Pubbl. Mer, 5 Lug 2023
È compito delle Autorità garanti della concorrenza valutare anche il rispetto del GDPR
Modifica paginaEditoriale a cura di Camilla Della Giustina
La Corte di Giustizia dell´Unione Europea, nella causa C-252/21 Meta Platforms and Others (General terms of use of a social network), ha sottolineato che, sebbene un´autorità garante della concorrenza non sia competente a pronunciarsi su una violazione del GDPR, può tenere conto della compatibilità di una pratica commerciale con il GDPR.
Nella causa C-252/21 Meta Platforms and Others (General terms of use of a social network), la Corte di Giustizia ha esaminato i poteri delle Autorità Antitrust di dichiarare l’abuso di posizione dominante in connessione a profili di specifica violazione del GDPR.
IL CASO: La piattaforma Meta Ireland gestisce il social network Facebook nel territorio dell’Unione Europea. All’atto della registrazione con Facebook, gli utenti accettano le condizioni generali stabilite dalla piattaforma, e, di conseguenza, la policy relativa al trattamento dei dati e dei cookies. In base alla propria policy, Meta Platforms Ireland raccoglie i dati relativi all’ attività degli utenti all’interno e all’esterno del social network e li collega con gli account Facebook degli utenti interessati. Questi ultimi dati, conosciuti come “off-Facebook data”: sono i dati relativi agli accessi effettuati a pagine web e app da parte di soggetti terzi nonché i dati relativi all’utilizzo di altri servizi online appartenenti al “gruppo Meta” (Instagram e Whatsapp). I dati raccolti in questo modo sono funzionali a creare messaggi pubblicitari personalizzati per gli utenti di Facebook.
A partire da questo, nel territorio tedesco il Bundeskartellamt (BKartA – Federal Cartel Office) ha vietato che i dati personali utilizzati dalla piattaforma Facebook fossero oggetto di trattamento anche da parte di soggetti terzi in assenza del consenso degli utenti.
La posizione del BKartA si fonda sulla considerazione secondo cui l’elaborazione dei dati normalmente effettuata da Meta non è coerente con il GDPR e costituisce abuso di posizione dominante da parte di Meta. Più precisamente, veniva riscontrato un abuso di posizione dominante da parte di Meta Platforms Ireland nel mercato tedesco dei social network.
Avvero la decisione del BRartA veniva incardinato un ricorso all’ Oberlandesgericht di Düsseldorf il quale, a sua volta, rimetteva la questione alla Corte di Giustizia dell’Unione Europea. Precisamente, il Giudice amministrativo tedesco chiedeva che la Corte di Giustizia chiarisse: 1) se le Autorità nazionali garanti della concorrenza e del mercato possano giudicare la conformità del trattamento dei dati personali alle prescrizioni contenute nel GDPR; 2) la corretta interpretazione di alcune disposizioni del GDPR qualora i dati personali vengano trattati online da un social network.
La Corte di Giustizia, nella causa C-252/21, ha stabilito che l’Autorità garante della concorrenza, nel momento in cui valuta se un’impresa ha abusato della sua posizione dominante, può esaminare anche se la condotta oggetto di verifica è conforme a “norme diverse da quelle relative al diritto della concorrenza, come le norme stabilite dal GDPR".
L’espressione “norme diverse da quelle relative al diritto della concorrenza” è da riferire non solamente al GDPR ma anche a tutti i regolamenti che si applicano ai fornitori di servizi digitali.
A ciò si aggiunga che, nel momento in cui l’Autorità nazionale per la concorrenza riscontra una violazione del GDPR ha solamente il potere di riscontrare l’esistenza di un abuso. In altri termini, l’Autorità per la concorrenza non si sostituisce all’Autorità garante per la protezione dei dati personali ma non deve dimenticare l'interazione che sussiste tra la legge sulla concorrenza e la normativa sulla protezione dei dati. Ciò è giustificato dal fatto che i dati personali sono, e rimangono, il bene più prezioso nei mercati digitali.
Da un punto di vista concreto, ergo, le Autorità nazionali garanti della concorrenza e del mercato devono compiere un’azione sinergica al fine di cooperare in modo leale con le Autorità che vigilano circa il rispetto del GDPR. Di conseguenza, viene richiesto che nel momento in cui l’Autorità garante della concorrenza ravvisa la necessità di esaminare anche la conformità alle disposizioni contenute nel GDPR debba, preliminarmente, verificare se tale comportamento, o un comportamento simile, non sia già stato oggetto di una decisione da parte della competente Autorità o della Corte di Giustizia. Se così fosse, essa non può discostarsi dalla posizione assunta in precedenza dall’Autorità competente, tuttavia, rimane libera nella decisione circa l’applicazione del diritto della concorrenza.
In conclusione, la Corte di Giustizia sottolinea che il fatto che un social network, quale titolare del trattamento, occupi una posizione dominante sul mercato dei social media, non osta al fatto che gli utenti possano validamente e legittimamente acconsentire al trattamento dei loro dati. Tuttavia, il rivestire una posizione dominante sul mercato costituisce elemento di cruciale importanza per determinare se il consenso degli utenti sia stato validamente e liberamente rilasciato.