Il Principio di Minimizzazione nella sentenza del 4 ottobre 2024 della Corte di Giustizia dell’Unione Europea nella causa C-446/21
La sentenza del 4 ottobre 2024 della Corte di Giustizia dell’Unione Europea (CGUE), emessa dalla Quarta Sezione, rappresenta un fondamentale passo avanti nella tutela della privacy digitale, approfondendo Il Principio di Minimizzazione dei Dati. Il caso, sollevato da Maximilian Schrems contro Meta Platforms Ireland, affronta pratiche di trattamento dei dati personali per scopi di pubblicità mirata, gettando luce sul principio di minimizzazione dei dati e sulle tutele per le categorie particolari di dati, come quelli relativi all’orientamento sessuale.
Un caso emblematico nella sfida tra diritti fondamentali e interessi commerciali.
Che cos’è il Diritto? leggi l’approfondimento
Contesto e questioni giuridiche nella causa C-446/21
La controversia ruota intorno all’uso da parte di Meta di tecnologie di tracciamento integrate su siti di terzi, che hanno permesso di raccogliere dati personali degli utenti senza consenso esplicito. Schrems ha contestato queste pratiche, sostenendo che violano le disposizioni del Regolamento Generale sulla Protezione dei Dati (Cd. GDPR). La questione centrale è se la raccolta e l’utilizzo di tali dati, inclusi quelli sensibili, siano compatibili con i principi di minimizzazione e limitazione delle finalità previsti dal RGPD.
La Corte suprema austriaca ha sollevato dubbi sulla conformità di tali pratiche con il Regolamento generale sulla protezione dei dati.
La Corte, in questa procedura, ha anche affrontato l’interpretazione della deroga relativa ai dati resi manifestamente pubblici, sancita dall’articolo 9, paragrafo 2, lettera e), del regolamento.
Il principio di minimizzazione dei dati: significato e applicazione
Il principio di minimizzazione, previsto dall’art. 5, par. 1, lett. c) del RGPD, è un pilastro della protezione dei dati personali. Esso richiede che i dati raccolti siano:
- Adeguati: strettamente necessari per raggiungere lo scopo dichiarato.
- Rilevanti: pertinenti rispetto alle finalità esplicitate.
- Limitati: non eccedenti rispetto al necessario.
Questo principio impone che i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità dichiarate. La CGUE ha ribadito che l’uso indiscriminato di tutti i dati personali per fini pubblicitari costituisce una violazione sproporzionata dei diritti degli utenti. La raccolta e l’elaborazione di dati sensibili, senza distinzione e senza limiti temporali, sono incompatibili con la normativa europea. Nella pratica, le piattaforme online devono evitare aggregazioni estese e prolungate di informazioni, specialmente se i dati non sono legati a finalità dichiarate e legittime.
La minimizzazione dei dati non è solo una questione quantitativa, ma qualitativa: significa raccogliere esclusivamente informazioni essenziali e pertinenti rispetto a obiettivi specifici, dichiarati e legittimi. Questa nozione si contrappone alle pratiche di profilazione che aggregano informazioni anche indirettamente collegate all’utente.
Rilevanza del principio nella sentenza
La CGUE ha stabilito che l’aggregazione e l’analisi indiscriminata di dati raccolti da Meta, sia all’interno che all’esterno della piattaforma, a fini pubblicitari, violano il principio di minimizzazione. Questo tipo di trattamento costituisce un’ingerenza sproporzionata nei diritti fondamentali degli utenti.
Dati sensibili e la deroga dell’articolo 9 GDPR
Un altro aspetto cruciale riguarda il trattamento dei dati relativi all’orientamento sessuale, una categoria di dati particolarmente tutelata dall’art. 9 del RGPD. La CGUE ha evidenziato che la dichiarazione pubblica di un dato sensibile, come avvenuto nel caso di una tavola rotonda, non equivale al consenso per il trattamento di ulteriori dati associati. Questa interpretazione restrittiva della deroga protegge gli individui dall’uso improprio delle loro informazioni personali.
La deroga dell’art. 9, par. 2, lett. e)
La deroga consente il trattamento dei dati resi “manifestamente pubblici” dall’interessato, ma la Corte ha chiarito che questa eccezione deve essere applicata rigorosamente. Anche in contesti apparentemente pubblici, come una tavola rotonda, non si può presumere che l’interessato acconsenta all’analisi e all’aggregazione di ulteriori dati da parte di terzi.
La sentenza affronta anche la questione dei dati relativi all’orientamento sessuale, una categoria di informazioni particolarmente protetta. La Corte ha chiarito che il fatto che un individuo abbia reso pubblico un dato, come durante una tavola rotonda, non implica il consenso per il trattamento di altri dati sensibili correlati.
Secondo l’articolo 9, par. 2, lett. e), il trattamento di dati resi manifestamente pubblici è possibile solo in presenza di un consenso esplicito e specifico. La Corte ha sottolineato la necessità di un’interpretazione restrittiva di questa deroga per prevenire abusi.
Il dispositivo della sentenza
La Corte di Giustizia UE ha così statuito:
Per questi motivi, la Corte (Quarta Sezione) dichiara:
- L’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
dev’essere interpretato nel senso che:
il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.
- L’articolo 9, paragrafo 2, lettera e), del regolamento 2016/679
dev’essere interpretato nel senso che:
la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e da siti Internet di partners terzi, al fine dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona della pubblicità personalizzata.
Implicazioni della sentenza
La sentenza Schrems vs Meta rappresenta una vittoria significativa per la privacy nell’era digitale. Essa riafferma il diritto degli individui a controllare i propri dati personali e stabilisce un precedente importante per affrontare le sfide della profilazione e del targeting pubblicitario.
La sentenza invia un messaggio chiaro: le piattaforme digitali devono rivedere le loro politiche di raccolta e trattamento dei dati, rispettando rigorosamente i principi del GDPR. Questo precedente potrebbe influenzare non solo il modus operandi di Meta, ma anche di altre aziende tecnologiche che operano nell’UE. Questa sentenza sottolinea la necessità per le piattaforme digitali di adottare misure più trasparenti e rispettose dei diritti degli utenti. Il consenso deve essere esplicito, informato e specifico per ciascuna finalità. Inoltre, la decisione invita i legislatori e le autorità di controllo a rafforzare gli strumenti per garantire la conformità al GDPR.
Una svolta per la pubblicità online
Il caso Schrems vs Meta non è solo una vittoria per la privacy individuale, ma un monito per tutte le aziende che basano i loro modelli di business sulla profilazione degli utenti.
La protezione della privacy non è un ostacolo all’innovazione, ma un requisito per garantire fiducia e trasparenza nelle relazioni tra utenti e piattaforme.