Il 20 settembre 2022, l’Avvocato Generale, Athanasios Rantos, ha depositato le proprie conclusioni nell’ambito del procedimento C-525/22 innanzi la Corte di Giustizia Europea.
Il caso nasce dal rinvio pregiudiziale da parte dell’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) nell’ambito del contenzioso tra un’Autorità antitrust tedesca (Bundeskartellamt) e Meta Platforms, già Facebook Inc.
La vicenda offre lo spunto per condurre riflessioni interessanti in materia di protezione dei dati e del suo rapporto con il diritto della concorrenza e del mercato. Infatti, tra le questioni rimesse al giudizio della Corte di Giustizia vi è, inter alia, la competenza dell’autorità garante della concorrenza e del mercato a sindacare in materia di compliance alle previsioni in materia di dati personali.
Indice degli argomenti
Rapporto tra Autorità antitrust e per la protezione dei dati personali
Sul punto, le conclusioni dell’Avvocato Generale sono piuttosto nette e rimarcano la differenza di approccio tra i due settori. Viene infatti chiarito che se rientra nelle competenze proprie delle Autorità per la protezione dei dati personali l’accertamento e l’irrogazione delle sanzioni per le violazioni del GDPR, è altrettanto indubbio che le autorità antitrust, nell’ambito dei procedimenti di loro competenza, possano tenere conto di tutti gli elementi, ivi inclusa la difformità dalle previsioni in materia di protezione dei dati personali, per determinare il carattere anticoncorrenziale di una determinata prassi.
L’Avvocato Generale, infatti, precisa che sebbene “un’autorità garante della concorrenza non sia competente a constatare una violazione del RGPD, quest’ultimo tuttavia non osti, in linea di principio, a che, nell’esercizio delle loro competenze e poteri, autorità diverse dalle autorità di controllo possano tenere conto, in via incidentale, della compatibilità di un comportamento con le disposizioni del RGPD. Ciò vale, a mio avviso, in particolare, per quanto riguarda l’esercizio da parte di un’autorità garante della concorrenza delle competenze che le sono conferite dall’articolo 102 TFUE e dall’articolo 5, primo comma, del regolamento (CE) n. 1/2003 o da qualsiasi altra norma nazionale corrispondente”.
Viene chiarito che l’oggetto dell’indagine delle due Autorità è diverso. Infatti, se l’autorità per la protezione dei dati personali ha l’obiettivo di assicurare la conformità alle previsioni del GDPR, l’autorità Antitrust valuta se la violazione delle norme del GDPR è l’indizio di una concorrenza alterata.
Due competenze diverse ma complementari
L’Avvocato Generale chiarisce che: “Infatti, nell’esercizio delle sue competenze, un’autorità garante della concorrenza deve valutare, in particolare, se il comportamento in esame consista nell’avvalersi di mezzi diversi da quelli da quelli che sono propri di una concorrenza fondata sui meriti, tenuto conto del contesto giuridico ed economico in cui tale comportamento si inserisce.
A tale riguardo, la conformità o non conformità di detto comportamento alle disposizioni del RGPD, non di per sé, bensì alla luce di tutte le circostanze del caso di specie, può costituire un importante indizio per stabilire se siffatto comportamento costituisca un ricorso a mezzi su cui s’impernia la concorrenza normale, restando inteso che il carattere abusivo o non abusivo del comportamento rispetto all’articolo 102 TFUE non risulta dalla sua conformità o meno con il RGPD o con altre norme giuridiche.”
L’Avvocato Generale prosegue la propria conclusione avendo cura di sottolineare come, nel valutare le difformità dalle previsioni in materia di protezione dei dati personali, le Autorità Antitrust debbano tenere in considerazione le posizioni espresse dalle Autorità competenti in materia di protezione dei dati personali. Il riparto di competenze, pertanto, è piuttosto netto tra le due autorità così come l’oggetto di indagine.
Le altre contestazioni a Meta
L’acquisto di dati da fonti esterne
L’analisi delle difformità di comportamenti contestati a Meta Platforms dall’autorità antitrust tedesca, tuttavia, sono interessanti perché vanno ad analizzare l’utilizzo di dati acquisiti da fonti esterne alla piattaforma.
Infatti, Meta, attraverso gli strumenti predisposti per Facebook Business (es. Facebook Pixel) consente di acquisire informazioni sui propri utenti durante la navigazione di questi al di fuori della piattaforma.
Tracciamento per marketing digitale: come avviene e avverrà con i dati di prima parte
In particolare, Facebook fa rientrare l’utilizzo di queste informazioni sull’interessato all’interno della base giuridica del contratto perché ritiene che il loro utilizzo sia fondamentale per erogare il servizio di personalizzazione del feed, ovvero la possibilità di mostrare ai propri utenti solo i contenuti di loro interesse e gradimento.
I dubbi del giudice
Il giudice del rinvio si domanda se tale interpretazione da parte di Meta sia corretta e se invece l’attività, consistente in una profilazione dell’utente, non sia piuttosto da ricondurre alla base giuridica del consenso, in quanto la personalizzazione dei contenuti non è un elemento indispensabile al servizio.
Sul punto, l’Avvocato Generale si limita a ricordare una posizione consolidata delle autorità in materia di protezione dei dati personali, ovvero che nei contratti composti da molteplici servizi, l’essenzialità del trattamento va analizzata in relazione allo specifico servizio.
Pertanto, il giudice del rinvio dovrebbe verificare nel concreto se l’utilizzo dei marcatori di Facebook è un elemento essenziale per l’erogazione dell’apposito servizio di personalizzazione del feed, al fine di considerarlo correttamente inquadrato sotto la base giuridica del contratto o meno.
Il trattamento delle particolari categorie di dati personali
L’autorità Antitrust aveva altresì contestato a Meta che laddove l’interessato navighi su siti relativi a posizioni politiche o orientamenti sessuali, la raccolta di tali informazioni denoterebbe un trattamento di particolari categorie di dati personali che, tuttavia, non ammette il contratto tra le condizioni di liceità del trattamento.
Il nodo delle opinioni politiche
Sul punto, l’Avvocato Generale nelle sue conclusioni sottolinea che la mera consultazione di pagine relative ad argomenti “sensibili” come le opinioni politiche o le preferenze sessuali non determina di per sé un trattamento di dati sensibili in quanto può essere indice di un mero interesse della persona ma non necessariamente di una sua caratteristica.
Tuttavia, precisa altresì che, nel momento in cui la piattaforma aggrega tali informazioni di navigazione con quelle già presenti all’interno del profilo dell’interessato e le categorizza, allora si ha un trattamento di dati particolari del quale bisogna verificare l’individuazione della corretta base giuridica del trattamento.
Rischio significativo se i dati sono aggregati
Infatti, viene altresì precisato che l’eventuale aggregazione e categorizzazione di tali informazioni nel profilo dell’interessato è indipendente dalla veridicità o dalla correttezza della categorizzazione. “Ciò che conta è la possibilità che una categorizzazione siffatta crei un rischio significativo per i diritti e le libertà fondamentali dell’interessato, come ricordato al considerando 51 del RGPD, possibilità che è indipendente dalla sua veridicità”.
Persino l’utilizzo della giustificazione dell’utilizzo di dati manifestamente pubblici, invocata da Meta al fine di giustificare il trattamento delle particolari categorie di dati personali, è un elemento da valutare nel concreto da parte del giudice del rinvio perché la natura di dato “manifestamente pubblico” è da verificare caso per caso alla luce di ciò che un utente medio può ragionevolmente attendersi durante la navigazione sul sito con il contenuto “sensibile”, andando ad accertare se è ragionevole che si attenda che i suoi dati siano raccolti, condivisi e aggregati all’interno del suo profilo da parte di soggetti terzi.
La validità del consenso e l’abuso di posizione dominante
Da ultimo, di sicuro interesse è la valutazione sulla validità del consenso in una situazione di posizione dominante. L’autorità antitrust sostiene che l’eventuale consenso prestato dagli utenti della piattaforma non possa essere considerato validamente espresso, alla luce della posizione dominante che la piattaforma ha sul mercato, mutuando riflessioni sulla libertà del consenso da altri ordinamenti in cui vi è uno squilibrio di poteri tra le parti.
Un esempio: lavoratore e datore di lavoro per cui vi è una presunzione di invalidità, ma si possono richiamare anche le posizioni sullo squilibrio tra consumatore e produttore in relazione alle clausole vessatorie, per le quali è appunto richiesta la doppia sottoscrizione come strumento correttivo dello squilibrio di potere.
Tutela dei dati personali e altri diritti: ecco perché servono contemperamento ed equilibrio
L’Avvocato Generale sottolinea che: “la sola circostanza che l’impresa che gestisce una rete sociale goda di una posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati non può, di per sé, privare il consenso dell’utente di tale rete al trattamento dei suoi dati personali della sua validità a norma dell’articolo 4, paragrafo 11, del suddetto regolamento.
Siffatta circostanza svolge tuttavia un ruolo nella valutazione della libertà del consenso ai sensi di tale disposizione – la cui dimostrazione incombe al titolare del trattamento – tenendo conto, se del caso, dell’esistenza di un evidente squilibrio di potere tra l’interessato e il titolare del trattamento, dell’eventuale obbligo di acconsentire al trattamento di dati personali diversi da quelli strettamente necessari per l’erogazione dei servizi di cui trattasi, della necessità che il consenso sia specifico per ciascuna finalità del trattamento e della necessità di evitare che la revoca del consenso da parte dell’utente causi a quest’ultimo un pregiudizio”.
Conclusioni
L’Avvocato Generale, in altre parole, riconosce l’autonomia delle parti ed in particolare sottolinea la possibilità per l’utente di esprimere validamente un consenso in relazione al trattamento dei propri dati personali da parte della piattaforma, ancorché questa sia in posizione dominante.
Al tempo stesso, la piattaforma può legittimamente fondare i propri trattamenti sul consenso dell’interessato e ciò rientra tra le libertà riconosciute dal Regolamento al Titolare.
Dimostrare di avere avuto il consenso al trattamento dei dati
Tale libertà, in attuazione dei principi del trattamento, si concretizzerà nella necessità di comprovare di aver validamente acquisito il consenso con tutti i requisiti di cui all’art. 7 GDPR.
Di conseguenza, l’invalidità del consenso determinerà un trattamento illegittimo di dati personali e, come tale, sanzionabile ai sensi dell’art. 83 par. 5 GDPR. Inoltre, laddove tale trattamento illegittimo abbia un’incidenza tale da alterare il mercato e determinare un abuso di posizione dominante, allora, avrà una propria rilevanza ai sensi dell’art. 102 TFUE.
Quando l’uso illecito dei dati determina un comportamento anticoncorrenziale
Occorre chiarire che, seguendo il ragionamento dell’Avvocato Generale, ciò che verrebbe sanzionato da parte dell’Autorità Antitrust non sarebbe il trattamento illecito (di competenza delle autorità per la protezione dei dati personali), bensì il comportamento anticoncorrenziale perpetrato attraverso un trattamento illecito di dati personali.
La compliance normativa, infatti, è un elemento cardine del mercato unico: lo si vede in materia di sicurezza dei prodotti e nel mercato digitale lo si vede con la richiesta di conformità alle norme in materia di protezione dei dati personali.
