CONCLUSIONI DELL’AVVOCATO GENERALE
ATHANASIOS RANTOS
presentate il 20 settembre 2022 (1)
Causa C‑252/21
Meta Platforms Inc., già Facebook Inc.,
Meta Platforms Ireland Limited, già Facebook Ireland Ltd.,
Facebook Deutschland GmbH
contro
Bundeskartellamt
con l’intervento di:
Verbraucherzentrale Bundesverband e.V.
[domanda di pronuncia pregiudiziale proposta dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania)]
«Rinvio pregiudiziale – Regolamento (UE) 2016/679 – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Rete sociale – Articolo 4, punto 11 – Nozione di “consenso” dell’interessato – Consenso accordato a un’impresa titolare del trattamento in posizione dominante – Articolo 6, paragrafo 1, lettere da b) a f) – Liceità del trattamento – Trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o per il perseguimento del legittimo interesse del titolare del trattamento o di terzi – Trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento – Articolo 9, paragrafo 1, e articolo 9, paragrafo 2, lettera e) – Categorie particolari di dati personali – Dati personali resi manifestamente pubblici dall’interessato – Articoli da 51 a 66 – Competenze dell’autorità nazionale garante della concorrenza – Coordinamento con le competenze delle autorità di controllo della protezione dei dati personali – Adozione di misure ai sensi del diritto della concorrenza da parte di un’autorità con sede in uno Stato membro diverso da quello dell’autorità capofila per il controllo della protezione dei dati»
Introduzione
1. La presente domanda di pronuncia pregiudiziale è stata proposta dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) nell’ambito di una controversia tra alcune società del gruppo Meta Platforms (2) e il Bundeskartellamt (autorità federale garante della concorrenza, Germania) in merito alla decisione con la quale quest’ultimo ha vietato al ricorrente nel procedimento principale il trattamento dei dati previsto dalle condizioni d’uso della sua rete sociale Facebook nonché l’attuazione di tali condizioni e ha imposto misure correttive (3).
2. Le questioni pregiudiziali vertono, essenzialmente, da un lato, sulla competenza di un’autorità nazionale garante della concorrenza, quale il Bundeskartellamt, ad esaminare, in via principale o incidentale, i comportamenti di un’impresa alla luce di talune disposizioni del regolamento (UE) 2016/679 (4) e, dall’altro, l’interpretazione di dette disposizioni per quanto riguarda, in particolare, il trattamento di dati personali sensibili, le pertinenti condizioni di liceità del trattamento di dati personali e la manifestazione del libero consenso a un’impresa in posizione dominante.
Contesto normativo
Diritto dell’Unione
3. L’articolo 4 del RGPD stabilisce quanto segue:
«Ai fini del presente regolamento s’intende per:
(…)
11) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
(…)».
4. L’articolo 6, paragrafo 1, di detto regolamento, rubricato «Liceità del trattamento», è così formulato:
«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti».
5. L’articolo 9, paragrafi 1 e 2, di detto regolamento, rubricato «Trattamento di categorie particolari di dati personali», così dispone:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
(…)
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
(…)».
6. L’articolo 51 del medesimo regolamento, rubricato «Autorità di controllo», contenuto nel capo VI di quest’ultimo, dal titolo «Autorità di controllo indipendenti», enuncia quanto segue:
«1. Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (…).
2. Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII.
(…)».
Diritto tedesco
7. L’articolo 19, paragrafo 1, del Gesetz gegen Wettbewerbsbeschränkungen (legge contro le restrizioni della concorrenza; in prosieguo: il «GWB») così dispone:
«È vietato lo sfruttamento abusivo di una posizione dominante sul mercato tramite una o più imprese» (5).
8. L’articolo 50f del GWB stabilisce quanto segue:
«(1) Le autorità garanti della concorrenza, le autorità di regolamentazione, il responsabile federale della protezione dei dati e della libertà di informazione, i responsabili regionali della protezione dei dati e le autorità competenti ai sensi dell’articolo 2 dell’EU‑Verbraucherschutzdurchführungsgesetz [legge per l’attuazione del diritto dell’Unione europea in materia di tutela dei consumatori] possono, indipendentemente dalla procedura scelta, scambiarsi informazioni, compresi dati personali e segreti tecnici e commerciali, nella misura necessaria per l’assolvimento dei rispettivi compiti e utilizzare tali informazioni nell’ambito delle loro procedure. (…)».
Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte
9. Meta Platforms gestisce l’offerta della rete sociale in linea «Facebook» nell’Unione europea (all’indirizzo www.facebook.com), nonché altri servizi in linea, tra cui Instagram e WhatsApp. Il modello economico delle reti sociali gestite da Meta Platforms consiste essenzialmente, da un lato, nell’offrire servizi di rete sociale gratuiti per gli utenti privati e, dall’altro, nel vendere pubblicità in linea, personalizzata per il singolo utente della rete sociale e finalizzata a mostrare all’utente i prodotti e i servizi che potrebbero interessargli in base, in particolare, al suo personale comportamento di consumo, ai suoi interessi, al suo potere d’acquisto e alle sue condizioni di vita. Il presupposto tecnico per questo tipo di pubblicità è la creazione automatizzata di profili altamente dettagliati degli utenti della rete e dei servizi in linea offerti a livello del gruppo (6).
10. Ai fini della raccolta e del trattamento dei dati degli utenti, Meta Platforms si basa sul contratto di licenza d’uso concluso con i propri utenti tramite l’attivazione da parte di questi ultimi del pulsante «Iscriviti», con la quale essi accettano le condizioni d’uso di Facebook. L’accettazione di siffatte condizioni d’uso è un presupposto essenziale per l’utilizzo della rete sociale Facebook (7). L’elemento centrale della presente causa riguarda la prassi consistente, in primo luogo, nella raccolta di dati generati da altri servizi propri del gruppo, nonché da siti Internet e da applicazioni di terzi tramite interfacce in essi integrate oppure mediante cookies memorizzati nel computer o nel dispositivo mobile dell’utente; in secondo luogo, nel collegamento di tali dati con l’account Facebook dell’utente interessato e, in terzo luogo, nell’utilizzo di detti dati (in prosieguo: la «prassi controversa»).
11. Il Bundeskartellamt ha avviato un procedimento nei confronti di Meta Platforms a seguito del quale, con la decisione controversa, ha vietato a tale gruppo il trattamento dei dati previsto dalle condizioni d’uso di Facebook nonché l’attuazione di dette condizioni e ha imposto misure correttive. Il Bundeskartellamt ha motivato la sua decisione, in particolare, con il fatto che il trattamento di cui trattasi costituiva uno sfruttamento abusivo della posizione dominante di Meta Platforms sul mercato delle reti sociali per gli utenti privati in Germania, ai sensi dell’articolo 19 del GWB (8).
12. L’11 febbraio 2019, Meta Platforms ha proposto ricorso avverso la decisione controversa dinanzi all’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) (9), giudice del rinvio, il quale sostanzialmente nutre dubbi, da un lato, quanto alla possibilità per le autorità nazionali garanti della concorrenza di controllare la conformità di un trattamento dei dati ai requisiti previsti dal RGPD e di accertare e sanzionare la violazione delle disposizioni di tale regolamento e, dall’altro, quanto all’interpretazione e all’applicazione di talune disposizioni del regolamento medesimo.
13. È in tale contesto che l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) a) Se sia compatibile con gli articol[i] 51 e seguenti del [RGPD] il fatto che un’autorità garante della concorrenza di uno Stato membro – come il Bundeskartellamt (autorità federale tedesca garante della concorrenza) –, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e nel cui Stato membro un’impresa stabilita al di fuori dell’Unione europea disponga di una filiale di supporto alla filiale principale nel settore della pubblicità, della comunicazione e delle relazioni pubbliche – mentre la filiale principale di tale impresa è situata in un altro Stato membro e ha la responsabilità esclusiva per il trattamento dei dati personali per l’intero territorio dell’Unione europea –, constati, nell’ambito dell’esercizio di un controllo degli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali operate dalla filiale principale relativamente al trattamento dei dati e la relativa attuazione violano il RGPD, e disponga di porre fine a tale violazione.
b) In caso affermativo, se ciò sia compatibile con l’articolo 4, paragrafo 3, TUE se, nel contempo, l’autorità di controllo capofila nello Stato membro in cui si trova la filiale principale ai sensi dell’articolo 56, paragrafo 1, del RGPD sottopone a un procedimento di indagine le condizioni contrattuali per il trattamento dei dati operate da quest’ultima.
In caso di risposta affermativa alla prima questione:
2) a) Se, nel caso di un utente di Internet che si limiti a visitare siti Internet o applicazioni (“app”) che fanno riferimento ai criteri di cui all’articolo 9, paragrafo 1, del RGPD – come app di incontri, siti per incontri omosessuali, siti di partiti politici, siti relativi alla salute – o vi immetta dati al fine di registrarvisi o di effettuare degli ordini, e di un’altra società, come Facebook Ireland, che raccolga i dati relativi all’accesso ai siti e alle app e alle informazioni ivi immesse da parte dell’utente – tramite interfacce integrate nei siti e nelle app, come “Strumenti di Facebook Business”, o tramite marcatori temporanei (“cookies”) o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente –, li colleghi ai dati dell’account [Facebook] dell’utente e li utilizzi, la raccolta e/o il collegamento e/o l’utilizzo configurino un trattamento di dati sensibili ai sensi di detto articolo.
b) In caso affermativo: se l’accesso a tali siti e app e/o l’inserimento di dati e/o l’azionamento di pulsanti (“plug-in social” come “Mi piace”, “Condividi” o “Facebook Login” o “Account Kit”) integrati in tali siti o app da un fornitore come Facebook Ireland costituiscano una modalità di rendere manifestamente pubblici i dati relativi all’accesso di per sé e/o i dati immessi da parte dell’utente, ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD.
3) Se un’impresa come Facebook Ireland, che gestisce un social network digitale finanziato dalla pubblicità e che offre, nelle sue condizioni d’uso, la personalizzazione dei contenuti e della pubblicità, la sicurezza della rete, il miglioramento dei prodotti e l’utilizzo coerente e senza interruzioni di tutti i prodotti del gruppo, possa invocare la giustificazione della necessità per l’esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD, o la giustificazione della tutela dei legittimi interessi di cui all’articolo 6, paragrafo 1, lettera f), del RGPD, quando a tali fini essa raccoglie dati generati da altri servizi propri del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, oppure tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, li collega all’account [Facebook] dell’utente e li utilizza.
4) Se, in tal caso, possano essere considerati legittimi interessi ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD anche
– la minore età dell’utente, ai fini della personalizzazione dei contenuti e della pubblicità, del miglioramento dei prodotti, della sicurezza della rete e delle comunicazioni non commerciali con l’utente,
– la fornitura di misurazioni, dati statistici e altri servizi per le aziende a inserzionisti, sviluppatori e altri partner, affinché questi possano valutare e migliorare le proprie prestazioni,
– l’offerta di comunicazioni di marketing con l’utente affinché l’impresa possa migliorare i suoi prodotti e condurre marketing diretto,
– ricerca e innovazione per il bene della società per far progredire lo stato dell’arte o la comprensione scientifica relativamente a importanti temi sociali e per avere un impatto positivo sulla società e sul mondo,
– informazioni alle autorità preposte all’applicazione e all’esecuzione della legge e la risposta a richieste legali, al fine di prevenire, individuare e perseguire reati penali, usi non autorizzati, violazioni delle condizioni d’uso e delle regole [aziendali] ed altri comportamenti dannosi,
quando a tali fini l’impresa raccoglie dati generati da altri servizi propri del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, o tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, li collega all’account [Facebook] dell’utente e li utilizza.
5) Se, in tal caso, possano essere giustificati la raccolta di dati provenienti da altri servizi propri del gruppo e da siti internet e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, oppure tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, il collegamento con l’account [Facebook] dell’utente e l’utilizzo, oppure l’utilizzo di dati già altrimenti e legittimamente raccolti e collegati, caso per caso, anche ai sensi dell’articolo 6, paragrafo 1, lettere c), d) ed e) del RGPD, ad esempio per rispondere ad una legittima richiesta di dati specifici [lettera c)], per contrastare comportamenti dannosi e promuovere la sicurezza [lettera d)], per ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza [lettera e)].
6) Se nei confronti di un’impresa in posizione dominante sul mercato come Facebook Ireland sia possibile esprimere un consenso valido, e in particolare libero ai sensi dell’articolo 4, paragrafo 11, del RGPD, in conformità con gli articoli 6, paragrafo 1, lettera a), e 9, paragrafo 2, lettera a), del RGPD.
In caso di risposta negativa alla prima questione:
7) a) Se un’autorità nazionale garante della concorrenza di uno Stato membro – come il Bundeskartellamt –, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e che esamini una violazione del divieto di abuso di posizione dominante ai sensi del diritto della concorrenza da parte di un’impresa in posizione dominante, che non consista in una violazione del RGPD da parte delle sue condizioni per il trattamento dei dati e della loro attuazione, possa effettuare accertamenti, ad esempio nell’ambito della ponderazione degli interessi, in merito alla conformità con il RGPD delle condizioni per il trattamento dei dati di tale impresa e della loro attuazione.
b) In caso affermativo: se, ai sensi dell’articolo 4, paragrafo 3, TUE, ciò valga anche qualora, nel contempo, l’autorità di controllo capofila competente ai sensi dell’articolo 56, paragrafo 1, del RGPD sottoponga le condizioni per il trattamento dei dati di tale impresa ad un procedimento di indagine.
Per poter rispondere affermativamente alla settima questione, occorre prima rispondere alle questioni da 3 a 5 per quanto riguarda i dati generati dall’utilizzo del servizio Instagram, appartenente al gruppo».
14. Hanno presentato osservazioni scritte Meta Platforms, i governi tedesco, ceco, italiano e austriaco, il Bundeskartellamt, il Verbraucherzentrale Bundesverband e.V. (associazione di consumatori, Germania), nonché la Commissione europea. Tali parti hanno inoltre presentato osservazioni orali all’udienza di discussione tenutasi il 10 maggio 2022.
Analisi
15. Le questioni pregiudiziali che formano l’oggetto della presente causa, relative all’interpretazione di svariate disposizioni del RGPD, riguardano, essenzialmente, in primo luogo, la competenza di un’autorità garante della concorrenza a constatare e sanzionare una violazione delle norme sul trattamento dei dati personali e i suoi obblighi di cooperazione con l’autorità capofila ai sensi del RGPD (questioni pregiudiziali prima e settima); in secondo luogo, il divieto di trattamento di dati personali sensibili e le condizioni applicabili al consenso al loro utilizzo (seconda questione pregiudiziale); in terzo luogo, la liceità del trattamento dei dati personali alla luce di talune giustificazioni (questioni pregiudiziali dalla terza alla quinta) e, in quarto luogo, la validità del consenso al trattamento dei dati personali accordato a un’impresa in posizione dominante (sesta questione pregiudiziale).
16. Nei seguenti paragrafi, tratterò anzitutto le questioni pregiudiziali prima e settima e in seguito le altre, nell’ordine in cui sono state poste, esaminando congiuntamente le questioni pregiudiziali dalla terza alla quinta.
Sulla prima questione pregiudiziale
17. Con la sua prima questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se un’autorità garante della concorrenza, che stia indagando su violazioni delle regole di concorrenza, possa, da un lato, pronunciarsi, in via principale (10), sulla violazione delle norme relative al trattamento dei dati del RGPD da parte di un’impresa la cui filiale principale, che ha la responsabilità esclusiva del trattamento dei dati personali per l’intera Unione, si trova in un altro Stato membro e, dall’altro, ordinare di porre fine a tale violazione [prima questione, lettera a)] e, in caso affermativo, se l’autorità di controllo capofila competente in forza dell’articolo 56, paragrafo 1, del RGPD possa continuare a sottoporre a procedimento di indagine le condizioni per il trattamento dei dati operate da detta impresa [prima questione, lettera b)].
18. Tuttavia, fatta salva la verifica da parte del giudice del rinvio, mi sembra che il Bundeskartellamt, nella decisione controversa, non abbia sanzionato una violazione del RGPD da parte di Meta Platforms, ma abbia proceduto, al solo fine dell’applicazione delle regole di concorrenza, all’esame di una presunta violazione del divieto di abuso di posizione dominante da parte di Meta Platforms, tenendo conto, inter alia, della non conformità del comportamento di tale impresa alle disposizioni del RGPD.
19. Pertanto, a mio avviso, nei limiti in cui riguarda la possibilità per un’autorità garante della concorrenza di pronunciarsi, in via principale, sulla violazione delle norme del RGPD e di ordinare la cessazione di tale violazione ai sensi di detto regolamento, la prima questione, lettera a), è inconferente (11).
20. Ne consegue che anche la lettera b) della prima questione, che è subordinata alla risposta affermativa alla lettera a) della prima questione, è inconferente (12).
Sulla settima questione pregiudiziale
21. Con la sua settima questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se un’autorità garante della concorrenza che stia indagando su violazioni delle regole di concorrenza possa effettuare accertamenti, in via incidentale (13), in merito alla conformità al RGPD delle condizioni per il trattamento dei dati e della loro attuazione [settima questione, lettera a)] e, in caso affermativo, se l’esame da parte dell’autorità garante della concorrenza sia possibile anche qualora, nel contempo, l’autorità di controllo capofila competente sottoponga dette condizioni a un procedimento di indagine [settima questione, lettera b)].
22. Per quanto riguarda, in primo luogo, la settima questione, lettera a), mi sembra che, sebbene un’autorità garante della concorrenza non sia competente a constatare una violazione del RGPD (14), quest’ultimo tuttavia non osti, in linea di principio, a che, nell’esercizio delle loro competenze e poteri, autorità diverse dalle autorità di controllo possano tenere conto, in via incidentale, della compatibilità di un comportamento con le disposizioni del RGPD. Ciò vale, a mio avviso, in particolare, per quanto riguarda l’esercizio da parte di un’autorità garante della concorrenza delle competenze che le sono conferite dall’articolo 102 TFUE e dall’articolo 5, primo comma, del regolamento (CE) n. 1/2003 (15) o da qualsiasi altra norma nazionale corrispondente (16).
23. Infatti, nell’esercizio delle sue competenze, un’autorità garante della concorrenza deve valutare, in particolare, se il comportamento in esame consista nell’avvalersi di mezzi diversi da quelli da quelli che sono propri di una concorrenza fondata sui meriti, tenuto conto del contesto giuridico ed economico in cui tale comportamento si inserisce (17). A tale riguardo, la conformità o non conformità di detto comportamento alle disposizioni del RGPD, non di per sé, bensì alla luce di tutte le circostanze del caso di specie, può costituire un importante indizio per stabilire se siffatto comportamento costituisca un ricorso a mezzi su cui s’impernia la concorrenza normale, restando inteso che il carattere abusivo o non abusivo del comportamento rispetto all’articolo 102 TFUE non risulta dalla sua conformità o meno con il RGPD o con altre norme giuridiche (18).
24. Ritengo pertanto che l’esame di un abuso di posizione dominante sul mercato possa giustificare che un’autorità garante della concorrenza interpreti norme non contemplate dal diritto della concorrenza, come quelle del RGPD (19), restando inteso che un esame siffatto è effettuato in via incidentale (20) e non pregiudica l’applicazione di tale regolamento data dalle autorità di controllo competenti (21).
25. Per quanto riguarda, in secondo luogo, la settima questione, lettera b), il giudice del rinvio solleva la questione di quali siano, nell’ambito dell’applicazione del principio di leale cooperazione sancito dall’articolo 4, paragrafo 3, TUE, gli obblighi che ha, nei confronti dell’autorità di controllo capofila competente ai sensi del RGPD, un’autorità garante della concorrenza quando interpreta le disposizioni del medesimo regolamento e, più specificamente, quando lo stesso comportamento esaminato dall’autorità garante della concorrenza è sottoposto ad esame da parte dell’autorità di controllo capofila competente.
26. Nel caso di specie, l’esame, ancorché incidentale, del comportamento di un’impresa alla luce delle norme del RGPD da parte di un’autorità garante della concorrenza comporta il rischio di divergenze tra quest’ultima autorità e le autorità di controllo quanto all’interpretazione di tale regolamento, il che, in linea di principio, può pregiudicare l’interpretazione uniforme del RGPD (22).
27. Il diritto dell’Unione non prevede norme dettagliate sulla cooperazione tra un’autorità garante della concorrenza e le autorità di controllo ai sensi del RGPD in una situazione siffatta. Più specificamente, nel caso di specie, non sono applicabili né il meccanismo di cooperazione tra le autorità competenti ai sensi del RGPD in sede di applicazione dello stesso (23) né altre specifiche norme sulla cooperazione tra autorità amministrative, come quelle sulla cooperazione tra le autorità garanti della concorrenza e la cooperazione tra queste ultime e la Commissione nell’applicazione delle regole di concorrenza (24).
28. Ciò premesso, un’autorità garante della concorrenza, nell’interpretare il RGPD, è tuttavia vincolata dal principio di leale cooperazione sancito dall’articolo 4, paragrafo 3, TUE, in forza del quale l’Unione e gli Stati membri, ivi comprese le loro autorità amministrative (25), si rispettano e si assistono reciprocamente nell’adempimento dei compiti derivanti dai Trattati. In particolare, ai sensi del terzo comma di tale disposizione, gli Stati membri facilitano all’Unione l’adempimento dei suoi compiti e si astengono da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell’Unione(26). Inoltre, al pari di ogni autorità amministrativa responsabile dell’applicazione del diritto dell’Unione, un’autorità garante della concorrenza è vincolata dal principio di buona amministrazione quale principio generale del diritto dell’Unione, che comprende, tra l’altro, un ampio obbligo di diligenza e sollecitudine delle autorità nazionali (27).
29. Pertanto, in mancanza di norme precise sui meccanismi di cooperazione, che è compito eventualmente del legislatore dell’Unione adottare, un’autorità garante della concorrenza, quando interpreta le disposizioni del RGPD, è soggetta, quanto meno, a obblighi di informazione, di intelligence e di cooperazione nei confronti delle autorità competenti ai sensi di tale regolamento, in applicazione delle norme nazionali che disciplinano le sue competenze (principio dell’autonomia procedurale degli Stati membri) e nel rispetto dei principi di equivalenza e di effettività (28).
30. Ne consegue, a mio avviso, che, nel caso in cui l’autorità di controllo capofila competente si sia pronunciata sull’applicazione di talune disposizioni del RGPD in relazione a una prassi identica o simile, l’autorità garante della concorrenza non potrà, in linea di principio, discostarsi dall’interpretazione di detta autorità, che è l’unica competente per quanto riguarda l’applicazione del regolamento in parola (29), e dovrà conformarsi, per quanto possibile, e nel rispetto, in particolare, dei diritti di difesa dei soggetti interessati, alle eventuali decisioni adottate da quest’ultima in merito allo stesso comportamento (30) e, in caso di dubbi circa l’interpretazione data dall’autorità competente nel caso di specie, consultare quest’ultima o eventualmente, qualora essa si trovi in un altro Stato membro, l’autorità nazionale di controllo (31).
31. Inoltre, in mancanza di una decisione dell’autorità di controllo competente, incombe nondimeno all’autorità garante della concorrenza informare detta autorità (32) e cooperare con essa qualora quest’ultima abbia avviato l’esame della stessa pratica o manifestato l’intenzione di farlo, ed eventualmente attendere l’esito dell’esame condotto da quest’ultima prima di iniziare la propria valutazione, sempre che ciò sia appropriato e non pregiudichi, in particolare, il rispetto da parte dell’autorità garante della concorrenza di un periodo di indagine ragionevole e dei diritti di difesa dei soggetti interessati (33).
32. Nel caso di specie, mi sembra che il fatto di aver contattato formalmente le autorità di controllo responsabili a livello nazionale (34) e di aver altresì contattato, in modo informale, l’autorità di controllo capofila irlandese – circostanze menzionate dal Bundeskartellamt e che spetta al giudice del rinvio verificare – possa essere sufficiente per concluderne che detta autorità ha adempiuto i suoi obblighi di diligenza e di leale cooperazione (35).
33. In conclusione, propongo di rispondere alla settima questione pregiudiziale dichiarando che gli articoli da 51 a 66 del RGPD devono essere interpretati nel senso che un’autorità garante della concorrenza, nell’ambito dei suoi poteri in forza delle regole di concorrenza, può esaminare, in via incidentale, la conformità delle prassi esaminate con le norme del RGPD, tenendo conto al contempo di ogni decisione o indagine dell’autorità di controllo competente ai sensi del RGPD e informandone l’autorità nazionale di controllo, eventualmente consultandola.
Sulla seconda questione pregiudiziale
34. Con la sua seconda questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 9, paragrafo 1, del RGPD debba essere interpretato nel senso che la prassi controversa, quando riguarda la consultazione di pagine Internet e di applicazioni di terzi (36), rientra nell’ambito del trattamento dei dati personali sensibili ivi elencati (37), che è vietato (38), [seconda questione, lettera a)] e, in caso affermativo, se l’articolo 9, paragrafo 2, lettera e), di detto regolamento debba essere interpretato nel senso che un utente rende manifestamente pubblici, ai sensi della disposizione in parola, i dati che sono, da un lato, rivelati consultando pagine Internet e applicazioni o, dall’altro, i dati che sono inseriti mediante l’attivazione di pulsanti di selezione integrati in detti siti o applicazioni o che ne risultano (39) [seconda questione, lettera b)].
35. Per quanto concerne, in primo luogo, la seconda questione, lettera a), ricordo che, ai sensi dell’articolo 9, paragrafo 1, del RGPD, è vietato il trattamento di dati personali sensibili. La speciale protezione conferita a tali dati è motivata, come risulta dal considerando 51 di detto regolamento, dal fatto che essi sono, per loro natura, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali e che il loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Inoltre, nonostante il carattere piuttosto oscuro della formulazione della disposizione in parola (40), non mi sembra che, come presunto dal giudice del rinvio, essa introduca una differenza sostanziale tra i dati personali che sono sensibili perché «rivelano» una determinata situazione e i dati che sono di per sé sensibili (41).
36. Nel caso di specie, è, a mio avviso, evidente che la prassi controversa costituisce un trattamento di dati personali che, in linea di principio, può rientrare nell’ambito di applicazione di tale disposizione ed essere vietata, qualora i dati trattati «rivelino» una delle situazioni sensibili ivi elencate. Occorre pertanto stabilire se e in quale misura la consultazione di siti Internet e di applicazioni o l’inserimento in essi di dati possano «rivelare» una delle situazioni sensibili elencate nella disposizione in questione.
37. A questo proposito, dubito che sia rilevante (e sempre possibile) distinguere tra, da un lato, un semplice interesse dell’interessato a determinate informazioni e, dall’altro, l’appartenenza di quest’ultimo a una delle categorie di cui alla disposizione in questione (42). Sebbene le posizioni delle parti nel procedimento principale siano opposte a tal riguardo (43), ritengo che una risposta a tale questione possa essere individuata solo caso per caso e alla luce di ciascuna attività in cui si articola la prassi di cui trattasi.
38. Se è vero che, come osserva il governo tedesco, la mera raccolta di dati personali sensibili relativi alla visita di un sito Internet o di un’applicazione non costituisce, di per sé, necessariamente un trattamento di dati personali sensibili ai sensi della disposizione in parola (44), il collegamento di tali dati con l’account Facebook dell’utente interessato o il loro utilizzo sono comportamenti che, al contrario, potrebbero più facilmente integrare un trattamento siffatto. Il fattore decisivo ai fini dell’applicazione dell’articolo 9, paragrafo 1, del RGPD è, a mio avviso, la possibilità che i dati trattati consentano la profilazione dell’utente secondo le categorie risultanti dall’elencazione dei dati personali sensibili effettuata da tale disposizione (45).
39. In tale contesto, per poter determinare se un trattamento di dati rientri nell’ambito di applicazione della disposizione in parola, potrebbe essere utile distinguere, eventualmente, tra, da un lato, il trattamento dei dati che possono essere prima facie classificati nella categoria dei dati personali sensibili, che da soli consentono una profilazione dell’interessato e, dall’altro, il trattamento dei dati che non sono di per sé sensibili, ma che richiedono un’ulteriore attività di aggregazione al fine di trarre conclusioni plausibili per la profilazione dell’interessato.
40. Ciò premesso, occorre precisare che l’esistenza di una categorizzazione ai sensi di detta disposizione è indipendente dalla questione se tale categorizzazione sia reale o corretta(46). Ciò che conta è la possibilità che una categorizzazione siffatta crei un rischio significativo per i diritti e le libertà fondamentali dell’interessato, come ricordato al considerando 51 del RGPD, possibilità che è indipendente dalla sua veridicità.
41. Per quanto riguarda, infine, la domanda del giudice del rinvio relativa alla rilevanza dello scopo dell’utilizzo ai fini della valutazione di cui trattasi (47), ritengo – contrariamente a quanto sostiene il ricorrente nel procedimento principale – che, in linea di principio, non sia necessario che il titolare del trattamento tratti tali dati «consapevolmente e intendendo ricavarne direttamente categorie particolari di informazioni». Infatti, l’obiettivo della disposizione in questione è, in sostanza, quello di prevenire, in modo oggettivo, rischi significativi per i diritti e le libertà fondamentali degli interessati derivanti dal trattamento dei dati personali sensibili, indipendentemente da qualsiasi elemento soggettivo come l’intenzione del titolare del trattamento.
42. Per quanto riguarda, in secondo luogo, la seconda questione, lettera b), ricordo che, in forza dell’articolo 9, paragrafo 2, lettera e), del RGPD, il divieto di trattamento di dati personali sensibili non si applica se il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato. Inoltre, l’uso, nel testo della citata disposizione, dell’avverbio «manifestamente» e il fatto che la disposizione medesima costituisca un’eccezione al principio del divieto di trattamento dei dati personali sensibili (48) impongono un’applicazione particolarmente restrittiva dell’eccezione in parola, a causa dei rischi significativi per i diritti e le libertà fondamentali degli interessati (49). Affinché tale eccezione sia applicabile, l’utente deve, a mio avviso, essere pienamente consapevole che, con un atto esplicito (50), sta rendendo pubblici dati personali (51).
43. Nel caso di specie, mi sembra che un comportamento consistente nel consultare siti Internet ed applicazioni, nell’immettere dati in tali siti e applicazioni e nell’azionare di pulsanti di selezione ivi integrati non possa, in linea di principio, essere equiparato a un comportamento che rende manifestamente pubblici i dati personali sensibili dell’utente ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD.
44. Più precisamente, rilevo che, in linea di principio, la consultazione di siti Internet e di applicazioni rende i dati di consultazione accessibili solo al gestore della pagina Internet o dell’applicazione di cui trattasi e ai terzi ai quali quest’ultimo trasmette tali informazioni, come il ricorrente nel procedimento principale (52). Allo stesso modo, se è vero che mediante l’inserimento dati in siti Internet e applicazioni, l’interessato potrebbe fornire, in modo diretto e volontario, informazioni su determinati dati personali sensibili, osservo parimenti che siffatte informazioni sono accessibili solo al gestore del sito o dell’applicazione in questione e ai terzi ai quali quest’ultimo trasmette dette informazioni. Escludo pertanto che simili comportamenti possano dimostrare la volontà di mettere tali dati a disposizione della collettività (53). Inoltre, se è evidente che, azionando pulsanti di selezione integrati in siti Internet o applicazioni (54), la persona interessata esprime chiaramente la volontà di condividere determinate informazioni con un pubblico esterno al sito Internet o all’applicazione in questione, ritengo che, come sottolinea il Bundeskartellamt, con un comportamento del genere, la persona in questione sia consapevole di condividere informazioni con una specifica cerchia di persone, spesso definita dall’utente stesso (55), e non con la collettività (56).
45. Per quanto riguarda, infine, la rilevanza di un eventuale consenso prestato dall’utente ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58 per la raccolta di dati personali tramite marcatori («cookies») o tecnologie analoghe, menzionato dal giudice del rinvio, ritengo che siffatto consenso, alla luce della sua finalità specifica, non possa, di per sé, giustificare il trattamento di dati personali sensibili raccolti con tali mezzi (57). Infatti, il suddetto consenso, necessario per l’installazione di uno strumento tecnico per la captazione di determinate attività dell’utente (58) non riguarda il trattamento di dati personali sensibili e non può essere equiparato alla volontà di rendere manifestamente pubblici i dati in questione ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD (59).
46. In conclusione, propongo di rispondere alla seconda questione pregiudiziale dichiarando che, da un lato, l’articolo 9, paragrafo 1, del RGPD deve essere interpretato nel senso che il divieto di trattamento di dati personali sensibili può ricomprendere il trattamento di dati, effettuato da un gestore di una rete sociale in linea, consistente nella raccolta dei dati di un utente quando questi visita altri siti Internet o applicazioni o vi immette siffatti dati, nel collegamento di tali dati con l’account utente della rete sociale e nel loro utilizzo, sempre che le informazioni trattate, individualmente considerate o aggregate, consentano la profilazione dell’utente secondo le categorie risultanti dall’elencazione, effettuata da tale disposizione, dei dati personali sensibili; e che, dall’altro, l’articolo 9, paragrafo 2, lettera e), del RGPD deve essere interpretato nel senso che un utente non rende manifestamente pubblici dati per il fatto che essi sono stati rivelati consultando pagine Internet e applicazioni o sono stati inseriti in tali pagine Internet o applicazioni o che essi risultano dall’attivazione di pulsanti di selezione ivi integrati.
Sulle questioni pregiudiziali dalla terza alla quinta
47. Con le sue questioni pregiudiziali dalla terza alla quinta, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, lettere b), c), d), e) ed f), del RGPD debba essere interpretato nel senso che la prassi controversa (60) rientra nell’ambito di applicazione di una delle giustificazioni previste da dette disposizioni e, nello specifico, [delle seguenti giustificazioni]:
– la necessità per l’esecuzione del contratto (61) o per il perseguimento dei legittimi interessi (62), tenuto conto del fatto che Meta Platforms gestisce una rete sociale finanziata dalla pubblicità e che offre, nelle sue condizioni d’uso, la personalizzazione dei contenuti e della pubblicità, la sicurezza della rete, il miglioramento dei prodotti e l’uso coerente e senza interruzioni di tutti i prodotti del gruppo (terza questione pregiudiziale);
– la tutela di tali legittimi interessi (63) nel contesto di determinate situazioni (64) (quarta questione pregiudiziale);
– la necessità di rispondere a una legittima richiesta di dati specifici (65), la necessità di contrastare comportamenti dannosi e promuovere la sicurezza (66) o le ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza (67) (quinta questione pregiudiziale).
48. In via preliminare, nonostante qualche interrogativo circa la ricevibilità delle questioni pregiudiziali quarta e quinta (68), propongo di rispondere congiuntamente alle questioni dalla terza alla quinta, in quanto le indicazioni che fornirò nel prosieguo, principalmente in relazione alla terza questione pregiudiziale, potranno essere utili al giudice del rinvio anche al momento di applicare le disposizioni che formano l’oggetto delle questioni pregiudiziali quarta e quinta.
49. In via principale, rilevo che, a norma dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), i dati personali devono essere trattati secondo il principio di lealtà, per finalità determinate e in base a un altro fondamento legittimo previsto dalla legge, per finalità determinate e sulla base di un fondamento legittimo previsto dalla legge. A tale riguardo, l’articolo 6, paragrafo 1, del RGPD precisa che il trattamento di tali dati è lecito solo se ricorre una delle sei condizioni previste da detta disposizione (69).
50. Nel caso di specie, anzitutto, ritengo che le questioni pregiudiziali dalla terza alla quinta richiedano un’analisi dettagliata, caso per caso, delle varie clausole delle condizioni d’uso Facebook nel contesto della prassi controversa, poiché non è possibile stabilire se, in relazione a tale prassi, «un’impresa come [Meta Platforms]» possa invocare, nella sua interezza, tutte le giustificazioni elencate all’articolo 6, paragrafo 1, del RGPD(o alcune di esse), per quanto non si possa escludere che detta prassi o alcune delle sue attività possano, in taluni casi, rientrare nell’ambito di applicazione dell’articolo in questione (70).
51. Inoltre, il trattamento previsto dalle disposizioni citate viene effettuato, nel caso di specie, sulla base delle condizioni generali del contratto imposte dal titolare del trattamento, in assenza del consenso dell’interessato (71), o anche contro la sua volontà, il che richiede, a mio avviso, un’interpretazione restrittiva delle giustificazioni di cui trattasi, in particolare, al fine di evitare l’elusione della condizione del consenso (72).
52. Rammento, infine, che, a norma dell’articolo 5, paragrafo 2, del RGPD, l’onere della prova che i dati personali sono trattati conformemente alle norme di tale regolamento grava sul titolare del trattamento e che, conformemente all’articolo 13, paragrafo 1, lettera c), del medesimo regolamento, incombe al titolare del trattamento specificare le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento.
Sulla terza questione pregiudiziale
53. In primo luogo, ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD, il trattamento dei dati personali è lecito nella misura in cui è necessario all’esecuzione di un contratto di cui l’interessato è parte (73).
54. A tale riguardo, ricordo che la nozione di «necessità» non è definita nel diritto dell’Unione, ma nondimeno essa costituisce, secondo la giurisprudenza, una nozione autonoma del diritto dell’Unione (74). Affinché il trattamento sia necessario all’esecuzione del contratto, non è sufficiente che esso sia effettuato in relazione all’esecuzione del contratto; che sia menzionato nel contratto (75) o anche che sia semplicemente utile per l’esecuzione del contratto (76). Secondo la giurisprudenza della Corte, il trattamento deve essere oggettivamente necessario all’esecuzione del contratto, nel senso che non devono sussistere alternative realistiche e meno invasive (77), tenendo conto anche delle ragionevoli aspettative dell’interessato (78). Ciò comporta parimenti che, se il contratto è costituito da più servizi o da più elementi distinti di un servizio che possono ragionevolmente essere svolti indipendentemente l’uno dall’altro, l’applicabilità dell’articolo 6, paragrafo 1, lettera b), del RGPD dovrebbe essere valutata nel contesto di ciascuno di tali servizi separatamente(79).
55. Nell’ambito della giustificazione in esame, il giudice del rinvio fa riferimento alla personalizzazione dei contenuti e all’utilizzo coerente e senza interruzioni dei prodotti (o piuttosto dei servizi) del gruppo.
56. Per quanto riguarda la personalizzazione dei contenuti, mi sembra che, per quanto un’attività siffatta possa, in una certa misura, essere nell’interesse dell’utente, poiché consente di presentare, in particolare nel «feed di notizie», contenuti che, in base a una valutazione automatizzata, corrispondono agli interessi dell’utente, non è evidente che essa sia anche necessaria per la prestazione del servizio della rete sociale di cui trattasi, di modo che il trattamento dei dati personali per tali finalità non richieda il consenso di detto utente (80). Ai fini di tale esame, occorrerebbe altresì tener conto del fatto che la prassi controversa riguarda il trattamento non di dati relativi al comportamento dell’utente all’interno della pagina o dell’applicazione Facebook, bensì di dati generati da fonti esterne e quindi potenzialmente illimitati. Mi chiedo quindi fino a che punto un trattamento siffatto possa corrispondere alle aspettative di un utente medio e, più in generale, quale sia il «grado di personalizzazione» che questi possa aspettarsi dal servizio a cui si iscrive (81).
57. Per quanto riguarda l’utilizzo coerente e senza interruzioni dei servizi propri del gruppo, rilevo che un collegamento tra i vari servizi offerti dal ricorrente nel procedimento principale, ad esempio tra Facebook e Instagram, può, certamente, essere utile all’utente, o essere talvolta addirittura auspicato da quest’ultimo. Tuttavia, dubito che un trattamento dei dati personali derivati da altri servizi del gruppo (in particolare da Instagram) sia necessario per la prestazione dei servizi Facebook (82).
58. In secondo luogo, ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD, il trattamento dei dati personali è lecito nella misura in cui è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.
59. Secondo la giurisprudenza della Corte, la disposizione di cui trattasi prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento dell’interesse legittimo del titolare del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati, in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo e, in terzo luogo, la condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati (83).
60. Per quanto riguarda, anzitutto, il perseguimento di un interesse legittimo, ricordo che il RGPD e la giurisprudenza riconoscono un’ampia gamma di interessi considerati legittimi (84), pur precisando che, conformemente all’articolo 13, paragrafo 1, lettera d), del RGPD, incombe al titolare del trattamento indicare gli interessi legittimi perseguiti ai sensi dell’articolo 6, paragrafo 1, lettera f) del RGPD (85).
61. Per quanto riguarda, poi, la condizione relativa alla necessità del trattamento dei dati personali per il conseguimento dell’interesse legittimo perseguito, secondo la giurisprudenza della Corte, le deroghe alla tutela dei dati personali e le limitazioni della stessa devono avvenire nei limiti dello stretto necessario (86). È quindi necessario che sussista uno stretto collegamento tra il trattamento e l’interesse perseguito, in assenza di alternative più rispettose della protezione dei dati personali, poiché non è sufficiente che il trattamento sia di mera utilità per il titolare del trattamento.
62. Per quanto riguarda, infine, il contemperamento, da un lato, degli interessi del titolare del trattamento e, dall’altro, degli interessi o dei diritti e delle libertà fondamentali della persona interessata, secondo la giurisprudenza della Corte incombe al giudice del rinvio ponderare gli interessi in gioco (87). Inoltre, come enunciato al considerando 47 del RGPD, nel contesto di tale ponderazione, è essenziale tenere conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento e valutare se l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.
63. Nell’ambito della giustificazione in esame, il giudice del rinvio menziona la personalizzazione della pubblicità, la sicurezza della rete e il miglioramento dei prodotti.
64. Per quanto concerne, anzitutto, la personalizzazione della pubblicità, dal considerando 47 del RGPD risulta che può essere considerato legittimo interesse del titolare del trattamento trattare dati personali per finalità di marketing diretto. Tuttavia, per quanto riguarda la necessità del trattamento, occorre rilevare che i dati di cui trattasi sono generati da fonti esterne a Facebook e si pone quindi la questione di quale sia il «grado di personalizzazione» della pubblicità oggettivamente necessario a tal fine. Per quanto riguarda il contemperamento degli interessi in gioco, è necessario, a mio avviso, tenere conto della natura del legittimo interesse in questione (nella fattispecie, un interesse puramente economico), nonché delle ripercussioni del trattamento sull’utente, ivi comprese delle sue ragionevoli aspettative e delle eventuali misure di salvaguardia messe in atto dal titolare del trattamento (88).
65. Analoghe considerazioni possono essere poi svolte in merito alla sicurezza della rete. Infatti, benché sia evidente che siffatta giustificazione possa costituire un legittimo interesse del titolare del trattamento (89), lo è meno concludere che il trattamento sia necessario nel caso di specie, anche in considerazione del fatto che i dati in questione provengono da fonti esterne a Facebook (90). In ogni caso, ricordo che incombe al titolare del trattamento specificare le finalità di sicurezza sulle quali può eventualmente fondarsi ciascun trattamento.
66. Per quanto riguarda, infine, il miglioramento del prodotto, se si escludono i miglioramenti relativi alla sicurezza che rientrano nella giustificazione specifica sopra esaminata, mi sembra che una giustificazione siffatta dovrebbe essere nell’interesse dell’utente piuttosto che nell’interesse del titolare del trattamento. Sotto tale profilo, è difficile capire in che misura essa possa costituire un legittimo interesse del titolare del trattamento e non richiedere il consenso dell’utente. Per quanto riguarda la condizione della necessità e il contemperamento dei diritti e degli interessi in gioco, rinvio alle considerazioni già svolte.
Sulle questioni pregiudiziali quarta e quinta
67. Con la sua quarta questione pregiudiziale, che costituisce, in sostanza, un’estensione della seconda parte della terza questione pregiudiziale, il giudice del rinvio chiede se il fatto che ricorrano determinate situazioni elencate comporti l’esistenza di un legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD, mentre, con la sua quinta questione pregiudiziale, detto giudice del rinvio chiede se la necessità di rispondere a una legittima richiesta di fornire determinati dati, la necessità di contrastare comportamenti dannosi e di promuovere la sicurezza o la ricerca a beneficio della società, e la necessità di promuovere la protezione, l’integrità e la sicurezza costituiscano giustificazioni applicabili alla prassi controversa (91).
68. A prescindere dalla ricevibilità di dette questioni (92), ritengo, in generale, che non si possa escludere, per quanto riguarda la quarta questione pregiudiziale, che talune clausole che caratterizzano la prassi di cui trattasi possano essere giustificate da legittimi interessi nelle circostanze menzionate dal giudice del rinvio (93) e, per quanto attiene alla quinta questione pregiudiziale, che, in talune situazioni, la prassi controversa possa essere giustificata sulla base delle disposizioni citate.
69. Tuttavia, dalla decisione di rinvio non risulta se, e in quale misura, Meta Platform Ireland abbia indicato, per ciascuna finalità di trattamento e tipologia di dati trattati, i legittimi interessi concretamente perseguiti o le altre giustificazioni eventualmente pertinenti nel caso di specie (94). Incombe quindi al giudice del rinvio, alla luce delle indicazioni che precedono, esaminare in che misura, nelle circostanze menzionate da tale giudice, la prassi controversa sia giustificata dall’esistenza di legittimi interessi di Meta Platform Ireland al trattamento dei dati ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD o da un’altra delle condizioni enunciate all’articolo 6, paragrafo 1, lettere c), d) ed e), del medesimo regolamento.
Sulla risposta alle questioni pregiudiziali dalla terza alla quinta
70. In conclusione, propongo di rispondere alle questioni pregiudiziali dalla terza alla quinta dichiarando che l’articolo 6, paragrafo 1, lettere b), c), d), e) ed f), del RGPD deve essere interpretato nel senso che la prassi controversa o alcune delle sue attività possono rientrare nelle eccezioni previste da tali disposizioni, purché ciascuna modalità di trattamento dei dati esaminata soddisfi le condizioni previste dalla giustificazione concretamente avanzata dal titolare del trattamento e, di conseguenza, purché:
– il trattamento sia oggettivamente necessario per la prestazione dei servizi relativi all’account Facebook;
– il trattamento sia necessario per perseguire un legittimo interesse fatto valere dal titolare del trattamento o dal terzo o dai terzi ai quali i dati sono comunicati e non incida in modo sproporzionato sui diritti e sulle libertà fondamentali dell’interessato;
– il trattamento sia necessario per rispondere a una legittima richiesta di fornire determinati dati, per contrastare comportamenti dannosi e per promuovere la sicurezza o per scopi di ricerca a beneficio della società e per promuovere la protezione, l’integrità e la sicurezza.
Sulla sesta questionepregiudiziale
71. Con la sua sesta questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD debbano essere interpretati nel senso che sia possibile esprimere un consenso valido e libero ai sensi dell’articolo 4, paragrafo 11, di tale regolamento nei confronti di un’impresa in posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati.
72. In via preliminare, ricordo che l’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD prevedono l’obbligo di un consenso dell’interessato, rispettivamente per quanto riguarda il trattamento dei dati personali in generale e il trattamento dei dati personali sensibili. Inoltre, ai sensi dell’articolo 4, punto 11, del RGPD, ai fini del regolamento in parola, per «consenso» dell’interessato si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, a che i dati personali che lo riguardano siano oggetto di trattamento (95).
73. Per quanto concerne, nello specifico, la condizione della «libertà» del consenso, che è l’unica ad essere in discussione nel caso di specie, rilevo che, conformemente al considerando 42 del RGPD, il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera (96) o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio(97). Inoltre, come previsto all’articolo 7, paragrafo 1, del RGPD (e ricordato al considerando 42 dello stesso), per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
74. Per quanto rileva nel caso di specie, ricordo, anzitutto, che, come sottolinea il considerando 43, prima frase, del RGPD, il consenso non costituisce un valido presupposto per il trattamento dei dati personali qualora esista un «evidente squilibrio» tra l’interessato e il titolare del trattamento (98); che inoltre, ai sensi dell’articolo 7, paragrafo 4, del RGPD, nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto (99) e, infine, che, conformemente al considerando 43, seconda frase, del RGPD, si presume parimenti che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso (100).
75. Nel caso di specie, ritengo che un’eventuale posizione dominante sul mercato in capo al titolare del trattamento dei dati personali che gestisce una rete sociale svolga un ruolo nella valutazione dell’esistenza di un libero consenso da parte dell’utente della rete sociale. L’esistenza di una situazione di potere sul mercato da parte del titolare del trattamento dei dati personali può creare, infatti, un evidente squilibrio di potere, nel senso indicato al precedente paragrafo 74 (101). Occorre, tuttavia, precisare, da un lato, che, affinché una situazione siffatta di potere sul mercato sia rilevante sotto il profilo dell’applicazione del RGPD, essa non deve necessariamente essere equiparata al livello di posizione dominante ai sensi dell’articolo 102 TFUE (102) e, dall’altro, che tale circostanza non può da sola, in linea di principio, privare di qualsiasi validità un consenso (103).
76. Ne consegue che la validità del consenso dovrà essere esaminata caso per caso, alla luce degli altri elementi menzionati ai paragrafi 73 e 74 delle presenti conclusioni e tenendo conto di tutte le circostanze del caso di specie nonché del fatto che l’onere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali grava sul titolare del trattamento.
77. In conclusione, propongo di rispondere alla sesta questione pregiudiziale dichiarando che l’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD devono essere interpretati nel senso che la sola circostanza che l’impresa che gestisce una rete sociale goda di una posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati non può, di per sé, privare il consenso dell’utente di tale rete al trattamento dei suoi dati personali della sua validità ai sensi dell’articolo 4, paragrafo 11, del RGPD. Siffatta circostanza svolge tuttavia un ruolo nella valutazione della libertà del consenso ai sensi di tale disposizione – la cui dimostrazione incombe al titolare del trattamento – tenendo conto, se del caso, dell’esistenza di un evidente squilibrio di potere tra l’interessato e il titolare del trattamento, dell’eventuale obbligo di acconsentire al trattamento di dati personali diversi da quelli strettamente necessari per l’erogazione dei servizi di cui trattasi, della necessità che il consenso sia specifico per ciascuna finalità del trattamento e della necessità di evitare che la revoca del consenso da parte dell’utente causi a quest’ultimo un pregiudizio.
Conclusione
78. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) nei seguenti termini:
1) Gli articoli da 51 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
devono essere interpretati nel senso che:
un’autorità garante della concorrenza, nell’ambito dei suoi poteri in forza delle regole di concorrenza, può esaminare, in via incidentale, la conformità delle prassi esaminate con le norme di tale regolamento, tenendo conto al contempo di ogni decisione o indagine dell’autorità di controllo competente ai sensi del suddetto regolamento e informandone l’autorità nazionale di controllo, eventualmente consultandola.
2) L’articolo 9, paragrafo 1, del regolamento 2016/679
deve essere interpretato nel senso che:
il divieto di trattamento dei dati personali sensibili può ricomprendere il trattamento di dati effettuato da un gestore di una rete sociale in linea, consistente nella raccolta dei dati di un utente quando questi visita altri siti Internet o applicazioni o vi immette tali dati, nel collegamento di detti dati con l’account utente della rete sociale e nel loro utilizzo, sempre che le informazioni trattate, individualmente considerate o aggregate, consentano la profilazione dell’utente secondo le categorie risultanti dall’elencazione, effettuata da tale disposizione, dei dati personali sensibili.
L’articolo 9, paragrafo 2, lettera e), di detto regolamento deve essere interpretato nel senso che:
un utente non rende manifestamente pubblici dati per il fatto che essi sono stati rivelati consultando pagine Internet e applicazioni o inseriti in tali pagine Internet o applicazioni o che sono risultanti dall’attivazione di pulsanti di selezione ivi integrati.
3) L’articolo 6, paragrafo 1, lettere b), c), d), e) ed f), del regolamento 2016/679
deve essere interpretato nel senso che:
la prassi consistente, in primo luogo, nella raccolta di dati generati da altri servizi propri del gruppo, nonché da siti Internet e applicazioni di terzi mediante interfacce in essi integrate oppure tramite cookies (marcatori) memorizzati nel computer o nel dispositivo terminale mobile dell’utente, in secondo luogo, nel collegamento di tali dati con l’account Facebook dell’utente interessato e, in terzo luogo, nell’utilizzo di detti dati o talune delle attività in cui si articola siffatta prassi possono rientrare nelle eccezioni previste da tali disposizioni, purché ciascuna modalità di trattamento dei dati esaminata soddisfi le condizioni previste dalla giustificazione concretamente avanzata dal titolare del trattamento e che di conseguenza:
– il trattamento sia oggettivamente necessario per la prestazione dei servizi relativi all’account Facebook;
– il trattamento sia necessario per perseguire un legittimo interesse fatto valere dal titolare del trattamento o del terzo o dei terzi ai quali i dati sono comunicati e non incida in modo sproporzionato sui diritti e sulle libertà fondamentali dell’interessato;
– il trattamento sia necessario per rispondere a una legittima richiesta di fornire determinati dati, per contrastare comportamenti dannosi e per promuovere la sicurezza o per scopi di ricerca a beneficio della società e per promuovere la protezione, l’integrità e la sicurezza.
4) L’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del regolamento 2016/679
devono essere interpretati nel senso che:
la sola circostanza che l’impresa che gestisce una rete sociale goda di una posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati non può, di per sé, privare il consenso dell’utente di tale rete al trattamento dei suoi dati personali della sua validità a norma dell’articolo 4, paragrafo 11, del suddetto regolamento. Siffatta circostanza svolge tuttavia un ruolo nella valutazione della libertà del consenso ai sensi di tale disposizione – la cui dimostrazione incombe al titolare del trattamento – tenendo conto, se del caso, dell’esistenza di un evidente squilibrio di potere tra l’interessato e il titolare del trattamento, dell’eventuale obbligo di acconsentire al trattamento di dati personali diversi da quelli strettamente necessari per l’erogazione dei servizi di cui trattasi, della necessità che il consenso sia specifico per ciascuna finalità del trattamento e della necessità di evitare che la revoca del consenso da parte dell’utente causi a quest’ultimo un pregiudizio.