la sentenza

Corte di Giustizia su Meta: il consenso torna centrale per la pubblicità personalizzata



Indirizzo copiato

Intervenendo sul contenzioso tra Meta Platform e l’Autorità Antitrust tedesca, la Corte Ue offre diversi spunti di riflessione in quanto, ancora una volta, ribadisce la centralità del consenso dell’interessato per la pubblicità personalizzata. Ecco le lezioni da trarre

Pubblicato il 6 lug 2023

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Alessandra Nisticò

data privacy consultant, P4I



meta privacy edpb

Martedì 4 luglio la Corte di Giustizia dell’Unione Europea (CJEU) ha pubblicato la sentenza che chiude il rinvio pregiudiziale sollevato dal Tribunale Superiore del Land di Düsseldorf, nel contenzioso tra Meta Platform e l’Autorità Antitrust tedesca.

La pronuncia è destinata ad avere un impatto non secondario sulla costruzione del mercato digitale in quanto si sofferma su due aspetti:

  • La collaborazione tra Autorità Antitrust e Autorità di controllo e quindi come l’enforcement di mercato e di tutela dei dati personali debba coordinarsi;
  • L’analisi delle basi giuridiche del trattamento in relazione alla pubblicità personalizzata grazie ai dati, comuni e particolari, raccolti dentro e fuori la piattaforma dalla quale torna ad emergere la centralità del consenso.

La casualità ha voluto che la pronuncia giungesse proprio in occasione delle celebrazioni della Dichiarazione d’Indipendenza degli Stati Uniti d’America, l’atto che il 4 luglio 1776 ha sancito la rottura delle tredici colonie americane dal Regno di Gran Bretagna, all’epoca governato da Giorgio III, quasi a sottolineare come, nonostante lo scorrere del tempo e i tentativi di avvicinamento, tra le due sponde dell’Atlantico permangano visioni radicalmente diverse. A differenza del 1776, questa volta è l’Europa a invocare i diritti e libertà degli individui a fondamento di un approccio diverso al mercato digitale.

In gran parte della sua disamina, la Corte di Giustizia richiama le conclusioni dell’Avvocato Generale depositate lo scorso settembre.

Il rapporto tra Autorità Antitrust e Autorità di protezione dei dati personali

La Corte rileva che nel contesto dell’economia digitale, la tutela della libertà e della contendibilità del mercato passa inevitabilmente dall’analisi dei trattamenti messi in atto dagli operatori del mercato, poiché questi rappresentano il core business dell’operatore e le modalità con le quali agiscono sul mercato e si relazionano con gli altri player e con i consumatori.

L’analisi della condotta concorrenziale può coincidere con una valutazione sulla correttezza del trattamento di dati personali, sebbene le prospettive di analisi e le finalità siano diverse.

L’obbligo di leale cooperazione

In tale contesto, la Corte richiama ed evidenzia che per assicurare un’applicazione uniforme delle regole, le Autorità Antitrust e le Autorità di controllo dovrebbero cooperare sulla base dell’obbligo di leale cooperazione previsto dall’art. 4 paragrafo 3 TUE.

La Corte ricorda che: “Secondo una giurisprudenza costante, in forza di tale principio, nelle materie rientranti nel diritto dell’Unione, gli Stati membri, ivi incluse le loro autorità amministrative, devono rispettarsi ed assistersi reciprocamente nell’adempimento dei compiti derivanti dai Trattati, adottare ogni misura atta ad assicurare l’esecuzione degli obblighi conseguenti, in particolare, agli atti delle istituzioni dell’Unione, nonché astenersi da qualsiasi misura che rischi di mettere in pericolo la realizzazione degli obiettivi dell’Unione”.

Sebbene tale cooperazione non sia normata e sia da costruire in chiave interpretativa, la Corte fornisce dei parametri. In particolare, nella disamina relativa all’abuso di posizione dominante, se viene in rilievo la conformità dei comportamenti alle regole del GDPR, l’Autorità antitrust deve:

  • Verificare le pronunce dell’autorità di controllo o dell’autorità capofila o della Corte di Giustizia sul tema. Se vi sono pronunce, deve conformarsi ai principi espressi in tali decisioni, pur restando libera di trarre le proprie conclusioni sotto il profilo dell’applicazione del diritto della concorrenza.
  • Se dall’esame delle pronunce vi siano dubbi interpretativi o il comportamento sia anche oggetto di indagine da parte delle autorità di controllo, allora l’autorità antitrust procederà a chiedere la cooperazione dell’autorità di controllo prima di iniziare la propria valutazione.
  • L’autorità di controllo è tenuta a rispondere a tali richieste in un termine ragionevole, comunicando le informazioni richieste per risolvere i dubbi dell’autorità antitrust o informandola se intende avviare il processo di cooperazione con le autorità di controllo interessate al fine di giungere a una pronuncia sul tema.
  • In difetto di risposta, o nel caso in cui non vengano sollevate obiezioni da parte dell’autorità di controllo, l’autorità antitrust potrà comunque procedere con la propria indagine e giungere alla decisione in merito alla legittimità del comportamento dal punto di vista del diritto della concorrenza.

La pronuncia, pertanto, apre la porta a una collaborazione più fattiva tra le Autorità che, dalle rispettive prospettive e nello svolgimento dei compiti istituzionali propri di ciascuna, diventano parti fondamentali per l’enforcement armonizzato di quelle regole volte alla costruzione del Digital Single Market.

La Corte evidenzia che: “Come sottolineato in particolare dalla Commissione, l’accesso ai dati personali e la possibilità di trattamento di tali dati sono diventati un parametro significativo della concorrenza fra imprese dell’economia digitale. Pertanto, escludere le norme in materia di protezione dei dati personali dal contesto giuridico che le autorità garanti della concorrenza devono prendere in considerazione in sede di esame di un abuso di posizione dominante ignorerebbe la realtà di tale evoluzione economica e potrebbe pregiudicare l’effettività del diritto della concorrenza all’interno dell’Unione.”

Non è da escludere che il passaggio fatto dalla Corte di Giustizia nel definire le regole di tale collaborazione sia rivolto pro-futuro all’efficacia che stanno acquisendo i vari regolamenti, si pensi al Digital Markets Act (DMA) divenuto pienamente efficace lo scorso maggio e il Digital Service Act (DSA) che diventerà pienamente efficace il prossimo febbraio e di come le nuove normative dovranno coordinarsi con il GDPR in forza dei rinvii che le stesse operano.

Dopo tutto, l’esigenza di cooperazione era già esistente e in Italia si è già percorsa una strada in tal senso, come ricorda l’accordo spontaneo tra il Garante privacy, l’AGCM e l’AGCOM a seguito della pubblicazione dell’indagine conoscitiva sul fenomeno dei Big Data.

La connessione tra comportamenti concorrenziali e trattamenti di dati personali

L’analisi dei comportamenti concorrenziali di Facebook e, in particolare, l’imposizione di condizioni contrattuali particolarmente gravose ai suoi utenti, in forza della posizione dominante che riveste sul mercato dei social network online, passa necessariamente dalla disamina della correttezza e liceità dei trattamenti che, nel caso di specie, costituiscono altresì le prestazioni delle parti.

La piattaforma, infatti, propone ai suoi utenti, tra i vari servizi, anche la pubblicità personalizzata attraverso l’utilizzo dei dati raccolti all’interno della piattaforma (contenuti generati dagli utenti, interazioni, preferenze espresse, ecc.) e quelli raccolti all’esterno della piattaforma attraverso cookie e tracciatori che i gestori dei siti internet installano nei loro domini per poi utilizzare a loro volta i servizi di re-marketing offerti da Facebook e migliorare le performance delle proprie inserzioni all’interno della piattaforma.

Il trattamento dei dati particolari e le condizioni di liceità utilizzabili dal social network

La pronuncia esamina la liceità del trattamento dei dati personali degli utenti sia in relazione ai dati comuni che ai dati particolari che, come noto, richiedono la sussistenza delle condizioni di liceità previste dall’art. 9 par. 2 GDPR.

Il giudice del rinvio, infatti, aveva chiesto alla Corte a quale categoria (comune o particolare) appartenesse il dato di navigazione dell’utente che visitava siti con contenuti rientranti nelle categorie particolari (es. il sito di un partito politico) che, attraverso i cookie, veniva poi trattato da Facebook e utilizzato per alimentare le campagne inserzionistiche.

La Corte fornisce i parametri per l’interpretazione della categoria di appartenenza del dato evidenziando che se dai dati osservati è possibile desumere un’informazione costituente un dato particolare, allora sarà necessario considerare le condizioni di liceità di cui all’art. 9 par. 2 GDPR. Tra queste, quelle applicabili possono essere il consenso (art. 9 par. 2 lett. a GDPR) e i dati resi manifestamente pubblici dall’interessato (art. 9 par. 2 lett. e) GDPR).

In relazione a tale ultima condizione di liceità, la Corte ribadisce che essa va interpretata restrittivamente e non può essere applicata a dati che non siano stati resi pubblici dall’interessato con un gesto positivo inequivocabile. Di conseguenza, non vi sono particolari dubbi sui contenuti caricati, mentre in relazione ai dati di navigazione off-platform raccolti da cookie, tracciatori, plugin, il discorso viene demandato al Giudice del merito.

La Corte sottolinea che la mera navigazione non è un dato particolare, mentre l’aver cliccato sul pulsante “Mi piace” o “Condividi” posto all’interno del sito web off-platform (es. il pulsante “Mi Piace” sul sito di un partito politico) va valutato alla luce di tutte le circostanze concrete per verificare che, effettivamente, l’interessato fosse consapevole e intenzionato a condividere quel dato particolare rendendolo manifestamente pubblico. Le circostanze, ad esempio, possono variare se l’interessato ha la possibilità di condividere l’informazione con un numero limitato di persone o renderlo pubblico senza limiti e, nonostante la scelta, decida di renderlo pubblico. In quest’ultima evenienza, potrà essere ritenuto sussistente quel gesto espresso, inequivocabile e consapevole dell’interessato di rendere manifestamente pubblico il dato personale.

La Corte, quindi, passa ad esaminare le basi giuridiche del trattamento previste dall’art. 6 GDPR per il trattamento dei dati comuni

La base giuridica del contratto

La base giuridica contrattuale (art. 6 par. 1 lett. b) GDPR), al momento della vertenza, era utilizzata da Facebook nelle proprie condizioni di servizio a fondamento dei trattamenti di pubblicità personalizzata, in quanto era considerata parte essenziale per la personalizzazione dell’esperienza dell’utente sulla piattaforma.

Accogliendo le conclusioni dell’Avvocato Generale, la Corte di Giustizia ribadisce che tale base giuridica può essere utilizzata solo per ciò che è strettamente necessario all’erogazione della prestazione. La pubblicità personalizzata viene considerata una funzione accessoria e come tale, a parere della Corte, non può essere legittimamente ricondotta al contratto.

La Corte precisa che: “Per quanto riguarda, in primo luogo, la giustificazione relativa alla personalizzazione dei contenuti, occorre rilevare che, sebbene tale personalizzazione sia utile per l’utente, in quanto gli consente in particolare di visualizzare un contenuto in larga misura corrispondente ai suoi interessi, resta il fatto che, salvo verifica del giudice del rinvio, la personalizzazione dei contenuti non appare necessaria per offrire a tale utente i servizi del social network online. Tali servizi possono, eventualmente, essergli forniti sotto forma di un’alternativa equivalente che non implichi tale personalizzazione, che non è dunque oggettivamente indispensabile per una finalità che faccia parte integrante di detti servizi.”

La Corte fa leva sulla granularità dei servizi che sono offerti all’utente separatamente e che possono essere implementati discrezionalmente per evidenziarne la non essenzialità ai fini dell’erogazione del servizio. La Corte conclude statuendo: “Infatti, i diversi prodotti e servizi proposti da detto gruppo possono essere utilizzati indipendentemente gli uni dagli altri e l’utilizzo di ciascun prodotto o servizio si basa sulla sottoscrizione di un contratto d’uso distinto.”

Di conseguenza, la questione interpretativa viene risolta dichiarando che: “l’articolo 6, paragrafo 1, primo comma, lettera b), del RGPD deve essere interpretato nel senso che il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – può essere considerato necessario per l’esecuzione di un contratto del quale gli interessati sono parti, ai sensi di tale disposizione, solo a condizione che detto trattamento sia oggettivamente indispensabile per realizzare una finalità che costituisce parte integrante della prestazione contrattuale destinata a quegli stessi utenti, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento.

La base giuridica dell’interesse legittimo

La Corte passa, quindi, a esaminare la sussistenza del legittimo interesse del titolare e prova a operare un bilanciamento degli interessi in gioco, richiamando le tre condizioni cumulative per consentire il trattamento lecito, ricordando che l’onere di dimostrarne la liceità incombe sul titolare del trattamento.

In relazione al c.d. test di necessità, la Corte rinvia la valutazione al giudice del rinvio che deve verificare se “il legittimo interesse al trattamento dei dati perseguito dalla piattaforma non possa essere ragionevolmente raggiunto in modo altrettanto efficace con mezzi meno pregiudizievoli per i diritti fondamentali degli interessati in particolare per i diritti al rispetto della vita privata e alla protezione dei dati personali garantiti agli articoli 7 e 8 della Carta.” (v. par. 108)La Corte richiama a supporto di tale valutazione il principio di minimizzazione dei dati come ulteriore elemento che il giudice del rinvio dovrà considerare ai fini della sussistenza della necessità.

In relazione al bilanciamento dell’interesse del titolare con i diritti degli interessati, anche tale valutazione è rimessa al giudice del rinvio, invitandolo a prestare particolare attenzione all’ipotesi in cui l’interessato è un minore. “Tale protezione particolare deve pertanto applicarsi, segnatamente, al trattamento di dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente o ancora di proposta di servizi direttamente riguardanti minori.”

Tra gli interessi legittimi rimessi all’esame della Corte dal giudice del rinvio, la pronuncia si sofferma sulla pubblicità personalizzata e il rapporto con il considerando 47 del GDPR andando a declinare i seguenti parametri necessari alla valutazione della sussistenza dell’interesse legittimo del titolare:

  • le ragionevoli aspettative dell’interessato;
  • la portata del trattamento;
  • l’impatto di quest’ultimo sull’interessato.

Analizzando i trattamenti di Facebook, la Corte esclude la configurabilità del legittimo interesse in relazione alla pubblicità personalizzata evidenziando che, nonostante la gratuità del servizio, l’interessato non possa ragionevolmente attendersi che i suoi dati saranno trattati a fini di personalizzazione della pubblicità. Inoltre, in relazione alla portata del trattamento, viene evidenziata l’estensione del trattamento e l’ingente quantità di dati (“potenzialmente illimitati”, precisa la Corte) e gli impatti sull’utente “di cui Meta Platforms Ireland controlla gran parte, se non la quasi totalità, delle attività online, il che può suscitare in quest’ultimo la sensazione di una continua sorveglianza della sua vita privata.” In tal senso, viene dichiarata la prevalenza dei diritti degli interessati sull’interesse perseguito dal titolare del trattamento e non soddisfatta la condizione di liceità.

In relazione agli altri interessi legittimi prospettati dal titolare del trattamento, la Corte fornisce al giudice del rinvio i seguenti elementi di valutazione.

  • Garantire la sicurezza del network: il giudice del rinvio deve valutare quanto i dati raccolti off-platform siano effettivamente necessari a garantire la sicurezza interna del network;
  • Migliorare il prodotto: la Corte non esclude a priori che l’interesse del titolare a rendere il prodotto più performante e attrattivo possa costituire un legittimo interesse idoneo a giustificare un trattamento di dati personali e che un siffatto trattamento possa essere necessario per il perseguimento di tale interesse. Al tempo stesso, tuttavia, evidenzia sui dubbi in relazione all’estensione del trattamento, l’impatto sull’utente, l’obiettiva riconducibilità al miglioramento del prodotto e le ragionevoli aspettative dell’interessato.
  • Evitare, individuare e perseguire reati: la Corte evidenzia che tale interesse non può essere invocato dagli operatori privati in quanto il perseguimento di tale obiettivo è estraneo all’attività economica e commerciale. Potrebbe essere giustificato laddove vi sia un obbligo legale incombente sull’operatore.

Di conseguenza, la Corte risponde al giudice del rinvio ricordando che: “L’articolo 6, paragrafo 1, primo comma, lettera f), del RGPD deve essere interpretato nel senso che un trattamento siffatto può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, solo a condizione che il suddetto operatore abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento, che tale trattamento sia effettuato entro i limiti di quanto strettamente necessario alla realizzazione di tale legittimo interesse e che dal contemperamento dei contrapposti interessi, alla luce di tutte le circostanze pertinenti, risulti che le libertà e i diritti fondamentali e gli interessi di tali utenti non prevalgono su detto legittimo interesse del titolare del trattamento o di terzi.”

Le basi giuridiche dell’adempimento dell’obbligo di legge o per l’esecuzione di un compito di interesse pubblico

Nel rispondere alle domande circa la sussistenza dell’adempimento dell’obbligo di legge o dell’esecuzione di un compito di interesse pubblico, la Corte richiama l’art. 6 par. 3 GDPR ricordando che per invocare tali basi giuridiche è necessario che il trattamento sia basato sul diritto dell’Unione o dello Stato membro e che la base giuridica risponda a un interesse pubblico e che sia proporzionata all’obiettivo perseguito. Gli interessi che erano stati indicati erano i seguenti:

  • la necessità di rispondere a una richiesta di dati delle Autorità;
  • lo svolgimento di ricerche a beneficio della società;
  • la promozione di protezione, integrità e sicurezza.

La questione viene tuttavia rimessa al giudice del rinvio per mancanza di elementi concreti su cui la Corte possa fondare la pronuncia.

In relazione al consenso

Da ultimo, analizzate tutte le basi giuridiche del trattamento, la Corte passa ad analizzare la sussistenza del consenso per il trattamento dei dati personali, comuni e particolari, da parte del social network e se il consenso prestato possa essere considerato valido, in considerazione della posizione dominante di Facebook sul mercato dei social network online.

La Corte evidenzia che la sola circostanza che l’operatore occupi una posizione dominante non è di ostacolo a un consenso validamente espresso da parte degli utenti. Sul punto, richiama le conclusioni dell’Avvocato Generale ricordando che nel valutare la validità del consenso occorre valutare:

  • l’incidenza sulla libertà di scelta dell’utente che potrebbe non essere in grado di rifiutare o di revocare il suo consenso senza subire pregiudizio;
  • l’esistenza di uno squilibrio evidente causato dalla posizione dominante che favorisce l’imposizione di condizioni non strettamente necessarie all’esecuzione del contratto.
  • La possibilità per gli utenti, nell’ambito della procedura contrattuale, di rifiutare individualmente il consenso a operazioni particolari di trattamento di dati non necessarie all’esecuzione del contratto, senza essere per questo tenuti a rinunciare integralmente alla fruizione del servizio offerto dall’operatore del social network online, il che implica che a detti utenti venga proposta, se del caso a fronte di un adeguato corrispettivo, un’alternativa equivalente non accompagnata da simili operazioni di trattamento di dati.
  • Che sia prestato un consenso separato per i dati off-platform (raccolti tramite cookie e tracciatori), in assenza della quale si deve presumere che il consenso al trattamento dei dati off Facebook non sia stato prestato liberamente.

Nel richiamare questi aspetti, la Corte evidenzia che incombe sul titolare la capacità di comprovare il consenso prestato dagli utenti e la sua validità.

La lezione della Corte di Giustizia

La pronuncia della Corte offre diversi spunti di riflessione in quanto, ancora una volta, ribadisce la centralità del consenso dell’interessato per la pubblicità personalizzata, rendendo ancora più complesso riuscire a percorrere strade diverse volte alla valorizzazione del dato personale sulla base del legittimo interesse o del contratto. Infatti, sebbene tali strade non siano state escluse a priori, le argomentazioni della Corte rendono molto stringente l’onere di “accountability” in capo ai Titolari che viene – seppure indirettamente – richiamato più volte nella sentenza.

Non solo, l’analisi della liceità contrattuale passa per una doppia valutazione:

  • Dal punto di vista del diritto alla protezione del dato occorre valutare il rapporto di essenzialità del trattamento in relazione alla fornitura del servizio, alla luce delle ragionevoli aspettative dell’interessato;
  • Dal punto di vista del diritto della concorrenza occorre valutare che l’eventuale inserimento di siffatta clausola sia legittimo anche dal punto di vista del diritto della concorrenza e che l’adesione del consumatore/utente al servizio sia effettivamente frutto di una ponderazione e condivisione del sinallagma e non di un’imposizione frutto della posizione dominante che la piattaforma gioca sul mercato.

Su questi parametri, le piattaforme si troveranno a percorrere un sentiero stretto tra l’enforcement data protection e quello antitrust in relazione alle condizioni contrattuali che propongono agli utenti nei termini di servizio.

Le valutazioni svolte sul legittimo interesse in relazione agli impatti sugli interessati dovuti alla mole di dati raccolti dalla piattaforma apre degli spunti di riflessione, tutti da indagare, in relazione ai concetti di essenzialità del servizio e di minimizzazione del dato con l’utilizzo dei nuovi algoritmi di intelligenza artificiale generativa, l’interoperabilità delle piattaforme e l’evoluzione del Web 2.0 verso il Web 3.0 in cui la personalizzazione dell’esperienza dell’utente gioca un ruolo essenziale.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3