CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:704

CONCLUSIONI DELL’AVVOCATO GENERALE

ATHANASIOS RANTOS

presentate il 20 settembre 2022 (1)

Causa C‑252/21

Meta Platforms Inc., già Facebook Inc.,

Meta Platforms Ireland Limited, già Facebook Ireland Ltd.,

Facebook Deutschland GmbH

contro

Bundeskartellamt

con l’intervento di:

Verbraucherzentrale Bundesverband e.V.

[domanda di pronuncia pregiudiziale proposta dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania)]

«Rinvio pregiudiziale – Regolamento (UE) 2016/679 – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Rete sociale – Articolo 4, punto 11 – Nozione di “consenso” dell’interessato – Consenso accordato a un’impresa titolare del trattamento in posizione dominante – Articolo 6, paragrafo 1, lettere da b) a f) – Liceità del trattamento – Trattamento necessario all’esecuzione di un contratto di cui l’interessato è parte o per il perseguimento del legittimo interesse del titolare del trattamento o di terzi – Trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento – Articolo 9, paragrafo 1, e articolo 9, paragrafo 2, lettera e) – Categorie particolari di dati personali – Dati personali resi manifestamente pubblici dall’interessato – Articoli da 51 a 66 – Competenze dell’autorità nazionale garante della concorrenza – Coordinamento con le competenze delle autorità di controllo della protezione dei dati personali – Adozione di misure ai sensi del diritto della concorrenza da parte di un’autorità con sede in uno Stato membro diverso da quello dell’autorità capofila per il controllo della protezione dei dati»

Introduzione

1. La presente domanda di pronuncia pregiudiziale è stata proposta dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) nell’ambito di una controversia tra alcune società del gruppo Meta Platforms (2) e il Bundeskartellamt (autorità federale garante della concorrenza, Germania) in merito alla decisione con la quale quest’ultimo ha vietato al ricorrente nel procedimento principale il trattamento dei dati previsto dalle condizioni d’uso della sua rete sociale Facebook nonché l’attuazione di tali condizioni e ha imposto misure correttive (3).

2. Le questioni pregiudiziali vertono, essenzialmente, da un lato, sulla competenza di un’autorità nazionale garante della concorrenza, quale il Bundeskartellamt, ad esaminare, in via principale o incidentale, i comportamenti di un’impresa alla luce di talune disposizioni del regolamento (UE) 2016/679 (4) e, dall’altro, l’interpretazione di dette disposizioni per quanto riguarda, in particolare, il trattamento di dati personali sensibili, le pertinenti condizioni di liceità del trattamento di dati personali e la manifestazione del libero consenso a un’impresa in posizione dominante.

Contesto normativo

Diritto dell’Unione

3. L’articolo 4 del RGPD stabilisce quanto segue:

«Ai fini del presente regolamento s’intende per:

(…)

11) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(…)».

4. L’articolo 6, paragrafo 1, di detto regolamento, rubricato «Liceità del trattamento», è così formulato:

«Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti».

5. L’articolo 9, paragrafi 1 e 2, di detto regolamento, rubricato «Trattamento di categorie particolari di dati personali», così dispone:

«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

(…)

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

(…)».

6. L’articolo 51 del medesimo regolamento, rubricato «Autorità di controllo», contenuto nel capo VI di quest’ultimo, dal titolo «Autorità di controllo indipendenti», enuncia quanto segue:

«1. Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (…).

2. Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione, conformemente al capo VII.

(…)».

Diritto tedesco

7. L’articolo 19, paragrafo 1, del Gesetz gegen Wettbewerbsbeschränkungen (legge contro le restrizioni della concorrenza; in prosieguo: il «GWB») così dispone:

«È vietato lo sfruttamento abusivo di una posizione dominante sul mercato tramite una o più imprese» (5).

8. L’articolo 50f del GWB stabilisce quanto segue:

«(1) Le autorità garanti della concorrenza, le autorità di regolamentazione, il responsabile federale della protezione dei dati e della libertà di informazione, i responsabili regionali della protezione dei dati e le autorità competenti ai sensi dell’articolo 2 dell’EU‑Verbraucherschutzdurchführungsgesetz [legge per l’attuazione del diritto dell’Unione europea in materia di tutela dei consumatori] possono, indipendentemente dalla procedura scelta, scambiarsi informazioni, compresi dati personali e segreti tecnici e commerciali, nella misura necessaria per l’assolvimento dei rispettivi compiti e utilizzare tali informazioni nell’ambito delle loro procedure. (…)».

Procedimento principale, questioni pregiudiziali e procedimento dinanzi alla Corte

9. Meta Platforms gestisce l’offerta della rete sociale in linea «Facebook» nell’Unione europea (all’indirizzo www.facebook.com), nonché altri servizi in linea, tra cui Instagram e WhatsApp. Il modello economico delle reti sociali gestite da Meta Platforms consiste essenzialmente, da un lato, nell’offrire servizi di rete sociale gratuiti per gli utenti privati e, dall’altro, nel vendere pubblicità in linea, personalizzata per il singolo utente della rete sociale e finalizzata a mostrare all’utente i prodotti e i servizi che potrebbero interessargli in base, in particolare, al suo personale comportamento di consumo, ai suoi interessi, al suo potere d’acquisto e alle sue condizioni di vita. Il presupposto tecnico per questo tipo di pubblicità è la creazione automatizzata di profili altamente dettagliati degli utenti della rete e dei servizi in linea offerti a livello del gruppo (6).

10. Ai fini della raccolta e del trattamento dei dati degli utenti, Meta Platforms si basa sul contratto di licenza d’uso concluso con i propri utenti tramite l’attivazione da parte di questi ultimi del pulsante «Iscriviti», con la quale essi accettano le condizioni d’uso di Facebook. L’accettazione di siffatte condizioni d’uso è un presupposto essenziale per l’utilizzo della rete sociale Facebook (7). L’elemento centrale della presente causa riguarda la prassi consistente, in primo luogo, nella raccolta di dati generati da altri servizi propri del gruppo, nonché da siti Internet e da applicazioni di terzi tramite interfacce in essi integrate oppure mediante cookies memorizzati nel computer o nel dispositivo mobile dell’utente; in secondo luogo, nel collegamento di tali dati con l’account Facebook dell’utente interessato e, in terzo luogo, nell’utilizzo di detti dati (in prosieguo: la «prassi controversa»).

11. Il Bundeskartellamt ha avviato un procedimento nei confronti di Meta Platforms a seguito del quale, con la decisione controversa, ha vietato a tale gruppo il trattamento dei dati previsto dalle condizioni d’uso di Facebook nonché l’attuazione di dette condizioni e ha imposto misure correttive. Il Bundeskartellamt ha motivato la sua decisione, in particolare, con il fatto che il trattamento di cui trattasi costituiva uno sfruttamento abusivo della posizione dominante di Meta Platforms sul mercato delle reti sociali per gli utenti privati in Germania, ai sensi dell’articolo 19 del GWB (8).

12. L’11 febbraio 2019, Meta Platforms ha proposto ricorso avverso la decisione controversa dinanzi all’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) (9), giudice del rinvio, il quale sostanzialmente nutre dubbi, da un lato, quanto alla possibilità per le autorità nazionali garanti della concorrenza di controllare la conformità di un trattamento dei dati ai requisiti previsti dal RGPD e di accertare e sanzionare la violazione delle disposizioni di tale regolamento e, dall’altro, quanto all’interpretazione e all’applicazione di talune disposizioni del regolamento medesimo.

13. È in tale contesto che l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) a) Se sia compatibile con gli articol[i] 51 e seguenti del [RGPD] il fatto che un’autorità garante della concorrenza di uno Stato membro – come il Bundeskartellamt (autorità federale tedesca garante della concorrenza) –, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e nel cui Stato membro un’impresa stabilita al di fuori dell’Unione europea disponga di una filiale di supporto alla filiale principale nel settore della pubblicità, della comunicazione e delle relazioni pubbliche – mentre la filiale principale di tale impresa è situata in un altro Stato membro e ha la responsabilità esclusiva per il trattamento dei dati personali per l’intero territorio dell’Unione europea –, constati, nell’ambito dell’esercizio di un controllo degli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali operate dalla filiale principale relativamente al trattamento dei dati e la relativa attuazione violano il RGPD, e disponga di porre fine a tale violazione.

b) In caso affermativo, se ciò sia compatibile con l’articolo 4, paragrafo 3, TUE se, nel contempo, l’autorità di controllo capofila nello Stato membro in cui si trova la filiale principale ai sensi dell’articolo 56, paragrafo 1, del RGPD sottopone a un procedimento di indagine le condizioni contrattuali per il trattamento dei dati operate da quest’ultima.

In caso di risposta affermativa alla prima questione:

2) a) Se, nel caso di un utente di Internet che si limiti a visitare siti Internet o applicazioni (“app”) che fanno riferimento ai criteri di cui all’articolo 9, paragrafo 1, del RGPD – come app di incontri, siti per incontri omosessuali, siti di partiti politici, siti relativi alla salute – o vi immetta dati al fine di registrarvisi o di effettuare degli ordini, e di un’altra società, come Facebook Ireland, che raccolga i dati relativi all’accesso ai siti e alle app e alle informazioni ivi immesse da parte dell’utente – tramite interfacce integrate nei siti e nelle app, come “Strumenti di Facebook Business”, o tramite marcatori temporanei (“cookies”) o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente –, li colleghi ai dati dell’account [Facebook] dell’utente e li utilizzi, la raccolta e/o il collegamento e/o l’utilizzo configurino un trattamento di dati sensibili ai sensi di detto articolo.

b) In caso affermativo: se l’accesso a tali siti e app e/o l’inserimento di dati e/o l’azionamento di pulsanti (“plug-in social” come “Mi piace”, “Condividi” o “Facebook Login” o “Account Kit”) integrati in tali siti o app da un fornitore come Facebook Ireland costituiscano una modalità di rendere manifestamente pubblici i dati relativi all’accesso di per sé e/o i dati immessi da parte dell’utente, ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD.

3) Se un’impresa come Facebook Ireland, che gestisce un social network digitale finanziato dalla pubblicità e che offre, nelle sue condizioni d’uso, la personalizzazione dei contenuti e della pubblicità, la sicurezza della rete, il miglioramento dei prodotti e l’utilizzo coerente e senza interruzioni di tutti i prodotti del gruppo, possa invocare la giustificazione della necessità per l’esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD, o la giustificazione della tutela dei legittimi interessi di cui all’articolo 6, paragrafo 1, lettera f), del RGPD, quando a tali fini essa raccoglie dati generati da altri servizi propri del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, oppure tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, li collega all’account [Facebook] dell’utente e li utilizza.

4) Se, in tal caso, possano essere considerati legittimi interessi ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD anche

– la minore età dell’utente, ai fini della personalizzazione dei contenuti e della pubblicità, del miglioramento dei prodotti, della sicurezza della rete e delle comunicazioni non commerciali con l’utente,

– la fornitura di misurazioni, dati statistici e altri servizi per le aziende a inserzionisti, sviluppatori e altri partner, affinché questi possano valutare e migliorare le proprie prestazioni,

– l’offerta di comunicazioni di marketing con l’utente affinché l’impresa possa migliorare i suoi prodotti e condurre marketing diretto,

– ricerca e innovazione per il bene della società per far progredire lo stato dell’arte o la comprensione scientifica relativamente a importanti temi sociali e per avere un impatto positivo sulla società e sul mondo,

– informazioni alle autorità preposte all’applicazione e all’esecuzione della legge e la risposta a richieste legali, al fine di prevenire, individuare e perseguire reati penali, usi non autorizzati, violazioni delle condizioni d’uso e delle regole [aziendali] ed altri comportamenti dannosi,

quando a tali fini l’impresa raccoglie dati generati da altri servizi propri del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, o tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, li collega all’account [Facebook] dell’utente e li utilizza.

5) Se, in tal caso, possano essere giustificati la raccolta di dati provenienti da altri servizi propri del gruppo e da siti internet e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, oppure tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, il collegamento con l’account [Facebook] dell’utente e l’utilizzo, oppure l’utilizzo di dati già altrimenti e legittimamente raccolti e collegati, caso per caso, anche ai sensi dell’articolo 6, paragrafo 1, lettere c), d) ed e) del RGPD, ad esempio per rispondere ad una legittima richiesta di dati specifici [lettera c)], per contrastare comportamenti dannosi e promuovere la sicurezza [lettera d)], per ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza [lettera e)].

6) Se nei confronti di un’impresa in posizione dominante sul mercato come Facebook Ireland sia possibile esprimere un consenso valido, e in particolare libero ai sensi dell’articolo 4, paragrafo 11, del RGPD, in conformità con gli articoli 6, paragrafo 1, lettera a), e 9, paragrafo 2, lettera a), del RGPD.

In caso di risposta negativa alla prima questione:

7) a) Se un’autorità nazionale garante della concorrenza di uno Stato membro – come il Bundeskartellamt –, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e che esamini una violazione del divieto di abuso di posizione dominante ai sensi del diritto della concorrenza da parte di un’impresa in posizione dominante, che non consista in una violazione del RGPD da parte delle sue condizioni per il trattamento dei dati e della loro attuazione, possa effettuare accertamenti, ad esempio nell’ambito della ponderazione degli interessi, in merito alla conformità con il RGPD delle condizioni per il trattamento dei dati di tale impresa e della loro attuazione.

b) In caso affermativo: se, ai sensi dell’articolo 4, paragrafo 3, TUE, ciò valga anche qualora, nel contempo, l’autorità di controllo capofila competente ai sensi dell’articolo 56, paragrafo 1, del RGPD sottoponga le condizioni per il trattamento dei dati di tale impresa ad un procedimento di indagine.

Per poter rispondere affermativamente alla settima questione, occorre prima rispondere alle questioni da 3 a 5 per quanto riguarda i dati generati dall’utilizzo del servizio Instagram, appartenente al gruppo».

14. Hanno presentato osservazioni scritte Meta Platforms, i governi tedesco, ceco, italiano e austriaco, il Bundeskartellamt, il Verbraucherzentrale Bundesverband e.V. (associazione di consumatori, Germania), nonché la Commissione europea. Tali parti hanno inoltre presentato osservazioni orali all’udienza di discussione tenutasi il 10 maggio 2022.

Analisi

15. Le questioni pregiudiziali che formano l’oggetto della presente causa, relative all’interpretazione di svariate disposizioni del RGPD, riguardano, essenzialmente, in primo luogo, la competenza di un’autorità garante della concorrenza a constatare e sanzionare una violazione delle norme sul trattamento dei dati personali e i suoi obblighi di cooperazione con l’autorità capofila ai sensi del RGPD (questioni pregiudiziali prima e settima); in secondo luogo, il divieto di trattamento di dati personali sensibili e le condizioni applicabili al consenso al loro utilizzo (seconda questione pregiudiziale); in terzo luogo, la liceità del trattamento dei dati personali alla luce di talune giustificazioni (questioni pregiudiziali dalla terza alla quinta) e, in quarto luogo, la validità del consenso al trattamento dei dati personali accordato a un’impresa in posizione dominante (sesta questione pregiudiziale).

16. Nei seguenti paragrafi, tratterò anzitutto le questioni pregiudiziali prima e settima e in seguito le altre, nell’ordine in cui sono state poste, esaminando congiuntamente le questioni pregiudiziali dalla terza alla quinta.

Sulla prima questione pregiudiziale

17. Con la sua prima questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se un’autorità garante della concorrenza, che stia indagando su violazioni delle regole di concorrenza, possa, da un lato, pronunciarsi, in via principale (10), sulla violazione delle norme relative al trattamento dei dati del RGPD da parte di un’impresa la cui filiale principale, che ha la responsabilità esclusiva del trattamento dei dati personali per l’intera Unione, si trova in un altro Stato membro e, dall’altro, ordinare di porre fine a tale violazione [prima questione, lettera a)] e, in caso affermativo, se l’autorità di controllo capofila competente in forza dell’articolo 56, paragrafo 1, del RGPD possa continuare a sottoporre a procedimento di indagine le condizioni per il trattamento dei dati operate da detta impresa [prima questione, lettera b)].

18. Tuttavia, fatta salva la verifica da parte del giudice del rinvio, mi sembra che il Bundeskartellamt, nella decisione controversa, non abbia sanzionato una violazione del RGPD da parte di Meta Platforms, ma abbia proceduto, al solo fine dell’applicazione delle regole di concorrenza, all’esame di una presunta violazione del divieto di abuso di posizione dominante da parte di Meta Platforms, tenendo conto, inter alia, della non conformità del comportamento di tale impresa alle disposizioni del RGPD.

19. Pertanto, a mio avviso, nei limiti in cui riguarda la possibilità per un’autorità garante della concorrenza di pronunciarsi, in via principale, sulla violazione delle norme del RGPD e di ordinare la cessazione di tale violazione ai sensi di detto regolamento, la prima questione, lettera a), è inconferente (11).

20. Ne consegue che anche la lettera b) della prima questione, che è subordinata alla risposta affermativa alla lettera a) della prima questione, è inconferente (12).

Sulla settima questione pregiudiziale

21. Con la sua settima questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se un’autorità garante della concorrenza che stia indagando su violazioni delle regole di concorrenza possa effettuare accertamenti, in via incidentale (13), in merito alla conformità al RGPD delle condizioni per il trattamento dei dati e della loro attuazione [settima questione, lettera a)] e, in caso affermativo, se l’esame da parte dell’autorità garante della concorrenza sia possibile anche qualora, nel contempo, l’autorità di controllo capofila competente sottoponga dette condizioni a un procedimento di indagine [settima questione, lettera b)].

22. Per quanto riguarda, in primo luogo, la settima questione, lettera a), mi sembra che, sebbene un’autorità garante della concorrenza non sia competente a constatare una violazione del RGPD (14), quest’ultimo tuttavia non osti, in linea di principio, a che, nell’esercizio delle loro competenze e poteri, autorità diverse dalle autorità di controllo possano tenere conto, in via incidentale, della compatibilità di un comportamento con le disposizioni del RGPD. Ciò vale, a mio avviso, in particolare, per quanto riguarda l’esercizio da parte di un’autorità garante della concorrenza delle competenze che le sono conferite dall’articolo 102 TFUE e dall’articolo 5, primo comma, del regolamento (CE) n. 1/2003 (15) o da qualsiasi altra norma nazionale corrispondente (16).

23. Infatti, nell’esercizio delle sue competenze, un’autorità garante della concorrenza deve valutare, in particolare, se il comportamento in esame consista nell’avvalersi di mezzi diversi da quelli da quelli che sono propri di una concorrenza fondata sui meriti, tenuto conto del contesto giuridico ed economico in cui tale comportamento si inserisce (17). A tale riguardo, la conformità o non conformità di detto comportamento alle disposizioni del RGPD, non di per sé, bensì alla luce di tutte le circostanze del caso di specie, può costituire un importante indizio per stabilire se siffatto comportamento costituisca un ricorso a mezzi su cui s’impernia la concorrenza normale, restando inteso che il carattere abusivo o non abusivo del comportamento rispetto all’articolo 102 TFUE non risulta dalla sua conformità o meno con il RGPD o con altre norme giuridiche (18).

24. Ritengo pertanto che l’esame di un abuso di posizione dominante sul mercato possa giustificare che un’autorità garante della concorrenza interpreti norme non contemplate dal diritto della concorrenza, come quelle del RGPD (19), restando inteso che un esame siffatto è effettuato in via incidentale (20) e non pregiudica l’applicazione di tale regolamento data dalle autorità di controllo competenti (21).

25. Per quanto riguarda, in secondo luogo, la settima questione, lettera b), il giudice del rinvio solleva la questione di quali siano, nell’ambito dell’applicazione del principio di leale cooperazione sancito dall’articolo 4, paragrafo 3, TUE, gli obblighi che ha, nei confronti dell’autorità di controllo capofila competente ai sensi del RGPD, un’autorità garante della concorrenza quando interpreta le disposizioni del medesimo regolamento e, più specificamente, quando lo stesso comportamento esaminato dall’autorità garante della concorrenza è sottoposto ad esame da parte dell’autorità di controllo capofila competente.

26. Nel caso di specie, l’esame, ancorché incidentale, del comportamento di un’impresa alla luce delle norme del RGPD da parte di un’autorità garante della concorrenza comporta il rischio di divergenze tra quest’ultima autorità e le autorità di controllo quanto all’interpretazione di tale regolamento, il che, in linea di principio, può pregiudicare l’interpretazione uniforme del RGPD (22).

27. Il diritto dell’Unione non prevede norme dettagliate sulla cooperazione tra un’autorità garante della concorrenza e le autorità di controllo ai sensi del RGPD in una situazione siffatta. Più specificamente, nel caso di specie, non sono applicabili né il meccanismo di cooperazione tra le autorità competenti ai sensi del RGPD in sede di applicazione dello stesso (23) né altre specifiche norme sulla cooperazione tra autorità amministrative, come quelle sulla cooperazione tra le autorità garanti della concorrenza e la cooperazione tra queste ultime e la Commissione nell’applicazione delle regole di concorrenza (24).

28. Ciò premesso, un’autorità garante della concorrenza, nell’interpretare il RGPD, è tuttavia vincolata dal principio di leale cooperazione sancito dall’articolo 4, paragrafo 3, TUE, in forza del quale l’Unione e gli Stati membri, ivi comprese le loro autorità amministrative (25), si rispettano e si assistono reciprocamente nell’adempimento dei compiti derivanti dai Trattati. In particolare, ai sensi del terzo comma di tale disposizione, gli Stati membri facilitano all’Unione l’adempimento dei suoi compiti e si astengono da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell’Unione(26). Inoltre, al pari di ogni autorità amministrativa responsabile dell’applicazione del diritto dell’Unione, un’autorità garante della concorrenza è vincolata dal principio di buona amministrazione quale principio generale del diritto dell’Unione, che comprende, tra l’altro, un ampio obbligo di diligenza e sollecitudine delle autorità nazionali (27).

29. Pertanto, in mancanza di norme precise sui meccanismi di cooperazione, che è compito eventualmente del legislatore dell’Unione adottare, un’autorità garante della concorrenza, quando interpreta le disposizioni del RGPD, è soggetta, quanto meno, a obblighi di informazione, di intelligence e di cooperazione nei confronti delle autorità competenti ai sensi di tale regolamento, in applicazione delle norme nazionali che disciplinano le sue competenze (principio dell’autonomia procedurale degli Stati membri) e nel rispetto dei principi di equivalenza e di effettività (28).

30. Ne consegue, a mio avviso, che, nel caso in cui l’autorità di controllo capofila competente si sia pronunciata sull’applicazione di talune disposizioni del RGPD in relazione a una prassi identica o simile, l’autorità garante della concorrenza non potrà, in linea di principio, discostarsi dall’interpretazione di detta autorità, che è l’unica competente per quanto riguarda l’applicazione del regolamento in parola (29), e dovrà conformarsi, per quanto possibile, e nel rispetto, in particolare, dei diritti di difesa dei soggetti interessati, alle eventuali decisioni adottate da quest’ultima in merito allo stesso comportamento (30) e, in caso di dubbi circa l’interpretazione data dall’autorità competente nel caso di specie, consultare quest’ultima o eventualmente, qualora essa si trovi in un altro Stato membro, l’autorità nazionale di controllo (31).

31. Inoltre, in mancanza di una decisione dell’autorità di controllo competente, incombe nondimeno all’autorità garante della concorrenza informare detta autorità (32) e cooperare con essa qualora quest’ultima abbia avviato l’esame della stessa pratica o manifestato l’intenzione di farlo, ed eventualmente attendere l’esito dell’esame condotto da quest’ultima prima di iniziare la propria valutazione, sempre che ciò sia appropriato e non pregiudichi, in particolare, il rispetto da parte dell’autorità garante della concorrenza di un periodo di indagine ragionevole e dei diritti di difesa dei soggetti interessati (33).

32. Nel caso di specie, mi sembra che il fatto di aver contattato formalmente le autorità di controllo responsabili a livello nazionale (34) e di aver altresì contattato, in modo informale, l’autorità di controllo capofila irlandese – circostanze menzionate dal Bundeskartellamt e che spetta al giudice del rinvio verificare – possa essere sufficiente per concluderne che detta autorità ha adempiuto i suoi obblighi di diligenza e di leale cooperazione (35).

33. In conclusione, propongo di rispondere alla settima questione pregiudiziale dichiarando che gli articoli da 51 a 66 del RGPD devono essere interpretati nel senso che un’autorità garante della concorrenza, nell’ambito dei suoi poteri in forza delle regole di concorrenza, può esaminare, in via incidentale, la conformità delle prassi esaminate con le norme del RGPD, tenendo conto al contempo di ogni decisione o indagine dell’autorità di controllo competente ai sensi del RGPD e informandone l’autorità nazionale di controllo, eventualmente consultandola.

Sulla seconda questione pregiudiziale

34. Con la sua seconda questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 9, paragrafo 1, del RGPD debba essere interpretato nel senso che la prassi controversa, quando riguarda la consultazione di pagine Internet e di applicazioni di terzi (36), rientra nell’ambito del trattamento dei dati personali sensibili ivi elencati (37), che è vietato (38), [seconda questione, lettera a)] e, in caso affermativo, se l’articolo 9, paragrafo 2, lettera e), di detto regolamento debba essere interpretato nel senso che un utente rende manifestamente pubblici, ai sensi della disposizione in parola, i dati che sono, da un lato, rivelati consultando pagine Internet e applicazioni o, dall’altro, i dati che sono inseriti mediante l’attivazione di pulsanti di selezione integrati in detti siti o applicazioni o che ne risultano (39) [seconda questione, lettera b)].

35. Per quanto concerne, in primo luogo, la seconda questione, lettera a), ricordo che, ai sensi dell’articolo 9, paragrafo 1, del RGPD, è vietato il trattamento di dati personali sensibili. La speciale protezione conferita a tali dati è motivata, come risulta dal considerando 51 di detto regolamento, dal fatto che essi sono, per loro natura, particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali e che il loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Inoltre, nonostante il carattere piuttosto oscuro della formulazione della disposizione in parola (40), non mi sembra che, come presunto dal giudice del rinvio, essa introduca una differenza sostanziale tra i dati personali che sono sensibili perché «rivelano» una determinata situazione e i dati che sono di per sé sensibili (41).

36. Nel caso di specie, è, a mio avviso, evidente che la prassi controversa costituisce un trattamento di dati personali che, in linea di principio, può rientrare nell’ambito di applicazione di tale disposizione ed essere vietata, qualora i dati trattati «rivelino» una delle situazioni sensibili ivi elencate. Occorre pertanto stabilire se e in quale misura la consultazione di siti Internet e di applicazioni o l’inserimento in essi di dati possano «rivelare» una delle situazioni sensibili elencate nella disposizione in questione.

37. A questo proposito, dubito che sia rilevante (e sempre possibile) distinguere tra, da un lato, un semplice interesse dell’interessato a determinate informazioni e, dall’altro, l’appartenenza di quest’ultimo a una delle categorie di cui alla disposizione in questione (42). Sebbene le posizioni delle parti nel procedimento principale siano opposte a tal riguardo (43), ritengo che una risposta a tale questione possa essere individuata solo caso per caso e alla luce di ciascuna attività in cui si articola la prassi di cui trattasi.

38. Se è vero che, come osserva il governo tedesco, la mera raccolta di dati personali sensibili relativi alla visita di un sito Internet o di un’applicazione non costituisce, di per sé, necessariamente un trattamento di dati personali sensibili ai sensi della disposizione in parola (44), il collegamento di tali dati con l’account Facebook dell’utente interessato o il loro utilizzo sono comportamenti che, al contrario, potrebbero più facilmente integrare un trattamento siffatto. Il fattore decisivo ai fini dell’applicazione dell’articolo 9, paragrafo 1, del RGPD è, a mio avviso, la possibilità che i dati trattati consentano la profilazione dell’utente secondo le categorie risultanti dall’elencazione dei dati personali sensibili effettuata da tale disposizione (45).

39. In tale contesto, per poter determinare se un trattamento di dati rientri nell’ambito di applicazione della disposizione in parola, potrebbe essere utile distinguere, eventualmente, tra, da un lato, il trattamento dei dati che possono essere prima facie classificati nella categoria dei dati personali sensibili, che da soli consentono una profilazione dell’interessato e, dall’altro, il trattamento dei dati che non sono di per sé sensibili, ma che richiedono un’ulteriore attività di aggregazione al fine di trarre conclusioni plausibili per la profilazione dell’interessato.

40. Ciò premesso, occorre precisare che l’esistenza di una categorizzazione ai sensi di detta disposizione è indipendente dalla questione se tale categorizzazione sia reale o corretta(46). Ciò che conta è la possibilità che una categorizzazione siffatta crei un rischio significativo per i diritti e le libertà fondamentali dell’interessato, come ricordato al considerando 51 del RGPD, possibilità che è indipendente dalla sua veridicità.

41. Per quanto riguarda, infine, la domanda del giudice del rinvio relativa alla rilevanza dello scopo dell’utilizzo ai fini della valutazione di cui trattasi (47), ritengo – contrariamente a quanto sostiene il ricorrente nel procedimento principale – che, in linea di principio, non sia necessario che il titolare del trattamento tratti tali dati «consapevolmente e intendendo ricavarne direttamente categorie particolari di informazioni». Infatti, l’obiettivo della disposizione in questione è, in sostanza, quello di prevenire, in modo oggettivo, rischi significativi per i diritti e le libertà fondamentali degli interessati derivanti dal trattamento dei dati personali sensibili, indipendentemente da qualsiasi elemento soggettivo come l’intenzione del titolare del trattamento.

42. Per quanto riguarda, in secondo luogo, la seconda questione, lettera b), ricordo che, in forza dell’articolo 9, paragrafo 2, lettera e), del RGPD, il divieto di trattamento di dati personali sensibili non si applica se il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato. Inoltre, l’uso, nel testo della citata disposizione, dell’avverbio «manifestamente» e il fatto che la disposizione medesima costituisca un’eccezione al principio del divieto di trattamento dei dati personali sensibili (48) impongono un’applicazione particolarmente restrittiva dell’eccezione in parola, a causa dei rischi significativi per i diritti e le libertà fondamentali degli interessati (49). Affinché tale eccezione sia applicabile, l’utente deve, a mio avviso, essere pienamente consapevole che, con un atto esplicito (50), sta rendendo pubblici dati personali (51).

43. Nel caso di specie, mi sembra che un comportamento consistente nel consultare siti Internet ed applicazioni, nell’immettere dati in tali siti e applicazioni e nell’azionare di pulsanti di selezione ivi integrati non possa, in linea di principio, essere equiparato a un comportamento che rende manifestamente pubblici i dati personali sensibili dell’utente ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD.

44. Più precisamente, rilevo che, in linea di principio, la consultazione di siti Internet e di applicazioni rende i dati di consultazione accessibili solo al gestore della pagina Internet o dell’applicazione di cui trattasi e ai terzi ai quali quest’ultimo trasmette tali informazioni, come il ricorrente nel procedimento principale (52). Allo stesso modo, se è vero che mediante l’inserimento dati in siti Internet e applicazioni, l’interessato potrebbe fornire, in modo diretto e volontario, informazioni su determinati dati personali sensibili, osservo parimenti che siffatte informazioni sono accessibili solo al gestore del sito o dell’applicazione in questione e ai terzi ai quali quest’ultimo trasmette dette informazioni. Escludo pertanto che simili comportamenti possano dimostrare la volontà di mettere tali dati a disposizione della collettività (53). Inoltre, se è evidente che, azionando pulsanti di selezione integrati in siti Internet o applicazioni (54), la persona interessata esprime chiaramente la volontà di condividere determinate informazioni con un pubblico esterno al sito Internet o all’applicazione in questione, ritengo che, come sottolinea il Bundeskartellamt, con un comportamento del genere, la persona in questione sia consapevole di condividere informazioni con una specifica cerchia di persone, spesso definita dall’utente stesso (55), e non con la collettività (56).

45. Per quanto riguarda, infine, la rilevanza di un eventuale consenso prestato dall’utente ai sensi dell’articolo 5, paragrafo 3, della direttiva 2002/58 per la raccolta di dati personali tramite marcatori («cookies») o tecnologie analoghe, menzionato dal giudice del rinvio, ritengo che siffatto consenso, alla luce della sua finalità specifica, non possa, di per sé, giustificare il trattamento di dati personali sensibili raccolti con tali mezzi (57). Infatti, il suddetto consenso, necessario per l’installazione di uno strumento tecnico per la captazione di determinate attività dell’utente (58) non riguarda il trattamento di dati personali sensibili e non può essere equiparato alla volontà di rendere manifestamente pubblici i dati in questione ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD (59).

46. In conclusione, propongo di rispondere alla seconda questione pregiudiziale dichiarando che, da un lato, l’articolo 9, paragrafo 1, del RGPD deve essere interpretato nel senso che il divieto di trattamento di dati personali sensibili può ricomprendere il trattamento di dati, effettuato da un gestore di una rete sociale in linea, consistente nella raccolta dei dati di un utente quando questi visita altri siti Internet o applicazioni o vi immette siffatti dati, nel collegamento di tali dati con l’account utente della rete sociale e nel loro utilizzo, sempre che le informazioni trattate, individualmente considerate o aggregate, consentano la profilazione dell’utente secondo le categorie risultanti dall’elencazione, effettuata da tale disposizione, dei dati personali sensibili; e che, dall’altro, l’articolo 9, paragrafo 2, lettera e), del RGPD deve essere interpretato nel senso che un utente non rende manifestamente pubblici dati per il fatto che essi sono stati rivelati consultando pagine Internet e applicazioni o sono stati inseriti in tali pagine Internet o applicazioni o che essi risultano dall’attivazione di pulsanti di selezione ivi integrati.

Sulle questioni pregiudiziali dalla terza alla quinta

47. Con le sue questioni pregiudiziali dalla terza alla quinta, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, lettere b), c), d), e) ed f), del RGPD debba essere interpretato nel senso che la prassi controversa (60) rientra nell’ambito di applicazione di una delle giustificazioni previste da dette disposizioni e, nello specifico, [delle seguenti giustificazioni]:

– la necessità per l’esecuzione del contratto (61) o per il perseguimento dei legittimi interessi (62), tenuto conto del fatto che Meta Platforms gestisce una rete sociale finanziata dalla pubblicità e che offre, nelle sue condizioni d’uso, la personalizzazione dei contenuti e della pubblicità, la sicurezza della rete, il miglioramento dei prodotti e l’uso coerente e senza interruzioni di tutti i prodotti del gruppo (terza questione pregiudiziale);

– la tutela di tali legittimi interessi (63) nel contesto di determinate situazioni (64) (quarta questione pregiudiziale);

– la necessità di rispondere a una legittima richiesta di dati specifici (65), la necessità di contrastare comportamenti dannosi e promuovere la sicurezza (66) o le ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza (67) (quinta questione pregiudiziale).

48. In via preliminare, nonostante qualche interrogativo circa la ricevibilità delle questioni pregiudiziali quarta e quinta (68), propongo di rispondere congiuntamente alle questioni dalla terza alla quinta, in quanto le indicazioni che fornirò nel prosieguo, principalmente in relazione alla terza questione pregiudiziale, potranno essere utili al giudice del rinvio anche al momento di applicare le disposizioni che formano l’oggetto delle questioni pregiudiziali quarta e quinta.

49. In via principale, rilevo che, a norma dell’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), i dati personali devono essere trattati secondo il principio di lealtà, per finalità determinate e in base a un altro fondamento legittimo previsto dalla legge, per finalità determinate e sulla base di un fondamento legittimo previsto dalla legge. A tale riguardo, l’articolo 6, paragrafo 1, del RGPD precisa che il trattamento di tali dati è lecito solo se ricorre una delle sei condizioni previste da detta disposizione (69).

50. Nel caso di specie, anzitutto, ritengo che le questioni pregiudiziali dalla terza alla quinta richiedano un’analisi dettagliata, caso per caso, delle varie clausole delle condizioni d’uso Facebook nel contesto della prassi controversa, poiché non è possibile stabilire se, in relazione a tale prassi, «un’impresa come [Meta Platforms]» possa invocare, nella sua interezza, tutte le giustificazioni elencate all’articolo 6, paragrafo 1, del RGPD(o alcune di esse), per quanto non si possa escludere che detta prassi o alcune delle sue attività possano, in taluni casi, rientrare nell’ambito di applicazione dell’articolo in questione (70).

51. Inoltre, il trattamento previsto dalle disposizioni citate viene effettuato, nel caso di specie, sulla base delle condizioni generali del contratto imposte dal titolare del trattamento, in assenza del consenso dell’interessato (71), o anche contro la sua volontà, il che richiede, a mio avviso, un’interpretazione restrittiva delle giustificazioni di cui trattasi, in particolare, al fine di evitare l’elusione della condizione del consenso (72).

52. Rammento, infine, che, a norma dell’articolo 5, paragrafo 2, del RGPD, l’onere della prova che i dati personali sono trattati conformemente alle norme di tale regolamento grava sul titolare del trattamento e che, conformemente all’articolo 13, paragrafo 1, lettera c), del medesimo regolamento, incombe al titolare del trattamento specificare le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento.

Sulla terza questione pregiudiziale

53. In primo luogo, ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD, il trattamento dei dati personali è lecito nella misura in cui è necessario all’esecuzione di un contratto di cui l’interessato è parte (73).

54. A tale riguardo, ricordo che la nozione di «necessità» non è definita nel diritto dell’Unione, ma nondimeno essa costituisce, secondo la giurisprudenza, una nozione autonoma del diritto dell’Unione (74). Affinché il trattamento sia necessario all’esecuzione del contratto, non è sufficiente che esso sia effettuato in relazione all’esecuzione del contratto; che sia menzionato nel contratto (75) o anche che sia semplicemente utile per l’esecuzione del contratto (76). Secondo la giurisprudenza della Corte, il trattamento deve essere oggettivamente necessario all’esecuzione del contratto, nel senso che non devono sussistere alternative realistiche e meno invasive (77), tenendo conto anche delle ragionevoli aspettative dell’interessato (78). Ciò comporta parimenti che, se il contratto è costituito da più servizi o da più elementi distinti di un servizio che possono ragionevolmente essere svolti indipendentemente l’uno dall’altro, l’applicabilità dell’articolo 6, paragrafo 1, lettera b), del RGPD dovrebbe essere valutata nel contesto di ciascuno di tali servizi separatamente(79).

55. Nell’ambito della giustificazione in esame, il giudice del rinvio fa riferimento alla personalizzazione dei contenuti e all’utilizzo coerente e senza interruzioni dei prodotti (o piuttosto dei servizi) del gruppo.

56. Per quanto riguarda la personalizzazione dei contenuti, mi sembra che, per quanto un’attività siffatta possa, in una certa misura, essere nell’interesse dell’utente, poiché consente di presentare, in particolare nel «feed di notizie», contenuti che, in base a una valutazione automatizzata, corrispondono agli interessi dell’utente, non è evidente che essa sia anche necessaria per la prestazione del servizio della rete sociale di cui trattasi, di modo che il trattamento dei dati personali per tali finalità non richieda il consenso di detto utente (80). Ai fini di tale esame, occorrerebbe altresì tener conto del fatto che la prassi controversa riguarda il trattamento non di dati relativi al comportamento dell’utente all’interno della pagina o dell’applicazione Facebook, bensì di dati generati da fonti esterne e quindi potenzialmente illimitati. Mi chiedo quindi fino a che punto un trattamento siffatto possa corrispondere alle aspettative di un utente medio e, più in generale, quale sia il «grado di personalizzazione» che questi possa aspettarsi dal servizio a cui si iscrive (81).

57. Per quanto riguarda l’utilizzo coerente e senza interruzioni dei servizi propri del gruppo, rilevo che un collegamento tra i vari servizi offerti dal ricorrente nel procedimento principale, ad esempio tra Facebook e Instagram, può, certamente, essere utile all’utente, o essere talvolta addirittura auspicato da quest’ultimo. Tuttavia, dubito che un trattamento dei dati personali derivati da altri servizi del gruppo (in particolare da Instagram) sia necessario per la prestazione dei servizi Facebook (82).

58. In secondo luogo, ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD, il trattamento dei dati personali è lecito nella misura in cui è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

59. Secondo la giurisprudenza della Corte, la disposizione di cui trattasi prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento dell’interesse legittimo del titolare del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati, in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento dell’interesse legittimo e, in terzo luogo, la condizione che non prevalgano l’interesse o i diritti e le libertà fondamentali della persona interessata dalla tutela dei dati (83).

60. Per quanto riguarda, anzitutto, il perseguimento di un interesse legittimo, ricordo che il RGPD e la giurisprudenza riconoscono un’ampia gamma di interessi considerati legittimi (84), pur precisando che, conformemente all’articolo 13, paragrafo 1, lettera d), del RGPD, incombe al titolare del trattamento indicare gli interessi legittimi perseguiti ai sensi dell’articolo 6, paragrafo 1, lettera f) del RGPD (85).

61. Per quanto riguarda, poi, la condizione relativa alla necessità del trattamento dei dati personali per il conseguimento dell’interesse legittimo perseguito, secondo la giurisprudenza della Corte, le deroghe alla tutela dei dati personali e le limitazioni della stessa devono avvenire nei limiti dello stretto necessario (86). È quindi necessario che sussista uno stretto collegamento tra il trattamento e l’interesse perseguito, in assenza di alternative più rispettose della protezione dei dati personali, poiché non è sufficiente che il trattamento sia di mera utilità per il titolare del trattamento.

62. Per quanto riguarda, infine, il contemperamento, da un lato, degli interessi del titolare del trattamento e, dall’altro, degli interessi o dei diritti e delle libertà fondamentali della persona interessata, secondo la giurisprudenza della Corte incombe al giudice del rinvio ponderare gli interessi in gioco (87). Inoltre, come enunciato al considerando 47 del RGPD, nel contesto di tale ponderazione, è essenziale tenere conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento e valutare se l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.

63. Nell’ambito della giustificazione in esame, il giudice del rinvio menziona la personalizzazione della pubblicità, la sicurezza della rete e il miglioramento dei prodotti.

64. Per quanto concerne, anzitutto, la personalizzazione della pubblicità, dal considerando 47 del RGPD risulta che può essere considerato legittimo interesse del titolare del trattamento trattare dati personali per finalità di marketing diretto. Tuttavia, per quanto riguarda la necessità del trattamento, occorre rilevare che i dati di cui trattasi sono generati da fonti esterne a Facebook e si pone quindi la questione di quale sia il «grado di personalizzazione» della pubblicità oggettivamente necessario a tal fine. Per quanto riguarda il contemperamento degli interessi in gioco, è necessario, a mio avviso, tenere conto della natura del legittimo interesse in questione (nella fattispecie, un interesse puramente economico), nonché delle ripercussioni del trattamento sull’utente, ivi comprese delle sue ragionevoli aspettative e delle eventuali misure di salvaguardia messe in atto dal titolare del trattamento (88).

65. Analoghe considerazioni possono essere poi svolte in merito alla sicurezza della rete. Infatti, benché sia evidente che siffatta giustificazione possa costituire un legittimo interesse del titolare del trattamento (89), lo è meno concludere che il trattamento sia necessario nel caso di specie, anche in considerazione del fatto che i dati in questione provengono da fonti esterne a Facebook (90). In ogni caso, ricordo che incombe al titolare del trattamento specificare le finalità di sicurezza sulle quali può eventualmente fondarsi ciascun trattamento.

66. Per quanto riguarda, infine, il miglioramento del prodotto, se si escludono i miglioramenti relativi alla sicurezza che rientrano nella giustificazione specifica sopra esaminata, mi sembra che una giustificazione siffatta dovrebbe essere nell’interesse dell’utente piuttosto che nell’interesse del titolare del trattamento. Sotto tale profilo, è difficile capire in che misura essa possa costituire un legittimo interesse del titolare del trattamento e non richiedere il consenso dell’utente. Per quanto riguarda la condizione della necessità e il contemperamento dei diritti e degli interessi in gioco, rinvio alle considerazioni già svolte.

Sulle questioni pregiudiziali quarta e quinta

67. Con la sua quarta questione pregiudiziale, che costituisce, in sostanza, un’estensione della seconda parte della terza questione pregiudiziale, il giudice del rinvio chiede se il fatto che ricorrano determinate situazioni elencate comporti l’esistenza di un legittimo interesse ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD, mentre, con la sua quinta questione pregiudiziale, detto giudice del rinvio chiede se la necessità di rispondere a una legittima richiesta di fornire determinati dati, la necessità di contrastare comportamenti dannosi e di promuovere la sicurezza o la ricerca a beneficio della società, e la necessità di promuovere la protezione, l’integrità e la sicurezza costituiscano giustificazioni applicabili alla prassi controversa (91).

68. A prescindere dalla ricevibilità di dette questioni (92), ritengo, in generale, che non si possa escludere, per quanto riguarda la quarta questione pregiudiziale, che talune clausole che caratterizzano la prassi di cui trattasi possano essere giustificate da legittimi interessi nelle circostanze menzionate dal giudice del rinvio (93) e, per quanto attiene alla quinta questione pregiudiziale, che, in talune situazioni, la prassi controversa possa essere giustificata sulla base delle disposizioni citate.

69. Tuttavia, dalla decisione di rinvio non risulta se, e in quale misura, Meta Platform Ireland abbia indicato, per ciascuna finalità di trattamento e tipologia di dati trattati, i legittimi interessi concretamente perseguiti o le altre giustificazioni eventualmente pertinenti nel caso di specie (94). Incombe quindi al giudice del rinvio, alla luce delle indicazioni che precedono, esaminare in che misura, nelle circostanze menzionate da tale giudice, la prassi controversa sia giustificata dall’esistenza di legittimi interessi di Meta Platform Ireland al trattamento dei dati ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD o da un’altra delle condizioni enunciate all’articolo 6, paragrafo 1, lettere c), d) ed e), del medesimo regolamento.

Sulla risposta alle questioni pregiudiziali dalla terza alla quinta

70. In conclusione, propongo di rispondere alle questioni pregiudiziali dalla terza alla quinta dichiarando che l’articolo 6, paragrafo 1, lettere b), c), d), e) ed f), del RGPD deve essere interpretato nel senso che la prassi controversa o alcune delle sue attività possono rientrare nelle eccezioni previste da tali disposizioni, purché ciascuna modalità di trattamento dei dati esaminata soddisfi le condizioni previste dalla giustificazione concretamente avanzata dal titolare del trattamento e, di conseguenza, purché:

– il trattamento sia oggettivamente necessario per la prestazione dei servizi relativi all’account Facebook;

– il trattamento sia necessario per perseguire un legittimo interesse fatto valere dal titolare del trattamento o dal terzo o dai terzi ai quali i dati sono comunicati e non incida in modo sproporzionato sui diritti e sulle libertà fondamentali dell’interessato;

– il trattamento sia necessario per rispondere a una legittima richiesta di fornire determinati dati, per contrastare comportamenti dannosi e per promuovere la sicurezza o per scopi di ricerca a beneficio della società e per promuovere la protezione, l’integrità e la sicurezza.

Sulla sesta questionepregiudiziale

71. Con la sua sesta questione pregiudiziale, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD debbano essere interpretati nel senso che sia possibile esprimere un consenso valido e libero ai sensi dell’articolo 4, paragrafo 11, di tale regolamento nei confronti di un’impresa in posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati.

72. In via preliminare, ricordo che l’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD prevedono l’obbligo di un consenso dell’interessato, rispettivamente per quanto riguarda il trattamento dei dati personali in generale e il trattamento dei dati personali sensibili. Inoltre, ai sensi dell’articolo 4, punto 11, del RGPD, ai fini del regolamento in parola, per «consenso» dell’interessato si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, a che i dati personali che lo riguardano siano oggetto di trattamento (95).

73. Per quanto concerne, nello specifico, la condizione della «libertà» del consenso, che è l’unica ad essere in discussione nel caso di specie, rilevo che, conformemente al considerando 42 del RGPD, il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera (96) o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio(97). Inoltre, come previsto all’articolo 7, paragrafo 1, del RGPD (e ricordato al considerando 42 dello stesso), per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

74. Per quanto rileva nel caso di specie, ricordo, anzitutto, che, come sottolinea il considerando 43, prima frase, del RGPD, il consenso non costituisce un valido presupposto per il trattamento dei dati personali qualora esista un «evidente squilibrio» tra l’interessato e il titolare del trattamento (98); che inoltre, ai sensi dell’articolo 7, paragrafo 4, del RGPD, nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto (99) e, infine, che, conformemente al considerando 43, seconda frase, del RGPD, si presume parimenti che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso (100).

75. Nel caso di specie, ritengo che un’eventuale posizione dominante sul mercato in capo al titolare del trattamento dei dati personali che gestisce una rete sociale svolga un ruolo nella valutazione dell’esistenza di un libero consenso da parte dell’utente della rete sociale. L’esistenza di una situazione di potere sul mercato da parte del titolare del trattamento dei dati personali può creare, infatti, un evidente squilibrio di potere, nel senso indicato al precedente paragrafo 74 (101). Occorre, tuttavia, precisare, da un lato, che, affinché una situazione siffatta di potere sul mercato sia rilevante sotto il profilo dell’applicazione del RGPD, essa non deve necessariamente essere equiparata al livello di posizione dominante ai sensi dell’articolo 102 TFUE (102) e, dall’altro, che tale circostanza non può da sola, in linea di principio, privare di qualsiasi validità un consenso (103).

76. Ne consegue che la validità del consenso dovrà essere esaminata caso per caso, alla luce degli altri elementi menzionati ai paragrafi 73 e 74 delle presenti conclusioni e tenendo conto di tutte le circostanze del caso di specie nonché del fatto che l’onere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali grava sul titolare del trattamento.

77. In conclusione, propongo di rispondere alla sesta questione pregiudiziale dichiarando che l’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD devono essere interpretati nel senso che la sola circostanza che l’impresa che gestisce una rete sociale goda di una posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati non può, di per sé, privare il consenso dell’utente di tale rete al trattamento dei suoi dati personali della sua validità ai sensi dell’articolo 4, paragrafo 11, del RGPD. Siffatta circostanza svolge tuttavia un ruolo nella valutazione della libertà del consenso ai sensi di tale disposizione – la cui dimostrazione incombe al titolare del trattamento – tenendo conto, se del caso, dell’esistenza di un evidente squilibrio di potere tra l’interessato e il titolare del trattamento, dell’eventuale obbligo di acconsentire al trattamento di dati personali diversi da quelli strettamente necessari per l’erogazione dei servizi di cui trattasi, della necessità che il consenso sia specifico per ciascuna finalità del trattamento e della necessità di evitare che la revoca del consenso da parte dell’utente causi a quest’ultimo un pregiudizio.

Conclusione

78. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere alle questioni pregiudiziali sollevate dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania) nei seguenti termini:

1) Gli articoli da 51 a 66 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

devono essere interpretati nel senso che:

un’autorità garante della concorrenza, nell’ambito dei suoi poteri in forza delle regole di concorrenza, può esaminare, in via incidentale, la conformità delle prassi esaminate con le norme di tale regolamento, tenendo conto al contempo di ogni decisione o indagine dell’autorità di controllo competente ai sensi del suddetto regolamento e informandone l’autorità nazionale di controllo, eventualmente consultandola.

2) L’articolo 9, paragrafo 1, del regolamento 2016/679

deve essere interpretato nel senso che:

il divieto di trattamento dei dati personali sensibili può ricomprendere il trattamento di dati effettuato da un gestore di una rete sociale in linea, consistente nella raccolta dei dati di un utente quando questi visita altri siti Internet o applicazioni o vi immette tali dati, nel collegamento di detti dati con l’account utente della rete sociale e nel loro utilizzo, sempre che le informazioni trattate, individualmente considerate o aggregate, consentano la profilazione dell’utente secondo le categorie risultanti dall’elencazione, effettuata da tale disposizione, dei dati personali sensibili.

L’articolo 9, paragrafo 2, lettera e), di detto regolamento deve essere interpretato nel senso che:

un utente non rende manifestamente pubblici dati per il fatto che essi sono stati rivelati consultando pagine Internet e applicazioni o inseriti in tali pagine Internet o applicazioni o che sono risultanti dall’attivazione di pulsanti di selezione ivi integrati.

3) L’articolo 6, paragrafo 1, lettere b), c), d), e) ed f), del regolamento 2016/679

deve essere interpretato nel senso che:

la prassi consistente, in primo luogo, nella raccolta di dati generati da altri servizi propri del gruppo, nonché da siti Internet e applicazioni di terzi mediante interfacce in essi integrate oppure tramite cookies (marcatori) memorizzati nel computer o nel dispositivo terminale mobile dell’utente, in secondo luogo, nel collegamento di tali dati con l’account Facebook dell’utente interessato e, in terzo luogo, nell’utilizzo di detti dati o talune delle attività in cui si articola siffatta prassi possono rientrare nelle eccezioni previste da tali disposizioni, purché ciascuna modalità di trattamento dei dati esaminata soddisfi le condizioni previste dalla giustificazione concretamente avanzata dal titolare del trattamento e che di conseguenza:

– il trattamento sia oggettivamente necessario per la prestazione dei servizi relativi all’account Facebook;

– il trattamento sia necessario per perseguire un legittimo interesse fatto valere dal titolare del trattamento o del terzo o dei terzi ai quali i dati sono comunicati e non incida in modo sproporzionato sui diritti e sulle libertà fondamentali dell’interessato;

4) L’articolo 6, paragrafo 1, lettera a), e l’articolo 9, paragrafo 2, lettera a), del regolamento 2016/679

devono essere interpretati nel senso che:

la sola circostanza che l’impresa che gestisce una rete sociale goda di una posizione dominante sul mercato nazionale delle reti sociali in linea per utenti privati non può, di per sé, privare il consenso dell’utente di tale rete al trattamento dei suoi dati personali della sua validità a norma dell’articolo 4, paragrafo 11, del suddetto regolamento. Siffatta circostanza svolge tuttavia un ruolo nella valutazione della libertà del consenso ai sensi di tale disposizione – la cui dimostrazione incombe al titolare del trattamento – tenendo conto, se del caso, dell’esistenza di un evidente squilibrio di potere tra l’interessato e il titolare del trattamento, dell’eventuale obbligo di acconsentire al trattamento di dati personali diversi da quelli strettamente necessari per l’erogazione dei servizi di cui trattasi, della necessità che il consenso sia specifico per ciascuna finalità del trattamento e della necessità di evitare che la revoca del consenso da parte dell’utente causi a quest’ultimo un pregiudizio.

1 Lingua originale: il francese.

2 Vale a dire Meta Platforms Inc., già Facebook Inc., Meta Platforms Ireland Limited, già Facebook Ireland Ltd., e Facebook Deutschland GmbH (in prosieguo: «Meta Platforms» o il «ricorrente nel procedimento principale»).

3 Decisione B6-22/16, del 6 febbraio 2019 (in prosieguo: la «decisione controversa»).

4 Regolamento del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35; in prosieguo: il «RGPD»).

5 Nella versione in vigore fino al 18 gennaio 2021.

6 A tal fine, Meta Platforms raccoglie, oltre ai dati che gli utenti forniscono direttamente al momento della loro iscrizione ai servizi in linea in questione, altri dati relativi agli utenti e ai dispositivi, all’interno e all’esterno della rete sociale e dei servizi in linea forniti dal gruppo, e collega tali dati ai diversi account degli utenti interessati. Tali dati, nel loro complesso, consentono di trarre conclusioni dettagliate sulle preferenze e sugli interessi degli utenti.

7 Per quanto riguarda, più specificamente, il trattamento dei dati personali, le condizioni d’uso rinviano alle regole sull’uso dei dati e dei marcatori (cookies) adottate da Meta Platforms. Ai sensi di tali regole, Meta Platforms raccoglie dati riferiti agli utenti e ai loro dispositivi relativi alle loro attività all’interno e all’esterno della rete sociale e li associa ai loro account Facebook. Le attività dell’utente che si svolgono al di fuori della rete sociale consistono, da un lato, nella visita di siti e di applicazioni di terzi, che sono collegati a Facebook attraverso interfacce di programmazione («Strumenti business di Facebook») e, dall’altro, nell’utilizzo degli altri servizi in linea appartenenti al gruppo Meta Platforms, tra i quali Instagram e WhatsApp.

8 Secondo il Bundeskartellamt, detto trattamento dei dati, in quanto espressione di potere sul mercato, violava le disposizioni del RGPD e non era giustificato alla luce degli articoli 6, paragrafo 1, e 9, paragrafo 1, di tale regolamento.

9 Peraltro, il 31 luglio 2019, su iniziativa della Commissione europea e di associazioni nazionali di tutela dei consumatori degli Stati membri, Meta Platforms ha introdotto nuove condizioni d’uso che dichiarano esplicitamente che anziché pagare per l’uso dei prodotti di Facebook, l’utente accetta che Facebook possa mostrare inserzioni pubblicitarie. Inoltre, dal 28 gennaio 2020, Meta Platforms offre in tutto il mondo la cosiddetta «Off-Facebook-Activity (attività fuori da Facebook)», che consente agli utenti di Facebook di visualizzare una sintesi delle informazioni che li riguardano, ottenute in relazione alle loro attività su altri siti e applicazioni e di scollegare, se lo desiderano, tali dati dal loro account Facebook tanto per il passato, come per il futuro.

10 Mi sembra che i termini «constati (…) che le condizioni contrattuali operate dalla filiale principale (…) violano il RGPD, e disponga di porre fine a tale violazione» che figurano nella prima questione pregiudiziale debbano essere interpretati in tal senso.

11 In ogni caso, dato che il RGPD prevede la piena armonizzazione del diritto in materia di protezione dei dati, il cui elemento centrale è un meccanismo di attuazione armonizzato fondato sul principio dello «sportello unico» sancito dagli articoli da 51 a 67 di tale regolamento, mi sembra chiaro che un’autorità diversa dalle autorità di controllo ai sensi di detto regolamento (come un’autorità garante della concorrenza) non sia competente né a constatare, in via principale, la violazione di detto regolamento né ad applicare le sanzioni previste.

12 In ogni caso, tenuto conto del fatto che un’autorità garante della concorrenza non è competente né a constatare, in via principale, la violazione di detto regolamento né ad applicare le sanzioni previste, ritengo che un’eventuale decisione in tal senso di un’autorità garante della concorrenza non possa sconfinare nelle competenze delle autorità di controllo ai sensi del RGPD.

13 Pertanto, mi sembra che occorra interpretare in tal senso le parole «possa effettuare accertamenti, ad esempio nell’ambito della ponderazione degli interessi, in merito alla conformità con il RGPD delle condizioni per il trattamento dei dati di tale impresa e della loro attuazione» che figurano nella settima questione pregiudiziale.

14 V. nota 11 delle presenti conclusioni.

15 Regolamento del Consiglio, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli [101 e 102 TFUE] (GU 2003, L 1, pag. 1).

16 Come l’articolo 19 del GWB, sul quale si fonda la decisione controversa.

17 V., a titolo di esempio, sentenza del 6 settembre 2020, Intel/Commissione (C‑413/14 P, EU:C:2017:632, punto 136, nonché giurisprudenza ivi citata). La Corte ha, peraltro, precisato che occorre ricordare che l’ambito di applicazione dell’articolo 102 TFUE ha portata generale e non può essere limitato dall’esistenza di un contesto normativo adottato dal legislatore dell’Unione ai fini della regolamentazione in materia di comunicazioni elettroniche [v., in tal senso, sentenza del 10 luglio 2014, Telefónica e Telefónica de España/Commissione (C‑295/12 P, EU:C:2014:2062, punto 128)].

18 Infatti, alla luce dei diversi obiettivi delle due categorie di norme, è chiaro che un comportamento riguardante il trattamento dei dati può costituire una violazione delle regole di concorrenza anche se conforme al RGPD e, viceversa, un comportamento illecito ai sensi di quest’ultimo non conduce necessariamente alla conclusione che esso comporti una violazione delle regole di concorrenza. A tale riguardo, la Corte ha precisato che la conformità di un comportamento con una normativa specifica non esclude l’applicabilità, a siffatto comportamento, degli articoli 101 e 102 TFUE [v., in particolare, sentenza del 6 dicembre 2012, AstraZeneca/Commissione (C‑457/10 P, EU:C:2012:770, punto 132)], in cui la Corte ha altresì ricordato che gli abusi di posizione dominante consistono, nella maggioranza dei casi, in comportamenti peraltro legittimi alla luce di branche del diritto diverse dal diritto della concorrenza]. Infatti, se fossero considerate abusive ai sensi dell’articolo 102 TFUE solo le pratiche al contempo oggettivamente restrittive della concorrenza e giuridicamente illegittime, un comportamento che fosse potenzialmente nocivo per la concorrenza, ma legittimo, automaticamente non potrebbe essere sanzionato ai sensi dell’articolo 102 TFUE, il che comprometterebbe l’obiettivo di tale disposizione, consistente nell’istituire un regime che assicuri che la concorrenza non sia falsata nel mercato interno [v., in tal senso, le mie conclusioni nella causa Servizio Elettrico Nazionale e a. (C‑377/20, EU:C:2021:998, paragrafo 37)]. Secondo la giurisprudenza della Corte, gli articoli 101 e 102 TFUE non trovano applicazione soltanto nel caso in cui un comportamento anticoncorrenziale venga imposto alle imprese da una normativa nazionale o quest’ultima crei un contesto giuridico che di per sé elimini ogni possibilità di comportamento concorrenziale da parte loro, mentre detti articoli si applicano nel caso in cui la normativa nazionale lasci sussistere la possibilità di una concorrenza che possa essere ostacolata, ristretta o falsata da comportamenti autonomi delle imprese [v., in tal senso, sentenza del 14 ottobre 2010, Deutsche Telekom/Commissione (C‑280/08 P, EU:C:2010:603, punto 80 e giurisprudenza ivi citata)].

19 Infatti, un’interpretazione secondo la quale alle autorità garanti della concorrenza fosse vietato interpretare, nell’esercizio delle loro competenze, le disposizioni del RGPD sarebbe tale da rimettere in discussione l’effettiva applicazione del diritto della concorrenza dell’Unione.

20 Peraltro, il carattere incidentale dell’interpretazione del RGPD da parte dell’autorità garante della concorrenza non osta a che tale interpretazione sia sottoposta a sindacato giurisdizionale dinanzi ai giudici nazionali competenti in materia di concorrenza, che, in caso di difficoltà di interpretazione, potrebbero essere portati a sottoporre alla Corte una domanda di pronuncia pregiudiziale, come nel caso di specie per quanto riguarda le questioni pregiudiziali dalla seconda alla sesta.

21 Infatti, l’interpretazione del RGPD da parte dell’autorità garante della concorrenza al solo fine di applicare le norme (ed eventualmente imporre sanzioni) previste dal diritto della concorrenza non può privare le autorità di controllo di loro competenze e poteri ai sensi di tale regolamento. Inoltre, la possibilità di un’interpretazione in via incidentale di detto regolamento da parte dell’autorità garante della concorrenza non solleva ulteriori difficoltà quanto alla sua applicazione, che è riservata alle autorità di controllo, né quanto all’imposizione di misure correttive o sanzioni, poiché le misure o le sanzioni imposte da un’autorità garante della concorrenza si basano su norme, obiettivi e interessi legittimi diversi da quelli tutelati dal medesimo regolamento [per questo motivo, peraltro, in una situazione del genere, l’irrogazione di sanzioni da parte dell’autorità garante della concorrenza e dell’autorità di controllo ai sensi del RGPD non ricade, a mio avviso, nell’ambito di applicazione del principio del ne bis in idem [v., per analogia, sentenza del 22 marzo 2022, bpost (C‑117/20, EU:C:2022:202, punti da 42 a 50)].

22 Peraltro, il rischio di interpretazione divergente è insito in qualsiasi settore disciplinato da una normativa di cui l’autorità garante della concorrenza deve, o può, tenere conto per valutare la legittimità di un determinato comportamento alla luce del diritto della concorrenza.

23 I capi VI e VII del RGPD istituiscono segnatamente taluni meccanismi di «sportello unico» per lo scambio di informazioni e l’assistenza reciproca tra le autorità di controllo.

24 V. regolamento n. 1/2003 e direttiva (UE) 2019/1 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che conferisce alle autorità garanti della concorrenza degli Stati membri poteri di applicazione più efficace che assicura il corretto funzionamento del mercato interno (GU 2019, L 11, pag. 3).

25 V. segnatamente, in tal senso, sentenze del 14 novembre 1989, Italia/Commissione (14/88, EU:C:1989:421, punto 20), e dell’11 giugno 1991, Athanasopoulos e a. (C‑251/89, EU:C:1991:242, punto 57).

26 Peraltro, il meccanismo di cooperazione istituito dal RGPD tra le autorità di controllo può essere considerato esso stesso una lex specialis che integra e precisa il principio generale di leale cooperazione enunciato all’articolo 4, paragrafo 3, TUE (v., in particolare, in dottrina, Hijmans, H., «Article 51 Supervisory authority», The EU General Data Protection Regulation (GDPR): A Commentary, Oxford, 2020, pag. 869). Lo stesso dicasi per altri strumenti di cooperazione preesistenti a quello previsto dal RGPD, come il sistema di cooperazione tra le autorità garanti della concorrenza (v., in particolare, capitolo IV del regolamento n. 1/2003).

27 V., in tal senso, conclusioni dell’avvocato generale Trstenjak nella causa Gorostiaga Atxalandabaso/Parlamento (C‑308/07 P, EU:C:2008:498, paragrafo 89).

28 V., in particolare, sentenza del 2 giugno 2022, Skeyes (C‑353/20, EU:C:2022:423, punto 52 e giurisprudenza ivi citata). A mio parere, si possono trarre, eventualmente, indicazioni relative alle procedure da seguire dal sistema di cooperazione istituito dal RGPD e da quello istituito nel settore della concorrenza, restando inteso che, in assenza di disposizioni ad hoc, il dovere di diligenza che incombe all’autorità garante della concorrenza non si spinge fino ad assoggettarla a obblighi dettagliati quali, in particolare, quelli previsti nell’ambito della procedura di cooperazione e di controllo della coerenza di cui al capo VII del RGPD (ad esempio, non ci si può aspettare che l’autorità garante della concorrenza invii un progetto di decisione all’autorità di controllo competente ai sensi di tale regolamento per ottenere il suo parere).

29 V., segnatamente, per analogia, relativamente a un settore disciplinato dalla normativa dell’Unione in materia farmaceutica, sentenza del 23 gennaio 2018, F. Hoffmann-La Roche e a. (C‑179/16, EU:C:2018:25, punti da 58 a 64).

30 In altri termini, tale decisione fa essa stessa parte del contesto di diritto e di fatto che l’autorità garante della concorrenza è tenuta ad esaminare, pur rimanendo libera di trarre le sue conclusioni dal punto di vista dell’applicazione del diritto della concorrenza (v. nota 18 delle presenti conclusioni).

31 Dato il ruolo e le funzioni delle autorità nazionali di controllo nel sistema di cooperazione istituito dal RGPD, ritengo che un’interazione con l’autorità nazionale di controllo possa essere di per sé sufficiente per adempiere agli obblighi di diligenza e di leale cooperazione dell’autorità garante della concorrenza, in particolare quando quest’ultima autorità non ha la possibilità (tenendo conto delle procedure di diritto nazionale applicabili) o i mezzi (in particolare linguistici) per interagire in modo soddisfacente con l’autorità di controllo capofila di un altro Stato membro.

32 O, eventualmente, laddove tale autorità si trovi in un altro Stato membro, l’autorità nazionale di controllo (v. nota 31 delle presenti conclusioni).

33 Ricordando nel contempo che l’interpretazione fornita da un’autorità garante della concorrenza riguardo a determinate disposizioni del RGPD nell’esercizio dei suoi poteri non pregiudica l’interpretazione e l’applicazione di queste ultime da parte delle autorità di controllo competenti ai sensi di detto regolamento (v. nota 21 delle presenti conclusioni).

34 Il Bundeskartellamt sostiene, in proposito, di essersi basato sul diritto tedesco della concorrenza, che gli consente di intrattenere scambi con le autorità nazionali di controllo ai sensi del RGPD.

35 Ciò vale a maggior ragione se, come sostiene il Bundeskartellamt, l’autorità federale tedesca di controllo e l’autorità irlandese di controllo capofila gli hanno confermato che quest’ultima non aveva avviato alcun procedimento per le stesse prassi esaminate dal Bundeskartellamt.

36 Il giudice del rinvio si riferisce, segnatamente, alla consultazione, da parte dell’utente, di pagine Internet o di applicazioni e all’inserimento di dati in tali siti o applicazioni (quali applicazioni per incontri o per incontri omosessuali, o siti di partiti politici o siti relativi alla salute), che generano dati protetti dalla disposizione di cui trattasi.

37 In prosieguo: i «dati personali sensibili». Si tratta del trattamento di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché il trattamento dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica, dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

38 Rilevo, per inciso, che il Bundeskartellamt nutre dubbi circa la rilevanza di tale questione ai fini della soluzione della controversia, in quanto, nella sua decisione, esso avrebbe preso in considerazione il consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), del RGPD e non il consenso ai sensi dell’articolo 9, paragrafo 2, lettera a), di quest’ultimo.

39 Il giudice del rinvio si riferisce, al riguardo, ai «plug-in» sociali, quali i pulsanti «Mi piace» o «Condividi», al «Facebook Login» (ossia alla possibilità di identificarsi utilizzando le credenziali di accesso relative all’account Facebook) e all’«Account Kit» (ossia alla possibilità di identificarsi su un’applicazione o sito, non necessariamente connesso a Facebook, con un numero di telefono o un indirizzo di posta elettronica, senza la necessità di una password).

40 Rilevo parimenti una significativa incongruenza tra la versione francese del RGPD che, nella prima frase della disposizione in parola, fa riferimento a un trattamento dati personali che «riveli» [(révèle)] alcune situazioni sensibili, e la versione tedesca (nonché, in particolare, le versioni greca e italiana) che fa riferimento a un trattamento di dati personali che «rivelino» siffatte situazioni. Salvo errore da parte mia, la versione francese della suddetta disposizione è in contraddizione con la maggior parte delle altre versioni linguistiche. Peraltro, nel contesto di tale disposizione, mi sembra più logico collegare il verbo «rivelare» ai dati, poiché nella sua parte successiva sono i dati a essere oggetto dell’analisi e non il trattamento. Ciò risulta anche dalla formulazione del testo francese del considerando 51 del RGPD, il quale precisa che tra i dati personali sensibili «dovrebbero essere compresi anche i dati personali che rivelano [(données à caractère personnel qui révèlent)] l’origine razziale o etnica» (il corsivo è mio).

41 A mio avviso, non sarebbe in linea con lo spirito dell’articolo 9, paragrafo 1, del RGPD (e di tale regolamento), che risiede nel proteggere taluni dati sensibili dell’individuo, distinguere, ad esempio, tra, da un lato, l’origine razziale o etnica, che comporterebbe il divieto di trattare non solo i dati che la indicano direttamente, ma anche quelli che rivelano tale situazione e, dall’altro, i dati genetici, il cui divieto di trattamento non si estenderebbe ai dati rivelatori che rivelano tale situazione, aggiungendo che non sarebbe sempre ovvio distinguere tra, da un lato, i dati che rivelano determinate situazioni (ad esempio l’origine razziale o etnica) e, dall’altro, dati relativi ad altre situazioni (ad esempio la salute). A tale riguardo, rilevo che, sebbene l’articolo 9, paragrafo 1, del RGPD si riferisca segnatamente ai dati relativi alla salute, l’articolo 4, paragrafo 15, del medesimo regolamento definisce i «dati relativi alla salute» come «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (il corsivo è mio). Come lascia intendere il governo tedesco, è possibile che tale incoerenza nel testo della disposizione di cui trattasi costituisca soltanto un tentativo non particolarmente riuscito di distinguere tra dati puri con un contenuto informativo diretto e «metadati» per i quali un contenuto informativo corrispondente appare solo in un contesto concreto, per mezzo di una valutazione o di un collegamento.

42 In linea di principio, come fa valere il ricorrente nel procedimento principale, questi due aspetti sono diversi. Infatti, il semplice fatto che un utente abbia visitato un sito Internet o interagito con esso non costituisce necessariamente di per sé un’informazione sulle sue convinzioni, la sua salute, le sue opinioni politiche, ecc., poiché l’interesse per un sito Internet non rivela automaticamente l’adesione alle idee propagate o alle categorie rappresentate da quel sito. Ciò è particolarmente vero per la consultazione di un sito di un partito politico o che propone una particolare ideologia politica, una consultazione che non comporta necessariamente la condivisione di quell’ideologia, ma che può essere effettuata per curiosità o anche con spirito critico nei confronti della stessa ideologia.

43 Secondo Meta Platforms, il fatto che un utente abbia visitato un sito Internet o interagito con esso non rivela di per sé informazioni sensibili, perché, quand’anche un interesse per un sito Internet fosse osservato o utilizzato, ciò non costituirebbe un trattamento di dati personali sensibili. Tale circostanza si verificherebbe soltanto se gli utenti fossero categorizzati attraverso detti dati. Di conseguenza, i dati oggetto della prassi controversa godrebbero della protezione prevista dall’articolo 9, paragrafo 1, del RGPD soltanto se fossero riferiti a una delle categorie ivi menzionate e fossero trattati soggettivamente, con cognizione di causa e con l’intenzione di ricavarne dette categorie di informazioni. Secondo l’interpretazione, a mio avviso troppo rigida, del Bundeskartellamt, invece, il semplice fatto che la persona interessata visiti una determinata pagina Internet o utilizzi un’applicazione specifica il cui scopo principale rientra nei settori elencati all’articolo 9, paragrafo 1, del RGPD farebbe già ricadere tali situazioni nella sfera della tutela conferita dalla disposizione in parola. La protezione dei dati personali sensibili non dipenderebbe dall’intenzione del titolare del trattamento di utilizzare tali dati, essendo i diritti dell’interessato pregiudicati già dal fatto che detti dati sono sottratti alla sua sfera di influenza.

44 Infatti, come riconosciuto dal Comitato europeo per la protezione dei dati (EDBP), il semplice fatto che un fornitore di social media tratti grandi quantità di dati potenzialmente utilizzabili per desumere categorie particolari di dati non significa automaticamente che il trattamento ricada nell’ambito di applicazione dell’articolo 9 del RGPD [v. EDBP, Linee guida 8/2020, del 13 aprile 2021, sul targeting degli utenti di social media (in prosieguo: le «linee guida EDBP 8/2020»), punto 124]

45 Un’interpretazione di questo tipo consentirebbe, a mio avviso, di evitare la situazione, deplorata dal ricorrente nel procedimento principale, in cui, in sostanza, il titolare del trattamento violerebbe automaticamente il RGPD, poiché non potrebbe impedire l’eventuale ricezione (in particolare con mezzi automatizzati) di informazioni aventi un nesso indiretto con le categorie di dati sensibili, fermo restando l’obbligo, che incombe al titolare del trattamento, di mettere in atto le misure tecniche e organizzative adeguate al fine di garantire un livello di sicurezza adeguato al rischio, in conformità dell’articolo 32 del RGPD.

46 V., in tal senso, linee guida EDBP 8/2020, punto 125.

47 Il giudice del rinvio menziona, a tal riguardo, la personalizzazione della rete sociale e della pubblicità, la sicurezza della rete, il miglioramento dei servizi, la fornitura di servizi di misurazione e di dati statistici per i partner pubblicitari, la ricerca per il bene della società, la risposta a richieste legali e l’adempimento di obblighi legali, la protezione degli interessi vitali di utenti e di terzi e l’esecuzione di attività nel pubblico interesse.

48 V., per analogia, sentenza del 21 dicembre 2016, Tele2 Sverige e Watson e a. (C‑203/15 e C‑698/15, EU:C:2016:970, punto 89, nonché giurisprudenza ivi citata), relativa all’interpretazione dell’articolo 15, paragrafo 1, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) (GU 2002, L 201, pag. 37), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009 (GU 2009, L 337, pag. 11).

49 V. anche parere 6/2014, pagg. 10 e 11, del gruppo di lavoro «Articolo 29», organo consultivo indipendente istituito a norma dell’articolo 29 della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31), e sostituito, in seguito all’adozione del RGPD, dall’EDBP.

50 Questa condizione è, a mio avviso, molto affine a quella del consenso dell’interessato.

51 Ricordo che, a norma dell’articolo 5, paragrafo 2, del RGPD, l’onere della prova che i dati personali sono trattati in conformità con le disposizioni del RGPD è a carico del titolare del trattamento.

52 Peraltro, se è vero che un utente attento è probabilmente consapevole del fatto che le informazioni di connessione sono accessibili al gestore del sito Internet o dell’applicazione di cui trattasi, non è altrettanto ovvio, a mio avviso, che egli sia parimenti consapevole del fatto che dette informazioni sono accessibili anche al gestore del suo account Facebook.

53 L’utente è, tutt’al più, consapevole del proprio «rapporto» con il gestore del sito o dell’applicazione e con i terzi ai quali quest’ultimo trasmette tali informazioni, ma potrebbe anche non essere consapevole di detto rapporto perché, a seconda delle circostanze, potrebbe avere l’impressione di rivelare informazioni, eventualmente in modo anonimizzato, a un semplice dispositivo.

54 Si tratta di pulsanti quali «Mi piace», «Condividi» ecc. (v. nota 39 delle presenti conclusioni).

55 Ad esempio, Facebook offre all’utente, nelle sue preferenze, diverse opzioni per condividere le informazioni disponibili sul suo account Facebook.

56 Certo, non si può escludere che, in casi particolari, l’utente, con tali atti, intenda effettivamente trasmettere informazioni che lo riguardano a un numero indeterminato di persone. Ad esempio, l’utente potrebbe aver impostato le opzioni di condivisione per il proprio account Facebook in modo tale che i contenuti sul suo profilo siano accessibili a tutti gli utenti di detta rete sociale e sia di ciò consapevole. Tuttavia, anche in circostanze del genere, non è scontato che l’utente, con un comportamento di questo tipo, abbia indubbiamente inteso esprimere l’intenzione di rendere manifestamente pubblici i dati personali in questione, visto il carattere restrittivo dell’eccezione di cui trattasi (v. paragrafo 42 delle presenti conclusioni).

57 V., in tal senso, sentenza del 29 luglio 2019, Fashion ID (C‑40/17, EU:C:2019:629, punti da 87 a 89).

58 Segnatamente, i «marcatori (cookies)» (v. considerando 25 della direttiva 2002/58).

59 Peraltro, tale consenso non può neanche essere assimilato a un consenso esplicito al trattamento di detti dati ai sensi dell’articolo 9, paragrafo 2, lettera a), del RGPD. Non potrebbe essere rilevante nemmeno il consenso alla profilazione ai sensi dell’articolo 22, paragrafo 1, lettera c), del RGPD, la cui finalità è ovviamente limitata al trattamento di profilazione.

60 Per quanto riguarda la quinta questione pregiudiziale, il giudice del rinvio ha incluso nella prassi controversa – oltre alla raccolta, il collegamento con l’account Facebook dell’utente e l’utilizzo dei dati generati da altri servizi propri del gruppo, nonché da siti Internet e applicazioni di terzi (v. paragrafo 10 delle presenti conclusioni) – anche «l’utilizzo di dati già altrimenti e legittimamente raccolti e collegati» all’account Facebook dell’utente.

61 Articolo 6, paragrafo 1, lettera b), del RGPD.

62 Articolo 6, paragrafo 1, lettera f), del RGPD.

63 Articolo 6, paragrafo 1, lettera f), del RGPD.

64 Vale a dire la minore età degli utenti, la fornitura di servizi di misurazione, di dati statistici e altri servizi commerciali, l’offerta di comunicazioni di marketing agli utenti, la ricerca e l’innovazione per scopi sociali, nonché la condivisione di informazioni con le autorità di contrasto e la risposta a richieste legali.

65 Articolo 6, paragrafo 1, lettera c), del RGPD.

66 Articolo 6, paragrafo 1, lettera d), del RGPD.

67 Articolo 6, paragrafo 1, lettera e), del RGPD.

68 Infatti, la quarta questione pregiudiziale sembra invitare la Corte a pronunciarsi sull’applicazione, anziché sull’interpretazione, dell’articolo 6, paragrafo 1, lettera f), del RGPD, mentre la quinta questione pregiudiziale non contiene i motivi per i quali il giudice del rinvio nutre dubbi quanto all’interpretazione dell’articolo 6, paragrafo 1, lettere c), d) ed e), del regolamento medesimo.

69 V. EDBP, Linee guida 2/2019, dell’8 ottobre 2019, sul trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del [RGPD] nel contesto della fornitura di servizi in linea agli interessati (in prosieguo: le «linee guida EDBP 2/2019»), punto 1.

70 A tale riguardo, mentre le parti nel procedimento principale concordano, in sostanza, sulla premessa secondo la quale, ai fini dell’applicazione delle giustificazioni di cui trattasi, è richiesta un’analisi caso per caso, le loro posizioni divergono quanto alle conseguenze pratiche di tale premessa. Il Bundeskartellamt sottolinea che incombe al titolare del trattamento dimostrare in modo circostanziato quali dati saranno trattati concretamente in uno specifico contesto d’uso e fa valere, in particolare, che il ricorrente nel procedimento principale si è limitato a dichiarare che il trattamento complessivo dei dati generati da fonti esterne a Facebook sarebbe necessario per ciascuna delle finalità del trattamento dei dati enunciate nelle condizioni d’uso. Meta Platforms Ireland, ritiene, per contro, che, senza esaminare le particolarità di ciascuna operazione di trattamento, il Bundeskartellamt non potesse escludere che la prassi controversa potesse fondarsi sulle giustificazioni in questione e che esso non poteva pertanto concludere che detta prassi sia incompatibile con il RGPD.

71 Il consenso dell’utente è previsto dall’articolo 6, paragrafo 1, lettera a), del RGPD.

72 A tale riguardo, le linee guida EDBP 2/2019, al punto 16, stabiliscono, segnatamente, che tanto il principio della limitazione della finalità [articolo 5, paragrafo 1, lettera b), del RGPD] quanto quello della minimizzazione dei dati [articolo 5, paragrafo 1, lettera c), del RGPD] sono particolarmente pertinenti nei contratti per i servizi online che di norma non sono negoziati individualmente, per l’elevato rischio che i titolari del trattamento cerchino di includere nei contratti clausole generali di trattamento al fine di massimizzare la raccolta e gli utilizzi possibili dei dati, senza specificarne adeguatamente le finalità o tenere conto degli obblighi di minimizzazione dei dati.

73 Secondo le linee guida EDBP 2/2019, punto 2, questa disposizione sostiene la libertà d’impresa, garantita dall’articolo 16 della Carta, e riflette il fatto che, talvolta, non è possibile ottemperare alle obbligazioni contrattuali nei confronti dell’interessato senza che quest’ultimo fornisca determinati dati personali. Preciso che la seconda ipotesi prevista da tale disposizione, relativa alla necessità di un trattamento per l’esecuzione di misure precontrattuali adottate su richiesta dell’interessato, non è rilevante nel caso di specie. Lo stesso vale per la questione dell’esistenza di un contratto valido alla luce sia del diritto contrattuale applicabile sia di altri requisiti giuridici, compresi quelli relativi ai contratti stipulati con i consumatori [v., segnatamente, direttiva 93/13/CEE del Consiglio, del 5 aprile 1993, concernente le clausole abusive nei contratti stipulati con i consumatori (GU 1993, L 95, pag. 29), che non è oggetto della domanda di pronuncia pregiudiziale].

74 V., per quanto riguarda la norma corrispondente all’articolo 6, paragrafo 1, lettera b), del RGPD, enunciata all’articolo 7, lettera e), della direttiva 95/46, sentenza del 16 dicembre 2008, Huber (C‑524/06, EU:C:2008:724, punto 52).

75 Peraltro, pur se la semplice menzione del trattamento dei dati personali o il mero riferimento a tale trattamento in un contratto non è sufficiente a far rientrare il trattamento in questione nell’ambito di applicazione dell’articolo 6, paragrafo 1, punto b), del RGPD, il trattamento può essere invece oggettivamente necessario anche se non espressamente menzionato nel contratto, fermo restando gli obblighi del titolare in materia di trasparenza (v. linee guida EDBP 2/2019, punto 27).

76 V. linee guida EDBP 2/2019, punto 25.

77 V., in tal senso, sentenza del 9 novembre 2010, Volker und Markus Schecke e Eifert (C‑92/09 e C‑93/09, EU:C:2010:662, punto 86), nonché linee guida EDBP 2/2019, punto 25. A tal riguardo, dette linee guida, ai punti da 27 a 32, fanno segnatamente riferimento al fatto che è necessario che il trattamento sia oggettivamente necessario per una finalità che è parte integrante della prestazione di tale servizio contrattuale all’interessato, specificando che il titolare del trattamento dovrebbe essere in grado di dimostrare in che modo l’oggetto principale del contratto specifico stipulato con l’interessato non sia di fatto realizzabile senza lo specifico trattamento dei dati personali in questione. Al punto 33, le citate linee guida forniscono domande utili a tal fine.

78 V. linee guida EDBP 2/2019, punto 32.

79 V. linee guida EDBP 2/2019, punto 37.

80 A tale riguardo, il governo austriaco osserva, in modo pertinente, che in precedenza il ricorrente nel procedimento principale consentiva agli utenti di Facebook di scegliere tra una presentazione cronologica o una presentazione personalizzata dei contenuti del feed di notizie, il che dimostra che una modalità alternativa è possibile.

81 Fatta salva la valutazione del giudice del rinvio, non credo che la raccolta e l’utilizzo dei dati personali al di fuori di Facebook possano essere necessari per la prestazione dei servizi offerti nell’ambito del profilo Facebook, cosicché il consenso inizialmente prestato per l’accesso alla rete sociale (ossia l’apertura di un profilo Facebook) possa validamente riguardare il trattamento dei dati personali dell’utente al di fuori di Facebook. In una circostanza del genere, l’utilizzo dei servizi in questione sarebbe, infatti, subordinato a un consenso che non è necessario all’esecuzione del contratto e, a norma dell’articolo 7, paragrafo 4, del RGPD, il giudice del rinvio dovrà tenere nella massima considerazione tale circostanza (la quale, conformemente al considerando 43 del RGPD, costituisce una presunzione di invalidità del consenso che incombe al titolare del trattamento confutare ai sensi dell’articolo 7, paragrafo 1, RGPD). Inoltre, un consenso del genere non rispetterebbe nemmeno, a mio avviso, la norma che impone un consenso separato riguardo alle diverse operazioni di trattamento dei dati personali (v. terza parte del paragrafo 74 delle presenti conclusioni), poiché non vi è nulla che colleghi il consenso iniziale dell’utente all’apertura dell’account Facebook all’eventuale consenso di quest’ultimo al trattamento dei dati personali al di fuori di Facebook. Peraltro, anche nel caso di un eventuale consenso successivo, prestato specificamente per l’utilizzo dei dati al di fuori di Facebook, è importante esaminare se il titolare del trattamento offra la scelta di un servizio equivalente che non implichi il consenso al trattamento dei dati personali per finalità supplementari [v. EDBP, Linee guida 5/2020, del 4 maggio 2020, sul consenso ai sensi del regolamento (UE) 2016/679 (in prosieguo: le «linee guida EDBP 5/2020»), punto 37, le quali precisano inoltre, al punto 38, che il responsabile del trattamento non può fare riferimento a un servizio equivalente offerto da un altro operatore].

82 Come osserva il governo austriaco, mi sembra decisivo constatare, a tal riguardo, che i vari prodotti del gruppo possono essere utilizzati indipendentemente l’uno dall’altro e che l’utilizzo di ciascun servizio si basa su un contratto d’uso distinto. Peraltro, come osserva il Bundeskartellamt, anziché essere considerato necessario per il funzionamento dei servizi propri del gruppo, si dovrebbe considerare che l’utilizzo coerente e senza interruzioni di tali servizi costituisca un interesse dell’utente, ragion per cui, in linea di principio, apparirebbe più appropriato che esso sia attivato a scelta dell’utente.

83 V., per analogia, sentenza del 4 maggio 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punto 28), relativa alla norma corrispondente all’articolo 6, paragrafo 1, lettera f), del RGPD, enunciata all’articolo 7, lettera f), della direttiva 95/46.

84 Come rilevato nelle conclusioni dell’avvocato generale Bobek nella causa Fashion ID (C‑40/17, EU:C:2018:1039, paragrafo 122), la nozione di «interesse legittimo» nell’ambito della direttiva 95/46 sembrava essere alquanto elastica e di portata illimitata. Come fa valere, infatti, il ricorrente nel procedimento principale, la Corte ha riconosciuto come legittimi diversi interessi [v., in particolare, sentenze del 13 maggio, Google Spain e Google (C‑131/12, EU:C:2014:317, punto 81); del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779, punto 55); del 4 maggio 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punto 29); del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili) (C‑136/17, EU:C:2019:773, punto 53); dell’11 dicembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, punto 59), e del 17 giugno 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punti 108 e 109)]. La stessa conclusione deve essere tratta, a mio avviso, dal RGPD, il cui considerando 47 menziona, in particolare, a titolo esemplificativo, la situazione in cui l’interessato è un cliente o è alle dipendenze del titolare del trattamento e il trattamento di dati personali a fini di prevenzione delle frodi o per finalità di marketing diretto, e il cui considerando 49 menziona la sicurezza delle reti e dell’informazione, nonché dei servizi offerti.

85 Il che comporta, a mio avviso, l’obbligo di specificare quale specifica operazione di trattamento è basata su uno specifico interesse legittimo.

86 V. sentenze del 4 maggio 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punto 30), e del 17 giugno 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punto 110).

87 V., in tal senso, sentenze del 4 maggio 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punto 31), e del 17 giugno 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punto 111). La Corte ha ricordato, in proposito, che l’articolo 7, lettera f), della direttiva 95/46 [che corrisponde all’articolo 6, paragrafo 1, lettera f), del RGPD] osta a che uno Stato membro escluda in modo categorico e generalizzato la possibilità che talune categorie di dati personali siano oggetto di trattamento, senza consentire la ponderazione dei diritti e degli interessi contrapposti in gioco nel caso specifico, precisando che uno Stato membro non può quindi stabilire per tali categorie, in modo definitivo, il risultato della ponderazione dei diritti e degli interessi contrapposti, senza consentire un diverso risultato in ragione delle circostanze specifiche del caso concreto (sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 62 e giurisprudenza ivi citata).

88 Il parere 6/2014 del gruppo di lavoro «Articolo 29» fornisce interessanti considerazioni al riguardo al paragrafo III.3.4.

89 Infatti, ai sensi del considerando 49 del RGPD, costituisce legittimo interesse del titolare del trattamento interessato, come precisato da detta disposizione, trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione. Ciò potrebbe, ad esempio, includere misure atte a impedire l’accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni. Rilevo parimenti che, conformemente all’articolo 32 del RGPD, quest’ultimo mette in atto, in particolare, misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e che, a norma del suo articolo 5, paragrafo 1, lettera f), i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali.

90 Occorre quindi verificare in che misura il trattamento di dati personali esterni al sito o all’applicazione Facebook sia necessario per la sicurezza di quest’ultimo. Pur se il giudice del rinvio menziona, a tale riguardo, la possibilità di utilizzare dati di WhatsApp in funzione anti-spam (usando informazioni provenienti da account WhatsApp che inviano spam per agire contro gli account Facebook corrispondenti) e dati Instagram al fine di individuare comportamenti discutibili o illeciti, dubito che il ricorrente nel procedimento principale possa far valere il diritto di trattare dati personali a fini di «polizia» in senso lato, dato che, secondo la giurisprudenza della Corte, nel settore (diverso ma connesso) dei dati relativi alle comunicazioni elettroniche, anche misure legislative che prevedono, a titolo preventivo, la conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione non sono compatibili con la direttiva 2002/58 [v. sentenza del 6 ottobre 2020, La Quadrature du Net e a., C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, punto 168)]. Peraltro, nel caso in cui la necessità di garantire la sicurezza della rete costituisca un obbligo legale, il titolare del trattamento può invocare la giustificazione specifica di cui all’articolo 6, paragrafo 1, lettera c), del RGPD.

91 A norma dell’articolo 6, paragrafo 1, lettere c), d) ed e), del RGPD.

92 V. paragrafo 48 delle presenti conclusioni.

93 Tenuto conto dell’ampia gamma di interessi legittimi riconosciuti dalla giurisprudenza (v. paragrafo 60 delle presenti conclusioni). Ad esempio, mi sembra evidente, in linea di principio, che la tutela dei minori possa giustificare l’adozione di misure di protezione adeguate, volte a impedire loro di accedere a contenuti non appropriati o pericolosi.

94 Infatti, a norma dell’articolo 13, paragrafo 1, lettere c) e d), del RGPD, incombe segnatamente al responsabile del trattamento indicare, per ciascuna finalità di trattamento, i legittimi interessi perseguiti dal titolare stesso o da terzi.

95 Nella sentenza dell’11 novembre 2020, Orange Romania (C‑61/19, EU:C:2020:901, punti 35 e 36, nonché giurisprudenza ivi citata), la Corte ha precisato che la formulazione dell’articolo 4, punto 11, del RGPD, che definisce il «consenso dell’interessato», risulta ancora più rigorosa di quella dell’articolo 2, lettera h), della direttiva 95/46, in quanto richiede una manifestazione di volontà «libera, specifica, informata e inequivocabile» dell’interessato, consistente in una dichiarazione o in un’«azione positiva inequivocabile», che manifesti il consenso dello stesso al trattamento di dati personali che lo riguardano.

96 Come sottolinea l’EDBP, l’elemento della manifestazione di volontà «libera» implica che l’interessato abbia una scelta effettiva e il controllo sui propri dati (v. linee guida EDBP 5/2020, punto 13). Il medesimo punto precisa, segnatamente, che il consenso non è liberamente prestato se, da un lato, l’interessato si sente obbligato a consentire oppure subirà conseguenze negative significative e, dall’altro, il consenso è un elemento non negoziabile delle condizioni generali di contratto/servizio. Di conseguenza, il consenso non sarà considerato libero se l’interessato non può rifiutarlo o revocarlo senza subire pregiudizio. In tal caso, come rilevato dal ricorrente nel procedimento principale, l’unico svantaggio che l’interessato deve accettare è che il servizio possa, eventualmente, non avere la stessa funzionalità o qualità, laddove il trattamento dei dati per i quali non è stato prestato il consenso sia tecnicamente necessario a tal fine.

97 A questo proposito, le linee guida EDBP 5/2020 menzionano l’inganno, l’intimidazione, la coercizione o conseguenze negative significative in caso di mancato consenso e ricordano l’onere gravante sul titolare del trattamento di dimostrare che l’interessato ha un’effettiva libertà di scelta per quanto riguarda la concessione e la revoca del consenso (punto 47).

98 Oltre alle situazioni relative ai rapporti con le autorità pubbliche e ai rapporti di lavoro, menzionate al considerando 43, che non sono pertinenti nel caso di specie, il punto 24 delle linee guida EDBP 5/2020 menziona, in particolare, le situazioni in cui l’interessato non è in grado di operare realmente una scelta o in cui sussiste un rischio di raggiri, intimidazioni, coercizioni o conseguenze negative significative (ad es. costi aggiuntivi sostanziali) in caso di rifiuto di prestare il consenso.

99 Tale questione si sovrappone parzialmente a quella che forma l’oggetto della prima parte della terza questione pregiudiziale (v. paragrafi da 53 a 57 delle presenti conclusioni). La seconda frase del considerando 43 del RGPD precisa che, in una situazione del genere, si presume che il consenso non sia stato liberamente espresso (secondo il punto 26 delle linee guida EDBP 5/2020, in tal modo, il RGPD assicura che il trattamento dei dati personali per cui viene richiesto il consenso non possa trasformarsi direttamente o indirettamente in una controprestazione contrattuale), dove l’uso dell’espressione «si presume» indica chiaramente che i casi di validità del consenso saranno estremamente eccezionali (v. punto 35 di dette linee guida). Inoltre, per il fatto che è stato utilizzato l’inciso «tra le altre», l’articolo 7, paragrafo 4, del RGPD non è stato redatto in modo esaustivo e può quindi comprendere altre eventualità, compresa qualsiasi azione di pressione o influenza inappropriata sull’interessato, che impedisca a quest’ultimo di esercitare il suo libero arbitrio (linee guida EDBP 5/2020, punto 14).

100 Il considerando 32 del RGPD precisa segnatamente che il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità e che, qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. A tale riguardo, le linee guida EDBP 5/2020 fanno riferimento alla «granularità» del consenso come a un ostacolo alla sua libertà (punto 44).

101 Una situazione siffatta favorisce, in particolare, l’imposizione di condizioni non necessarie all’esecuzione del contratto (v. paragrafi da 53 a 57 delle presenti conclusioni).

102 In altre parole, come osserva la Commissione, il grado di potere sul mercato relativo dell’impresa che è critico per la validità del consenso ai sensi del RGPD non può essere necessariamente equiparato al livello di posizione dominante sul mercato ai sensi dell’articolo 102 TFUE.

103 Naturalmente, sebbene l’esistenza di una posizione dominante non osti, di per sé, alla possibilità di prestare un consenso libero al trattamento dei dati personali, dall’altro, l’inesistenza di una posizione siffatta non è sufficiente, di per sé, a garantire, in ogni circostanza, che siffatto consenso sia validamente prestato.