Causa C-446-21: Social e Dati personali e sensibili, Facebook non può utilizzarli senza limitazioni

14.10.24 -

La Corte suprema austriaca ha chiesto alla Corte di giustizia di interpretare il Regolamento europeo sulla protezione dei dati (RGPD) relativamente al trattamento dei dati relativi al proprio orientamento sessuale di un cittadino austriaco, ottenuti al di fuori di tale piattaforma.

La Corte di Giustizia nella causa C-446/21 Facebook-Schrems, ricorda alcuni principi alla base del trattamento dei dati sensibili, pur nel caso in cui sia avvenuta una dichiarazione pubblica a riguardo, da parte dell’interessato.

Orientamento sessuale pubblico e trattamento dei dati

Nel caso di specie il signor. M.S. aveva espresso il proprio orientamento sessuale in occasione di una tavola rotonda pubblica, su invito della rappresentanza della Commissione europea in Austria. Intendeva in tal modo criticare il trattamento di dati personali effettuato da Facebook. Il contenuto della tavola rotonda era stata diffusa in streaming e una registrazione è stata successivamente pubblicata sotto forma di «podcast», nonché sul canale YouTube della Commissione. Tuttavia, il sig. S. non aveva mai menzionato tale aspetto della sua vita privata nel suo profilo Facebook.

Successivamente la Meta Platforms nella sua attività di raccolta dei dati personali degli utenti di Facebook, tra i quali il sig. S, sfruttando “cookie”1,”social plugin” e “pixel” aveva individuato gli interessi del signor M.S. e gli aveva rivolto della pubblicità mirata.

La questione che pone il tribunale austriaco nel ricorso alla Corte riguarda il fatto che una comunicazione pubblica del proprio orientamento sessuale giustifichi o meno ed in quali termini, l’autorizzazione al trattamento dei dati medesimi.

Trattamento dati: il principio della “Minimizzazione dei dati”

La Corte di Giustizia europea fissa due considerazioni.

  1. Ricorda il principio della «minimizzazione dei dati», stabilito dal RGPD: osta a che l’insieme dei dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, abbia ottenuto dall’interessato o da terzi e che siano stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati ai fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.
  2. Il fatto che una persona abbia reso manifestamente pubblico un dato riguardante il suo orientamento sessuale comporta che tale dato possa essere oggetto di trattamento, nel rispetto delle disposizioni del RGPD. Tuttavia, tale circostanza non autorizza, di per sé, il trattamento di altri dati personali relativi all’orientamento sessuale di tale persona.

Pertanto, secondo la CGE la manifestazione pubblica del proprio orientamento non autorizza automaticamente il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di tale persona ottenuti, se del caso, al di fuori di tale piattaforma a partire da applicazioni e siti Internet di partner terzi, ai fini di aggregarli e analizzarli per proporre a tale persona della pubblicità personalizzata.

  1. Cos’è il principio della minimizzazione dei dati personali?

    Il principio della minimizzazione dei dati prevede che i dati trattati ai sensi del regolamento europeo sulla privacy siano adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento.
    (Fonte Garante Privacy)

  2. Principi del trattamento dei dati: cosa prevede il Regolamento UE Privacy?

    I Principi del trattamento dei dati a livello europeo sono contenuti all’articolo 5 e 6 del Regolamento (UE) 2016/679: vi rientrano i principi di liceità, correttezza e trasparenza del trattamento, l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati.
    Inoltre, si cita il principio della minimizzazione dei dati rispetto alle finalità del trattamento oltre alla garanzia dell’esattezza e aggiornamento dei dati, (compresa la tempestiva cancellazione) e la limitazione della conservazione degli stessi, oltre alla loro integrità e sicurezza oggetto del trattamento.
    (Fonte Garante Privacy)

  3. Chi deve garantire il rispetto dei principi del trattamento dei dati?

    Spetta al titolare del trattamento rispettare tutti questi principi e di essere “in grado di comprovarlo” (art.5 del Regolamento) e “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”  
    (Fonte Garante Privacy)

  4. I dati sull’orientamento sessuale sono dati sensibili?

    Sì, rientrano nel concetto di dati “personali” diverse tipologie di dati fra i quali i dati che permettono l’identificazione diretta (nome/cognome), i dati relativi a condanne penali e reati ed i dati rientranti in particolari categorie: ovvero i dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale.
    (Fonte Garante Privacy)

Coockie, Social plug in e Pixel: cosa sono e a cosa servono

Con riferimento alla Causa i “cookie” usati da Meta per la raccolta dei dati dell’utente consentono alla Meta di determinare la fonte delle consultazioni. Invece i «social plugin» di Facebook sono «inseriti» dai gestori di siti Internet terzi nelle loro pagine. Il più diffuso è il pulsante «mi piace» di Facebook. In
occasione di ogni consultazione di pagine Internet contenenti tale pulsante, i «cookie» installati sull’apparecchio utilizzato, l’URL della pagina visitata e altri dati, quali l’indirizzo IP o l’ora, sono trasmessi alla Meta.

Pertanto, si rettifica dalla Corte di giustizia, non è necessario che l’utente abbia cliccato sul pulsante «mi piace», dato che il semplice fatto di visualizzare una pagina Internet contenente un siffatto «plugin» è sufficiente affinché tali dati siano poi trasmessi a detta società.

Come i «social plugin», i pixel possono essere integrati nelle pagine dei siti Internet e consentono di raccogliere informazioni sugli utenti che hanno visitato tali pagine al fine, in particolare, di misurare e ottimizzare la pubblicità sulle stesse. Ad esempio, integrando un pixel Facebook nelle proprie pagine Internet, i gestori di queste ultime possono ottenere dalla Meta relazioni sul numero di persone che hanno visto la loro pubblicità su Facebook e che si sono poi collegate alla loro pagina Internet al fine di consultarla o effettuare un acquisto.

In che modo Facebook gestisce la pubblicità personalizzata?

A partire dal 6 novembre 2023, i servizi di Facebook hanno continuato ad essere gratuiti unicamente per gli utenti che hanno accettato che i loro dati personali fossero raccolti e utilizzati per indirizzare loro pubblicità personalizzata. Gli utenti hanno da allora la possibilità di sottoscrivere un abbonamento a pagamento per accedere ad una versione di detti servizi senza ricevere pubblicità mirata.

NormativaIn risaltoIn primo pianoNewsapprofondimentiProdotti & tecnologieSentenzeQuesitoDispositivi di Protezione individuale - DPIINAILmembershipCovid-19norme tecnicheSafety ExpoTesto Unico di Sicurezza - D.Lgs. 81/2008
Articoli correlati