Violare la privacy è concorrenza sleale. Chi, infrangendo il Gdpr (regolamento Ue sulla privacy n. 2016/679), conquista fette di mercato ai danni delle imprese concorrenti deve risarcire le aziende rispettose delle regole. È questo il principio applicato da un tribunale spagnolo, specializzato nelle materie commerciali, che ha condannato Meta a risarcire oltre 481 milioni di euro (più interessi) a 87 società del settore “media”, per avere svolto attività di pubblicità personalizzata, usando senza consenso e in maniera scorretta i dati degli utenti presenti sulle piattaforme social riconducibili alla stessa Meta. La sentenza (n. 98 del 19/11/2025 del Juzgado de lo Mercantil n.15 di Madrid), che ha calcolato i danni causati da Meta a partire dal 25/5/2018 (data di inizio di applicabilità del Gdpr), mette a fuoco un profilo della normativa sulla privacy di grandissimo interesse per imprese ed operatori economici di tutti i settori merceologici: il Gdpr non tutela solo le persone fisiche da abusi commessi dalle imprese; il Gdpr può essere utilizzato anche nei rapporti B2B e cioè tra imprese. Al riguardo si rifletta sul fatto che essere conformi alle norme sulla privacy è costoso: ad esempio, occorre ricorrere a consulenze e riorganizzare le funzioni e i processi aziendali oppure bisogna spendere soldi per sistemi di sicurezza informatica e così via. Allo stesso modo rispettare la privacy significa anche non usare dati in contrasto con il Gdpr e ciò significa non svolgere attività potenzialmente fonti di profitto. Chi non rispetta il Gdpr ha, al contrario, meno costi e più spazio (illecito) di manovra. A ben vedere, è la stessa cosa che capita con le norme sulla sicurezza dei lavoratori o a tutela dell’ambiente.
Con questa impostazione, il tribunale spagnolo ha esaminato la causa proposta da editori di giornali, agenzie di stampa e stazioni radio per ottenere il risarcimento dei danni, derivanti dalla perdita di quote nel mercato della pubblicità digitale, quale per effetto del comportamento illecito di Meta.
Il giudice ha dato ragione alle 87 società, accertando che dal 25/5/2018 Meta ha trattato illegittimamente i dati personali degli utenti di Facebook e Instagram per pubblicità personalizzata. Le contestazioni mosse a Meta sono state di tre tipi: 1) avere disatteso il principio di minimizzazione, trattando grandi volumi di dati non strettamente necessari alla fornitura del servizio di social network; 2) avere trattato dati senza consenso e senza un’altra valida base giuridica (la profilazione per comunicazioni pubblicitaria non è necessaria per adempiere l’obbligo contrattuale di fornire il servizio di rete sociale; 3) avere trattato dati senza informative chiare agli interessati. Tutto ciò, constata la pronuncia, ha permesso a Meta di creare profili utente dettagliati e di fornire pubblicità personalizzata più efficace rispetto ai suoi concorrenti. Così facendo, c’è stata una violazione di legge (quella sulla privacy), da cui è derivato un indebito vantaggio commerciale. Il tribunale ha, quindi, calcolato il danno usando una consulenza contabile, dalla quale è risultato che Metà ha ricavato oltre 5,2 miliardi euro per effetto di pratiche in contrasto con il Gdpr. Partendo da questa base di calcolo e computando le quote di mercato delle aziende coinvolte, il tribunale ha riconosciuto un risarcimento di oltre 481 milioni di euro (più 60 milioni di interessi).
L’orientamento del giudice spagnolo è valido anche in Italia. Al riguardo, si consideri l’articolo 2598, n. 3, del codice civile che considera sleale la concorrenza di chi si vale di ogni mezzo non conforme ai principi della correttezza professionale e idoneo a danneggiare l’altrui azienda: tra tali condotte non corrette sono comprese le violazioni della privacy. Allo stesso risultato si arriva inserendo le violazioni del Gdpr tra gli abusi di posizione dominante, punite dall’articolo 3 della legge n. 287/1990.
