Maggio sociale Reti come Facebook utilizza tutti i dati personali per Pubblicità processo? La Corte di giustizia europea ha dovuto chiarire questa questione, tra le altre, nell'ambito di un procedimento pregiudiziale (C-446/21). Nel procedimento principale, l'attivista austriaco per la protezione dei dati Maximilian Schrems contro Meta.
Maximilian Schrems fa causa a Meta
Meta Platforms Ireland gestisce il social network Facebook, che è stato gratuito fino al 5 novembre 2023. Dal 6 novembre 2023, gli utenti hanno dovuto pagare una tariffa personalizzata o Pubblicità o sottoscrivere un abbonamento a pagamento. La piattaforma raccoglie i dati degli utenti anche al di fuori della rete, tra cui attraverso Biscottiplugin e pixel sociali.
Massimiliano Schrems accusa Meta Platforms Ireland di aver trattato i suoi dati personali, in particolare i dati sensibili ai sensi dell'art. 9 GDPRsenza il suo esplicito Consenso elaborati. Questi dati sensibili comprendono informazioni sulle sue opinioni politiche e sul suo orientamento sessuale, ottenute analizzando le sue attività su Facebook e al di fuori di esso.
Dall'ordinanza di rinvio si evince che sui siti web dei partiti politici e su quelli rivolti a un pubblico omosessuale sono presenti plug-in che il Sig. Schrems sono stati visitati. Grazie a questi "plugin", Facebook è stato in grado di tracciare il comportamento di Schrems su Internet, che ha innescato la raccolta di alcuni dati personali sensibili. Schrems successivamente ha ricevuto regolarmente Pubblicitàrivolte a un pubblico omosessuale. Ha anche ricevuto inviti a eventi rilevanti, anche se non si era mai interessato a questi eventi e non ne conosceva il luogo.
Meta Platforms Ireland ha sostenuto che la Elaborazione dei dati personali si basa sul contratto di utilizzo tra l'azienda e gli utenti e quindi ai sensi dell'art. 6 par. 1 lit. b GDPR è necessario per l'adempimento del presente contratto.
Il trattamento dell'orientamento sessuale è autorizzato dalla divulgazione pubblica?
La Corte di giustizia europea ha dovuto chiarire l'interpretazione di diversi articoli del Regolamento generale sulla protezione dei dati, che la Corte Suprema (Austria) aveva rinviato in via pregiudiziale. Il procedimento era incentrato in particolare sull'articolo 5, paragrafo 1, lettere b) e c) (Stanziamento di fondi e Minimizzazione dei dati), art. 6 (1) (a) e (b) (legittimità del trattamento). Elaborazione) e l'art. 9 (1) e (2) (e) (categorie particolari di dati personali).
Secondo le conclusioni della Corte Suprema, la Parti interessate Massimiliano Schrems il suo orientamento sessuale pubblicamente. In particolare, ha fatto riferimento al suo orientamento sessuale durante una tavola rotonda tenutasi a Vienna il 12 febbraio 2019 su invito della Rappresentanza della Commissione europea in Austria, al fine di Elaborazione di dati personali da parte di Facebook, compresa la Elaborazione di criticare i propri dati. Massimiliano Schrems ha colto l'occasione per spiegare che non aveva mai indicato questo aspetto della sua vita privata sul suo profilo Facebook.
La Corte Suprema si è quindi posta la questione fondamentale se la Parti interessate il sensibile Dati personali ovviamente resi pubblici e quindi la loro Elaborazione ai sensi dell'art. 9 comma 2 lettera e GDPR hanno autorizzato.
La Corte Suprema (Austria) sottopone alla CGUE questioni di interpretazione pregiudiziale
La Corte Suprema austriaca ha quindi deciso di sospendere il procedimento e di sottoporre alla CGUE le seguenti questioni pregiudiziali:
- Se le disposizioni dell'art. 6 par. 1 lett. a e b GDPR deve essere interpretato nel senso che la legittimità delle disposizioni contrattuali contenute nelle condizioni generali di utilizzo dei contratti di piattaforma come quello oggetto della causa principale (in particolare, disposizioni contrattuali quali: "Invece di pagare [per questo servizio] ... utilizzando i prodotti di Facebook a cui si applicano le presenti condizioni di utilizzo, accetti che possiamo mostrarti annunci pubblicitari ... Utilizzeremo i tuoi dati personali ... per mostrarti annunci pubblicitari più pertinenti per te"), che la Commissione considera illegali. Elaborazione dei dati personali per l'aggregazione e l'analisi dei dati ai fini di una personalizzazione dei dati. Pubblicità in conformità ai requisiti dell'art. 6 comma 1 lettera a in combinato disposto con l'art. 7 GDPR che non può essere valutato invocando l'articolo 6, paragrafo 1, lettera b), del GDPR. GDPR può essere sostituito?
- L'art. 5 par. 1 lett. c GDPR (Minimizzazione dei dati) deve essere interpretato nel senso che tutti i dati personali detenuti da una piattaforma come quella di cui trattasi nel procedimento principale (in particolare dall'interessato o da Terza parte sulla piattaforma e al di fuori di essa), senza limitazioni di tempo o di tipo di dati, ai fini di un'elaborazione mirata dei dati. Pubblicità possono essere aggregati, analizzati ed elaborati?
- Art. 9 comma 1 GDPR essere interpretato come un riferimento alla Elaborazione di dati che consente di filtrare in modo mirato categorie particolari di dati personali come le opinioni politiche o l'orientamento sessuale (ad es. Pubblicità) è consentito, anche se l'opzione Persone responsabili non distingue tra questi dati?
- L'articolo 5, paragrafo 1, lettera b), in combinato disposto con l'articolo 9, paragrafo 2, lettera e), è un articolo che non è stato applicato. GDPR che una dichiarazione sul proprio orientamento sessuale ai fini di una tavola rotonda debba essere interpretata nel senso che l'autore della dichiarazione è un uomo di sesso maschile. Elaborazione di altri dati relativi all'orientamento sessuale ai fini dell'aggregazione e dell'analisi dei dati ai fini della personalizzazione dei dati. Pubblicità consentito?
Suggerimento di lettura: Sentenza della Corte di giustizia europea sulle multe del GDPR: quale discrezionalità ha l'autorità di protezione dei dati?
Decisione della Corte di giustizia europea
- Minimizzazione dei dati e Stanziamento di fondi (Art. 5, comma 1, lettera c)). GDPR):
Nella sua sentenza, la Corte di giustizia europea ha chiarito che il principio del Minimizzazione dei dati impedisce l'archiviazione e l'analisi illimitata di tutti i dati personali di una Piattaforma, sia all'interno che all'esterno della stessa. Le Piattaforme Meta Irlanda non possono utilizzare tutti i dati disponibili senza una chiara Stanziamento di fondi e trattarli a fini pubblicitari per un periodo di tempo limitato. Il principio di proporzionalità gioca un ruolo decisivo in questo caso e ogni Elaborazione deve essere limitato allo stretto necessario.
- Elaborazione dati sensibili (art. 9 GDPR):
Art. 9 GDPR in generale proibisce la Elaborazione categorie particolari di dati personali, a meno che il trattamento colpiti La persona ha espressamente dichiarato la propria Consenso o i dati sono stati palesemente resi pubblici dall'interessato. Nella sua sentenza, la CGUE spiega: "L'art. 9 par. 2 lett. e GDPR deve essere interpretato nel senso che il fatto che una persona abbia espresso il proprio orientamento sessuale nel corso di una tavola rotonda pubblicamente accessibile non consente al gestore di una piattaforma di social network online di trattare altri dati relativi all'orientamento sessuale di tale persona, eventualmente ottenuti al di fuori di tale piattaforma da applicazioni e siti web di terzi, al fine di aggregarli e analizzarli per fornire a tale persona informazioni personalizzate. Pubblicità da offrire".
La decisione sottolinea i requisiti rigorosi per la legalità della Elaborazione dati personali e l'importanza centrale della Consenso. Il caso ha implicazioni di vasta portata per i modelli di business delle piattaforme online basate sui dati e per il loro obbligo di proteggere in modo completo i diritti di protezione dei dati degli utenti.
Fonte: Sentenza della Corte di giustizia europea del 4 ottobre 2024 (C-446/21)
German 
English 
Italian 
French