Prin hotărârea recent adoptată în cazul Meta Platforms (fostă Facebook), Curtea de Justiţie a Uniunii Europene (CJUE) setează o bornă în privinţa colaborării dintre autorităţile de concurenţă şi cele de supraveghere în domeniul protecţiei datelor cu caracter personal.
Meta Platforms gestionează Facebook în UE, dar şi alte servicii online, inclusiv Instagram şi WhatsApp. Modelul economic al reţelelor sociale gestionate de Meta Platforms constă în esenţă, pe de o parte, în oferirea de servicii gratuite de tip social media (inclusiv) persoanelor fizice şi, pe de altă parte, în vânzarea de publicitate online, adaptată preferinţelor acestor utilizatori ai reţelei sociale. În acest din urmă caz este aşadar vorba de marketing direct menit să prezinte utilizatorilor produsele şi serviciile care i‑ar putea interesa, în special în funcţie de preferinţele de consum, de interese, de puterea de cumpărare şi de circumstanţele personale ale acestora.
Autoritatea germană de concurenţă (Bundeskartellamt) a iniţiat o investigaţie împotriva Meta Platforms privind un potenţial abuz de poziţie dominantă, în urma căreia, prin decizia adoptată, i-a interzis utilizarea datelor cu caracter personal obţinute prin condiţionarea folosirii Facebook de către persoanele fizice care au reşedinţa în Germania, de prelucrarea datelor lor off Facebook. În concret este vorba de respectiv prelucrarea a acelor date referitoare la activităţi în afara reţelei sociale, cum ar fi datele privind folosirea unor aplicaţii terţe sau vizitarea unor pagini de internet conectate la Facebook prin intermediul interfeţelor de programare sau datele referitoare la utilizarea altor servicii online care aparţin grupului Meta, cum ar fi Whatsapp sau Instagram. Bundeskartellamt a argumentat că această prelucrare „forţată” a datelor cu caracter personal constituie un abuz de poziţie dominantă a Meta Platforms pe piaţa reţelelor sociale pentru persoanele fizice cu reşedinţa în Germania, în sensul legii concurenţei.
Meta Platforms a atacat decizia autorităţii de concurenţă în faţa Tribunalului Regional Superior din Düsseldorf, care, la rândul său, a decis să adreseze CJUE mai multe întrebări preliminare prin care să verifice, în esenţă, compatibilitatea cu art. 51 din Regulamentul nr. 679/2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (RGPD), a faptului că o autoritate naţională de concurenţă a unui stat membru, care nu este o autoritate de supraveghere în domeniul protecţiei datelor cu caracter personal constată, în cadrul unei investigaţii privind un potenţial abuz de poziţie dominantă, o încălcare a RGPD prin condiţiile contractuale care privesc prelucrarea datelor cu caracter personal şi emite o decizie privind încetarea acestei încălcări.
Decizia CJUE cuprinde câteva concluzii de referinţă, de importanţă deosebită pentru practicienii dreptului concurenţei şi pentru cei din domeniul protecţiei datelor cu caracter personal, respectiv:
O autoritate de concurenţă poate verifica efectele unui potenţial comportament abuziv al unei întreprinderi aflate într-o poziţie de dominanţă pe piaţa relevantă, inclusiv prin raportare la conformitatea sau neconformitatea unui astfel de comportament cu dispoziţiile RGPD. Un astfel de comportament contrar RGDP poate constitui, dacă este cazul, un indiciu important pentru a evalua efectele de piaţă ale unei anumite practici anticoncurenţiale;
În cadrul investigării unui potenţial abuz de poziţie dominantă, se poate dovedi necesar ca autoritatea de concurenţă a statului membru în cauză să examineze şi conformitatea comportamentului acestei întreprinderi cu alte norme decât cele care intră sub incidenţa dreptului concurenţei, precum normele în materie de protecţie a datelor cu caracter personal prevăzute de RGPD;
Cu toate acestea, autoritatea de concurenţă nu se va substitui sub nicio formă autorităţii competente de supraveghere în domeniul datelor cu caracter personal (în sensul că nu va aplica măsurile sancţionatorii prevăzute de legislaţia în materia protecţiei datelor cu caracter personal), ci se va limita la a semnala neconformitatea unei prelucrări cu RGPD numai în scopul de a constata un abuz de poziţie dominantă, în temeiul legislaţiei specifice de dreptul concurenţei; prin urmare, autoritatea de supraveghere competentă în domeniul protecţiei datelor cu caracter personal îşi păstrează libertatea de a investiga şi sancţiona aceeaşi faptă, conform legislaţiei specifice;
Atunci când o autoritate de concurenţă are îndoieli cu privire conformitatea unui comportament care este supus aprecierii unei alte autorităţi administrative, va exista, desigur, obligaţia cooperării în mod loial cu autorităţile de supraveghere competente în domeniul protecţiei datelor cu caracter personal pentru a verifica dacă îndoielile lor sunt adeverite sau să stabilească dacă este necesară adoptarea unei decizii de către autoritatea de supraveghere înainte de a efectua propria apreciere;
Poate argumentul cel mai semnificativ enunţat de CJUE în cuprinsul deciziei analizate (dar care nu este o noutate pentru specialiştii în dreptul concurenţei) este cel privind neexcluderea normelor relevante din alte domenii ale dreptului Uniunii (şi, credem noi, dreptului naţional în cazul investigării unei încălcări a dreptului naţional), cum ar fi normele de protecţie a datelor cu caracter personal, din cadrul juridic de analiză al unui potenţial abuz de poziţie dominantă efectuat de autorităţile de concurenţă competente. O interpretare îngustă, prin care autorităţile de concurenţă nu ar putea analiza conformitatea acţiunilor unui dominant cu normele relevante din alte arii de reglementare, nu ar respecta realităţile evoluţiei economice, prejudiciind efectivitatea dreptului concurenţei în cadrul Uniunii. De aceea, atunci când analizează un potenţial abuz de poziţie dominantă, din perspectiva art. 102 TFUE, o autoritate de concurenţă poate constata că nu sunt conforme cu RGPD condiţiile generale de prelucrare a datelor cu caracter personal utilizate de întreprinderea investigată, în măsura în care această constatare este necesară pentru a stabili existenţa unui abuz.
Decizia instanţei europene va avea cu siguranţă un ecou puternic în sfera serviciilor societăţii informaţionale, incluzând aici nu doar furnizorii de reţele sociale, ci şi deţinătorii de platforme online, care vor fi obligaţi să trateze cu o atenţie sporită modul în care colectează consimţământul pentru anumite prelucrări de date cu caracter personal care nu sunt necesare pentru executarea contractului, regula fiind de a nu-i prejudicia sau afecta negativ, respectiv de nu-i obliga să renunţe integral la utilizarea serviciului oferit.