TUTELA DEI DATI PERSONALI
Un'autorità nazionale garante della concorrenza può constatare, nell'ambito dell'esame di un abuso di posizione dominante, una violazione del RGPD.
Meta Platforms Ireland gestisce l'offerta del social network online Facebook nell'Unione. Iscrivendosi a Facebook, i suoi utenti accettano le condizioni generali stabilite da tale società e, di conseguenza, le regole sull’uso dei dati e dei marcatori (cookies). In forza di queste ultime, Meta Platforms Ireland raccoglie dati riferiti alle attività degli utenti all’interno e all’esterno del social network e li mette in relazione con gli account Facebook degli utenti interessati. Per quanto riguarda i dati da ultimo menzionati, denominati anche «dati off Facebook», si tratta, da un lato, dei dati concernenti la consultazione di pagine Internet e di applicazioni di terzi e, dall’altro, dei dati riguardanti l’utilizzo di altri servizi online appartenenti al gruppo Meta (fra i quali Instagram e WhatsApp). I dati in tal modo raccolti consentono segnatamente di personalizzare i messaggi pubblicitari destinati agli utenti di Facebook.
L'autorità federale tedesca garante della concorrenza ha vietato, in particolare, di subordinare, nelle condizioni generali, l’uso del social network Facebook da parte di utenti privati residenti in Germania al trattamento dei loro dati off Facebook e di procedere al trattamento di tali dati senza il loro consenso. Essa ha motivato la sua decisione con il fatto che tale trattamento, non essendo conforme al regolamento generale sulla protezione dei dati (RGPD) 1 , costituiva uno sfruttamento abusivo della posizione dominante di Meta Platforms Ireland sul mercato tedesco dei social network online.
Investito di un ricorso contro tale decisione, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) chiede alla Corte di giustizia se le autorità nazionali garanti della concorrenza possano controllare la conformità di un trattamento di dati ai requisiti posti nel RGPD. Inoltre, il giudice tedesco interroga la Corte sull'interpretazione e sull'applicazione di talune disposizioni dell'RGPD al trattamento dei dati da parte di un operatore di un social network online.
Nella sua sentenza, la Corte osserva che, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, può risultare necessario che l’autorità garante della concorrenza dello Stato membro interessato esamini anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme previste dal RGPD. Tuttavia, qualora l'autorità nazionale garante della concorrenza ravvisi una violazione del RGPD, essa non si sostituisce alle autorità di controllo istituite da tale regolamento. Infatti, la valutazione del rispetto del RGPD si limita al solo scopo di constatare un abuso di posizione dominante e di imporre misure volte a far cessare tale abuso secondo le norme del diritto della concorrenza.
Al fine di garantire un'applicazione coerente del RGPD, le autorità nazionali garanti della concorrenza devono concertarsi e cooperare lealmente con le autorità che garantiscono il rispetto di detto regolamento. In particolare, qualora l'autorità nazionale garante della concorrenza ritenga che sia necessario esaminare la conformità di un comportamento di un'impresa alle disposizioni del RGPD, essa deve verificare se tale comportamento o un comportamento simile sia già stato oggetto di una decisione da parte dell'autorità di controllo competente o, ancora, della Corte. Se così fosse, essa non può discostarsene, pur restando libera di trarne le proprie conclusioni sotto il profilo dell’applicazione del diritto della concorrenza.
Inoltre, la Corte rileva che il trattamento di dati effettuato da Meta Platforms Ireland sembra riguardare anche categorie particolari di dati che possono rivelare, tra l'altro, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o l’orientamento sessuale ed il cui trattamento è, in linea di principio, vietato dal RGPD. Spetterà quindi al giudice nazionale stabilire se alcuni dei dati raccolti consentano effettivamente di rivelare informazioni di questo tipo, a prescindere dal fatto che esse riguardino un utente di tale social network oppure qualsiasi altra persona fisica.
Riguardo alla questione se il trattamento di tali dati cosiddetti «sensibili» sia eccezionalmente consentito in ragione del fatto che essi siano stati manifestamente resi pubblici dall'interessato, la Corte precisa che il solo fatto che un utente consulti siti Internet o applicazioni che possono rivelare informazioni di questo tipo non significa affatto che egli renda manifestamente pubblici i suoi dati, ai sensi del RGPD. Inoltre, lo stesso vale quando un utente inserisce dati in tali siti o in siffatte applicazioni o ancora attiva pulsanti di selezione ivi integrati, salvo che egli abbia esplicitamente espresso preliminarmente la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.
Per quanto riguarda più in generale il trattamento effettuato da Meta Platforms Ireland, incluso quello dei dati «non sensibili», la Corte esamina, di seguito, se esso rientri nelle giustificazioni, previste dal RGPD, che consentono di rendere lecito un trattamento di dati effettuato in assenza del consenso dell’interessato. In tale contesto, essa considera che la necessità di eseguire il contratto di cui l’interessato è parte giustifica la pratica controversa solo a condizione che il trattamento di dati sia oggettivamente indispensabile, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento. Ferma restando una verifica da parte del giudice nazionale, la Corte esprime dubbi in merito alla possibilità che la personalizzazione dei contenuti o l’utilizzo omogeneo e fluido dei servizi propri del gruppo Meta possano soddisfare tali criteri. Inoltre, secondo la Corte, la personalizzazione della pubblicità mediante la quale è finanziato il social network online Facebook non può giustificare, in quanto legittimo interesse perseguito da Meta Platforms Ireland, il trattamento di dati di cui è causa, in assenza del consenso dell’interessato.
Infine, la Corte osserva che la circostanza che l’operatore di un social network online, in quanto titolare del trattamento, occupi una posizione dominante sul mercato dei social network non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi del RGPD, al trattamento dei loro dati effettuato da tale operatore. Tuttavia, poiché una posizione del genere può incidere sulla libertà di scelta di tali utenti e creare un evidente squilibrio tra questi ultimi e il titolare del trattamento, essa costituisce un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e, in particolare, liberamente. Incombe a detto operatore l’onere di provare tale circostanza.
(Fonte: sito web curia.eu - Comunicato Stampa 113/2023 - Titolarità dei contenuti: Corte di Giustizia UE)
L'autorità federale tedesca garante della concorrenza ha vietato, in particolare, di subordinare, nelle condizioni generali, l’uso del social network Facebook da parte di utenti privati residenti in Germania al trattamento dei loro dati off Facebook e di procedere al trattamento di tali dati senza il loro consenso. Essa ha motivato la sua decisione con il fatto che tale trattamento, non essendo conforme al regolamento generale sulla protezione dei dati (RGPD) 1 , costituiva uno sfruttamento abusivo della posizione dominante di Meta Platforms Ireland sul mercato tedesco dei social network online.
Investito di un ricorso contro tale decisione, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) chiede alla Corte di giustizia se le autorità nazionali garanti della concorrenza possano controllare la conformità di un trattamento di dati ai requisiti posti nel RGPD. Inoltre, il giudice tedesco interroga la Corte sull'interpretazione e sull'applicazione di talune disposizioni dell'RGPD al trattamento dei dati da parte di un operatore di un social network online.
Nella sua sentenza, la Corte osserva che, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, può risultare necessario che l’autorità garante della concorrenza dello Stato membro interessato esamini anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme previste dal RGPD. Tuttavia, qualora l'autorità nazionale garante della concorrenza ravvisi una violazione del RGPD, essa non si sostituisce alle autorità di controllo istituite da tale regolamento. Infatti, la valutazione del rispetto del RGPD si limita al solo scopo di constatare un abuso di posizione dominante e di imporre misure volte a far cessare tale abuso secondo le norme del diritto della concorrenza.
Al fine di garantire un'applicazione coerente del RGPD, le autorità nazionali garanti della concorrenza devono concertarsi e cooperare lealmente con le autorità che garantiscono il rispetto di detto regolamento. In particolare, qualora l'autorità nazionale garante della concorrenza ritenga che sia necessario esaminare la conformità di un comportamento di un'impresa alle disposizioni del RGPD, essa deve verificare se tale comportamento o un comportamento simile sia già stato oggetto di una decisione da parte dell'autorità di controllo competente o, ancora, della Corte. Se così fosse, essa non può discostarsene, pur restando libera di trarne le proprie conclusioni sotto il profilo dell’applicazione del diritto della concorrenza.
Inoltre, la Corte rileva che il trattamento di dati effettuato da Meta Platforms Ireland sembra riguardare anche categorie particolari di dati che possono rivelare, tra l'altro, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o l’orientamento sessuale ed il cui trattamento è, in linea di principio, vietato dal RGPD. Spetterà quindi al giudice nazionale stabilire se alcuni dei dati raccolti consentano effettivamente di rivelare informazioni di questo tipo, a prescindere dal fatto che esse riguardino un utente di tale social network oppure qualsiasi altra persona fisica.
Riguardo alla questione se il trattamento di tali dati cosiddetti «sensibili» sia eccezionalmente consentito in ragione del fatto che essi siano stati manifestamente resi pubblici dall'interessato, la Corte precisa che il solo fatto che un utente consulti siti Internet o applicazioni che possono rivelare informazioni di questo tipo non significa affatto che egli renda manifestamente pubblici i suoi dati, ai sensi del RGPD. Inoltre, lo stesso vale quando un utente inserisce dati in tali siti o in siffatte applicazioni o ancora attiva pulsanti di selezione ivi integrati, salvo che egli abbia esplicitamente espresso preliminarmente la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.
Per quanto riguarda più in generale il trattamento effettuato da Meta Platforms Ireland, incluso quello dei dati «non sensibili», la Corte esamina, di seguito, se esso rientri nelle giustificazioni, previste dal RGPD, che consentono di rendere lecito un trattamento di dati effettuato in assenza del consenso dell’interessato. In tale contesto, essa considera che la necessità di eseguire il contratto di cui l’interessato è parte giustifica la pratica controversa solo a condizione che il trattamento di dati sia oggettivamente indispensabile, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento. Ferma restando una verifica da parte del giudice nazionale, la Corte esprime dubbi in merito alla possibilità che la personalizzazione dei contenuti o l’utilizzo omogeneo e fluido dei servizi propri del gruppo Meta possano soddisfare tali criteri. Inoltre, secondo la Corte, la personalizzazione della pubblicità mediante la quale è finanziato il social network online Facebook non può giustificare, in quanto legittimo interesse perseguito da Meta Platforms Ireland, il trattamento di dati di cui è causa, in assenza del consenso dell’interessato.
Infine, la Corte osserva che la circostanza che l’operatore di un social network online, in quanto titolare del trattamento, occupi una posizione dominante sul mercato dei social network non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi del RGPD, al trattamento dei loro dati effettuato da tale operatore. Tuttavia, poiché una posizione del genere può incidere sulla libertà di scelta di tali utenti e creare un evidente squilibrio tra questi ultimi e il titolare del trattamento, essa costituisce un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e, in particolare, liberamente. Incombe a detto operatore l’onere di provare tale circostanza.
(Fonte: sito web curia.eu - Comunicato Stampa 113/2023 - Titolarità dei contenuti: Corte di Giustizia UE)
