CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document :

Causa C‑252/21

Meta Platforms Inc., già Facebook Inc.,
Meta Platforms Ireland Ltd, già Facebook Ireland Ltd,
e
Facebook Deutschland GmbH

contro

Bundeskartellamt

(domanda di pronuncia pregiudiziale proposta dall’Oberlandesgericht Düsseldorf)

Sentenza della Corte (Grande Sezione) del 4 luglio 2023

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Social network online – Abuso di posizione dominante da parte dell’operatore di un tale social network – Abuso consistente nel trattamento di dati personali degli utenti di detto social network previsto dalle condizioni generali d’uso di quest’ultimo – Competenze di un’autorità garante della concorrenza di uno Stato membro a constatare la non conformità di detto trattamento a tale regolamento – Articolazione con le competenze delle autorità nazionali incaricate del controllo della protezione dei dati personali – Articolo 4, paragrafo 3, TUE – Principio di leale cooperazione – Articolo 6, paragrafo 1, primo comma, lettere da a) a f), del regolamento 2016/679 – Liceità del trattamento – Articolo 9, paragrafi 1 e 2 – Trattamento di categorie particolari di dati personali – Articolo 4, punto 11 – Nozione di “consenso”»

1. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Social network online – Abuso di posizione dominante da parte dell’operatore di un tale social network – Abuso consistente nel trattamento di dati personali degli utenti di detto social network previsto dalle condizioni generali d’uso di quest’ultimo – Competenza di un’autorità nazionale garante della concorrenza a constatare la non conformità di detto trattamento a tale regolamento – Portata – Articolazione con le competenze delle autorità nazionali incaricate del controllo della protezione dei dati personali – Obbligo di leale cooperazione dell’autorità nazionale garante della concorrenza con le autorità nazionali di controllo

[Art. 4, § 3, TUE; art. 102 TFUE; regolamento del Parlamento europeo e del Consiglio 2016/679, artt. 51, 55‑58, 60‑65)]

(v. punti 48‑59, 62, 63, dispositivo 1)

2. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trattamento di categorie particolari di dati personali – Nozione – Raccolta, da parte dell’operatore di un social network online, tramite interfacce integrate, cookie o simili tecnologie di registrazione, dei dati risultanti dalla consultazione di siti Internet e di applicazioni nonché dei dati inseriti dall’utente di tale social network – Messa in relazione dell’insieme di tali dati con l’account del social network di tale utente e utilizzo di questi dati da parte di detto operatore – Inclusione – Presupposto

(Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 51 e art. 9, § 1)

(v. punto 73, dispositivo 2)

3. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Trattamento di categorie particolari di dati personali – Divieto – Deroghe – Trattamento di dati manifestamente resi pubblici dall’interessato – Dati relativi alla consultazione, da parte di un utente di un social network online, di siti Internet o di applicazioni i quali riguardano una o più categorie particolari di dati, raccolti dall’operatore di detto social network tramite cookie o simili tecnologie di registrazione – Esclusione – Inserimento di dati in tali siti Internet o applicazioni, oppure attivazione di pulsanti di selezione integrati in questi ultimi o di pulsanti che consentono all’utente di identificarsi su tali siti o applicazioni utilizzando gli identificativi di connessione collegati al suo account di utente del social network online – Inclusione – Presupposto

[Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 9, §§ 1 e 2, e)]

(v. punti 84, 85, dispositivo 3)

4. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Trattamento necessario all’esecuzione di un contratto che vincola l’interessato – Nozione – Raccolta, effettuata da un operatore di un social network online, di dati degli utenti di un tale network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi – Messa in relazione di tali dati con l’account del social network di tali utenti e utilizzo di questi dati – Inclusione – Presupposto

[Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 6, § 1, comma 1, b)]

(v. punti 91‑93, 97‑104, 125, dispositivo 4)

5. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Trattamento necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono una protezione dei dati – Nozione – Raccolta, effettuata da un operatore di un social network online, di dati degli utenti di un tale network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi – Messa in relazione di tali dati con l’account del social network di tali utenti e utilizzo di questi dati – Inclusione – Presupposti

[Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 47 e 49, art. 6, § 1, comma 1, f)]

(v. punti 105‑124, 126, dispositivo 5)

6. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Trattamento necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica – Trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri perseguito dal titolare del trattamento – Nozione – Raccolta, effettuata da un operatore di un social network online, di dati degli utenti di un tale network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi – Messa in relazione di tali dati con l’account del social network di tali utenti e utilizzo di questi dati – Esclusione – Verifica incombente al giudice nazionale

[Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 46, art. 6, § 1, comma 1, d) e e)]

(v. punti 137, 139, dispositivo 7)

7. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Presupposti di liceità di un trattamento di dati personali – Trattamento necessario per adempiere un obbligo legale incombente al titolare del trattamento – Nozione – Raccolta, effettuata da un operatore di un social network online, di dati degli utenti di un tale network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi – Messa in relazione di tali dati con l’account del social network di tali utenti e utilizzo di questi dati – Inclusione – Presupposti

[Regolamento del Parlamento europeo e del Consiglio 2016/679, art. 6, § 1, comma 1, c)]

(v. punto 138, dispositivo 6)

8. Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento 2016/679 – Nozione di consenso – Posizione dominante sui social network online occupata dall’operatore di un social network online – Circostanza che non osta a un valido consenso degli utenti di un tale network al trattamento dei loro dati effettuato da questo operatore – Circostanza che costituisce un elemento importante per determinare la validità e, in particolare, la libertà del consenso così prestato da parte degli utenti di detto social network – Onere della prova incombente all’operatore di tale social network

[Regolamento del Parlamento europeo e del Consiglio 2016/679, considerando 42 e 43, art. 4, punto 11, artt. 6 § 1, comma 1, a), e 9, § 2, a)]

(v. punti 143‑154, dispositivo 8)

Sintesi

La società Meta Platforms è proprietaria del social network online «Facebook», il quale è gratuito per gli utenti privati. Il modello economico di tale social network si basa sul finanziamento attraverso la pubblicità online, che viene effettuata su misura per i suoi singoli utenti. Il presupposto tecnico per questo tipo di pubblicità è la creazione automatizzata di profili dettagliati degli utenti del network e dei servizi online offerti a livello del gruppo Meta. Pertanto, per poter utilizzare detto social network, gli utenti devono, al momento della loro iscrizione, accettare le condizioni generali stabilite da Meta Platforms, che rinviano alle regole sull’uso dei dati e dei marcatori (cookies) adottate da tale società. In forza di queste ultime, oltre ai dati che tali utenti forniscono direttamente all’atto della loro iscrizione, Meta Platforms raccoglie anche i dati riferiti alle attività di detti utenti all’interno e all’esterno del social network e li mette in relazione con gli account Facebook degli utenti interessati. Per quanto riguarda i dati da ultimo menzionati, denominati anche «dati off Facebook», si tratta, da un lato, dei dati concernenti la consultazione di pagine Internet e di applicazioni di terzi e, dall’altro, dei dati riguardanti l’utilizzo di altri servizi online appartenenti al gruppo Meta (fra i quali Instagram e WhatsApp). Il quadro generale dei dati così raccolti consente di trarre conclusioni dettagliate sulle preferenze e sugli interessi dei medesimi utenti.

Con decisione del 6 febbraio 2019, il Bundeskartellamt (autorità federale garante della concorrenza, Germania) ha vietato a Meta Platforms, da un lato, di subordinare, nelle condizioni generali a quell’epoca vigenti (1), l’uso del social network Facebook da parte di utenti privati residenti in Germania al trattamento dei loro dati off Facebook e, dall’altro, di procedere, senza il loro consenso, al trattamento di tali dati. Inoltre, l’autorità federale garante della concorrenza le ha imposto di adeguare tali condizioni generali, in modo tale che da esser risulti in modo chiaro che detti dati non saranno raccolti, messi in relazione con gli account degli utenti Facebook e utilizzati senza il consenso degli utenti interessati. Infine, tale autorità ha sottolineato che un siffatto consenso non era valido quando costituiva una condizione per l’utilizzo del social network. Essa ha motivato la sua decisione con il fatto che il trattamento dei dati in questione, che non sarebbe conforme al RGPD (2), costituirebbe uno sfruttamento abusivo della posizione dominante di Meta Platforms sul mercato tedesco dei social network online.

Meta Platforms ha presentato un ricorso dinanzi all’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania). Nutrendo dubbi, da un lato, in ordine alla possibilità per le autorità garanti della concorrenza di controllare la conformità di un trattamento di dati personali ai requisiti stabiliti nel RGPD e, dall’altro, in ordine all’interpretazione e all’applicazione di talune disposizioni di detto regolamento, il Tribunale superiore del Land, Düsseldorf, ha adito la Corte in via pregiudiziale.

Con la sua sentenza, la Corte, riunita in Grande Sezione, si pronuncia sulla competenza di un’autorità nazionale garante della concorrenza a constatare la non conformità di un trattamento di dati personali al RGPD, nonché sulla sua articolazione con le competenze delle autorità nazionali incaricate del controllo della protezione dei dati personali (3). Inoltre, essa fornisce talune precisazioni sulla possibilità del trattamento, da parte di un operatore di un social network, di dati personali «sensibili» dei suoi utenti, sui presupposti di liceità del trattamento dei dati effettuato da un tale operatore nonché sulla validità del consenso, prestato ai fini di un simile trattamento da parte di detti utenti a un’impresa in posizione dominante sul mercato nazionale dei social network online.

Giudizio della Corte

In primo luogo, per quanto riguarda la competenza di un’autorità garante della concorrenza a constatare la non conformità al RGPD di un trattamento di dati personali, la Corte considera che – fermo restando il rispetto del suo obbligo di leale cooperazione (4) con le autorità di controllo della protezione dei dati – una tale autorità può constatare, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa (5), che le condizioni generali d’uso fissate da tale impresa in materia di trattamento dei dati personali e la loro applicazione non sono conformi a detto regolamento, qualora tale constatazione sia necessaria per accertare l’esistenza di un tale abuso. Tuttavia, quando un’autorità garante della concorrenza rileva una violazione del RGPD nell’ambito della constatazione di un abuso di posizione dominante, essa non si sostituisce alle autorità di controllo.

Pertanto, alla luce del principio di leale cooperazione, laddove siano chiamate, nell’esercizio delle loro competenze, ad esaminare la conformità di un comportamento di un’impresa alle disposizioni del RGPD, le autorità garanti della concorrenza devono concertarsi e cooperare lealmente con le autorità nazionali di controllo interessate o con l’autorità di controllo capofila. Tutte queste autorità sono quindi tenute a conformarsi ai loro rispettivi poteri e competenze, così che gli obblighi derivanti dal RGPD nonché gli obiettivi di tale regolamento siano rispettati e il loro effetto utile sia preservato. Ne consegue che qualora, nell’ambito dell’esame diretto a constatare un abuso di posizione dominante da parte di un’impresa, un’autorità nazionale garante della concorrenza ritenga che sia necessario esaminare la conformità di un comportamento di tale impresa alle disposizioni del RGPD, detta autorità deve verificare se tale comportamento o un comportamento simile sia già stato oggetto di una decisione da parte dell’autorità nazionale di controllo competente o dell’autorità di controllo capofila o, ancora, della Corte. Se così fosse, l’autorità nazionale garante della concorrenza non potrebbe discostarsene, pur restando libera di trarne le proprie conclusioni sotto il profilo dell’applicazione del diritto della concorrenza.

Laddove nutra dubbi sulla portata della valutazione effettuata dall’autorità nazionale di controllo competente o dall’autorità di controllo capofila, laddove il comportamento di cui trattasi o un comportamento simile sia, al contempo, oggetto di esame da parte di tali autorità, o ancora laddove, in assenza di un’indagine di dette autorità, ritenga che un comportamento di un’impresa non sia conforme alle disposizioni del RGPD, l’autorità nazionale garante della concorrenza deve consultare tali autorità e chiederne la cooperazione, al fine di fugare i propri dubbi o di determinare se si debba attendere l’adozione di una decisione da parte dell’autorità di controllo interessata prima di iniziare la propria valutazione. In assenza di obiezioni o di risposta di queste ultime entro un termine ragionevole, l’autorità nazionale garante della concorrenza può proseguire la propria indagine.

In secondo luogo, per quanto riguarda il trattamento di categorie particolari di dati personali (6), la Corte considera che, nel caso in cui un utente di un social network online consulti siti Internet o applicazioni relative a una o più di tali categorie e, se del caso, vi inserisca dati iscrivendosi o effettuando ordini online, il trattamento di dati personali da parte dell’operatore di tale social network online (7) debba essere considerato un «trattamento di categorie particolari di dati personali», ai sensi dell’articolo 9, paragrafo 1, del RGPD, qualora consenta di rivelare informazioni rientranti in una di tali categorie particolari, indipendentemente dal fatto che tali informazioni riguardino un utente di tale social network o qualsiasi altra persona fisica. Un trattamento di dati di questo tipo è in linea di principio vietato, fatte salve talune deroghe (8).

A quest’ultimo riguardo, la Corte precisa che un utente di un social network online, allorché consulta siti Internet oppure applicazioni correlati a una o più delle suddette categorie particolari di dati, non rende manifestamente pubblici (9) i dati relativi a tale consultazione, raccolti dall’operatore di detto social network online mediante cookie o simili tecnologie di registrazione. Inoltre, quando inserisce dati in tali siti Internet o applicazioni nonché quando attiva pulsanti di selezione integrati in questi ultimi, come i pulsanti «Mi piace» o «Condividi» o i pulsanti che consentono all’utente di identificarsi su tali siti o applicazioni utilizzando gli identificativi di connessione collegati al suo account di utente del social network, il suo numero di telefono o il suo indirizzo di posta elettronica, tale utente rende manifestamente pubblici i dati così inseriti o risultanti dall’attivazione di tali pulsanti soltanto se abbia esplicitamente espresso preliminarmente, se del caso sulla base di un’impostazione individuale di parametri effettuata con piena cognizione di causa, la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.

In terzo luogo, riguardo più in generale ai presupposti di liceità di un trattamento di dati personali, la Corte ricorda che, in forza del RGPD, il trattamento di dati è lecito se, e nella misura in cui, l’interessato vi ha acconsentito per una o più finalità specifiche (10). In mancanza di un siffatto consenso, o qualora tale consenso non sia stato espresso in modo libero, specifico, informato e inequivocabile, un trattamento di questo tipo è nondimeno giustificato qualora soddisfi uno dei requisiti di necessità (11), che devono essere interpretati in maniera restrittiva. Orbene, il trattamento di dati personali dei suoi utenti effettuato da un operatore di un social network online può essere considerato necessario all’esecuzione del contratto di cui tali utenti sono parti solo a condizione che tale trattamento sia oggettivamente indispensabile per realizzare una finalità facente parte integrante della prestazione contrattuale destinata a detti utenti, in modo tale che l’oggetto principale del contratto non potrebbe essere raggiunto in assenza di tale trattamento.

Inoltre, secondo la Corte, il trattamento di dati di cui è causa può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi solo a condizione che il suddetto operatore abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento, che tale trattamento sia effettuato entro i limiti di quanto strettamente necessario alla realizzazione di tale legittimo interesse e che dal contemperamento dei contrapposti interessi, alla luce di tutte le circostanze pertinenti, risulti che le libertà e i diritti fondamentali e gli interessi di tali utenti non prevalgono su detto legittimo interesse del titolare del trattamento o di terzi. Orbene, la Corte considera in particolare che, in mancanza di un loro consenso, gli interessi e i diritti fondamentali di detti utenti prevalgono sull’interesse dell’operatore di un social network online alla personalizzazione della pubblicità mediante la quale egli finanzia la propria attività.

Infine, la Corte precisa che il trattamento di dati di cui trattasi è giustificato allorché è effettivamente necessario per adempiere un obbligo legale al quale il titolare del trattamento è soggetto, in forza di una disposizione del diritto dell’Unione o del diritto dello Stato membro interessato, che tale base giuridica risponde ad un obiettivo di interesse pubblico ed è proporzionata all’obiettivo legittimo perseguito e che tale trattamento è effettuato nei limiti dello stretto necessario.

In quarto luogo, riguardo alla validità del consenso degli utenti interessati dal trattamento dei loro dati in forza del RGPD, la Corte ricorda che la circostanza che l’operatore di un social network online occupi una posizione dominante sul mercato dei social network online non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire al trattamento dei loro dati personali effettuato da tale operatore. Tuttavia, dato che una siffatta posizione può incidere sulla libertà di scelta di tali utenti e creare uno squilibrio manifesto tra questi ultimi e detto operatore, essa costituisce un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e, in particolare, liberamente, circostanza che spetta al medesimo operatore dimostrare (12).

In particolare, gli utenti del social network in questione devono disporre della libertà di rifiutare individualmente, nell’ambito della procedura contrattuale, di prestare il loro consenso a operazioni particolari di trattamento di dati non necessarie all’esecuzione del contratto, senza essere per questo tenuti a rinunciare integralmente alla fruizione di detto social network online, il che implica che a detti utenti venga proposta, se del caso a fronte di un adeguato corrispettivo, un’alternativa equivalente non accompagnata da simili operazioni di trattamento di dati. Inoltre, deve essere possibile fornire un consenso distinto per il trattamento dei dati off Facebook.

1 Il 31 luglio 2019 Meta Platforms ha introdotto nuove condizioni generali, le quali indicano espressamente che l’utente, invece di pagare per l’uso dei prodotti Facebook, dichiara di acconsentire alle inserzioni pubblicitarie.

2 Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35; in prosieguo: il «RGPD»).

3 Ai sensi degli articoli da 51 a 59 del RGPD.

4 Sancito all’articolo 4, paragrafo 3, TUE.

5 Ai sensi dell’articolo 102 TFUE.

6 Previste all’articolo 9, paragrafo 1, del RGPD. Tale disposizione prevede che «è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona».

7 Tale trattamento, da parte di detto operatore, consiste nel raccogliere, tramite interfacce integrate, cookie o simili tecnologie di registrazione, dati risultanti dalla consultazione di tali siti e di tali applicazioni nonché dati inseriti dall’utente, nel mettere in relazione l’insieme di tali dati con l’account del social network di quest’ultimo e nell’utilizzare detti dati.

8 Previsti all’articolo 9, paragrafo 2, del RGPD. Tale disposizione prevede quanto segue: «[i]l paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;[…]

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;

(…)».

9 Ai sensi dell’articolo 9, paragrafo 2, del RGPD.

10 Ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera a), del RGPD.

11 Menzionate all’articolo 6, paragrafo 1, primo comma, lettere da b) a f), del RGPD. In forza di tali disposizioni, il trattamento è lecito solo se, e nei limiti in cui, tra l’altro, è necessario per l’esecuzione di un contratto di cui l’interessato è parte [articolo 6, paragrafo 1, primo comma, lettera b), del RGPD], per adempiere un obbligo legale al quale il titolare del trattamento è soggetto [articolo 6, paragrafo 1, primo comma, lettera c), del RGPD] o per il perseguimento dei legittimi interessi perseguiti dal titolare del trattamento o di terzi [articolo 6, paragrafo 1, primo comma, lettera f), del RGPD].

12 In forza dell’articolo 7, paragrafo 1, del RGPD.