Primo provvedimento del Tribunale in materia di DMA: i giudici di Lussemburgo respingono la domanda di sospensione proposta da Bytedance
Con l’ordinanza del 9 febbraio 2024 nella causa T‑1077/23 R, il Tribunale dell’Unione europea ha respinto la domanda, avanzata da Bytedance Ltd. (nel prosieguo: «Bytedance» o la «ricorrente»), di sospendere provvisoriamente l’esecuzione della decisione della Commissione che la designa come gatekeeper; tale provvedimento segna, così, la prima pronuncia dei giudici di Lussemburgo in materia di applicazione del Regolamento (UE) 2022/1925 sui mercati digitali (nel prosieguo: «DMA»).
Sebbene l’ordinanza si esprima sulla sola carenza dei requisiti necessari per l’ottenimento della misura provvisoria richiesta, essa risulta rilevante non solo per essere la prima decisione in materia di DMA, ma anche perché, da un lato, offre una prima idea di quello che potrebbe essere l’approccio del Tribunale rispetto a questa prima fase di attuazione dello stesso e, dall’altro, permette di chiarire ulteriormente l’interpretazione della Commissione su due norme centrali del DMA, quali gli artt. 5 e 15.
Per meglio comprendere il contenuto dell’ordinanza, è utile ricostruire brevemente il contesto entro cui essa si colloca. Il 6 settembre, la Commissione designava, ai sensi dell’art. 3 del DMA, Alphabet, Amazon, Apple, Meta, Microsoft e Bytedance come gatekeeper. Per quel che rileva nel caso di specie, la Commissione, con la decisione C(2023) 6102 final, designava Bytedance come gatekeeper in relazione al servizio di piattaforma TikTok, qualificato dalla Commissione come servizio di social network online – e non come servizio di piattaforma per la condivisione di video come, invece, sostenuto da ByteDance (si v. i punti 25 e ss. della decisione o il punto 10 della relativa sintesi in lingua italiana). Nella decisione in discorso, la Commissione concludeva che TikTok costituisce, ai sensi dell’art. 3 del DMA, un punto di accesso importante affinché gli utenti commerciali raggiungano gli utenti finali. Tale decisione di designazione comporta che, entro sei mesi (ossia entro il 6 marzo 2024, nel caso di specie), i gatekeeper designati dovranno conformarsi agli obblighi di cui agli artt. 5, 6 e 7 del DMA.
Come atteso, Meta, Apple e la stessa Bytedance hanno presentato ricorso dinanzi al Tribunale dell’UE chiedendo l’annullamento, a vario titolo, delle rispettive decisioni di designazione – sebbene si noti che in uno dei due ricorsi Apple abbia anche eccepito, in via subordinata, l’illegittimità, ai sensi dell’art. 277 del trattato sul funzionamento dell’Unione europea, dell’art. 6, par. 2, del DMA (domandandone, quindi, l’inapplicabilità). Anche Bytedance, tuttavia, col suo ricorso non ha solo domandato l’annullamento della decisione di designazione; nella medesima causa, la società ha altresì presentato un’istanza di procedimento accelerato ex art. 152 (che risulta essere stata accolta, come si legge dal punto 54 dell’ordinanza) e una domanda di sospensione dell’esecuzione della decisione di designazione ex art. 156 del regolamento di procedura del Tribunale (sulla quale, per l’appunto, ha deciso l’ordinanza in commento). Infatti, l’art. 156 del regolamento di procedura del Tribunale prevede che il ricorrente che abbia impugnato un atto di un’istituzione dell’UE dinanzi al Tribunale possa anche chiederne la sospensione dell’esecuzione qualora dimostri l’urgenza (periculum) e adduca argomenti che giustifichino prima facie la concessione di tale provvedimento provvisorio (fumus boni iuris).
Venendo al contenuto della domanda in discorso, Bytedance chiedeva di sospendere l’esecuzione della decisione sulla scorta del grave e irreparabile danno che le deriverebbe implementando gli obblighi di cui agli artt. 5, 6, 8, 11, 14, 15, 28 e seguenti del DMA cui devono sottostare i gatekeeper designati. Prima di addentrarsi nell’analisi dei singoli argomenti, è interessante osservare come la ricorrente, adottando tale strategia processuale, abbia deciso di provare a contestare – già in questa fase preliminare – la legittimità delle disposizioni in questione, senza dedurre un’eccezione di illegittimità ex art. 277 del trattato sul funzionamento dell’Unione europea.
Tuttavia, sebbene nella sua domanda la ricorrente facesse riferimento a tutte le sopraccitate disposizioni del DMA, dall’ordinanza risulta che essa abbia sviluppato i suoi argomenti sui soli pregiudizi che le deriverebbero dall’implementazione di quanto previsto agli artt. 15 e 5, par. 2, del DMA medesimo.
Rispetto all’art. 15, Bytedance lamenta che, per osservare gli obblighi ivi sanciti, essa dovrebbe condividere informazioni confidenziali relative ad aspetti tecnici e commerciali altamente strategici del suo core business (ossia la profilazione dei dati personali degli utenti finali); tale rischio di violazione di informazioni confidenziali comporterebbe un ingiustificato vantaggio commerciale per i suoi concorrenti e un grave e irreparabile pregiudizio per la ricorrente medesima.
L’art. 15 DMA dispone, al primo paragrafo, l’obbligo per il gatekeeper di: (i) predisporre una descrizione delle sue tecniche di profilazioni rispetto agli utenti del servizio di piattaforma per cui è stato designato (ossia TikTok nel caso di specie), (ii) sottoporre tale descrizione a un audit indipendente e, successivamente, (iii) presentare il risultato di tale processo alla Commissione e al comitato europeo per la protezione dei dati il risultato finale di tale processo di auditing. Al terzo paragrafo, invece, l’art. 15 dispone che il gatekeeper metta a disposizione del pubblico una panoramica non confidenziale della sopraccitata descrizione, tale da permettere ai terzi di avere una comprensione adeguata delle sue tecniche di profilazione – come specificato nel successivo template della Commissione dedicato all’implementazione dell’art. 15 del DMA.
Sulla scorta di quanto sopra, Bytedance sosteneva che tale condivisione di informazioni confidenziali altamente strategiche con i soggetti di cui al par. 1 e, soprattutto, col pubblico ai sensi del par. 3, le danneggerebbe irreversibilmente.
Il Tribunale, dal canto suo, respinge tale argomento aderendo in toto alle controdeduzioni presentate dalla Commissione. In primo luogo, quest’ultima rileva come Bytedance non abbia dimostrato in che cosa consista, in concreto, il rischio di violazione di informazioni confidenziali sul quale si fonda l’intera argomentazione della ricorrente; limitandosi a dedurre un rischio generico, essa: non ha indicato a quali informazioni confidenziali specifiche faccia riferimento, non ha provato perché queste debbano ritenersi confidenziali e rilevanti in ottica concorrenziale, né, tanto meno, ha definito in maniera soddisfacente in che cosa consista il danno grave e irreparabile che deriverebbe dalla condivisione di tali informazioni. A tal proposito, la Commissione, richiamando la consolidata giurisprudenza della Corte di giustizia dell’Unione europea, ha sottolineato come, al fine della concessione dei provvedimenti provvisori, sia necessario che il richiedente deduca elementi di prova concreti e precisi che, dimostrando dettagliatamente la situazione invocata, permettano di esaminare le conseguenze che verosimilmente deriverebbero dalla mancata concessione del provvedimento richiesto (si v. la sentenza Belgio/Commissione, punto 23) – cosa che, leggendo l’ordinanza, non risulta ByteDance abbia fatto.
Inoltre, la Commissione sostiene che, a prescindere, non è stato provato alcun rischio di violazione di informazioni confidenziali, dato che dovrebbe essere la ricorrente stessa a decidere quali sarebbero le informazioni da inserire nella versione pubblica della panoramica di cui all’art. 15, par. 3, del DMA – la cui redazione, per l’appunto, spetterebbe a quest’ultima. Per giunta, la Commissione rileva come lo stesso terzo paragrafo dell’art. 15, nonché il relativo template di implementazione già citato, garantiscano espressamente la protezione dei segreti commerciali e delle informazioni riservate. Così che, la violazione di informazioni confidenziali potrebbe aver luogo solo nel caso in cui la Commissione imponesse a Bytedance di aggiungere nella panoramica in discorso (al fine, si presume, di permettere ai terzi l’effettiva comprensione delle tecniche di profilazione) ulteriori informazioni che essa aveva invece omesso; di conseguenza, un ricorso basato sulle argomentazioni addotte da Bytedance potrebbe essere presentato solo successivamente a tale fase e avverso ai provvedimenti della Commissione che le dovessero imporre la condivisione di specifiche informazioni ritenute confidenziali dalla società. Rispetto alle informazioni di cui al par. 1 dell’art. 15, invece, la Commissione evidenzia come non sussista alcun rischio che esse vengano condivise con soggetti terzi, in quanto qualsiasi informazione acquisita dai funzionari della Commissione e dai revisori incaricati ai sensi del DMA è generalmente coperta dal segreto professionale che ne impedisce la diffusione.
In sostanza, quello che deriva da una lettura organica delle contestazioni della Commissione, è che il pregiudizio paventato da Bytedance circa l’applicazione dell’art. 15 non è attuale né tanto meno verosimile – rimandando l’eventuale dibattito circa la confidenzialità delle informazioni che le si chiede di rendere pubbliche a una fase successiva, ed eventuale, del processo di implementazione del DMA.
La seconda parte dell’ordinanza, invece, si concentra sul pregiudizio che, a dire della ricorrente, le deriverebbe dall’implementazione di quanto previsto all’art. 5, par. 2, del DMA. Infatti, Bytedance sostiene che il rispetto dei limiti di utilizzo dei dati personali ivi previsti, non solo comporterebbe un danno grave e irreparabile per la ricorrente, ma minaccerebbe la stessa tenuta del suo modello di business – vanificando, così, gli sforzi profusi da quest’ultima per acquisire e mantenere la sua posizione nel mercato europeo dei social network.
L’art. 5, par. 2, prevede un divieto generale in capo ai gatekeeper di non combinare o utilizzare in modo incrociato i dati personali degli utenti finali provenienti da diversi servizi di piattaforma offerti dal gatekeeper (o da terzi). Tale divieto, tuttavia, può essere superato dal consenso specifico fornito dall’utente a tale utilizzo (sebbene tale consenso, qualora negato, non potrà essere richiesto dal gatekeeper per un anno).
Non può sfuggire come tale disposizione rivesta un ruolo centrale nell’architettura del DMA, andando ad incidere direttamente sul modello economico dei gatekeeper e sulla base del loro vantaggio competitivo. Infatti, uno dei principali vantaggi di cui godono questi ultimi consiste proprio nel poter raccogliere, combinare ed elaborare in maniera incrociata i dati personali provenienti dalla vasta gamma di servizi di piattaforma offerti dal gatekeeper all’interno del proprio ecosistema (ad esempio, nel caso di Google, si può immaginare l’utilizzo incrociato dei dati forniti al momento dell’iscrizione al servizio di posta elettronica con quelli delle ricerche effettuate dal medesimo utente sul motore di ricerca, dai video da esso visualizzati e le applicazioni scaricate).
Proprio grazie alla combinazione di tutti questi dati, il gatekeeper è capace di effettuare una profilazione dell’utente molto più precisa rispetto ai suoi concorrenti di minori dimensioni; ciò comporta che esso potrà offrire all’utente stesso servizi altamente personalizzati (con i conseguenti effetti di lock-in che si verificano) e, ai propri clienti commerciali, una miriade di strumenti per aumentare l’efficacia delle proprie campagne di marketing (attraverso, ad esempio, la profilazione avanzata o il retargeting) (per un’ottima ricostruzione sul punto, nonché sul tema del consenso dell’utente, si v. il working paper di M. Botta e D. da Costa Leite Borges). Così, il divieto contemplato dall’art. 5, par. 2, del DMA rappresenta per i gatekeeper un ostacolo significativo, poiché li costringe a ridisegnare i propri modelli di business e ad adottare nuove strategie di monetizzazione dei propri servizi – con la possibilità che, nel lungo periodo, il loro vantaggio sul mercato venga ridimensionato rispetto ad altri operatori non soggetti agli obblighi del DMA.
Alla luce del contesto normativo sopra delineato, nella causa in esame, Bytedance sostiene che il grave pregiudizio che subirebbe con l’implementazione dell’art. 5, par. 2, del DMA giustifichi la sospensione dell’esecuzione della decisione di designazione. Tuttavia, a causa delle molte informazioni omesse nell’ordinanza, risulta arduo ricostruire gli argomenti specifici sollevati dalla ricorrente (come è prevedibile che succeda per la maggior parte dei provvedimenti relativi al DMA). Nonostante ciò, l’argomento principale avanzato da Bytedance è chiaro: il rispetto degli artt. 5 e 6 del DMA ostacolerebbe l’utilizzo dei dati personali provenienti da TikTok per lo sviluppo di nuovi prodotti (e uno in particolare, nel breve termine) e il consolidamento della sua posizione sul mercato europeo (si vedano i punti 36 e 40 dell’ordinanza).
Il Tribunale, tuttavia, ha respinto le argomentazioni di Bytedance, richiamando – anche in questo caso – le controdeduzioni presentate dalla Commissione. In primo luogo, quest’ultima constata come Bytedance non ha sufficientemente provato le sue allegazioni sul punto. Secondo la Commissione, infatti, gli argomenti della ricorrente sono puramente speculativi, basandosi su due ipotesi non dimostrate. In primo luogo, Bytedance non ha chiarito né se i dati menzionati (il cui utilizzo verrebbe asseritamente limitato) possano considerarsi come dati personali ai sensi dell’art. 5, par. 2, del DMA né se il nuovo servizio per lo sviluppo del quale essi dovrebbero essere utilizzati, possa essere considerato “altro” rispetto a TikTok ai sensi del medesimo articolo.
La seconda ipotesi non provata, invece, riguarda il fatto che la tesi di Bytedance secondo cui essa non potrebbe più combinare o fare un uso incrociato dei dati personali degli utenti di TikTok si basa sull’assunto che gli utenti finali non forniranno il loro consenso. Su questo punto, il Tribunale ribadisce che il DMA non vieta di per sé tali pratiche, subordinandole semplicemente al consenso preventivo dell’utente finale (la cui natura e modalità di acquisizione sono tutt’ora oggetto di discussione). Spetterà, quindi, al gatekeeper scegliere se modificare il proprio modello di business (eliminando la combinazione e l’uso incrociato dei dati personali) o se implementare un sistema per ottenere tale consenso.
Inoltre, sulla natura del danno paventato dalla ricorrente, la Commissione evidenzia che è la stessa ricorrente a definirlo di natura patrimoniale – sostanziandosi nell’indebolimento della posizione di Bytedance sul mercato europeo. Così che, la domanda di Bytedance non può essere accolta anche in quanto la Corte ha già dichiarato che un danno di natura patrimoniale non può essere considerato, salvo circostanze eccezionali, irreparabile (si v. l’ordinanza Rusal Armenal/Commissione, punto 46).
Infine, l’ordinanza menziona un argomento processuale sollevato dalla Commissione: Bytedance, infatti, avrebbe potuto, ai sensi dell’art. 9, par. 1, del DMA, presentare una domanda alla Commissione per chiedere la sospensione della decisione di designazione. Anche se il Tribunale non si pronuncia su questo punto, si solleva la questione se la domanda prevista dall’art. 9 del DMA debba intendersi quale rimedio da dover necessariamente esperire prima di poter invocare la tutela giudiziale. Nel caso di specie, tuttavia, una simile conclusione risulterebbe difficilmente condivisibile vista la differenza tra i requisiti per l’accoglimento di tale domanda – ovvero la presenza di «circostanze eccezionali che sfuggono al controllo del gatekeeper che ne mettano a rischio la redditività economica nell’Unione» – e quelli meno stringenti per la concessione dei provvedimenti provvisori di cui all’art. 156 del Regolamento di procedura del Tribunale. In ogni caso, seppur in assenza di uno specifico fondamento normativo in materia, giova ricordare che, come argomentato nelle osservazioni dell’avvocato generale Mazák nella causa C‑407/08 P richiamate dalla Intel Corp. nella causa T‑286/09 (si v. il punto 388), una limitazione di tale natura dovrà necessariamente rispettare la garanzia a un ricorso giurisdizionale effettivo ai sensi dell’art. 47 della Carta dei diritti fondamentali dell’Unione, senza limitare eccessivamente il diritto alla difesa del ricorrente.
In conclusione, l’ordinanza fornisce un’idea preliminare dell’approccio del Tribunale nei confronti dei ricorsi relativi al DMA. In primo luogo, risulta che, al momento, il Tribunale non ritenga che le restrizioni imposte dal DMA danneggino i gatekeeper in una maniera tale da dover sospenderne l’applicazione. I giudici del Lussemburgo sembrano suggerire che una valutazione circa la legittimità di tali disposizioni risulta prematura – rimandandola, se necessario, a una fase successiva di implementazione del regolamento. Inoltre, dal passaggio dell’ordinanza sull’art. 5, par. 2, del DMA, sembra che i giudici di Lussemburgo siano disposti ad avallare delle tecniche persuasive, da parte dei gatekeeper, per convincere gli utenti finali a prestare il loro consenso; di conseguenza, sarà importante capire con che limiti i gatekeeper potranno convincere l’utente a prestare il proprio consenso all’utilizzo combinato dei suoi dati personali facendo leva, da un lato, sui vantaggi per quest’ultimo da esso derivanti e, dall’altro, sull’eventuale impatto negativo che tale rifiuto avrebbe sul servizio offerto.
In ogni caso, avendo il Tribunale acconsentito alla trattazione accelerata della causa principale, sarà possibile vedere – in tempi ragionevoli – se esso riserverà lo stesso trattamento alle argomentazioni utilizzate dalla Commissione nella decisione di designazione.