusioni riguardo all’applicazione delle leggi sulla concorrenza.
In aggiunta, la Corte di giustizia ha sottolineato che il trattamento dei dati effettuato da Meta Platforms Ireland sembra coinvolgere anche categorie particolari di dati che potrebbero rivelare informazioni quali l’origine razziale o etnica, le opinioni politiche, le credenze religiose o l’orientamento sessuale. Questo tipo di trattamento è, in linea di principio, proibito dal RGPD. Sarà quindi compito del tribunale nazionale determinare se alcuni dei dati raccolti effettivamente rivelino tali informazioni, indipendentemente dal fatto che tali dati si riferiscano a un utente del social network in questione o a qualsiasi altra persona fisica.
Per quanto riguarda la questione se il trattamento di tali dati “sensibili” sia eccezionalmente consentito in virtù del fatto che sono stati manifestamente resi pubblici dalla persona interessata, la Corte di giustizia ha sottolineato che il semplice fatto che un utente visiti siti web o utilizzi applicazioni che potrebbero rivelare tali informazioni non significa necessariamente che l’utente abbia reso manifestamente pubblici i propri dati, secondo quanto previsto dal RGPD. Inoltre, lo stesso principio si applica quando un utente inserisce dati in tali siti o applicazioni o attiva pulsanti di condivisione integrati, a meno che l’utente non abbia espresso esplicitamente in anticipo la sua volontà di rendere i propri dati accessibili pubblicamente a un pubblico illimitato.
In merito al trattamento effettuato da Meta Platforms Ireland, compreso quello dei dati “non sensibili”, la Corte di giustizia ha esaminato se questo rientri nelle giustificazioni previste dal RGPD che consentono di rendere legale un trattamento di dati senza il consenso dell’interessato. In questo contesto, la Corte di giustizia ha ritenuto che la necessità di eseguire un contratto in cui l’interessato è coinvolto possa giustificare questo tipo di trattamento solo se è dimostrato che il trattamento dei dati è essenziale e indispensabile per il raggiungimento dell’obiettivo principale del contratto, al punto che senza questo trattamento il contratto stesso non potrebbe essere realizzato. Tuttavia, la Corte di giustizia ha espresso dei dubbi sulla possibilità che la personalizzazione dei contenuti o l’uso uniforme e fluido dei servizi offerti da Meta possano soddisfare tali criteri. Inoltre, la Corte di giustizia ha ritenuto che la personalizzazione della pubblicità utilizzata per finanziare il social network online Facebook non possa giustificare il trattamento dei dati in questione come un legittimo interesse da parte di Meta Platforms Ireland senza il consenso dell’interessato.
Infine, la Corte di giustizia ha notato che il fatto che l’operatore di un social network online abbia una posizione dominante sul mercato non impedisce in sé agli utenti di tale social network di fornire un valido consenso ai sensi del RGPD per il trattamento dei loro dati da parte di tale operatore. Tuttavia, poiché questa posizione di dominio potrebbe influenzare la libertà di scelta degli utenti e creare uno squilibrio evidente tra loro e l’operatore che effettua il trattamento, questo diventa un elemento rilevante nella determinazione della validità e, in particolare, della libertà del consenso prestato. È responsabilità dell’operatore dimostrare questa circostanza.