La Corte di Giustizia, con sentenza del 04 ottobre 2024, resa nella causa C-446/21, si è pronunciata sull’utilizzo di dati personali ottenuti a fini di pubblicità mirata, posto in essere nel caso di specie senza limitazione temporale e senza distinzione basata sulla natura di tali dati.
Sulla legittimità della raccolta e aggregazione di dati personali, a fini pubblicitari
La Corte rileva che, ai sensi dell’art. 5, paragrafo 1, lett. e), GDPR, i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; infatti, un trattamento inizialmente lecito di dati può divenire, nel tempo, contrario alle disposizioni del GDPR qualora tali dati non siano più necessari rispetto alle finalità per le quali sono stati rilevati o successivamente trattati, e detti dati debbano essere cancellati qualora tali finalità siano realizzate.
In sintesi, una conservazione, per un periodo illimitato, dei dati personali degli utenti di una piattaforma di social network a fini di pubblicità mirata deve essere considerata un’ingerenza sproporzionata nei diritti garantiti a tali utenti dal GDPR.
Inoltre, per quanto riguarda la circostanza che dati personali (tra cui quelli sensibili) siano raccolti, aggregati, analizzati e trattati a fini di pubblicità mirata, senza distinzione basata sulla natura di tali dati, la Corte ricorda che, alla luce del principio di minimizzazione dei dati (art. 5, paragrafo 1, lettera c), GDPR), il titolare del trattamento non può procedere, in modo generalizzato e indifferenziato, alla raccolta di dati personali e non deve raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento.
Peraltro, l’art. 25, paragrafo 2, GDPR, impone al titolare del trattamento di attuare misure adeguate per garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari per ciascuna finalità specifica del trattamento: ai sensi di tale disposizione, un siffatto requisito si applica in particolare alla quantità di dati personali raccolti e alla portata del loro trattamento, così come alla loro durata di conservazione.
Nel caso di specie, la piattaforma social raccoglieva i dati personali degli utenti riguardanti le attività degli stessi sia su tale social network sia al di fuori di esso, tra cui, in particolare, i dati relativi alla consultazione della piattaforma online, nonché di pagine Internet e di applicazioni terze, seguendo altresì il comportamento di navigazione degli utenti in tali pagine mediante “social plugins” e “pixels” inseriti nelle pagine Internet interessate: tale trattamento è particolarmente esteso, vertendo su dati potenzialmente illimitati, e ha un notevole impatto sull’utente, di cui la piattaforma controlla gran parte, se non la quasi totalità, delle attività online, al punto da suscitare nell’utente la sensazione di una continua sorveglianza della sua vita privata.
Secondo la Corte, il trattamento di tali dati è caratterizzato da una grave ingerenza nei diritti fondamentali degli interessati, in particolare dei loro diritti al rispetto della vita privata e alla protezione dei dati personali garantiti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’UE, che non sembra ragionevolmente giustificata alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità mirate.
In ogni caso, l’utilizzo indifferenziato di tutti i dati personali detenuti da una piattaforma di social network a fini pubblicitari, indipendentemente dal grado di sensibilità di tali dati, non risulta essere un’ingerenza proporzionata nei diritti garantiti agli utenti di tale piattaforma dall’GDPR.
Sulla legittimità del trattamento di dati sensibili, resi noti all’esterno della piattaforma dall’utente
Inoltre, anche se la circostanza che l’interessato abbia reso manifestamente pubblico un dato sensibile, come quello riguardante il proprio orientamento sessuale, comporta che tale dato possa essere oggetto di un trattamento (in deroga al divieto di cui all’art. 9, paragrafo 1, GDPR), ciò non autorizza, di per sé, il trattamento di altri dati personali relativi all’orientamento sessuale di quella persona.
Infatti:
- da un lato, sarebbe contrario all’interpretazione restrittiva che occorre dare all’art. 9, paragrafo 2, lett. e), GDPR, ritenere che l’insieme dei dati, relativi all’orientamento sessuale di una persona, sfugga alla protezione derivante dal paragrafo 1 di tale articolo, per il solo motivo che l’interessato ha manifestamente reso pubblico un dato personale relativo al suo orientamento sessuale.
- dall’altro lato, il fatto che una persona abbia manifestamente reso pubblico un dato riguardante il suo orientamento sessuale non consente di ritenere che tale persona abbia fornito il proprio consenso, ai sensi dell’art. 9, paragrafo 2, lettera a), GDPR, al trattamento, da parte del gestore di una piattaforma di social network online, di altri dati relativi al proprio orientamento sessuale.
Quanto al caso di specie quindi, la circostanza che una persona si sia espressa sul suo orientamento sessuale in occasione di una tavola rotonda pubblica, non autorizza, secondo la Corte, il gestore di una piattaforma di social network online, a trattare altri dati relativi all’orientamento sessuale di tale persona ottenuti, se del caso, al di fuori di tale piattaforma a partire da applicazioni e siti Internet di partner terzi, ai fini di aggregarli e analizzarli per proporre a tale persona della pubblicità personalizzata.
Il principio di diritto
Questo il principio di diritto espresso dalla Corte:
L’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che:
il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.
L’articolo 9, paragrafo 2, lettera e), del regolamento 2016/679, dev’essere interpretato nel senso che:
la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e da siti Internet di partners terzi, al fine dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona della pubblicità personalizzata.