Il recente caso Meta: le autorità garanti della concorrenza possono constatare la violazione del GDPR e la base giuridica del trattamento di dati personali per l’esecuzione del contratto deve essere interpretata restrittivamente.
Lo scorso 4 luglio 2023 la Corte di Giustizia dell’Unione Europea (CGUE) ha pronunciato sentenza (C-252/21) sulle questioni sollevate dal Tribunale superiore del Land di Düsseldorf con rinvio pregiudiziale del 24 marzo 2021. Il giudice nazionale ha chiesto alla CGUE di chiarire se l’autorità federale garante della concorrenza possa constatare la violazione di un trattamento dei dati personali − e dunque delle disposizioni contenute nel Regolamento UE 2016/679 (GDPR) − quando tale constatazione, emergendo incidentalmente nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, si ponga come condizione necessaria per l’accertamento della condotta anti-competitiva. Lo stesso giudice tedesco ha domandato alla CGUE di definire i limiti alla utilizzabilità delle basi giuridiche previste dagli artt. 6, paragrafo 1, lettera a) e 9, paragrafo 2, lettera a) GDPR (segnatamente il consenso), allorché le medesime siano poste alla base di trattamenti di dati personali, sensibili e non, relativi ad attività condotte dai clienti dell’impresa (nel caso di specie Facebook) all’esterno del proprio profilo Facebook (“dati off Facebook”), ossia durante le attività di consultazione di siti internet o applicazioni appartenenti, indifferentemente, alla stessa impresa ovvero a terzi − si tratta di dati che l’impresa mette in relazione ai profili Facebook dei clienti per fini di customizzazione −. Ancora, alla CGUE è stato chiesto di stabilire se sia valido il consenso prestato, per il trattamento dei dati personali, ad un’impresa (come Facebook) che detiene una posizione dominante sul mercato.
Fatti
Il rinvio pregiudiziale operato dal Tribunale superiore del Land di Düsseldorf scaturiva da una controversia tra l’autorità garante della concorrenza tedesca (Bundeskartellamt) e Meta Platforms, Meta Platforms Ireland e Facebook Deutschland (da qui in avanti “Meta”). In particolare, l’autorità tedesca vietava a Meta di subordinare l’utilizzo del social network Facebook, da parte dei cittadini tedeschi, al trattamento dei loro dati personali raccolti al di fuori di Facebook e di processare tali dati senza il consenso degli interessati.
Come noto, Meta raccoglie i dati degli utenti sia all’interno che all’esterno di Facebook (“dati off Facebook”), attingendo ora dalle informazioni generate dagli interessati attraverso l’utilizzo di altre applicazioni possedute dalla società (es. Instagram o Whatsapp), e ora da applicazioni o siti appartenenti a terzi ma “collegate” a Meta per mezzo degli “strumenti business” di cui la stessa si avvale. In questo modo Meta può incrociare questi dati “esterni” con quelli “interni”, relativi all’utilizzo di Facebook, essendo così in grado di personalizzare i messaggi pubblicitari da indirizzare agli utenti e sostenere il proprio business model.
Il Bundeskartellamt ha motivato la propria decisione ritenendo che la pratica oggetto del divieto si ponesse in contrasto con il GDPR, e per questa via costituisse un abuso della posizione dominante di Meta sul mercato tedesco dei social network – si potrebbe parlare di una violazione della concorrenza “mediata” dal mancato rispetto delle regole previste dal GDPR –
La CGUE, il rapporto garante della concorrenza – GDPR
Ha ritenuto in primis che, sebbene né il GDPR né altri strumenti di diritto UE stabiliscano espressamente che un’autorità garante della concorrenza possa valutare, nell’ambito del controllo relativo all’abuso di posizione dominante di un’impresa, la conformità del trattamento di dati personali al GDPR, ciò nondimeno ha stabilito che l’art. 4, paragrafo 3, TUE, in nome del principio di leale collaborazione che deve informare i rapporti tra autorità nazionali, legittima una simile valutazione. Tuttavia, l’autorità garante della concorrenza non può sostituirsi alla competente autorità garante della privacy, dovendo andare a verificare se la condotta contraria al GDPR sia già stata oggetto di una decisione da parte del garante stesso o della CGUE, non potendosene in tal caso discostare. In ogni caso, la decisone dell’autorità garante della concorrenza rispetto al trattamento dei dati personali deve limitarsi a quanto necessario ai fini della risoluzione della questione relativa all’abuso di posizione dominante.
Trattamento di dati sensibili
Inoltre, i Giudici di Lussemburgo svolgono una considerazione sul trattamento, da parte di Meta, di dati personali rientranti nell’ambito dell’art. 9 GDPR (“dati sensibili”). In particolare, la Corte ragiona sul fatto che, qualora questi dati siano raccolti off Facebook e messi in correlazione ai dati relativi all’utilizzo di Facebook, un simile trattamento debba considerarsi a tutti gli effetti un trattamento di sati sensibili, il quale, salve le deroghe di cui all’art. 9 paragrafo 2 GDPR, è di regola vietato.
Continua la Corte stabilendo che, il solo fatto che l’utente abbia inserito propri dati sensibili in siti o applicazioni off Facebook, non comporta un’automatica ricaduta all’interno della eccezione di cui all’art. 9, paragrafo 2, lettera e) del GDPR. In altri termini, l’utente non rende quei dati manifestamente pubblici a meno che ciò non sia stato il frutto di una sua esplicita scelta, fatta con piena cognizione di causa e, se del caso, attraverso impostazioni individualizzate che gli consentano di limitare la condivisione di quelle informazioni con un numero limitato di persone.
Trattamento di dati non sensibili, esecuzione di un contratto e legittimo interesse del titolare
Invece, per quanto riguarda il trattamento di dati non sensibili (art. 6 GDPR) la CGUE esamina i limiti di utilizzo delle diverse basi giuridiche di cui alla disposizione. Ai fini del presente contributo, ci limiteremo ad una breve disamina del ragionamento svolto dalla Corte in merito alla giustificazione di cui all’art. 6, paragrafo 1, lettera b) e f) (ovvero l’esecuzione di un contratto e il legittimo interesse del titolare).
Ebbene, la Corte ribadisce il consolidato orientamento per cui il trattamento può essere sorretto dalla giustificazione dell’esecuzione contrattuale solo se esso sia indispensabile alla realizzazione dell’oggetto del contratto, ovvero, al contrario, se in mancanza del trattamento non sarebbe in alcun modo possibile eseguire l’accordo intercorrente tra interessato e titolare.
La raccolta di dati off Facebook per fini di personalizzazione dei contenuti da mostrare all’utente all’interno del proprio profilo Facebook, non può essere, in linea di massima, giustificata avvalendosi della base giuridica in questione. Infatti, la CGUE dubita che la personalizzazione dei contenuti sia necessaria per offrire all’utente la possibilità di utilizzare il social network o comunque di poter beneficiare del proprio profilo Facebook, che a ben vedere costituisce l’oggetto principale del contratto.
Relativamente invece alla giustificazione del legittimo interesse la Corte precisa che questo non possa essere invocato quale base legittimante un trattamento di dati personali per il solo fatto che, ferma la competenza a valutare il caso singolo da parte del Giudice nazionale, la personalizzazione dei contenuti e delle pubblicità da mostrare agli utenti Facebook costituisca il business model della società.
Sebbene il considerando 47 del GDPR specifichi che un trattamento di dati personali per finalità di marketing diretto possa essere considerato come svolto per perseguire il legittimo interesse del titolare, è comunque necessario che, da un lato, i diritti fondamentali dell’interessato non prevalgano, nel caso concreto, sull’interesse del titolare, e dall’altro che l’interessato, considerati i rapporti col titolare, possa ragionevolmente aspettarsi che il titolare tratti i suoi dati personali, in assenza della manifestazione del consenso, per fini di personalizzazione della pubblicità.
Ebbene, la CGUE afferma che l’utente di Facebook non nutra l’aspettativa a che il titolare tratti i suoi dati per fini di personalizzazione della pubblicità da indirizzargli, concludendo che l’interesse legittimo di Meta, così tradotto, soccomba rispetto ai diritti fondamentali dell’interessato.
In altre parole, incrociare i dati off Facebook con quelli “interni” può essere considerato un trattamento legittimo, ai sensi dell’art. 6 paragrafo 1, lettera f), GDPR, a condizione che il titolare del trattamento abbia ottenuto il consenso dell’interessato.
Libera manifestazione del consenso al titolare in posizione dominante
In ultimo, relativamente alla possibilità di ritenere libero il consenso prestato dall’interessato al titolare che occupi una posizione dominante sul mercato (in questo caso dei social network), la CGUE ritiene che l’utente di Facebook possa validamente acconsentire all’utilizzo dei propri dati personali. Specifica, tuttavia, che la posizione dominante può essere un fattore rilevante, ovvero un indice sintomatico, da tenere in considerazione quando si indaga sulla validità del consenso espresso dall’utente, posto che in simili casi la posizione ricoperta dal titolare può comportare uno squilibrio di poteri e condurre alla manifestazione di un consenso non libero.
Cenni conclusivi
La sentenza commentata è indubbiamente interessante per almeno due ordini di ragione. In primis, la Corte di Giustizia dell’Unione europea amplia, esorbitando da una interpretazione letterale del GDPR, la platea di soggetti abilitati a constatare la legittimità di un trattamento di dati personali. Il fatto che un’autorità garante della concorrenza possa in qualche modo surrogarsi all’autorità di controllo prevista dall’art. 51 del Regolamento conferma ancora una volta la sua vocazione espansiva e dunque l’importanza attribuitagli, che si riflette nella trasversalità con cui le disposizioni in esso contenute trovano applicazione. In secondo luogo, la sentenza chiarisce l’atteggiarsi delle basi giuridiche del trattamento (e segnatamente l’esecuzione di un contratto e il legittimo interesse) condotto dal titolare che, come Meta, ricopra una posizione dominante sul mercato. In particolare, i Giudici di Lussemburgo evidenziano i limiti alla utilizzabilità delle giustificazioni anzidette, quando queste sono poste alla base di trattamenti di dati personali svolti intersecando i dati dell’utente off Facebook e i dati che abbiamo definito invece “interni”, cioè relativi all’utilizzo del profilo Facebook, per fini di personalizzazione della pubblicità. A dire che il business model dell’impresa non può legittimare il superamento della logica del GDPR che vuole l’interessato consapevole, reso edotto e libero di calibrare la propria disponibilità a che i suoi dati personali, compresi quelli sensibili, siano utilizzati da un titolare del trattamento. In ultima analisi, la Corte sottolinea ancora una volta la fondamentale rilevanza del consenso, base giuridica prediletta tra quelle contemplate nel GDPR.
Una questione aperta piuttosto importante, che rimane da risolvere alla luce della commentata sentenza, è se Meta o le aziende come Meta possano essere autorizzate, ai sensi del GDPR, a subordinare l’accesso (non remunerato in denaro) ai loro servizi al consenso degli utenti al trattamento dei loro dati personali, col fine, tra gli altri, della personalizzazione della pubblicità. La questione che si pone è se sia legittimo rendere esplicito lo “scambio” consenso per servizio, e se ciò sia o meno in contrasto con il principio secondo cui il consenso deve essere libero, esplicito e incondizionato.
