In data 4 luglio 2023 la Corte di Giustizia dell’Unione Europea ha pronunciato un’importante sentenza nella causa C-252/21 | Meta Platforms e a. (condizioni generali d’uso di un social network) (https://curia.europa.eu/juris/documents.jsf?num=C-252/21).
Meta Platforms Ireland gestisce l’offerta del social network online Facebook nell’Unione Europea, mentre altre società del gruppo Meta offrono altri servizi online, tra cui Instagram, WhatsApp, Oculus.
Il modello economico di Facebook si fonda sul finanziamento tramite la pubblicità online che viene creata su misura per tutti i singoli utenti privati, tenendo conto del loro comportamento di consumo, dei loro interessi, del loro potere d’acquisto e della loro situazione personale.
Si legge in sentenza che “il presupposto tecnico per questo tipo di pubblicità è la creazione automatizzata di profili dettagliati degli utenti del network e dei servizi online offerti a livello del gruppo Meta. A tal fine, oltre ai dati che gli utenti forniscono direttamente al momento della loro iscrizione ai servizi online di cui trattasi, vengono raccolti, all’interno e all’esterno di detto social network e dei servizi online forniti dal gruppo Meta, e messi in relazione ai loro diversi account di utenza anche altri dati relativi ai tali utenti e ai loro dispositivi. Il quadro generale di tali dati consente di trarre conclusioni dettagliate sulle preferenze e sugli interessi dei medesimi utenti”.
Ora, per il trattamento di tale insieme di dati, Meta Platforms Ireland si basa sul contratto d’uso a cui ogni utente aderisce tramite l’attivazione del pulsante “Iscriviti” e sulla consequenziale accettazione delle condizioni generali stabilite da detta società. Un dato fondamentale è che l’accettazione di queste condizioni generali è necessaria per poter utilizzare il social network Facebook.
Ebbene, l’autorità federale garante della concorrenza, nel febbraio 2019, ha vietato a Meta Platforms, Meta Platforms Ireland e Facebook Deutschland di subordinare, nelle condizioni generali, l’uso del social network Facebook da parte di utenti privati residenti in Germania al trattamento dei loro dati off Facebook e di procedere, senza previo consenso degli utenti, al trattamento di tali dati sulla base delle condizioni generali allora vigenti. Inoltre, la medesima autorità ha ordinato alle sopra citate società di adeguare le condizioni generali in modo che da esse “risultasse chiaramente che tali dati non sarebbero stati né raccolti, né messi in relazione con gli account degli utenti Facebook, né utilizzati senza il consenso dell’utente interessato, e ha chiarito che tale consenso non è valido qualora costituisca una condizione per l’utilizzo del social network”.
È importante precisare che l’autorità federale garante della concorrenza ha motivato la sua decisione con il fatto che il trattamento dei dati, come previsto da quelle condizioni generali e come attuato da Meta Platforms Ireland, costituiva uno sfruttamento abusivo della posizione dominante di detta società sul mercato dei social network online per gli utenti privati in Germania, secondo le norme di diritto interno.
Del pari, secondo l’autorità federale garante della concorrenza, le condizioni generali in parola sarebbero abusive perché il trattamento dei dati off Facebook non sarebbe conforme ai valori sottesi al regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, di seguito RGPD.
In data 11 febbraio 2019 Meta Platforms, Meta Platforms Ireland e Facebook Deutschland hanno presentato un ricorso avverso la decisione dell’autorità federale garante della concorrenza dinanzi al Tribunale superiore del Land, Düsseldorf, Germania.
Il Tribunale superiore del Land, Düsseldorf, nutrendo dubbi in merito:
a) alla possibilità per le autorità nazionali garanti della concorrenza di controllare, nell’esercizio delle loro prerogative, la conformità del trattamento di dati personali alle condizioni stabilite nel RGPD;
b) alla possibilità per un operatore di un social network online di trattare dati personali sensibili della persona interessata, ai sensi dell’art. 9, par. 1 e 2, RGPD;
c) alla liceità del trattamento di dati personali dell’utente da parte di un operatore, ai sensi dell’art. 6, par. 1, RGPD;
d) alla validità, alla luce dell’art. 6, par. 1, co. 1, lett. a), e dell’art. 9, par. 2, lett. a), RGPD, del consenso prestato a un operatore che detiene una posizione dominante sul mercato nazionale dei social network online, ai fini di un trattamento di questo tipo,
ha deciso di sospendere il procedimento e di sottoporre alla CGUE alcune questioni pregiudiziali, tra cui le più rilevanti ai nostri fini così sintetizzabili:
- se sia compatibile con gli artt. 51 e ss. del RGPD il fatto che un’autorità diversa da quella competente a garantire un controllo sulla liceità e correttezza dei trattamenti di dati personali constati, nell’ambito dell’esercizio di un controllo degli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali applicate da un operatore violano il RGPD e disponga di porre fine a tale violazione;
- se, nel caso di un utente di Internet che si limiti a visitare siti Internet o “app”, come app di incontri, siti di partiti politici, siti relativi alla salute, o vi immetta dati al fine di registrarvisi o di effettuare degli ordini, e di una società, come Meta Platforms Ireland, che raccolga i dati relativi all’accesso ai siti e alle app e alle informazioni ivi immesse da parte dell’utente, li colleghi ai dati dell’account Facebook.com dell’utente e li utilizzi, la raccolta e/o il collegamento e/o l’utilizzo configurino un trattamento di dati sensibili ai sensi di detto articolo;
- in caso affermativo, se l’accesso a tali siti e app e/o l’inserimento di tali dati costituiscano una modalità di rendere “manifestamente pubblici” i dati stessi, ai sensi dell’art. 9, par. 2, lett. e), del RGPD;
- se un’impresa come Meta Platforms Ireland possa invocare la necessità per l’esecuzione di un contratto ai sensi dell’art. 6, par. 1, lett. b), del RGPD, o la tutela di legittimi interessi di cui all’art. 6, par. 1, lett. f), del RGPD, quali basi giuridiche per raccogliere dati generati da altri servizi propri del gruppo Meta, oppure da siti e app di terzi, per poi collegarli all’account Facebook.com dell’utente;
- se nei confronti di un’impresa in posizione dominante sul mercato come Meta Platforms Ireland sia possibile esprimere un consenso valido, e in particolare libero, in conformità al RGPD.
Ebbene la CGUE, fornendo un’interpretazione sicuramente innovativa, ha chiarito che, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa e fermo restando il rispetto dell’obbligo di leale cooperazione con le autorità di controllo, può risultare necessario che l’autorità garante della concorrenza di uno Stato membro esamini anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali quelle contenute nel RGPD. Tuttavia, detta autorità garante della concorrenza non si sostituisce all’autorità di controllo istituita ai sensi dell’art. 51 RGPD, giacché la valutazione del rispetto del RGPD si limita al solo scopo di constatare un abuso di posizione dominante e di imporre misure volte a far cessare tale abuso, in applicazione di norme proprie del diritto della concorrenza.
La portata innovativa di quanto affermato dalla Grande Sezione risiede nell’aver ammesso la possibilità che anche un’autorità diversa da quella istituita a precipuo presidio delle norme del RGPD possa, seppur incidenter tantum, accertare la violazione di una norma in materia di privacy, sempre al fine di vagliare la sussistenza di un abuso di posizione dominante, in applicazione del diritto della concorrenza.
Del pari, la Corte ha chiarito che le autorità nazionali garanti della concorrenza devono cooperare lealmente con le autorità garanti del rispetto del RGPD: ove l’autorità garante della concorrenza reputi necessario esaminare la conformità di una condotta di un’impresa a una norma del RGPD ai fini dell’accertamento dell’eventuale abuso di posizione dominante, questa deve verificare se tale condotta sia già stata esaminata e sia eventualmente già stata oggetto di una decisione dell’autorità garante della privacy, non potendo, in caso affermativo, discostarsi in alcun modo dall’interpretazione fornita, ma restando (ovviamente) libera di trarre le proprie conclusioni sotto il profilo dell’applicazione del diritto della concorrenza.
Ed ancora, la CGUE ha chiarito che l’immissione di dati e informazioni in altri siti e/o app non equivale a rendere manifestamente pubblici tali dati, a meno che l’utente non abbia esplicitamente e preliminarmente espresso la scelta di rendere i dati che lo riguardano pubblicamente accessibili ad un numero illimitato di persone.
Di fondamentale importanza, poi, è l’espressa precisazione della Corte a proposito dell’impossibilità di ricorrere alla base giuridica dell’esecuzione del contratto di cui l’interessato (l’utente) è parte, ai sensi dell’art. 6, par. 1, lett. b), RGPD, se non nei soli casi in cui il trattamento di dati sia oggettivamente indispensabile, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento. Né, a dire della Corte, la personalizzazione della pubblicità mediante cui è finanziato il social network Facebook può giustificare il trattamento dei dati in quanto “legittimo interesse” del titolare del trattamento stesso, ai sensi dell’art. 6, par. 1, lett. f), RGPD, dovendo Meta Platforms Ireland richiedere ed ottenere il consenso espresso e libero dell’interessato dal trattamento.
Inoltre, la CGUE ha chiarito che non è conforme al RGPD subordinare l’utilizzo del social network Facebook all’accettazione indiscriminata delle condizioni generali d’uso e che, ai fini dell’accertamento dell’abuso di una posizione dominante ad opera di un’impresa, quale Meta Platforms Ireland, non si esclude aprioristicamente che gli utenti del social network interessato possano validamente acconsentire al trattamento dei loro dati, tuttavia – incidendo la posizione dominante dell’impresa sulla libertà di scelta dell’interessato/utente – è richiesto un accertamento più stringente della manifestazione di un consenso libero e validamente prestato. Incombe all’operatore l’onere di provare tale ultima circostanza.
