Rivelare i propri dati sensibili in pubblico non significa che Facebook possa usarli a suo piacimento
Rivelare i propri dati sensibili in pubblico non significa autorizzare chiunque a usarli a piacimento e senza limiti di tempo, pertanto Facebook non può usare indiscriminatamente le informazioni degli orientamenti sessuali di un utente per mandargli pubblicità personalizzata senza il suo consenso.
Queste le conclusioni dell'avvocato generale della Corte di Giustizia dell'UE nella decisione della Causa C-446/21, che coinvolge Meta dopo che l’Avv. Maximilian Schrems, attivista nel campo della protezione dei dati e presidente onorario dell'associazione noyb, aveva adìto i giudici austriaci affermando di aver ricevuto regolarmente pubblicità rivolte agli omosessuali, lamentando di non aver mai fatto nessun cenno nella sua attività sulla rete social riguardo al suo orientamento sessuale, a cui aveva fatto solamente riferimento durante una conferenza pubblica, e sostenendo quindi che tali avvisi pubblicitari non si basavano direttamente sul suo orientamento sessuale, ma sulla base di un'analisi dei suoi particolari interessi.
Contestando la condotta di Facebook, l’Avv. Schrems aveva intentato una causa che necessitava quindi dell'esatta interpretazione dell'articolo 9 del GDPR, per la quale la corte suprema austriaca aveva rimandato alla Corte di Giustizia dell’UE, e su cui il 25 aprile 2024 l'avvocato generale ha presentato le sue conclusioni non vincolanti in attesa della sentenza definitiva.
Il problema riguardava la lettera e) del paragrafo 2 dell’articolo 9 in cui il Regolamento UE 2016/679 prevede in modo ambiguo che non si applica il divieto di trattamento dei dati sensibili se il trattamento riguarda dati “resi manifestamente pubblici dall'interessato”, come avrebbe fatto Schrems nel corso del convegno a cui aveva partecipato come relatore.
Per evitare esiti altrimenti paradossali, l'avvocato generale della Corte UE propone adesso una lettura restrittiva del testo dell'articolo 9: in pratica, è vero che se uno parla delle sue preferenze sessuali in pubblico, ad esempio nel corso di un convegno fruibile in streaming, ciò implica che l'interessato abbia reso pubbliche quelle notizie, ma questo non significa che quei dati diventino liberamente utilizzabili. Anzi, per poterli usare occorre rispettare altri articoli del GDPR l’art.5 riguardante la correttezza e la liceità, e l’art. 6 sul consenso o altra valida base giuridica.
Nel comunicato stampa della Corte UE, l’avvocato generale Athanasios Rantos ha ricordato che obiettivo della protezione assicurata dal GDPR è evitare che la persona interessata sia esposta a conseguenze pregiudizievoli, come in particolare il disprezzo pubblico o atti discriminatori, derivanti, da una percezione negativa, “da un punto di vista sociale o economico, delle situazioni elencate”. Tale disposizione prevede dunque una particolare protezione di tali dati personali tramite un divieto di principio non assoluto, la cui applicazione nel caso di specie è subordinata alla valutazione dell'interessato, che è colui che meglio di tutti può valutare le conseguenze pregiudizievoli che potrebbero derivare dalla divulgazione dei dati in questione e che, se del caso, può rinunciare a tale protezione o non avvalersene, con piena cognizione di causa, rendendo manifestamente pubblica, di tale regolamento, la propria situazione e, in particolare, il proprio orientamento sessuale.
E il fatto che il ricorrente si sia espresso sul proprio orientamento sessuale nel contesto di una tavola rotonda, benché possa condurre alla conclusione che, nelle circostanze del caso di specie, tale persona abbia reso “manifestamente pubblici”, di per sé non può giustificare il trattamento di dati personali che rivelino l'orientamento sessuale di tale persona.
Quest'anno noyb parteciperà al Privacy Day Forum con l'Avv. Stefano Rossetti, che interverrà per parlare dei diritti privacy degli interessati
Come si legge sul sito di noyb, Katharina Raabe-Stuppnig, legale che rappresenta Schrems nel procedimento ha spiegato: “L'uso dei dati per la pubblicità deve essere limitato dal tempo, dal tipo e dalla fonte. Da 20 anni Meta costruisce un enorme bacino di dati sugli utenti, che cresce ogni giorno ha utilizzato tutti i dati che ha raccolto per la pubblicità, e le informazioni degli utenti di Facebook possono risalire fino al 2004. Per evitare tali pratiche, il GDPR ha stabilito il principio della minimizzazione dei dati. “Finora Meta ha semplicemente ignorato questo principio e non ha previsto alcun periodo di cancellazione. L'applicazione del principio di minimizzazione dei dati limita radicalmente l'uso dei dati personali per la pubblicità, anche se gli utenti hanno acconsentito agli annunci. Il principio si applica indipendentemente dalla base giuridica utilizzata per il trattamento, quindi anche un utente che acconsente alla pubblicità personalizzata non può utilizzare i propri dati personali all'infinito. Siamo molto soddisfatti del parere, anche se questo risultato era molto atteso.”