Corte di Giustizia Ue: Meta non può conservare i dati personali senza limiti temporali e l’esplicito consenso degli utenti
I dati personali degli utenti non possono essere utilizzati dalle piattaforme digitali per la pubblicità senza un limite di tempo e senza prestare attenzione alla natura dei dati stessi. Lo ha sancito la Corte di giustizia dell’Unione europea (Cgue), il più alto grado di giudizio comunitario, emettendo una sentenza su un caso intentato dall’attivista austriaco Maximilian Schrems.
Con la sentenza del 4 ottobre 2024 resa nel caso C‑446/21, i giudici europei hanno dato ragione a Schrems seguendo il parere (non vincolante) espresso lo scorso aprile dall’avvocato generale della Corte UE, Athanasios Rantos, che si era schierato con il ricorrente. Nel caso in esame, la Cgue ha stabilito che le piattaforme non sono autorizzate ad utilizzare dati sugli utenti ottenuti all’esterno o da terzi, nemmeno nel caso in cui siano state rese pubbliche dagli utenti stessi.
Nello specifico, il fatto che Schrems avesse parlato del proprio orientamento sessuale ad un evento pubblico (offline) non consente a Meta di trattare questi dati “al fine di aggregarli e analizzarli per proporgli della pubblicità personalizzata”, a meno che lui non abbia esplicitamente acconsentito al loro trattamento da parte del social network – consenso che è stato invece convintamente negato.
Le piattaforme possono quindi utilizzare solo i dati che gli utenti comunicano loro direttamente e il cui trattamento viene espressamente autorizzato. Oltre a ciò, la Corte ha ribadito anche che un social “non può utilizzare l’insieme dei dati personali ottenuti a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati”. Vale a dire che i dati raccolti dalle piattaforme in conformità con il Gdpr hanno una data di scadenza, soprattutto quelli particolarmente sensibili, come quelli che riguardano l’orientamento sessuale, la professione religiosa, le convinzioni politiche eccetera.
Katharina Raabe-Stuppnig, legale di Schrems, si è detta “molto soddisfatta della sentenza”, anche se l’esito finale era ampiamente previsto. “Meta sta costruendo da 20 anni un enorme bacino di dati sugli utenti, che cresce di giorno in giorno”, ha dichiarato, il che si pone in aperto conflitto con la normativa europea che richiede la cosiddetta “minimizzazione dei dati”, cioè la raccolta, il trattamento e la conservazione dei soli dati che si dimostrano realmente indispensabili ad uno scopo ben definito. Con la decisione della Cgue, che sarà applicabile a tutte le società di pubblicità online, viene di fatto rafforzato il quadro regolatorio introdotto dal Gdpr.
Non è del resto la prima volta che l’attivista austriaco ottiene delle vittorie giudiziarie contro Meta. In passato, Schrems aveva contestato con successo gli accordi di trasferimento dei dati degli utenti tra Ue e Stati Uniti in due distinti processi, avviati rispettivamente nel 2013 sul Safe Harborur e nel 2018 sul Privacy Shield.
