Il presente lavoro trae spunto dalla vicenda giudiziaria che vede confrontarsi ormai da diversi anni la società californiana Meta ed il Bundeskartellamt, autorità garante della concorrenza tedesca. Si propone di esaminare il percorso argomentativo che ha portato la Corte di Giustizia dell’Unione Europea ad affermare, contrariamente a quanto ritenuto da buona parte della dottrina ed anche dalla stessa Commissione Europea in varie occasioni, che è possibile far cooperare insieme il diritto della concorrenza e la normativa in materia di protezione dei dati personali al fine di arginare l’abuso di potere informativo delle grandi società della rete. Abbandonando l’idea di matrice neoliberale secondo cui il diritto antitrust persegue solo la tutela dell’efficienza economica, i giudici del Lussemburgo hanno sostenuto che non solo una violazione della privacy può costituire un importante indizio dal quale desumere un pregiudizio dei principi della concorrenza, ma che l’esistenza di una posizione dominante può anche essere un elemento dal quale desumere un eventuale invalidità del consenso. È evidente che le due normative non possano procedere su “binari separati” e che una loro reciproca collaborazione consenta alle autorità garanti della concorrenza di ripensare ad una nuova teoria del danno concorrenziale in cui il valore pro-competitivo della data protection possa sostituirsi al parametro quantitativo del prezzo.
The present work is inspired by the legal case between Meta and the Bundeskartellamt, the German competition authority. It is aimed at ascertaining the reasoning that has encouraged the European Court of Justice to support the view that antitrust and data protection law can cooperate to curb the abuse of informational power on behalf of digital platforms, as opposed to some scholars and the European Commission have declared in several occasions. Leaving behind the «law & economics approach» proposed by the neoliberal economic theory, according to which the only goal of antitrust is barely economic efficiency, in its decision, CJEU judges have claimed that not only in the context of the examination of abuse of a dominant position by an undertaking, a privacy violation can constitute an important clue from which it can be inferred antitrust infringement but also that holding a dominant position on the social network market, it constitutes an important factor in determining whether the consent was validly and, in particular, freely given. In light of the above considerations, it is clear that antitrust and data protection law do not proceed on separate tracks as well as the integration between these two normative can foster national and supranational competition authorities to reformulate a theory of harm based on a pro-competitive value of privacy suitable to substitute the price as a quality competitive dimension in digital markets.
Estratto
“[…] In tale contesto, ritenendo che la soluzione della controversia principale dipenda dalla risposta da dare a tali questioni, l’Oberlandesgericht Düsseldorf (Tribunale superiore del Land, Düsseldorf) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1)
a) Se sia compatibile con gli articoli 51 e seguenti del RGPD il fatto che un’autorità garante della concorrenza di uno Stato membro, quale l’autorità federale garante della concorrenza, che non sia un’autorità di controllo ai sensi degli articoli 51 e seguenti del RGPD e nel cui Stato membro un’impresa stabilita al di fuori dell’Unione europea disponga di una filiale di supporto alla filiale principale nel settore della pubblicità, della comunicazione e delle relazioni pubbliche […] constati, nell’ambito dell’esercizio di un controllo degli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali operate dalla filiale principale relativamente al trattamento dei dati e la relativa attuazione violano il RGPD, e disponga di porre fine a tale violazione.
b) In caso affermativo, se ciò sia compatibile con l’articolo 4, paragrafo 3, TUE se, nel contempo, l’autorità di controllo capofila nello Stato membro in cui si trova la filiale principale ai sensi dell’articolo 56, paragrafo 1, del RGPD sottopone a un procedimento di indagine le condizioni contrattuali per il trattamento dei dati operate da quest’ultima.
In caso di risposta affermativa alla prima questione:
2)
a) Se, nel caso di un utente di Internet che si limiti a visitare siti Internet o applicazioni(“app”) che fanno riferimento ai criteri di cui all’articolo 9, paragrafo 1, del RGPD […] ove immetta dati al fine di registrarvisi o di effettuare degli ordini, e di una (…) società, come [Meta Platforms Ireland], che raccolga i dati relativi all’accesso ai siti e alle app e alle informazioni ivi immesse da parte dell’utente – tramite interfacce integrate nei siti e nelle app, come “Strumenti di Facebook Business”, o tramite marcatori temporanei (“cookies”) o simili tecnologie di memorizzazione […] – li colleghi ai dati dell’account Facebook.com dell’utente [continua..]
1. Storia della vicenda giudiziaria alla base di una decisione tanto attesa - 1.1. Dal Bundeskartellamt al Bundesgerichthof passando per l’Oberlandesgericht Düsseldorf - 1.2. Le conclusioni dell’Avvocato Generale Rantos e la pronuncia della Corte di Giustizia dell’Unione Europea - 2. Integrazione fra diritto antitrust e data protection: si può fare - 2.1. La violazione della privacy quale indice di un abuso di posizione dominante - 2.2. La posizione dominante quale indice da cui desumere l’invalidità del consenso - 3. Pubblicità personalizzata: il legittimo interesse non può sempre essere una via di fuga per i guardiani dei mercati digitali - 4. Alcune considerazioni finali - NOTE
Il 4 luglio 2023 potrebbe essere uno di quei giorni da ricordare, almeno per il diritto antitrust eurounitario. L’Unione Europea, grazie alla Corte di Giustizia, prendendo la strada “meno battuta” di frostiana memoria, ha sancito l’indipendenza dall’idea, tanto osteggiata da una folta schiera di studiosi ed esperti del diritto della concorrenza, secondo cui diritto antitrust e protezione dei dati personali sarebbero normative non conciliabili perché nate per perseguire obiettivi diversi. La Corte, chiamata ad esprimersi sulla domanda di pronuncia pregiudiziale proposta dal Tribunale superiore di Düsseldorf in merito alla decisione del Bundeskartellamt (d’ora in avanti, Bkarta) di vietare a Meta il trattamento dei dati personali dei propri utenti alle condizioni generali d’uso della piattaforma Facebook e di darne attuazione, si è pronunciata con una sentenza “fiume” non solo sull’integrazione tra antitrust e data protection, ma anche su altri aspetti riguardanti l’applicazione del regolamento sulla protezione dei dati personali alle condotte delle grandi società della rete. Dirompenti potrebbero rivelarsi i suoi effetti non solo sul diritto della concorrenza eurounitario, ma anche, più in generale, sull’idea, piuttosto recente, dei regolatori di “domare” le intemperanze dell’innovazione tecnologica, mediante «una regolazione finalizzata alla predisposizione collaborativa delle regole [1]» in grado di garantire un mercato digitale equo, contendibile ed eticamente sostenibile [2]. Non c’è una controversia, tranne forse quella del caso Google Shopping, sulla quale negli ultimi anni gli esperti di diritto antitrust e non solo, abbiano versato fiumi di inchiostro (elettronico, letteralmente), come quella che vede affrontarsi da lungo tempo, il Bundeskartellamt e Meta, colosso dei social network. Tuttavia, se l’indagine nei riguardi di Google ha segnato la storia del diritto della concorrenza eurounitario per il tentativo, più che meritorio, di risolvere l’accesso dibattito dottrinale sulla corretta qualificazione giuridica del self-preferencing, quale condotta anticompetitiva tipica dei mercati data-driven [3], l’epopea tedesca, invece, la segna perché riconosce che il potere across-markets [4] delle grandi piattaforme può ben essere regolato [continua ..]
Prima di analizzare la decisione della Corte di Giustizia si ritiene opportuno richiamare, almeno nei suoi termini essenziali, la storia giudiziaria che, alcuni illustri studiosi, hanno giustamente definito «saga teutonica [5]». Dopo un’istruttoria iniziata a marzo 2016 e conclusasi a febbraio 2019, l’Ufficio federale dei Cartelli ha vietato, per abuso di posizione dominante, la condotta commerciale consistita nel trattamento illecito dei dati personali dei propri utenti messa in atto da Meta (all’epoca, ancora Facebook) nel mercato tedesco dei social network [6]. Veniva, infatti, contestato alla piattaforma di aver acquisito, combinato insieme e processato i dati generati dagli iscritti non solo nel corso dell’attività svolta all’interno dell’ecosistema digitale (c.d. dati On-Facebook), ma anche all’esterno, consultando pagine web e applicazioni di terze parti in grado di raccogliere tracce digitali del loro passaggio grazie all’uso di marcatori temporali (c.d. cookies) e strumenti progettati per la profilazione, nello specifico plugin e pixel (c.d. dati Off-Facebook). Grazie a questa raccolta di informazioni, la società intendeva costruire dei «super-profili» degli utenti al fine di adattare il più possibile la user experience alle loro preferenze, gusti, abitudini, inclinazioni e, di conseguenza, personalizzare il contenuto dei messaggi pubblicitari destinati agli utenti della piattaforma [7]. Fin qui nulla di strano. Da tempo, infatti, le autorità garanti della concorrenza sono a conoscenza dell’importanza che la pubblicità online assume per i giganti del digitale. Si tratta del principale strumento di finanziamento mediante cui è possibile garantire la sopravvivenza dei propri modelli di business [8]. L’aspetto più allarmante della condotta del social network ha riguardato le condizioni ed i termini d’uso di Facebook, la cui accettazione, da parte degli iscritti, risultava essenziale laddove volessero accedere ai servizi digitali offerti dalla piattaforma. Il Bkarta ha ritenuto che il consenso, mediante il quale gli utenti accettavano le condizioni contrattuali unilaterali ed autorizzavano Meta al trattamento dei propri dati personali, non fosse stato prestato validamente. Dirimente, in tal senso, la modalità di acquisizione del consenso presentata agli iscritti nella forma del [continua ..]
La pronuncia della Corte di Giustizia è stata preceduta dal parere, non vincolante, del 22 settembre 2022 con il quale l’Avvocato Generale Athanasios Rantos ha analizzato nel dettaglio le sei questioni pregiudiziali oggetto della controversia. L’aspetto più interessante delle sue conclusioni si rinviene nella parte in cui sostiene che l’autorità della concorrenza tedesca non ha sanzionato la violazione del GDPR di per sé, ma l’ha valutata come elemento di prova da cui desumere l’esistenza dell’abuso di posizione dominante. Se ne ricava che un’authority antitrust può senz’altro constatare una violazione del GDPR, anche se ciò non rientra nelle sue specifiche competenze. Tuttavia, è nell’esercizio delle medesime che può, invece, verificare se la posizione di dominanza dell’impresa indagata è stata raggiunta per meriti imprenditoriali oppure ricorrendo a mezzi che consentano di conseguire un vantaggio competitivo illecito, a discapito di concorrenti e consumatori. Nella vicenda in esame, quindi, l’Ufficio Federale dei Cartelli si sarebbe avvalso dell’accertamento circa il mancato rispetto della normativa in materia di data protection per provare che le condizioni ed i termini di servizio della piattaforma hanno consentito al colosso del digitale di sfruttare in modo abusivo il proprio potere economico ed alterare, di conseguenza, la concorrenza [25]. Pare, dunque, farsi sempre più concreta, l’idea secondo cui la limitazione effettiva del potere economico dei guardiani dei mercati digitali possa scaturire da un’integrazione fra due normative, antitrust e data protection che, nonostante le diverse competenze e prerogative delle rispettive autorità garanti, potrebbero dimostrarsi affini e per nulla distanti sul piano degli obiettivi; anche se, da una prima analisi degli stessi, sembrerebbe il contrario. Questa terza via, per la regolazione dei mercati digitali, alternativa all’approccio laissez-faire e per molti aspetti complementare all’approccio ex ante regulation del Digital Markets Act, come si avrà modo di vedere, emerge in maniera evidente nella decisione della Corte di Giustizia dell’Unione Europea. Quest’ultima, terminata la fase orale del procedimento, ha deliberato, infatti, sulla domanda di pronuncia pregiudiziale oggetto di controversia del 4 [continua ..]
Dalle argomentazioni della Corte di Giustizia precedentemente esaminate si possono trarre alcune considerazioni utili sull’integrazione fra la disciplina del diritto della concorrenza e la protezione dei dati personali. Una premessa, tuttavia, è d’obbligo. In letteratura, si sono ravvisate, almeno sino ad ora, più opinioni contrarie che favorevoli ad ammettere che un coordinamento fra le due discipline fosse concretamente possibile. La ragione è da ascriversi agli obiettivi che entrambe le normative paiono perseguire. È certo, infatti, che proteggere il diritto al controllo sul flusso informativo e garantire la sicurezza del trattamento dei dati personali non siano obiettivi propri del diritto della concorrenza come, allo stesso modo, è ovvio che assicurare il buon funzionamento del mercato mediante la salvaguardia del processo competitivo non lo sia della disciplina in materia di protezione dei dati personali. L’idea della assoluta inconciliabilità fra enforcement antitrust e tutela dei dati personali non è diffusa solo fra numerosi studiosi ed esperti di diritto della concorrenza, ma anche fra i medesimi regolatori che in un primo momento non hanno valutato positivamente l’ipotesi di usare strumenti giuridici propri del diritto antitrust per risolvere questioni legate alla violazione della privacy [45]. Si pensi all’allora Commissario Europeo della Concorrenza Margrete Vestager che, dinanzi alla tesi dell’integrazione, rifiutò nel 2016 categoricamente l’idea. Nel discorso introduttivo della conferenza Digital Life Design tenutasi a Monaco di Baviera in quello stesso anno, intervenendo in merito alla questione, si esprimeva in questo modo: «[…] So I don’t think we need to look to competition enforcement to fix privacy problems» [46]. Ebbene, in queste parole, come in quelle pronunciate circa quattro anni più tardi a seguito dell’approvazione dell’operazione concentrativa Google/Fit [47], è chiaramente rinvenibile la posizione sull’opportunità di far cooperare insieme le due normative non solo del Commissario con delega alla concorrenza, ma anche della stessa Commissione Europea [48]. La contrarietà espressa all’epoca da entrambi era dovuta all’adesione da parte dell’enforcement antitrust europeo alle teorie della corrente di pensiero neoliberale [continua ..]
Per comprendere in quale modo una violazione della normativa in materia di data protection possa costituire un «importante indizio», per usare le considerazioni della Corte, da cui desumere una distorsione delle regole della concorrenza, sembra opportuno delineare quale sia stato il “percorso” che la protezione dei dati personali ha dovuto compiere per assumere piena legittimità in un contesto in cui, per diverso tempo, la normativa antitrust si è avvalsa del prezzo quale parametro concorrenziale esclusivo. È noto che al fine di raggiungere una determinata posizione di potere economico le imprese debbano competere fra di loro tenendo in considerazione una serie di fattori di natura quantitativa o qualitativa [58]. Se il prezzo costituisce il parametro quantitativo per eccellenza sul quale misurarsi nel mercato, fra le dimensioni concorrenziali di tipo qualitativo, invece, assumono importanza la facilità d’uso, il livello di sicurezza, il grado di innovazione del prodotto o di un determinato servizio, compreso anche più di recente il livello di protezione dei dati personali. La qualità, dunque, tende ad avere non un valore di secondo piano rispetto al prezzo, bensì equivalente ad esso. Questo ragionamento, valido innanzitutto nel contesto dei mercati tradizionali, lo è ancora di più nel contesto economico dei mercati zero-price in cui sono i dati ad essere oggetto di controprestazione economica [59]. Pare evidente che le imprese dei mercati data-driven competano soprattutto sulla base di dimensioni concorrenziali prettamente qualitative, fra le quali anche la protezione dei dati personali [60]. Tale considerazione è tanto più vera se la si giudica a partire dalla prospettiva delle imprese concorrenti [61]. Lo dimostra la recente diatriba sul tema della tutela dei dati personali che vede confrontarsi fra loro due dei più importanti colossi del web, Facebook ed Apple [62]. Oggetto del contendere è l’applicativo App Tracking Transparency (in seguito, app ATT) che, citando testualmente dal sito ufficiale della società californiana, «[…] consente di scegliere se un’app può tracciare le tue attività sulle app e i siti web di altre aziende per scopi pubblicitari o per condividerli con i data broker» [63]. Secondo Apple, questo sistema, progettato per obbligare [continua ..]
È proprio dallo squilibrio di potere fra gli utenti, interessati dal trattamento dei dati personali, e la piattaforma che li processa in qualità di titolare del trattamento, che si può rinvenire la seconda delle novità introdotte dalla decisione. La Corte di Giustizia, infatti, è arrivata a sostenere che nel valutare la validità del consenso occorre considerare anche la posizione dominante vantata dall’operatore economico che tratta i dati. È noto che una delle caratteristiche dei modelli di business delle grandi società tecnologiche sia la creazione di un sistema aziendale basato su relazioni asimmetriche fra utenti ed ecosistemi digitali [87]. Questa chiara disparità di forza consolida la posizione di superiorità economica che rende l’ecosistema digitale partner di mercato obbligato sia per gli utenti commerciali sia per i consumatori che, in assenza di alternative equivalenti, si rivolgono necessariamente a quella che è in grado di offrire loro servizi e prodotti tarati sulle proprie esigenze. Un maggior numero di utenti commerciali e consumatori significa anche maggior disponibilità di informazioni, il che contribuisce a rafforzare la dinamica circolare che è alla base del potere di mercato delle grandi piattaforme. Queste dinamiche interne alle piattaforme, come pare giustamente rilevare la Corte di Giustizia dell’Unione Europea, si pongono in palese contrasto con i presupposti deputati a garantire che il consenso sia frutto di una consapevole autodeterminazione, così come enucleati in alcuni dei Considerando e delle norme del GDPR. In primo luogo, la definizione di consenso quale manifestazione di volontà libera, specifica, informata ed inequivocabile offerta all’articolo 4 n.11 ed al Considerando 42. In secondo luogo, l’articolo 7, par.4 ed il Considerando 43 volti entrambi a stabilire quando il consenso possa definirsi effettivamente libero. Il Considerando 43, nello specifico, individua un ulteriore presupposto in base al quale il consenso può definirsi non prestato liberamente, l’esistenza di «[…] un evidente squilibrio fra il titolare del trattamento e l’interessato» nonché l’ipotesi in cui «[…] non sia possibile prestare un consenso separato a distinti trattamenti di dati personali». Con riguardo all’«evidente [continua ..]
La Corte di Giustizia dopo aver stabilito che l’invalidità del consenso può desumersi anche dall’esistenza di una posizione di dominanza economica nel mercato digitale, tenta di risolvere un’altra questione legata alla possibilità di rinvenire nel perseguimento del legittimo interesse da parte di Meta una base giuridica idonea a legittimare il trattamento dei dati personali per finalità di pubblicità comportamentale. In questi casi, il trattamento per essere considerato lecito deve, ai sensi dell’articolo 6, par. 1, lett. f), risultare «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore». Come si evince dal dettato normativo della disposizione, questa base giuridica prevede, ai fini della sua applicazione, che il titolare sia chiamato a svolgere un vero e proprio bilanciamento tra l’interesse al trattamento vantato dallo stesso titolare o da un terzo e quelli contrapposti dei soggetti cui i dati personali ineriscono al fine di individuare quale sia quello prevalente [112]. Ad esplicitare il modo in cui questo bilanciamento di interessi differenti debba avvenire è il considerando 47 del regolamento UE 2016/679, il quale, dopo aver previsto che per finalità di marketing diretto la base giuridica del trattamento può essere un legittimo interesse del titolare, affida direttamente a quest’ultimo, il compito di procedere ad un’attenta valutazione degli interessi contrapposti [113], tenendo conto «delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento» nonché dell’«[…] eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine». Ebbene, oltre al bilanciamento fra interessi contrapposti, l’uso del legittimo interesse quale base giuridica idonea al trattamento dei dati personali richiede la sussistenza di tre imprescindibili condizioni cumulative individuate dalla stessa Corte di Giustizia dell’Unione Europea in diversi casi [continua ..]
Questa sentenza non passerà e, non deve passare inosservata. Soprattutto da parte di quegli studiosi di diritto antitrust che hanno escluso sin dal primo provvedimento adottato dal Bkarta che il diritto della concorrenza e la normativa in materia di protezione dei dati personali potessero cooperare fra loro e muoversi all’unisono non solo per arginare il potere degli ecosistemi digitali, ma anche per ripristinare l’autonomia e la libertà di scelta dei consumatori algoritmici. Tuttavia, proprio la tradizione ordoliberale, non strettamente legata all’analisi economica del diritto di matrice chicaghiana, ha consentito alla Corte di Giustizia di compiere un passo in avanti e di proiettarsi verso un possibile ripensamento della teoria del danno concorrenziale in cui le autorità garanti della concorrenza sostituiscano al prezzo sovra-competitivo l’accertamento di un’eventuale degradazione di un parametro prettamente qualitativo come quello della privacy, dal cui peggioramento – provato per il tramite di una violazione della data protection – sia possibile desumere l’esistenza del danno concorrenziale. Alcuni studiosi, fra cui Pietro Manzini, che hanno per primi commentato la vicenda, mettono in luce alcune criticità della pronuncia. In primo luogo, sostengono che consentire alle authorities della concorrenza, nel corso di un’indagine, di dedurre un illecito antitrust da una violazione della privacy «probabilmente condizionerà in maniera significativa l’esito della decisione antitrust» [127], lasciando così intendere che il peso attribuito alle norme in materia di data protection potrebbe rivelarsi eccessivo, una sorta di “invasione di campo”, mal tollerata in un ambito in cui la competenza a decidere spetta alle autorità garanti della concorrenza e non alle autorità di controllo. Sebbene ciò sia possibile, occorre anche notare che la Corte di Giustizia è stata piuttosto chiara nel delimitare i casi in cui una non conformità alla disciplina in materia di data protection potrebbe essere considerata quale indizio da cui desumere un abuso di posizione dominante. Lo si evince al paragrafo 48 della decisione in cui il riferimento alla violazione della privacy viene sì definito quale «importante indizio» dal quale ricavare la prova di una eventuale distorsione dei principi della [continua ..]
Iscrivendoti alla newsletter di Giappichelli non riceverai spam, ma bensì gli aggiornamenti sulle nuove uscite di tuo interesse, sconti e iniziative promozionali.
Copyright G. Giappichelli Editore - 2020
E-ISSN 2284-2934 - Rivista della Regolazione dei Mercati (Online)
Iscrizione al R.O.C. n. 25223
Per informazioni: ufficioabbonamenti@giappichelli.it
