Domanda di pronuncia pregiudiziale proposta dall’Oberlandesgericht Düsseldorf (Germania) il 22 aprile 2021 – Facebook Inc. e altri / Bundeskartellamt
(Causa C-252/21)
Lingua processuale: il tedesco
Giudice del rinvio
Oberlandesgericht Düsseldorf
Parti
Ricorrenti: Facebook Inc., Facebook Ireland Ltd, Facebook Deutschland GmbH
Resistente: Bundeskartellamt
Con l’intervento di: Verbraucherzentrale Bundesverband e.V.
Questioni pregiudiziali
a) Se sia compatibile con gli articolo 51 e seguenti del Regolamento (UE) 2016/679 1 (RGPD) il fatto che un’autorità garante della concorrenza di uno Stato membro – come il Bundeskartellamt (autorità federale tedesca garante della concorrenza) –, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e nel cui Stato membro un’impresa stabilita al di fuori dell’Unione europea disponga di una filiale di supporto alla filiale principale nel settore della pubblicità, della comunicazione e delle relazioni pubbliche – e la filiale principale di tale impresa è situata in un altro Stato membro e ha la responsabilità esclusiva per il trattamento dei dati personali per l’intero territorio dell’Unione europea –, constati, nell’ambito dell’esercizio di un controllo degli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali operate dalla filiale principale relativamente al trattamento dei dati e la relativa attuazione violano il RGPD, e disponga di porre fine a tale violazione.
b) In caso affermativo, se ciò sia compatibile con l’articolo 4, paragrafo 3, TUE se, nel contempo, l’autorità di controllo capofila nello Stato membro in cui si trova la filiale principale ai sensi dell’articolo 56, paragrafo 1, del RGPD sottopone a un procedimento di indagine le condizioni contrattuali per il trattamento dei dati operate da quest’ultima.
In caso di risposta affermativa alla prima questione:
a) Se, nel caso di un utente di Internet che si limiti a visitare siti Internet o applicazioni («app») che fanno riferimento ai criteri di cui all’articolo 9, paragrafo 1, del RGPD – come app di incontri, siti per incontri omosessuali, siti di partiti politici, siti relativi alla salute – o vi immetta dati al fine di registrarvisi o di effettuare degli ordini, e di un’altra società, come Facebook Ireland, che raccolga i dati relativi all’accesso ai siti e alle app e alle informazioni ivi immesse da parte dell’utente – tramite interfacce integrate nei siti e nelle app, come «Strumenti di Facebook Business», o tramite marcatori temporanei («cookies») o simili tecnologie di memorizzazione utilizzate sul computer o sul dispositivo terminale mobile dell’utente –, li colleghi ai dati dell’account Facebook.com dell’utente e li utilizzi, la raccolta e/o il collegamento e/o l’utilizzo configurino un trattamento di dati sensibili ai sensi di detto articolo.
b) In caso affermativo: se l’accesso a tali siti e app e/o l’inserimento di dati e/o l’azionamento di pulsanti («plug-in social» come «Mi piace», «Condividi» o «Facebook Login» o «Account Kit») integrati in tali siti o app da un fornitore come Facebook Ireland costituiscano una manifesta modalità di rendere pubblici i dati relativi all’accesso di per sé e/o i dati immessi da parte dell’utente, ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD.
Se un’impresa come Facebook Ireland, che gestisce un social network digitale finanziato dalla pubblicità e che offre, nelle sue condizioni d’uso, la personalizzazione dei contenuti e della pubblicità, la sicurezza della rete, il miglioramento dei prodotti e l’utilizzo coerente e senza interruzioni di tutti i prodotti del gruppo, possa invocare la giustificazione della necessità per l’esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD, o la giustificazione della tutela dei legittimi interessi di cui all’articolo 6, paragrafo 1, lettera f), del RGPD, quando a tali fini essa raccoglie dati generati da altri servizi del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come «Strumenti di Facebook Business», oppure tramite cookies o simili tecnologie di memorizzazione applicati al computer o al dispositivo terminale mobile dell’utente, li collega all’account Facebook.com dell’utente e li utilizza.
Se, in tal caso, possano essere considerati legittimi interessi ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD anche:
– la minore età dell’utente, ai fini della personalizzazione dei contenuti e della pubblicità, del miglioramento dei prodotti, della sicurezza della rete e delle comunicazioni non commerciali con l’utente,
– la fornitura di misurazioni, dati statistici e altri servizi per le aziende a inserzionisti, sviluppatori e altri partner, affinché questi possano valutare e migliorare le proprie prestazioni,
– l’offerta di comunicazioni di marketing con l’utente affinché l’impresa possa migliorare i suoi prodotti e condurre marketing diretto,
– ricerca e innovazione per il bene della società per far progredire lo stato dell’arte o la comprensione scientifica relativamente a importanti temi sociali e per avere un impatto positivo sulla società e sul mondo,
– informazioni alle autorità preposte all’applicazione e all’esecuzione della legge e la risposta a richieste legali, al fine di prevenire, individuare e perseguire reati penali, usi non autorizzati, violazioni delle condizioni d’uso e delle normative [aziendali] ed altri comportamenti dannosi,
quando a tali fini l’impresa raccoglie dati generati da altri servizi del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come «Strumenti di Facebook Business», o tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, li collega all’account Facebook.com dell’utente e li utilizza.
Se, in tal caso, possano essere giustificati la raccolta di dati provenienti da altri servizi del gruppo e da siti internet e app di terzi tramite interfacce in essi integrate, come «Strumenti di Facebook Business», oppure tramite cookies o simili tecnologie di memorizzazione applicati al computer o al dispositivo terminale mobile dell’utente, il collegamento con l’account Facebook.com dell’utente e l’utilizzo, oppure l’utilizzo di dati già altrimenti e legittimamente raccolti e collegati, caso per caso, anche ai sensi dell’articolo 6, paragrafo 1, lettere c), d) ed e) del RGPD, ad esempio per rispondere ad una legittima richiesta di dati specifici [lettera c)], per contrastare comportamenti dannosi e promuovere la sicurezza [lettera d)], per ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza [lettera e)].
Se nei confronti di un’impresa in posizione dominante sul mercato come Facebook Ireland sia possibile esprimere un consenso valido, e in particolare libero ai sensi dell’articolo 4, paragrafo 11, del RGPD, in conformità con gli articoli 6, paragrafo 1, lettera a), e 9, paragrafo 2, lettera a), del RGPD.
In caso di risposta negativa alla prima questione:
a) Se un’autorità nazionale garante della concorrenza di uno Stato membro – come il Bundeskartellamt –, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e che esamini una violazione del divieto di abuso di posizione dominante ai sensi del diritto della concorrenza da parte di un’impresa in posizione dominante, che non consista in una violazione del RGPD da parte delle sue condizioni per il trattamento dei dati e della loro attuazione, possa effettuare accertamenti, ad esempio nell’ambito della ponderazione degli interessi, in merito alla conformità con il RGPD delle condizioni per il trattamento dei dati di tale impresa e della loro attuazione.
b) In caso affermativo: se, ai sensi dell’articolo 4, paragrafo 3, TUE, ciò valga anche qualora, nel contempo, l’autorità di controllo capofila competente ai sensi dell’articolo 56, paragrafo 1, del RGPD sottoponga le condizioni per il trattamento dei dati di tale impresa ad un procedimento di indagine.
Per poter rispondere affermativamente alla settima questione, occorre prima rispondere alle questioni da 3 a 5 per quanto riguarda i dati generati dall’utilizzo del servizio Instagram, appartenente al gruppo.
____________
1 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag, 1).