Meta: La CGUE conferma che la valutazione dell’abuso di posizione dominante di un’impresa può prendere in considerazione le violazioni delle leggi sulla protezione dei dati personali

di Pasquale Dambrosio

Con sentenza del 4 Luglio 2023, la CGUE riunita in Grande Sezione nella causa C- C‐252/21 Meta Platforms Inc. and Ors v Bundeskartellamt ha stabilito che nell’ ambito dell’esame di un caso di abuso dominante, l’autorità nazionale garante della concorrenza può esaminare la conformità del comportamento di detta impresa a norme diverse da quelle rientranti nell’ambito del diritto della concorrenza come le norme stabilite dal GDPR.

Meta Platforms Inc. (“Meta”) è titolare del social network online Facebook. All’atto di registrazione gli utenti accettano le condizioni stabilite dal social network. Oltre ai dati che tali utenti forniscono, Meta raccoglie anche i dati riferiti alle attività di detti utenti all’interno e all’esterno del social network e li collega con gli account Facebook degli utenti interessati al fine di creare messaggi personalizzati.

Con decisione del 6 febbraio 2019, il Bundeskartellamt aveva vietato a Meta di subordinare nelle condizioni generali l’uso del social network Facebook da parte di utenti privati residenti in Germania al trattamento dei loro dati off Facebook e, dall’altro, di procedere, senza il loro consenso, al trattamento di tali dati. Secondo l’autorità federale tedesca il trattamento dei dati in questione non sarebbe stato conforme al GDPR e avrebbe costituito uno sfruttamento abusivo della posizione dominante di Meta nel territorio tedesco.

Meta ha presentato un ricorso dinanzi all’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) contestando la possibilità per le autorità garanti della concorrenza di verificare la conformità di un trattamento di dati personali ai requisiti stabiliti nel GDPR. Il Tribunale superiore del Land, Düsseldorf, ha  deciso di sospendere il procedimento e di sottoporre alla CGUE alcune questioni pregiudiziali, tra cui le più rilevanti:

  1. i) se sia compatibile con gli artt. 51 e ss. del GDPR il fatto che un’autorità diversa da quella competente a garantire un controllo sulla liceità e correttezza dei trattamenti di dati personali constati, nell’ambito dell’esercizio di un controllo degli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali applicate da un operatore violano il GDPR e disponga di porre fine a tale violazione;
  2. ii) se Meta possa invocare, quali basi giuridiche per raccogliere dati generati da altri servizi propri del gruppo Meta, oppure da siti e app di terzi, per poi collegarli all’account Facebook.com dell’utente, la necessità per l’esecuzione di un contratto ai sensi dell’art. 6, par. 1, lett. b), del GDPR, o la tutela di legittimi interessi di cui all’art. 6, par. 1, lett. f), del GDPR;

iii)     se nei confronti di un’impresa in posizione dominante sul mercato come Meta sia possibile esprimere un consenso valido, e in particolare libero, in conformità al GDPR.

In tale contesto, la CGUE ha chiarito che le autorità garanti della concorrenza devono cooperare lealmente con le autorità nazionali di controllo interessate. Ciò implica che qualora nell’ambito dell’esame diretto a constatare un abuso di posizione dominante da parte di un’impresa, un’autorità nazionale garante della concorrenza ritenga che sia necessario esaminare la conformità di un comportamento di tale impresa alle disposizioni del GDPR, detta autorità deve verificare se tale comportamento sia già stato oggetto di una decisione da parte dell’autorità nazionale di controllo competente, restando libera di trarre le proprie conclusioni sotto il profilo dell’applicazione del diritto di concorrenza.

Laddove in capo a detta autorità sorgano dubbi, o, in assenza di un’indagine da parte dell’autorità competente, ritenga che un comportamento di un’impresa non sia conforme alle disposizioni in materia GDPR, l’autorità nazionale garante della concorrenza deve consultare tali autorità e chiederne la cooperazione. In assenza di obiezioni o di risposta di queste ultime entro un termine ragionevole, l’autorità nazionale garante della concorrenza potrà proseguire la propria indagine.

La Corte precisa che nel caso in cui un utente di un social network online consulti siti internet o applicazioni relative a una o più di tali categorie e, se del caso, vi inserisca dati iscrivendosi o effettuando ordini online, il trattamento di dati personali da parte dell’operatore di tale social network online debba essere considerato un trattamento di categorie particolari di dati personali, ai sensi dell’articolo 9, paragrafo 1, del GDPR. Tale tipo di trattamento è vietato, salvo talune deroghe previste da detto articolo.

Un utente di un social network nel momento in cui visita siti internet non rende manifestamente pubblici i dati relativi a tale consultazione. Inoltre, quando inserisce dati in tali siti internet o applicazioni rende manifestamente pubblici i dati così inseriti o risultanti dall’attivazione di tali pulsanti soltanto se abbia esplicitamente espresso preliminarmente la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili.

Circa i presupposti di liceità di un trattamento di dati personali, la Corte ha chiarito che, in forza del GDPR, il trattamento di dati è lecito se, e nella misura in cui, l’interessato vi ha acconsentito per una o più finalità specifiche.

Secondo la Corte il trattamento di dati può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi solo a condizione che l’operatore abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento e che tale trattamento sia effettuato entro i limiti di quanto necessario alla realizzazione di tale legittimo interesse.

La Corte ha rilevato che il trattamento di dati di cui trattasi è giustificato allorché è effettivamente necessario per adempiere un obbligo legale al quale il titolare del trattamento è soggetto, in forza di una disposizione del diritto dell’Unione o del diritto dello Stato membro interessato.

Riguardo alla validità del consenso degli utenti interessati dal trattamento dei loro dati in forza del GDPR, la Corte precisa che la circostanza che l’operatore di un social network online occupi una posizione dominante sul relativo mercato rilevante non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire al trattamento dei loro dati personali effettuato da tale operatore. Circostanza che spetta al medesimo operatore dimostrare.

In particolare, gli utenti del social network in questione devono disporre della libertà di rifiutare individualmente, nell’ambito della procedura contrattuale, di prestare il loro consenso a operazioni particolari di trattamento di dati non necessarie all’esecuzione del contratto, senza essere per questo tenuti a rinunciare integralmente alla fruizione di detto social network online. Infine, deve essere possibile fornire un consenso distinto per il trattamento dei dati off Facebook.