Corte di Giustizia UE: il trattamento illecito può essere valutato anche dal Garante antitrust

Corte di giustizia dell'Unione europea

Dalla Corte di Giustizia dell’Unione Europea arrivano importanti indicazioni in materia di trattamento dei dati personali raccolti in rete: nella causa C-252/21, che vede Facebook (e più in generale il gruppo Meta) contrapposto al Bundeskartellamt (Autorità Garante Antitrust tedesca), l’Avvocato Generale Athanasios Rantos, nel presentare le proprie conclusioni, ha ritenuto che nell’esercizio nell’ambito di controlli sull’abuso di posizione dominante nel mercato sia possibile verificare e valutare, in via incidentale, il rispetto della normativa relativa alla tutela dei dati personali.

È bene ricordare che l’Avvocato Generale, figura tipica dei processi dinnanzi alla Corte di Giustizia, svolge una funzione consultiva in favore del giudicante e viene interpellato nelle questioni che appaiano particolarmente complesse e meritevoli di approfondimento: in esito a tale interpello, questi rende le proprie conclusioni che possono venire accolte o disattese dalla Corte, cui spetta in ultimo prendere la decisione definitiva.

Indipendentemente dall’esito della causa in questione, è opportuno sottolineare sin d’ora che le opinioni espresse da un Avvocato Generale vengono sempre tenute in altissima considerazione dalla Corte, che qualora ritenesse di distaccarsi dovrebbe fornire adeguata motivazione.

La vicenda in questione riguarda la sanzione elevata dall’Autorità antitrust tedesca nei confronti di Meta Platforms Inc. per abuso di posizione dominante derivante dalla seguente prassi (nel prosieguo: “prassi controversa”):

  • Raccogliere i dati generati dai servizi propri del gruppo diversi dal social network Facebook, nonché da siti o applicazioni di terzi tramite interfacce in essi integrati ovvero ancora tramite cookies memorizzati nel computer o nel dispositivo mobile dell’utente;
  • Collegare i dati così raccolti con l’account Facebook dell’utente stesso;
  • Utilizzare tali dati per diverse finalità.

Il Bundeskartellamt ha vietato al gruppo questo genere di trattamento, imponendo allo stesso misure correttive anche con riferimento alle condizioni d’uso che giustificavano l’esercizio della prassi controversa; Meta Platforms ha proposto ricorso avverso tale decisione davanti all’Oberlandesgericht Düsseldorf (Tribunale Superiore del Land di Düsseldorf) il quale ha proposto rinvio pregiudiziale alla Corte di Giustizia affinché si pronunciasse su ben sette questioni pregiudiziali.

Il giudice di rinvio interrogava in primis la Corte sulla possibilità da parte dell’autorità garante antitrust, nell’esercizio delle sue funzioni, di rilevare eventuali violazioni della normativa privacy e valutarle anche al fine della propria decisione e, in caso di risposta affermativa, se la stessa fosse tenuta, in base ai principi di leale collaborazione vigenti all’interno dell’ordinamento comunitario, ad interfacciarsi con l’autorità capofila per la protezione dei dati personali.

Sul punto, l’Avvocato Generale, pur ribadendo che non spetta ad un’autorità antitrust di sanzionare una violazione delle disposizioni di cui al GDPR, ha ritenuto che detta autorità possa comunque esaminare la conformità alla normativa privacy, in via meramente incidentale, al fine di valutare se dalla mancata compliance possa derivare un vantaggio “abusivo” ai sensi dell’art. 102 TFUE.

In questo caso, dinnanzi all’autorità antitrust non è tanto la contrarietà al Regolamento ad assumere rilevanza, quanto le conseguenze che discendono dalla condotta incriminata: ad esempio, sarebbe sanzionato il vantaggio illecito derivante dall’uso di dati acquisiti contra legem ma non il trattamento che ha portato all’acquisizione dei dati stessi.

È bene segnalare altresì che il compito di pronunciarsi sulla violazione del GDPR resta in capo ad una S.A. in materia di privacy, dando eventualmente corso a procedimenti “paralleli” nei confronti del medesimo titolare.

Per quanto riguarda la cooperazione tra i diversi organismi la normativa europea non prevede specifici meccanismi o formalità; pertanto, l’Avvocato Generale ha ritenuto sufficiente l’avviso, peraltro in via informale, fatto dal Bundeskartellamt all’autorità capofila.

Il giudice di rinvio ha poi chiesto lumi alla Corte circa gli aspetti critici della prassi controversa: se in primis l’utilizzo di dati sensibili o idonei a rivelare informazioni sensibili acquisiti dall’utente di un social network debba avvenire in accordo con il dettato dell’art. 9 GDPR e secondariamente, se il trattamento dei dati acquisiti possa essere giustificato sulla base del legittimo interesse ovvero in quanto necessario all’esecuzione di un contratto ex art. 6 paragrafo 1 lett. B del Reg. U.E. 2016/679.

Da ultimo, viene chiesto alla Corte se sia possibile considerare valido il consenso prestato ad un titolare che si trovi in posizione dominante.

L’Avvocato Generale si è espresso contestando preliminarmente la distinzione operata dal giudice di rinvio: il Regolamento non fa differenze tra dati che siano “intrinsecamente sensibili” e altri che siano idonei a rivelare informazioni sensibili; pertanto, entrambe le categorie ricadono nella casistica di cui all’art. 9 GDPR.

La prassi controversa rappresenta sicuramente una forma di trattamento di dati sensibili ed è pertanto vietata in assenza di una causa di giustificazione che la legittima; tra queste bisogna escludere quella indicata all’art. 9 paragrafo 2 lett. e) del GDPR che riguarda i dati personali “resi manifestamente pubblici” dall’interessato.

Infatti, la consultazione di un sito internet o l’uso di particolari app rende i dati immessi dall’utente accessibili al solo gestore del servizio; anche nel caso in cui l’interessato azioni pulsanti di selezione integrati nel sito o nell’app, con il preciso intento di condividere determinate informazioni con soggetti esterni, tale condivisione è rivolta ad una cerchia ristretta e specifica di persone, frequentemente individuata dall’utente stesso e non alla collettività come richiesto dalla citata disposizione di legge.

Anche un eventuale consenso prestato per l’utilizzo di cookies, data la finalità estremamente specifica, non potrà essere usato per giustificare il trattamento di dati sensibili.

Per quanto invece riguarda la base giuridica di cui all’art. 6 paragrafo 1 lett. B) del GDPR, che autorizza il trattamento di dati che risulti necessario all’esecuzione di un contratto, l’Avvocato Generale ha sottolineato che il carattere della necessità richiesto dalla disposizione risulta integrato allorquando il trattamento non sia semplicemente eseguito in relazione all’esecuzione dell’accordo ovvero che sia utile a tal fine; affinché tale condizione sia soddisfatta non devono sussistere alternative realistiche e meno invasive rendendo il trattamento condicio sine qua non per la messa in pratica del negozio giuridico.

La valutazione di necessità deve poi essere effettuata nel contesto di ciascuno dei servizi legati al trattamento; nel caso di specie, il giudice di rinvio ha fatto riferimento alla personalizzazione dei contenuti e all’utilizzo coerente e senza interruzione dei prodotti (rectius, dei servizi) del gruppo Meta.

Orbene, con riguardo alla personalizzazione dei contenuti, l’uso di tutti i dati raccolti tramite la pratica controversa non appare realmente necessario, soprattutto se si considera che tali dati non riguardano semplicemente il comportamento dell’utente su Facebook ma, provenendo anche da fonti esterni, sono potenzialmente illimitati.

Lo stesso può dirsi in merito all’utilizzo coerente e ininterrotto dei prodotti: la quantità di dati raccolta appare chiaramente esorbitante rispetto a quella necessaria per assicurare il buon funzionamento della piattaforma.

Per meglio comprendere il ragionamento portato avanti dall’Avvocato Generale nelle proprie conclusioni, è opportuno considerare che la validità astratta delle basi giuridiche invocate dal gruppo Meta non viene mai messa in discussione: tanto l’interesse legittimo del titolare quanto la presenza di un contratto con l’interessato possono ben giustificare il trattamento dei dati raccolti; è tuttavia necessario verificare l’adeguatezza in concreto di tali basi giuridiche, alla luce di tutti i principi contenuti nel Regolamento.

Con particolare riferimento all’interesse legittimo del titolare, il Giudicante dovrà certamente effettuare un’operazione di bilanciamento tra questo e i diritti dell’interessato al fine di verificare che non vi sia un’incidenza spropositata su questi ultimi e sulle libertà fondamentali che la normativa privacy riconosce e tutela.

Da ultimo, in materia di consenso, l’Avvocato Generale ha ricordato che, come indicato nel considerando 43, prima frase, del GDPR, il consenso non costituisce un valido presupposto per il trattamento dei dati quando esista un “evidente squilibrio” tra interessato e titolare; in tutti questi casi si presume che il consenso non sia stato liberamente espresso. Tale presunzione può essere vinta, ma è bene sottolineare che l’onere probatorio spetta al titolare, che dovrà dimostrare che l’interessato abbia prestato il proprio consenso in modo libero e informato.

Al momento, la Corte di Giustizia non ha ancora reso la propria sentenza e non è quindi possibile sapere se le conclusioni dell’Avvocato Generale siano state o meno accolte. Tuttavia, anche nelle more di tale pronuncia, appare evidente che la materia privacy assuma sempre più spesso un ruolo centrale anche in vicende che non la coinvolgano direttamente: nella moderna economia digitale il dato personale ha un valore indiscutibile anche sul piano commerciale ed economico.

In quest’ottica, le condizioni contrattuali e i termini di servizio che siano contrari al Regolamento diventano censurabili non solo sul piano della tutela della riservatezza dell’utente-interessato ma anche sul piano della tutela del consumatore.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su