Home

Abuso di posizione dominante e dati personali: è illecita la profilazione pubblicitaria degli utenti di social senza l'espresso consenso all'uso dei dati off

Fonte: C. Giustizia UE grande sezione, 4 luglio 2023, n. 252
La Redazione
10 Luglio 2023

Con sentenza del 4 luglio 2023 (C-252/21) la CGUE ha affrontato il tema della legalità delle condizioni generali d'uso dei social network e, nello specifico, della società che gestisce la fornitura di un noto social network online all'interno dell'UE. Nel caso di specie, la Corte ha affermato che l'autorità antitrust nazionale che esamina la sussistenza di un eventuale abuso dominante può rilevare nel suo giudizio anche il trattamento dei dati personali realizzato dalla società oggetto d'esame da parte dell'autorità. Tuttavia, per poter valutare se il trattamento è conforme al Regolamento europeo sulla protezione dei dati (GDPR), l'Antitrust coopererà con l'autorità nazionale responsabile del rispetto del GDPR, e verificare se vi siano sue statuizioni (o della CGUE) applicabili al caso concreto e all'irregolarità individuata nel trattamento dei dati personali dei consumatori.

Una rinomata società operante nel settore della tecnologia dell'informazione gestisce l'offerta del social network online di una piattaforma social nell'Unione. Iscrivendosi a tale piattaforma, i suoi utenti accettano le condizioni generali stabilite da tale società e, di conseguenza, le regole sull'uso dei dati e dei marcatori (cookies). In forza di queste ultime, la società raccoglie dati riferiti alle attività degli utenti all'interno e all'esterno del social network e li mette in relazione con gli account della nota piattaforma social degli utenti interessati. Per quanto riguarda i dati da ultimo menzionati, denominati anche «dati offdel noto social network», si tratta, da un lato, dei dati concernenti la consultazione di pagine Internet e di applicazioni di terzi e, dall'altro, dei dati riguardanti l'utilizzo di altri servizi online appartenenti al gruppo della società che offre servizi nel settore dell'informazione. I dati in tal modo raccolti consentono segnatamente di personalizzare i messaggi pubblicitari destinati agli utenti del social media.

L'autorità federale tedesca garante della concorrenza ha vietato, in particolare, di subordinare, nelle condizioni generali, l'uso del famoso social network da parte di utenti privati residenti in Germania al trattamento dei loro dati off e di procedere al trattamento di tali dati senza il loro consenso. Essa ha motivato la sua decisione con il fatto che tale trattamento, non essendo conforme al regolamento generale sulla protezione dei dati (GDPR), costituiva uno sfruttamento abusivo della posizione dominante della società sul mercato tedesco dei social network online.

Investito di un ricorso contro tale decisione, il Tribunale superiore del Land chiede alla Corte di giustizia se le autorità nazionali garanti della concorrenza possano controllare la conformità di un trattamento di dati ai requisiti posti nel GDPR. Inoltre, il giudice tedesco interroga la Corte sull'interpretazione e sull'applicazione di talune disposizioni del GDPR al trattamento dei dati da parte di un operatore di un social network online.

Nell'odierna sentenza, la Corte osserva che, nell'ambito dell'esame di un abuso di posizione dominante da parte di un'impresa, può risultare necessario che l'autorità garante della concorrenza dello Stato membro interessato esamini anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme previste dal GDPR. Tuttavia, qualora l'autorità nazionale garante della concorrenza ravvisi una violazione del GDPR, essa non si sostituisce alle autorità di controllo istituite da tale regolamento. Infatti, la valutazione del rispetto del GDPR si limita al solo scopo di constatare un abuso di posizione dominante e di imporre misure volte a far cessare tale abuso secondo le norme del diritto della concorrenza.

Al fine di garantire un'applicazione coerente del GDPR, le autorità nazionali garanti della concorrenza devono concertarsi e cooperare lealmente con le autorità che garantiscono il rispetto di detto regolamento. In particolare, qualora l'autorità nazionale garante della concorrenza ritenga che sia necessario esaminare la conformità di un comportamento di un'impresa alle disposizioni del GDPR, essa deve verificare se tale comportamento o un comportamento simile sia già stato oggetto di una decisione da parte dell'autorità di controllo competente o, ancora, della Corte. Se così fosse, essa non potrebbe discostarsene, pur restando libera di trarne le proprie conclusioni sotto il profilo dell'applicazione del diritto della concorrenza.

Inoltre, la Corte rileva che il trattamento di dati effettuato dalla rinomata società che opera nel settore della tecnologia dell'informazione sembra riguardare anche categorie particolari di dati che possono rivelare, tra l'altro, l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o l'orientamento sessuale ed il cui trattamento è, in linea di principio, vietato dal GDPR. Spetterà quindi al giudice nazionale stabilire se alcuni dei dati raccolti consentano effettivamente di rivelare informazioni di questo tipo, a prescindere dal fatto che esse riguardino un utente di tale social network oppure qualsiasi altra persona fisica.

Riguardo alla questione se il trattamento di tali dati cosiddetti «sensibili» sia eccezionalmente consentito in ragione del fatto che essi sono stati manifestamente resi pubblici dall'interessato, la Corte precisa che il solo fatto che un utente consulti siti Internet o applicazioni che possono rivelare informazioni di questo tipo non significa affatto che egli renda manifestamente pubblici i suoi dati, ai sensi del GDPR. Inoltre, lo stesso vale quando un utente inserisce dati in tali siti o in siffatte applicazioni o ancora attiva pulsanti di selezione ivi integrati, salvo che egli abbia esplicitamente espresso preliminarmente la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.

Per quanto riguarda più in generale il trattamento effettuato dalla società in causa, incluso quello dei dati «non sensibili», la Corte esamina, di seguito, se esso rientri nelle giustificazioni, previste dal GDPR, che consentono di rendere lecito un trattamento di dati effettuato in assenza del consenso dell'interessato. In tale contesto, essa considera che la necessità di eseguire il contratto di cui l'interessato è parte giustifica la pratica controversa solo a condizione che il trattamento di dati sia oggettivamente indispensabile, cosicché l'oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento. Ferma restando una verifica da parte del giudice nazionale, la Corte esprime dubbi in merito alla possibilità che la personalizzazione dei contenuti o l'utilizzo omogeneo e fluido dei servizi propri del gruppo societario possano soddisfare tali criteri. Inoltre, secondo la Corte, la personalizzazione della pubblicità mediante la quale è finanziato il noto social network online non può giustificare, in quanto legittimo interesse perseguito dalla società in causa, il trattamento di dati di cui è causa, in assenza del consenso dell'interessato.

Infine, la Corte osserva che la circostanza che l'operatore di un social network online, in quanto titolare del trattamento, occupi una posizione dominante sul mercato dei social network non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi del GDPR, al trattamento dei loro dati effettuato da tale operatore. Tuttavia, poiché una posizione del genere può incidere sulla libertà di scelta di tali utenti e creare un evidente squilibrio tra questi ultimi e il titolare del trattamento, essa costituisce un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e, in particolare, liberamente. Incombe a detto operatore l'onere di provare tale circostanza.