L’antitrust può rilevare una violazione della privacy nelle sue procedure sull’abuso di posizione dominante
07 Luglio 2023
In considerazione di tale dovere di leale cooperazione, l'autorità nazionale garante della concorrenza non può discostarsi da una decisione dell'autorità nazionale di vigilanza competente o dell'autorità di controllo capofila competente in merito a tali termini e condizioni standard analoghi. «Qualora nutra dubbi sulla portata di tale decisione, qualora tali condizioni o condizioni analoghe siano, allo stesso tempo, soggette all'esame di tali autorità, o qualora, in assenza di un'indagine o di una decisione da parte di tali autorità, l'autorità garante della concorrenza ritenga che le condizioni in questione non siano conformi al regolamento 2016/679, deve consultare e chiedere la collaborazione di tali autorità di controllo al fine di dissipare i suoi dubbi o di decidere se attendere una decisione da parte loro prima di avviare la propria valutazione. In assenza di obiezioni o di risposta entro un termine ragionevole, l'autorità nazionale garante della concorrenza può proseguire le proprie indagini» (neretto, nda). È una delle massime enunciate dalla EU:C:2023:537, C-252/21 del 4 luglio che ha risolto una pregiudiziale sollevata da un Tribunale superiore tedesco adito dall’Antitrust nazionale per un’azione per abuso di posizione dominante di Facekook. Infatti il modello commerciale di questo social si basa sulla pubblicità tramite profilazione dei propri utenti, anche tramite cookies od utilizzo di altri dati, reperiti anche presso altri siti accessibili tramite account. Chi non accetta queste condizioni generali necessarie non può utilizzare il servizio, anche se recentemente è stata inserita la possibilità di dissociare dall’account i dati raccolti off Facebook e questo rifiuto vale anche per quelli raccolti in passato o che potrebbero essere acquisiti in futuro. «In base a tali dati, la Meta Platforms Ireland raccoglie dati relativi agli utenti e ai dispositivi relativi alle attività degli utenti all'interno e all'esterno del social network e collega tali dati agli account Facebook degli utenti interessati. Per quanto riguarda questi ultimi dati, relativi ad attività esterne al social network (in prosieguo: i «dati esterni a Facebook»), si tratta, da un lato, di dati relativi alle visite a pagine e applicazioni Internet di terzi, collegati a Facebook tramite interfacce di programmazione – i «Facebook Business Tools» – e, dall'altro, di dati relativi all'utilizzo di altri servizi online appartenenti al gruppo Meta, tra cui Instagram, WhatsApp, Oculus e – fino al 13 marzo 2020 – Masquerade». Per l’Antitrust il social, sfruttando la sua posizione dominante del mercato, imponeva tali clausole contrarie al GDPR e perciò abusive. Il giudice di rinvio nutrendo dubbi sul fatto se il Garante attore avesse il potere di accertare, nell’ambito delle proprie indagini, una violazione del GDPR, ha sollevato una complessa pregiudiziale e la CGUE, alla questione principale, ha risposto come in epigrafe, rinviando alla sentenza per eventuali ulteriori approfondimenti sul punto. Accedere ad un sito, mettere like e condividere contenuti online off FB non implica un automatico consenso al trattamento dei dati La Corte chiarisce che la mera consultazione di siti web non implica che una persona voglia rendere pubblici dati sensibili, che possano rilevare la sua razza, i suoi orientamenti politici, sessuali e le sue convinzioni religiose /filosofiche. Invece un utente «quando inserisce dati in tali siti Web o applicazioni o quando attiva pulsanti di selezione integrati in tali siti e applicazioni, come pulsanti "mi piace" o "condividi" che consentono all'utente di identificarsi su tali siti o applicazioni utilizzando le credenziali di accesso collegate al proprio account utente di social network, il suo numero di telefono o indirizzo di posta elettronica, rende manifestamente pubblici, ai sensi dell'articolo 9, paragrafo 2, lettera e), i dati così inseriti o risultanti dall'attivazione di tali pulsanti solo se ha espresso esplicitamente la sua scelta in precedenza, se del caso sulla base di impostazioni individuali effettuate con piena cognizione di causa, per rendere i suoi dati pubblicamente accessibili a un numero illimitato di persone» (neretto, nda). Inoltre ai sensi dell’art. 6 GDPR «il trattamento di dati personali effettuato da un gestore di un social network online, consistente nella raccolta di dati degli utenti di tale rete da altri servizi del gruppo cui appartiene tale operatore o risultante dalla consultazione da parte di tali utenti di siti web o applicazioni di terzi, il collegamento di tali dati con l'account di social network di tali utenti e l'uso di tali dati, può essere considerato necessario all'esecuzione di un contratto di cui le persone interessate sono parti, ai sensi di tale disposizione, solo se tale trattamento è oggettivamente indispensabile per il conseguimento di una finalità facente parte integrante della prestazione contrattuale destinata a tali utenti, cosicché l'oggetto principale del contratto non potrebbe essere realizzato in assenza di tale trattamento» (neretto, nda). Più precisamente tale trattamento di dati «può essere considerato necessario ai fini del legittimo interesse perseguito dal responsabile del trattamento o da un terzo, ai sensi di tale disposizione, solo se tale gestore ha indicato agli utenti presso i quali sono stati raccolti i dati un interesse legittimo perseguito dal loro trattamento, che tale trattamento è effettuato nei limiti strettamente necessari per il raggiungimento di tale interesse legittimo e che risulta da una ponderazione del interessi contrastanti, tenuto conto di tutte le circostanze pertinenti, che gli interessi o i diritti e le libertà fondamentali di tali utenti non prevalgano su tale interesse legittimo del responsabile del trattamento o di terzi. (…). I dati raccolti off Facebook ed il loro trattamento, in linea di principio e salvo verifica del giudice di rinvio, non possono essere considerati necessari <<per salvaguardare gli interessi vitali della persona interessata o di un'altra persona fisica ai sensi della lettera d) o per eseguire un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento, ai sensi della lettera e)» (neretto, nda). Correlazione tra abuso di posizione dominante e tutela della privacy Come sinora esplicato il consenso al trattamento dei propri dati sia all’interno delle normali attività nel social che off Facebook deve essere oggetto di distinte informative ed ottenere per entrambe il consenso libero, informato e consapevole degli interessati ex artt. 4 §.11 e 7 §.4. In breve il fatto che il social in esame sia in una posizione dominante sul mercato e quindi in linea di massima potrebbe imporre a priori ai propri utenti condizioni non strettamente necessarie all’esecuzione del contratto viene riequilibrata dalle citate disposizioni che le considerano nulle perché abusive. Pertanto gli utenti le possono liberamente rifiutare senza dover rinunciare integralmente all'utilizzo del servizio offerto dal gestore del social: «ciò implica che a tali utenti sia offerta, se del caso dietro adeguato compenso, un'alternativa equivalente non accompagnata da tali operazioni di trattamento dei dati». In breve la posizione dominante non impedisce all’utente di prestare il consenso o rifiutare il trattamento dei propri dati. Spetta al giudice di rinvio stabilire se FB ha rispettato queste norme del GDPR stante il fatto che ex art. 7 §.4 ha l’onere di dimostrare di aver ricevuto detto consenso dai propri utenti e stante il fatto che una violazione del GDPR può essere una “spia” di una violazione delle norme della leale concorrenza. (fonte: Diritto e Giustizia) |
