Edificio che ospita la Corte di giustizia Europea

Causa C-446-21: Social e Dati personali e sensibili, Facebook non può utilizzarli senza limitazioni

665 0

La Corte suprema austriaca ha chiesto alla Corte di giustizia di interpretare il Regolamento europeo sulla protezione dei dati (RGPD) relativamente al trattamento dei dati relativi al proprio orientamento sessuale di un cittadino austriaco, ottenuti al di fuori di tale piattaforma.

La Corte di Giustizia nella causa C-446/21 Facebook-Schrems, ricorda alcuni principi alla base del trattamento dei dati sensibili, pur nel caso in cui sia avvenuta una dichiarazione pubblica a riguardo, da parte dell’interessato.

Orientamento sessuale pubblico e trattamento dei dati

Nel caso di specie il signor. M.S. aveva espresso il proprio orientamento sessuale in occasione di una tavola rotonda pubblica, su invito della rappresentanza della Commissione europea in Austria. Intendeva in tal modo criticare il trattamento di dati personali effettuato da Facebook. Il contenuto della tavola rotonda era stata diffusa in streaming e una registrazione è stata successivamente pubblicata sotto forma di «podcast», nonché sul canale YouTube della Commissione. Tuttavia, il sig. S. non aveva mai menzionato tale aspetto della sua vita privata nel suo profilo Facebook.

Successivamente la Meta Platforms nella sua attività di raccolta dei dati personali degli utenti di Facebook, tra i quali il sig. S, sfruttando “cookie”1,”social plugin” e “pixel” aveva individuato gli interessi del signor M.S. e gli aveva rivolto della pubblicità mirata.

La questione che pone il tribunale austriaco nel ricorso alla Corte riguarda il fatto che una comunicazione pubblica del proprio orientamento sessuale giustifichi o meno ed in quali termini, l’autorizzazione al trattamento dei dati medesimi.

Trattamento dati: il principio della “Minimizzazione dei dati”

La Corte di Giustizia europea fissa due considerazioni.

  1. Ricorda il principio della «minimizzazione dei dati», stabilito dal RGPD: osta a che l’insieme dei dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, abbia ottenuto dall’interessato o da terzi e che siano stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati ai fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.
  2. Il fatto che una persona abbia reso manifestamente pubblico un dato riguardante il suo orientamento sessuale comporta che tale dato possa essere oggetto di trattamento, nel rispetto delle disposizioni del RGPD. Tuttavia, tale circostanza non autorizza, di per sé, il trattamento di altri dati personali relativi all’orientamento sessuale di tale persona.

Pertanto, secondo la CGE la manifestazione pubblica del proprio orientamento non autorizza automaticamente il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di tale persona ottenuti, se del caso, al di fuori di tale piattaforma a partire da applicazioni e siti Internet di partner terzi, ai fini di aggregarli e analizzarli per proporre a tale persona della pubblicità personalizzata.

  1. Cos’è il principio della minimizzazione dei dati personali?

    Il principio della minimizzazione dei dati prevede che i dati trattati ai sensi del regolamento europeo sulla privacy siano adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento.
    (Fonte Garante Privacy)

  2. Principi del trattamento dei dati: cosa prevede il Regolamento UE Privacy?

    I Principi del trattamento dei dati a livello europeo sono contenuti all’articolo 5 e 6 del Regolamento (UE) 2016/679: vi rientrano i principi di liceità, correttezza e trasparenza del trattamento, l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati.
    Inoltre, si cita il principio della minimizzazione dei dati rispetto alle finalità del trattamento oltre alla garanzia dell’esattezza e aggiornamento dei dati, (compresa la tempestiva cancellazione) e la limitazione della conservazione degli stessi, oltre alla loro integrità e sicurezza oggetto del trattamento.
    (Fonte Garante Privacy)

  3. Chi deve garantire il rispetto dei principi del trattamento dei dati?

    Spetta al titolare del trattamento rispettare tutti questi principi e di essere “in grado di comprovarlo” (art.5 del Regolamento) e “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”  
    (Fonte Garante Privacy)

  4. I dati sull’orientamento sessuale sono dati sensibili?

    Sì, rientrano nel concetto di dati “personali” diverse tipologie di dati fra i quali i dati che permettono l’identificazione diretta (nome/cognome), i dati relativi a condanne penali e reati ed i dati rientranti in particolari categorie: ovvero i dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale.
    (Fonte Garante Privacy)

Coockie, Social plug in e Pixel: cosa sono e a cosa servono

Con riferimento alla Causa i “cookie” usati da Meta per la raccolta dei dati dell’utente consentono alla Meta di determinare la fonte delle consultazioni. Invece i «social plugin» di Facebook sono «inseriti» dai gestori di siti Internet terzi nelle loro pagine. Il più diffuso è il pulsante «mi piace» di Facebook. In
occasione di ogni consultazione di pagine Internet contenenti tale pulsante, i «cookie» installati sull’apparecchio utilizzato, l’URL della pagina visitata e altri dati, quali l’indirizzo IP o l’ora, sono trasmessi alla Meta.

Pertanto, si rettifica dalla Corte di giustizia, non è necessario che l’utente abbia cliccato sul pulsante «mi piace», dato che il semplice fatto di visualizzare una pagina Internet contenente un siffatto «plugin» è sufficiente affinché tali dati siano poi trasmessi a detta società.

Come i «social plugin», i pixel possono essere integrati nelle pagine dei siti Internet e consentono di raccogliere informazioni sugli utenti che hanno visitato tali pagine al fine, in particolare, di misurare e ottimizzare la pubblicità sulle stesse. Ad esempio, integrando un pixel Facebook nelle proprie pagine Internet, i gestori di queste ultime possono ottenere dalla Meta relazioni sul numero di persone che hanno visto la loro pubblicità su Facebook e che si sono poi collegate alla loro pagina Internet al fine di consultarla o effettuare un acquisto.

In che modo Facebook gestisce la pubblicità personalizzata?

A partire dal 6 novembre 2023, i servizi di Facebook hanno continuato ad essere gratuiti unicamente per gli utenti che hanno accettato che i loro dati personali fossero raccolti e utilizzati per indirizzare loro pubblicità personalizzata. Gli utenti hanno da allora la possibilità di sottoscrivere un abbonamento a pagamento per accedere ad una versione di detti servizi senza ricevere pubblicità mirata.

Trattamento dei dati: l’informazione e la formazione per il Professionista della Security

Qual è la normativa di riferimento per la security in azienda?

In materia di trattamento dei dati suggeriamo i libri di Security editi da EPC editore e dedicati alla formazione e informazione dei professionisti della security e dei lavoratori:

Protezione dei dati personali e sicurezza informatica

Compliance aziendale e modalità tecnico-comportamentali nella conduzione degli audit

a Beccara Jean Louis, Cirolini Lunelli Alessandra , Ranise Silvio

Libro

Edizione: ottobre 2023

Pagine: 176

Formato: 150×210 mm

Tutela dei dati e sicurezza informatica

Del Pizzo Alessia
E-book

Contesto normativo e strategico, studio della cybersecurity e blockchain, Cyber security del PTD, il corretto trattamento dei dati nei processi digitali e conoscenza del percorso digitale della pubblica amministrazione.

Il volume fa parte della collana “PNRR, digitalizzazione e cybersecurity”

Abc del trattamento dei dati personali

Biasiotti Adalberto

Manualistica per i lavoratori

Edizione: ristampa aggiornata marzo 2022

Pagine: 96

Formato: 115×165 mm

Il sistema integrato per la SICUREZZA delle INFORMAZIONI ed il GDPR

Castroreale Renato, Ponti Chiara

Libro

Edizione: marzo 2021

Pagine: 384

Formato: 150×210 mm

Corso di formazione e-learning sul GDPR

In materia di formazione del professionista della Security, suggeriamo il corso organizzato da Istituto Informa nel catalogo dei corsi di Security e Privacy e dedicato al GDPR

Corso e-learning
GDPR General Data Protection Regulation – Il nuovo Regolamento europeo sul trattamento dei dati

In questo corso si possono approfondire tutte le novità introdotte dal nuovo Regolamento Europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il corso è rivolto a tutti coloro che hanno necessità di apprendere in modo puntuale e veloce le novità introdotte dal nuovo GDPR.

Antonio Mazzuca

Coordinamento editoriale Portale InSic.it -redattore giuridico Laurea in Giurisprudenza in Diritto europeo (LUISS Guido Carli 2006) e Master in "Gestione integrata di salute e sicurezza nell'evoluzione del mondo del lavoro" INAIL-Sapienza (I° Ed. 2018-19). Formatore certificato in salute e sicurezza sul lavoro dal 2017 per Istituto Informa e RLS per EPC Editore. Esperto in sicurezza sul lavoro e amministratore del Gruppo Linkedin Ambiente&Sicurezza sul Lavoro. Content editor e Social media per InSic.it su Linkedin e X (ex Twitter). Contatti: Linkedin Mail: a.mazzuca@insic.it