Abuso di posizione dominante, violazione GDPR rilevata dall'Antitrust nazionale

---

Condividi l'articolo:

---

Le autorità nazionali garanti della concorrenza possono constatare, nell'ambito dell'esame di un abuso di posizione dominante, la conformità ai requisiti del GDPR del trattamento di dati effettuato da un operatore di social network online? 

La Corte di giustizia dell'Unione europea ha risposto affermativamente a tale domanda, per come si apprende dalla lettura della sentenza del 4 luglio 2023, causa C-252/21.

Abuso di posizione dominante e violazione GDPR

La Corte Ue era stata adita dal Tribunale superiore di Düsseldorf, a sua volta investito di un ricorso contro la decisione dell'autorità federale tedesca garante della concorrenza di vietare il trattamento di taluni dati personali previsto dalle condizioni generali di utilizzo del social network Facebook.

Nel dettaglio, l'Autority aveva imposto il divieto di subordinare l’uso del social, da parte di utenti privati residenti in Germania, al trattamento dei loro dati "off Facebook" e di procedere, senza il consenso di detti utenti, al trattamento dei predetti dati.

Secondo il Garante nazionale, tale trattamento dei dati non era conforme al Regolamento generale sulla protezione dei dati (RGPD o GDPR), costituendo uno sfruttamento abusivo della posizione dominante di Meta, società proprietaria di Facebook, sul mercato tedesco dei social network online.

Da qui la domanda di pronuncia pregiudiziale sollevata dal giudice nazionale, avente ad oggetto l’interpretazione delle norme unionali e del richiamato GDPR, sulla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale.

Occorreva chiarire, in particolare, se le autorità nazionali garanti della concorrenza potessero o meno controllare la conformità di un trattamento di dati ai requisiti posti nel GDPR e a quali condizioni.

Corte Ue: anche l'Antitrust può rilevare l'abuso alla privacy

Ebbene, secondo la Corte Ue, all’autorità garante della concorrenza di uno Stato membro va riconosciuta la possibilità di constatare, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, che le condizioni generali d’uso di tale impresa sul trattamento dei dati non siano conformi al richiamato regolamento, qualora tale constatazione sia necessaria per accertare l’esistenza dell'abuso.

Questo, fermo restando il rispetto del suo obbligo di leale cooperazione con le autorità di controllo, alla luce del quale l'Antitrust non può discostarsi da una decisione dell’autorità nazionale di controllo competente in forza del medesimo regolamento (ossia il Garante Privacy).

Se, quindi, l'autorità nazionale sulla concorrenza ravvisi una violazione del GDPR, essa non può sostituirsi alle autorità di controllo istituite, atteso che la valutazione, da parte sua, del rispetto del Regolamento Privacy è limitata al solo scopo di constatare un abuso di posizione dominante e di imporre misure volte a far cessare tale abuso secondo le norme del diritto della concorrenza.

La stessa, ciò posto, è tenuta a verificare se tale comportamento (o un comportamento simile) sia già stato oggetto di una decisione del Garante Privacy o, ancora, della Corte di giustizia: se così fosse, essa non potrebbe discostarsene.

Pubblicità personalizzata: no senza il consenso sui cookie

Nella decisione, i giudici europei hanno fornito ulteriori ed interessanti precisazioni, in tema, peraltro, di personalizzazione della pubblicità.

Tale personalizzazione, mediante la quale è finanziato il medesimo social network, non può giustificare il trattamento di dati personali effettuato da Meta, in assenza del consenso dell’interessato.

Per la Corte, il fatto che l’operatore di social network, in quanto titolare del trattamento, occupi una posizione dominante sul relativo mercato non osta, di per sé, a che gli utenti del medesimo possano validamente acconsentire, ai sensi del GDPR, al trattamento dei loro dati effettuato da tale operatore.

Poiché, tuttavia, una posizione del genere può incidere sulla libertà di scelta di tali utenti e creare un evidente squilibrio tra questi ultimi e il titolare del trattamento, tale circostanza costituisce nondimeno un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e liberamente.

Circostanza questa - conclude la Corte Ue - che spetta all'operatore dimostrare.