Rivista Orizzonti del Diritto CommercialeISSN 2282-667X
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo pdf articolo pdf fascicolo


Sulle “relazioni pericolose” fra antitrust e privacy nei mercati digitali (di Gustavo Olivieri )


Il presente articolo si propone di analizzare, anche alla luce della recente casistica nazionale ed eurounitaria, le possibili tensioni intercorrenti tra il diritto alla protezione dei dati personali e la normativa antitrust nei mercati digitali. In tale contesto, infatti, un approccio eccessivamente restrittivo circa la salvaguardia dei dati personali rischia di determinare un incremento delle barriere all’entrata; per converso, un approccio più accomodante potrebbe rafforzare la posizione dominante delle grandi piattaforme del web, a detrimento dei concorrenti e dei consumatori.

Prendendo le mosse dal differente orientamento mostrato sul punto dalla Commissione europea nei casi di concentrazione Facebook/WhatsApp del 2014 e Microsoft/Linkedin del 2016, l’indagine si sofferma in primo luogo sulla decisione del Bundeskartellamt tedesco nei confronti di Facebook del 2019, nell’ambito della quale l’acquisizione non libera del consenso ai fini privacy da parte dell’operatore dominante è stata riconosciuta come abusiva a prescindere dalle regole sul trattamento dei dati personali. A livello nazionale, invece, si segnala l’approccio più “duttile” seguito sin qui dall’AGCM, caratterizzato dall’adozione di un sistema di enforcement che si snoda sul duplice binario della tutela del consumatore (caso Whatsapp del 2017 e casi Google, Apple e Dropbox del 2020) e dell’abuso di posizione dominante (casi Enel e Acea del 2018 e il caso, ancora in fase istruttoria, nei confronti di Google sul digital advertising).

L’analisi condotta, che denota una scarsa incisività dei rimedi antitrust in questo settore, si conclude con uno sguardo alle recenti iniziative adottate dalla Competition and Markets Authority britannica (la costituzione di un’apposita Digital Markets Unit) e dalla Commissione europea (la bozza di Regolamento sul Digital Markets Act), le quali sembrano confermare una propensione per una disciplina regolatoria ex ante del potere di mercato acquisito dalle grandi piattaforme del web, in aggiunta all’intervento ex post attualmente previsto dalla normativa a tutela della concorrenza.

The “dangerous relationship” between antitrust and privacy in digital markets

This article aims at analyzing, also in light of the recent Italian and EU case-law, the possible overlapping between the right to personal data protection and antitrust law in digital markets. In this context, indeed, a restrictive approach to the protection of personal data may increase barriers to entry; on the other hand, a more accommodating approach may strengthen the dominant position of large web platforms, to the detriment of competitors and consumers.

Starting from a different orientation shown on this point by the European Commission in the 2014 Facebook/WhatsApp and the 2016 Microsoft/Linkedin merger cases, the article focuses on the 2019 decision of the German Bundeskartellamt against Facebook, where the acquisition of a not-freely given of consent for privacy purposes by the dominant operator was recognized as abusive regardless of the rules on the processing of personal data. At national level, on the other hand, the Italian Competition Authority (AGCM) so far has followed a more flexible approach, basing its enforcement tools both on consumer protection (see Whatsapp case in 2017 and Google, Apple and Dropbox cases in 2020) and on abuse of dominant position (see Enel and Acea cases in 2018 and the case against Google on digital advertising, still under investigation).

The analysis concludes with the recent initiatives taken by the UK Competition and Markets Authority (the establishment of a special Digital Markets Unit) and the European Commission (the draft Regulation on the Digital Markets Act), which seem to confirm an inclination for an ex ante regulatory discipline of the market power gained by the large web platforms, instead of the ex post intervention currently provided for by traditional antitrust rules.

Keywords: antitrust – privacy – digital – personal data – Digital Markets Act – mergers

Sommario/Summary:

1. Data driven economy e tutela dei dati personali. - 2. Tutela dei dati personali e controllo delle concentrazioni. - 3. Il caso Facebook del Bundeskartellamt tedesco. - 4. L’approccio “duttile” dell’AGCM tra antitrust e tutela del consumatore. - 5. Il Digital Advertising e il caso A542 avviato dall’AGCM nei confronti di Google. - 6. Il problema dell’enforcement antitrust nei mercati digitali e la necessità di un intervento del regolatore. - 7. La proposta di Regolamento europeo sul Digital Market Act e la “speciale responsabilità” dei Gatekeepers. - NOTE


1. Data driven economy e tutela dei dati personali.

Il ruolo centrale dei dati nei mercati digitali e nella c.d. data driven economy è stato ben evidenziato, anche di recente, dall’Indagine Conoscitiva congiunta AGCM-AGCOM-GPDP sui Big Data (IC 53 del febbraio 2020 [1]). In questo più ampio contesto, vengono in considerazione i dati personali, come definiti dalla normativa sulla privacy, sia in quanto oggetto di specifica tutela, sia in quanto strumento di attività e pratiche concorrenziali sicuramente rilevanti per il diritto antitrust, come dimostrano alcuni interessanti casi avviati dalle Autorità di concorrenza sia in Italia che in altri Paesi UE. Il tipo d’in­terazione fra le due discipline, entrambe di rango costituzionale, non appare tuttavia scontato, soprattutto se valutato nell’ottica, che qui interessa, del rilievo che la normativa sulla privacy può assumere sotto il profilo antitrust. In particolare, come si osserva nella già citata Indagine congiunta sui Big Data, potrebbe configurarsi “una possibile tensione tra diritto alla protezione dei dati e concorrenza”. Così, ad esempio, “un approccio molto restrittivo volto a salvaguardare la protezione dei dati personali potrebbe avere come conseguenza un aumento delle barriere all’entrata” nel mercato [2]. Per altro verso, un approccio accomodante in punto di raccolta e di validità del consenso per attività di profilazione e di on line advertising potrebbe rafforzare la posizione dominante di alcune grandi piattaforme a scapito non solo dei concorrenti ma anche dei consumatori, i quali vedrebbero in tal modo ridotta la loro possibilità di scelta [3]. Più in generale, se i dati personali costituiscono sovente il “prezzo” che l’utente (più o meno consapevolmente) paga per poter fruire di un servizio solo apparentemente “gratuito”, dovrebbe sussistere un nesso tra le modalità di formazione di quel prezzo e le dinamiche di mercato che esso, in teoria, dovrebbe rispecchiare. Il che induce anche a interrogarsi se un mercato pienamente concorrenziale sia effettivamente in grado di assicurare una tutela adeguata dei dati personali e, viceversa, se l’attuale regolazione in materia di privacy possa costituire un buon benchmark al fine di valutare la “giusta” quantità di dati che le [...]


2. Tutela dei dati personali e controllo delle concentrazioni.

Se dal punto di vista teorico le interazioni possibili fra antitrust e privacy appaiono interessanti e complesse, l’esame dei casi nei quali il tema dei rapporti fra le due discipline ha svolto effettivamente un ruolo nell’economia della decisione assunta dalle autorità o dai giudici fornisce indicazioni di segno diverso, avvalorando l’idea che i due plessi normativi assolvano funzioni e tutelino interessi diversi, non sempre sinergici tra loro. A tal fine, giova osservare in premessa che la consapevolezza della rilevanza del tema da parte delle Autorità di concorrenza è piuttosto recente. Ancora nel 2014, in occasione della concentrazione tra Facebook e WhatsApp (autorizzata senza condizioni), la Commissione si esprimeva nettamente nel senso che eventuali problemi di tutela della privacy connessi al­l’operazione “do not fall within the scope of the EU competition law rules but within the scope of the EU data protection rules” [5]. Soltanto due anni dopo, in occasione della concentrazione tra Microsoft e Linkedin (autorizzata con condizioni, caso M.8124, decisione del 16 dicembre 2016), la Commissione mostra una sensibilità diversa rispetto al tema in esame, riconoscendo come gli effetti di foreclosure derivanti dall’operazione riguarderebbero un concorrente “which offers a greater degree of privacy protection to users than Linkedln” e che di conseguenza la concentrazione “would also restrict consumer choice in relation to this important parameter of competition”, così anticipando una delle problematiche centrali dell’attuale dibattito sui rapporti fra privacy e antitrust.


3. Il caso Facebook del Bundeskartellamt tedesco.

Tuttavia, è solo con il provvedimento adottato dal Bundeskartellamt nei confronti di Facebook nel febbraio 2019 [6] che il tema dei rapporti tra privacy e antitrust forma per la prima volta oggetto di una specifica, approfondita analisi da parte di un’Autorità di concorrenza. Il caso, come noto, riguardava un abuso di posizione dominante (ai sensi della Section 19(1) GWB, non del­l’art. 102 TFUE) consistente nell’imposizione di condizioni generali di contratto ritenute in contrasto con la disciplina sulla protezione dei dati personali. Ad essere ritenuta abusiva è stata, in particolare, la Facebook’s data policy che avrebbe consentito alla società di raccogliere dati personali degli utenti da “fonti terze” e di combinarli con i dati raccolti su Facebook (senza un reale consenso degli utenti), in violazione del GDPR. Il provvedimento si basa sui seguenti assunti: a) Facebook detiene una posizione dominante nel mercato deisocial network; b) lapolicyseguita da Facebook per acquisire il consenso dei propri clienti al trattamento dei loro dati personali non è conforme al Regolamento UE sulla protezione dei dati personali, in quanto il consenso prestato dagli utilizzatori del servizio non sarebbe “libero”; c) il consenso sarebbe prestato in favore di un’impresa “super dominante”, in quanto titolare di una quota di mercato superiore al 90%. Dunque, “it cannot be assumed that users have a free choice within the meaning of data protection law”[7]; d) esisterebbe un chiaro nesso causale tra la posizione dominante e laviolazionedelle norme sulla privacy contestata a Facebook, nel senso che “the very fact that the company has a dominant position in the market means consent is not given voluntarily” [8]; e) sotto il profilo concorrenziale, la violazione della normativa sullaprivacyposta in essere da Facebook avrebbe rilevanti effetti negativi sia sui consumatori che sui concorrenti. I primi, in mancanza di alternative, non potrebbero optare in favore di un altro operatore. I secondi vedrebbero rafforzare ulteriormente il potere di mercato di cui già gode l’incumbent grazie alla raccolta illegale dei consensi al trattamento dei dati dei suoi clienti, con conseguente aumento delle barriere all’ingresso nel mercato dei social [...]


4. L’approccio “duttile” dell’AGCM tra antitrust e tutela del consumatore.

In parte diverso, e per certi versi più duttile, sembra essere l’approccio alle problematiche in esame sin qui seguito dall’AGCM, che si caratterizza per l’adozione di un “doppio binario”: da una parte, quello – più risalente ma tuttora utilizzato – costituito dalle pratiche commerciali scorrette previste dalla normativa a tutela del consumatore; dall’altra, quello consistente in un impiego più discreto e senz’altro più oneroso – ma non meno efficace – della fattispecie di abuso di posizione dominante prevista  dal diritto antitrust. Il primo filone viene inaugurato nel 2017 con una decisione nei confronti di Whatsapp [9] – che ricorda da vicino la vicenda esaminata dall’Autorità tedesca – nella quale l’AGCM ha qualificato come pratica commerciale aggressiva ai sensi degli articoli 19 e ss. del Codice del consumo “la condotta con cui Whatsapp ha acquisito il consenso dei propri utenti all’aggiornamento dei termini di utilizzo del servizio”. In particolare, l’indebito condizionamento delle scelte del consumatore sarebbe nella specie consistito nell’aver di fatto forzato gli utenti di WhatsApp Messenger ad accettare integralmente la condivisione dei loro dati con Facebook “facendo loro credere che sarebbe stato, altrimenti, impossibile proseguire nell’uso dell’applicazione” [10]. Interessante an­che la motivazione con la quale l’Autorità ha respinto l’eccezione d’incom­petenza per materia sollevata dalla parte, la quale aveva osservato come la materia fosse regolata dalla normativa sulla privacy. Secondo l’AGCM, in linea di principio, “la circostanza che alla condotta della parte sia applicabile il Codice della privacy non la esonera dal rispettare le norme in materia di pratiche commerciali scorrette, che rimangono applicabili con riferimento alle specifiche condotte poste in essere dal Professionista, finalizzate all’acquisi­zione del consenso alla condivisione dei dati personali” [11]. Per quanto concerne poi la specifica condotta aggressiva contestata all’impresa, consistente – come ricordato – nell’aver indebitamente condizionato i consumatori ad accettare la condivisione dei loro dati con Facebook, si osserva come [...]


5. Il Digital Advertising e il caso A542 avviato dall’AGCM nei confronti di Google.

Seguendo un approccio non dissimile da quello sopra indicato, l’AGCM ha recentemente avviato un procedimento per presunto abuso di posizione dominante nei confronti di Google (A542) [21] per comportamenti discriminatori posti in essere a danno dei concorrenti nei mercati in cui si articola la filiera del c.d. digital advertising. Pur essendo ancora in fase istruttoria, questo procedimento si segnala per una approfondita analisi delle caratteristiche di tali mercati e del ruolo che in essi svolge la profilazione dei potenziali destinatari del messaggio pubblicitario on line, a sua volta realizzata attraverso la raccolta ed il trattamento algoritmico dei dati personali degli utenti. Ogni qual volta chiediamo di accedere ad una pagina web, la nostra “impronta digitale” viene così messa all’asta e aggiudicata al miglior offerente nell’arco di pochi millesimi di secondo. In tutti i segmenti di questo mercato, Google detiene una posizione largamente dominante anche grazie alla enorme mole di dati personali di cui può disporre attingendo ai numerosi servizi che sono sotto il suo controllo diretto e indiretto (Gmail, GoogleMaps, Youtube, sistemi operativi Android e Google Chrome, solo per citare gli esempi più noti). In coerenza con l’approccio sin qui seguito, l’AGCM non si chiede se la policy seguita da Google per raccogliere il consenso degli utenti al trattamento dei loro dati personali a fini di profilazione e di invio di messaggi pubblicitari anche di terzi sia o meno conforme alla normativa sulla privacy. Certo, leggendo il provvedimento di avvio, qualche dubbio in proposito sembrerebbe lecito nutrirlo se è vero che, secondo il GPDP, affinché i trattamenti di dati effettuati per finalità di profilazione, anche realizzata con diverse modalità, soddisfino i requisiti degli artt. 23, 24 e 122 del Codice, non solo è necessario il consenso dell’interessato; ma tale consenso deve rispondere, ai fini della sua validità, ai requisiti di legge e pertanto deve essere libero, acquisito in via preventiva rispetto al trattamento medesimo, riferibile a trattamenti che perseguono finalità esplicite e determinate, informato e documentato per iscritto. È del pari necessario, in tal senso, che la sua espressione costituisca una inequivoca manifestazione di volontà da parte [...]


6. Il problema dell’enforcement antitrust nei mercati digitali e la necessità di un intervento del regolatore.

In conclusione, sembra di poter affermare che se i dati rappresentano il carburante dei mercati digitali, le scorte accumulate dai giganti del web grazie ai loro modelli di business sono tali da garantire loro un vantaggio competitivo destinato a crescere in misura esponenziale grazie alle ben note esternalità di rete che caratterizzano quei mercati e, soprattutto, difficilmente colmabile se non attraverso l’imposizione di obblighi di disclosure e di condivisione che le Autorità antitrust sembrerebbero finalmente intenzionate ad imporre. Alcuni nutrono, tuttavia, seri dubbi sull’effettiva capacità di queste misure di riequilibrare i rapporti concorrenziali nei mercati digitali o, quanto meno, di mitigare lo strapotere delle GAFAM, come l’enforcement delle misure imposte a Google nell’ambito della c.d. Google Saga sembrerebbe confermare [27]. In questa prospettiva si pone la richiesta, da più parti avanzata, di incidere direttamente sul modello di business degli over-the-top attraverso l’adozione di rimedi strutturali (tipo break-up), noti e praticati nell’esperienza antitrust statunitense, che di recente sembrano tornare di attualità nell’azione avviata dalla Federal Trade Commission statunitense nei confronti di Facebook [28]. L’alternativa potrebbe consistere nell’attribuire alle Autorità di concorrenza nuovi poteri di regolazione ex ante al fine di prevenire fenomeni – come quello della profilatura a fini di marketing (e del connesso fenomeno del c.d. targeted advertising) – che né il diritto antitrust né tanto meno le norme a tutela della privacy hanno dimostrato sin qui di saper disciplinare. Una prima risposta in questo senso sembra provenire dalla istituzione, in seno alla Competition and Markets Authority britannica, di un’apposita Digital Markets Unit, con il dichiarato intento di agevolare condizioni di parità tra i giganti del web e gli altri operatori attivi nell’ecosistema digitale (a partire dal­l’esame, congiuntamente all’Autorità di regolazione inglese Ofcom, di un codice di condotta volto a disciplinare il rapporto tra Big tech e fornitori di contenuti, al momento sbilanciato a favore dei [...]


7. La proposta di Regolamento europeo sul Digital Market Act e la “speciale responsabilità” dei Gatekeepers.

La recente pubblicazione del progetto di Regolamento sul c.d. “Digital Markets Act” [30] e il processo avviato in sede europea per la sua adozione sembrerebbero effettivamente andare in questa direzione, puntando a garantire mercati digitali più equi e aperti proprio per il tramite di un intervento regolamentare ex ante. Nella relazione che accompagna la proposta di regolamento UE, si afferma che “alcune grandi piattaforme agiscono sempre più spesso da Gatekeeper (controllori dell’accesso) tra utenti commerciali e utenti finali e beneficiano di una posizione consolidata e duratura, spesso risultante dalla creazione di ecosistemi conglomerati attorno ai loro servizi di piattaforma di base, che rafforza le barriere all’ingresso già esistenti”. “I gatekeeper – prosegue la relazione – hanno un impatto enorme sui mercati digitali nei quali sono radicati e ne controllano di fatto l’accesso, creando tra loro e molti utenti commerciali una forte dipendenza che sfocia talvolta in comportamenti sleali nei confronti di tali utenti. La situazione descritta ha inoltre effetti negativi sula contendibilità dei servizi di piattaforma di base in questione”. Pratiche sleali e mancanza di contendibilità creano a loro volta inefficienza nel settore digitale in termini di “prezzi più alti, qualità inferiore, minore scelta e minore innovazione”: insomma, l’esatto contrario di quel circolo virtuoso tra concorrenza e innovazione che viene descritto nei modelli teorici. Da qui la scelta (per certi versi obbligata, ma nient’affatto scontata) del legislatore europeo d’intervenire con nuovi strumenti di regolazione ex ante espressamente disegnati per imbrigliare l’enorme potere (non solo economico) nel frattempo acquisito dalle grandi piattaforme, che si affiancano, ma non sostituiscono, i tradizionali istituti posti a tutela della concorrenza e del mercato. Si tratta di due progetti di regolamento (noti rispettivamente come Digital Service Act e Digital Market Act) che sono stati pubblicati alla fine del­lo scorso anno. La proposta, infatti, prevede l’individuazione e la soggezione alla nuova disciplina dei cc.dd. Gatekeepers attraverso criteri quantitativi ben precisi: (i) fatturato annuo SEE superiore a 6,5 miliardi di euro negli ultimi tre anni o [...]


NOTE