La CGUE torna a pronunciarsi sul caso Schrems vs Meta per illecito trattamento dei dati personali degli utenti di Facebook ai fini di pubblicità mirata

CONDIVIDI SUI SOCIAL

Fonte: JuraNews

La Corte di Giustizia si è pronunciata su una domanda di pronuncia pregiudiziale presentata dal giudice austriaco nel contesto di una controversia tra Maximilian Schrems, un utente del social network Facebook, e la Meta Platforms Ireland Ltd, già Facebook Ireland Ltd, riguardo al trattamento asseritamente illecito dei suoi dati personali da parte della società. Si richiede quindi alla Corte se sia legittimo, in base al diritto eurounitario, l’utilizzo da parte del gestore della piattaforma dei dati personali ottenuti dall’interessato o da terzi, sulla piattaforma o aliunde, a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati, e se la circostanza che una persona si sia pubblicamente espressa sul proprio orientamento sessuale possa autorizzare tale gestore a trattare altri dati relativi all’orientamento sessuale per proporre alla stessa pubblicità personalizzata.

Per quanto riguarda la fattispecie in esame, la società irlandese Meta è ritenuta responsabile di aver trattato i dati personali di Schrems in merito alle attività svolte al di fuori di Facebook, senza l’autorizzazione dell’interessato, ma ottenendo tali dati da inserzionisti e da altri partners per poi utilizzarli a fini di pubblicità personalizzata. In particolare, Meta avrebbe ottenuto i dati in questione grazie a «cookies», «social plugins» e tecnologie analoghe integrate nei siti internet di terzi e gli avrebbe utilizzati al fine di migliorare i prodotti Facebook e di inviare pubblicità personalizzata a Schrems, basata sul suo orientamento sessuale.

Questo, nonostante Schrems avesse scelto di non autorizzare Meta a utilizzare, ai fini della pubblicità mirata, i campi del suo profilo relativi alla sua situazione sentimentale, al suo datore di lavoro, alla sua occupazione o alla sua formazione e non avesse indicato alcun dato sensibile né menzionato mai il proprio orientamento sessuale sul suo profilo Facebook, in quanto solo i suoi «amici» potevano visualizzare le sue attività o le informazioni contenute nella sua «timeline» [cronistoria] e la sua «lista di amici» non era pubblica.

Tuttavia, Schrems rendeva nota la notizia di essere omosessuale nell’ambito di una tavola rotonda aperta al pubblico a cui ha partecipato a Vienna il 12 febbraio 2019, su invito della rappresentanza della Commissione europea in Austria, al fine di criticare il trattamento di dati personali effettuato da Facebook.

Il caso viene portato in giudizio dove Schrems richiede di accertare che il trattamento dei suoi dati personali effettuato da Meta ha violato varie disposizioni del GDPR, che il trattamento dei propri dati sensibili (ex art. 9 GDPR) è avvenuto in assenza del consenso necessario a tal fine e, analogamente, che non è stato prestato alcun consenso valido al trattamento dei dati personali che Meta ha ottenuto da parte di terzi. In tale contesto, Schrems richiede, tra l’altro, che sia ingiunto alla resistente di cessare il trattamento dei suoi dati personali a fini pubblicitari personalizzati, così come l’utilizzo di tali dati derivante dalla consultazione di siti internet di terzi e ottenuti da terzi.

La domanda viene rigettata dal Tribunale civile del Land di Vienna ed, in appello, dal Tribunale superiore del Land di Vienna, per arrivare infine dinanzi alla Corte Suprema austriaca, che dispone la sospensione del procedimento per sottoporre alla Corte di Giustizia dell’Unione europea quattro questioni pregiudiziali sul caso, ex articolo 267 TFUE, vertenti sull’interpretazione dell’articolo 5, paragrafo 1, lettere b) e c), dell’articolo 6, paragrafo 1, lettere a) e b), e dell’articolo 9, paragrafi 1 e 2, lettera e) del Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati o GDPR).

Con ordinanza del 19 luglio 2023, tale giudice ha ritirato la prima e la terza questione pregiudiziale facendo valere che l’intervenuta sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), (C‑252/21) rispondeva a tali questioni. Per contro, il giudice ha mantenuto la seconda e la quarta questione pregiudiziale facendo valere che la stessa sentenza non aveva risposto pienamente a queste ultime.

  • Con la seconda questione il giudice del rinvio richiede sostanzialmnte se l’articolo 5, paragrafo 1, lettera c), del GDPR debba essere interpretato nel senso che il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

L’articolo 5 del GDPR rubricato «Principi applicabili al trattamento di dati personali», enuncia i principi relativi al trattamento dei dati personali, che sono il principio di «liceità, correttezza e trasparenza» (lett. a, par. 1), il principio di «limitazione della finalità» (lett. b, par. 1), il principio della «minimizzazione dei dati» (lett. c, par. 1), principio di «esattezza» (lett. d, par. 1), il principio di «limitazione della conservazione» (lett. e, par. 1), il principio di  «integrità e riservatezza» (lett. f, par. 1) ed il principio di «responsabilizzazione» (par. 2). Tali principi sono applicabili cumulativamente, come chiarito dalla giurisprudenza comunitaria (sentenza del 20 ottobre 2022, Digi, C‑77/21).

Di particolare interesse per rispondere alla questione sollevata risulta il principio della «minimizzazione dei dati», il quale prevede che i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati», principio che è espressione del principio di proporzionalità [sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di demerito), C‑439/19, punto 98 e sentenza del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – Sofia, C‑118/22, punto 41], ed il principio di «limitazione della conservazione», il quale prevede che i dati personali raccolti devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

In base a quanto precede, il titolare del trattamento dei dati personali è tenuto dunque a dimostrare che i dati personali sono raccolti e trattati nel rispetto dei principi sanciti al paragrafo 1 dell’articolo 5 del GDPR (conformemente al principio di «responsabilizzazione» di cui al paragrafo 2), ad informare l’interessato delle finalità del trattamento al quale sono destinati i dati raccolti presso lo stesso nonché della base giuridica del trattamento, in forza dell’articolo 13, paragrafo 1, lettera c) del GDPR e a limitare a quanto strettamente necessario, alla luce della finalità del trattamento proposto, il periodo di raccolta dei dati personali, in considerazione del principio della «minimizzazione dei dati».

Infatti, più a lungo vengono conservati tali dati e maggiore è l’impatto sugli interessi e sulla privacy dell’interessato e più severi sono i requisiti relativi alla legittimità della conservazione di tali dati [sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C‑26/22 e C‑64/22, punto 95].

Poste queste premesse, la Corte di Giustizia torna ad esaminare il caso di specie, evidenziando che dalla decisione di rinvio risulta che Meta raccoglie i dati personali degli utenti di Facebook, tra cui Schrems, riguardanti le attività di tali utenti sia sul social network sia al di fuori di esso, tra cui, in particolare, i dati relativi alla consultazione della piattaforma online nonché di pagine internet e di applicazioni terze, e segue altresì il comportamento di navigazione degli utenti in tali pagine mediante «social plugins» e «pixels» inseriti nelle pagine internet interessate.

La Corte quindi chiarisce che, per quanto riguarda la raccolta, l’aggregazione, l’analisi ed il trattamento dei dati personali a fini di pubblicità mirata, senza distinzione basata sulla natura di tali dati, alla luce del principio di minimizzazione dei dati, il titolare del trattamento non può procedere, in modo generalizzato e indifferenziato, alla raccolta di dati personali e non deve raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento [sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento dei dati personali per fini fiscali), C‑175/20, punto 74].

Infatti, un trattamento siffatto risulta particolarmente esteso, giacché verte su dati potenzialmente illimitati e ha un notevole impatto sull’utente, di cui Meta controlla gran parte, se non la quasi totalità, delle attività online, il che può suscitare in quest’ultimo la sensazione di una continua sorveglianza della sua vita privata, e caratterizzato da una grave ingerenza nei diritti fondamentali degli interessati, in particolare dei loro diritti al rispetto della vita privata e alla protezione dei dati personali, garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, che, non sembra ragionevolmente giustificata alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità mirate.

In ogni caso, una conservazione, per un periodo illimitato, dei dati personali degli utenti di una piattaforma di social network a fini di pubblicità mirata deve essere considerata un’ingerenza sproporzionata nei diritti garantiti a tali utenti dal GDPR, come l’utilizzo indifferenziato di tutti i dati personali detenuti da una piattaforma di social network a fini pubblicitari, che, indipendentemente dal grado di sensibilità di tali dati, non risulta essere un’ingerenza proporzionata nei diritti garantiti agli utenti di tale piattaforma dal GDPR.

La Corte di Giustizia risponde quindi alla seconda questione dichiarando che il principio della «minimizzazione dei dati» osta a che tutti i dati personali ottenuti o raccolti dal gestore di una piattaforma di social network online siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

  • Con la quarta questione, il giudice del rinvio chiede, in sostanza, se l’articolo 9, paragrafo 2, lettera e), del GDPR debba essere interpretato nel senso che la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico autorizzi il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e siti internet di terzi partners, ai fini dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona pubblicità personalizzata.

L’articolo 9, paragrafo 1 del GDPR, vieta il trattamento dei dati relativi all’orientamento sessuale di una persona, in quanto rientranti in categorie particolari di dati personali. Tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsiasi trattamento di dati personali rientranti nelle categorie di cui all’articolo 9, paragrafo 1, del GDPR, quest’ultimo ha lo scopo di vietare tali trattamenti, a prescindere da quale sia la loro finalità dichiarata [ sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), (C‑252/21), punti 69 e 70].

Il considerando 51 del GDPR enuncia che meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per tali diritti e libertà. Tale considerando precisa che dati personali di questo tipo non dovrebbero essere oggetto di trattamento, a meno che quest’ultimo non sia consentito nei casi specifici previsti dal medesimo regolamento.

In conformità a quanto da ultimo enunciato nel considerando 51, l’articolo 9, paragrafo 2 del GDPR prevede alle lettere da a) a j), dieci deroghe, ed in particolare alla lettera e), prevede che il divieto di qualsiasi trattamento riguardante categorie particolari di dati personali, sancito dal paragrafo 1, non si applica nel caso in cui il trattamento riguardi dati personali «resi manifestamente pubblici dall’interessato».

A tal proposito la Corte precisa che l’articolo 9, paragrafo 2, lettera e), del GDPR, nella misura in cui prevede un’eccezione al principio del divieto di trattamento di categorie speciali di dati personali, deve essere interpretato in modo restrittivo, con la conseguenza che, ai fini dell’applicazione dell’eccezione prevista, si deve verificare se l’interessato abbia inteso, in modo esplicito e con un atto positivo chiaro, rendere accessibili al pubblico i dati personali in questione.

La Corte ricorda che la tavola rotonda organizzata a Vienna il 12 febbraio 2019, nell’ambito della quale il sig. Schrems ha rilasciato una dichiarazione sul suo orientamento sessuale, era accessibile al pubblico, che poteva ottenere un biglietto per assistervi nei limiti dei posti disponibili, e che era diffusa in streaming. Inoltre, una registrazione della tavola rotonda sarebbe stata successivamente pubblicata sotto forma di «podcast», nonché sul canale YouTube della Commissione.

Premesso questo, conclude che in tali circostanze, e fatte salve le verifiche spettanti al giudice nazionale, non si può escludere che tale dichiarazione, pur iscrivendosi in un discorso più ampio ed effettuato al solo scopo di criticare il trattamento di dati personali effettuato da Facebook, costituisca un atto con il quale l’interessato, con piena cognizione di causa, ha reso manifestamente pubblico, il proprio orientamento sessuale, ai sensi dell’articolo 9, paragrafo 2, lettera e), del GDPR.

Tuttavia la Corte ritiene che tale circostanza non autorizza, di per sé, contrariamente a quanto sostenuto da Meta, il trattamento di altri dati personali relativi all’orientamento sessuale di quella persona.

Pertanto, da un lato, sarebbe contrario all’interpretazione restrittiva che occorre dare all’articolo 9, paragrafo 2, lettera e), del GDPR ritenere che l’insieme dei dati relativi all’orientamento sessuale di una persona sfugga alla protezione derivante dal paragrafo 1 di tale articolo per il solo motivo che l’interessato ha manifestamente reso pubblico un dato personale relativo al suo orientamento sessuale.

Dall’altro lato, il fatto che una persona abbia manifestamente reso pubblico un dato riguardante il suo orientamento sessuale non consente di ritenere che tale persona abbia fornito il proprio consenso, ai sensi dell’articolo 9, paragrafo 2, lettera a), del GDPR, al trattamento, da parte del gestore di una piattaforma di social network online, di altri dati relativi al suo orientamento sessuale.

La Corte di Giustizia risponde alla quarta questione dichiarando che la circostanza che una persona si sia pubblicamente espressa sul proprio orientamento sessuale non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma, al fine dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona della pubblicità personalizzata.