l'analisi

GDPR, tutela della concorrenza e dei consumatori: le linee guida EDPB sui servizi online

Portata e implicazioni delle linee guida del Gruppo europeo di protezione dati (EDPB) dedicate ai servizi online, ma con importanti indicazioni sul rapporto tra il GDPR e le altre norme a tutela della concorrenza e dei consumatori

03 Mag 2019
Franco Pizzetti

professore emerito in diritto costituzionale, Università di Torino, ex Garante Privacy


I problemi di tutela della concorrenza e dei consumatori sono sempre più intrecciati con quelli della tutela dei dati personali, in una realtà nella quale sempre più la competizione nell’economia digitale deve fare i conti col GDPR e viceversa.

Si inseriscono pertanto in questa prospettiva le importanti “Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects”, adottate il 9 aprile 2019 dal Gruppo europeo di protezione dati (EDPB) e attualmente sottoposte a consultazione pubblica per la durata di sessanta giorni, al termine dei quali è del tutto ragionevole attendersi che esse, con le modificazioni che potranno rendersi opportune, siano adottate in via definitiva.

Le implicazioni di queste linee guida, come vedremo, vanno molto oltre il loro stesso oggetto. Esse, infatti, appaiono con tutta evidenza in piena sintonia con la spinta, che emerge sempre più chiaramente nel contesto europeo, a collegare strettamente la normativa di protezione dati (GDPR) con altre leggi di settore che incidono egualmente sul rapporto tra l’erogazione dei servizi online (e dunque i loro fornitori) e gli utenti destinatari di tali servizi.

Il contratto come base di legittimazione dei trattamenti

Le Linee guida 2/2019 sono state adottate dallo EDPB sulla base dell’art. 70(1)(e), che consente al Gruppo europeo di protezione dati di adottare, anche di propria iniziativa, linee guida per promuovere l’applicazione coerente del GDPR.

Allo stesso tempo, e proprio anche in questa prospettiva, tutto il documento è ispirato a imporre una visione strettamente rigorosa dell’applicazione dell’art. 6(1)(b), e cioè del contratto come base di legittimazione dei trattamenti, quando i dati personali dell’interessato (utente) siano trattati dal titolare (fornitore) nell’ambito di un servizio online.

Esse devono dunque ritenersi vincolanti anche per tutte le Autorità nazionali, costituendo un parametro in base al quale verificare la corretta applicazione dell’art. 6(1)(b) quando si tratti di trattamenti di dati personali basati su contratti per la fornitura di servizi online.

Le linee guida, pur dedicate ai servizi online, contengono infatti una serie di precisazioni relativamente alla corretta applicazione del contratto quale base di legittimazione dei trattamenti che assumono un valore generale rispetto ad ogni trattamento che si fondi, appunto, sul contratto.

Infine, come si vedrà nell’ultima parte, queste Linee guida contengono affermazioni importanti circa il rapporto tra il GDPR e le altre normative regolatrici che disciplinano l’attività contrattuale nell’ambito della fornitura di servizi online o, più in generale, nell’ambito della economia digitale. Aspetto questo che vale anche, e in particolare, per le legislazioni antitrust e quelle a tutela dei consumatori.

La struttura delle linee guida

Merita inoltre sottolineare che anche queste Linee guida, come già quelle relative ai Codici di condotta adottate il 1° febbraio 2019 (Guidelines 1/2019), sono strutturate secondo una tecnica graficamente e sostanzialmente diversa dalle precedenti Opinions e Guidelines del Working party 29 e dello stesso EDPB.

Con questi due primi provvedimenti del 2019, infatti, sembra che lo EDPB abbia deciso di adottare la tecnica della enumerazione progressiva dei paragrafi, alla quale corrisponde lo sforzo di costruire ogni paragrafo come una serie di proposizioni coordinate e coerenti, destinate a stabilire “punti fermi” omogenei.

In sostanza la tecnica scelta è la medesima che da sempre presiede alla redazione e alla elencazione dei Considerando che precedono le Direttive e i Regolamenti UE. Tecnica, questa, che rafforza in modo decisivo l’efficacia vincolante di ciascun paragrafo e delle decisioni dello EDPB nel loro complesso, proprio perché l’articolazione in paragrafi omogenei rafforza il carattere di norme di soft law, proprio di questi tipi di provvedimenti.

Le Linee guida sono divise in tre parti:

  • Introduzione;
  • Analisi dell’art. 6(1)(b);
  • Applicabilità dell’art. 6(1)(b) in situazioni particolari.

Le tre parti insieme contengono 54 paragrafi.

In questa sede ci si limita a sottolineare solo i punti più importanti, raccomandando tuttavia una lettura completa e attenta dell’intero testo. È chiaro, infatti, che con queste Linee guida lo EDPB ha inteso stabilire criteri in materia di corretta applicazione dell’art. 6(1)(b) che vanno anche oltre i servizi forniti online.

Conformità dei trattamenti al GDPR

Il primo, e più importante, principio è quello contenuto nel paragrafo 1. Si ribadisce, infatti, che, in conformità all’art.8 della Carta dei diritti fondamentali della UE, i trattamenti dei dati personali sono conformi al GDPR solo in quanto siano posti in essere per finalità determinate e specifiche e in virtù di una base di legittimità che li consenta.

Proprio a tal fine il paragrafo n.1 richiama l’art. 6, ricordando che esso individua sei diverse basi di legittimità dei trattamenti, ciascuna delle quali contrassegnata da una delle lettere che vanno da a) ad f).

Di conseguenza è essenziale identificare correttamente, rispetto a ciascun trattamento di dati che si voglia porre in essere, quale è in concreto, tra quelle indicate da questa norma, la base di legittimità che lo giustifica. Si tratta di un punto che il paragrafo in esame considera “of essential importance”, tanto che specifica:

“Controllers must take into account the impact on data subjects’ right when identifying the appropriate lawful basis so as to fully respect the principle of fairness”.

Per rafforzare l’importanza di questo principio le Linee guida ricordano che la base legale dei trattamenti incide anche sui diritti dell’interessato, come la portabilità dei dati, e, soprattutto, comporta che il titolare, una volta identificata la base legale del trattamento, non possa, nel corso di tale attività, “to swap between one lawful basis and another” (cfr. nota 21 e il richiamo alle Guidelines on consent under Regulation 2016/679 del Working party n.259, fatte proprie dallo EDPB).

A prima vista potrebbe sembrare che si tratti della riaffermazione di un principio ovvio e chiarissimo.

Il rilievo sempre più centrale dei servizi online

Il richiamo a questo principio assume però un articolare rilievo rispetto ai servizi online perché, come dice il successivo paragrafo 4, nel quadro dello sviluppo della legislazione europea legata all’economia digitale, della quale fa parte intrinseca anche il GDPR, questi servizi assumono un rilievo sempre più centrale.

Caratteristica di questi servizi, infatti, è che il fornitore può essere remunerato in denaro o invece che la prestazione può essere a titolo gratuito per l’utilizzatore, a seconda del contenuto del contratto. In entrambi i casi e, a maggior ragione nel secondo, è possibile, per non dire normale, che i dati forniti dall’utilizzatore interessato, sia per stipulare il contratto sia per utilizzare i servizi che ne sono l’oggetto, comportino da parte del fornitore trattamenti, anche “massivi”, di dati per finalità diverse da quelle indicate nel contratto stipulato dall’utente.

E’ proprio tenendo presente questi aspetti, particolarmente evidenti e diffusi nell’ambito dei servizi online, lo EDPB ha adottato le Linee guida in esame. Il loro scopo principale, infatti, è proprio quello di chiarire che se la base di legittimità del trattamento è il contratto ex art.6(1)(b), i dati dell’interessato che possono essere oggetto di trattamento sono solo, e unicamente, quelli “strettamente e necessariamente” connessi alla stipulazione e all’esecuzione del contratto stesso, ivi compresi quelli necessari per assicurare il servizio fornito.

In nessun caso, invece, il contratto, se assunto come base di legittimazione dei trattamenti ex art. 6(1)(b) può giustificare che i dati siano trattati, senza specifico consenso informato, per altre finalità diverse, tanto meno per quelle connesse a trarre dai trattamenti, compresa la profilazione e il marketing indiretto, che compensi la gratuità dei servizi forniti.

E’ ben noto che, in linea generale, quale che sia la base di legittimità di questi ulteriori trattamenti essi sono legittimi solo solo se l’utente è informato che i suoi dati saranno trattati anche per altre finalità diverse da quelle connesse al servizio oggetto specifico del contratto. Infatti, in assenza di adeguata informativa, chiaramente comprensibile e adeguatamente esaustiva, questi trattamenti sono comunque illegittimi perché gli utenti non possono comunque esercitare il controllo sui loro dati ed esercitare i diritti relativi.

Tuttavia il punto essenziale di queste Linee guida non riguarda la informativa, essendo scontato che essa, anche nel caso del contratto, deve sempre essere adeguata ed esaustiva.

Contratti e altre basi di legittimità

Il principio essenziale affermato in questo provvedimento riguarda un aspetto ben più importante, e cioè che il contratto può costituire base legittima dei trattamenti dei dati dell’interessato solo in quanto essi siano strettamente e assolutamente necessari per dare esecuzione al contratto stesso e per assicurare all’utente il servizio che ne è oggetto.

Anche ove gli ulteriori trattamenti dei dati che il titolare si riserva di fare possano costituire implicitamente una sorta di “giusto compenso”, per i servizi forniti a titolo gratuito o a prezzo contenuto, mai il contratto in sé può essere considerato come una base di legittimità adeguata a tal fine e mai, dunque, si può ricorrere all’art.6(1)(b).

Lo EDPB non nega affatto che i dati forniti dall’utente, o in sede di stipulazione del contratto o per l’utilizzo dei servizi che ne sono oggetto, possano essere legittimamente trattati dal titolare anche per ulteriori finalità, diverse da quelle oggetto del contatto quali la profilazione, o la creazione di dati aggregati, utili per finalità di Data Analysis o per altre finalità, anche legate all’Intelligenza artificiale o all’Internet delle cose.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Così come, pur affermando che i dati personali, in quanto oggetto del diritto fondamentale di cui all’art. 8 della Carta dei diritti, non possono mai essere considerati e trattati come moneta o merce di scambio, non nega che un interessato possa consentire che i suoi dati personali possano essere trattati per finalità ulteriori e diverse da quella oggetto del contratto (cfr. in particolare paragrafo 51).

Lo EDPB afferma però che qualora si vogliano trattare i dati personali dell’interessato per finalità diverse da quelle strettamente connesse al contratto, è necessario che il titolare del trattamento, anche tenendo conto dei principi di liceità, correttezza e trasparenza affermati nell’art. 5(1) e del principio di finalità specificato nell’art. 5(2), individui altre basi di legittimità, diverse da quella di cui all’art. 6(1)(b).

Tali basi potranno essere, a seconda dei casi, l’art. 6(1)(a) o l’art. 6(1)(f) o specifici obblighi imposti da leggi.

Inoltre, se i trattamenti ulteriori rispetto alle strette finalità oggetto del contratto sono basati sul consenso, il titolare dovrà tener conto dei principi affermati dal WP29 nelle già citate Linee guida del 10 aprile 2018 (WP n. 259).

Se, invece, il titolare assume di poter svolgere gli ulteriori trattamenti sulla base dell’art. 6(1) (f), e cioè del legittimo interesse, dovrà tener presente il Parere del WP29 n. 6/2014 su “la nozione di legittimo interesse del titolare sotto l’articolo 7 della Direttiva 95/46” che lo EDPB fa parimenti suo, citandolo espressamente nelle Linee guida in esame.

Va da sé anche che, ove il fornitore/titolare intenda trattare i dati personali dell’utente col quale stipula un contratto di servizi online anche per finalità ulteriori e diverse, non riconducibili a quelle strettamente connesse al rapporto contrattuale, dovrà darne esplicita e separata informativa all’utente. Costui, qualora la base di legittimità invocata sia il consenso, potrà sempre negarlo, mentre nel caso in cui la base di legittimità sia l’interesse legittimo o obblighi di legge potrà sempre contestare la legittimità dei trattamenti ove, a suo giudizio, non siano conformi alle basi indicate, o potrà rinunciare a sottoscrivere il contratto, evitando quindi in radice che i suoi dati siano trattati per tali ulteriori finalità.

Servizi online offerti ai minori

Lo EDPB specifica inoltre, a ulteriore chiarimento del contenuto di queste Linee guida, che nei casi dell’art. 8 del GDPR, relativo ai servizi online offerti ai minori, il ricorso al contratto come base di legittimità è subordinato allo stretto rispetto della normativa nazionale di adeguamento.

E’ a tale legislazione infatti che occorre guardare per definire, in combinato disposto con l’art. 8 del GDPR, quale sia l’età che il minore deve avere per poter contrarre da solo, e quando invece occorra l’intervento di chi esercita la responsabilità genitoriale. Resta fermo inoltre che comunque la informativa da dare nel caso in cui il contratto riguardi minori deve corrispondere non solo ai principi degli artt. 5, 12,13,14 ma anche alle specificazioni contenute nell’art. 8 (sul punto si veda in particolare il paragrafo 13).

E’ chiaro inoltre che alle scelte compiute dal legislatore nazionale ex art. 9, paragrafo 2 si dovrà guardare anche per stabilire su quali basi di legittimità, diverse comunque dall’art.6(1)(b), i dati che rientrano nelle categorie particolari di cui all’art. 9 possono essere trattati.

Resta fermo comunque che il contratto in quanto tale non è ricompreso nelle basi di legittimità indicate dall’art. 9,2 che possono giustificare il superamento dell’obbligo del consenso, se previsto dalle leggi nazionali.

Di conseguenza il contratto non potrà mai costituire la base di legittimità dei trattamenti di queste categorie di dati ex art. 6(1)(b). Esso potrà solo operare solo come strumento giuridico utilizzabile per finalità e trattamenti che trovino fondamento in una delle basi elencate nel secondo paragrafo dell’art.9 come attuato nell’ambito dell’atto di adeguamento di ciascun Paese (cfr. paragrafo 21).

La valutazione anticipata della corretta base di trattamento

La “costruzione giuridica” che è alla base delle Linee guida in questione, e che è giustificata in particolare dalla complessità e delicatezza dei trattamenti di dati personali nell’ambito dei servizi online (cfr. paragrafi 4 e 5), porta con sé un altro profilo di particolare rilievo.

L’importanza che queste Linee guida attribuiscono alla corretta individuazione della base di legittimità dei trattamenti dei dati personali, in particolare riguardo a quelli basati su contratti, spinge lo EDPB ad affermare che è necessario che il titolare individui la corretta base di legittimazione dei trattamenti che intende porre in essere “before the processing commences”.

Dunque queste Linee guida richiedono una sorta di valutazione necessaria “anticipata”, relativa non alla valutazione di rischio di cui agli artt. 24 e 36, ma alla individuazione della corretta base di legittimità del trattamento.

Questa valutazione “anticipata” deve “precedere” non solo l’avvio stesso del trattamento ma anche la stessa proposta contrattuale e, a maggior ragione, la stipula del contratto definitivo.

Infatti, ove i trattamenti che il titolare intende porre in essere si basino solo ed esclusivamente sul contratto ex art. 6(1)(b) egli deve chiarire “what happens if the contract is terminated”.

Per dare una informazione corretta si deve tener conto che se il contratto ha termine per cause diverse dalla violazione del GDPR ciò non comporta che i trattamenti fino a quel momento effettuati siano illegittimi. Al contrario, se il contratto comporta il trattamento di dati non strettamente necessari alla sua esecuzione e alle finalità contrattuali, allora tali trattamenti sono per ciò stesso in ogni caso illegittimi. Il che comporta di conseguenza l’obbligo di cancellazione dei dati.

Il fatto che le Linee guida in questione impongano una valutazione preventiva della base di legittimità che si assume a fondamento del trattamento dei dati in modo che sia possibile, prima della stipulazione del contratto, dare una informativa adeguata relativa ai trattamenti di tali dati ove la legittimità del contratto venga meno per motivi diversi dalla violazione del GDPR è molto importante.

E’ chiaro che nel caso in esame questo obbligo vale per i contratti relativi a servizi online, ma la formulazione adottata nel paragrafo 38 delle Linee guida pare avere una portata assai più ampia. In sostanza sembra che lo EDPB colga l’occasione di queste Linee guida, relative a un settore così delicato come i servizi online, per affermare un principio destinato a valere anche per qualunque trattamento basato sul contratto ex art. 6(1)(b).

Il titolare deve dunque individuare la base di legittimità che ritiene lo autorizzi a svolgere trattamenti di dati personali “prima” di iniziare i trattamenti “anche” per poter dare all’interessato una adeguata informativa in merito agli effetti che l’eventuale venir meno di tale base di legittimità potrà avere sui dati che lo riguardano.

Si tratta di un aspetto pienamente coerente anche con l’art. 24, che non a caso comporta l’obbligo per il titolare di valutare i rischi e le misure da adottare “prima” di iniziare i trattamenti.

Il paragrafo 38 va però oltre questo profilo, mai messo in discussione. Esso infatti afferma che, almeno nel caso del contratto, la valutazione ex ante diventa essenziale – questo è il punto “nuovo”- anche per dare all’interessato una informativa completa circa gli effetti che il venir meno della legittimazione al trattamento o l’esaurirsi, per qualunque causa, del rapporto contrattuale che lo legittima, hanno sui dati personali che sono stati oggetto di trattamento.

Gdpr, competitività e tutela dei consumatori

Merita ora aprire una finestra sul rapporto che, secondo queste Linee guida, lega il GDPR a tutta l’amplissima regolazione europea relativa alla società e all’economia digitale e, in particolare, alla legislazione a tutela della competitività e quella a tutela di consumatori.

Si tratta di un aspetto specificamente sottolineato al paragrafo 8, laddove si dice che:

“data protection rules govern important aspects of how online services interact with their users, however, other rules apply as well. Regulation of online services involves cross-functional responsabilities in the fields of, inter alia, consumer protection law and competion law”.

Ovviamente, al medesimo paragrafo, si precisa anche che:

“Considerations regarding these fields of law are beyond the scope of these guidelines”, ma intanto si potrebbe dire che “il sasso è lanciato”.

Il successivo paragrafo 9 specifica inoltre che:

“Although Article 6(1)(b) can only apply in a contractual context, these guidelines do not express a view on the validity of contracts for online services generally, as this i outside the competence of the EDPB.

Nonetheless, contracts and contractual terms must comply whit the requirement of contract laws and, as the case may be for consumer contracts, consumer protection laws in order for processing based on those terms to be considered fair and lawful”.

Gdpr e validità dei contratti

Il punto fondamentale consiste proprio nel fatto che le Linee guida si applicano solo ai rapporti che si basino su contratti validi, e dunque, inevitabilmente, la validità del contratto, misurata sulla base delle norme che lo disciplinano, diventa prerequisito essenziale perché i trattamenti di dati necessari per assicurare agli users i servizi online possano basare la loro legittimità sull’art. 6(1)(b).

Allo stesso tempo, poiché i contratti che sono alla base dei servizi offerti, per essere validi devono essere anche “fair and lawful”, è possibile fare un passo avanti e andare oltre il punto sul quale le Linee Guida in esame si fermano.

Pare ragionevole affermare che se il contratto tra il fornitore del servizio e gli users non rispetta la normativa di protezione dei dati personali, allora è il contratto stesso che potrebbe essere invalido perché stipulato in violazione del GDPR e dunque in modo “unfair and lawless”.

Le Linee guida non arrivano a questa conclusione, anche se ci vanno vicinissime, quando, al paragrafo 10, sottolineano che:

“Controllers must always ensure that they comply with the data protection principles set out in Article 5 an all other requirements of the GDPR and, where applicable, the ePrivacy legislation”.

Questa ulteriore aggiunta, infatti, rende chiaro che il contratto che sta alla base del rapporto tra fornitore di servizi online e users e che giustifica il trattamento dei dati personali ex art. 6(1)(b), può essere considerato “unfair and unlawful” solo se rispetta integralmente tutte le norme contenute nel GDPR, e in particolare i principi stabiliti nell’art.5.

In sostanza, i paragrafi 8, 9 e 10, sottolineano, ciascuno da punti di osservazione diversi, lo stretto intreccio tra il GDPR e le leggi di settore che possono disciplinare i contratti e, in particolare, le leggi a tutela dei consumatori e della concorrenza.

Il ragionamento che sottostà a queste considerazioni, che pure lo EDPB non esplicita perché lo ritiene allo stato non “maturo”, sembra essere il seguente: poiché invocare l’art. 6(1)(b), che individua nel contratto la base di legittimità dei trattamenti dei dati necessari a fornire il servizio, implica l’esistenza di un contratto pienamente valido e “fair”, se esso contrasta con altre leggi, come la concorrenza o la tutela dei consumatori, ovvero non è “compliant” con altri principi del GDPR, allora è lo stesso contratto base a non essere valido, anche perché comunque non “fair”. Di conseguenza, esso non può essere considerato una adeguata base di legittimità dei trattamenti di dati. Ne consegue che anche i trattamenti di dati fatti sulla base di un contratto invalido sono di per sé privi di base di legittimazione e quindi in contrasto col GDPR.

E’ ovvio che la costruzione logica e giuridica che sottostà a questi paragrafi è particolarmente complessa e non priva di qualche criticità.

Del resto lo stesso EDPB in altra parte delle Linee guida distingue tra un contratto “diventato” invalido, che di per sé non rende illegittimi i trattamenti di dati svolti fino al momento del sorgere della invalidità, e trattamento illegittimo di dati pur nell’ambito di un contratto valido, che invece è causa di illiceità dei trattamenti fin dall’inizio.

Il provvedimento contro Facebook in Germania

Tuttavia è proprio sulla base dell’inevitabile, ed evidente, intreccio tra GDPR e la legislazione a tutela della competitività. che il 6 febbraio del 2019 la FCO tedesca, (Federal Cartel Office, in inglese; Bundeskartellamt, in tedesco; Autorità anti trust, in italiano) ha ritenuto illegittimo per violazione della sezione 19(1), 32 GWB il comportamento tenuto da Facebook nei confronti degli utenti dei servizi ad esso facenti capo, in particolare Whatsapp, Oculus, Masquerade and Instagram.

Il provvedimento adottato dalla FCO il 6 febbraio 2019 è stato oggetto di un ampio Case Summary pubblicato sul sito della FCO il 15 febbraio, intitolato “Facebook, Exploitative businness terms pursuant to Section 19(1) GWB for inadequate data processing”.

Stando a quanto riportato in questo Case Summary, la illiceità dei trattamenti dei dati personali accertata dalla FCO si basa anche sulla violazione delle norme di protezione dati contenute nel GDPR. La violazione riguarda il fatto che Facebook raccoglieva e collazionava i dati degli utenti dei diversi servizi ad esso facenti capo, offerti separatamente agli utenti, senza aver dato ad essi adeguata informazione. Tali trattamenti avvenivano dunque sulla base di contratti non leciti, anche rispetto al Codice di commercio tedesco, per mancanza di adeguata informativa (e della necessaria “fairness”) da parte del fornitore nei confronti del contraente utilizzatore dei servizi. Allo stesso tempo, essi erano illeciti anche perché agli utenti non era data adeguata informativa ai sensi dell’art. 13 del GDPR. Inoltre, poiché i trattamenti avvenivano sulla base di contratti invalidi perché in contrasto col Codice del Commercio tedesco, essi non potevano poggiare sull’art. 6(1)(b), senza trascurare che, per le modalità adottate, essi erano svolti anche in contrasto coi principi basici dell’art. 5 del GDPR.

In sostanza la violazione commessa da Facebook quale titolare dei dati trattati per fornire i diversi servizi oggetto di separati contratti, è consistita nell’aver utilizzato i dati degli interessati con modalità che non si sono limitate a garantire i singoli servizi, per i quali la base contrattuale sussisteva, ma si sono estese a perseguire finalità non riconducibili in alcun modo né ai singoli contratti né ai singoli servizi. Di qui la illiceità di tali trattamenti anche rispetto al GDPR, per violazione sia dell’art. 6(1)(b) che dell’art. 5.

A sua volta, sempre secondo la decisione della FCO del 6 febbraio 2019 come riassunta nel Case Summary del 15 febbraio, tale illiceità dei trattamenti ha determinato anche la violazione delle regole di trasparenza e correttezza richieste dalla legislazione tedesca in materia di tutela della competitività, giustificando di conseguenza la violazione della Section 19(1) dell’art. 32 del Codice di commercio tedesco (GWB).

Non solo: la FCO afferma esplicitamente che “the violation of data protection requirements founds is a manifestation of Facebook’s market power. According to the case-law it is not necessary to determine that the conduct, i.e. the violation, was only possible in the first place because of market dominance and the other market participants did not have a chance to behave in a similar way. Instead, it is sufficient to determine that the two aspects are linked by a causality which is either based on normative aspects or the outcome. Both aspects can be assumed to be fulfilled in this case. Normative causality with regard to the violation of data protection rules exists as the restriction of the private users’ right to self-determination is clearly linked to the Facebook dominant position”.

La FCO esamina poi gli aspetti connessi alla posizione dominante di Facebook nel mercato e quelli legati alle violazioni del GDPR per concludere che:

“As Facebook is a dominant company users cannot protect their data from being processed from a large number of sources, i.e. they cannot decide autonomously on the disclosure of their data. However, it must be ensured that the interests of the opposite market side are sufficiently considered if a provider is a dominant company which is not subject to sufficient competitive control. The terms and conditions under review have a considerale reach as Facebook’s market power extends beyond its social network and consumers’ data are collected whenever they use the internet. While the efficiencies of a data-driven business model for consumers are generally acknowledged, the outlined extent of data processing is to be deemed inappropriate and hence abusive”.

Al termine di questa complessa analisi la FCO non adotta sanzioni nei confronti di Facebook ma impone alla società di adeguare il suo modello di business a quanto previsto dalla Sezione 19(1) dell’art. 32 del GWB, cessando immediatamente dal continuare i trattamenti in atto che costituiscono violazione della norma citata. Dà inoltre un termine di quattro mesi a Facebook per presentare alla FCO una roadmap relativa alla implementazione dei provvedimenti da adottare per corrispondere a quanto imposto dalla decisione.

La decisione della FCO è appellabile alla Dusseldorf Higher Regional Court, cosa che Facebook ha immediatamente fatto.

Si tratta dunque di una vicenda ancora aperta e sulla quale si avrà ancora ampio modo di tornare.

Quello che conta però è che questa decisione è la prima che collega strettamente e direttamente la violazione di normative a tutela della concorrenza con la violazione del GDPR, in particolare con riferimento ai rapporti tra fornitori di servizi e utenti basati sul contratto e dunque sostanzialmente sull’art. 6(1)(b).

Anche per questo le Linee guida adottate dallo EDPB il 9 aprile 2019 sono così importanti.

E’ difficile, infatti, non pensare che tra il provvedimento della FCO e le linee guida dello EDPB vi sia una qualche assonanza di fatto. Del resto da tempo sia il Supervisore europeo di protezione dati Giovanni Buttarelli (EDPS), sia la Vicepresidente della Commissione Margrethe Vestager, Commissaria per la concorrenza, hanno segnalato come nella economia digitale sia inevitabile una più stretta connessione fra sistemi regolatori apparentemente distinti, ma tutti connessi dall’esigenza di tutelare i valori fondanti della “rule of law” e dei diritti fondamentali sanciti dalla Carta dei diritti dell’Unione, e in particolare, in questo caso, l’art. 8, relativo alla protezione dei dati personali e l’art. 16, relativo alla libertà di impresa.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articoli correlati