Bruxelles – I dati personali degli utenti non possono essere utilizzati dalle piattaforme digitali per la pubblicità senza un limite di tempo e senza prestare attenzione alla natura dei dati stessi. Lo ha sancito oggi (4 ottobre) la Corte di giustizia dell’Unione europea (Cgue), il più alto grado di giudizio comunitario, emettendo una sentenza su un caso intentato dall’attivista austriaco Maximilian Schrems nel 2020. La questione, in sostanza, era se Meta (l’azienda madre di Facebook, Instagram e Whatsapp) fosse o meno in violazione della normativa Ue in materia di trattamento dei dati (General data protection regulation, Gdpr), che il colosso statunitense raccoglie estensivamente per venderli agli inserzionisti.
Alla fine, i giudici della Cgue hanno dato ragione a Schrems, noto attivista per la privacy, seguendo il parere (non vincolante) espresso lo scorso aprile dall’avvocato generale della Corte, Athanasios Rantos, che si era schierato con il ricorrente. Nel caso in esame, la Cgue ha stabilito che le piattaforme non sono autorizzate ad utilizzare dati sugli utenti ottenuti all’esterno o da terzi, nemmeno nel caso in cui siano state rese pubbliche dagli utenti stessi. Nello specifico, il fatto che Schrems avesse parlato del proprio orientamento sessuale ad un evento pubblico (offline) non consente a Meta di trattare questi dati “al fine di aggregarli e analizzarli per proporgli della pubblicità personalizzata”, a meno che lui non abbia esplicitamente acconsentito al loro trattamento da parte del social network – consenso che è stato invece convintamente negato.
Insomma, le piattaforme possono utilizzare solo i dati che gli utenti comunicano loro direttamente e il cui trattamento viene espressamente autorizzato. Oltre a ciò, la Corte ha ribadito anche che un social “non può utilizzare l’insieme dei dati personali ottenuti a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati”. Vale a dire, i dati raccolti dalle piattaforme in conformità con il Gdpr hanno una data di scadenza, soprattutto quelli particolarmente sensibili – come quelli che riguardano l’orientamento sessuale, la professione religiosa, le convinzioni politiche eccetera.
Katharina Raabe-Stuppnig, avvocata di Schrems, si è detta “molto soddisfatta della sentenza”, anche se l’esito finale era ampiamente previsto. “Meta sta costruendo da 20 anni un enorme bacino di dati sugli utenti, che cresce di giorno in giorno”, ha dichiarato, il che si pone in aperto conflitto con la normativa europea che richiede la cosiddetta “minimizzazione dei dati”, cioè la raccolta, il trattamento e la conservazione dei soli dati che si dimostrano realmente indispensabili ad uno scopo ben definito. Con la decisione della Cgue, che sarà applicabile a tutte le società di pubblicità online, viene di fatto rafforzato il quadro regolatorio introdotto dal Gdpr.
Non è del resto la prima volta che l’attivista austriaco ottiene delle vittorie giudiziarie contro Meta. In passato, Schrems aveva contestato con successo gli accordi di trasferimento dei dati degli utenti tra Ue e Stati Uniti in due distinti processi, avviati rispettivamente nel 2013 e 2018.