NEWS

Corte di Giustizia UE: la violazione del GDPR può essere rilevata anche dal Garante della Concorrenza, ma attenzione alla base giuridica

La Corte di Giustizia dell’Unione Europea con la sentenza emanata nella causa C-252/21, pubblicata il 4 luglio 2023 ha stabilito che un'autorità nazionale garante della concorrenza può constatare, nell'ambito dell'esame di un abuso di posizione dominante, una violazione del GDPR.

Il caso esaminato dall’organo comunitario nasce a seguito di un’iniziativa dell'Autorità federale tedesca garante della concorrenza che ha vietato, in particolare, di subordinare, nelle condizioni generali, l’uso del social network Facebook da parte di utenti privati residenti in Germania al trattamento dei loro dati off Facebook e di procedere al trattamento di tali dati senza il loro consenso. Essa ha motivato la sua decisione con il fatto che tale trattamento, non essendo conforme al Regolamento generale sulla protezione dei dati (GDPR), costituiva uno sfruttamento abusivo della posizione dominante di Meta Platforms Ireland sul mercato tedesco dei social network online.

Investito di un ricorso contro tale decisione, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha chiesto alla Corte di giustizia se le autorità nazionali garanti della concorrenza possano controllare la conformità di un trattamento di dati ai requisiti posti nel GDPR. Inoltre, il giudice tedesco interroga la Corte sull'interpretazione e sull'applicazione di talune disposizioni dell'GDPR al trattamento dei dati da parte di un operatore di un social network online.

Nella sentenza in esame, la Corte osserva che, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, può risultare necessario che l’autorità garante della concorrenza dello Stato membro interessato esamini anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme previste dal GDPR. Tuttavia, qualora l'autorità nazionale garante della concorrenza ravvisi una violazione del GDPR, essa non si sostituisce alle autorità di controllo istituite da tale regolamento. Infatti, la valutazione del rispetto del GDPR si limita al solo scopo di constatare un abuso di posizione dominante e di imporre misure volte a far cessare tale abuso secondo le norme del diritto della concorrenza.

Inoltre, la Corte rileva che il trattamento di dati effettuato da Meta Platforms Ireland sembra riguardare anche categorie particolari di dati che possono rivelare, tra l'altro, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o l’orientamento sessuale ed il cui trattamento è, in linea di principio, vietato dal GDPR. Spetterà quindi al giudice nazionale stabilire se alcuni dei dati raccolti consentano effettivamente di rivelare informazioni di questo tipo, a prescindere dal fatto che esse riguardino un utente di tale social network oppure qualsiasi altra persona fisica.

Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy

(Nella foto: l'Avv. Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)

Riguardo alla questione se il trattamento di tali dati cosiddetti «sensibili» sia eccezionalmente consentito in ragione del fatto che essi siano stati manifestamente resi pubblici dall'interessato, la Corte precisa che il solo fatto che un utente consulti siti Internet o applicazioni che possono rivelare informazioni di questo tipo non significa affatto che egli renda manifestamente pubblici i suoi dati, ai sensi del GDPR. Inoltre, lo stesso vale quando un utente inserisce dati in tali siti o in siffatte applicazioni o ancora attiva pulsanti di selezione ivi integrati, salvo che egli abbia esplicitamente espresso preliminarmente la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.

Per quanto riguarda più in generale il trattamento effettuato da Meta Platforms Ireland, incluso quello dei dati «non sensibili», la Corte esamina, di seguito, se esso rientri nelle giustificazioni, previste dal GDPR, che consentono di rendere lecito un trattamento di dati effettuato in assenza del consenso dell’interessato. In tale contesto, essa considera che la necessità di eseguire il contratto di cui l’interessato è parte giustifica la pratica controversa solo a condizione che il trattamento di dati sia oggettivamente indispensabile, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento. Ferma restando una verifica da parte del giudice nazionale, la Corte esprime dubbi in merito alla possibilità che la personalizzazione dei contenuti o l’utilizzo omogeneo e fluido dei servizi propri del gruppo Meta possano soddisfare tali criteri.

Inoltre, secondo la Corte, la personalizzazione della pubblicità mediante la quale è finanziato il social network online Facebook non può giustificare, in quanto legittimo interesse perseguito da Meta Platforms Ireland, il trattamento di dati di cui è causa, in assenza del consenso dell’interessato.

Infine, la Corte osserva che la circostanza che l’operatore di un social network online, in quanto titolare del trattamento, occupi una posizione dominante sul mercato dei social network non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi del GDPR, al trattamento dei loro dati effettuato da tale operatore.

Tuttavia, poiché una posizione del genere può incidere sulla libertà di scelta di tali utenti e creare un evidente squilibrio tra questi ultimi e il titolare del trattamento, essa costituisce un elemento importante per determinare se il consenso sia stato prestato validamente e, in particolare, liberamente. Incombe a detto operatore l’onere di provare tale circostanza.

Come rilevato dalla Corte di Giustizia bisogna tener conto che Meta Platforms Ireland gestisce l'offerta del social network online Facebook nell'Unione. Iscrivendosi a Facebook, i suoi utenti accettano le condizioni generali stabilite da tale società e, di conseguenza, le regole sull’uso dei dati e dei marcatori (cookies). In forza di queste ultime, Meta Platforms Ireland raccoglie dati riferiti alle attività degli utenti all’interno e all’esterno del social network e li mette in relazione con gli account Facebook degli utenti interessati. Per quanto riguarda i dati da ultimo menzionati, denominati anche «dati off Facebook», si tratta, da un lato, dei dati concernenti la consultazione di pagine Internet e di applicazioni di terzi e, dall’altro, dei dati riguardanti l’utilizzo di altri servizi online appartenenti al gruppo Meta (fra i quali Instagram e WhatsApp). I dati in tal modo raccolti consentono segnatamente di personalizzare i messaggi pubblicitari destinati agli utenti di Facebook.

Note sull'Autore

Michele Iaselli Michele Iaselli

Coordinatore del Comitato Scientifico di Federprivacy. Avvocato, docente di logica ed informatica giuridica presso l’Università degli Studi di Napoli Federico II. Docente a contratto di informatica giuridica presso LUISS - dipartimento di giurisprudenza. Specializzato presso l'Università degli Studi di Napoli Federico II in "Tecniche e Metodologie informatiche giuridiche". Presidente dell’Associazione Nazionale per la Difesa della Privacy. Funzionario del Ministero della Difesa - Twitter: @miasell

Prev Whistleblowing: il valore aggiunto per il governo dei rischi organizzativi
Next Le comunicazioni elettroniche raccolte a fini di lotta alla criminalità grave non possono utilizzarsi in indagini di minore importanza

Il presidente di Federprivacy al TG1 Rai

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy