Con sentenza del 4/07/2023 (causa C‑252/21), la Corte di Giustizia UE ha posto un significativo limite alle attività di trattamento di dati personali realizzate dalle società del Gruppo Meta, soprattutto per quanto riguarda i c.d. dati off Facebook, cioè quei dati relativi alle attività che gli utenti Facebook compiono all’esterno del social.
La questione
Il modello economico di Facebook si fonda, in sintesi, sul finanziamento tramite la pubblicità online, che viene creata su misura per i singoli utenti in funzione del loro comportamento di consumo, dei loro interessi, del loro potere d’acquisto e della loro situazione personale.
Il presupposto tecnico per questo tipo di pubblicità è la creazione automatizzata di profili dettagliati degli utenti che utilizzano i servizi offerti dall’intero Gruppo Meta. A tal fine, oltre ai dati che gli utenti forniscono direttamente al momento dell’iscrizione a Facebook, vengono raccolti anche altri dati, relativi agli utenti e ai loro dispositivi, connessi alle azioni compiute sia all’interno che all’esterno del servizio fornito da Meta.
In particolare, per quanto riguarda i dati off Facebook, si tratta sia dei dati riguardanti l’utilizzo di altri servizi del Gruppo Meta (come Instagram o WhatsApp) ma anche dei dati relativi alla consultazione di siti e applicazioni di terzi che sono collegate a Facebook attraverso interfacce di programmazione. Questi dati vengono poi messi in relazione ai singoli account e il quadro generale che ne emerge consente di trarre conclusioni dettagliate sulle preferenze e sugli interessi degli utenti.
Per il trattamento di questa mole di dati, Meta si basa sulle condizioni generali d’uso a cui gli utenti di Facebook aderiscono tramite l’attivazione del pulsante «Iscriviti» e con il quale essi accettano le condizioni stabilite da Meta.
In forza di queste condizioni, appunto, Meta dichiara di raccogliere i dati riferiti agli utenti e ai loro dispositivi, relativi alle loro attività all’interno e all’esterno del social network, e di metterli in relazione con gli account Facebook degli utenti interessati.
Il sistema appena delineato è stato esaminato dall’autorità tedesca garante della concorrenza che, nel 2019, ha vietato al gruppo Meta di subordinare, nelle condizioni generali, l’uso di Facebook al trattamento dei dati off Facebook degli utenti, vietando altresì di continuare, senza il consenso degli utenti, il trattamento di tali dati sulla base delle condizioni generali allora vigenti.
L’autorità tedesca ha motivato la sua decisione sostenendo che il trattamento di dati personali degli utenti costituiva uno sfruttamento abusivo della posizione dominante di Meta sul mercato dei sociali network, dichiarando anche la natura abusiva di tali condizioni perché non conformi al GDPR. Questo perché, tra l’altro, il trattamento dei dati off Facebook consiste nel raccogliere anche dati particolari degli utenti Facebook (ex dati sensibili), quando essi consultano siti o applicazioni diversi da quelli Meta e in grado di rivelare dati appartenenti a questa speciale categoria di dati (come app di incontri, anche omosessuali, siti di partiti politici o siti relativi alla salute).
La decisione della Corte di Giustizia UE
La Corte, dopo aver chiarito che anche un’autorità garante della concorrenza può esaminare la conformità del comportamento di un’impresa al GDPR, ha affermato che le operazioni compiute dal gruppo Meta, con particolare riguardo ai c.d. dati sensibili off Facebook, sono un “trattamento di categorie particolari di dati personali” ai sensi dell’art. 9 del GDPR e, in quanto tali, sono vietate, a prescindere dal fatto che tali informazioni riguardino un utente Facebook o qualsiasi altra persona fisica.
La Corte non ha neppure condiviso l’argomento difensivo del Gruppo, secondo il quale alcune azioni spontaneamente compiute dagli utenti, come cliccare i tasti “mi piace” o “condividi”, equivarrebbero a rendere manifestamente pubblici i dati particolari in questione, così facendo venire meno il divieto di cui all’art. 9 GDPR.
Al riguardo, la Corte ha precisato che le deroghe previste dall’art. 9 del GDPR vanno interpretate restrittivamente, quindi l’utente di un social network, consultando siti o applicazioni correlate a una o più delle categorie menzionate all’art. 9, non rende manifestamente pubblici i dati relativi a tale consultazione.
Inoltre, quando l’utente inserisce i propri dati in tali siti o applicazioni, nonché quando attiva i pulsanti «Mi piace» o «Condividi» o quelli che consentono di identificarsi su un sito o su un’applicazione utilizzando gli identificativi collegati all’account Facebook, i dati così inseriti o risultanti dall’attivazione di tali pulsanti potrebbero considerarsi resi manifestamente pubblici soltanto se l’utente abbia esplicitamente espresso – preliminarmente e con piena cognizione di causa – la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone.
Ilaria Feriti