I social network come Facebook possono trattare tutti i dati personali per la pubblicità mirata? Questa è stata una delle domande che la Corte di giustizia europea ha dovuto chiarire in un procedimento pregiudiziale (C-446/21). Nel procedimento iniziale, l'attivista austriaco per la protezione dei dati Maximilian Schrems ha intentato una causa contro Meta.
Maximilian Schrems fa causa a Meta
Meta Platforms Ireland gestisce il social network Facebook, che è stato gratuito fino al 5 novembre 2023. Dal 6 novembre 2023, gli utenti devono accettare la pubblicità personalizzata o sottoscrivere un abbonamento a pagamento. La piattaforma raccoglie dati degli utenti anche al di fuori della rete, ad esempio attraverso cookie, social plugin e pixel.
Maximilian Schrems accusa Meta Platforms Ireland di aver trattato i suoi dati personali, in particolare quelli sensibili ai sensi dell'art. 9 del GDPR, senza il suo esplicito consenso. Questi dati sensibili comprendono informazioni sulle sue opinioni politiche e sul suo orientamento sessuale, ottenute analizzando le sue attività su Facebook e al di fuori di esso.
L'ordinanza di rinvio mostra l'esistenza di plugin su siti web di partiti politici e su siti web rivolti a un pubblico omosessuale che sono stati visitati dal signor Schrems. Questi "plugin" hanno permesso a Facebook di tracciare il comportamento di Schrems su Internet, con conseguente raccolta di alcuni dati personali sensibili. Il sig. Schrems ha quindi ricevuto regolarmente pubblicità rivolta a un pubblico omosessuale. Ha anche ricevuto inviti a eventi rilevanti, anche se in precedenza non era interessato a questi eventi e non ne conosceva il luogo.
Meta Platforms Ireland ha sostenuto che il trattamento dei dati personali si basava sul contratto d'uso tra la società e gli utenti ed era quindi necessario per l'adempimento di tale contratto ai sensi dell'art. 6 par. 1 lett. b GDPR.
Il trattamento dell'orientamento sessuale è autorizzato dalla divulgazione pubblica?
La Corte di giustizia europea ha dovuto chiarire l'interpretazione di diversi articoli del Regolamento generale sulla protezione dei dati, che la Corte Suprema (Austria) aveva rinviato in via pregiudiziale. Il procedimento si è concentrato in particolare sull'articolo 5, paragrafo 1, lettere b) e c) (limitazione delle finalità e minimizzazione dei dati), sull'articolo 6, paragrafo 1, lettere a) e b) (legittimità del trattamento) e sull'articolo 9, paragrafi 1 e 2, lettera e) (categorie particolari di dati personali).
Secondo le conclusioni della Corte di Cassazione, l'interessato, Maximilian Schrems, ha comunicato pubblicamente il suo orientamento sessuale. In particolare, ha fatto riferimento al suo orientamento sessuale durante una tavola rotonda tenutasi a Vienna il 12 febbraio 2019 su invito della Rappresentanza della Commissione europea in Austria per criticare il trattamento dei dati personali da parte di Facebook, compreso il trattamento dei suoi dati. Tuttavia, Maximilian Schrems ha anche dichiarato in questa occasione di non aver mai indicato questo aspetto della sua vita privata nel suo profilo Facebook.
La Suprema Corte si è quindi posta la questione fondamentale di stabilire se l'interessato avesse ovviamente reso pubblici i dati personali sensibili e quindi ne avesse autorizzato il trattamento ai sensi dell'art. 9 par. 2 lett. e GDPR.
La Corte Suprema (Austria) sottopone alla CGUE una questione di interpretazione pregiudiziale
La Corte Suprema austriaca ha quindi deciso di sospendere il procedimento e di sottoporre alla CGUE le seguenti questioni pregiudiziali:
- Se le disposizioni dell'articolo 6, paragrafo 1, lettere a) e b), del GDPR debbano essere interpretate nel senso che la legittimità delle disposizioni contrattuali contenute nelle condizioni generali di utilizzo dei contratti di piattaforma, come quella oggetto del procedimento principale (in particolare, disposizioni contrattuali quali: "Invece di pagare [per questo servizio] ... utilizzando i prodotti di Facebook a cui si applicano le presenti condizioni d'uso, accetti che possiamo mostrarti inserzioni ... Utilizzeremo i tuoi dati personali ... per mostrarti inserzioni più pertinenti per te.") che comportano il trattamento dei dati personali per l'aggregazione e l'analisi dei dati ai fini della pubblicità personalizzata devono essere valutati in base ai requisiti dell'art. 6, par. 1, lett. a), in combinato disposto con l'art. 7 GDPR, che non può essere sostituito dall'invocazione dell'art. 6, par. 1, lett. b) GDPR.
- Se l'art. 5, par. 1, lett. (c) del GDPR (minimizzazione dei dati) debba essere interpretato nel senso che tutti i dati personali in possesso di una piattaforma come quella del procedimento principale (in particolare dell'interessato o di terzi all'interno e all'esterno della piattaforma) possono essere aggregati, analizzati e trattati ai fini di una pubblicità mirata senza limitazioni di tempo o di natura dei dati.
- L'articolo 9, paragrafo 1, del GDPR deve essere interpretato come applicabile al trattamento dei dati che consente di filtrare in modo mirato categorie speciali di dati personali come le opinioni politiche o l'orientamento sessuale (ad esempio per la pubblicità), anche se il responsabile del trattamento non distingue tra questi dati?
- L'articolo 5, paragrafo 1, lettera b), in combinato disposto con l'articolo 9, paragrafo 2, lettera e), del GDPR, deve essere interpretato nel senso che una dichiarazione sul proprio orientamento sessuale ai fini di una tavola rotonda consente il trattamento di altri dati relativi all'orientamento sessuale ai fini dell'aggregazione e dell'analisi dei dati per la pubblicità personalizzata?
Suggerimento di lettura: Sentenza della Corte di giustizia europea sulle multe del GDPR: quale discrezionalità ha l'autorità di protezione dei dati?
Decisione della Corte di giustizia europea
- Minimizzazione dei dati e la limitazione delle finalità (art. 5 par. 1 lett. c GDPR):
Nella sua sentenza, la Corte di giustizia europea ha chiarito che il principio della minimizzazione dei dati preclude l'archiviazione e l'analisi illimitata di tutti i dati personali di una piattaforma, sia all'interno che all'esterno della stessa. Le metapiattaforme irlandesi non possono aggregare ed elaborare tutti i dati disponibili a fini pubblicitari senza una chiara limitazione di scopo e di tempo. Il principio di proporzionalità gioca un ruolo decisivo in questo caso e qualsiasi trattamento deve essere limitato allo stretto necessario.
- Trattamento di dati sensibili (art. 9 GDPR):
L'art. 9 del GDPR vieta in generale il trattamento di categorie particolari di dati personali, a meno che l'interessato non abbia dato espressamente il proprio consenso o i dati siano stati resi manifestamente pubblici dall'interessato. Nella sentenza, la Corte di giustizia europea afferma: "L'articolo 9, paragrafo 2, lettera e), del GDPR deve essere interpretato nel senso che il fatto che una persona abbia espresso il proprio orientamento sessuale in una tavola rotonda pubblicamente accessibile non consente al gestore di una piattaforma online per un social network di trattare altri dati relativi all'orientamento sessuale di tale persona che può aver ottenuto al di fuori di tale piattaforma da applicazioni e siti web di terzi al fine di aggregarli e analizzarli per offrire pubblicità personalizzata a tale persona".
La decisione sottolinea i requisiti rigorosi per la legittimità del trattamento dei dati personali e l'importanza centrale del consenso. Il caso ha implicazioni di vasta portata per i modelli di business delle piattaforme online basate sui dati e per il loro obbligo di proteggere in modo completo i diritti di protezione dei dati degli utenti.
Fonte: Sentenza della Corte di giustizia europea del 4 ottobre 2024 (C-446/21)