In data 4 ottobre 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-446/21, Maximilian Schrems contro Meta Platforms Ireland Ltd, sull’interpretazione dell’articolo 5, paragrafo 1, lettere b) e c), dell’articolo 6, paragrafo 1, lettere a) e b), e dell’articolo 9, paragrafi 1 e 2, lettera e) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1]. Tale domanda era stata presentata nell’ambito di una controversia tra il sig. Maximilian Schrems, un utente del social network Facebook, e la Meta Platforms Ireland Ltd (“Meta”), la cui sede legale si trova in Irlanda, in merito al trattamento asseritamente illecito dei suoi dati personali da parte di questa ultima.
Questi i fatti.
In vista dell’entrata in vigore del GDPR, la Meta aveva adottato nuove condizioni per l’utilizzo dei dati personali dei propri utenti, che il sig. Schrems, il cui account era stato bloccato, aveva accettato al fine di poter continuare ad usufruire di Facebook. Nello specifico, la Meta utilizza “cookies”[2], pixels[3] e “social plugins”[4], come indicato nelle sue condizioni di utilizzo e nelle sue direttive. Questi ultimi, in particolare, si trovano anche sulle pagine internet dei partiti politici e su pagine destinate ad un pubblico omosessuale visitate dal sig. Schrems, e a causa di essi la Meta aveva potuto seguirne il comportamento su internet, ciò che aveva fatto scattare la raccolta di taluni dati personali sensibili di cui il sig. Schrems non aveva autorizzato il trattamento. Di conseguenza, quest’ultimo aveva fatto valere dinanzi al Landesgericht für Zivilrechtssachen Wien (Tribunale civile del Land di Vienna) che il trattamento dei suoi dati personali effettuato dalla Meta violava diverse disposizioni del GDPR. Poiché, tuttavia, il suo ricorso era stato respinto sia in primo che in secondo grado, il sig. Schrems si era rivolto all’Oberster Gerichtshof (Corte suprema austriaca; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di rivolgere alla Corte di Giustizia quattro questioni pregiudiziali.
Avendo la Corte già risposto alla prima e alla terza questione nella Causa Meta Platforms[5], il giudice del rinvio aveva successivamente deciso di ritirarle, mantenendo solamente la seconda e la quarta.
Con la seconda questione, il giudice del rinvio chiedeva se l’articolo 5, paragrafo 1, lettera c)[6] del GDPR debba essere interpretato nel senso che il principio della “minimizzazione dei dati”, da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.
La Corte ha preliminarmente ricordato che, in considerazione del principio di minimizzazione dei dati, il responsabile del trattamento è tenuto a limitare a quanto strettamente necessario, alla luce della finalità del trattamento stesso, il periodo di raccolta dei dati personali in questione[7]. Più a lungo vengono conservati tali dati, infatti, maggiore è l’impatto sugli interessi e sulla privacy dell’interessato, e più severi sono i requisiti relativi alla legittimità della loro conservazione[8]. Di conseguenza, anche un trattamento inizialmente lecito di dati può divenire, nel tempo, contrario alle disposizioni del GDPR qualora gli stessi non siano più necessari rispetto alle finalità per le quali sono stati rilevati o successivamente trattati[9]. In tali circostanze, pertanto, spetta al giudice nazionale valutare, tenuto conto di tutti gli elementi pertinenti, ed applicando il principio di proporzionalità richiamato all’articolo 5, paragrafo 1, lettera c), del GDPR, in che misura il periodo di conservazione di dati personali da parte del titolare del trattamento sia ragionevolmente giustificato alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità personalizzata. Alla luce del principio di minimizzazione dei dati, previsto dall’articolo 5, paragrafo 1, lettera c), del GDPR, inoltre, il titolare del trattamento non può procedere, in modo generalizzato ed indifferenziato, alla raccolta di dati personali, non potendo raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento[10].
Tutto ciò premesso, nel caso concreto la Meta raccoglie i dati personali degli utenti di Facebook, tra cui il sig. Schrems, sia su tale social network sia al di fuori di esso, seguendo altresì il comportamento di navigazione degli utenti mediante social plugins e pixelsinseriti nelle pagine internet interessate. Un trattamento del genere è perciò particolarmente esteso, in quanto verte su dati potenzialmente illimitati ed ha un notevole impatto sull’utente, di cui la Meta controlla gran parte, se non la quasi totalità, delle attività online, ciò che può suscitare in quest’ultimo la sensazione di una continua sorveglianza della sua vita privata[11]. Tale trattamento, pertanto, è caratterizzato da una grave ingerenza nei diritti fondamentali degli interessati che, fatte salve le verifiche che spetta al giudice del rinvio effettuare, non sembra ragionevolmente giustificata alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità mirate.
Con la quarta questione, invece, il giudice del rinvio chiedeva se l’articolo 9, paragrafo 2, lettera e)[12] del GDPR debba essere interpretato nel senso che la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico autorizzi il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di tale persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e siti internetdi terzi partners, ai fini dell’aggregazione e dell’analisi di detti dati, per proporre a quest’ultima pubblicità personalizzata.
La Corte ha preliminarmente ricordato che ai fini dell’applicazione dell’articolo 9, paragrafo 1, del GDPR occorre verificare, nel caso di un trattamento di dati personali effettuato dall’operatore di un social network online, se questi ultimi siano tali da rivelare informazioni rientranti in una delle categorie menzionate da tale disposizione, a prescindere dal fatto che tali informazioni riguardino un utente di tale social network o qualsiasi altra persona fisica. Più particolarmente, tale divieto di principio è indipendente dalla questione se l’informazione rivelata dal trattamento di cui trattasi sia esatta o meno e se il relativo titolare agisca allo scopo di ottenere informazioni rientranti in una delle categorie particolari previste da tale disposizione. Tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsiasi trattamento di dati personali rientranti nelle categorie di cui all’articolo 9, paragrafo 1, del GDPR, infatti, quest’ultimo ha lo scopo di vietare tali trattamenti a prescindere da quale sia la loro finalità dichiarata[13]. Di conseguenza, nella misura in cui prevede un’eccezione al principio del divieto di trattamento di categorie speciali di dati personali, l’articolo 9, paragrafo 2, lettera e), del GDPR deve essere interpretato in modo restrittivo[14], di talché, ai fini dell’applicazione dell’eccezione ivi prevista, si deve verificare se l’interessato abbia inteso, in modo esplicito e con un atto positivo chiaro, rendere accessibili al pubblico i dati personali in questione[15].
Tutto ciò premesso, nel caso concreto la tavola rotonda organizzata a Vienna il 12 febbraio 2019, in occasione della quale il sig. Schrems aveva rilasciato una dichiarazione sul suo orientamento sessuale, era accessibile al pubblico, che poteva ottenere un biglietto per assistervi nei limiti dei posti disponibili, ed era diffusa in streaming. Fatte salve le verifiche spettanti al giudice nazionale, pertanto, non si può escludere che tale dichiarazione, pur iscrivendosi in un discorso più ampio e effettuato al solo scopo di criticare il trattamento di dati personali effettuato da Facebook, costituisca un atto con il quale l’interessato, con piena cognizione di causa, ha reso manifestamente pubblico, ai sensi dell’articolo 9, paragrafo 2, lettera e), del GDPR, il proprio orientamento sessuale, ciò che, tuttavia, non autorizza di per sé il trattamento di altri dati personali relativi all’orientamento sessuale di quella persona. Di conseguenza, il fatto di aver manifestamente reso pubblico un dato riguardante il suo orientamento sessuale non consente di ritenere che la persona in questione abbia fornito il proprio consenso, ai sensi dell’articolo 9, paragrafo 2, lettera a), del GDPR, al trattamento, da parte del gestore di una piattaforma di social network online, di altri dati relativi al suo orientamento sessuale.
Alla luce di quanto visto finora, la Corte ha pertanto statuito che:
“L’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.
L’articolo 9, paragrafo 2, lettera e), del regolamento 2016/679 dev’essere interpretato nel senso che la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e da siti Internet di partners terzi, al fine dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona della pubblicità personalizzata”.
[1] GUUE L 119 del 04.05.2016.
[2] Attraverso i cookies, Meta può determinare la fonte delle consultazioni, e senza averli attivati molti dei suoi servizi non sono utilizzabili.
[3] Al pari dei social plugins, i pixels possono essere integrati nelle pagine dei siti internet e consentono di raccogliere informazioni sugli utenti che hanno visitato tali pagine al fine, in particolare, di misurare e ottimizzare la pubblicità sulle stesse.
[4] I social plugins di Facebook sono inseriti dai gestori di siti internet terzi nelle loro pagine. Il più diffuso è il pulsante “mi piace”, e in occasione di ogni consultazione di pagine internet contenenti quest’ultimo i cookies installati sull’apparecchio utilizzato, l’URL della pagina visitata e altri dati, quali l’indirizzo IP o l’ora, sono trasmessi alla Meta. A tal fine, non è necessario che l’utente abbia cliccato sul pulsante “mi piace”, dato che il semplice fatto di visualizzare una pagina internet contenente un siffatto plugin è sufficiente affinché tali dati siano poi trasmessi all’impresa.
[5] Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.
[6] L’articolo 5 GDPR, intitolato “Principi applicabili al trattamento di dati personali”, al paragrafo 1 lettera c) dispone: “… I dati personali sono:
(…)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)…”.
[7] CGUE 24.02.2022, Causa C‑175/20, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali), punto 79.
[8] CGUE 07.12.2023, Cause riunite C‑26/22 e C‑64/22, SCHUFA Holding (Esdebitazione), punto 95.
[9] CGUE 20.10.2022, Causa C‑77/21, Digi, punto 54.
[10] CGUE 24.02.2022, Causa C‑175/20, Valsts ieņēmumu dienests (Trattamento dei dati personali a fini fiscali), punto 74.
[11] CGUE 04.07.2023, Causa C‑252/21, Meta Platforms e a.(Condizioni generali di utilizzo di un social network), punto 118.
[12] L’articolo 9 GDPR, intitolato “Trattamento di categorie particolari di dati personali”, al paragrafo 2 lettera e) dispone: “… Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
(…)
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato…”.
[13] CGUE 04.07.2023, Causa C‑252/21, Meta Platforms e a.(Condizioni generali di utilizzo di un social network), punti 69-70.
[14] Ibidem, punto 76.
[15] Ibidem, punto 77.