Facebook, il consenso dell’utente resta l’unica base giuridica ammessa

Il primo agosto, Meta Platforms ha manifestato la volontà di cambiare la propria base giuridica per il trattamento di alcuni dati pubblicitari, passando d al legittimo interesse al consenso, per gli utenti nell’UE, SEE e Svizzera. La decisione della CGUE del 4 luglio 2023, nella causa C-252/21 , ha influenzato direttamente la scelta di Meta.

Come noto, Facebook, facente parte del gruppo Meta, è un social network gratuito che si finanzia tramite pubblicità mirata. Durante la registrazione, gli utenti devono accettare le condizioni stabilite da Meta Platforms, condizioni che delineano l’uso dei dati e dei cookies. Oltre ai dati forniti in fase di registrazione, Meta acquisisce dati correlati alle attività degli utenti, anche esterne a Facebook. Questi “dati off Facebook” riguardano la navigazione web, l’uso di app di terze parti e altri servizi del gruppo Meta come Instagram e WhatsApp, creando profili dettagliati degli utenti.

La guardia tedesca della concorrenza ha imposto a Meta restrizioni sulle condizioni contrattuali, proibendo la subordinazione dell’uso di Facebook al trattamento dei “dati off Facebook” senza il consenso esplicito dell’utente. La decisione è stata presa affermando che tale pratica viola le norme del GDPR, ponendo Meta in una posizione dominante ingiustificata sul mercato tedesco.

In risposta, Meta ha presentato ricorso al Tribunale superiore del Land di Düsseldorf, che ha portato il caso davanti alla CGUE. La sentenza ha approfondito:
• La competenza delle autorità nazionali nel rilevare violazioni del GDPR ;
• Il rapporto tra le autorità di concorrenza e quelle di protezione dei dati;
• La gestione da parte dei social network dei dati “sensibili“;
• Le condizioni di liceità del trattamento dati;
• la validità del consenso dato dagli utenti per tale trattamento

Nella prima questione affrontata dalla Corte il lettore è posto all’intersezione tra due ambiti cruciali dell’economia nell’era digitale: la protezione dei dati personali e la concorrenza nel mercato.

La CGUE si pronuncia infatti sui rapporti tra l’autorità garante per la concorrenza e l’autorità di controllo sulla protezione dei dati personali, verificando se la violazione del GDPR può costituire un elemento idoneo a configurare un’ipotesi di abuso di posizione dominante.

La Corte afferma anzitutto che le autorità di controllo e le autorità garanti della concorrenza hanno un focus diverso. L’autorità di controllo in particolare ha il compito principale di monitorare l’applicazione del GDPR.

Inoltre, le norme di cooperazione contenute nel GDPR riguardano solo la cooperazione tra le autorità di controllo e non con le autorità garanti della concorrenza e va considerato anche che né il GDPR né altre norme dell’Unione Europea regolano la cooperazione tra l’autorità garante della concorrenza e le autorità di controllo.

Tuttavia, il GDPR non impedisce alle altre autorità garanti, come appunto l’autorità garante per la concorrenza ed il mercato, di valutare incidentalmente la possibile violazione di norme del GDPR.

A tale riguardo, la Corte ritiene che l’autorità garante della concorrenza possa valutare se un’impresa in posizione dominante abbia violato il GDPR, come parte della sua analisi sull’abuso di detta posizione nel mercato.

Tale approdo è oggi sostenuto anche dalla considerazione che l’accesso e il trattamento dei dati personali sono diventati fattori cruciali nella concorrenza tra le imprese digitali ed ignorare le norme sulla protezione dei dati potrebbe compromettere l’efficacia della normativa antitrust nell’Unione.

Ma entra in gioco anche un altro fattore: tutte le autorità nazionali sono vincolate dal principio di leale cooperazione, come stabilito dall’ articolo 4, par. 3, del TUE in forza del quale, se un’autorità garante della concorrenza vuole esaminare la conformità al GDPR di un’impresa, deve cooperare con l’autorità di controllo competente, ciò al fine di garantire un’applicazione coerente del regolamento.

In conclusione, un’autorità garante della concorrenza può esaminare la conformità al GDPR di un’impresa nell’ambito della sua analisi sulla concorrenza, ma deve:
• rispettare le decisioni già assunte dalle autorità di controllo;
• se ha dubbi sulla portata delle decisioni già assunte o se è pendente in quella materia un giudizio di un’autorità di controllo o se in quella materia non vi siano decisioni già assunte, deve consultare le autorità di controllo e attendere una decisione da parte loro prima di procedere con la propria indagine;
• in assenza di obiezioni o di risposta di queste ultime entro un termine ragionevole, l’autorità nazionale garante della concorrenza può proseguire la propria indagine

La Corte si occupa poi della raccolta di dati effettuata da Meta non solo quando l’utente di Facebook si interfaccia con il social network, ma anche quando naviga su siti web o utilizza applicazioni di terze parti (cd. dati off Facebook). Questo include anche la raccolta di informazioni da siti che potrebbero rivelare dati particolari (gli ex “dati sensibili”) come definiti dall’art. 9, par. 1, del GDPR.

Chiamata a pronunciarsi sul punto, la Corte afferma che la norma appena citata deve essere interpretata nel senso che, se un utente di un social network visita siti o applicazioni afferenti a categorie particolari di dati (dunque ad es. siti o app che trattano di questioni afferenti alla salute o a opinioni politiche o ad abitudini sessuali etc.) ed eventualmente inserisce in tali siti o app propri dati personali, l’operatore del social network – che raccoglie queste informazioni attraverso tecnologie come i cookie – sta effettuando un “trattamento di categorie particolari di dati personali”. Questo tipo di trattamento è generalmente proibito, a meno che non rientri nelle eccezioni previste dall’articolo 9, paragrafo 2. Ciò vale se le informazioni raccolte rivelano dettagli specifici, indipendentemente dal fatto che riguardino l’utente del social network o qualsiasi altra persona.

Premesso che Facebook sta facendo un trattamento di dati anche particolari (gli ex “dati sensibili”) quando acquisisce le informazioni di navigazione ed i feedback degli utenti, la Corte passa ora a verificare se tale trattamento sia legittimo in base alle previsioni del GDPR.

La Corte verifica in primis se possa dirsi che il trattamento è legittimo ai sensi dell’art. 9, par. 2 del GDPR in quanto afferente a dati che l’utente ha inteso rendere pubblici.

A tale proposito, la Corte ritiene che, quando un utente consulta ed interagisce con siti o applicazioni che rientrano nelle categorie dell’art. 9, par. 1, del GDPR, non si può automaticamente presumere che voglia rendere pubblica tale consultazione. Ad esempio, se un utente visita un sito web correlato alla salute, non significa necessariamente che voglia divulgare al pubblico le proprie condizioni mediche. L’utente anzi può legittimamente ritenere che solo il gestore del sito abbia accesso a tali dati.

D’altro canto, l’interazione dell’utente con determinate funzionalità dei siti, come i pulsanti “Mi piace” o “Condividi”, o l’utilizzo di identificativi per accedere tramite account come Facebook, rappresenta un livello di interazione più profondo. Tuttavia, anche in questi casi, non si può presumere automaticamente che l’utente desideri rendere pubblici i suoi dati. Molto dipende dalle impostazioni di privacy che l’utente ha scelto e dalla chiarezza delle informazioni fornite dal sito o dall’applicazione riguardo alla condivisione dei dati.

Sarà allora solo all’esito della valutazione dei fatti nel caso concreto che potrà affermarsi se gli utenti hanno avuto la possibilità di decidere consapevolmente se rendere i loro dati accessibili al pubblico o solo a un gruppo selezionato di persone. Solo se gli utenti hanno questa scelta e hanno optato per la condivisione pubblica dei loro dati si potrà affermare che hanno “manifestamente reso pubblici” tali dati. Se invece non viene data loro una chiara opzione di configurazione, si potrà affermare che gli utenti hanno reso pubblici i loro dati solo se prima di condividerli sono stati informati in modo chiaro ed esplicito che l’iscrizione al sito o l’inserimento di dati o altre modalità di interazione avrebbero comportato la pubblicità dei loro dati personali.

La Corte passa poi ad esaminare se nel caso di specie possa dirsi che il trattamento di dati è legittimo in quanto necessario per l’esecuzione del contratto tra l’utente e Facebook.

Ebbene, tale condizione è soddisfatta solo a condizione che il trattamento sia oggettivamente indispensabile per realizzare una finalità facente parte integrante della prestazione contrattuale destinata a detti utenti, in modo tale che l’oggetto principale del contratto non potrebbe essere raggiunto in assenza di tale trattamento. Inoltre, se un contratto offre vari servizi o elementi separati che possono essere forniti indipendentemente, la necessità del trattamento dei dati deve essere valutata per ciascun servizio o per ciascun elemento del servizio.

Meta sostiene in particolare che il trattamento dei dati sarebbe necessario per offrire all’utente la personalizzazione dei contenuti e per garantire l’uso integrato dei servizi offerti (Facebook, Instagram etc.).

A tale riguardo la Corte ritiene che, anche se la personalizzazione può migliorare l’esperienza dell’utente, mostrandogli contenuti pertinenti ai suoi interessi, essa non pare essenziale per fornire i servizi di Facebook. Potrebbero esistere alternative che offrono gli stessi servizi senza personalizzazione.

Secondo Meta la giustificazione del trattamento per esigenze contrattuali sarebbe sostenuta dalla necessità di garantire l’utilizzo omogeneo e fluido dei servizi propri del gruppo Meta, ma la Corte sottolinea che un utente non è tenuto a sottoscrivere i diversi servizi proposti da Meta per poter creare un account Facebook. Tali servizi infatti possono essere utilizzati indipendentemente gli uni dagli altri e ciascuno di essi si basa sulla sottoscrizione di un contratto d’uso distinto. Ed allora l’uso integrato dei servizi di Meta non può ritenersi necessario all’esecuzione del contratto tra l’utente e Facebook.

La Corte verifica a questo punto se possa affermarsi che il trattamento effettuato da Meta è lecito in quanto sorretto dalla base giuridica del legittimo interesse del titolare.

Sul punto la Corte premette che il legittimo interesse sussiste solo se sono soddisfatte congiuntamente tre condizioni:
• la sussistenza di un legittimo interesse del titolare del trattamento o di terzi che deve essere dichiarato in modo specifico all’utente al momento della raccolta dei dati;
• la necessità del trattamento per la realizzazione del legittimo interesse menzionato nel rispetto del principio di “minimizzazione dei dati” dell’art. 5 del GDPR, che afferma che i dati personali oggetto del trattamento devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati»;
• il bilanciamento degli Interessi: gli interessi e i diritti dell’interessato non devono avere la prevalenza sul legittimo interesse del titolare del trattamento o di terzi. Una particolare attenzione deve essere prestata quando l’interessato è un minore, specialmente per quanto riguarda il marketing o la creazione di profili.

Fatta tale premessa la Corte passa alla verifica della sussistenza dei legittimi interessi prospettati da Facebook-Meta:
• personalizzazione della pubblicità: a tale riguardo la Corte afferma che, come rilevato al considerando 47 del GDPR, la personalizzazione della pubblicità costituisce un legittimo interesse. Ciò nondimeno, l’utente di Facebook non può ragionevolmente attendersi che, senza il suo consenso, il titolare tratti i suoi dati personali a fini di personalizzazione della pubblicità. In tali circostanze, si deve ritenere che i diritti fondamentali e gli interessi dell’utente prevalgano sull’interesse del titolare alla personalizzazione della pubblicità mediante la quale si finanzia. Inoltre, nel caso concreto, il trattamento è particolarmente esteso, giacché verte su dati potenzialmente illimitati e ha un notevole impatto sull’utente, di cui Meta controlla la quasi totalità delle attività online, il che può suscitare in quest’ultimo la sensazione di una continua sorveglianza della sua vita privata;
• sicurezza del network: è un legittimo interesse di Meta come stabilito anche dal considerando 49 del GDPR. Tuttavia, è essenziale valutare se ci sono altri metodi meno invasivi per raggiungere lo stesso obiettivo e se viene rispettato il principio di minimizzazione dei dati;
• miglioramento del prodotto: la Corte afferma che non si può escludere a priori che l’interesse del titolare del trattamento a migliorare il suo prodotto o servizio al fine di renderlo più performante e quindi più attrattivo possa costituire un legittimo interesse idoneo a giustificare un trattamento di dati personali e che un siffatto trattamento possa essere necessario per il perseguimento di tale interesse. Tuttavia, è dubbia la prevalenza dell’interesse del titolare sui diritti dell’utente, tenuto conto della portata di tale trattamento e del suo notevole impatto sull’utente, nonché della circostanza che quest’ultimo non possa ragionevolmente attendersi che tali dati siano trattati da Meta. Tali considerazioni valgono a maggior ragione nel caso in cui l’utente sia un minore.
• informare le autorità competenti in materia di illeciti penali: con riferimento a tale circostanza la Corte afferma che un’azienda privata come Meta non può giustificare il trattamento dei dati per informare le autorità giudiziarie, poiché ciò è estraneo alla sua attività principale e dunque non costituisce per essa un interesse legittimo. Tale trattamento potrebbe essere giustificato solo se fosse necessario per adempiere a un obbligo legale.

La Corte passa poi ad esaminare le condizioni di validità del consenso richiesto all’utente da Facebook. A tale proposito, se è pur vero che la posizione dominante di Facebook nel mercato dei social network non costituisce di per sé un ostacolo alla validità del consenso, è tuttavia importante considerare che tale posizione dominante può influenzare la libertà di scelta degli utenti e creare uno squilibrio evidente tra loro e l’operatore stesso e sarà comunque il titolare (Facebook) a dover fornire la prova della validità e libertà del consenso.

Nel dettaglio, è fondamentale che gli utenti abbiano la possibilità di dare il consenso non in blocco ma per le specifiche operazioni di trattamento (cd. granularità del consenso) ed a maggior ragione per il caso di raccolta di dati off Facebook.

Inoltre, gli utenti non devono essere costretti a rinunciare completamente all’utilizzo del social network laddove non intendano dare il proprio consenso a trattamenti di dati non necessari all’esecuzione del contratto. Facebook dovrà in questi casi offrire un’alternativa equivalente, a pagamento, che non implichi tali operazioni di trattamento.

Come si è cercato di illustrare, la sentenza in esame ha delineato princìpi di diritto di grande interesse. Da una parte, la Corte ha chiaramente definito le circostanze in cui risulterà legittimo un controllo incidentale (e dunque diffuso) sul GDPR da parte delle autorità garanti diverse da quelle di controllo sulla protezione dei dati personali. Dall’altro lato, l’esclusione netta delle basi giuridiche alternative al consenso dell’interessato ha già spinto Meta verso un cambio radicale di strategia. Pochi giorni dopo la pronuncia Meta ha infatti annunciato quello che pare un graduale passaggio, a partire dalla cd. pubblicità comportamentale, dalla base giuridica dell’interesse legittimo a quella del consenso dell’utente-interessato.