Con la sentenza odierna nella causa C-446/21 (Schrems contro Meta), la Corte di giustizia dell'Unione europea (CGUE) ha dato pieno appoggio a una causa intentata contro Meta per il suo servizio Facebook. La Corte ha deciso su due questioni: In primo luogo, limitare in modo massiccio l'uso dei dati personali per la pubblicità online. In secondo luogo, limitare l'uso dei dati personali disponibili al pubblico agli scopi originariamente previsti per la pubblicazione.
- Comunicato stampa della CGUE
- Sentenza completa
- Sintesi della sentenza su GDPRhub
Katharina Raabe-Stuppnig, avvocato che rappresenta Schrems:"Siamo molto soddisfatti della sentenza, anche se questo risultato era molto atteso"
Prima domanda: L'uso dei dati per la pubblicità deve essere "ridotto al minimo". Finora Meta utilizza tutti i dati personali che ha raccolto per la pubblicità. Ad esempio, i dati degli utenti di Facebook possono risalire fino al 2004 e includere i dati inseriti dall'utente, da altri utenti o i dati raccolti tramite il tracking online o il tracking sulle app mobili. Per impedire tali pratiche, il GDPR ha stabilito il principio della "minimizzazione dei dati" all'articolo 5, paragrafo 1, lettera c), del GDPR, imponendo di limitare il trattamento ai dati strettamente necessari. Finora Meta e molti altri operatori dello spazio pubblicitario online hanno semplicemente ignorato questa regola e non hanno previsto alcun periodo di cancellazione o limitazione in base al tipo di dati personali. L'applicazione del "principio di minimizzazione dei dati" limita radicalmente l'uso dei dati personali per la pubblicità. Il principio di minimizzazione dei dati si applica a prescindere dalla base giuridica utilizzata per il trattamento, quindi anche un utente che acconsente alla pubblicità personalizzata non può vedere i propri dati personali utilizzati indefinitamente. In linea con la prassi comune della CGUE, la Corte ha lasciato ai tribunali nazionali le modalità di attuazione del principio di minimizzazione dei dati.
Katharina Raabe-Stuppnig: "Meta sta costruendo da 20 anni un enorme bacino di dati sugli utenti, che cresce ogni giorno. Tuttavia, la legge dell'UE richiede la "minimizzazione dei dati". In seguito a questa sentenza, solo una piccola parte del pool di dati di Meta potrà essere utilizzata per la pubblicità, anche quando gli utenti acconsentono agli annunci. Questa sentenza si applica anche a qualsiasi altra società di pubblicità online che non abbia pratiche rigorose di cancellazione dei dati"
Seconda domanda: La critica pubblica non consente il trattamento. Ai sensi dell'articolo 9, paragrafo 2, lettera e), del GDPR, le informazioni "palesemente rese pubbliche" possono essere trattate da un'azienda, perché il legislatore presume che l'interessato abbia acconsentito all'uso. Il sig. Schrems ha sostenuto che i suoi commenti pubblici sono stati fatti anni dopo il trattamento di altre informazioni. I suoi commenti successivi non possono essere visti come un consenso al trattamento di altre informazioni avvenuto anni prima e non possono aver "viaggiato" indietro nel tempo. Altre parti del procedimento si sono chieste se la semplice menzione di un fatto durante una discussione pubblica equivalga a rendere tale informazione "manifestamente pubblica".
Katharina Raabe-Stuppnig: "Avrebbe un enorme effetto di repressione della libertà di parola, se si perdesse il diritto alla protezione dei dati nel momento in cui si critica un trattamento illegale di dati personali in pubblico. Siamo lieti che la CGUE abbia respinto questa idea"
Contesto:
Storia del caso. Il caso riguarda un procedimento civile tra Max Schrems, in qualità di persona fisica, e Meta Ireland Platforms Limited (in qualità di gestore di "Facebook") presso i tribunali austriaci. Il caso è stato presentato per la prima volta nel 2014 e discusso per la prima volta in Austria nel 2020 e riguarda un gran numero di violazioni del GDPR, tra cui la mancanza di una base giuridica per la pubblicità e simili. La Corte suprema austriaca ha sottoposto quattro questioni alla CGUE nel 2021. Tuttavia, poiché un'altra causa (C-252/21 Bundeskartellamt) riguardava in parte questioni simili, la CGUE ha "messo in pausa" la causa tra Schrems e Meta fino al 2024. Le questioni iniziali 1 e 3 sono state (indirettamente) "vinte" perché la CGUE si è schierata con il punto di vista del sig. Schrems nella causa C-252/21 Bundeskartellamt. Il resto della causa è stato discusso a Lussemburgo l'8 febbraio 2024, ma limitatamente alle due questioni rimanenti (le questioni iniziali 2 e 4) che non erano già state decise nella causa C-252/21 Bundeskartellamt. Le questioni rimanenti erano
- Questione originaria n. 2: "Se l'articolo 5, paragrafo 1, lettera c), del GDPR (minimizzazione dei dati) debba essere interpretato nel senso che tutti i dati personali in possesso di una piattaforma come quella di cui al procedimento principale (per il tramite, in particolare, dell'interessato o di terzi all'interno e all'esterno della piattaforma) possono essere aggregati, analizzati e trattati ai fini della pubblicità mirata senza limitazioni di tempo o di tipo di dati"
- Domanda originale n. 4: "L'articolo 5, paragrafo 1, lettera b), del GDPR, in combinato disposto con l'articolo 9, paragrafo 2, lettera e), deve essere interpretato nel senso che una dichiarazione rilasciata da una persona sul proprio orientamento sessuale ai fini di una tavola rotonda consente il trattamento di altri dati relativi all'orientamento sessuale allo scopo di aggregare e analizzare i dati ai fini della pubblicità personalizzata?"
Minimizzazione dei dati. La domanda iniziale 2 riguarda l'approccio di Meta che sostiene che tutti i dati personali vanno essenzialmente in un grande "pool di dati" e possono essere utilizzati per la pubblicità personale a tempo indeterminato - senza alcuna limitazione - in quanto ciò sembra essere un'evidente violazione del principio di minimizzazione dei dati. Mentre in alcuni casi esiste un chiaro limite per la cancellazione (ad esempio quando termina un obbligo legale di conservazione dei dati), la questione è più complessa quando si tratta di pubblicità. Le aziende devono sviluppare protocolli di gestione dei dati per cancellare gradualmente i dati non necessari o smettere di utilizzarli
Ulteriore utilizzo di dati sensibili. La domanda originale n. 4 riguarda l'argomentazione del Tribunale di primo grado (e in parte di Meta) secondo cui il sig. Schrems avrebbe menzionato il suo orientamento sessuale in occasione di un evento a Vienna e potrebbe quindi aver (implicitamente) acconsentito al trattamento di qualsiasi dato personale relativo all'orientamento sessuale (e in effetti alla vita sessuale, che è protetta separatamente dall'articolo 9 del GDPR) per la pubblicità che ha avuto luogo anni prima della dichiarazione pubblica. Vi è accordo sul fatto che tali dichiarazioni siano state rese pubbliche. Tuttavia, il sig. Schrems nega che Meta possa aver trattato altri dati - altamente personali - negli anni precedenti. Schrems sottolinea che il principio della "limitazione delle finalità" si applica parallelamente e che le informazioni condivise allo scopo di criticare un trattamento illecito da parte di Meta non possono (retroattivamente) consentire l'uso dei dati personali per uno scopo completamente diverso, come la pubblicità.