SENTENZA DELLA CORTE (Grande Sezione)
4 luglio 2023 (*)
Indice
Contesto normativo
Diritto dell ’Unione
Regolamento n. 1/2003
RGPD
Diritto tedesco
Procedimento principale e questioni pregiudiziali
Sulle questioni pregiudiziali
Sulle questioni prima e settima
Sulla seconda questione
Sulla seconda questione, lettera a)
Sulla seconda questione,lettera b)
Sulle questioni dalla terza alla quinta
Osservazioni preliminari
Sulle questioni terza e quarta
Sulla quinta questione
Sulla sesta questione
Sulle spese
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Social network online – Abuso di posizione dominante da parte dell’operatore di un tale network – Abuso consistente nel trattamento di dati personali degli utenti di detto network previsto dalle condizioni generali d’uso di quest’ultimo – Competenza di un’autorità garante della concorrenza di uno Stato membro a constatare la non conformità di detto trattamento a tale regolamento – Articolazione con le competenze delle autorità nazionali incaricate del controllo della protezione dei dati personali – Articolo 4, paragrafo 3, TUE – Principio di leale cooperazione – Articolo 6, paragrafo 1, primo comma, lettere da a) a f), del regolamento 2016/679 – Liceità del trattamento – Articolo 9, paragrafi 1 e 2 – Trattamento di categorie particolari di dati personali – Articolo 4, punto 11 – Nozione di “consenso”»
Nella causa C‑252/21,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania), con decisione del 24 marzo 2021, pervenuta in cancelleria il 22 aprile 2021, nel procedimento
Meta Platforms Inc., già Facebook Inc.,
Meta Platforms Ireland Ltd, già Facebook Ireland Ltd,
Facebook Deutschland GmbH
contro
Bundeskartellamt,
con l’intervento di:
Verbraucherzentrale Bundesverband eV,
LA CORTE (Grande Sezione),
composta da K. Lenaerts, presidente, L. Bay Larsen, vicepresidente, A. Prechal, K. Jürimäe, C. Lycourgos, M. Safjan, L.S. Rossi (relatrice), D. Gratsias e M.L. Arastey Sahún, presidenti di sezione, J.-C. Bonichot, S. Rodin, F. Biltgen, M. Gavalec, Z. Csehi e O. Spineanu-Matei, giudici,
avvocato generale: A. Rantos
cancelliere: D. Dittert, capo unità
vista la fase scritta del procedimento e in seguito all’udienza del 10 maggio 2022,
considerate le osservazioni presentate:
– per Meta Platforms Inc., già Facebook Inc., Meta Platforms Ireland Ltd, già Facebook Ireland Ltd, e Facebook Deutschland GmbH, da M. Braun, M. Esser, L. Hesse, J. Höft e H.-G. Kamann, Rechtsanwälte;
– per il Bundeskartellamt, da J. Nothdurft, K. Ost, I. Sewczyk e J. Topel, in qualità di agenti;
– per la Verbraucherzentrale Bundesverband eV, da S. Louven, Rechtsanwalt;
– per il governo tedesco, da J. Möller e P.-L. Krüger, in qualità di agenti;
– per il governo ceco, da M. Smolek e J. Vláčil, in qualità di agenti;
– per il governo italiano, da G. Palmieri, in qualità di agente, assistita da E. De Bonis e P. Gentili, avvocati dello Stato;
– per il governo austriaco, da A. Posch e J. Schmoll e G. Kunnert, in qualità di agenti;
– per la Commissione europea, da F. Erlbacher, H. Kranenborg e G. Meessen, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 20 settembre 2022,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 4, paragrafo 3, TUE nonché dell’articolo 6, paragrafo 1, dell’articolo 9, paragrafi 1 e 2, dell’articolo 51, paragrafo 1, e dell’articolo 56, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifiche in GU 2016, L 314, pag. 72, GU 2018, L 127, pag. 3 e GU 2021, L 74, pag. 35; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra Meta Platforms Inc., già Facebook Inc., Meta Platforms Ireland Ltd, già Facebook Ireland Ltd, e Facebook Deutschland GmbH, da un lato, e il Bundeskartellamt (autorità federale garante della concorrenza, Germania), dall’altro, in merito alla decisione di quest’ultimo di vietare a tali società di procedere al trattamento di taluni dati personali previsto dalle condizioni generali di utilizzo del social network Facebook (in prosieguo: le «condizioni generali»).
Contesto normativo
Diritto dell’Unione
Regolamento (CE) n. 1/2003
3 L’articolo 5 del regolamento (CE) n. 1/2003 del Consiglio, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli [101 e 102 del TFUE] (GU 2003, L 1, pag. 1),), rubricato «Competenze delle autorità garanti della concorrenza degli Stati membri», prevede quanto segue:
«Le autorità garanti della concorrenza degli Stati membri sono competenti ad applicare gli articoli [101 et 102 TFUE] in casi individuali. A tal fine, agendo d’ufficio o in seguito a denuncia, possono adottare le seguenti decisioni:
– ordinare la cessazione di un’infrazione,
– disporre misure cautelari,
– accettare impegni,
– comminare ammende, penalità di mora o qualunque altra sanzione prevista dal diritto nazionale.
Qualora, in base alle informazioni di cui dispongono, non sussist[a]no le condizioni per un divieto, possono anche decidere di non avere motivo di intervenire»
RGPD
4 I considerando 1, 4, 38, 42, 43, 46, 47, 49 e 51 del RGPD enunciano:
«(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (“Carta”) e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.
(...)
(4) Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.
(...)
(38) I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore.
(...)
(42) Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. (...) Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.
(43) Per assicurare la libertà di prestare il consenso, è opportuno che il consenso non costituisca un valido fondamento giuridico per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.
(...)
(46) Il trattamento di dati personali dovrebbe essere altresì considerato lecito quando è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. Il trattamento di dati personali fondato sull’interesse vitale di un’altra persona fisica dovrebbe avere luogo in principio unicamente quando il trattamento non può essere manifestamente fondato su un’altra base giuridica. Alcuni tipi di trattamento dei dati personali possono rispondere sia a rilevanti motivi di interesse pubblico sia agli interessi vitali dell’interessato, per esempio se il trattamento è necessario a fini umanitari, tra l’altro per tenere sotto controllo l’evoluzione di epidemie e la loro diffusione o in casi di emergenze umanitarie, in particolare in casi di catastrofi di origine naturale e umana.
(47) I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. (...) In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. (...) Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.
(...)
(49) Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione, vale a dire la capacità di una rete o di un sistema d’informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi (...).
(...)
(51) Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l’origine razziale o etnica, essendo inteso che l’utilizzo dei termini «origine razziale» nel presente regolamento non implica l’accettazione da parte dell’Unione [europea] di teorie che tentano di dimostrare l’esistenza di razze umane distinte. Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando siano trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche, in particolare se il trattamento è eseguito nel corso di legittime attività di talune associazioni o fondazioni il cui scopo sia permettere l’esercizio delle libertà fondamentali».
5 L’articolo 4 di tale regolamento così dispone:
«Ai fini del presente regolamento s’intende per:
1) “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (...)
2) “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
(...)
7) “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
(...)
11) “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, [a] che i dati personali che lo riguardano siano oggetto di trattamento;
(...)
23) “trattamento transfrontaliero”,
a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure
b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;
(...)».
6 L’articolo 5 di detto regolamento, rubricato «Principi applicabili al trattamento di dati personali», dispone, ai paragrafi 1 e 2, quanto segue:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (...)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
(...)
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
7 L’articolo 6 del medesimo regolamento, rubricato «Liceità del trattamento», è così formulato:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore;
La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
(...)
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
(...)
(...) Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito».
8 Ai sensi dell’articolo 7 del RGPD, rubricato «Condizioni per il consenso»:
«1. Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.
(...)
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».
9 L’articolo 9 di detto regolamento, rubricato «Trattamento di categorie particolari di dati personali», dispone quanto segue:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
(...)
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
(...)».
10 L’articolo 13 del regolamento in parola, relativo alle «[i]nformazioni da fornire qualora i dati personali siano raccolti presso l’interessato», prevede, al suo paragrafo 1, quanto segue:
«In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
(...)
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
(...)».
11 Il capo VI del RGPD, relativo alle «[a]utorità di controllo indipendenti», comprende gli articoli da 51 a 59 di tale regolamento.
12 L’articolo 51 del regolamento succitato, rubricato «Autorità di controllo», ai paragrafi 1 e 2 così prevede:
«1. Ogni Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di controllare l’applicazione del presente regolamento al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento e di agevolare la libera circolazione dei dati personali all’interno dell’Unione (…).
2. Ogni autorità di controllo contribuisce alla coerente applicazione del presente regolamento in tutta l’Unione. A tale scopo, le autorità di controllo cooperano tra loro e con la Commissione [europea], conformemente al capo VII».
13 Ai sensi dell’articolo 55 del medesimo regolamento, rubricato «Competenza»:
«1. Ogni autorità di controllo è competente a eseguire i compiti assegnati e a esercitare i poteri a essa conferiti a norma del presente regolamento nel territorio del rispettivo Stato membro.
2. Se il trattamento è effettuato da autorità pubbliche o organismi privati che agiscono sulla base dell’articolo 6, paragrafo 1, lettera c) o e), è competente l’autorità di controllo dello Stato membro interessato. In tal caso, non si applica l’articolo 56».
14 L’articolo 56 del RGPD, rubricato «Competenza dell’autorità di controllo capofila», al suo paragrafo 1 enuncia:
«Fatto salvo l’articolo 55, l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare del trattamento o responsabile del trattamento è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri effettuati dal suddetto titolare del trattamento o responsabile del trattamento, secondo la procedura di cui all’articolo 60».
15 L’articolo 57 di detto regolamento, rubricato «Compiti», al suo paragrafo 1 così dispone:
«Fatti salvi gli altri compiti indicati nel presente regolamento, sul proprio territorio ogni autorità di controllo:
a) sorveglia e assicura l’applicazione del presente regolamento;
(...)
g) collabora, anche tramite scambi di informazioni, con le altre autorità di controllo e presta assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerente del presente regolamento;
(...)».
16 L’articolo 58 di detto regolamento stabilisce, al suo paragrafo 1, l’elenco dei poteri di indagine di cui dispone ogni autorità di controllo e precisa, al suo paragrafo 5, che «[o]gni Stato membro dispone per legge che la sua autorità di controllo abbia il potere di intentare un’azione o di agire in sede giudiziale o, ove del caso, stragiudiziale in caso di violazione del presente regolamento per far rispettare le disposizioni dello stesso».
17 La sezione 1, rubricata «Cooperazione», del capo VII del RGPD, a sua volta rubricato «Cooperazione e coerenza», comprende gli articoli da 60 a 62 di tale regolamento. L’articolo 60, relativo alla «[c]ooperazione tra l’autorità di controllo capofila e le altre autorità di controllo interessate», al paragrafo 1 prevede quanto segue:
«L’autorità di controllo capofila coopera con le altre autorità di controllo interessate conformemente al presente articolo nell’adoperarsi per raggiungere un consenso. L’autorità di controllo capofila e le autorità di controllo interessate si scambiano tutte le informazioni utili».
18 L’articolo 61 di detto regolamento, rubricato «Assistenza reciproca», al suo paragrafo 1, così recita:
«Le autorità di controllo si scambiano le informazioni utili e si prestano assistenza reciproca al fine di attuare e applicare il presente regolamento in maniera coerente, e mettono in atto misure per cooperare efficacemente tra loro. L’assistenza reciproca comprende, in particolare, le richieste di informazioni e le misure di controllo, quali le richieste di autorizzazioni e consultazioni preventive e le richieste di effettuare ispezioni e indagini».
19 L’articolo 62 del medesimo regolamento, rubricato «Operazioni congiunte delle autorità di controllo», ai paragrafi 1 e 2 prevede quanto segue:
«1. Se del caso, le autorità di controllo conducono operazioni congiunte, incluse indagini congiunte e misure di contrasto congiunte, cui partecipano membri o personale di autorità di controllo di altri Stati membri.
2. Qualora il titolare del trattamento o responsabile del trattamento abbia stabilimenti in vari Stati membri o qualora esista la probabilità che il trattamento abbia su un numero significativo di interessati in più di uno Stato membro un impatto negativo sostanziale, un’autorità di controllo di ogni Stato membro in questione ha il diritto di partecipare alle operazioni congiunte. (...)».
20 La sezione 2 del capo VII del RGPD, rubricata «Coerenza», comprende gli articoli da 63 a 67 di detto regolamento. Ai sensi dell’articolo 63, rubricato «Meccanismo di coerenza»:
«Al fine di contribuire all’applicazione coerente del presente regolamento in tutta l’Unione, le autorità di controllo cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella presente sezione».
21 A termini dell’articolo 64, paragrafo 2, di tale regolamento:
«Qualsiasi autorità di controllo, il presidente del comitato [europeo per la protezione dei dati] o la Commissione può richiedere che le questioni di applicazione generale o che producono effetti in più di uno Stato membro siano esaminate dal comitato [europeo per la protezione dei dati] al fine di ottenere un parere, in particolare se un’autorità di controllo competente non si conforma agli obblighi relativi all’assistenza reciproca ai sensi dell’articolo 61 o alle operazioni congiunte ai sensi dell’articolo 62».
22 L’articolo 65 di detto regolamento, rubricato «Composizione delle controversie da parte del comitato», al paragrafo 1 così dispone:
«Al fine di assicurare l’applicazione corretta e coerente del presente regolamento nei singoli casi, il comitato [europeo per la protezione dei dati] adotta una decisione vincolante nei seguenti casi:
a) se, in un caso di cui all’articolo 60, paragrafo 4, un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila di controllo non abbia dato seguito all’obiezione o abbia rigettato tale obiezione in quanto non pertinente o non motivata. La decisione vincolante riguarda tutte le questioni oggetto dell’obiezione pertinente e motivata, in particolare se sussista una violazione del presente regolamento;
b) se vi sono opinioni contrastanti in merito alla competenza delle autorità di controllo interessate per lo stabilimento principale;
(...)».
Diritto tedesco
23 L’articolo 19, paragrafo 1, del Gesetz gegen Wettbewerbsbeschränkungen (legge contro le restrizioni della concorrenza), nella sua versione pubblicata il 26 giugno 2013 (BGBl. 2013 I, pag. 1750, 3245), modificata da ultimo dall’articolo 2 della legge del 16 luglio 2021 (BGBl. 2021 I, pag. 2959) (in prosieguo: il «GWB») così dispone:
«È vietato lo sfruttamento abusivo di una posizione dominante sul mercato tramite una o più imprese».
24 Ai sensi dell’articolo 32, paragrafo 1, del GWB:
«L’autorità garante della concorrenza può obbligare le imprese o associazioni di imprese a porre fine a un’infrazione alle disposizioni della presente parte o agli articoli 101 o 102 del Trattato sul funzionamento dell’Unione europea».
25 L’articolo 50f del GWB prevede, al suo paragrafo 1, quanto segue:
«Le autorità garanti della concorrenza, le autorità di regolamentazione, il responsabile federale della protezione dei dati e della libertà di informazione, i responsabili regionali della protezione dei dati e le autorità competenti ai sensi dell’articolo 2 dell’EU‑Verbraucherschutzdurchführungsgesetz [(legge per l’attuazione del diritto dell’Unione europea in materia di tutela dei consumatori)] possono, indipendentemente dalla procedura scelta, scambiarsi informazioni, compresi dati personali e segreti tecnici e commerciali, nella misura necessaria per l’assolvimento dei rispettivi compiti e utilizzare tali informazioni nell’ambito delle loro procedure. (...)».
Procedimento principale e questioni pregiudiziali
26 Meta Platforms Ireland gestisce l’offerta del social network online Facebook nell’Unione e promuove, in particolare all’indirizzo www.facebook.com, servizi gratuiti per gli utenti privati. Altre società del gruppo Meta offrono, nell’Unione, altri servizi online tra cui Instagram, WhatsApp, Oculus e – fino al 13 marzo 2020 – Masquerade.
27 Il modello economico del social network online Facebook si fonda sul finanziamento tramite la pubblicità online, che viene creata su misura per i singoli utenti del social network in funzione, in particolare, del loro comportamento di consumo, dei loro interessi, del loro potere d’acquisto e della loro situazione personale. Il presupposto tecnico per questo tipo di pubblicità è la creazione automatizzata di profili dettagliati degli utenti del network e dei servizi online offerti a livello del gruppo Meta. A tal fine, oltre ai dati che gli utenti forniscono direttamente al momento della loro iscrizione ai servizi online di cui trattasi, vengono raccolti, all’interno e all’esterno di detto social network e dei servizi online forniti dal gruppo Meta, e messi in relazione ai loro diversi account di utenza anche altri dati relativi ai tali utenti e ai loro dispositivi. Il quadro generale di tali dati consente di trarre conclusioni dettagliate sulle preferenze e sugli interessi dei medesimi utenti.
28 Per il trattamento di tali dati, Meta Platforms Ireland si basa sul contratto d’uso a cui gli utenti del social network Facebook aderiscono tramite l’attivazione del pulsante «Iscriviti» e con il quale essi accettano le condizioni generali stabilite da detta società. L’accettazione di queste condizioni è necessaria per poter utilizzare il social network Facebook. Per quanto riguarda il trattamento dei dati personali, le condizioni generali rinviano alle regole sull’uso dei dati e dei marcatori (cookies) adottate dalla suddetta società. In forza di queste ultime, Meta Platforms Ireland raccoglie dati riferiti agli utenti e ai loro dispositivi, relativi alle loro attività all’interno e all’esterno del social network, e li mette in relazione con gli account Facebook degli utenti interessati. Per quanto riguarda questi ultimi dati, relativi alle attività al di fuori del social network (in prosieguo anche: i «dati off Facebook»), si tratta, da un lato, dei dati concernenti la consultazione di pagine Internet e di applicazioni di terzi che sono collegate a Facebook attraverso interfacce di programmazione – gli «Strumenti business di Facebook» – e, dall’altro, dei dati riguardanti l’utilizzo degli altri servizi online appartenenti al gruppo Meta, tra i quali Instagram, WhatsApp, Oculus e – fino al 13 marzo 2020 – Masquerade.
29 L’autorità federale garante della concorrenza ha avviato nei confronti di Meta Platforms, Meta Platforms Ireland e Facebook Deutschland un procedimento in esito al quale, con decisione del 6 febbraio 2019, fondata sull’articolo 19, paragrafo 1, e sull’articolo 32 del GWB, essa ha sostanzialmente vietato loro di subordinare, nelle condizioni generali, l’uso del social network Facebook da parte di utenti privati residenti in Germania al trattamento dei loro dati off Facebook e di procedere, senza il consenso di detti utenti, al trattamento di tali dati sulla base delle condizioni generali allora vigenti. Inoltre, essa ha ordinato loro di adeguare dette condizioni generali in modo che da esse risultasse chiaramente che tali dati non sarebbero stati né raccolti, né messi in relazione con gli account degli utenti Facebook, né utilizzati senza il consenso dell’utente interessato, e ha chiarito che tale consenso non è valido qualora costituisca una condizione per l’utilizzo del social network.
30 L’autorità federale garante della concorrenza ha motivato la sua decisione con il fatto che il trattamento dei dati degli utenti interessati, quale previsto dalle condizioni generali e attuato da Meta Platforms Ireland, costituiva uno sfruttamento abusivo della posizione dominante di tale società sul mercato dei sociali network online per gli utenti privati in Germania, ai sensi dell’articolo 19, paragrafo 1, del GWB. Precisamente, secondo l’autorità federale garante della concorrenza, tali condizioni generali, in quanto emanazione di tale posizione dominante, sarebbero abusive perché il trattamento dei dati off Facebook da esse previsto non sarebbe conforme ai valori sottesi al RGPD e, in particolare, non potrebbe essere giustificato alla luce dell’articolo 6, paragrafo 1, e dell’articolo 9, paragrafo 2, del medesimo regolamento.
31 L’11 febbraio 2019 Meta Platforms, Meta Platforms Ireland e Facebook Deutschland hanno presentato un ricorso avverso la decisione dell’autorità federale garante della concorrenza dinanzi all’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf, Germania).
32 Il 31 luglio 2019 Meta Platforms Ireland ha introdotto nuove condizioni generali, le quali indicano espressamente che l’utente, invece di pagare per l’uso dei prodotti Facebook, dichiara di acconsentire alle inserzioni pubblicitarie.
33 Inoltre, dal 28 gennaio 2020 Meta Platforms offre in tutto il mondo, l’«Off-Facebook-Activity», la quale consente agli utenti del social network Facebook di visualizzare un riepilogo delle informazioni che li riguardano, che le società del gruppo Meta ottengono in relazione alle loro attività su altri siti Internet e applicazioni, e di scollegare, se lo desiderano, tali dati dal loro account Facebook.com, tanto per il passato quanto per il futuro.
34 L’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) nutre dubbi, in primo luogo, in merito alla possibilità per le autorità nazionali garanti della concorrenza di controllare, nell’ambito dell’esercizio delle loro competenze, la conformità di un trattamento di dati personali alle condizioni stabilite nel RGPD; in secondo luogo, in merito alla possibilità per un operatore di un social network online di trattare i dati personali sensibili della persona interessata, ai sensi dell’articolo 9, paragrafi 1 e 2, di tale regolamento; in terzo luogo, in merito alla liceità del trattamento dei dati personali dell’utente interessato da parte di un siffatto operatore, conformemente all’articolo 6, paragrafo 1, di detto regolamento, e, in quarto luogo, in merito alla validità – alla luce dell’articolo 6, paragrafo 1, primo comma, lettera a), e dell’articolo 9, paragrafo 2, lettera a), del medesimo regolamento – del consenso prestato a un’impresa che detiene una posizione dominante sul mercato nazionale dei social network online, ai fini di un trattamento di questo tipo.
35 In tale contesto, ritenendo che la soluzione della controversia principale dipenda dalla risposta da dare a tali questioni, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) a) Se sia compatibile con gli articoli 51 e seguenti del RGPD il fatto che un’autorità garante della concorrenza di uno Stato membro, quale l’autorità federale garante della concorrenza, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e nel cui Stato membro un’impresa stabilita al di fuori dell’Unione europea disponga di una filiale di supporto alla filiale principale nel settore della pubblicità, della comunicazione e delle relazioni pubbliche – mentre la filiale principale di tale impresa è situata in un altro Stato membro e ha la responsabilità esclusiva per il trattamento dei dati personali per l’intero territorio dell’Unione europea –, constati, nell’ambito dell’esercizio di un controllo degli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali operate dalla filiale principale relativamente al trattamento dei dati e la relativa attuazione violano il RGPD, e disponga di porre fine a tale violazione.
b) In caso affermativo, se ciò sia compatibile con l’articolo 4, paragrafo 3, TUE se, nel contempo, l’autorità di controllo capofila nello Stato membro in cui si trova la filiale principale ai sensi dell’articolo 56, paragrafo 1, del RGPD sottopone a un procedimento di indagine le condizioni contrattuali per il trattamento dei dati operate da quest’ultima.
In caso di risposta affermativa alla prima questione:
2) a) Se, nel caso di un utente di Internet che si limiti a visitare siti Internet o applicazioni (“app”) che fanno riferimento ai criteri di cui all’articolo 9, paragrafo 1, del RGPD – come app di incontri, siti per incontri omosessuali, siti di partiti politici, siti relativi alla salute – o vi immetta dati al fine di registrarvisi o di effettuare degli ordini, e di una (…) società, come [Meta Platforms Ireland], che raccolga i dati relativi all’accesso ai siti e alle app e alle informazioni ivi immesse da parte dell’utente – tramite interfacce integrate nei siti e nelle app, come “Strumenti di Facebook Business”, o tramite marcatori temporanei (“cookies”) o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente –, li colleghi ai dati dell’account Facebook.com dell’utente e li utilizzi, la raccolta e/o il collegamento e/o l’utilizzo configurino un trattamento di dati sensibili ai sensi di detto articolo.
b) In caso affermativo: se l’accesso a tali siti e app e/o l’inserimento di dati e/o l’attivazione di pulsanti (“plug-in social” come “Mi piace”, “Condividi” o “Facebook Login” o “Account Kit”) integrati in tali siti o app da un fornitore come [Meta Platforms Ireland] costituiscano una modalità di rendere manifestamente pubblici i dati relativi all’accesso di per sé e/o i dati immessi da parte dell’utente, ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD.
3) Se un’impresa come [Meta Platforms Ireland], che gestisce un social network digitale finanziato dalla pubblicità e che offre, nelle sue condizioni d’uso, la personalizzazione dei contenuti e della pubblicità, la sicurezza del network, il miglioramento dei prodotti e l’utilizzo coerente e senza interruzioni di tutti i prodotti del gruppo, possa invocare la giustificazione della necessità per l’esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD, o la giustificazione della tutela dei legittimi interessi di cui all’articolo 6, paragrafo 1, lettera f), del RGPD, quando a tali fini essa raccoglie dati generati da altri servizi propri del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, oppure tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, li collega all’account Facebook.com dell’utente e li utilizza.
4) Se, in tal caso, possano essere considerati legittimi interessi ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD anche
– la minore età dell’utente, ai fini della personalizzazione dei contenuti e della pubblicità, del miglioramento dei prodotti, della sicurezza del network e delle comunicazioni non commerciali destinate all’utente,
– la fornitura di misurazioni, dati statistici e altri servizi per le aziende a inserzionisti, sviluppatori e altri partner, affinché questi possano valutare e migliorare le proprie prestazioni,
– l’offerta di comunicazioni di marketing destinate all’utente affinché l’impresa possa migliorare i suoi prodotti e condurre marketing diretto,
– ricerca e innovazione per il bene della società per far progredire lo stato dell’arte o la comprensione scientifica relativamente a importanti temi sociali e per avere un impatto positivo sulla società e sul mondo,
– informazioni alle autorità preposte all’applicazione e all’esecuzione della legge e la risposta a richieste legali, al fine di prevenire, di individuare e di perseguire illeciti penali, usi non autorizzati, violazioni delle condizioni d’uso e delle regole aziendali ed altri comportamenti dannosi,
quando a tali fini l’impresa raccoglie dati generati da altri servizi propri del gruppo e da siti e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, o tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, li collega all’account Facebook.com dell’utente e li utilizza.
5) Se, in tal caso, la raccolta di dati provenienti da altri servizi propri del gruppo e da siti internet e app di terzi tramite interfacce in essi integrate, come “Strumenti di Facebook Business”, oppure tramite cookies o simili tecnologie di memorizzazione utilizzati sul computer o sul dispositivo terminale mobile dell’utente, il collegamento con l’account Facebook.com dell’utente e l’utilizzo di tali dati, oppure l’utilizzo di dati già altrimenti e legittimamente raccolti e collegati possano essere giustificati, caso per caso, anche ai sensi dell’articolo 6, paragrafo 1, lettere c), d) ed e) del RGPD, ad esempio per rispondere ad una legittima richiesta di dati specifici [lettera c)], per contrastare comportamenti dannosi e promuovere la sicurezza [lettera d)], per ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza [lettera e)].
6) Se nei confronti di un’impresa in posizione dominante sul mercato come [Meta Platforms Ireland] sia possibile esprimere un consenso valido, e in particolare libero ai sensi dell’articolo 4, punto 11, del RGPD, in conformità con gli articoli 6, paragrafo 1, lettera a), e 9, paragrafo 2, lettera a), del RGPD.
In caso di risposta negativa alla prima questione:
7) a) Se un’autorità nazionale garante della concorrenza di uno Stato membro, quale l’autorità federale garante della concorrenza, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e che esamini una violazione del divieto di abuso di posizione dominante, ai sensi del diritto della concorrenza, da parte di un’impresa in posizione dominante, che non consista in una violazione del RGPD da parte delle sue condizioni per il trattamento dei dati e della loro attuazione, possa effettuare accertamenti, ad esempio nell’ambito del bilanciamento degli interessi, in merito alla conformità al RGPD delle condizioni per il trattamento dei dati di tale impresa e della loro attuazione.
b) In caso affermativo: se, ai sensi dell’articolo 4, paragrafo 3, TUE, ciò valga anche qualora, nel contempo, l’autorità di controllo capofila competente ai sensi dell’articolo 56, paragrafo 1, del RGPD sottoponga le condizioni per il trattamento dei dati di tale impresa ad un procedimento di indagine.
Se la risposta alla settima questione è affermativa, occorre rispondere alle questioni dalla terza alla quinta per quanto riguarda i dati generati dall’utilizzo del servizio Instagram, appartenente al gruppo».
Sulle questioni pregiudiziali
Sulle questioni prima e settima
36 Con la prima e la settima questione, che è opportuno trattare congiuntamente, il giudice del rinvio chiede, in sostanza, se gli articoli 51 e seguenti del RGPD debbano essere interpretati nel senso che un’autorità garante della concorrenza di uno Stato membro può constatare, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, ai sensi dell’articolo 102 TFUE, che le condizioni generali d’uso di tale impresa relative al trattamento dei dati personali e la loro applicazione non sono conformi al RGPD e, in caso affermativo, se l’articolo 4, paragrafo 3, TUE debba essere interpretato nel senso che una simile constatazione, di natura incidentale, da parte dell’autorità garante della concorrenza è possibile anche nel caso in cui tali condizioni siano sottoposte, al contempo, a una procedura d’esame da parte dell’autorità di controllo capofila competente ai sensi dell’articolo 56, paragrafo 1, del RGPD.
37 Per rispondere a tale questione, si deve anzitutto ricordare che l’articolo 55, paragrafo 1, del RGPD stabilisce la competenza di principio di ogni autorità di controllo ad eseguire i compiti ed esercitare i poteri a essa conferiti, a norma di tale regolamento, nel territorio del rispettivo Stato membro (sentenza del 15 giugno 2021, Facebook Ireland e a., C‑645/19, EU:C:2021:483, punto 47 e giurisprudenza ivi citata).
38 Tra i compiti assegnati a tali autorità di controllo si annovera quello di controllare l’applicazione del RGPD e di vigilare sul rispetto di quest’ultimo, previsto all’articolo 51, paragrafo 1, e all’articolo 57, paragrafo 1, lettera a), del medesimo regolamento, al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali nonché di agevolare la libera circolazione di tali dati all’interno dell’Unione. Inoltre, conformemente all’articolo 51, paragrafo 2, e all’articolo 57, paragrafo 1, lettera g), di tale regolamento, tali autorità di controllo cooperano tra loro, anche tramite scambi di informazioni, e si prestano assistenza reciproca in tale ambito al fine di garantire la coerente applicazione del medesimo regolamento e delle misure adottate per assicurarne il rispetto.
39 Al fine di assolvere tali compiti, l’articolo 58 del RGPD conferisce a dette autorità di controllo, al suo paragrafo 1, poteri di indagine, al suo paragrafo 2, poteri correttivi e al suo paragrafo 5, il potere di intentare un’azione o di agire in sede giudiziale o, se del caso, stragiudiziale in caso di violazione di tale regolamento per far rispettare le disposizioni dello stesso.
40 Fatta salva la norma sulla competenza di cui all’articolo 55, paragrafo 1, del RGPD, l’articolo 56, paragrafo 1, di tale regolamento prevede, per i trattamenti transfrontalieri ai sensi del suo articolo 4, punto 23, un meccanismo di «sportello unico», basato su una ripartizione delle competenze tra un’«autorità di controllo capofila» e le altre autorità di controllo interessate, nonché su una cooperazione tra tutte queste autorità secondo la procedura di cooperazione di cui all’articolo 60 di detto regolamento.
41 Inoltre, l’articolo 61, paragrafo 1, del RGPD obbliga segnatamente le autorità di controllo a comunicarsi le informazioni utili nonché a prestarsi reciproca assistenza al fine di attuare ed applicare tale regolamento in modo coerente in tutta l’Unione. L’articolo 63 di detto regolamento precisa che proprio a tal fine è previsto il meccanismo di coerenza, stabilito agli articoli 64 e 65 di quest’ultimo (sentenza del 15 giugno 2021, Facebook Ireland e a., C‑645/19, EU:C:2021:483, punto 52 e giurisprudenza ivi citata).
42 Ciò premesso, occorre rilevare che le norme di cooperazione previste nel RGPD non si rivolgono alle autorità nazionali garanti della concorrenza ma disciplinano la cooperazione tra le autorità nazionali di controllo interessate e l’autorità di controllo capofila nonché, se del caso, la cooperazione di tali autorità con il comitato europeo per la protezione dei dati e la Commissione.
43 Infatti, né il RGPD né altri strumenti del diritto dell’Unione stabiliscono norme specifiche sulla cooperazione tra un’autorità nazionale garante della concorrenza e le autorità nazionali di controllo interessate o l’autorità di controllo capofila. Inoltre, nessuna disposizione di detto regolamento vieta alle autorità nazionali garanti della concorrenza di constatare, nell’ambito dell’esercizio delle loro funzioni, la non conformità a tale regolamento di un trattamento di dati effettuato da un’impresa in posizione dominante e tale da costituire un abuso di tale posizione.
44 A tal riguardo, occorre precisare, in primo luogo, che le autorità di controllo, da un lato, e le autorità nazionali garanti della concorrenza, dall’altro, esercitano funzioni diverse e perseguono obiettivi e compiti ad esse propri.
45 Infatti, da un lato, come indicato al punto 38 della presente sentenza, in forza dell’articolo 51, paragrafi 1 e 2, nonché dell’articolo 57, paragrafo 1, lettere a) e g), del RGPD, il compito principale dell’autorità di controllo è quello di controllare l’applicazione di detto regolamento e di vigilare sul suo rispetto, contribuendo al contempo alla sua coerente applicazione nell’ambito dell’Unione, e ciò al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei loro dati personali nonché di agevolare la libera circolazione di tali dati all’interno dell’Unione. A tal fine, come ricordato al punto 39 della presente sentenza, l’autorità di controllo dispone dei diversi poteri che le sono conferiti in forza dell’articolo 58 del RGPD.
46 Dal canto loro, ai sensi dell’articolo 5 del regolamento n. 1/2003, le autorità nazionali garanti della concorrenza sono segnatamente competenti ad adottare decisioni che constatino un abuso di posizione dominante da parte di un’impresa, ai sensi dell’articolo 102 TFUE, il cui obiettivo consiste nell’istituire un regime atto a garantire che la concorrenza non sia falsata nel mercato interno, tenuto conto anche delle conseguenze di un tale abuso per i consumatori di tale mercato.
47 Come rilevato in sostanza dall’avvocato generale al paragrafo 23 delle sue conclusioni, nell’ambito dell’adozione di una decisione di questo tipo, un’autorità garante della concorrenza deve valutare, sulla base di tutte le circostanze del caso di specie, se il comportamento dell’impresa in posizione dominante abbia l’effetto di ostacolare, ricorrendo a mezzi diversi da quelli su cui si impernia la concorrenza normale tra prodotti o servizi, la conservazione del grado di concorrenza esistente sul mercato o lo sviluppo di detta concorrenza (v., in tal senso, sentenza del 25 marzo 2021, Deutsche Telekom/Commissione, C‑152/19 P, EU:C:2021:238, punti 41 e 42). A tal riguardo, la conformità o non conformità di detto comportamento alle disposizioni del RGPD può costituire, se del caso, un importante indizio fra le circostanze rilevanti del caso di specie per stabilire se siffatto comportamento costituisca un ricorso a mezzi su cui s’impernia la concorrenza normale nonché per valutare le conseguenze di una determinata pratica sul mercato o per i consumatori.
48 Ne consegue che, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa su un dato mercato, può risultare necessario che l’autorità garante della concorrenza dello Stato membro interessato esamini anche la conformità del comportamento di tale impresa a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme in materia di protezione dei dati personali previste dal RGPD.
49 Orbene, tenuto conto dei diversi obiettivi perseguiti dalle norme stabilite in materia di concorrenza, in particolare dall’articolo 102 TFUE, da un lato, e da quelle previste in materia di protezione dei dati personali in forza del RGPD, dall’altro, occorre constatare che, quando un’autorità nazionale garante della concorrenza rileva una violazione di questo regolamento nell’ambito della constatazione di un abuso di posizione dominante, essa non si sostituisce alle autorità di controllo. In particolare, l’autorità nazionale garante della concorrenza non controlla l’applicazione né assicura il rispetto di tale regolamento per le finalità di cui all’articolo 51, paragrafo 1, di quest’ultimo, vale a dire al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali e di facilitare la libera circolazione di questi ultimi all’interno dell’Unione. Inoltre, limitandosi a rilevare la non conformità al RGPD di un trattamento di dati al solo scopo di constatare un abuso di posizione dominante ed imponendo misure volte a far cessare tale abuso sul fondamento di una base giuridica derivante dal diritto della concorrenza, detta autorità non esercita alcuno dei compiti di cui all’articolo 57 di tale regolamento, né fa uso dei poteri riservati all’autorità di controllo in forza dell’articolo 58 del medesimo regolamento.
50 Si deve peraltro constatare che l’accesso ai dati personali nonché il loro sfruttamento rivestono un’importanza fondamentale nell’ambito dell’economia digitale. Tale importanza è illustrata, nell’ambito della controversia di cui al procedimento principale, dal modello economico su cui si fonda il social network Facebook, il quale prevede, come ricordato al punto 27 della presente sentenza, il finanziamento mediante la commercializzazione di messaggi pubblicitari personalizzati in funzione di profili di utente configurati sulla base di dati personali raccolti da Meta Platforms Ireland.
51 Come sottolineato in particolare dalla Commissione, l’accesso ai dati personali e la possibilità di trattamento di tali dati sono diventati un parametro significativo della concorrenza fra imprese dell’economia digitale. Pertanto, escludere le norme in materia di protezione dei dati personali dal contesto giuridico che le autorità garanti della concorrenza devono prendere in considerazione in sede di esame di un abuso di posizione dominante ignorerebbe la realtà di tale evoluzione economica e potrebbe pregiudicare l’effettività del diritto della concorrenza all’interno dell’Unione.
52 Occorre tuttavia rilevare, in secondo luogo, che, nel caso in cui un’autorità nazionale garante della concorrenza ritenga necessario pronunciarsi, nell’ambito di una decisione relativa ad un abuso di posizione dominante, sulla conformità o sulla non conformità al RGPD di un trattamento di dati personali effettuato dall’impresa in questione, tale autorità e l’autorità di controllo interessata o, se del caso, l’autorità di controllo capofila competente ai sensi di tale regolamento devono cooperare tra loro al fine di garantire un’applicazione coerente di tale regolamento.
53 Infatti, se è vero che, come rilevato ai punti 42 e 43 della presente sentenza, né il RGPD né alcun altro strumento del diritto dell’Unione prevedono norme specifiche a tal riguardo, ciò non toglie che, come sostanzialmente rilevato dall’avvocato generale al paragrafo 28 delle sue conclusioni, quando applicano il RGPD, le diverse autorità nazionali coinvolte sono tutte vincolate dal principio di leale cooperazione sancito all’articolo 4, paragrafo 3, TUE. Secondo una giurisprudenza costante, in forza di tale principio, nelle materie rientranti nel diritto dell’Unione, gli Stati membri, ivi incluse le loro autorità amministrative, devono rispettarsi ed assistersi reciprocamente nell’adempimento dei compiti derivanti dai Trattati, adottare ogni misura atta ad assicurare l’esecuzione degli obblighi conseguenti, in particolare, agli atti delle istituzioni dell’Unione, nonché astenersi da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell’Unione (v., in tal senso, sentenze del 7 novembre 2013, UPC Nederland, C‑518/11, EU:C:2013:709, punto 59, nonché del 1° agosto 2022, Sea Watch, C‑14/21 e C‑15/21, EU:C:2022:604, punto 156).
54 Pertanto, alla luce di tale principio, quando le autorità nazionali garanti della concorrenza sono chiamate, nell’esercizio delle loro competenze, ad esaminare la conformità di un comportamento di un’impresa alle disposizioni del RGPD, esse devono concertarsi e cooperare lealmente con le autorità nazionali di controllo interessate oppure con l’autorità di controllo capofila; tutte queste autorità sono quindi tenute, in tale contesto, a rispettare i loro rispettivi poteri e competenze, così da rispettare gli obblighi derivanti dal RGPD nonché gli obiettivi di tale regolamento e da preservare il loro effetto utile.
55 L’esame, da parte di un’autorità garante della concorrenza, di un comportamento di un’impresa alla luce delle norme del RGPD può comportare, infatti, il rischio di divergenze fra tale autorità garante della concorrenza e le autorità di controllo in merito all’interpretazione di tale regolamento.
56 Ne consegue che, qualora, nell’ambito dell’esame diretto a constatare un abuso di posizione dominante ai sensi dell’articolo 102 TFUE da parte di un’impresa, un’autorità nazionale garante della concorrenza ritenga che sia necessario esaminare la conformità di un comportamento di tale impresa alle disposizioni del RGPD, detta autorità deve verificare se tale comportamento o un comportamento simile sia già stato oggetto di una decisione da parte dell’autorità nazionale di controllo competente o dell’autorità di controllo capofila o, ancora, della Corte. Se così fosse, l’autorità nazionale garante della concorrenza non potrebbe discostarsene, pur restando libera di trarne le proprie conclusioni sotto il profilo dell’applicazione del diritto della concorrenza.
57 Laddove nutra dubbi sulla portata della valutazione effettuata dall’autorità nazionale di controllo competente o dall’autorità di controllo capofila, laddove il comportamento di cui trattasi o un comportamento simile sia, al contempo, oggetto di esame da parte di tali autorità, o, ancora, laddove, in assenza di un’indagine di dette autorità, ritenga che un comportamento di un’impresa non sia conforme alle disposizioni del RGPD, l’autorità nazionale garante della concorrenza deve consultare tali autorità e chiederne la cooperazione, al fine di fugare i propri dubbi o di determinare se si debba attendere l’adozione di una decisione da parte dell’autorità di controllo interessata prima di iniziare la propria valutazione.
58 Dal canto suo, l’autorità di controllo, quando riceve una richiesta di informazioni o di cooperazione da parte di un’autorità nazionale garante della concorrenza, deve rispondere a tale richiesta entro un termine ragionevole, comunicando a quest’ultima le informazioni di cui dispone che possano consentire di fugare i dubbi di tale autorità sulla portata della valutazione effettuata dall’autorità di controllo o, se del caso, informando l’autorità nazionale garante della concorrenza se intende avviare il procedimento di cooperazione con le altre autorità di controllo interessate o con l’autorità di controllo capofila, conformemente agli articoli 60 e seguenti del RGPD, al fine di giungere a una decisione volta a constatare la conformità o la non conformità della condotta in questione a tale regolamento.
59 In assenza di risposta da parte dell’autorità di controllo interpellata entro un termine ragionevole, l’autorità nazionale garante della concorrenza può proseguire la propria indagine. Ciò vale anche nel caso in cui l’autorità nazionale di controllo competente e l’autorità di controllo capofila non sollevino obiezioni a che si prosegua tale indagine senza attendere l’adozione di una loro decisione.
60 Nel caso di specie, dal fascicolo agli atti della Corte risulta che, nel corso dei mesi di ottobre e novembre 2018, ossia prima dell’adozione della decisione del 6 febbraio 2019, l’autorità federale garante della concorrenza ha contattato il Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) (commissario federale per la protezione dei dati e la libertà d’informazione, Germania), lo Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (commissario per la protezione dei dati e la libertà d’informazione di Amburgo, Germania), competente riguardo a Facebook Deutschland, nonché la Data Protection Commission (DPC) (autorità per la protezione dei dati, Irlanda), per informare tali autorità del suo intervento. Inoltre, consta che l’autorità federale garante della concorrenza ha ottenuto la conferma che dette autorità non stavano conducendo alcuna indagine riguardo a fatti simili a quelli in causa nel procedimento principale, ed esse non hanno sollevato alcuna obiezione riguardo al suo intervento. Infine, ai punti 555 e 556 della sua decisione del 6 febbraio 2019, l’autorità federale garante della concorrenza ha fatto espressamente riferimento a tale cooperazione.
61 Date tali circostanze, e ferme restando le verifiche che spetta al giudice del rinvio effettuare, l’autorità federale garante della concorrenza sembra aver ottemperato ai suoi obblighi di leale cooperazione con le autorità di controllo nazionali interessate nonché con l’autorità di controllo capofila.
62 In considerazione di quanto precede, occorre rispondere alle questioni prima e settima dichiarando che gli articoli 51 e seguenti del RGPD nonché l’articolo 4, paragrafo 3, TUE devono essere interpretati nel senso che, fermo restando il rispetto del suo obbligo di leale cooperazione con le autorità di controllo, un’autorità garante della concorrenza di uno Stato membro può constatare, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, ai sensi dell’articolo 102 TFUE, che le condizioni generali d’uso di tale impresa relative al trattamento dei dati personali e la loro applicazione non sono conformi a detto regolamento, qualora tale constatazione sia necessaria per accertare l’esistenza di un tale abuso.
63 Alla luce di tale obbligo di leale cooperazione, l’autorità nazionale garante della concorrenza non può discostarsi da una decisione dell’autorità nazionale di controllo competente o dell’autorità di controllo capofila competente riguardante tali condizioni generali o condizioni generali analoghe. Laddove nutra dubbi sulla portata di tale decisione, laddove dette condizioni o condizioni analoghe siano, al contempo, oggetto di esame da parte di tali autorità, o, ancora, laddove, in assenza di un’indagine o di una decisione di dette autorità, ritenga che le condizioni in questione non siano conformi al RGPD, l’autorità nazionale garante della concorrenza deve consultare dette autorità di controllo e chiederne la cooperazione, al fine di fugare i propri dubbi o di determinare se si debba attendere l’adozione di una decisione da parte di tali autorità prima di iniziare la propria valutazione. In assenza di obiezioni o di risposta di queste ultime entro un termine ragionevole, l’autorità nazionale garante della concorrenza può proseguire la propria indagine.
Sulla seconda questione
64 Con la sua seconda questione, lettera a), il giudice del rinvio chiede, in sostanza, se l’articolo 9, paragrafo 1, del RGPD debba essere interpretato nel senso che, nel caso in cui un utente di un social network online consulti siti Internet o applicazioni attinenti a una o più delle categorie indicate in tale disposizione e, se del caso, vi inserisca dati iscrivendosi o effettuando ordini online, il trattamento di dati personali da parte dell’operatore di tale social network online, consistente nel raccogliere, tramite interfacce integrate, cookie o simili tecnologie di registrazione, i dati risultanti dalla consultazione di tali siti e di tali applicazioni nonché i dati inseriti dall’utente, nel mettere in relazione l’insieme di tali dati con l’account del social network di quest’ultimo e nell’utilizzare detti dati, deve essere considerato un «trattamento di categorie particolari di dati personali» ai sensi di detta disposizione, il quale è vietato in linea di principio, fatte salve le deroghe previste dal paragrafo 2 di tale articolo 9.
65 In caso di risposta affermativa, il giudice del rinvio chiede, in sostanza, con la sua seconda questione, lettera b), se l’articolo 9, paragrafo 2, lettera e), del RGPD debba essere interpretato nel senso che, qualora un utente di un social network online consulti siti Internet o applicazioni collegate alle categorie indicate all’articolo 9, paragrafo 1, del RGPD, inserisca dati su tali siti o applicazioni, o attivi pulsanti di selezione integrati in questi ultimi, quali i pulsanti «Mi piace» o «Condividi» o i pulsanti che consentono all’utente di identificarsi su tali siti o tali applicazioni utilizzando gli identificativi di connessione legati al suo account di utente del social network online, il suo numero di telefono o il suo indirizzo di posta elettronica, si ritiene che egli abbia manifestamente reso pubblici, ai sensi della prima di tali disposizioni, i dati raccolti in tale occasione dall’operatore di tale social network online mediante cookie o simili tecnologie di registrazione.
Sulla seconda questione, lettera a)
66 Il considerando 51 del RGPD enuncia che i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali meritano una specifica protezione, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per tali diritti e tali libertà fondamentali. Tale considerando precisa che dati personali di questo tipo non dovrebbero essere oggetto di trattamento, a meno che quest’ultimo non sia consentito nei casi specifici previsti dal medesimo regolamento.
67 In tale contesto, l’articolo 9, paragrafo 1, del RGPD sancisce il principio del divieto di trattamento riguardante talune categorie particolari di dati personali da esso menzionati. Si tratta, in particolare, di dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose nonché di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica.
68 Ai fini dell’applicazione dell’articolo 9, paragrafo 1, del RGPD, occorre verificare, nel caso di un trattamento di dati personali effettuato dall’operatore di un social network online, se questi dati siano tali da rivelare informazioni rientranti in una delle categorie menzionate da tale disposizione, a prescindere dal fatto che tali informazioni riguardino un utente di tale social network o qualsiasi altra persona fisica. In caso affermativo, un siffatto trattamento di dati personali sarebbe dunque vietato, fatte salve le deroghe previste all’articolo 9, paragrafo 2, del RGPD.
69 Come sostanzialmente rilevato dall’avvocato generale ai paragrafi 40 e 41 delle sue conclusioni, tale divieto di principio, previsto all’articolo 9, paragrafo 1, del RGPD, è indipendente dalla questione se l’informazione rivelata dal trattamento di cui trattasi sia esatta o meno e se il titolare del trattamento agisca allo scopo di ottenere informazioni rientranti in una delle categorie particolari previste da tale disposizione.
70 Infatti, tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsiasi trattamento di dati personali rientranti nelle categorie di cui all’articolo 9, paragrafo 1, del RGPD, quest’ultimo ha lo scopo di vietare tali trattamenti, a prescindere da quale sia la loro finalità dichiarata.
71 Nel caso di specie, il trattamento in causa nel procedimento principale effettuato da Meta Platforms Ireland consiste nel raccogliere dati personali degli utenti del social network Facebook quando essi consultano siti Internet o applicazioni – ivi inclusi quelli che possano rivelare informazioni rientranti in una o più delle categorie di cui all’articolo 9, paragrafo 1, del RGPD – e, se del caso, vi inseriscono informazioni iscrivendosi o effettuando ordini online, nel mettere in relazione tali dati con l’account del social network di tali utenti e, infine, nell’utilizzare detti dati.
72 A tal riguardo, spetterà al giudice del rinvio stabilire se i dati in tal modo raccolti, di per sé oppure mediante la loro messa in relazione con gli account Facebook degli utenti interessati, consentano effettivamente di rivelare informazioni di questo tipo, a prescindere dal fatto che tali informazioni riguardino un utente di tale social network oppure qualsiasi altra persona fisica. Tuttavia, tenuto conto degli interrogativi sollevati da tale giudice, occorre precisare che, fatte salve le verifiche che quest’ultimo è tenuto ad effettuare, pare che il trattamento dei dati relativi alla consultazione dei siti Internet o delle applicazioni di cui trattasi possa, in determinati casi, rivelare siffatte informazioni, senza che sia necessario che detti utenti vi inseriscano informazioni iscrivendosi oppure effettuando ordini online.
73 Alla luce di quanto precede, occorre rispondere alla seconda questione, lettera a), dichiarando che l’articolo 9, paragrafo 1, del RGPD deve essere interpretato nel senso che, nel caso in cui un utente di un social network online consulti siti Internet oppure applicazioni correlati a una o più delle categorie menzionate da tale disposizione e, se del caso, inserisca in essi dati, iscrivendosi oppure effettuando ordini online, il trattamento di dati personali da parte dell’operatore di tale social network online – consistente nel raccogliere, tramite interfacce integrate, cookie o simili tecnologie di registrazione, dati risultanti dalla consultazione di tali siti e di tali applicazioni nonché i dati inseriti dall’utente, nel mettere in relazione l’insieme di tali dati con l’account del social network di quest’ultimo e nell’utilizzare detti dati – deve essere considerato un «trattamento di categorie particolari di dati personali» ai sensi di detta disposizione, il quale è in linea di principio vietato, fatte salve le deroghe previste da detto articolo 9, paragrafo 2, qualora tale trattamento di dati sia tale da rivelare informazioni rientranti in una di dette categorie, a prescindere dal fatto che tali informazioni riguardino un utente di tale social network o qualsiasi altra persona fisica.
Sulla seconda questione, lettera b)
74 Per quanto riguarda la seconda questione, lettera b), come riformulata al punto 65 della presente sentenza e relativa alla deroga prevista all’articolo 9, paragrafo 2, lettera e), del RGPD, va ricordato che, in forza di tale disposizione, il divieto di qualsiasi trattamento riguardante categorie particolari di dati personali, sancito in via di principio da detto articolo 9, paragrafo 1, non si applica nel caso in cui il trattamento riguardi dati personali «resi manifestamente pubblici dall’interessato».
75 In via preliminare, occorre rilevare, da un lato, che tale deroga si applica ai soli dati manifestamente resi pubblici «dall’interessato». Pertanto, essa non è applicabile ai dati riguardanti persone diverse da quella che ha reso pubblici detti dati.
76 Dall’altro lato, poiché prevede un’eccezione al principio del divieto di trattamento di categorie particolari di dati personali, l’articolo 9, paragrafo 2, del RGPD deve essere interpretato restrittivamente (v., in tal senso, sentenza del 17 settembre 2014, Baltic Agro, C‑3/13, EU:C:2014:2227, punto 24 e giurisprudenza ivi citata, nonché del 6 giugno 2019, Weil, C‑361/18, EU:C:2019:473, punto 43 e giurisprudenza ivi citata).
77 Ne consegue che, ai fini dell’applicazione dell’eccezione prevista all’articolo 9, paragrafo 2, lettera e), del RGPD, si deve verificare se l’interessato abbia inteso, in modo esplicito e con un atto positivo chiaro, rendere accessibili al pubblico i dati personali in questione.
78 Sotto tale profilo, per quanto riguarda, da un lato, la consultazione di siti Internet o di applicazioni correlati ad una o più delle categorie di cui all’articolo 9, paragrafo 1, del RGPD, si deve constatare che, con essa, l’utente interessato non intende in alcun modo rendere pubblico il fatto di aver consultato tali siti o tali applicazioni e i dati relativi a tale consultazione che possono essere ricollegati alla sua persona. Infatti, tale utente può tutt’al più attendersi che il gestore del sito o dell’applicazione abbia accesso a tali dati e che li condivida, se del caso e fermo restando il consenso esplicito prestato da tale utente, con taluni terzi e non con il pubblico.
79 Pertanto, dalla mera consultazione di tali siti Internet o applicazioni da parte di un utente non si può dedurre che detti dati personali siano stati manifestamente resi pubblici da tale utente, ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD.
80 Dall’altro lato, per quanto riguarda le attività consistenti nell’inserire dati in tali siti Internet o applicazioni nonché nell’attivare pulsanti di selezione in essi integrati, quali i pulsanti «Mi piace» o «Condividi» o i pulsanti che consentono all’utente di identificarsi su un sito Internet o su un’applicazione utilizzando gli identificativi di connessione collegati al suo account utente Facebook, il suo numero di telefono o il suo indirizzo di posta elettronica, occorre rilevare che tali attività comportano un’interazione fra tale utente e il sito Internet o l’applicazione in questione e, se del caso, il sito Internet del social network online, interazione le cui forme di pubblicità possono variare in quanto possono essere oggetto di una impostazione individuale di parametri da parte di detto utente.
81 In tali circostanze, è compito del giudice del rinvio verificare se gli utenti interessati abbiano la possibilità di decidere, sulla base di un’impostazione di parametri effettuata con cognizione di causa, di rendere i dati inseriti nei siti Internet o nelle applicazioni in questione, nonché i dati risultanti dall’attivazione dei pulsanti di selezione in essi integrati, accessibili al pubblico o, invece, a un numero più o meno limitato di persone selezionate.
82 Qualora dispongano effettivamente di una tale scelta, si può ritenere che gli utenti interessati, quando inseriscono volontariamente dati in un sito Internet o in un’applicazione o quando attivano pulsanti di selezione integrati in questi ultimi, rendano manifestamente pubblici dati che li riguardano, ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD, soltanto se, sulla base di un’impostazione individuale di parametri effettuata con piena cognizione di causa, tali utenti abbiano chiaramente espresso la loro scelta che tali dati siano resi accessibili a un numero illimitato di persone, circostanza che spetta al giudice del rinvio verificare.
83 Per contro, nel caso in cui non venga proposta un’impostazione individuale di parametri di questo tipo, si deve considerare, alla luce di quanto esposto al punto 77 della presente sentenza, che, per poter ritenere che gli utenti abbiano manifestamente reso pubblici dati allorché inseriscono volontariamente dati in un sito Internet oppure in un’applicazione o attivano pulsanti di selezione in questi ultimi integrati, essi devono aver esplicitamente acconsentito, sulla base di un’informazione espressa fornita da tale sito o da tale applicazione prima di tale inserimento o attivazione, a che i suddetti dati possano essere visualizzati da chiunque abbia accesso a detto sito o a detta applicazione.
84 Alla luce di quanto precede, occorre rispondere alla seconda questione, lettera b), dichiarando che l’articolo 9, paragrafo 2, lettera e), del RGPD deve essere interpretato nel senso che un utente di un social network online, allorché consulta siti Internet oppure applicazioni correlati ad una o più delle categorie menzionate all’articolo 9, paragrafo 1, del RGPD, non rende manifestamente pubbliche, ai sensi della prima di tali disposizioni, i dati relativi a tale consultazione, raccolti dall’operatore di detto social network online mediante cookie o simili tecnologie di registrazione.
85 Quando inserisce dati in tali siti Internet o applicazioni nonché quando attiva pulsanti di selezione integrati in questi ultimi, come i pulsanti «Mi piace» o «Condividi» o i pulsanti che consentono all’utente di identificarsi su un sito Internet o su un’applicazione utilizzando gli identificativi di connessione collegati al suo account di utente del social network, il suo numero di telefono o il suo indirizzo di posta elettronica, tale utente rende manifestamente pubblici, ai sensi di detto articolo 9, paragrafo 2, lettera e), del RGPD, i dati così inseriti o risultanti dall’attivazione di tali pulsanti soltanto se abbia esplicitamente espresso preliminarmente, se del caso sulla base di un’impostazione individuale di parametri effettuata con piena cognizione di causa, la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.
Sulle questioni dalla terza alla quinta
86 Con la sua terza e quarta questione, che è opportuno esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se, e a quali condizioni, l’articolo 6, paragrafo 1, primo comma, lettere b) e f), del RGPD debba essere interpretato nel senso che il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – può essere considerato necessario per l’esecuzione di un contratto del quale gli interessati sono parti, ai sensi della lettera b), oppure per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi della lettera f). Detto giudice si chiede in particolare se, a tal fine, alcuni interessi da esso esplicitamente menzionati costituiscano un «legittimo interesse» ai sensi di quest’ultima disposizione.
87 Con la quinta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, primo comma, lettere da c) a e), del RGPD debba essere interpretato nel senso che un simile trattamento di dati personali può essere considerato necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, ai sensi della lettera c), per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, ai sensi della lettera d), o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ai sensi della lettera e), qualora il trattamento sia effettuato, rispettivamente, per rispondere a una legittima richiesta di determinati dati, per contrastare comportamenti dannosi e promuovere la sicurezza e per ricerche a beneficio della società e per promuovere protezione, integrità e sicurezza.
Osservazioni preliminari
88 In via preliminare, occorre osservare, in primo luogo, che le questioni dalla terza alla quinta sono sollevate in ragione del fatto che, secondo le constatazioni dell’autorità federale garante della concorrenza nella sua decisione del 6 febbraio 2019, non si può ritenere che gli utenti del social network Facebook abbiano prestato il loro consenso al trattamento dei loro dati in causa nel procedimento principale, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera a), e dell’articolo 9, paragrafo 2, lettera a), del RGPD. È dunque in tale contesto che il giudice del rinvio, pur interrogando la Corte con la sua sesta questione rispetto a tale premessa, ritiene di dover verificare se tale trattamento corrisponda a una delle altre condizioni di liceità di cui a detto articolo 6, paragrafo 1, primo comma, lettere da b) a f), di tale regolamento.
89 In tale contesto, occorre rilevare che le operazioni di raccolta, di collegamento e di utilizzo dei dati, prese in considerazione nelle questioni dalla terza alla quinta, sono tali da includere al contempo dati sensibili ai sensi dell’articolo 9, paragrafo 1, del RGPD e dati non sensibili. Orbene, occorre precisare che, nel caso in cui un insieme di dati contenente al contempo dati sensibili e dati non sensibili sia oggetto di siffatte operazioni e segnatamente sia raccolto in blocco senza che i dati possano essere dissociati gli uni dagli altri al momento di tale raccolta, il trattamento di tale insieme di dati deve essere considerato vietato, ai sensi dell’articolo 9, paragrafo 1, del RGPD, nella misura in cui contenga almeno un dato sensibile e non sia applicabile nessuna delle deroghe di cui all’articolo 9, paragrafo 2, del medesimo regolamento.
90 In secondo luogo, al fine di rispondere alle questioni dalla terza alla quinta, occorre ricordare che l’articolo 6, paragrafo 1, primo comma, del RGPD prevede un elenco esaustivo e tassativo dei casi nei quali un trattamento di dati personali può essere considerato lecito. Pertanto, per poter essere considerato lecito, un trattamento deve rientrare in uno dei casi previsti da tale disposizione [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 99 e giurisprudenza ivi citata].
91 Ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera a), di tale regolamento, il trattamento di dati personali è lecito se, e nella misura in cui, l’interessato vi ha acconsentito per una o più finalità specifiche.
92 In mancanza di un siffatto consenso, o qualora tale consenso non sia stato espresso in modo libero, specifico, informato e inequivocabile, ai sensi dell’articolo 4, punto 11, del RGPD, un trattamento di questo tipo è nondimeno giustificato qualora soddisfi uno dei requisiti di necessità menzionati all’articolo 6, paragrafo 1, primo comma, lettere da b) ad f), di detto regolamento.
93 In tale contesto, nella misura in cui consentono di rendere lecito un trattamento di dati personali effettuato in assenza del consenso dell’interessato, le giustificazioni previste da quest’ultima disposizione devono essere interpretate restrittivamente [v., in tal senso, sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fiscali), C‑175/20, EU:C:2022:124, punto 73 e giurisprudenza ivi citata].
94 Inoltre, la Corte ha considerato che, qualora si possa constatare che un trattamento di dati personali è necessario alla luce di una delle giustificazioni previste all’articolo 6, paragrafo 1, primo comma, lettere da b) a f), del RGPD, non occorre stabilire se tale trattamento rientri anche in un’altra di tali giustificazioni (v., in tal senso, sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, punto 71).
95 Occorre infine precisare che, conformemente all’articolo 5 del RGPD, è al titolare del trattamento che incombe l’onere di dimostrare che tali dati sono segnatamente raccolti per finalità determinate, esplicite e legittime e che essi sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. Inoltre, in forza dell’articolo 13, paragrafo 1, lettera c), di tale regolamento, in caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento è tenuto ad informare quest’ultimo delle finalità del trattamento al quale sono destinati tali dati nonché della base giuridica di questo trattamento.
96 Anche se spetta al giudice del rinvio stabilire se i diversi elementi del trattamento in causa nel procedimento principale siano giustificati dall’uno o l’altro dei requisiti di cui all’articolo 6, paragrafo 1, primo comma, lettere da b) a f), del RGPD, la Corte può nondimeno fornirgli indicazioni utili al fine di consentirgli di dirimere la controversia di cui è investito.
Sulla terza e quarta questione
97 Per quanto riguarda, sotto un primo profilo, l’articolo 6, paragrafo 1, primo comma, lettera b), del RGPD, esso prevede che un trattamento di dati personali è lecito se è «necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso».
98 A tal riguardo, affinché un trattamento di dati personali sia considerato necessario all’esecuzione di un contratto, ai sensi di tale disposizione, esso deve essere oggettivamente indispensabile per realizzare una finalità che è parte integrante della prestazione contrattuale destinata all’interessato. Il responsabile del trattamento deve, quindi, essere in grado di dimostrare in che modo l’oggetto principale del contratto non potrebbe essere conseguito in assenza del trattamento di cui è causa.
99 La circostanza che un siffatto trattamento sia menzionato nel contratto oppure che esso sia soltanto utile per l’esecuzione di quest’ultimo è, di per sé, irrilevante al riguardo. Infatti, l’elemento determinante ai fini dell’applicazione della giustificazione di cui all’articolo 6, paragrafo 1, primo comma, lettera b), del RGPD è che il trattamento di dati personali effettuato dal titolare del trattamento sia essenziale per consentire la corretta esecuzione del contratto stipulato tra quest’ultimo e l’interessato e, pertanto, che non esistano altre soluzioni percorribili e meno invasive.
100 A tal riguardo, come rilevato dall’avvocato generale al paragrafo 54 delle sue conclusioni, se il contratto consiste in più servizi o in più elementi distinti di uno stesso servizio che possono essere prestati indipendentemente gli uni dagli altri, l’applicabilità dell’articolo 6, paragrafo 1, primo comma, lettera b), del RGPD deve essere valutata separatamente nel contesto di ciascuno di tali servizi.
101 Nel caso di specie, quanto alle giustificazioni idonee a rientrare nell’ambito di applicazione di tale disposizione, il giudice del rinvio fa riferimento – quali elementi diretti a garantire l’esecuzione adeguata del contratto concluso tra Meta Platforms Ireland e i suoi utenti – alla personalizzazione dei contenuti nonché all’utilizzo omogeneo e fluido dei servizi propri del gruppo Meta.
102 Per quanto riguarda, in primo luogo, la giustificazione relativa alla personalizzazione dei contenuti, occorre rilevare che, sebbene tale personalizzazione sia utile per l’utente, in quanto gli consente in particolare di visualizzare un contenuto in larga misura corrispondente ai suoi interessi, resta il fatto che, salvo verifica del giudice del rinvio, la personalizzazione dei contenuti non appare necessaria per offrire a tale utente i servizi del social network online. Tali servizi possono, eventualmente, essergli forniti sotto forma di un’alternativa equivalente che non implichi tale personalizzazione, che non è dunque oggettivamente indispensabile per una finalità che faccia parte integrante di detti servizi.
103 Per quanto riguarda, in secondo luogo, la giustificazione relativa all’utilizzo omogeneo e fluido dei servizi propri del gruppo Meta, dal fascicolo agli atti della Corte risulta che una persona non è tenuta a sottoscrivere i diversi servizi proposti dal gruppo Meta per poter creare un account utente nel social network Facebook. Infatti, i diversi prodotti e servizi proposti da detto gruppo possono essere utilizzati indipendentemente gli uni dagli altri e l’utilizzo di ciascun prodotto o servizio si basa sulla sottoscrizione di un contratto d’uso distinto.
104 Pertanto, e salvo verifica del giudice del rinvio, un trattamento di dati personali provenienti da servizi diversi da quello del social network online, proposti dal gruppo Meta, non sembra essere necessario per consentire la fornitura di quest’ultimo servizio.
105 Per quanto riguarda, sotto un secondo profilo, l’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, esso prevede che un trattamento di dati personali è lecito se è «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».
106 Come già giudicato dalla Corte, detta disposizione prevede tre condizioni cumulative affinché i trattamenti di dati personali da essa considerati siano leciti, vale a dire, in primo luogo, il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, in secondo luogo, la necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito e, in terzo luogo, la condizione che gli interessi o i diritti e le libertà fondamentali dell’interessato dalla tutela dei dati non prevalgano sul legittimo interesse del responsabile del trattamento o di terzi (sentenza del 17 giugno 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punto 106 e giurisprudenza ivi citata).
107 Per quanto riguarda, in primo luogo, la condizione relativa al perseguimento di un legittimo interesse, occorre precisare che, ai sensi dell’articolo 13, paragrafo 1, lettera d), del RGPD, spetta al titolare del trattamento, all’atto della raccolta presso l’interessato di dati che lo riguardano, indicargli i legittimi interessi perseguiti, qualora tale trattamento si basi sull’articolo 6, paragrafo 1, primo comma, lettera f), di tale regolamento.
108 Per quanto riguarda, in secondo luogo, la condizione relativa alla necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito, essa impone al giudice del rinvio di verificare che il legittimo interesse al trattamento dei dati perseguito non possa ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità), C‑439/19, EU:C:2021:504, punto 110 e giurisprudenza ivi citata].
109 In tale contesto, occorre altresì ricordare che la condizione attinente alla necessità del trattamento deve essere esaminata unitamente al principio cosiddetto della «minimizzazione dei dati» sancito all’articolo 5, paragrafo 1, lettera c), del RGPD, secondo il quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (v., in tal senso, sentenza dell’11 dicembre 2019, Asociația de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, punto 48).
110 Per quanto riguarda, in terzo luogo, la condizione secondo cui gli interessi o i diritti e le libertà fondamentali dell’interessato non devono prevalere sul legittimo interesse del responsabile del trattamento o di terzi, la Corte ha già giudicato che ciò implica una ponderazione dei diritti e degli interessi contrapposti che dipende, in linea di principio, dalle circostanze del caso concreto e che, di conseguenza, spetta al giudice del rinvio effettuare tenendo conto di tali circostanze specifiche (sentenza del 17 giugno 2021, M.I.C.M., C‑597/19, EU:C:2021:492, punto 111 e giurisprudenza ivi citata).
111 A tal riguardo, dal testo dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, risulta che, nell’ambito di siffatta ponderazione, è necessario prestare particolare attenzione alla situazione in cui l’interessato è un minore. Infatti, conformemente al considerando 38 di tale regolamento, i minori meritano una specifica protezione relativamente al trattamento dei loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione a un simile trattamento dei dati personali. Tale protezione particolare deve pertanto applicarsi, segnatamente, al trattamento di dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente o ancora di proposta di servizi direttamente riguardanti minori.
112 Inoltre, come risulta dal considerando 47 del RGPD, gli interessi e i diritti fondamentali dell’interessato possono in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un siffatto trattamento.
113 Nel caso di specie, quanto alle giustificazioni che possono rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, il giudice del rinvio fa riferimento alla personalizzazione della pubblicità, alla sicurezza del network, al miglioramento del prodotto, all’informazione delle autorità competenti per l’esercizio dell’azione penale e per l’esecuzione di pene, al fatto che l’utente sia un minorenne, alla ricerca e all’innovazione per finalità sociali nonché all’offerta, destinata agli inserzionisti e ad altri partner professionali, di servizi di comunicazione commerciale destinati all’utente e di strumenti di analisi che consentano a questi ultimi di valutare le loro prestazioni.
114 A tal riguardo, occorre anzitutto rilevare che la domanda di pronuncia pregiudiziale non contiene elementi esplicativi che permettano di comprendere in che modo la ricerca e l’innovazione per finalità sociali o il fatto che l’utente sia un minorenne possano giustificare, in quanto legittimi interessi ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD, la raccolta e l’utilizzo dei dati in questione. Pertanto, la Corte non è in grado di pronunciarsi su tale punto.
115 Per quanto concerne, in primo luogo, la personalizzazione della pubblicità, va rilevato che, secondo il considerando 47 di tale regolamento, il trattamento di dati personali per finalità di marketing diretto può essere considerato come effettuato per soddisfare un legittimo interesse del responsabile del trattamento.
116 Tuttavia, occorre altresì che un siffatto trattamento sia necessario per la realizzazione di tale interesse e che gli interessi o le libertà e i diritti fondamentali della persona interessata non prevalgano su di esso. Nell’ambito di siffatta ponderazione dei contrapposti diritti e interessi in gioco, vale a dire quelli del titolare del trattamento, da un lato, e quelli dell’interessato, dall’altro, si deve segnatamente tener conto, come rilevato al punto 112 della presente sentenza, delle ragionevoli aspettative dell’interessato, nonché della portata del trattamento in questione e dell’impatto di quest’ultimo su tale persona.
117 A tal riguardo, occorre rilevare che, malgrado la gratuità dei servizi di un social network online quale Facebook, l’utente di quest’ultimo non può ragionevolmente attendersi che, senza il suo consenso, l’operatore di tale social network tratti i suoi dati personali a fini di personalizzazione della pubblicità. In tali circostanze, si deve ritenere che i diritti fondamentali e gli interessi di tale utente prevalgano sull’interesse dell’operatore a tale personalizzazione della pubblicità mediante la quale egli finanzia la sua attività, cosicché il trattamento da quest’ultimo effettuato a tali fini non può rientrare nell’ambito di applicazione dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD.
118 Inoltre, il trattamento in causa nel procedimento principale è particolarmente esteso, giacché verte su dati potenzialmente illimitati e ha un notevole impatto sull’utente, di cui Meta Platforms Ireland controlla gran parte, se non la quasi totalità, delle attività online, il che può suscitare in quest’ultimo la sensazione di una continua sorveglianza della sua vita privata.
119 In secondo luogo, per quanto riguarda l’obiettivo di garantire la sicurezza del network, esso costituisce, come enunciato dal considerando 49 del RGPD, un legittimo interesse di Meta Platforms Ireland, idoneo a giustificare il trattamento di cui trattasi nel procedimento principale.
120 Tuttavia, in merito alla necessità di questo trattamento per la realizzazione di tale legittimo interesse, il giudice del rinvio dovrà verificare se e in quale misura il trattamento di dati personali raccolti a partire da fonti esterne al social network Facebook risulti effettivamente necessario per garantire che non sia compromessa la sicurezza interna di tale network.
121 In tale contesto, come rilevato ai punti 108 e 109 della presente sentenza, esso dovrà altresì verificare, da un lato, se il legittimo interesse al trattamento dei dati perseguito non possa ragionevolmente essere raggiunto in modo altrettanto efficace mediante altri mezzi meno pregiudizievoli per le libertà e i diritti fondamentali degli interessati, in particolare per i diritti al rispetto della vita privata e alla protezione dei dati personali garantiti dagli articoli 7 e 8 della Carta e, dall’altro, se sia rispettato il principio cosiddetto della «minimizzazione dei dati» sancito all’articolo 5, paragrafo 1, lettera c), del RGPD.
122 In terzo luogo, riguardo all’obiettivo diretto al miglioramento del prodotto, non si può escludere a priori che l’interesse del titolare del trattamento a migliorare il suo prodotto o servizio al fine di renderlo più performante e quindi più attrattivo possa costituire un legittimo interesse idoneo a giustificare un trattamento di dati personali e che un siffatto trattamento possa essere necessario per il perseguimento di tale interesse.
123 Tuttavia, fatta salva la valutazione finale che deve essere effettuata al riguardo dal giudice del rinvio, appare dubbio che, relativamente al trattamento di dati in causa nel procedimento principale, l’obiettivo diretto al miglioramento del prodotto possa – tenuto conto della portata di tale trattamento e del suo notevole impatto sull’utente, nonché della circostanza che quest’ultimo non possa ragionevolmente attendersi che tali dati siano trattati dalla Meta Platforms Ireland – prevalere sui diritti fondamentali e sugli interessi di detto utente, tanto più nel caso in cui quest’ultimo sia minorenne.
124 In quarto luogo, relativamente all’obiettivo evocato dal giudice del rinvio, riguardante l’informazione delle autorità preposte all’esercizio di azioni penali e all’esecuzione di pene dirette ad evitare, a individuare e a perseguire reati, si deve constatare che tale obiettivo non può, in linea di principio, costituire un legittimo interesse perseguito dal titolare del trattamento, ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD. Infatti, un operatore privato come Meta Platforms Ireland non può addurre un simile legittimo interesse, estraneo alla sua attività economica e commerciale. Per contro, detto obiettivo può giustificare il trattamento effettuato da tale operatore, qualora sia oggettivamente necessario al rispetto di un obbligo legale al quale esso è soggetto.
125 Alla luce dell’insieme delle considerazioni che precedono, occorre rispondere alla terza e quarta questione dichiarando che l’articolo 6, paragrafo 1, primo comma, lettera b), del RGPD deve essere interpretato nel senso che il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – può essere considerato necessario per l’esecuzione di un contratto del quale gli interessati sono parti, ai sensi di tale disposizione, solo a condizione che detto trattamento sia oggettivamente indispensabile per realizzare una finalità che costituisce parte integrante della prestazione contrattuale destinata a quegli stessi utenti, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento.
126 L’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD deve essere interpretato nel senso che un trattamento siffatto può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, solo a condizione che il suddetto operatore abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento, che tale trattamento sia effettuato entro i limiti di quanto strettamente necessario alla realizzazione di tale legittimo interesse e che dal contemperamento dei contrapposti interessi, alla luce di tutte le circostanze pertinenti, risulti che le libertà e i diritti fondamentali e gli interessi di tali utenti non prevalgono su detto legittimo interesse del titolare del trattamento o di terzi.
Sulla quinta questione
127 In primo luogo, nei limiti in cui tale questione riguarda l’articolo 6, paragrafo 1, primo comma, lettere c) ed e), del RGPD, occorre ricordare che, in forza di tale lettera c), un trattamento di dati personali è lecito se è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento. Inoltre, secondo tale lettera e), è altresì lecito il trattamento che è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il responsabile del trattamento.
128 L’articolo 6, paragrafo 3, del RGPD precisa in particolare, con riferimento a queste due ipotesi di liceità, che il trattamento deve essere basato sul diritto dell’Unione o sul diritto dello Stato membro cui è soggetto il titolare del trattamento, e che tale base giuridica deve rispondere a un obiettivo di interesse pubblico ed essere proporzionata al legittimo obiettivo perseguito.
129 Nel caso di specie, il giudice del rinvio chiede se un trattamento di dati personali, come quello in causa nel procedimento principale, possa essere considerato giustificato alla luce dell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, qualora miri a «rispondere ad una legittima richiesta di dati specifici», e, alla luce dell’articolo 6, paragrafo 1, primo comma, lettera e), di tale regolamento, quando abbia ad oggetto «ricerche a beneficio della società» e sia volto a «promuovere protezione, integrità e sicurezza».
130 Tuttavia, si deve constatare che detto giudice non ha fornito alla Corte elementi che le consentano di pronunciarsi concretamente al riguardo.
131 Tale giudice sarà dunque tenuto a verificare, alla luce delle condizioni indicate al punto 128 della presente sentenza, se il trattamento in questione possa essere considerato giustificato dalle finalità addotte.
132 In particolare, in considerazione di quanto rilevato al punto 124 della presente sentenza, quest’ultimo dovrà verificare, ai fini dell’applicazione dell’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD, se Meta Platforms Ireland sia soggetta a un obbligo legale di raccolta e di conservazione di dati personali in modo preventivo al fine di poter rispondere a qualsiasi richiesta di un’autorità nazionale diretta ad ottenere taluni dati relativi ai suoi utenti.
133 Analogamente, spetterà a detto giudice accertare, alla luce dell’articolo 6, paragrafo 1, primo comma, lettera e), del RGPD, se Meta Platforms Ireland sia investita di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in particolare al fine di assicurare ricerche a beneficio della società nonché di promuovere protezione, integrità e sicurezza, restando inteso che, data la natura e il carattere essenzialmente economico e commerciale della sua attività, appare poco probabile che tale operatore privato sia investito di un siffatto compito.
134 Inoltre, il giudice del rinvio dovrà, se del caso, verificare se, tenuto conto della portata del trattamento di dati effettuato da Meta Platforms Ireland e del suo notevole impatto per gli utenti del social network Facebook, detto trattamento sia effettuato nei limiti dello stretto necessario.
135 Per quanto riguarda, in secondo luogo, l’articolo 6, paragrafo 1, primo comma, lettera d), del RGPD, tale disposizione prevede che il trattamento di dati personali è lecito se è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
136 Come risulta dal considerando 46 di tale regolamento, tale disposizione riguarda la situazione particolare in cui il trattamento dei dati personali è necessario per proteggere un interesse essenziale per la vita dell’interessato o di un’altra persona fisica. A tal riguardo, questo considerando cita in particolare, a titolo di esempio, i fini umanitari, quali il controllo dell’evoluzione delle epidemie e della loro diffusione nonché le situazioni di emergenza umanitaria, come i casi di catastrofi di origine naturale e umana.
137 Da tali esempi, nonché dall’interpretazione restrittiva dell’articolo 6, paragrafo 1, primo comma, lettera d), del RGPD che è opportuno adottare, risulta che, alla luce della natura dei servizi forniti dall’operatore di un social network online, un simile operatore, la cui attività riveste un carattere essenzialmente economico e commerciale, non può addurre la protezione di un interesse essenziale alla vita dei suoi utenti o di un’altra persona per giustificare, in assoluto e in modo puramente astratto e preventivo, la liceità di un trattamento di dati come quello di cui trattasi nel procedimento principale.
138 Alla luce di quanto precede, occorre rispondere alla quinta questione dichiarando che l’articolo 6, paragrafo 1, primo comma, lettera c), del RGPD deve essere interpretato nel senso che il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – è giustificato, ai sensi di tale disposizione, allorché è effettivamente necessario per adempiere un obbligo legale al quale il titolare del trattamento è soggetto, in forza di una disposizione del diritto dell’Unione o del diritto dello Stato membro interessato, tale base giuridica risponde ad un obiettivo di interesse pubblico ed è proporzionata all’obiettivo legittimo perseguito e tale trattamento è effettuato nei limiti dello stretto necessario.
139 L’articolo 6, paragrafo 1, primo comma, lettere d) ed e), del RGPD deve essere interpretato nel senso che un trattamento siffatto non può, in linea di principio e ferma restando la verifica che deve essere effettuata dal giudice del rinvio, essere considerato necessario alla salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, ai sensi della lettera d), oppure all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ai sensi della lettera e).
Sulla sesta questione
140 Con la sesta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 6, paragrafo 1, primo comma, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD debbano essere interpretati nel senso che si può ritenere che un consenso prestato dall’utente di un social network online all’operatore di tale social network soddisfi le condizioni di validità previste all’articolo 4, punto 11, di tale regolamento, in particolare quella secondo cui tale consenso deve essere prestato liberamente, qualora tale operatore occupi una posizione dominante sul mercato dei social network online.
141 L’articolo 6, paragrafo 1, primo comma, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD richiedono il consenso dell’interessato ai fini, rispettivamente, del trattamento, per una o più finalità specifiche, dei suoi dati personali e del trattamento di categorie particolari di dati considerati da tale articolo 9, paragrafo 1.
142 Dal canto suo, l’articolo 4, punto 11, del RGPD definisce la nozione di «consenso» come «qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, [a] che i dati personali che lo riguardano siano oggetto di trattamento».
143 Dati gli interrogativi sollevati dal giudice del rinvio, occorre ricordare, in primo luogo, che, conformemente al considerando 42 del RGPD, il consenso non può essere considerato liberamente prestato se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.
144 In secondo luogo, il considerando 43 di tale regolamento enuncia che, per garantire che il consenso sia prestato liberamente, è opportuno che quest’ultimo non costituisca un valido fondamento giuridico per il trattamento dei dati personali, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento. Tale considerando precisa altresì che si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso.
145 In terzo luogo, l’articolo 7, paragrafo 4, del RGPD prevede che, nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.
146 È sulla scorta di tali considerazioni che occorre rispondere alla sesta questione.
147 A tal riguardo, occorre constatare che, certamente, la circostanza che l’operatore di un social network online, in quanto titolare del trattamento, occupi una posizione dominante sul mercato dei social network non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi dell’articolo 4, punto 11, del RGPD, al trattamento dei loro dati personali effettuato da tale operatore.
148 Ciò nonostante, come rilevato, in sostanza, dall’avvocato generale al paragrafo 75 delle sue conclusioni, una circostanza del genere deve essere presa in considerazione nella valutazione della validità e, in particolare, della libertà del consenso prestato dall’utente di detto social network, in quanto essa può incidere sulla libertà di scelta di tale utente, il quale potrebbe non essere in grado di rifiutare o di revocare il suo consenso senza subire pregiudizio, come indicato dal considerando 42 del RGPD.
149 Inoltre, l’esistenza di una siffatta posizione dominante è tale da creare uno squilibrio evidente, ai sensi del considerando 43 del RGPD, tra l’interessato e il titolare del trattamento, squilibrio che favorisce, segnatamente, l’imposizione di condizioni che non sono strettamente necessarie all’esecuzione del contratto, il che deve essere preso in considerazione conformemente all’articolo 7, paragrafo 4, di tale regolamento. In questo contesto, si deve ricordare che, come indicato ai punti da 102 a 104 della presente sentenza, non risulta, fatte salve le verifiche che il giudice nazionale dovrà effettuare, che il trattamento in causa nel procedimento principale sia strettamente necessario all’esecuzione del contratto tra Meta Platforms Ireland e gli utenti del social network Facebook.
150 Pertanto, tali utenti devono disporre della libertà di rifiutare individualmente, nell’ambito della procedura contrattuale, di prestare il loro consenso a operazioni particolari di trattamento di dati non necessarie all’esecuzione del contratto, senza essere per questo tenuti a rinunciare integralmente alla fruizione del servizio offerto dall’operatore del social network online, il che implica che a detti utenti venga proposta, se del caso a fronte di un adeguato corrispettivo, un’alternativa equivalente non accompagnata da simili operazioni di trattamento di dati.
151 Oltre a ciò, tenuto conto della portata del trattamento dei dati in questione e del suo notevole impatto sugli utenti di tale network, nonché della circostanza che tali utenti non possano ragionevolmente attendersi che dati diversi da quelli relativi al loro comportamento all’interno del social network siano trattati dall’operatore di quest’ultimo, è opportuno, ai sensi di tale considerando 43, che possa essere prestato un consenso separato per il trattamento di questi ultimi dati, da un lato, e dei dati off Facebook, dall’altro. Spetta al giudice del rinvio verificare l’esistenza di una tale possibilità, in assenza della quale si deve presumere che il consenso di detti utenti al trattamento dei dati off Facebook non sia stato prestato liberamente.
152 Infine, occorre ricordare che, in forza dell’articolo 7, paragrafo 1, del RGPD, qualora il trattamento sia basato sul consenso, grava sul titolare del trattamento l’onere di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei dati personali che lo riguardano.
153 È alla luce dei suesposti criteri e di un esame dettagliato di tutte le circostanze del caso di specie che il giudice del rinvio dovrà stabilire se gli utenti del social network Facebook abbiano validamente e, in particolare, liberamente espresso il loro consenso al trattamento in causa nel procedimento principale.
154 Alla luce di quanto precede, occorre rispondere alla sesta questione dichiarando che l’articolo 6, paragrafo 1, primo comma, lettera a), e l’articolo 9, paragrafo 2, lettera a), del RGPD devono essere interpretati nel senso che la circostanza che l’operatore di un social network online occupi una posizione dominante sul mercato dei social network online non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi dell’articolo 4, punto 11, di detto regolamento, al trattamento dei loro dati personali effettuato da tale operatore. Tale circostanza costituisce nondimeno un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e, in particolare, liberamente, circostanza che spetta a detto operatore dimostrare.
Sulle spese
155 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Grande Sezione) dichiara:
1) Gli articoli 51 e seguenti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) nonché l’articolo 4, paragrafo 3, TUE
devono essere interpretati nel senso che:
fermo restando il rispetto del suo obbligo di leale cooperazione con le autorità di controllo, un’autorità garante della concorrenza di uno Stato membro può constatare, nell’ambito dell’esame di un abuso di posizione dominante da parte di un’impresa, ai sensi dell’articolo 102 TFUE, che le condizioni generali d’uso di tale impresa relative al trattamento dei dati personali e la loro applicazione non sono conformi a detto regolamento, qualora tale constatazione sia necessaria per accertare l’esistenza di un tale abuso.
Alla luce di tale obbligo di leale cooperazione, l’autorità nazionale garante della concorrenza non può discostarsi da una decisione dell’autorità nazionale di controllo competente o dell’autorità di controllo capofila competente che riguardi tali condizioni generali o condizioni generali analoghe. Laddove nutra dubbi sulla portata di tale decisione, laddove dette condizioni o condizioni analoghe siano, al contempo, oggetto di esame da parte di tali autorità, o, ancora, laddove, in assenza di un’indagine o di una decisione di dette autorità, ritenga che le condizioni in questione non siano conformi al regolamento 2016/679, l’autorità nazionale garante della concorrenza deve consultare dette autorità di controllo e chiederne la cooperazione, al fine di fugare i propri dubbi o di determinare se si debba attendere l’adozione di una decisione da parte di tali autorità prima di iniziare la propria valutazione. In assenza di obiezioni o di risposta di queste ultime entro un termine ragionevole, l’autorità nazionale garante della concorrenza può proseguire la propria indagine.
2) L’articolo 9, paragrafo 1, del regolamento 2016/679
deve essere interpretato nel senso che:
nel caso in cui un utente di un social network online consulti siti Internet oppure applicazioni correlati a una o più delle categorie menzionate da tale disposizione e, se del caso, inserisca in essi dati, iscrivendosi oppure effettuando ordini online, il trattamento di dati personali da parte dell’operatore di tale social network online – consistente nel raccogliere, tramite interfacce integrate, cookie o simili tecnologie di registrazione, i dati risultanti dalla consultazione di tali siti e di tali applicazioni nonché i dati inseriti dall’utente, nel mettere in relazione l’insieme di tali dati con l’account del social network di quest’ultimo e nell’utilizzare detti dati – deve essere considerato un «trattamento di categorie particolari di dati personali» ai sensi di detta disposizione, il quale è in linea di principio vietato, fatte salve le deroghe previste da detto articolo 9, paragrafo 2, qualora tale trattamento di dati sia tale da rivelare informazioni rientranti in una di dette categorie, a prescindere dal fatto che tali informazioni riguardino un utente di tale social network o qualsiasi altra persona fisica.
3) L’articolo 9, paragrafo 2, lettera e), del regolamento 2016/679
deve essere interpretato nel senso che:
un utente di un social network online, allorché consulta siti Internet oppure applicazioni correlati a una o più delle categorie menzionate all’articolo 9, paragrafo 1, di detto regolamento, non rende manifestamente pubbliche, ai sensi della prima di tali disposizioni, i dati relativi a tale consultazione, raccolti dall’operatore di detto social network online mediante cookie o simili tecnologie di registrazione.
Quando inserisce dati in tali siti Internet o applicazioni nonché quando attiva pulsanti di selezione integrati in questi ultimi, come i pulsanti «Mi piace» o «Condividi» o i pulsanti che consentono all’utente di identificarsi su un sito Internet o su un’applicazione utilizzando gli identificativi di connessione collegati al suo account di utente del social network, il suo numero di telefono o il suo indirizzo di posta elettronica, tale utente rende manifestamente pubblici, ai sensi di detto articolo 9, paragrafo 2, lettera e), del RGPD, i dati così inseriti o risultanti dall’attivazione di tali pulsanti soltanto se abbia esplicitamente espresso preliminarmente, se del caso sulla base di un’impostazione individuale di parametri effettuata con piena cognizione di causa, la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.
4) L’articolo 6, paragrafo 1, primo comma, lettera b), del regolamento 2016/679
deve essere interpretato nel senso che:
il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – può essere considerato necessario per l’esecuzione di un contratto del quale gli interessati sono parti, ai sensi di tale disposizione, solo a condizione che detto trattamento sia oggettivamente indispensabile per realizzare una finalità che costituisce parte integrante della prestazione contrattuale destinata a quegli stessi utenti, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento.
5) L’articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679
deve essere interpretato nel senso che:
il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, solo a condizione che il suddetto operatore abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento, che tale trattamento sia effettuato entro i limiti di quanto strettamente necessario alla realizzazione di tale legittimo interesse e che dal contemperamento dei contrapposti interessi, alla luce di tutte le circostanze pertinenti, risulti che le libertà e i diritti fondamentali e gli interessi di tali utenti non prevalgono su detto legittimo interesse del titolare del trattamento o di terzi.
6) L’articolo 6, paragrafo 1, primo comma, lettera c), del regolamento 2016/679
deve essere interpretato nel senso che:
il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – è giustificato, ai sensi di tale disposizione, allorché è effettivamente necessario per adempiere un obbligo legale al quale il titolare del trattamento è soggetto, in forza di una disposizione del diritto dell’Unione o del diritto dello Stato membro interessato, tale base giuridica risponde ad un obiettivo di interesse pubblico ed è proporzionata all’obiettivo legittimo perseguito e tale trattamento è effettuato nei limiti dello stretto necessario.
7) L’articolo 6, paragrafo 1, primo comma, lettere d) ed e), del regolamento 2016/679
deve essere interpretato nel senso che:
il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – non può, in linea di principio e ferma restando la verifica che deve essere effettuata dal giudice del rinvio, essere considerato necessario alla salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, ai sensi della lettera d), oppure all’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, ai sensi della lettera e).
8) L’articolo 6, paragrafo 1, primo comma, lettera a), e l’articolo 9, paragrafo 2, lettera a), del regolamento 2016/679
devono essere interpretati nel senso che:
la circostanza che l’operatore di un social network online occupi una posizione dominante sul mercato dei social network online non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi dell’articolo 4, punto 11, di detto regolamento, al trattamento dei loro dati personali effettuato da tale operatore. Tale circostanza costituisce nondimeno un elemento importante per determinare se il consenso sia stato effettivamente prestato validamente e, in particolare, liberamente, circostanza che spetta a detto operatore dimostrare.
Firme