Interacțiunea dintre concurență, protecția consumatorilor și GDPR. Care, cum și când ar trebui să intervină?
Regulile în materie de concurență, protecția consumatorilor și protecția datelor cu caracter personal împărtășesc obiectivul general de a proteja bunăstarea persoanelor fizice în economia de piață, în principal prin corectarea disproporției de putere dintre acestea și operatorii economici.
În contextul digitalizării, au apărut o serie de „erori ale pieței”, precum asimetria informației (în special în materia prelucrării datelor cu caracter personal), care au ridicat dileme în rândul autorităților la nivel european cu privire la legislația din perspectiva căreia un anumit comportament ar trebui investigat.
S-a pus problema dacă nu cumva încălcarea regulilor de protecție a consumatorilor sau de protecție a datelor cu caracter personal de către unii operatori nu le conferă acestora un avantaj prin raportare la concurenții lor (care ar respecta reglementările respective).
Deseori, legislația de concurență este văzută ca fiind cel mai la îndemână instrument pentru sancționarea practicilor și clauzelor abuzive impuse de platformele dominante online utilizatorilor finali. Cu toate acestea, abordarea este neunitară, existând și păreri conform cărora astfel de clauze ar trebui lăsate mai degrabă în sarcina autorităților de protecție a datelor sau de protecția consumatorilor.
Cel mai reprezentativ precedent, care de altfel a dat naștere dezbaterii privind conflictul dintre cele trei seturi de legislații este cel al investigațiilor derulate de autoritățile naționale din Germania și Italia cu privire la modul de prelucrare a datelor cu caracter personal de către Facebook.
În Germania, la început de 2019, Bundeskartellamt a considerat necesar să intervină și să interzică drept anticoncurențiale termenii și condițiile Facebook prin care utilizatorii care doreau să folosească platfoma erau constrânși să își dea consimțământul cu privire la colectarea de date despre aceștia de către alte website-uri sau aplicații și atribuirea acestor date contului de pe Facebook.
Autoritatea din Germania și-a argumentat poziția susținând, printre altele, că rețelele de socializare sunt produse bazate pe date. Datele cu caracter personal ale utilizatorilor au fost considerate a fi contravaloarea serviciului furnizat de Facebook. În opinia autorității de concurență germane, impunerea unor condiții de afaceri inferioare celor la care consumatorii ar fi avut acces în prezența unei concurențe efective poate constitui un abuz de poziție dominantă. Astfel, prelucrarea excesivă a unor date personale ale utilizatorilor nu este relevantă doar din perspectiva autorităților de protecția datelor, ci și din punctul de vedere al autorităților de concurență.
Ordinul Bundeskartellamt a fost suspendat în septembrie 2019, iar motivele principale care rezultă din decizia judecătorului german sunt (i) faptul că autoritatea de concurență nu a analizat care ar fi fost nivelul „competitiv” de date care ar fi putut fi prelucrate de Facebook; (ii) utilizatorii au agreat să furnizeze datele către Facebook prin semnarea termenilor și condițiilor, iar aceste date le sunt și lor disponibile în continuare; (iii) mai mult de jumătate dintre persoanele fizice din Germania nu dețin cont de Facebook, deci există o opțiune reală pentru consumatori (aceea de a nu adera la o anume platformă online) sau (iv) autoritatea nu a demonstrat cauzalitatea dintre dominanța Facebook și pretinsa conduită ilegală (prelucrarea unor date excesive).
O poziție diferită de cea a Bundeskartellamt a fost adoptată în același timp în Italia unde, în noiembrie 2018, în cadrul unei investigații care a privit mai multe practici, politica Facebook în materia colectării datelor la momentul înregistrării pe platfomă, care permitea acesteia – fără consimțământul expres și prealabil al utilizatorilor – să transmită datele lor de la platformă către website-uri și aplicații terțe și vice-versa, a fost calificată ca încălcând o serie de prevederi din Codul Consumului.
Observăm astfel cum ambele autorități au investigat fluxul automat de date cu caracter personal între Facebook și terțe părți, însă din perspective total diferite. Analizate în paralel, cele două decizii ridică o întrebare legitimă: cum și când știm ce autoritate va interveni cu privire la un anumit comportament privind prelucrarea datelor?
Existența mai multor seturi de legislații care vizează același comportament riscă să genereze incertitudine juridică pentru companii. Astfel, există posibilitatea (cel puțin teoretică) ca acestea să fie sancționate de mai multe ori pentru același comportament, pe baza unor temeiuri legale diferite.
Riscul este cu atât mai mare cu cât tendința la nivel european și național este de aliniere a regimurilor sancționatorii la cel existent în materie de concurență și, mai nou, de GDPR.
În cazul de față, răspunsul e posibil să fi rezultat din situația specifică a autorităților implicate. Autoritatea din Italia, care avea competențe atât în materie de concurență, cât și de protecție a consumatorilor, a avut posibilitatea de a opta pentru o cale relativ mai simplă – sancționând comportamentul Facebook pe baza legislației de protecție a consumatorilor nu a (mai) avut sarcina de a face o analiză de piață sau de a determina dacă Facebook deține o poziție dominantă, necesară pentru calificarea comportamentului acesteia drept anticoncurențial.
Cu toate acestea, un astfel de răspuns nu aduce predictibilitate companiilor, pentru că nu este justificat de factori obiectivi, ușor de apreciat și de înțeles de către companii.
În acest context, considerăm că devine esențială cooperarea între autoritățile de reglementare, fiind preferabilă mandatarea aceleia dintre ele care are instrumentele necesare pentru a investiga și analiza în întreaga complexitate conduita vizată, pentru a se asigura astfel înțelegerea completă și corectă a impactului și gravității sale, înțelegând că doar în acest mod poate fi asigurat caracterul proporționat al sancțiunilor aplicate.
Un articol semnat de Carmen Peli, Partner și Oana Ambrozie, Senior Associate, PeliPartners