Concorrenza e privacy nei mercati digitali: quali strategie per l’UE

Le molteplici interazioni tra protezione dei dati personali e concorrenza

La teoria prevalente riguardo al rapporto tra protezione dei dati personali e tutela della concorrenza è che esse siano complementari e giovino l’una all’altra. Del resto, se si pensa alla disciplina dettata dal Regolamento generale sulla protezione dei dati (GDPR) – come ai principi di liceità, trasparenza, limitazione della finalità, minimizzazione, sicurezza, ai requisiti di validità del consenso (che dev’essere libero, specifico, informato, inequivocabile, sempre revocabile con la stessa facilità con cui è stato prestato), al divieto generale di raccolta di dati sensibili, ai limiti cui è soggetta la profilazione – risulta chiaro che, se le multinazionali del web rispettassero pienamente queste regole, esse non potrebbero raccogliere in massa dati personali, usarli per le finalità piú disparate, combinare i dati detenuti dalle varie società del gruppo e quelli di terze parti, profilare gli utenti al di fuori delle condizioni poste dal RGPD o anche dalla Direttiva relativa alla vita privata e alle comunicazioni elettroniche (‘Direttiva e-Privacy’)[8]… Quindi, tali multinazionali avrebbero un potere piú limitato sui dati degli utenti e potrebbero sfruttarli per accrescere la propria posizione nei vari mercati in cui operano.

Tuttavia, i limiti alla raccolta e uso dei dati personali poc’anzi menzionati, in presenza di mercati digitali già fortemente concentrati, con un numero limitato di operatori economici che controllano masse di dati (anche personali), rischiano di ostacolare l’ingresso in tali mercati da parte di nuove imprese, che non potrebbero accedere alle raccolte di dati esistenti. In tal modo, gli attuali titolari dei dati manterrebbero un monopolio sugli stessi.

Il diritto alla portabilità dei dati

Per contro, il diritto alla portabilità dei dati (ossia di trasferire i dati personali da un fornitore di servizi ad un altro, senza alterarne il contenuto) riconosciuto agli interessati dal RGPD[9] promuove l’interoperabilità del formato dei dati[10], che consente ai consumatori di cambiare fornitore di servizi senza impedimenti. In tal modo, il diritto alla portabilità rappresenta un importante strumento a supporto della libera circolazione dei dati personali nell’UE e della concorrenza fra i titolari[11].

Se, invece, vi fosse concorrenza nei mercati digitali, le imprese che vi operano sarebbero incentivate a conquistare la fiducia degli utenti per ottenere i loro dati, offrendo garanzie di tutela adeguata dei diritti degli interessati.

In altri termini, se gli utenti avessero la possibilità di scegliere tra prodotti e servizi offerti da molteplici imprese ‘hi-tech’, essi non sarebbero costretti ad accettare modalità di trattamento dei loro dati poco trasparenti o non necessarie per la fruizione dei prodotti e servizi da essi richiesti. Essi avrebbero, cioè, la possibilità di negare il consenso ad alcuni trattamenti dei loro dati, senza dover rinunciare a ricevere un determinato prodotto o servizio.

Viceversa, in assenza di concorrenza, gli utenti devono rinunciare ai diritti sui loro dati per non vedersi precluso l’accesso ai prodotti e servizi tecnologici/digitali che sono diventati indispensabili per molteplici attività della vita quotidiana (secondo la logica del ‘take it or leave it’).

Quindi, una maggiore concorrenza tra i titolari dei dati raccolti mediante prodotti e servizi potrebbe giovare alla tutela della privacy.

Il punto è, dunque, come promuovere la concorrenza sui mercati digitali.

Le considerazioni privacy nel controllo delle operazioni di concentrazione

Per quanto riguarda le concentrazioni tra imprese, la Commissione europea in vari casi ha tenuto in considerazione l’accumulo di dati che sarebbe potuto risultare da un’operazione[12].

Ad esempio, nell’esaminare la concentrazione tra Facebook (oggi Meta) e WhatsApp, la Commissione ha valutato se, a seguito dell’acquisizione, potesse limitare sensibilmente la concorrenza nel mercato della pubblicità online in quanto Facebook avrebbe potuto integrare i dati da essa raccolti mediante la piattaforma social media e l’app di messaggistica online con quelli detenuti da WhatsApp e usarli per offrire pubblicità personalizzata agli utenti, rafforzando la propria posizione su tale mercato[13]. La Commissione ha escluso che sussistesse tale rischio dato che, anche dopo l’operazione, sarebbe rimasto un numero sufficiente di fornitori alternativi di servizi pubblicitari online e inoltre vi erano vari fornitori di servizi online (come Google, Apple, Amazon, eBay, Microsoft, AOL, Yahoo!, Twitter, IAC, LinkedIn, Adobe e Yelp) che raccoglievano dati degli utenti utilizzabili a fini di profilazione e conseguente invio di messaggi pubblicitari ‘tailor-made’[14].

La Commissione ha sottolineato di aver analizzato la potenziale concentrazione di dati solo nella misura in cui potrebbe rafforzare la posizione di Facebook nel mercato della pubblicità online o in eventuali sottosegmenti dello stesso, mentre qualsiasi preoccupazione relativa alla privacy derivante dalla maggiore concentrazione di dati sotto il controllo di Facebook a seguito dell’operazione di concentrazione esulava dall’ambito del diritto della concorrenza dell’UE, ricadendo invece nell’ambito delle norme dell’UE sulla tutela dei dati personali.

In questo come in altri casi si può ipotizzare che, nella valutazione del rischio di una restrizione della concorrenza per effetto di un’operazione di concentrazione attuata dai grandi operatori del web con imprese concorrenti o comunque titolari di consistenti quantità di dati, abbiano giocato un ruolo rilevante i limiti imposti dalle norme privacy all’uso dei dati personali acquisiti per effetto dell’operazione. Le analisi di molte operazioni di concentrazione sembra essere stata influenzata dall’assunto che non sia facile rispettare condizioni necessarie, ai sensi delle norme sulla tutela dei dati personali, per poter legittimamente trasferire dati tra società del gruppo in modo da disporre di ingenti quantità di dati in tutti i mercati in cui opera il gruppo, rafforzando la propria posizione in ciascun mercato.

Sennonché l’enforcement delle norme sulla tutela dei dati personali non si è rivelato cosí efficace da avere l’effetto di precludere alle ‘big tech’ di raccogliere e usare i dati degli utenti in qualsiasi modo consenta loro di accrescere il proprio potere di mercato a scapito di concorrenti e consumatori. Un chiaro esempio di ciò è rappresentato dall’acquisizione da parte di Google (già allora il piú grande motore di ricerca al mondo) della società DoubleClick, che gestiva la piú grande piattaforma di pubblicità online al mondo. Molti stakeholders sia negli USA che in Europa hanno sostenuto che tale acquisizione avrebbe avuto effetti pregiudizievoli sia dal punto di vista della tutela della privacy che dal punto di vista della concorrenza sul mercato della pubblicità online. Infatti, combinando i dati raccolti da DoubleClick mediante il tracciamento dei ‘click’ degli utenti sugli annunci pubblicitari diffusi su internet con i dati detenuti da Google grazie alla cronologia delle ricerche degli utenti sul motore di ricerca, Google avrebbe potuto creare dei profili di consumatori che, per quantità, ampiezza e livello di precisione, non sarebbero stati eguagliabili da altri operatori attivi nella creazione di contenuti pubblicitari online e nella vendita di spazi per la pubblicità online. Inoltre, Google avrebbe potuto ostacolare i fornitori di servizi di pubblicità online (suoi concorrenti) sia nell’accesso agli spazi pubblicitari sulla piattaforma DoubleClick che nel posizionamento dei loro annunci pubblicitari, in modo da rafforzare la sua posizione nel mercato.

La Commissione europea ha ritenuto che la concentrazione Google/DoubleClick non ostacolasse in modo significativo una concorrenza effettiva nel mercato comune o in una parte sostanziale di esso[15]. Anche in questo caso la Commissione ha precisato che, ai sensi del diritto della concorrenza, essa ha deciso soltanto sulla questione se la fusione avrebbe qualche effetto negativo sulla concorrenza, mentre qualsiasi valutazione dal punto di vista della tutela della privacy era al di fuori del suo mandato legale.

Neanche la Federal Trade Commission (FTC) degli USA ha ritenuto contraria al diritto antitrust l’acquisizione di DoubleClick da parte di Google, data la presenza di operatori economici (come AOL e Yahoo) in grado di competere con Google nel mercato della pubblicità online[16].

Di fatto, a seguito della ‘merger’, è venuta meno l’intermediazione di terze parti (potremmo definirli brokers) nei rapporti tra venditori di spazi pubblicitari e inserzionisti online. Google ha acquisito il controllo sulla tecnologia che consente di fornire un servizio (la pubblicità online) che anche Google fornisce, potendo, cosí, ostacolare i suoi concorrenti per accrescere la sua quota di mercato[17]. In tal modo, la posizione di mercato nell’offerta di spazi pubblicitari online può rafforzare anche la posizione di Google sul mercato della vendita di pubblicità online.

Vi sono altri esempi di operazione di concentrazione che la Commissione europea non ha ritenuto problematiche dal punto di vista antitrust nonostante comportassero l’acquisizione da parte di un’impresa del controllo su dati utilizzabili per accrescere la propria posizione di mercato in uno o piú mercati digitali[18].

L’approccio della Commissione è stato criticato sotto vari punti di vista. Si è sostenuto che la Commissione avrebbe dovuto applicare la teoria del pregiudizio alla concorrenza tenendo conto delle caratteristiche dei mercati digitali o al fine di vietare le mergers tra imprese ‘hi-tech’ o al fine di subordinarne l’autorizzazione all’adozione di rimedi strutturali o comportamentali da parte delle imprese coinvolte nell’operazione o di quella risultante dalla fusione.

Questo approccio è comune a quello di altre autorità garanti della concorrenza. Come risulta da una discussione promossa dal Comitato della concorrenza dell’Organizzazione per la cooperazione e lo sviluppo economico (OCSE) sulla teoria del pregiudizio alla concorrenza nell’esame di concentrazioni tra imprese nei mercati digitali[19], nella gran parte dei casi, le preoccupazioni di fondo per le autorità garanti della concorrenza di vari Paesi appaiono simili a quelle sollevate dalle operazioni di concentrazione nei mercati più tradizionali, vale a dire, per quanto riguarda le concentrazioni ‘orizzontali’, i possibili danni alla concorrenza effettiva o potenziale tra le imprese coinvolte nell’operazione e, per le altre concentrazioni, gli ostacoli all’accesso ai fattori produttivi e il potenziale abuso del potere detenuto su un mercato in un altro mercato, mediante il ricorso a strategie commerciali come il ‘bundling’ o il ‘tying’[20].

Si auspica una migliore comprensione, nell’esaminare le mergers nei mercati digitali, dell’evolversi nel tempo dei modelli di business e delle strategie commerciali delle imprese ‘hi-tech’[21] e dalla perdita di ‘consumer welfare’ derivante dalla richiesta di dati eccessivi dagli utenti o nel deterioramento della tutela dei dati personali degli utenti[22].

Si ritiene che occorra affinare la teoria dell’ostacolo significativo alla concorrenza derivante dalle mergers negli ecosistemi digitali[23]. L’effetto anticompetitivo di una merger potrebbe non verificarsi in specifici mercati di prodotti o servizi, ma a livello di ‘ecosistemi’[24]. La concorrenza a livello di ecosistema corrisponde a pressioni concorrenziali tra ecosistemi con ‘complementarità potenzialmente sostituibili’[25]. Queste pressioni concorrenziali potrebbero sfuggire ove si esamini una merger tra imprese operanti in un ecosistema digitale secondo i parametri tradizionali, ossia guardando solo ai singoli mercati di prodotti e servizi che fanno parte dell’ecosistema. È, quindi, essenziale considerare anche la concorrenza tra ecosistemi.

Inoltre, è stato rilevato come un’autorità della concorrenza, subordinando l’autorizzazione di una merger all’assunzione di alcuni impegni da parte delle imprese coinvolte, possa porre rimedio al significativo ostacolo ad una concorrenza effettiva derivante dalla merger. Ad esempio, posto che l’accumulo di dati è uno dei fattori chiave che influenzano il potere di mercato delle ‘Big Tech’ e portano alla creazione di conglomerati digitali, l’imposizione di un obbligo di condivisione dei dati con concorrenti (attuali o potenziali) possa controbilanciare il vantaggio competitivo derivante dalla merger[26]. Questo ‘rimedio’ potrebbe funzionare al ricorrere di talune circostanze, come ad esempio un’asimmetria dei dati tra l’entità risultante dalla concentrazione e un concorrente (anche potenziale o futuro) e l’impossibilità di ottenere tali dati altrove.

Il possibile rilievo della privacy negli illeciti antitrust

Per quanto riguarda il diritto antitrust in senso stretto, vi sono dei casi in cui la tutela dei dati personali ha assunto rilievo nell’accertamento di abusi di posizione dominante.

Il caso ‘Privacy Sandbox’ di Google

Un esempio è rappresentato dal caso ‘Privacy Sandbox’ di Google esaminato dall’autorità della concorrenza del Regno Unito (Competition and Markets Authority, CMA)[27]. Nel 2019, Google ha lanciato la sua iniziativa ‘Privacy Sandbox’ per rimuovere dal browser Chrome i cookie di tracciamento di terze parti sostituendoli con una serie di strumenti che dovrebbero essere meno intrusivi della privacy degli utenti durante la navigazione su siti internet[28]. Questi cookie sollevano da tempo delle preoccupazioni dal punto di vista privacy, ma al tempo stesso sono alla base del funzionamento del mercato della pubblicità digitale. Nel 2021 la CMA ha avviato un’indagine nei confronti di Google per abuso di posizione dominante.

Il mercato delle tecnologie e piattaforme utilizzate per gestire le campagne pubblicitarie digitali è un insieme complesso di servizi che facilitano la vendita di spazi pubblicitari online tra venditori (editori, come giornali online e altri fornitori di contenuti) e acquirenti (inserzionisti pubblicitari)[29]. Google ha posizioni di mercato significative in vari segmenti del mercato della tecnologia pubblicitaria, incassando commissioni sia dagli editori che dagli inserzionisti. La CMA ha esaminato le tre componenti di questo mercato, in ciascuna delle quali Google era il più grande fornitore di servizi[30]: le piattaforme ‘lato domanda’ che consentono agli inserzionisti e alle agenzie media di acquistare l’inventario di ‘display advertising’ degli editori (ossia lo spazio di cui dispongono per la pubblicità) da molte fonti; le piattaforme ‘ad exchanges’ impiegate per il trading di spazi pubblicitari (che forniscono la tecnologia per automatizzare la valutazione e la negoziazione in tempo reale di spazi pubblicitari tramite un’asta che dovrebbe essere aperta a tutti i venditori e acquirenti); i servers pubblicitari degli editori che gestiscono l’inventario dell’editore e decidono quale annuncio mostrare, in base alle offerte ricevute da diversi scambi e accordi tra editori e inserzionisti.

La CMA ha ravvisato tre possibili problemi dal punto di vista antitrust: l’iniziativa ‘Privacy Sandbox’ potrebbe a) distorcere la concorrenza nel mercato della pubblicità digitale, rimuovendo la funzionalità associata al tracciamento degli utenti per le terze parti, mantenendo invece questa funzionalità per Google; b) restringere la concorrenza trasferendo delle funzionalità chiave su Chrome e favorendo i contenuti pubblicitari e i servizi di pubblicità digitale di Google rispetto a quelli dei concorrenti; c) consentire a Google di precludere agli utenti di Chrome una scelta sostanziale sul se e come i loro dati personali possano essere utilizzati per fornire loro pubblicità personalizzata[31].

La CMA ha deciso di consentire a Google di intraprendere questa iniziativa a condizione che si attenga ad una serie di impegni il cui rispetto è monitorato dalla CMA[32]. La CMA ha dettato dei criteri che devono guidare lo sviluppo e l’implementazione della ‘Privacy Sandbox’. Questi criteri impongono comportamenti pro-concorrenziali (come la non distorsione della concorrenza tra Google e altre imprese nel mercato della pubblicità online e il mantenimento della possibilità per i gestori di siti internet di generare entrate attraverso la vendita di spazi pubblicitari e della possibilità per i venditori di prodotti e servizi online di pubblicizzarli in modo economicamente vantaggioso), ma anche ‘privacy-friendly’ (come la trasparenza nei confronti degli utenti per quanto concerne il trattamento dei loro dati al fine di fornire loro annunci pubblicitari calibrati sulle loro preferenze e la garanzia per essi di un’effettiva possibilità di scelta)[33]. In caso di mancato rispetto di questi criteri da parte di Google, la CMA potrà valutare nuovamente il caso e adottare una nuova decisione. Sia nel decidere sul caso che nello svolgimento dell’attività di monitoraggio e valutazione dei progressi svolti da Google in questa sua iniziativa, la CMA ha coinvolto e cooperato con l’autorità responsabile della protezione dei dati nel Regno Unito (Information Commissioner’s Office, ICO)[34].

Nel febbraio 2022 l’ICO, con riferimento alla sua cooperazione con la CMA nel caso Google ‘Privacy Sandbox’, ha dichiarato che i consumatori traggono vantaggio quando si riconosce che gli obiettivi di tutela dei dati personali, privacy e concorrenza devono essere considerati insieme[35].

Nel luglio del 2024 Google ha annunciato che cambierà il suo approccio alla Privacy Sandbox. Invece di rimuovere i cookie di terze parti da Chrome, consentirà agli utenti di scegliere se conservare i cookie di terze parti. Gli impegni assunti nel 2022 dovranno essere aggiornati per riflettere l’evoluzione delle modifiche che Google ha intenzione di apportare alla Privacy Sandbox sul browser Chrome e la CMA sta discutendo con Google su come rispondere alle preoccupazioni della CMA con riguardo alla concorrenza nel mercato della pubblicità mediante la tecnologia digitale.

Il caso Facebook in Germania

Un altro esempio di illecito antitrust perseguito tenendo conto delle considerazioni data privacy è la decisione adottata nel 2019 dall’autorità antitrust tedesca (Bundeskartellamt, BKartA) con cui è stato vietato a Facebook (oggi Meta) di perpetrare l’abuso di posizione dominante nel mercato tedesco dei social media sotto forma di termini commerciali di sfruttamento ai sensi dell’art. 19, paragrafo 1 della legge tedesca sulla concorrenza (Gesetz gegen Wettbewerbsbeschränkungen, GWB), essendo questi termini contrari al RGPD[36].

Veniva, infatti, contestato a Facebook di aver acquisito, combinato insieme e trattato i dati generati dagli iscritti non solo nel corso dell’attività svolta all’interno del suo ecosistema digitale, come quelli di Instagram, Messenger e WhatsApp (dati ‘on-Facebook’), ma anche all’esterno (dati ‘off-Facebook’), consultando pagine web e applicazioni di terze parti in grado di tracciare e analizzare i dati degli utenti mediante tecnologie di tracciamento e profilazione della navigazione online (cookie, plugin e pixel), senza aver ottenuto dagli utenti un consenso valido ai sensi del RGPD.

Grazie alla raccolta e combinazione di dati da molteplici fonti, Facebook intendeva costruire dei ‘super-profili’ degli utenti a fini di personalizzazione della pubblicità. L’accettazione da parte degli utenti dei termini d’uso di Facebook, di cui facevano parte le informazioni sul trattamento dei dati personali degli utenti e sull’uso dei cookie, era essenziale per accedere e usufruire dei servizi digitali offerti dalla piattaforma. Data la posizione dominante di Facebook sul mercato, gli utenti non potevano esprimere un libero consenso ai sensi del RGPD[37].

Né Facebook aveva altri basi legali per questi trattamenti dei dati personali degli utenti. In particolare, il trattamento dei dati provenienti da terze parti non poteva ritenersi necessario per l’offerta del social network (quindi per eseguire un contratto richiesto dall’interessato[38]), né per generare ricavi dalla pubblicità personalizzata, poiché questo potrebbe anche basarsi in larga misura sui dati dell’utente trattati nell’ambito del social network. Né il trattamento era necessario per il perseguimento del legittimo interesse del titolare o di terzi che prevalessero sugli interessi o sui diritti fondamentali degli interessati.

Il BKartA ha ritenuto che i termini d’uso fossero pregiudizievoli sia per gli utenti che per i concorrenti di Facebook. La condotta commerciale di Facebook ostacolava i concorrenti perché Facebook otteneva l’accesso a un gran numero di dati da altre fonti attraverso il trattamento inappropriato dei dati degli utenti e la loro combinazione con gli account Facebook. In tal modo, Facebook acquisiva un vantaggio competitivo rispetto ai suoi concorrenti in modo illegale e aumentava le barriere all’ingresso nel mercato, rafforzando la sua posizione dominante, da cui scaturiva anche il potere contrattuale di Facebook nei confronti degli utenti, che le consentiva di imporre a questi ultimi trattamenti eccessivi dei loro dati personali[39].

Pertanto, l’abuso di posizione dominante contestato a Facebook sarebbe sia di sfruttamento che di esclusione[40].

È importante notare che il BkartA ha trattato la violazione delle norme sulla privacy come parte integrante di un illecito antitrust. L’illegittima raccolta e aggregazione di dati degli utenti da molteplici fonti al fine della creazione di super-profili degli utenti a fini commerciali è una manifestazione del potere di mercato di Facebook e costituisce un abuso di posizione dominante ai sensi della legge tedesca sulla concorrenza. La riduzione di scelta degli utenti è considerata un effetto diretto della riduzione di concorrenza, anziché essere una conseguenza della riduzione di concorrenza tra imprese.

A seguito di un’articolata vicenda giudiziaria[41], iniziata con l’impugnazione della decisione del BkartA da parte di Facebook, il caso è stato sottomesso alla Corte di giustizia dell’UE mediante un rinvio pregiudiziale. La Corte UE è stata cosí chiamata a pronunciarsi su una serie di questioni tra cui quella se sia compatibile con il diritto dell’UE che un’autorità garante della concorrenza constati, nell’ambito dell’esercizio del controllo sugli abusi di posizione dominante ai sensi del diritto della concorrenza, che le condizioni contrattuali applicate agli utenti di un’impresa relativamente al trattamento dei dati violano il RGPD e disponga di porre fine a tale violazione[42].

La Corte UE, in linea con le Conclusioni dell’Avvocato Generale[43], risponde alla questione affermando due principi, uno di carattere sostanziale e l’altro di ordine metodologico/procedurale. In primo luogo, nell’indagare su un abuso di posizione dominante, un’autorità antitrust deve valutare se il comportamento dell’impresa in posizione dominante abbia l’effetto di ostacolare, ricorrendo a mezzi diversi da quelli su cui si impernia la concorrenza normale tra prodotti o servizi, la conservazione del grado di concorrenza esistente sul mercato. Da questo punto di vista, “la conformità o non conformità di detto comportamento alle disposizioni del RGPD può costituire, se del caso, un importante indizio fra le circostanze rilevanti del caso di specie per stabilire se siffatto comportamento costituisca un ricorso a mezzi su cui s’impernia la concorrenza normale nonché per valutare le conseguenze di una determinata pratica sul mercato o per i consumatori”. Pertanto, l’autorità antitrust può trovarsi ad esaminare anche la conformità del comportamento dell’impresa dominante a norme diverse da quelle rientranti nel diritto della concorrenza, quali le norme in materia di protezione dei dati personali previste dal RGPD.

La Corte UE ha precisato che, posto che l’accesso ai dati personali e il loro trattamento costituiscono un parametro significativo della concorrenza fra imprese nei mercati digitali, “escludere le norme in materia di protezione dei dati personali dal contesto giuridico che le autorità garanti della concorrenza devono prendere in considerazione in sede di esame di un abuso di posizione dominante ignorerebbe la realtà di tale evoluzione economica e potrebbe pregiudicare l’effettività del diritto della concorrenza all’interno dell’Unione”.

Quanto all’ambito di competenza dell’autorità antitrust, essa non accerta o sanziona le violazioni del RGPD. Pertanto, essa può pronunciarsi solo incidentalmente su tali violazioni, nella misura in cui ciò sia utile o necessario per decidere sull’esistenza o meno di un illecito antitrust. A tal fine, in linea con il principio di leale cooperazione di cui all’art. 4, paragrafo 3, del Trattato sull’UE[44], l’autorità antitrust farebbe bene a consultare o cooperare con l’autorità garante della privacy ogniqualvolta abbia dubbi riguardo all’interpretazione delle norme sulla tutela dei dati personali. A sua volta, l’autorità garante della privacy deve cooperare con l’autorità antitrust ove sia interpellata da quest’ultima su questioni privacy funzionali all’accertamento di illeciti antitrust.

Altre due questioni pregiudiziali poste alla Corte UE sono importanti per analizzare il rapporto tra protezione dei dati personali e tutela della concorrenza. Si tratta della questione se il consenso dell’utente sia realmente volontario a fronte della posizione dominante di Facebook nel mercato dei social network e di quali fondamenti giuridici, ai sensi del RGPD, potessero essere invocati da Facebook per giustificare la raccolta e combinazione dei dati degli utenti provenienti da varie fonti.

Come si vede, si tratta di questioni volte a valutare un illecito antitrust tenendo conto dell’ostacolo significativo della concorrenza derivante dalla violazione di norme che regolano un altro settore (la data privacy).

Il ragionamento ha senso ove si consideri che la posizione dominante è stata acquisita grazie all’accumulo e al trattamento di dati personali e, quindi, occorre stabilire se e fino a che punto tale condotta fosse giustificata in base alle norme sulla protezione dei dati personali.

Esempi di enforcement in materia di privacy e antitrust

Alla questione della volontarietà o meno del consenso, la Corte UE ha affermato che “la circostanza che l’operatore di un social network online, in quanto titolare del trattamento, occupi una posizione dominante sul mercato dei social network non osta, di per sé, a che gli utenti di tale social network possano validamente acconsentire, ai sensi dell’articolo 4, punto 11, del RGPD, al trattamento dei loro dati personali effettuato da tale operatore”. Tuttavia, è importante tener conto della posizione dominante del titolare del trattamento per accertare la volontarietà del consenso, posto che tale potere di mercato, da un lato, “può incidere sulla libertà di scelta di tale utente, il quale potrebbe non essere in grado di rifiutare o di revocare il suo consenso senza subire pregiudizio” (quello di vedersi precluso l’uso del social network online) e, dall’altro, “è tale da creare uno squilibrio evidente ai sensi del considerando 43 del RGPD tra l’interessato e il titolare del trattamento, squilibrio che favorisce, segnatamente, l’imposizione di condizioni che non sono strettamente necessarie all’esecuzione del contratto”. La Corte UE ha riconosciuto che possa essere necessario consentire agli utenti di prestare un consenso al trattamento dei dati ‘on Facebook’ separato da quello al trattamento dei dati ‘off Facebook’.

A seguito della sentenza della Corte UE, il procedimento dinanzi al Tribunale regionale superiore di Düsseldorf si è concluso con il ritiro del ricorso da parte di Facebook-Meta.

Il 10 ottobre 2024 il BkartA ha affermato che Facebook-Meta ha ottemperato alla decisione del febbraio 2019 con cui il BkartA aveva vietato di subordinare l’utilizzo del social network al consenso dell’utente alla combinazione dei dati di Facebook con dati provenienti da fonti terze[45]. Infatti, Facebook-Meta ha adottato dei meccanismi di richiesta agli utenti del consenso al trattamento dei dati personali che garantiscano la libertà degli utenti di scegliere se i loro dati generati dall’uso dei servizi di Facebook-Meta possano essere combinati con quelli raccolti da terze parti mediante tecnologie di tracciamento (senza che, in caso di diniego del consenso a tale combinazione, essi debbano rinunciare ad usare il social network)[46].

Meta ha annunciato l’intenzione di passare dal legittimo interesse come base legale per trattare i dati personali degli utenti dei suoi molteplici servizi online a fini di ‘pubblicità comportamentale’ online al consenso da parte degli utenti[47].

Infine, la Corte UE ha confermato che non vi fossero basi legali che ai sensi del RGPD giustificassero i trattamenti di dati personali degli utenti da parte di Facebook, tenuto conto anche del fatto che tali dati includevano categorie di dati sensibili.

È stato osservato che nonostante il caso Facebook non possa fornire risposte definitive circa le interazioni tra data privacy e concorrenza, esso fornisce un chiaro esempio di come le norme sul trattamento dei dati personali possano influire sugli accertamenti di illeciti antitrust e su come le autorità antitrust possano tener conto di un piú ampio mercato e del quadro regolamentare senza oltrepassare l’ambito di propria competenza[48].

Tenuto conto delle ‘azioni correttive’ di Facebook-Meta, il BkartA ha deciso di non adottare misure di enforcement contro quest’ultima. A tale propostio, il BkartA ha opportunamente sottolineato che la possibilità degli utenti di scegliere di usare solo il social network oppure anche trattamenti di dati al fine della fornitura di pubblicità personalizzata è soddisfacente dal punto di vista della tutela della concorrenza. Ma ciò non esclude che vi sia un altro genere di valutazioni dal punto di vista della tutela dei dati personali[49]. In altri termini, ulteriori aspetti dei trattamenti di dati degli utenti da parte di Facebook-Meta (come, ad esempio, la combinazione dei dati degli utenti del social network con quelli raccolti mediante altri servizi offerti da Meta o i requisiti che il consenso deve soddisfare per essere valido ai sensi del RGPD) potrebbero essere indagati dall’autorità garante della privacy e dare luogo ad altri provvedimenti nei confronti del gruppo Meta.

Separazione, cooperazione o integrazione tra data privacy e concorrenza?

Alla domanda del rapporto tra le norme sulla tutela dei dati personali e quelle sulla concorrenza potrebbe rispondersi dicendo che debbano essere trattate separatamente oppure che esse presentino delle sinergie o che possano persino integrarsi reciprocamente[50].

Molte autorità istituzionali e regolatorie e autorevoli esponenti della dottrina si sono interrogati su quale sia l’approccio corretto per affrontare efficacemente le questioni antitrust e le questioni data privacy nei mercati digitali, in modo da garantire il soddisfacimento delle distinte finalità di interesse generale sottese a questi due corpi normativi. Di seguito ci si limiterà a menzionare alcune affermazioni che appaiono significative e ‘thought-provoking’.

Nel 2016 il Commissario UE per la concorrenza ha affermato che se l’utilizzo dei dati da parte di un’azienda è così dannoso per la concorrenza da superare i benefici, potrebbe essere necessario intervenire per ripristinare condizioni di parità[51].

Nello stesso anno, le Autorità garanti della concorrenzadi Francia e Germania hanno pubblicato un paper intitolato ‘Competition Law and Data’, in cui hanno tra l’altro sostenuto che varie condotte “basate sui dati”, siano esse abusi di esclusione o di sfruttamento, a seconda delle circostanze del caso, possono portare ad un’azione di enforcement[52].

Nel 2018 il Comitato europeo per la protezione dei dati (EDPB) ha dichiarato: “la crescente concentrazione di mercato nel settore delle tecnologie digitali rischia di incidere sul livello di protezione dei dati e delle libertà di cui godono i consumatori di servizi digitali. Nella valutazione di eventuali abusi di posizione dominante e nell’esame delle concentrazioni che possono accumulare o che hanno accumulato un notevole potere informativo occorre tenere conto della protezione dei dati e della tutela della vita privata degli individui”[53].

Nel 2021 l’ICO ha affermato che le interconnessioni tra protezione dei dati, concorrenza e diritto dei consumatori sono estremamente importanti dato il ruolo dei dati in generale e dei dati personali in particolare, nei modelli di business dei servizi online. Gli individui e gli enti beneficiano di un mercato funzionante in cui c’è una vera scelta, esiste la libertà di esercitare tale scelta e la protezione dei dati e la privacy sono integrate nella progettazione di prodotti, servizi e applicazioni che elaborano dati personali[54]. Secondo l’ICO, vi sarebbe armonia tra la tutela dei dati personali e l’obiettivo che vi sia una concorrenza effettiva e leale tra imprese.

La CMA e l’ICO in una dichiarazione congiunta hanno fatto tre esempi di possibili sinergie tra diritto della concorrenza e diritto sulla tutela dei dati personali: la libera scelta e il controllo dell’utente sui trattamenti dei propri dati, le regole e i requisiti sui trattamenti dei dati incorporate nelle tecnologie usate per la raccolta, il trattamento e la condivisione dei dati e forme di intervento sui dati volte a promuovere la concorrenza[55].

Dare agli utenti il ​​controllo dei propri dati personali

In primo luogo, dare agli utenti il ​​controllo dei propri dati personali non è solo importante per salvaguardare la loro privacy, ma può anche contribuire a ridurre l’asimmetria, lo squilibrio di potere tra le aziende digitali e i loro utenti. Ciò giova sia alla concorrenza che alla tutela dei dati personali. Infatti, un controllo effettivo degli individui sull’uso dei propri dati personali può migliorare la fiducia nell’economia digitale e contribuire a un uso più efficace dei dati personali in questo settore. Dal punto di vista della concorrenza, tale controllo sui dati può aiutare a ripristinare le pari condizioni sul mercato tra le imprese digitali e incentivare queste ultime a competere sui meriti, come, ad esempio, sulle misure per la sicurezza e la protezione dei dati degli utenti. In secondo luogo, chiare regole e requisiti sul ​​trattamento dei dati personali contribuiscono a mantenere (o a stabilire) condizioni di parità tra imprese concorrenti e incentivano lo sviluppo di tecnologie che migliorano la data privacy degli utenti (‘privacy-enhancing technologies’). Inoltre, le regole sulla circolazione dei dati possono generare la fiducia che è alla base della condivisione dei dati, la quale giova allo sviluppo delle innovazioni tecnologiche. In terzo luogo, gli interventi relativi ai dati mirano a superare le significative disparità di accesso ai dati che potrebbero falsare la concorrenza. Ciò può assumere la forma di limitare l’accesso ai dati o la possibilità per le piattaforme con potere di mercato di combinare e integrare ‘set’ di dati al fine di creare condizioni di parità campo con altri operatori di mercato, il che significa rispettare le restrizioni ai trattamenti dei dati personali degli utenti derivanti dalla normativa sulla privacy[56].

Per contro, l’ICO definisce come frutto di fraintendimento la tesi secondo cui la legge sulla tutela dei dati personali favorisca il concetto di “prima parte” rispetto a quello di “terza parte” (nel senso in cui questi termini sono usati, ad esempio, nei cookie usati a fini di profilazione e e-marketing[57]) o la divulgazione dei dati personali all’interno di un gruppo di imprese rispetto alla condivisione dei dati tra imprese indipendenti, consentendo alle grandi piattaforme tecnologiche di utilizzare la privacy come ‘scudo’ per difendere le proprie pratiche commerciali volte ad usare i dati in modo da avvantaggiare il proprio business a discapito dei concorrenti.

Nel 2024 l’OCSE ha evidenziato che diritto della concorrenza e diritto sulla tutela dei dati personali, nonostante abbiano diverse finalità, portata e procedure di enforcement mirano entrambi a proteggere il benessere dell’individuo (consumatore o soggetto interessato) e a risolvere il problema delle asimmetrie tra imprese e individui[58].

Quel che si evince dall’esame di casi concreti è che si possano applicare le norme sulla tutela della privacy e le norme sulla concorrenza in modo armonioso, in modo da realizzare gli interessi – distinti, ma egualmente meritevoli di tutela – ad esse sottese. Tuttavia, questo approccio olistico non sembra essere facilmente attuabile ove le autorità di enforcement dell’uno o dell’altro set di norme non cooperino tra loro.

La cooperazione tra autorità garanti della concorrenza e della privacy è fondamentale anche per evitare che esse, operando in silos, finiscano per adottare decisioni discordanti o comunque non adeguate ad affrontare i problemi nella loro complessità. Azioni di enforcement parallele, ove non siano necessarie dal punto di vista tecnico-giuridico, possono causare inefficienze (come duplicazione di lavoro e maggiore dispendio di risorse) e inconvenienti (ad esempio, esiti confliggenti) dal punto di vista operativo. Inoltre, quando autorità diverse esaminano la stessa fattispecie, occorre considerare il principio generale del ne bis in idem[59].

Già nel 2014 il Garante europeo della protezione dei dati (EDPS) auspicava che la Commissione UE e l’EDPS e le autorità nazionali garanti della concorrenza, della tutela dei consumatori e della protezione dei dati concordassero un approccio olistico alle attività di enforcement di loro rispettiva competenza, aggiungendo che il dialogo tra le autorità competenti, sia a livello europeo che nazionale, dovesse essere piú sistematico dinanzi ad un caso specifico in cui fossero in gioco preoccupazioni relative al benessere dei consumatori e alla tutela dei dati personali[60].

Questo approccio è stato esemplificato dall’allora presidente dell’EDPS Giovanni Buttarelli, che, in un discorso tenuto nel 2015[61], ha posto due domande di buon senso: se un’autorità della concorrenza sta considerando un’indagine su possibili comportamenti anticoncorrenziali in un mercato digitale, perché non informa l’autorità nazionale garante della privacy e l’autorità dei consumatori? E, se un’autorità garante della privacy sta esaminando una possibile violazione dei diritti dell’interessato da parte di un’azienda tecnologica, perché non informa l’autorità/le autorità della concorrenza e dei consumatori? La risposta, sempre di buon senso, è che il dialogo tra le autorità preposte alla tutela della concorrenza, dei consumatori e della privacy è fondamentale in quanto, in casi specifici, potrebbero esserci questioni di interesse comune e rimedi concepibili in modo da soddisfarle. Occorre, infatti, sviluppare prospettive e strumenti innovativi per trattare adeguatamente le sfide poste dai Big Data e dai mercati digitali.

Dieci anni dopo l’OCSE torna ad auspicare un proficuo dialogo e un’efficace cooperazione tra autorità garanti della privacy e della concorrenza, a livello sia nazionale che internazionale, al fine di affrontare le problematiche dell’economia digitale assicurando il rispetto dei diritti fondamentali degli individui e il corretto funzionamento delle dinamiche di mercato[62].

Il ruolo della regolazione dei mercati

Si è visto come in presenza di casi concreti che pongono problemi sia dal punto di vista della privacy che dal punto di vista della concorrenza sui mercati ed ecosistemi digitali, le autorità competenti nei due ambiti devono cooperare per escogitare soluzioni che soddisfino i molteplici interessi in gioco.

Per affrontare a livello generale i problemi posti sia alla concorrenza che alla privacy dai modelli aziendali data-driven è essenziale la regolamentazione normativa[63]. Da questo punto di vista, l’UE è da anni in prima linea, avendo emanato una serie di atti legislativi che attuano la strategia digitale europea[64]. Quest’ultima comprende alcuni settori chiave: la sovranità digitale (creare un mercato unico digitale, in cui si definiscono norme, si fanno scelte tecnologiche autonome e si sviluppano le soluzioni digitali, facendo anche in modo che la gestione dei dati avvenga nel pieno rispetto del diritto alla tutela dei dati personali), i servizi digitali (le norme in materia di servizi digitali devono garantire la sicurezza degli utenti online e consentire alle imprese digitali innovative di svilupparsi), l’economia dei dati (costruire una economia dei dati europea competitiva e un mercato unico dei dati, garantendo nel contempo i valori europei e un elevato livello di sicurezza dei dati e tutela della privacy), l’intelligenza artificiale (trasformare l’Europa nel polo mondiale per un’intelligenza artificiale affidabile) e la cybersecurity (salvaguardare l’integrità, la sicurezza e la resilienza dell’infrastruttura digitale così come delle reti e dei servizi di comunicazione, garantendo cyberspace aperto e sicuro)[65].

I tre obiettivi principali

Il Regolamento europeo sui mercati digitali (DMA) ha tre obiettivi principali: promuovere la concorrenza nei mercati digitali, affrontare le pratiche sleali da parte delle aziende tecnologiche che controllano le grandi piattaforme online e salvaguardare gli interessi delle piccole imprese e dei consumatori. Questi obiettivi vengono perseguiti mediante una regolamentazione ex ante, laddove le norme antitrust consentono interventi ex post, al verificarsi di condotte suscettibili di restringere la concorrenza tra imprese[66].

Il DMA chiarisce che esso persegue un obiettivo complementare, ma diverso, rispetto a quello sotteso alle norme antitrust: “garantire che i mercati in cui sono presenti gatekeepers siano e rimangano equi e contendibili, indipendentemente dagli effetti reali, potenziali o presunti sulla concorrenza in un dato mercato derivanti dal comportamento di un dato gatekeeper” contemplato dal DMA[67].

I ‘gatekeepers’, a cui si applica il DMA, sono le aziende che gestiscono grandi piattaforme online e soddisfano determinati criteri, ossia hanno un impatto significativo sui mercati digitali nell’UE, agiscono come intermediari tra imprese (“utenti commerciali”) e consumatori (“utenti finali”) e detengono una posizione consolidata e duratura sui mercati in cui operano. I servizi forniti dalla piattaforma di base includono servizi di intermediazione online, sistemi operativi, motori di ricerca online, browser internet, social networking online, assistenti virtuali, servizi di condivisione di video, cloud computing, servizi di comunicazione interpersonale e servizi di pubblicità online[68].

Diversamente da quanto accade con le norme antitrust, la Commissione UE, quando applica il DMA, non è tenuta a definire il mercato in cui un gatekeeper detiene una posizione dominante, né a dimostrare che la sua condotta abbia effetti anticoncorrenziali.

Il DMA prevede una serie di obblighi e divieti per i gatekeepers, tra cui quelli di astenersi da pratiche sleali o anticoncorrenziali, di fornire accesso ai dati raccolti o generati dalle loro piattaforme, garantire l’interoperabilità tra sistemi ed evitare un trattamento preferenziale delle funzionalità o dei servizi degli stessi gatekeepers o di loro partners commerciali rispetto a quelli di altre imprese[69].

Nonostante il DMA sia uno strumento normativo distinto dal diritto antitrust, la prassi dell’applicazione delle norme antitrust nei mercati ed ecosistemi digitali ha ispirato la sua elaborazione[70].

L’art. 5, paragrafo 2 del DMA costituisce un esempio di regolamentazione che combina le finalità di concorrenza con quella di tutela dei dati personali. Esso vieta al gatekeeper una serie di trattamenti dei dati degli utenti (vale a dire: a. trattare, ai fini della fornitura di servizi pubblicitari online, i dati personali degli utenti finali che utilizzano servizi di terzi che si avvalgono di servizi di piattaforma di base del gatekeeper; b. combinare dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi di piattaforma di base o da eventuali ulteriori servizi forniti dal gatekeeper o con dati personali provenienti da servizi di terzi; c. utilizzare in modo incrociato dati personali provenienti dal pertinente servizio di piattaforma di base in altri servizi forniti separatamente dal gatekeeper, compresi altri servizi di piattaforma di base, e viceversa; d. far accedere con registrazione gli utenti finali ad altri servizi del gatekeeper al fine di combinare dati personali), salvo che sia stata presentata all’utente finale una scelta specifica e quest’ultimo abbia dato il proprio consenso volontariamente ai sensi del RGPD.

Con specifico riguardo alla raccolta diretta da parte dei gatekeepers di dati personali degli utenti finali per fornire servizi pubblicitari online quando gli utenti finali utilizzano siti web e applicazioni software di terzi, il DMA fornisce una sorta di blueprint ai gatekeepers. Innanzitutto, “per non compromettere in modo sleale la contendibilità dei servizi di piattaforma di base”, i gatekeeper dovrebbero consentire agli utenti finali di scegliere liberamente tali pratiche di trattamento dei dati e accesso con registrazione, offrendo un’alternativa meno personalizzata ma equivalente, e senza subordinare l’utilizzo del servizio di piattaforma di base o di talune sue funzionalità al consenso dell’utente finale[71]. In secondo luogo, “il consenso dovrebbe essere prestato mediante dichiarazione o azione positiva inequivocabile con cui l’utente finale esprime una manifestazione di volontà libera, specifica, informata e inequivocabile” ai sensi del RGPD, dopo essere stato informato del fatto che “non prestare il consenso può determinare un’offerta meno personalizzata ma che, per tutto il resto, il servizio di piattaforma di base resterà invariato e che nessuna funzionalità sarà rimossa”[72]. Infine, in linea con il RGPD, revocare il consenso dovrebbe essere tanto semplice quanto prestare il consenso; pertanto i gatekeeper non devono “progettare, organizzare o gestire le loro interfacce online in modo tale da ingannare, manipolare ovvero compromettere o falsare in altro modo, in misura rilevante, la capacità degli utenti finali di prestare liberamente il proprio consenso”[73].

Per quanto riguarda il controllo delle concentrazioni tra imprese, il DMA introduce l’obbligo per i gatekeepers di informare la Commissione di eventuali progetti di concentrazione, indipendentemente dal fatto che siano soggette a notifica ai sensi del Regolamento sulle concentrazioni[74] e consente alla Commissione UE di vietare, per un periodo limitato, al gatekeeper di avviare una concentrazione nel settore interessato dalla sua violazione sistematica degli obblighi previsti dal DMA[75].

Per quanto riguarda l’enforcement, la Commissione UE è responsabile dell’applicazione del DMA e dispone di poteri d’inchiesta, di monitoraggio e sanzionatori[76]. Nel contempo il DMA attribuisce alle autorità nazionali competenti il potere-dovere di cooperare e assistere la Commissione nell’assicurare l’osservanza degli obblighi imposti ai gatekeepers.

Appare già assodato che il coordinamento tra le disposizioni del DMA – ispirate dalle lessons learned nei casi antitrust che hanno avuto per protagoniste le grandi aziende tecnologiche e dichiaratamente complementari rispetto alle norme sulla concorrenza – e quelle del RGPD richiede una cooperazione tra le autorità competenti nei due settori.

Infatti, la Commissione europea e l’EDPB hanno concordato di collaborare per chiarire e fornire indicazioni sull’interazione tra il DMA e il RGPD, specialmente per quanto concerne gli obblighi applicabili ai gatekeepers che presentano una forte interazione con il RGPD[77], come quelli di accesso e condivisione dei dati con aziende e utenti, di interoperabilità al fine di consentire l’accesso di terzi alle piattaforme di base dei gatekeepers e di garantire il controllo sui dati da parte degli utenti[78].

Concorrenza basata sui dati e diritti degli utenti: il GDPR fornisce agli individui il controllo sui propri dati, mentre il DMA cerca di abbattere il controllo monopolistico che i gatekeepers hanno sui dati degli utenti. La cooperazione tra la Commissione e l’EDPB mirerà a garantire che i gatekeepers rispettino sia i requisiti di portabilità dei dati previsti dal RGPD che le norme in materia di concorrenza leale ai sensi del DMA, senza entrare in conflitto con gli intenti normativi.

Come esempio di regolazione dei mercati digitali a livello nazionale, si può citare l’art. 19a della legge sulla concorrenza tedesca che vieta condotte abusive di imprese designate dal GWB come “di fondamentale importanza per la concorrenza sui mercati”[79]. Questa disciplina si aggiunge a quella che le imprese digitali dovranno rispettare in aggiunta alle norme antitrust.

L’art. 19a GWB, entrato in vigore il 19 gennaio 2021, è volto a superare i limiti che le norme antitrust presentano quando si tratta di mantenere o stabilire una concorrenza leale ed effettiva nei mercati digitali, come evidenziati dall’esperienza di autorità regolatorie e giurisdizionali a livello europeo e nazionale[80].

A tal fine, si prevede che il BKartA possa designare come imprese di importanza fondamentale per la concorrenza anche imprese che hanno accesso ai dati pertinenti per la concorrenza e possa intervenire ex ante per imporre obblighi di comportamento alle imprese. In particolare, il BKartA può vietare le sette tipologie di condotte anticoncorrenziali elencate al paragrafo 2 dell’art. 19a GWB, tra cui quella di ostacolare il trattamento dei dati rilevante per la concorrenza da parte di altre imprese o di raccogliere dati degli utenti sulla base del consenso senza dare loro sufficiente possibilità di scelta[81].

Inoltre, ai sensi dell’art. 19a GWB, l’onere della prova che un comportamento sia oggettivamente giustificato è posto a carico dell’impresa di fondamentale importanza sui mercati. Pertanto, il BkartA, in un caso come quello Facebook, non dovrebbe verificare che la raccolta e combinazione di dati da fonti diverse non sia giustificato dalle norme del RGPD, ma spetterebbe all’impresa darne prova.

Infine, in base al nuovo art. 73, paragrafo 5, GWB, spetta alla sola Corte federale di giustizia (Bundesgerichtshof) decidere in prima e ultima istanza su tutte le controversie contro le decisioni adottate dal BkartA ai sensi dell’art. 19a GWB, anziché passare attraverso vari gradi di giudizio.

In tal modo, si cerca di rendere celere ed efficiente l’applicazione delle norme volte a prevenire abusi della concorrenza mediante la violazione di norme sui dati personali.

L’importanza della regolazione dei mercati in concreto

Se l’art. 19a GWB fosse stato in vigore quando il BkartA ha deciso sul caso Facebook, il BkartA avrebbe potuto impedire che l’uso del servizio di social networking dipenda dal consenso alla raccolta di dati senza una reale scelta da parte degli utenti. E l’iter di questa sua decisione sarebbe stato meno tortuoso.

Ciò è confermato dalla decisione adottata dal BkartA il 6 ottobre 2023 contro Google sulla base dell’art. 19a GWB[82]. La questione centrale presa in esame dal BkartA è se Google offrisse agli utenti una scelta sufficiente riguardo all’uso dei propri dati da parte di Google quando utilizzano i vari servizi offerti da Google[83]. Raccogliere dati degli utenti sulla base del consenso senza dare loro un’effettiva possibilità di scelta è una condotta espressamente menzionata dall’art. 19a, paragrafo 2, GWB, che il BkartA può vietare ad un’impresa di fondamentale importanza sui mercati (quale Google è stata designata dal BkartA).

Il BkartA ha esaminato la privacy policy inclusa nei termini d’uso dei vari servizi Google[84], che prevede la possibilità di un trattamento ad ampio spettro da parte di Google dei dati degli utenti che vogliano usare tali servizi. Si tratta dei dati forniti dagli utenti a Google quando sottoscrivono i suoi servizi, dei dati raccolti da Google quando gli utenti utilizzano i suoi servizi, dei dati degli utenti di siti web e app di terze parti, suoi clienti di servizi di pubblicità online di Google, raccolti mediante tecnologie di tracciamento e softwares, nonché dei dati provenienti da terzi, ad esempio da suoi partners commerciali[85]. Google usa questi dati per molteplici fini commerciali (come la pubblicità online personalizzata) e combina i dati riferibili agli stessi utenti che raccoglie da molteplici fonti.

Il BkartA ha vietato a Google di usare termini sul trattamento dei dati termini che non offrono agli utenti una scelta sufficiente se vogliano o meno consentire al trattamento ad ampio raggio dei loro dati attraverso i vari servizi di Google. Secondo il BkartA , una “scelta sufficiente” presupporrebbe che gli utenti possano limitare il trattamento dei dati allo specifico servizio utilizzato[86]. Inoltre, essi dovrebbero essere in grado di comprendere le diverse finalità per le quali i loro dati sono trattati. Quando sono offerte agli utenti possibilità di scelta, esse non devono essere disegnate in modo tale da rendere più semplice per gli utenti acconsentire al trattamento dei dati attraverso i servizi piuttosto che rifiutare il consenso[87]. Infine, non si possono ritenere oggettivamente giustificati la raccolta e il trattamento generalizzati e indiscriminati dei dati tra i servizi Google senza una ragione specifica, ma come generica misura preventiva, sia pure a fini di sicurezza.

La decisione del BkartA consente di comprendere meglio come l’art. 19a GWB risponda all’esigenza di stabilire la concorrenza sui mercati ed ecosistemi digitali, integrando nelle condotte anticoncorrenziali delle imprese, il cui potere di mercato deriva ed è esercitato mediante la raccolta e il trattamento di dati personali, i principi e i requisiti per la tutela dei dati personali stabiliti dal RGPD.

Il BkartA ha sottolineato che le previsioni dell’art. 19a GWB applicate nel caso Google riguardano comportamenti di sfruttamento nel rapporto tra le grandi aziende digitali e i loro utenti, che vengono regolarmente accompagnati dall’ostacolo alla concorrenza da parte di altre società. Tale ostacolo deriva dalla significativa possibilità, ottenuta a seguito della condotta di sfruttamento, di trattamenti ‘cross-service’ di grandi quantità di dati rilevanti per la concorrenza, che consentiva economie di scala nell’ecosistema digitale di Google e una sempre maggiore integrazione tra i suoi servizi.

Pertanto, Google poteva accrescere i suoi vantaggi competitivi (già esistenti) a scapito di terze parti le cui opportunità competitive sono ridotte e rafforzare ulteriormente l’ecosistema di Google.

Il BkartA ha precisato che la minaccia alla concorrenza derivante dalla condotta di Google non derivava esclusivamente dal trattamento dei dati nel contesto dei servizi di piattaforma di base che è oggetto del DMA. Il numero e la portata dei servizi Google in questione riguarda talmente tante e varie attività degli utenti che il trattamento ‘cross-service’ dei dati poteva contribuire a rafforzare ulteriormente l’ecosistema di Google anche in settori non coperti dal DMA (ad esempio, mediante una migliore personalizzazione dei servizi Google, altre forme di miglioramento e ulteriore sviluppo degli stessi, sviluppo di nuovi settori di attività)[88].

Il caso si è chiuso con l’accettazione da parte del BkartA degli impegni offerti da Google per porre fine alla condotta abusiva ad esso contestata[89]. Il raggiungimento di questo esito, dopo un iter meno lungo e articolato di quello che aveva portato Facebook ad assumere degli impegni idonei a rispondere alle preoccupazioni concorrenziali, dimostra come una regolamentazione preventiva dei mercati volta a superare i limiti intrinseci alle norme antitrust possa contribuire a stabilire la concorrenza nei mercati digitali dominati dalle Big Tech.

Note

[1] J. Osman, Big Tech’s Overpowering Influence: Risks to Markets and Your Money, Forbes (30 giugno 2024).

[2] Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023, riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (regolamento sui dati), in vigore dall’11 gennaio 2024.

[3] Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali (regolamento sui servizi digitali), in vigore dal 16 novembre 2022.

[4] [4] Regolamento (UE) 2022/1925 del Parlamento europeo e del Consiglio del 14 settembre 2022 relativo a mercati equi e contendibili nel settore digitale (regolamento sui mercati digitali), in vigore dall’1 novembre 2022.

[5] Si veda l’art. 3, par. 2 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati), in vigore dal 24 maggio 2016.

[6] Gli attuali articoli 101 e 102 del Trattato sul funzionamento dell’UE (TFUE) erano già presenti nel trattato istitutivo della Comunità economica europea (articoli 86 e 87).

[7] La rete europea della concorrenza (REC), creata in base al Regolamento (CE) n. 1/2003 del Consiglio, del 16 dicembre 2002, concernente l’applicazione delle regole di concorrenza di cui agli articoli [101] e [102] del Trattato, è composta dalla Commissione europea e dalle autorità nazionali garanti della concorrenza e deve assicurare sia l’efficiente divisione del lavoro sia l’applicazione efficace e uniforme delle regole di concorrenza dell’UE.

[8] Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva relativa alla vita privata e alle comunicazioni elettroniche), in vigore dal 31 luglio 2002. Sulla possibilità di applicazione congiunta del RGPD e della Direttiva e-Privacy si vedano le Conclusioni presentate dall’Avvocato Generale Michal Bobek del 19 dicembre 2018 nella causa Fashion ID, riguardante plugin social e marcatori (C-40/17, ECLI:EU:C:2018:1039, punti 111-115). I limiti al tracciamento dei dati degli utenti per uso di profilazione sarebbero persino maggiori ove fosse completata la riforma europea della normativa e-privacy, con l’adozione del nuovo Regolamento sulla vita privata e le comunicazioni elettroniche (Regolamento e-Privacy). Quest’ultimo, che sostituirebbe la Direttiva e-Privacy, si applicherà ad una serie di servizi di comunicazione elettronica che vanno oltre le tradizionali società di telecomunicazioni, come le imprese che forniscono i servizi di comunicazione online, che trattano i dati connessi ai servizi di comunicazione online, che utilizzano strumenti di tracciamento online come cookie di tracciamento e altre tecnologie di tracciamento sui siti web, attive nel marketing elettronico diretto. Ad esempio, il Regolamento si applicherà ai proprietari di siti web che utilizzano cookies, gli sviluppatori di applicazioni mobili, gli operatori di marketing diretto che utilizzano e-mail e messaggistica online (servizi di comunicazione ‘Over-the-Top) e i fornitori di Internet of Things (‘IoT’). Inoltre, il Regolamento avrebbe portata extraterritoriale come il RGPD, tutelando i dati relativi agli utenti finali che si trovano nell’UE indipendentemente da dove avviene la raccolta o l’elaborazione dei dati. Ciò significa che i ‘big giants’ extraeuropei dovranno conformarsi alla disciplina del Regolamento se gestiscono dati di individui nell’UE.

[9] Ai sensi dell’art. 20 del RGPD, a certe condizioni, “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti (…)”.

[10] Tuttavia, il RGPD non impone ai fornitori di servizi precisi obblighi in tema di interoperabilità dei sistemi, il che può costituire un limite all’effettivo esercizio del diritto alla portabilità e, quindi, anche agli effetti proconcorrenziali che esso potrebbe avere. Si veda P. De Hert – V. Papakonstantinou – G. Malgieri – L. Beslay – I. Sanchez, ‘The Right to Data Portability in the GDPR: Towards User-Centric Interoperability of Digital Services’, Computer Law & Security Review, 2018, p. 196 e 200.

[11] Gruppo di lavoro Articolo 29 per la protezione dei dati, Linee guida sul diritto alla portabilità dei dati, 5 aprile 2017.

[12] Regolamento (CE) n. 139/2004 del Consiglio, del 20 gennaio 2004, relativo al controllo delle concentrazioni tra imprese (“Regolamento comunitario sulle concentrazioni”), in vigore dal 18 febbraio 2004. In base a tale Regolamento, la Commissione UE e le Autorità nazionali a tutela della concorrenza non autorizzano le operazioni di concentrazione tra imprese che ostacolino in modo significativo una concorrenza effettiva nel mercato comune o in una parte sostanziale di esso, in particolare a causa della creazione o del rafforzamento di una posizione dominante, essendo incompatibili con il mercato comune. Ai sensi dell’art. 3 del Regolamento, un’operazione di concentrazione si realizza: a) quando due o più imprese procedono a fusione; b) quando uno o più soggetti in posizione di controllo di almeno un’impresa ovvero una o più imprese acquisiscono direttamente o indirettamente, sia mediante acquisto di azioni o di elementi del patrimonio, sia mediante contratto o qualsiasi altro mezzo, il controllo dell’insieme o di parti di una o più imprese; c) quando due o più imprese procedono, attraverso la costituzione di una nuova società, alla costituzione di un’impresa comune.

[13] Decisione Commissione UE del 3 ottobre 2014 sul caso n. COMP/M.7217 – Facebook/Whatsapp.

[14] È stato sostenuto che la Commissione abbia commesso un errore nel concludere che la preoccupazione che un’azienda controlli così tanti dati fosse una mera questione privacy e non un problema di concorrenza. Come ha osservato in seguito la FTC statunitense, sono state proprio le offerte e il design incentrati sulla privacy di WhatsApp e un modello di abbonamento senza pubblicità a fornirgli “un’importante forma di differenziazione del prodotto” e a contribuire a renderlo “una minaccia competitiva indipendente nel social networking” (M. E. Stucke, ‘The Relationship between Privacy and Antitrust’, Notre Dame Law Review, 2022, p. 403).

[15] Decisione della Commissione UE dell’11 marzo 2008 sul caso n. COMP/M.4731 – Google/ DoubleClick.

[16] La FTC ha autorizzato l’acquisizione incondizionatamente, senza richiedere alcuna modifica o impegno in merito alle pratiche commerciali delle società. Si veda il comunicato stampa ‘Federal Trade Commission Closes Google/DoubleClick Investigation. Proposed Acquisition Unlikely to Substantially Lessen Competition’ del 20 dicembre 2007. Tra le voci di protesta levatesi contro la decisione della FTC vi fu quella del senatore Herb Kohl, che in un’audizione del 27 settembre 2007, ha affermato che alcuni ritengono che le leggi antitrust non debbano preoccuparsi delle questioni privacy e limitarsi alle questioni tradizionali degli effetti sulle tariffe pubblicitarie, mentre le leggi antitrust sono state scritte per la preoccupazione circa gli effetti delle indebite concentrazioni di potere economico sulla nostra società nel suo complesso, non solo per i loro effetti sui portafogli dei consumatori.

[17] È stato sostenuto che l’acquisizione di DoubleClick da parte di Google ha portato alla creazione di una potente entità che controllava sia la ricerca sul web che la pubblicazione di annunci, il che potrebbe portare a soffocare la concorrenza nel mercato della pubblicità online. Ciò a sua volta renderebbe più difficile l’emergere di nuovi operatori, portando potenzialmente a prezzi più alti per gli inserzionisti (IIPRD, ‘Google’s acquisition of Double click: A boom or bane?’, 21 novembre 2024). Si veda S. Lohr, ‘This Deal Helped Turn Google into an Ad Powerhouse. Is That a Problem?’, The New York Times, 20 ottobre 2020.

[18] Si veda M. Cole – F. Salis, ‘Evolving view of data in the application of competition law’, Global Competition Review, 24 Ottobre 2024. La Commissione ha spiegato che, nell’esame delle operazioni di concentrazione tra imprese nei mercati digitali, essa valuta varie forme di rischi anticoncorrenziali: a) il rischio di ‘foreclosure’, ossia il rischio che l’entità risultante dalla fusione possa sfruttare il potere di mercato di un determinato prodotto o servizio in un altro mercato correlato, ad esempio mediante pratiche di vendite abbinate o il raggruppamento di prodotti; b) il rischio che l’entità risultante da una concentrazione ‘verticale’ ostacoli i concorrenti rifiutando (o concedendo a condizioni deteriori) la fornitura di un fattore produttivo; c) il rischio che alcune concentrazioni creino o rafforzino una posizione dominante, in particolare nel contesto degli ‘ecosistemi digitali’, cosicché l’espansione o l’ingresso di imprese concorrenti possa essere ostacolato dalla concentrazione (Nota dell’UE ‘Theories of Harm for Digital Mergers’, presentata il 16 giugno 2023 alla 140^a riunione del Comitato della concorrenza dell’OCSE).

[19] OCSE, ‘Executive Summary of the Roundtable on Theories of Harm for Digital Mergers’, 16 giugno 2023.

[20] Il ‘tying’ o vendita abbinata si riferisce di solito a situazioni in cui i clienti che acquistano un prodotto (il prodotto principale) devono acquistare anche un altro prodotto dall’impresa dominante (il prodotto abbinato). Il ‘bundling’ o vendita aggregata si riferisce al modo in cui i prodotti vengono offerti dall’impresa dominante e al modo in cui essa ne fissa il prezzo: i prodotti sono disponibili anche separatamente, ma la somma dei singoli prezzi di vendita è superiore al prezzo aggregato.

[21] OCSE, ‘Executive Summary of the Roundtable on Theories of Harm for Digital Mergers’, citato.

[22] A.B. Uzun, ‘Incorporation of Privacy Considerations into the EU Merger Control Regime’, Central European University, p. 27 e 28.

[23] Si vedano C. Caffarra, ‘Follow the Money – Mapping issues with digital platforms into actionable theories of harm’, Concurrences N°91579, 29 agosto 2019; C. Caffarra – M. Elliott – A. Galeotti, ‘Ecosystem theories of harm in digital mergers: New insights from network economics, part 1, CEPR paper, 5 giugno 2023, e ‘Ecosystem’ theories of harm in digital mergers: New insights from network economics, part 2”, CEPR paper, 6 giugno 2023; C. Caffarra, ‘Furthering Ecosystem Analysis in Antitrust’, Promarket, 14 dicembre 2023. Si veda anche la Comunicazione della Commissione sulla definizione del mercato rilevante ai fini dell’applicazione del diritto dell’Unione in materia di concorrenza, dove si legge: “in talune circostanze, gli ecosistemi (digitali) possono essere considerati come costituiti da un prodotto primario principale e da diversi prodotti secondari (digitali) il cui consumo è collegato al prodotto principale, ad esempio, tramite collegamenti tecnologici o interoperabilità” e che “la Commissione prende in considerazione, se del caso, fattori quali gli effetti di rete, i costi di passaggio da un prodotto a un altro (compresi i fattori che possono portare a situazioni di scelta obbligata da parte dei consumatori (customer lock-in) e le decisioni di (single o multi)-homing ai fini della definizione dei mercati del prodotto rilevanti” (par. 104).

[24] M. Batra – P. de Bijl – T. Klein, ‘Ecosystem theories of harm in EU merger control: analysing competitive constraints and entrenchment’, Journal of European Competition Law & Practice, 2024, p. 357-367.

[25] M. Batra – P. de Bijl – T. Klein, ‘Ecosystem theories of harm in EU merger control: analysing competitive constraints and entrenchment’, citato, p. 362.

[26] M. Woźniak-Cichuta, ‘Digital data-driven mergers: is data-sharing remedy a panaceum?’, su SSRN, 6 febbraio 2024.

[27] CMA, decisione di accettazione degli impegni di Google in relazione alle sue proposte ‘Privacy Sandbox’ dell’11 febbraio 2022 sul caso 50972 ‐ Privacy Sandbox.

[28] L’idea di Google è di sostituire i cookie di tracciamento degli utenti online con una funzionalità che limita il monitoraggio delle attività online da parte dei siti web, mediante un’impostazione predefinita che limita l’accesso ai cookie di terze parti, con l’obiettivo dichiarato di superare le preoccupazioni in materia di tutela dei dati personali durante la navigazione. La CMA ha avviato un’indagine per abuso di posizione dominante nei confronti di Google (si veda sopra nel testo).

[29] Le tecnologie e piattaforme utilizzate per gestire le campagne pubblicitarie digitali includono strumenti per creare, indirizzare, acquistare e misurare annunci digitali su una varietà di canali come motori di ricerca, social media, piattaforme video e siti web. I componenti principali del mercato della tecnologia pubblicitaria includono: piattaforme ‘lato domanda’ (‘demand-side platforms’, DSP), che consentono agli inserzionisti di acquistare spazi pubblicitari in tempo reale, utilizzando strategie di offerta automatizzata per ottimizzare la spesa; piattaforme ‘lato offerta’ (‘supply-side platform’, SSP), che consentono agli editori di gestire i propri inventari pubblicitari e vendere spazi pubblicitari in tempo reale al miglior offerente; piattaforme di gestione dei dati (DMP), che raccolgono, organizzano e analizzano i dati sul pubblico per aiutare gli esperti di marketing a rivolgersi agli utenti in modo più efficace; ad exchange, ossia i mercati digitali in cui acquirenti e venditori effettuano transazioni sullo spazio pubblicitario in tempo reale, in genere utilizzando tecniche di pubblicità programmatica (si veda l’articolo ‘Dai dati ai dollari: come il mercato della tecnologia pubblicitaria sta alimentando l’economia digitale’, su Market Research Intellect).

[30] Anche la Commissione europea ha evidenziato che Google fornisce vari servizi nel mercato della tecnologia pubblicitaria, che fungono da intermediari tra inserzionisti ed editori per pubblicare annunci publicitari su siti web o app mobili (Comunicato stampa del 14 giugno 2023, intitolato ‘Antitrust: Commission sends Statement of Objections to Google over abusive practices in online advertising technology’). In particolare, Google gestisce: (i) due strumenti di acquisto di annunci (Google Ads e DV 360); (ii) l’‘ad server’ di un editore (DoubleClick For Publishers o DFP), e (iii) un Ad Exchange per il trading di pubblicità online (AdX). Inoltre, Google detiene una posizione dominante nel mercato interno sia per gli ‘ad server’ degli editori con il suo servizio DFP che per gli strumenti di acquisto di annunci pubblicitari programmatici per il web con i suoi servizi Google Ads e DV360. Secondo la Commissione europea, Google avrebbe abusato delle sue posizioni dominanti per favorire il proprio AdX nell’asta programmatica degli annunci gestita dall’‘ad server’ DFP del suo editore dominante, ad esempio informando AdX in anticipo del valore della migliore offerta dei concorrenti che doveva battere per vincere l’asta, nonché privilegiando il suo AdX nel modo in cui i suoi strumenti di acquisto di annunci Google Ads e DV360 fanno offerte sugli Ad Exchange. Ad esempio, Google Ads impediva gli scambi di annunci concorrenti e faceva principalmente offerte su AdX, rendendo, così, lo scambio di annunci più attraente. Conseguentemente, la Commissione ha inviato a Google una comunicazione degli addebiti, con cui lo ha informato degli illeciti antitrust da essa ipotizzati sulla base delle evidenze raccolte e anche che il rimedio ritenuto piú idoneo a superare i problemi per la concorrenza consiste nella cessione obbligatoria (divestment) da parte di Google di parte dei suoi servizi.

[31] La CMA ha valutato se Google avesse limitato l’interoperabilità delle sue piattaforme di trading di spazi pubblicitari con le piattaforme ‘lato offerta’ di terze parti o avesse abbinato contrattualmente questi servizi, ostacolando i suoi concorrenti. La CMA ha altresí indagato se Google avesse usato le sue piattaforme DSP e SSP per favorire i propri servizi di trading di spazi pubblicitari, adottando misure per escludere i servizi offerti dai concorrenti.

[32] La CMA ha precisato che l’impatto preciso delle proposte sulla Privacy Sandbox dipenderà dal modo in cui saranno definite e attuate, che non sono stati ancora definiti da Google.

[33] Decisione della CMA sul caso 50972 ‐ Privacy Sandbox, citata.

[34] Nella dichiarazione di Stephen Bonner, Executive Director for Regulatory Futures and Innovation presso ICO, sulle proposte Privacy Sandbox di Google dell’11 febbraio 2022, si legge che ICO ha lavorato sul caso a stretto contatto con la CMA e ha accolto con favore gli impegni che la CMA ha ottenuto da Google.

[35] Dichiarazione di ICO sulla Privacy Sandbox di Google, citata.

[36] Decisione del 6 febbraio 2019 sul caso B6-22/16. La condotta commerciale abusiva consisteva nel trattamento illecito dei dati personali dei propri utenti da parte di Facebook. Si veda P.J. van de Waerdt, ‘Meta v Bundeskartellamt: Something Old, Something New’, European Papers, 8 gennaio 2024, p. 1077-1103.

[37] Articoli 6, paragrafo 1, a) e 7 del RGPD.

[38] Art. 6, paragrafo 1, b) del RGPD.

[39] Val la pena ricordare le parole di estrema attualità pronunciate da Giovanni Buttarelli (allora Garante europeo della protezione dei dati) in un discorso tenuto al Parlamento europeo nel 2015: “Perché non dovremmo immaginare che le autorità garanti della concorrenza affrontino, ad esempio, un uso abusivo da parte di un’impresa dominante di “politiche sulla privacy” non negoziabili?” Egli ha aggiunto che non dobbiamo trascurare che anche in presenza di servizi digitali commercializzati come “gratuiti” o a zero costo, ma che in realtà richiedono il pagamento tramite dati personali o il “prestare attenzione”, il benessere dei consumatori può essere compromesso e non dovremmo quindi consentire una sorta di immunità antitrust de facto per gli operatori economici a zero prezzo (G. Buttarelli, ‘Privacy and Competition in the Digital Economy’, discorso tenuto a Bruxells il 21 gennaio 2015).

[40] Si veda P.J. van de Waerdt, ‘Meta v Bundeskartellamt: Something Old, Something New’, citato, p. 1084.

[41] Meta ha presentato ricorso contro la citata decisione del BkartA che vieta a Meta (ex Facebook) di combinare i dati degli utenti provenienti da fonti diverse senza il consenso degli stessi dinanzi al Tribunale regionale superiore di Düsseldorf (OLG Düsseldorf). Il 26 agosto 2019 il Tribunale ha disposto l’effetto sospensivo del ricorso su istanza di Meta. Il 23 giugno 2020 la Corte federale di giustizia ha revocato tale decisione su richiesta del BkartA e ha respinto la richiesta di Meta di disporre l’effetto sospensivo del suo ricorso. Il 24 marzo 2021 il Tribunale regionale superiore di Düsseldorf ha sottoposto alcune questioni alla Corte di giustizia dell’UE e ha sospeso il procedimento fino alla conclusione del procedimento pregiudiziale a livello europeo.

[42] Sentenza della Corte (Grande Sezione) del 4 luglio 2023, Meta Platforms Inc. e a. contro Bundeskartellamt, causa C‑252/21, ECLI:EU:C:2023:537. Si veda F. Battaglia, La sentenza Meta platforms. Riflessioni in materia di valore dei dati e libera espressione del consenso, Ordine Internazionale e Diritti Umani, n. 3/2023, pp. 723-731.

[43]Conclusioni dell’Avvocato Generale Athanasios Rantos presentate il 20 settembre 2022 nella causa C‑252/21, ECLI:EU:C:2022:704.

[44] L’art. 4, par. 3 del Trattato sull’Unione europea dispone: “In virtù del principio di leale cooperazione, l’Unione e gli Stati membri si rispettano e si assistono reciprocamente nell’adempimento dei compiti derivanti dai trattati”.

[45] Decisione del BKartA del 10 ottobre 2024 sul caso A B6-22/16.

[46] Meta ha creato aree facilmente reperibili per questi moduli di consenso, introducendo l’Account Center per combinare e separare i servizi Meta e la possibilità di gestire cookie e tecnologie simili per la raccolta di dati su siti e app di terze parti (decisione del BKartA del 10 Ottobre 2024, citata).

[47] Si veda l’articolo ‘5 years of litigation: Meta apparently switches to consent for behavioral ads’ pubblicato sul sito di Noyb il 1° agosto 2023.

[48] A. Gorecka, On the Interplay Between Competition Law and Privacy: The Impact of Meta Platforms Case, European Competition Journal, 20(3), 2024, p. 576.

[49] Il BkartA ha affermato: “Lo standard di valutazione secondo il diritto della concorrenza può […] differire dallo standard secondo il diritto sulla protezione dei dati in termini di portata e focus. La chiusura del procedimento Facebook non ha alcun effetto di precedente per altri regimi giuridici a cui sono soggetti anche i termini di trattamento dei dati di Meta. Il fatto che il Bundeskartellamt non intraprenda alcuna azione coercitiva sulla base della sua decisione del febbraio 2019 non significa che il comportamento di Meta sia del tutto ineccepibile alla luce degli obblighi di Meta ai sensi del diritto della concorrenza, del diritto sulla protezione dei dati, del diritto sulla tutela dei consumatori e del [Digital Market Act]”.

[50] Si veda G. Colangelo, ‘The Privacy/Antitrust Curse: Insights from GDPR Application in Competition Law Proceedings’, ICLE White Paper 2023-10-12.

[51] M. Vestager, ‘Competition in a big data world’, discorso al DLD 16, Monaco, 17 gennaio 2016

[52] Autorité de la concurrence – Bundeskartellamt, ‘Competition Law and Data’, 10 maggio 2016.

[53] Dichiarazione del Comitato europeo per la protezione dei dati (EDPB) in merito alle ripercussioni delle concentrazioni economiche sulla protezione dei dati, 27 agosto 2018.

[54] ICO, parere su ‘Data protection and privacy expectations for online advertising proposals’, 25 novembre 2021.

[55] Dichiarazione comune della CMA e dell’ICO del 19 maggio 2021 su ‘Competition and data protection in digital markets’.

[56] Dichiarazione comune della CMA e dell’ICO del 19 maggio 2021, citata.

[57] I cookie sono stringhe di testo che i siti web visitati dagli utenti (‘publisher’ o “prime parti”) ovvero siti o web server diversi (cd. “terze parti”).

[58] OCSE, Policy Paper ‘The intersection between competition and data privacy’, 7 giugno 2024.

[59] L’art. 50 della Carta dei diritti fondamentali dell’UE riconosce il diritto di non essere giudicato o punito due volte per lo stesso reato, stabilendo che “nessuno può essere perseguito o condannato per un reato per il quale è già stato assolto o condannato nell’Unione a seguito di una sentenza penale definitiva conformemente alla legge”. Dalla giurisprudenza della Corte di Giustizia si evince che l’applicazione del divieto di ne bis in idem è subordinata a una duplice condizione: è necessario, da un lato, che una decisione anteriore sia diventata definitiva (condizione del ‘bis’) e, d’all’altro, che gli stessi fatti siano oggetto tanto della decisione anteriore quanto del procedimento o della decisione posteriori (condizione dell’‘idem’), con la precisazione che l’entità dei fatti materiali consiste in un insieme di circostanze concrete inscindibilmente collegate tra loro che hanno condotto all’accertamento della responsabilità di una persona per un illecito.

[60] EDPS, Parere preliminare su ‘Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy’, Marzo 2014

[61] Giovanni Buttarelli, ‘Privacy and Competition in the Digital Economy’, citato.

[62] OCSE, Policy Paper ‘The intersection between competition and data privacy’.

[63] Si veda lo studio promosso dalla Conferenza delle Nazioni Unite per il commercio e lo sviluppo (UNCTAD): ‘Enforcing competition law in digital markets and ecosystems: Policy challenges and options’, nota del Segretariato del 24 aprile 2024. Si veda altresí il paper dell’UNCTAD ‘Global competition law and policy approaches to digital markets’, 22 marzo 2024.

[64] Comunicazione della Commissione europea ‘Una strategia europea per i dati’, COM/2020/66.

[65] Si veda, inter alia, Associazione Nazionale fra le Imprese Assicuratrici (ANIA), Strategia digitale europea. 2021.

[66] Si veda V. H.S.E. Robertson, ‘The Complementary Nature of the Digital Markets Act and Articles 101 and 102 TFEU’, Journal of Antitrust Enforcement, 2024, vol 12, p. 327.

[67] Si veda il considerando 11 del Regolamento (UE) 2022/1925.

[68] Il 6 settembre 2023 la Commissione europea ha designato per la prima volta sei gatekeepers – Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft – ai sensi del DMA. Il 29 aprile 2024 la Commissione ha designato Apple per quanto riguarda il suo iPadOS, il suo sistema operativo per tablet, come gatekeeper. Il 13 maggio 2024 la Commissione ha inoltre designato Booking come gatekeeper per il suo servizio di intermediazione online ‘Booking.com’. In totale, sono stati designati 24 servizi di piattaforma di base forniti da tali gatekeepers.

[69] Si vedano gli articoli 5, 6 e 7 del DMA.

[70] L’iter legislativo del DMA è intrinsecamente connesso alla prassi di applicazione degli abusi di posizione dominante nei mercati digitali. V. H.S.E. Robertson, ‘The Complementary Nature of the Digital Markets Act and Articles 101 and 102 TFEU’, citato, p. 326.

[71] Resta ferma la possibilità per il gatekeeper di procedere al trattamento dei dati personali o far accedere con registrazione gli utenti finali ad un servizio, avvalendosi di basi giuridiche appropriate ai sensi del RGPD. Si veda il considerando 36 del DMA.

[72] Il DMA precisa che “in via eccezionale, se il consenso non può essere prestato direttamente al servizio di piattaforma di base del gatekeeper, gli utenti finali dovrebbero poter prestare il proprio consenso tramite ciascun servizio di terzi che si avvale di tale servizio di piattaforma di base, per consentire al gatekeeper di trattare dati personali ai fini della fornitura di servizi pubblicitari online” (considerando 37).

[73] Considerando 37 del DMA.

[74] L’obbligo di informare la Commissione di progetti di concentrazione sussiste “qualora le entità partecipanti alla concentrazione o l’oggetto della concentrazione forniscano servizi di piattaforma di base o qualsiasi altro servizio nel settore digitale o consentano la raccolta di dati” (art. 14 del DMA).

[75] Si veda l’art. 18 del DMA.

[76] Il DMA concede anche alla Commissione europea poteri per effettuare ispezioni, inviare richieste per informazioni, intervistare i dipendenti delle imprese in caso di sospetta violazione del DMA, condurre indagini di mercato, irrogare sanzioni pecuniarie. La Commissione è autorizzata a emettere sanzioni in caso di inosservanza fino al 10% del fatturato totale di quest’ultimo realizzato a livello mondiale nel corso del precedente esercizio finanziario, soglia che può salire al 20% se l’impresa commette multiple violazioni nel corso di un periodo di otto anni. Inoltre, se la Commissione ritiene che queste violazioni abbiano raggiunto un livello elevato di “inosservanza sistematica”, può anche adottare rimedi comportamentali o strutturali.

[77] Si vedano le notizie pubblicate sui siti della Commissione e dell’EDPB il 10 settembre 2024 intitolati rispettivamente ‘Commission services and EDPB will start joint work on guidance on the interplay between DMA and GDPR’ e ‘EDPB to work together with European Commission to develop guidance on interplay GDPR and DMA’.

[78] Vi sono tre aree in cui è essenziale assicurare la coerenza tra gli obblighi imposti ai gatekeepers dal DMA e quelli derivanti dal RGPD: a) accesso e condivisione dei dati: il DMA impone ai gatekeepers di facilitare l’accesso ai dati per le aziende e gli utenti. Tuttavia, il RGPD impone condizioni rigorose su come devono essere gestiti i dati personali, garantendo che qualsiasi trattamento dei dati sia lecito, trasparente e rispetti i diritti degli interessati. La cooperazione tra la Commissione e l’EDPB deve chiarire in che modo i gatekeepers possono rispettare entrambe le serie di obblighi senza violare i diritti in materia di protezione dei dati; b) interoperabilità e privacy dei dati: l’interoperabilità richiesta dal DMA potrebbe imporre ai gatekeepers di consentire l’accesso di terzi alle loro piattaforme. Ciò potrebbe sollevare preoccupazioni ai sensi del RGPD, in cui la condivisione dei dati personali deve spesso rispettare il requisito del consenso e misure di sicurezza. L’EDPB e la Commissione dovrebbero chiarire come gli obblighi di interoperabilità previsti dal DMA vadano applicati nel rispetto dei principi sul trattamento dei dati personali sanciti dal RGPD. c) concorrenza basata sui dati e diritti degli utenti: il RGPD fornisce agli individui il controllo sui propri dati, mentre il DMA cerca di abbattere il controllo monopolistico che i gatekeepers hanno sui dati degli utenti. La cooperazione tra la Commissione e l’EDPB deve garantire che i gatekeepers rispettino sia i requisiti di portabilità dei dati previsti dal RGPD che gli obblighi dettati dal DMA senza generare conflitti normativi.

[79] L’art. 19a GWB è uno strumento moderno che prevede una procedura in due fasi: nella prima fase (art. 19a, paragrafo 1 GWB) il BKartA può emettere una decisione in cui dichiara che un’impresa che opera in misura significativa sui mercati è di fondamentale importanza per la concorrenza tra i mercati. La validità di tale decisione è limitata a cinque anni dopo che diventa definitiva. Nella seconda fase (art. 19a, paragrafo 2, GWB), il BKartA può vietare a tale impresa di tenere determinati comportamenti.

[80] È stato sottolineato che la Germania, con la sua modifica della Sezione 19a GWB, è stata la prima giurisdizione a rivedere il proprio pacchetto di misure a tutela della concorrenza per affrontare specificatamente le questioni relative alla concorrenza ecosistemica nei mercati digitali (J. van den Boom – S. Hinck – O. Andriychuk – R. Podszun, ‘Digital Regulation Synthesis: Comparative Analysis of the DMA, Sec. 19a and the DMCCA’, SCiDA Discussion Paper, 1, 2024, p. 1).

[81] La Sezione 19a del GWB, intitolata ‘Comportamento abusivo di imprese di fondamentale importanza per la concorrenza su tutti i mercati dispone’:

“(1) Il Bundeskartellamt può emettere una decisione con la quale dichiara che un’impresa che opera in misura significativa sui mercati ai sensi dell’articolo 18, paragrafo 3a, riveste un’importanza fondamentale per la concorrenza tra i mercati. Nel determinare l’importanza preminente di un’impresa per la concorrenza su tutti i mercati, si tiene conto in particolare:

1. la sua posizione dominante su uno o più mercati,

2. la sua solidità finanziaria o il suo accesso ad altre risorse,

3. la sua integrazione verticale e le sue attività su mercati altrimenti connessi,

4. l’accesso ai dati rilevanti per la concorrenza,

5. la rilevanza delle sue attività per l’accesso dei terzi ai mercati di fornitura e di vendita e la relativa influenza sulle attività commerciali dei terzi.

La validità della decisione emessa ai sensi della frase 1 deve essere limitata a cinque anni dalla data in cui diventa definitiva.

(2) Nel caso di una decisione dichiarativa emessa ai sensi del comma (1), il Bundeskartellamt può vietare a tale impresa di

1. privilegiare le proprie offerte rispetto a quelle dei concorrenti nell’intermediazione dell’accesso ai mercati di approvvigionamento e di vendita, in particolare

a) presentare le proprie offerte in modo più favorevole;

b) preinstallando esclusivamente le proprie offerte sui dispositivi o integrandole in altro modo nelle offerte fornite dall’impresa;

2. l’adozione di misure che ostacolino l’esercizio della loro attività da parte di altre imprese sui mercati dell’approvvigionamento o della vendita, qualora le attività dell’impresa siano rilevanti per l’accesso a tali mercati, in particolare

a) adottare misure che comportino la preinstallazione o l’integrazione esclusiva delle offerte fornite dall’impresa;

b) impedire ad altre imprese di pubblicizzare le proprie offerte o di raggiungere i propri acquirenti attraverso altri canali oltre a quelli forniti o mediati dall’impresa, o rendere più difficile per altre imprese farlo;

3. ostacolare, direttamente o indirettamente, i concorrenti su un mercato sul quale l’impresa può espandere rapidamente la propria posizione anche senza essere dominante, in particolare

a) collegare l’utilizzo di un’offerta fornita dall’impresa all’uso automatico di un’altra offerta fornita dall’impresa che non è necessaria per l’utilizzo della prima offerta, senza dare all’utente dell’offerta una scelta sufficiente per stabilire se e come utilizzare l’altra offerta;

b) subordinare l’utilizzo di un’offerta fornita dall’impresa all’utilizzo di un’altra offerta fornita dall’impresa;

4. creare o innalzare sensibilmente barriere all’ingresso nel mercato o ostacolare in altro modo altre imprese mediante il trattamento di dati pertinenti per la concorrenza raccolti dall’impresa, o esigere termini e condizioni che consentano tale trattamento, in particolare

a) subordinare l’utilizzo dei servizi all’accettazione da parte dell’utente del trattamento dei dati provenienti da altri servizi dell’impresa o da un fornitore terzo, senza dare all’utente una scelta sufficiente in merito a se, come e per quale scopo tali dati sono trattati;

b) trattare dati rilevanti per la concorrenza ricevuti da altre imprese per scopi diversi da quelli necessari per la fornitura dei propri servizi a tali imprese, senza dare a queste ultime una scelta sufficiente in merito a se, come e per quale scopo tali dati sono trattati;

5. rifiutare o rendere più difficile l’interoperabilità dei prodotti o dei servizi o la portabilità dei dati, ostacolando in tal modo la concorrenza;

6. fornire ad altre imprese informazioni insufficienti sulla portata, la qualità o il successo del servizio reso o commissionato, o rendere in altro modo più difficile per tali imprese valutare il valore di tale servizio;

7. esigere vantaggi sproporzionati rispetto ai motivi della domanda per la gestione delle offerte di un’altra impresa, in particolare

a) richiedere il trasferimento di dati o diritti che non sono assolutamente necessari ai fini della presentazione di tali offerte,

b) subordinare la qualità di presentazione di tali offerte al trasferimento di dati o diritti che non siano ragionevolmente necessari a tale scopo.

Ciò non si applica nella misura in cui il rispettivo comportamento sia obiettivamente giustificato. A tale riguardo, l’onere della dimostrazione e della prova incombe all’impresa. L’articolo 32, paragrafi 2 e 3, gli articoli 32a e 32b si applicano mutatis mutandis. L’ordinanza di cui al comma (2) può essere combinata con la dichiarazione di cui al comma (1).”

Su questa norma si veda T. Bauermeister, ‘Section 19a GWB as the German “Lex GAFA” – lighthouse project or superfluous national solo run?’, Working Paper Series No. 23/22.

[82] Decisione ai sensi dell’art. 19a par. 2 frase 4 in combinato disposto con l’art. 32b(1) GWB sul caso B7-70/21.

[83] I servizi offerti da Google includono Android, Android Auto, Android Automotive (OS), Android TV, Chrome, Gmail, Google Assistant, Google Calendar, Google Drive, Google Maps, Google News, Google Photos, Google Play, Google Search, Google Wallet, YouTube and Google Hardware (Pixel smartphones, Chromecast, Google TV and Google Nest Hub). Essi sono in larga misura finanziati mediante la pubblicità online.

[84] Come si legge nella decisione del BkartA, sia la politica sulla privacy e i testi contenuti nelle finestre di dialogo relative ai servizi Google sono qualificabili come “condizioni commerciali” ai sensi del diritto della concorrenza. Una delle fattispecie di abuso di posizione dominante consiste per l’appunto nell’imporre prezzi di acquisto, di vendita o altre condizioni contrattuali ingiustificatamente gravose.

[85] Google raccoglie e utilizza a fini commerciali: i dati che gli utenti forniscono a Google quando utilizzano i servizi Google (ad esempio i dati caricati dagli utenti quando utilizzano i servizi Google); i dati che Google raccoglie quando vengono utilizzati i servizi Google, ovvero i dati sulle applicazioni mobili, sul browser di navigazione Internet e sui dispositivi utilizzati dagli utenti, dati sulle loro attività (ad esempio, ricerche e acquisti online), dati sulla posizione degli utenti; dati dell’utente su siti web e applicazioni mobili di terze parti raccolti mediante cookies, pixel, tags e SDK; dati provenienti da terzi, ad esempio dai suoi partners di marketing e sicurezza.

[86] Come si spiega nella decisione del BkartA, gli utenti non hanno la possibilità di opporsi al trattamento dei dati cross-service e di limitare il trattamento dei dati al servizio utente finale di Google in cui i dati sono stati generati. Gli utenti possono solo scegliere di accettare la personalizzazione in tutti i servizi o di disattivare del tutto la personalizzazione, inclusi anche la personalizzazione in base ai dati raccolti nello specifico servizio utilizzato. A causa di questa mancanza di granularità, gli utenti non sono messi in condizione di compiere una scelta libera quanto alle modalità di trattamento dei loro dati. Essi potrebbero essere indotti a consentire ad un trattamento dei dati più ampio di quello che effettivamente desiderano accettare. Inoltre, quando gli utenti utilizzano un servizio accedendo a un account o senza un account, Google prevede la possibilità di un trattamento dei dati ‘cross-service’ per determinate aree senza dare agli utenti la possibilità di rifiutarlo. Pertanto, gli utenti che desiderano utilizzare uno dei servizi di Google non hanno quindi altra scelta che accettare il trattamento dei loro dati ’cross-service’, secondo la logica del ‘prendere o lasciare’.

[87] Come si legge nella decisione del BkartA, quando si crea un account Google non vi è equivalenza tra consenso e rifiuto del consenso. Questo perché nell’ambito della cosiddetta ‘personalizzazione espressa’ gli utenti possono solo accettare l’opzione di trattamento dei dati prevista, ma non hanno alcuna possibilità di rifiutarla. Il rifiuto è possibile solo nell’ambito della cosiddetta ‘personalizzazione manuale’, che richiede molti più click da parte degli utenti. Per gli utenti è quindi più semplice acconsentire che rifiutare il trattamento dei loro dati ‘cross-service’. In questo modo Google esercita un’influenza irragionevole sulla decisione degli utenti privandoli di una scelta libera e “sufficiente”.

[88] Il BkartA ha confermato che restano impregiudicata la possibilità per l’autorità garante della privacy di applicare le norme del RGPD nei confronti di Google. Ovviamente questo dovrà avvenire nel rispetto del principio del ne bis in idem.

[89] Ai sensi degli impegni vincolanti per Google, esiste una “scelta sufficiente” se agli utenti viene data un’opzione di scelta tra acconsentire o rifiutare il trattamento dei dati cross-service per ciascun servizio e finalità di trattamento e se gli utenti possono acconsentire al trattamento dei dati personali ai sensi dell’art. 4 n. 11 e dell’art. 7 del RGPD, il che significa che Google deve disegnare le opzioni di scelta in modo che gli utenti possano fornire il consenso in modo libero, specifico, informato e inequivocabile. Google si impegna inoltre ad astenersi dal trattamento dei dati cross-service come previsto dagli impegni, a meno che i termini di trattamento dei dati non offrano agli utenti opzioni di scelta sufficienti e l’utente in questione abbia acconsentito al trattamento dei dati cross-service sulla base delle opzioni di scelta da offrire.