E AUTORITA’ DELLA CONCORRENZA POSSONO VALUTARE LA CONFORMITA’ AL GDPR DI UN TRATTAMENTO DEI DATI PERSONALI NELL’AMBITO DELLA LORO ATTIVITA’ DI ANTITRUST ENFORCEMENT?

Nelle sue conclusioni presentate il 20 settembre 2022, l’Avvocato Generale Athanasios Ranthos, in merito alla causa C-252/21, ha proposto alla Corte di Giustizia dell’Unione Europea di ritenere compatibile con gli articoli 51 e seguenti del Regolamento (UE) 2016/679 (“GDPR”) il fatto che un’autorità garante della concorrenza di uno Stato membro valuti, nell’esercizio delle proprie competenze, la conformità di una pratica commerciale che implichi un trattamento di dati personali con le norme del GDPR.

Nel caso all’origine del rinvio pregiudiziale alla CGUE, l’autorità federale tedesca della concorrenza, il Bundeskartellamt (BKartA), aveva ritenuto in violazione del GDPR il trattamento dei dati personali effettuato da Meta Platform secondo le condizioni d’uso previste dalla stessa per l’utilizzo di Facebook Infatti, gli utenti, quando si iscrivono al social network, devono accettare condizioni d’uso che permettono a Meta di raccogliere dati personali anche da altri servizi della società, da applicazioni di terzi e da altri siti internet. Ciò è reso possibile tramite l’integrazione di interfacce nei siti e tramite l’utilizzo, sul computer o sul dispositivo mobile dell’utente, di cookies e tecnologie di memorizzazione simili. Nella sua decisione, l’autorità garante della concorrenza tedesca ha giudicato, però, tale modalità di raccolta, e di utilizzo, dei dati personali da parte di Meta una violazione dei principi del GDPR sul trattamento dei dati sensibili e ha imposto misure dirette alla cessazione di tali attività, considerando tale violazione rilevante anche come manifestazione di abuso di posizione dominante. Infatti, secondo il BkartA, per valutare il comportamento di un’impresa, e giudicarlo eventualmente una manifestazione di abuso di posizione dominante ai sensi della legge tedesca sulla concorrenza, è necessario considerare anche le condizioni di trattamento dei dati applicati dall’impresa stessa. In questo caso proprio il fatto che Meta abbia potuto imporre certi termini e condizioni agli utenti per l’utilizzo di Facebook in maniera non conforme alle norme del GDPR rappresenta una manifestazione di abuso della posizione di potere dell’impresa.
Nell’affermare ciò, il BKartA ha richiamato due precedenti, il caso VBL-Gegenwert e il caso Pechstein, in cui la Corte di giustizia federale ha giudicato manifestazioni di abuso di posizione dominante comportamenti che violavano, in un caso, il codice civile tedesco, e nell’altro, le norme costituzionali. In particolare, nel secondo caso, la Corte ha affermato che è necessario applicare le norme sulla concorrenza quando un’impresa dominante ha il potere di incidere suidiritti costituzionali della controparte in virtù della propria posizione nel mercato. Secondo il BKartA, questoprincipio, quindi, può essere applicato anche al caso in oggetto in cui ad essere violate sono le norme del GDPR. Infatti, lo scopo di tale Regolamento è proprio quello di evitare che si creino asimmetrie di potere garantendo un bilanciamento di interessi tra gli individui e i titolari del trattamento.

Successivamente, la società Meta ha impugnato la decisione del BKartA, affermando che la valutazione compiuta dall’Autorità non fosse ammissibile, perché aveva implicato l’applicazione del GDPR da parte di un soggetto (l’autorità della concorrenza) diverso da quello competente a norma di legge (l’autorità per la tutela dei dati personali). La Corte tedesca investita dell’impugnazione di Meta ha, quindi, proposto domanda pregiudiziale alla Corte di Giustizia chiedendo alla stessa di pronunciarsi in merito a tale questione e, in particolare, di valutare se l’autorità garante della concorrenza possa compiere accertamenti in merito alla conformità con il GDPR delle condizioni per il trattamento dei dati personali anche quando, ai sensi dell’art. 56 par.1 del Regolamento in questione, l’autorità di controllo competente abbia avviato a sua volta un’indagine sulle stesse.

Alla data di questo articolo la Corte di Giustizia non si è pronunciata in merito alla questione pregiudiziale ma, come anticipato, l’AG Ranthos nelle sue conclusioni ha valutato che, nel caso in oggetto, la decisione del BKartA sia conforme alle norme del GDPR. Secondo l’AG, infatti, anche se un’autorità della concorrenza di uno Stato membro non è competente ad accertare una violazione del GDPR, tuttavia può constatare l’incompatibilità di una prassi commerciale con tale Regolamento nell’esercizio delle proprie competenze. La decisione dell’autorità della concorrenza secondo questa impostazione sarebbe ammissibile tuttavia solo a titolo incidentale, nella misura in cui la circostanza che una prassi sia conforme al GDPR può costituire un elemento rilevante per stabilire se una pratica commerciale violi le regole della concorrenza. Premesso ciò, l’autorità garante della concorrenza deve comunque rispettare i poteri e le competenze dell’autorità di controllo e ciò comporta che essa debba informare l’autorità di controllo in caso di informazioni pertinenti, debba tener conto di qualsiasi sua indagine e decisione e debba consultarsi con essa quando necessario.

L’impostazione dell’Avvocato Generale appare condivisibile, in considerazione del fatto che, tra l’altro, la stessa Autorità della concorrenza italiana, negli ambiti di sua competenza, ha già in più occasioni valutato incidentalmente la conformità al GDPR di determinate condotte sul mercato, anche in materia di pratiche commerciali scorrette nei confronti dei consumatori. Inoltre, nell’ambito dei casi antitrust, in mercati basati sul trattamento di enormi quantità di dati personali, appare inevitabile che l’eventuale abuso di mercato debba essere letto anche attraverso la valutazione della conformità della condotta sotto esame al GDPR. L’eventuale difformità può infatti essa stessa diventare indice di un comportamento distorsivo, sotto forma di abuso di posizione dominante.