Pedido de decisão prejudicial apresentado pelo Oberlandesgericht Düsseldorf (Alemanha) em 22 de abril de 2021 – Facebook Inc. e o./Bundeskartellamt
(Processo C-252/21)
Língua do processo: alemão
Órgão jurisdicional de reenvio
Oberlandesgericht Düsseldorf
Partes no processo principal
Recorrentes: Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH
Recorrido: Bundeskartellamt
Interveniente: Verbraucherzentrale Bundesverband e.V.
Questões prejudiciais
a) É compatível com os artigos 51.° e seguintes do Regulamento (UE) 2016/679 1 (RGPD) que uma autoridade nacional de concorrência de um Estado-Membro, como o Bundeskartellamt, que não é uma autoridade de controlo na aceção dos artigos 51.° e seguintes do RGPD e em cujo Estado-Membro uma empresa com sede fora da União Europeia possui um estabelecimento que dá apoio em matéria de publicidade, comunicação e relações públicas ao estabelecimento principal desta empresa sedeado noutro Estado-Membro, que detém a responsabilidade exclusiva pelo tratamento de dados pessoais para todo o território da União Europeia, constate, no âmbito do controlo de abusos, que as condições contratuais do estabelecimento principal relativas ao tratamento de dados e a execução das mesmas violam o RGPD e profira uma decisão ordenando a cessação dessa infração?
b) Na afirmativa: isso é compatível com o artigo 4.°, n.° 3, TUE, se, ao mesmo tempo, a autoridade de controlo principal no Estado-Membro do estabelecimento principal, na aceção do artigo 56.°, n.° 1, do RGPD, sujeitar as condições contratuais relativas ao tratamento de dados daquele estabelecimento a um procedimento de investigação?
Em caso de resposta afirmativa à questão prejudicial 1:
a) Deve entender-se que, no caso de um utilizador da Internet, quer se limite a aceder ou também introduza dados em páginas Web ou em aplicações de computador que estejam relacionadas com os critérios do artigo 9.°, n.° 1, do RGPD, como aplicações de computador para contactos românticos, bolsas de parceiros homossexuais, páginas Web de partidos políticos, páginas Web relacionadas com a saúde, tanto no momento do registo como no momento da realização de encomendas, e outra empresa como a Facebook Ireland, através de interfaces integradas nas páginas Web e nas aplicações de computador, como as «Facebook Business Tools», ou de cookies instalados no computador ou no terminal móvel do utilizador da Internet ou de tecnologias de armazenagem semelhantes, recolha os dados relativos ao acesso às páginas Web e às aplicações de computador por parte do utilizador e os dados nelas introduzidos pelo utilizador, os cruze com os dados da conta do utilizador na Facebook.com e os utilize, está em causa o tratamento de dados sensíveis, na aceção daquela norma, no momento da recolha e/ou do cruzamento e/ou da utilização?
b) Na afirmativa: o acesso a estas páginas Web e aplicações de computador e/ou a introdução de dados e/ou a ativação dos botões ligados a estas páginas Web ou aplicações de computador («plugins sociais», tais como «gostos», «partilhas» ou «Facebook Login» ou «Account Kit») de um fornecedor como a Facebook Ireland equivale manifestamente a tornar públicos os dados sobre o acesso enquanto tal e/ou os dados introduzidos pelo utilizador, na aceção do artigo 9.°, n.° 2, alínea e), do RGPD?
Pode uma empresa como a Facebook Ireland, que gere uma rede social digital, financiada por publicidade, e oferece, nas suas condições de utilização, a personalização dos conteúdos e da publicidade, a segurança da rede, o aperfeiçoamento dos produtos e a utilização contínua e ininterrupta de todos os produtos das empresas do grupo, invocar como justificação a necessidade para a execução do contrato, nos termos do artigo 6.°, n.° 1, alínea b), do RGPD ou a garantia de interesses legítimos nos termos do artigo 6.°, n.° 1, alínea f), do RGPD, se para esses efeitos recolher dados provenientes de outros serviços de empresas do mesmo grupo e de páginas Web e aplicações de computador de terceiros através de interfaces integradas nas mesmas, como as «Facebook Business Tools», ou de cookies instalados no computador ou no terminal móvel do utilizador da Internet ou outras tecnologias de armazenagem, os cruzar com a conta do utilizador na Facebook.com e os utilizar?
Nesse caso, podem igualmente
– o facto de os utilizadores serem menores, para efeitos de personalização dos conteúdos e de publicidade, aperfeiçoamento dos produtos, segurança da rede e comunicação não comercial com o utilizador,
– a disponibilização de medições, análises e outros serviços empresariais a clientes anunciantes, programadores e outros parceiros, para estes poderem avaliar e aperfeiçoar os seus serviços,
– a disponibilização de comunicação comercial com o utilizador, a fim de a empresa poder aperfeiçoar os seus produtos e realizar ações de marketing direto,
– a investigação e a inovação para fins sociais, a fim de promover o estado da tecnologia ou o conhecimento científico relativo a temas sociais relevantes e a fim de influenciar positivamente a sociedade e o mundo,
– as informações prestadas às autoridades criminais e de execução e a resposta a pedidos judiciais a fim de prevenir, detetar e perseguir crimes, a utilização indevida, violações contra as condições de utilização e de diretivas ou outros comportamentos lesivos,
consubstanciar interesses legítimos na aceção do artigo 6.°, n.° 1, alínea f), do RGPD se a empresa, para estes fins, recolher dados de outros serviços de empresas do mesmo grupo e de páginas Web e aplicações de computador de terceiros, através de interfaces integradas nas mesmas, como as «Facebook Business Tools», ou de cookies instalados no computador ou no terminal móvel do utilizador da Internet ou outras tecnologias de armazenagem, os cruzar com a conta Facebook.com do utilizador e os utilizar?
Nesse caso, pode a recolha de dados dos outros serviços de empresas do mesmo grupo e de páginas Web e aplicações de computador de terceiros, através de interfaces integradas nas mesmas, como as «Facebook Business Tools», ou de cookies instalados no computador ou no terminal móvel do utilizador da Internet ou outras tecnologias de armazenagem, o cruzamento com a conta do utilizador na Facebook.com e a utilização de outros dados recolhidos e cruzados de forma legítima em casos individuais também ser justificado ao abrigo do artigo 6.°, n.° 1, alíneas c), d) e e), do RGPD, por exemplo, a fim de dar resposta a um pedido legítimo de certos dados [alínea c)], impedir um comportamento lesivo e promover a segurança [alínea d)], para efeitos de investigação para o bem-estar da sociedade e para a promoção da proteção, da integridade e da segurança [alínea e)]?
Pode ser apresentado a uma empresa com posição dominante no mercado como a Facebook Ireland um consentimento eficaz, livre, na aceção do artigo 6.°, n.° 1, alínea a) e do artigo 9.°, n.° 2, alínea a), do RGPD?
Em caso de resposta negativa à questão prejudicial 1:
a) Pode uma autoridade nacional de concorrência de um Estado-Membro, como o Bundeskartellamt, que não é uma autoridade de controlo na aceção dos artigos 51.° e seguintes do RGPD e que constata que uma empresa com posição dominante no mercado violou a proibição de abuso em matéria de direito da concorrência, que não consiste na violação do RGPD pelas suas condições de tratamento de dados e respetiva implementação, averiguar, eventualmente no âmbito de uma ponderação de interesses, se as condições de tratamento dos dados desta empresa e a sua implementação estão em conformidade com o RGPD?
b) Na afirmativa, o mesmo é aplicável em relação ao artigo 4.°, n.° 3, TUE, no caso de, ao mesmo tempo, a autoridade de controlo principal sujeitar as condições de tratamento de dados desta empresa a um procedimento de investigação?
Em caso de resposta afirmativa à questão prejudicial 7, é necessária a resposta às questões prejudiciais 3 a 5 no que diz respeito aos dados de utilização do serviço Instagram do mesmo grupo.
____________
1 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).