Facebook non può usare senza limiti i dati ottenuti all’esterno o da terzi

CORTE DI GIUSTIZIA DELL'UNIONE EUROPEA

SENTENZA DELLA CORTE (Quarta Sezione)

4 ottobre 2024

« Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Social network online – Condizioni generali di utilizzo relative ai contratti conclusi tra una piattaforma digitale e un utente – Pubblicità personalizzata – Articolo 5, paragrafo 1, lettera b) – Principio della limitazione della finalità – Articolo 5, paragrafo 1, lettera c) – Principio della minimizzazione dei dati – Articolo 9, paragrafi 1 e 2 – Trattamento di categorie particolari di dati personali – Dati relativi all’orientamento sessuale – Dati personali resi pubblici dall’interessato »

Nella causa C-446/21,

avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dall’Oberster Gerichtshof (Corte suprema, Austria), con decisione del 23 giugno 2021, pervenuta in cancelleria il 20 luglio 2021, nel procedimento

Maximilian Schrems

contro

Meta Platforms Ireland Ltd, già Facebook Ireland Ltd,

LA CORTE (Quarta Sezione),

composta da C. Lycourgos, presidente di sezione, O. Spineanu-Matei, J.-C. Bonichot, S. Rodin e L.S. Rossi (relatrice), giudici,

avvocato generale: A. Rantos

cancelliere: N. Mundhenke, amministratrice

vista la fase scritta del procedimento e in seguito all’udienza dell’8 febbraio 2024,

considerate le osservazioni presentate:

–        per Maximilian Schrems, da K. Raabe-Stuppnig, Rechtsanwältin;

–        per la Meta Platforms Ireland Ltd, da K. Hanschitz, H.-G. Kamann, S. Khalil, B. Knötzl e A. Natterer, Rechtsanwälte;

–        per il governo austriaco, da A. Posch, J. Schmoll, C. Gabauer, G. Kunnert e E. Riedl, in qualità di agenti;

–        per il governo francese, da R. Bénard e A.-L. Desjonquères, in qualità di agenti;

–        per il governo italiano, da G. Palmieri, in qualità di agente, assistita da E. De Bonis, avvocato dello Stato;

–        per il governo portoghese, da P. Barros da Costa, A. Pimenta, J. Ramos e C. Vieira Guerra, in qualità di agenti;

–        per la Commissione europea, da A. Bouchagiar, F. Erlbacher, M. Heller e H. Kranenborg, in qualità di agenti,

sentite le conclusioni dell’avvocato generale, presentate all’udienza del 25 aprile 2024,

ha pronunciato la seguente

Sentenza

1        La presente domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 5, paragrafo 1, lettere b) e c), dell’articolo 6, paragrafo 1, lettere a) e b), e dell’articolo 9, paragrafi 1 e 2, lettera e) del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1; in prosieguo: il «RGPD»).

2        Questa domanda è stata presentata nel contesto di una controversia tra il sig. Maximilian Schrems, un utente del social network Facebook, e la Meta Platforms Ireland Ltd, già Facebook Ireland Ltd, la cui sede legale si trova in Irlanda, riguardo al trattamento asseritamente illecito dei suoi dati personali da parte di tale società.

 Contesto normativo

 Diritto dell’Unione

3        I considerando 1, 4, 39, 42, 43, 50 e 51 del RGPD così recitano:

«(1)      La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (“Carta”) e l’articolo 16, paragrafo 1, [TFUE] stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

(...)

(4)      Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.

(...)

(39)      Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. (...) È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. (...)

(...)

(42)      Per i trattamenti basati sul consenso dell’interessato, il titolare del trattamento dovrebbe essere in grado di dimostrare che l’interessato ha acconsentito al trattamento. (...) Ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità del trattamento cui sono destinati i dati personali. Il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera o è nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio.

(43)      Per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione.

(...)

(50)      Il trattamento dei dati personali per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti dovrebbe essere consentito solo se compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso non è richiesta alcuna base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. (...)

(51)      Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per i diritti e le libertà fondamentali. (...) Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente regolamento (...). Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente regolamento, in particolare per quanto riguarda le condizioni per il trattamento lecito. È opportuno prevedere espressamente deroghe al divieto generale di trattare tali categorie particolari di dati personali, tra l’altro se l’interessato esprime un consenso esplicito o in relazione a esigenze specifiche (...)».

4        L’articolo 4 di tale regolamento così dispone:

«Ai fini del presente regolamento s’intende per:

1)      “dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”); (...)

2)      “trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;

(...)

7)      “titolare del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;

(...)

11)      “consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

(...)

23)      “trattamento transfrontaliero”,

a)      trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b)      trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

(...)».

5        L’articolo 5 di detto regolamento, rubricato «Principi applicabili al trattamento di dati personali», dispone, ai paragrafi 1 e 2, quanto segue:

«1.      I dati personali sono:

a)      trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);

b)      raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità (...) (“limitazione della finalità”);

c)      adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);

(...)

e)      conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; (...) (“limitazione della conservazione”);

2.      Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».

6        L’articolo 6 del medesimo regolamento, rubricato «Liceità del trattamento», è così formulato:

«1.      Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a)      l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)      il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

(...)

4.      Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

a)      di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b)      del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c)      della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d)      delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e)      dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».

7        Ai sensi dell’articolo 7 del RGPD, rubricato «Condizioni per il consenso»:

«1.      Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

(...)

3.      L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

4.       Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto».

8        L’articolo 9 di detto regolamento, rubricato «Trattamento di categorie particolari di dati personali», dispone quanto segue:

«1.      È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

2.      Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:

a)      l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;

b)      il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

(...)

e)      il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

(...)».

9        L’articolo 13 del regolamento in parola, relativo alle «[i]nformazioni da fornire qualora i dati personali siano raccolti presso l’interessato», prevede, al suo paragrafo 1:

«1.      In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

(...)

c)      le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

(...)

3.      Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

(...)».

10      L’articolo 25, paragrafo 2, del medesimo regolamento così dispone:

«Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica».

 Procedimento principale e questioni pregiudiziali

11      La società Meta Platforms Ireland, che gestisce l’offerta dei servizi del social network online Facebook nell’Unione, è la titolare del trattamento dei dati personali degli utenti di tale social network nell’Unione. Essa non ha filiali in Austria. La Meta Platforms Ireland promuove, in particolare all’indirizzo www.facebook.com, determinati servizi che, fino al 5 novembre 2023, sono stati forniti gratuitamente agli utenti privati. A partire dal 6 novembre 2023, tali servizi hanno continuato ad essere gratuiti unicamente per gli utenti che hanno accettato che i loro dati personali fossero raccolti e utilizzati per indirizzare loro pubblicità personalizzata, essendo stata offerta agli utenti la possibilità di sottoscrivere un abbonamento a pagamento per accedere ad una versione di detti servizi senza ricevere pubblicità mirata.

12      Il modello economico del social network online Facebook si fonda sul finanziamento tramite la pubblicità online, che viene creata su misura per i singoli utenti del social network in funzione, in particolare, del loro comportamento di consumo, dei loro interessi e della loro situazione personale. Il presupposto tecnico per questo tipo di pubblicità è la creazione automatizzata di profili dettagliati degli utenti del network e dei servizi online offerti a livello del gruppo Meta.

13      Al fine di trattare i dati personali degli utenti del social network Facebook, la Meta Platforms Ireland si basa sul contratto di utilizzo al quale questi ultimi aderiscono mediante l’attivazione del pulsante «registrarsi», e con il quale essi accettano le condizioni generali stabilite da tale società. All’epoca dei fatti di cui al procedimento principale, l’accettazione di tali condizioni era necessaria per poter utilizzare il social network Facebook. Per quanto riguarda il trattamento dei dati personali degli utenti, le condizioni generali rinviano alle regole sull’uso dei dati e dei cookies adottate dalla suddetta società. In forza di queste ultime, la Meta Platforms Ireland raccoglie dati riferiti agli utenti e ai loro dispositivi, relativi alle loro attività all’interno e all’esterno del social network, e li mette in relazione con gli account Facebook degli utenti interessati. I dati relativi ad attività esterne al social network (di seguito denominati anche «dati off Facebook») provengono, da un lato, dalla consultazione di pagine internet e applicazioni di terzi, collegate a Facebook tramite interfacce di programmazione e, dall’altro, dall’utilizzo di altri servizi online appartenenti al gruppo Meta, tra cui in particolare Instagram e WhatsApp.

14      Prima dell’entrata in vigore del RGPD, gli utenti di Facebook rilasciavano il loro consenso esplicito al trattamento dei loro dati conformemente alle condizioni di utilizzo della convenuta applicabili a tale periodo. In vista dell’entrata in vigore del RGPD il 25 maggio 2018, la Meta Platforms Ireland ha adottato, il 19 aprile 2018, nuove condizioni d’utilizzo e le ha presentate per approvazione ai suoi utenti. Poiché il suo account era stato bloccato, il sig. Schrems ha accettato tali nuove condizioni d’utilizzo al fine di poter continuare ad usufruire di Facebook. Tale consenso era necessario per poter mantenere l’accesso al proprio conto e utilizzare i servizi corrispondenti.

15      La Meta Platforms Ireland ha predisposto vari «strumenti» (tools) per consentire agli utenti di avere una panoramica e un controllo sui loro dati conservati. Non tutti i dati trattati sono visibili in questi strumenti, ma solo quelli che, secondo tale società, presentano un interesse e una pertinenza per gli utenti. L’utente che ne faccia richiesta può così vedere, ad esempio, che ha aperto un’applicazione tramite il suo profilo Facebook, ha visitato un sito Internet, effettuato una ricerca determinata o un acquisto, oppure cliccato su una pubblicità.

16      La Meta Platforms Ireland utilizza «cookies» (marcatori), «social plugins» (moduli di estensione sociale) e pixels, come indicato nelle sue condizioni di utilizzo e nelle sue direttive. Attraverso i «cookies», essa può determinare la fonte delle consultazioni. In assenza di attivazione dei «cookies», molti servizi forniti dalla Meta Platforms Ireland non sono utilizzabili. I «social plugins» di Facebook sono «inseriti» dai gestori di siti Internet terzi nelle loro pagine. Il più diffuso è il pulsante «mi piace» di Facebook. In occasione di ogni consultazione di pagine Internet contenenti tale pulsante, i «cookies» installati sull’apparecchio utilizzato, l’URL della pagina visitata e altri dati, quali l’indirizzo IP o l’ora, sono trasmessi alla Meta Platforms Ireland. A tal fine, non è necessario che l’utente abbia cliccato sul pulsante «mi piace», dato che il semplice fatto di visualizzare una pagina Internet contenente un siffatto «plugin» è sufficiente affinché tali dati siano poi trasmessi a detta società.

17      Dalla decisione di rinvio risulta che i «plugins» si trovano anche sulle pagine Internet dei partiti politici e su pagine destinate a un pubblico omosessuale visitate dal sig. Schrems. A causa di tali «plugins», la Meta Platforms Ireland ha potuto seguire il comportamento del sig. Schrems su Internet, il che ha fatto scattare la raccolta di taluni dati personali sensibili.

18      Al pari dei «social plugins», i pixels possono essere integrati nelle pagine dei siti Internet e consentono di raccogliere informazioni sugli utenti che hanno visitato tali pagine al fine, in particolare, di misurare e ottimizzare la pubblicità sulle stesse. Ad esempio, integrando un pixel Facebook nelle proprie pagine Internet, i gestori di queste ultime possono ottenere dalla Meta Platforms Ireland comunicazioni sul numero di persone che hanno visto la loro pubblicità su Facebook e che si sono poi collegate alla propria pagina Internet al fine di consultarla o effettuare un acquisto.

19      I «social plugins» e i pixels, in combinazione con i «cookies» costituiscono quindi un elemento essenziale della pubblicità su Internet, dato che la grande maggioranza dei contenuti disponibili su Internet è finanziata dalla pubblicità. In particolare, i «plugins» consentono di presentare agli utenti gli annunci pertinenti e i pixels servono agli inserzionisti per misurare le prestazioni delle campagne pubblicitarie e per ottenere informazioni su gruppi mirati di utenti.

20      Nel caso di specie, dalla decisione di rinvio risulta che il sig. Schrems non ha autorizzato la Meta Platforms Ireland a trattare i suoi dati personali, che essa ottiene da inserzionisti e da altri partners, sulle attività del sig. Schrems al di fuori di Facebook a fini di pubblicità personalizzata. Tuttavia, taluni dati relativi al sig. Schrems sarebbero stati ottenuti dalla Meta Platforms Ireland grazie a «cookies», «social plugins» e tecnologie analoghe integrate nei siti Internet di terzi e sarebbero stati utilizzati da tale società al fine di migliorare i prodotti Facebook e di inviare pubblicità personalizzata al sig. Schrems.

21      Inoltre, emerge anche da tale decisione che il sig. Schrems non ha indicato alcun dato sensibile sul suo profilo Facebook, che solo i suoi «amici» possono visualizzare le sue attività o le informazioni contenute nella sua «timeline» [cronistoria] e che la sua «lista di amici» non è pubblica. Il sig. Schrems ha anche scelto di non autorizzare la Meta Platforms Ireland a utilizzare, ai fini della pubblicità mirata, i campi del suo profilo relativi alla sua situazione sentimentale, al suo datore di lavoro, alla sua occupazione o alla sua formazione.

22      Tuttavia, alla luce dei dati a sua disposizione, la Meta Platforms Ireland può anche individuare l’interesse che il sig. Schrems porta a temi sensibili, quali la salute, l’orientamento sessuale, i gruppi etnici e i partiti politici, il che gli consente, ad esempio, di pubblicizzare in modo mirato tale orientamento sessuale o tale convinzione politica.

23      Così, da un lato, il sig. Schrems ha ricevuto una pubblicità riguardante un politico donna austriaco, che si basava sull’analisi effettuata dalla Meta Platforms Ireland secondo la quale il sig. Schrems aveva punti in comune con altri utenti che avevano contrassegnato tale politico con la menzione «mi piace». Dall’altro lato, il sig. Schrems ha altresì ricevuto regolarmente pubblicità riguardanti un pubblico omosessuale e inviti a eventi corrispondenti, sebbene egli non si fosse mai precedentemente interessato a tali eventi e non conoscesse il luogo di detti eventi. Tali pubblicità e inviti non si baserebbero direttamente sull’orientamento sessuale del ricorrente nel procedimento principale e dei suoi «amici», bensì su un’analisi dei loro centri di interesse, nella fattispecie sul fatto che uno degli amici del sig. Schrems avrebbe contrassegnato un prodotto utilizzando il pulsante «mi piace».

24      Il sig. Schrems ha fatto realizzare un’analisi relativa alle deduzioni che potevano essere tratte dalla sua lista di amici e ne è risultato che aveva prestato il servizio civile presso la Croce Rossa a Salisburgo (Austria) e che era omosessuale. Inoltre, nell’elenco delle sue attività al di fuori di Facebook, tenuto dalla Meta Platforms Ireland, figurano, tra l’altro, applicazioni e siti Internet di incontro per omosessuali nonché il sito Internet di un partito politico austriaco. Tra i dati conservati del ricorrente nel procedimento principale figura anche un indirizzo e-mail che non era indicato sul suo profilo Facebook, ma che egli aveva utilizzato per inviare domande alla Meta Platforms Ireland.

25      Dalla decisione di rinvio risulta inoltre che il sig. Schrems comunica pubblicamente il fatto di essere omosessuale. Tuttavia, egli non ha mai menzionato il proprio orientamento sessuale sul suo profilo Facebook.

26      Il sig. Schrems ha fatto valere dinanzi al Landesgericht für Zivilrechtssachen Wien (Tribunale civile del Land di Vienna, Austria) che il trattamento dei suoi dati personali effettuato dalla Meta Platforms Ireland violava varie disposizioni del RGPD. A tal riguardo, egli ha considerato che il suo consenso alle condizioni di utilizzo della piattaforma digitale della convenuta nel procedimento principale non fosse conforme ai requisiti di cui all’articolo 6, paragrafo 1, e all’articolo 7 di tale regolamento. Inoltre, la Meta Platforms Ireland tratterebbe dati sensibili del ricorrente nel procedimento principale, ai sensi dell’articolo 9 di detto regolamento, in assenza del consenso necessario a tal fine, in forza dell’articolo 7 del medesimo regolamento. Analogamente, non esisterebbe alcun consenso valido quanto al trattamento di dati personali del sig. Schrems che la Meta Platforms Ireland avrebbe ricevuto da parte di terzi. In tale contesto, il sig. Schrems ha chiesto, tra l’altro, che fosse ingiunto alla resistente di cessare il trattamento dei suoi dati personali a fini pubblicitari personalizzati, così come l’utilizzo di tali dati derivante dalla consultazione di siti Internet di terzi e ottenuti da terzi.

27      La Meta Platforms Ireland ha ritenuto, per contro, che il trattamento dei dati del sig. Schrems fosse stato effettuato conformemente alle condizioni di utilizzo del social network online, le quali sarebbero compatibili con i requisiti del RGPD. Tale trattamento di dati sarebbe lecito e non si baserebbe sul consenso del ricorrente nel procedimento principale richiesto dall’articolo 6, paragrafo 1, lettera a), di tale regolamento, bensì su altre giustificazioni, tra le quali principalmente il carattere necessario di tale trattamento ai fini dell’esecuzione del contratto concluso tra quest’ultimo e la convenuta nel procedimento principale, ai sensi dell’articolo 6, paragrafo 1, lettera b), di detto regolamento.

28      Nel procedimento principale, è già stata presentata alla Corte una domanda di pronuncia pregiudiziale, che ha dato luogo alla sentenza del 25 gennaio 2018, Schrems (C-498/16, EU:C:2018:37). A seguito di tale sentenza, con sentenza del 30 giugno 2020, il Landesgericht für Zivilrechtssachen Wien (Tribunale civile del Land di Vienna, Austria) ha respinto le domande del sig. Schrems. Analogamente, l’Oberlandesgericht Wien (Tribunale superiore del Land di Vienna, Austria), adito in appello, ha respinto il ricorso proposto dal sig. Schrems avverso tale sentenza con la motivazione, in particolare, che il trattamento dei dati personali di quest’ultimo, in quanto utente della piattaforma online, ivi compresa la pubblicità personalizzata, sarebbe stato parte integrante del contratto di utilizzo di tale piattaforma concluso tra le parti. Il trattamento di tali dati sarebbe quindi necessario per l’esecuzione di tale contratto, ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD.

29      Adito con ricorso per cassazione («Revision») dal sig. Schrems, l’Oberster Gerichtshof (Corte suprema, Austria) osserva che il modello economico della Meta Platforms Ireland consiste nel generare introiti mediante pubblicità mirata e contenuti commerciali che si basano sulle preferenze e sugli interessi degli utenti di Facebook trattando i dati personali di tali utenti. Orbene, nella misura in cui consente a Facebook di proporre gratuitamente servizi ai suoi utenti, tale trattamento potrebbe essere considerato necessario all’esecuzione del contratto concluso con detti utenti, ai sensi dell’articolo 6, paragrafo 1, lettera b), del RGPD.

30      Tuttavia, secondo tale giudice, tale disposizione, che deve essere interpretata restrittivamente, non dovrebbe consentire un siffatto trattamento di dati dispensandosi dal consenso della persona interessata.

31      Inoltre, detto giudice osserva che la Meta Platforms Ireland tratta dati personali che possono essere classificati come «sensibili», in forza dell’articolo 9, paragrafo 1, del RGPD.

32      Nel caso di specie, la Meta Plaforms Ireland tratta dati relativi alle convinzioni politiche e all’orientamento sessuale del sig. Schrems. Secondo quanto accertato dall’Oberster Gerichtshof (Corte suprema), il sig. Schrems comunica al pubblico il proprio orientamento sessuale. In particolare, nell’ambito di una tavola rotonda alla quale ha partecipato a Vienna il 12 febbraio 2019, su invito della rappresentanza della Commissione europea in Austria, il sig. Schrems ha fatto riferimento al suo orientamento sessuale, al fine di criticare il trattamento di dati personali effettuato da Facebook, tra cui il trattamento dei propri dati. Tuttavia, e come ha dichiarato anche in tale occasione, il sig. Schrems non ha mai menzionato tale aspetto della sua vita privata sul suo profilo Facebook.

33      Secondo tale giudice, si pone quindi la questione se l’utente interessato abbia manifestamente reso pubblici dati personali sensibili che lo riguardano e abbia quindi autorizzato il trattamento di questi ultimi, in forza dell’articolo 9, paragrafo 2, lettera e), del RGPD.

34      Di conseguenza, l’Oberster Gerichtshof (Corte suprema, Austria) ha disposto la sospensione del procedimento e ha sottoposto alla Corte le seguenti questioni pregiudiziali:

«1.      Se le disposizioni di cui all’articolo 6, paragrafo 1, lettere a) e b), del RGPD debbano essere interpretate nel senso che la liceità delle clausole contenute nelle condizioni d’uso generali relative a contratti di utilizzo della piattaforma, come quello di cui al procedimento principale (in particolare, clausole come: «Anziché pagare (...) utilizzando i prodotti di Facebook coperti dalle presenti Condizioni, l’utente accetta che Facebook possa mostrare inserzioni (...) Facebook usa i dati personali dell’utente (...) per mostrargli le inserzioni più pertinenti»), che prevedono il trattamento di dati personali per l’aggregazione e l’analisi di dati finalizzate alla pubblicità personalizzata, deve essere valutata conformemente ai requisiti dell’articolo 6, paragrafo 1, lettera a), in combinato disposto con l’articolo 7 del RGPD, che non possono essere sostituiti avvalendosi dell’articolo 6, paragrafo 1, lettera b), del medesimo regolamento.

2.      Se l’articolo 5, paragrafo 1, lettera c), del RGPD (minimizzazione dei dati) debba essere interpretato nel senso che tutti i dati personali di cui dispone una piattaforma come quella di cui trattasi nel procedimento principale (in particolare, tramite gli interessati o terzi su detta piattaforma o al di fuori di essa) possono essere aggregati, analizzati e trattati senza limiti di tempo oppure di tipologia di dati ai fini di pubblicità mirate.

3.      Se l’articolo 9, paragrafo 1, del RGPD debba essere interpretato nel senso che esso va applicato al trattamento di dati che permette una selezione mirata di categorie particolari di dati personali, quali la convinzione politica o l’orientamento sessuale (ad esempio a fini di pubblicità), sebbene il titolare del trattamento non operi alcuna distinzione tra detti dati.

4.      Se l’articolo 5, paragrafo 1, lettera b), in combinato disposto con l’articolo 9, paragrafo 2, lettera e), del RGPD debba essere interpretato nel senso che una dichiarazione circa il proprio orientamento sessuale effettuata nell’ambito di una tavola rotonda permetta il trattamento di altri dati relativi all’orientamento sessuale per la loro aggregazione e analisi finalizzate alla pubblicità personalizzata».

 Procedimento dinanzi alla Corte

35      Con decisione del 7 aprile 2022, il presidente della Corte ha sospeso il presente procedimento in attesa della decisione conclusiva del procedimento nella causa C-252/21, Meta Platforms e a.

36      Con decisione del 7 luglio 2023, il presidente della Corte ha comunicato al giudice del rinvio nella presente causa la sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), (C-252/21, EU:C:2023:537) chiedendo se, tenuto conto di tale sentenza, desiderasse mantenere la sua domanda di pronuncia pregiudiziale, in toto o parzialmente, e, in caso di revoca parziale di tale domanda, di esporre i motivi per i quali una parte di quest’ultima è mantenuta.

37      Con ordinanza del 19 luglio 2023, pervenuta alla cancelleria della Corte il 9 agosto 2023, tale giudice ha ritirato la prima e la terza questione pregiudiziale facendo valere che detta sentenza rispondeva a tali questioni. Per contro, detto giudice ha mantenuto la seconda e la quarta questione pregiudiziale facendo valere che la stessa sentenza non aveva risposto pienamente a queste ultime.

 Sulla seconda questione

38      Con la sua seconda questione, il giudice del rinvio chiede, in sostanza, se l’articolo 5, paragrafo 1, lettera c), del RGPD debba essere interpretato nel senso che il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

 Sulla ricevibilità

39      La convenuta nel procedimento principale sostiene che tale questione è irricevibile in quanto, da un lato, il giudice del rinvio non ha spiegato le ragioni per le quali una risposta a detta questione sarebbe utile alla soluzione della controversia principale e, dall’altro, tale giudice si è basato su una premessa di fatto inesatta, ritenendo, erroneamente, che la convenuta nel procedimento principale utilizzi, a fini pubblicitari, tutti i dati personali di cui dispone senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

40      Per quanto riguarda, in primo luogo, l’argomento secondo cui il giudice del rinvio non ha esposto le ragioni per le quali ritiene che una risposta alla sua seconda questione sia utile ai fini della soluzione della controversia principale, occorre sottolineare l’importanza dell’indicazione, da parte del giudice nazionale, dei motivi precisi che l’hanno indotto a interrogarsi sull’interpretazione del diritto dell’Unione e a ritenere necessario sottoporre questioni pregiudiziali alla Corte [sentenze del 6 dicembre 2005, ABNA e a., C-453/03, C-11/04, C-12/04 e C-194/04, EU:C:2005:741, punto 46, e del 29 febbraio 2024, Staatssecretaris van Justitie en Veiligheid (Legittimo affidamento in caso di trasferimento), C-392/22, EU:C:2024:195, punto 85]. Nel caso di specie, risulta tuttavia dalle considerazioni della domanda di pronuncia pregiudiziale che il giudice del rinvio cerca di stabilire se, supponendo che il trattamento a fini pubblicitari di cui trattasi nel procedimento principale sia giustificato ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera b), del RGPD, la portata dei dati così trattati dalla convenuta nel procedimento principale rispetti il principio di minimizzazione dei dati o se, al contrario, un trattamento così esteso violi gli obblighi imposti al titolare del trattamento, in forza dell’articolo 5 del RGPD. Le ragioni per le quali la risposta a tale questione risulta utile ai fini della soluzione della controversia principale risultano pertanto sufficientemente dalla domanda di pronuncia pregiudiziale.

41      Per quanto riguarda, in secondo luogo, l’argomento secondo cui il giudice del rinvio si è basato su una premessa di fatto inesatta, è vero che la seconda questione pregiudiziale si basa sulla premessa secondo cui, da un lato, come menzionato al punto 20 della presente sentenza, sebbene il sig. Schrems non abbia autorizzato la Meta Platforms Ireland a trattare i suoi dati personali relativi alle sue attività al di fuori di Facebook, tale società ha tuttavia trattato alcuni di tali dati che essa avrebbe ottenuto da terzi partners, sulla base dell’accettazione da parte del sig. Schrems delle condizioni generali di utilizzo del social network, grazie in particolare ai «cookies» e ai «social plugin» di Facebook integrati nei siti Internet di tali terzi e, dall’altro, tali dati personali sono trattati dalla Meta Platforms Ireland senza limiti di tempo e senza distinzione in funzione della natura di detti dati.

42      Orbene, occorre ricordare che, secondo una costante giurisprudenza, l’articolo 267 TFUE istituisce una procedura di cooperazione diretta tra la Corte e i giudici degli Stati membri. Nell’ambito di tale procedura, fondata su una netta separazione di funzioni tra i giudici nazionali e la Corte, qualsiasi valutazione dei fatti di causa rientra nella competenza del giudice nazionale, cui spetta valutare, alla luce delle particolarità del caso di specie, tanto la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, quanto la rilevanza delle questioni che sottopone alla Corte, mentre quest’ultima è unicamente legittimata a pronunciarsi sull’interpretazione o sulla validità di un atto giuridico dell’Unione sulla scorta dei fatti che le vengono indicati dal giudice nazionale (sentenza del 25 ottobre 2017, Polbud – Wykonawstwo, C-62/16, EU:C:2017:804, punto 27).

43      Pertanto, si deve rispondere alla questione sollevata sulla base di tale premessa, la cui fondatezza va tuttavia verificata dal giudice del rinvio.

44      La seconda questione pregiudiziale è, pertanto, ricevibile.

 Nel merito

45      In via preliminare, occorre ricordare che l’obiettivo perseguito dal RGPD, quale risulta dal suo articolo 1 nonché dai suoi considerando 1 e 10, consiste, segnatamente, nel garantire un elevato livello di grado di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla vita privata, con riguardo al trattamento dei dati personali, sancito dall’articolo 8, paragrafo 1, della Carta e all’articolo 16, paragrafo 1, TFUE (sentenza del 7 marzo 2024, IAB Europe, C-604/22, EU:C:2024:214, punto 53, e giurisprudenza ivi citata).

46      A tal fine, i capi II e III di tale regolamento enunciano, rispettivamente, i principi che disciplinano il trattamento dei dati personali e i diritti dell’interessato che devono essere rispettati in qualsiasi trattamento di dati personali. In particolare, fatte salve le deroghe previste all’articolo 23 di detto regolamento, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento di tali dati enunciati all’articolo 5 del medesimo regolamento e soddisfare le condizioni di liceità elencate al suo articolo 6 e, dall’altro, rispettare i diritti dell’interessato di cui agli articoli da 12 a 22 del RGPD [sentenza dell’11 luglio 2024, Meta Platforms Ireland (Azione rappresentativa), C-757/22, EU:C:2024:598, punto 49 e giurisprudenza ivi citata].

47      Come la Corte ha già chiarito, i principi relativi al trattamento dei dati personali, enunciati nell’articolo 5 del RGPD, sono applicabili cumulativamente (sentenza del 20 ottobre 2022, Digi, C-77/21, EU:C:2022:805, punto 47).

48      A tal riguardo, occorre rilevare che, in forza dell’articolo 5, paragrafo 1, lettera a), del RGPD, i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato e che, conformemente alla lettera b) di tale articolo 5, paragrafo 1, tali dati devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità.

49      Inoltre, l’articolo 5, paragrafo 1, lettera c), di tale regolamento, che sancisce il principio della «minimizzazione dei dati», prevede che i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network) C-252/21, EU:C:2023:537, punto 109 e giurisprudenza ivi citata].

50      Tale principio, come la Corte ha già dichiarato, è espressione del principio di proporzionalità [v., in tal senso, sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di demerito), C-439/19, EU:C:2021:504, punto 98 e giurisprudenza ivi citata, e del 30 gennaio 2024, Direktor na Glavna direktsia «Natsionalna politsia» pri MVR – Sofia, C-118/22, EU:C:2024:97, punto 41].

51      Conformemente al principio di responsabilità di cui all’articolo 5, paragrafo 2, del RGPD, il titolare del trattamento deve dimostrare che i dati personali sono raccolti e trattati nel rispetto dei principi sanciti al paragrafo 1 di tale articolo (v., in tal senso, sentenza del 20 ottobre 2022, Digi, C-77/21, EU:C:2022:805, punto 24). Inoltre, in forza dell’articolo 13, paragrafo 1, lettera c), di tale regolamento, in caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento è tenuto ad informare quest’ultimo delle finalità del trattamento al quale sono destinati tali dati nonché della base giuridica di questo trattamento [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), C-252/21, EU:C:2023:537, punto 95].

52      In secondo luogo, per quanto riguarda la limitazione temporale del trattamento dei dati personali come quello in questione nel procedimento principale, occorre ricordare che la Corte ha già stabilito che, in considerazione del principio di minimizzazione dei dati, il responsabile del trattamento è tenuto a limitare a quanto strettamente necessario, alla luce della finalità del trattamento proposto, il periodo di raccolta dei dati personali in questione [sentenza del 24 febbraio 2022, Valsts ienemumu dienests (Trattamento dei dati personali a fini fiscali), C-175/20, EU:C:2022:124, punto 79].

53      Infatti, più a lungo vengono conservati tali dati, maggiore è l’impatto sugli interessi e sulla privacy dell’interessato e più severi sono i requisiti relativi alla legittimità della conservazione di tali dati [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding (Esdebitazione), C-26/22 e C-64/22, EU:C:2023:958, punto 95].

54      In primo luogo, occorre rilevare che, ai sensi dell’articolo 5, paragrafo 1, lettera e), del RGPD, i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.

55      Risulta quindi inequivocabilmente dal tenore letterale di tale articolo che il principio della «limitazione della conservazione» richiede che il titolare del trattamento sia in grado di dimostrare, conformemente al principio di responsabilità ricordato al punto 51 della presente sentenza, che i dati personali sono conservati unicamente per il periodo necessario al conseguimento delle finalità per le quali i dati sono stati raccolti o per le quali sono stati ulteriormente trattati (v., in tal senso, sentenza del 20 ottobre 2022, Digi, C-77/21, EU:C:2022:805, punto 53).

56      Ne consegue, come ha già affermato la Corte, che anche un trattamento inizialmente lecito di dati può divenire, nel tempo, contrario alle disposizioni del RGPD qualora tali dati non siano più necessari rispetto alle finalità per le quali sono stati rilevati o successivamente trattati e detti dati debbano essere cancellati qualora tali finalità siano realizzate (v., in tal senso, sentenza del 20 ottobre 2022, Digi, C-77/21, EU:C:2022:805, punto 54 e giurisprudenza ivi citata).

57      In tali circostanze, come rilevato in sostanza dall’avvocato generale al paragrafo 22 delle sue conclusioni, compete al giudice nazionale valutare, tenuto conto di tutti gli elementi pertinenti e applicando il principio di proporzionalità, richiamato all’articolo 5, paragrafo 1, lettera c), del RGPD, in che misura il periodo di conservazione di dati personali da parte del titolare del trattamento sia ragionevolmente giustificato alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità personalizzata.

58      In ogni caso, una conservazione, per un periodo illimitato, dei dati personali degli utenti di una piattaforma di social network a fini di pubblicità mirata deve essere considerata un’ingerenza sproporzionata nei diritti garantiti a tali utenti dal RGPD.

59      In terzo luogo, per quanto riguarda la circostanza che i dati personali di cui trattasi nel procedimento principale sarebbero raccolti, aggregati, analizzati e trattati a fini di pubblicità mirata, senza distinzione basata sulla natura di tali dati, occorre ricordare che la Corte ha già dichiarato che, alla luce del principio di minimizzazione dei dati, previsto dall’articolo 5, paragrafo 1, lettera c), del RGPD, il titolare del trattamento non può procedere, in modo generalizzato e indifferenziato, alla raccolta di dati personali e non deve raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento [sentenza del 24 febbraio 2022, Valsts ienemumu dienests (Trattamento dei dati personali per fini fiscali), C-175/20, EU:C:2022:124, punto 74].

60      Occorre altresì rilevare che l’articolo 25, paragrafo 2, di tale regolamento impone al titolare del trattamento di attuare misure adeguate per garantire che, per impostazione predefinita, siano trattati solo i dati personali necessari per ciascuna finalità specifica del trattamento. Ai sensi di tale disposizione, un siffatto requisito si applica in particolare alla quantità di dati personali raccolti e alla portata del loro trattamento, così come alla loro durata di conservazione.

61      Nel caso di specie, dalla decisione di rinvio risulta che Meta Platforms Ireland raccoglie i dati personali degli utenti di Facebook, tra cui il sig. Schrems, riguardanti le attività di tali utenti sia su tale social network sia al di fuori di esso, tra cui, in particolare, i dati relativi alla consultazione della piattaforma online nonché di pagine Internet e di applicazioni terze, e segue altresì il comportamento di navigazione degli utenti in tali pagine mediante «social plugins» e «pixels» inseriti nelle pagine Internet interessate.

62      Orbene, come già dichiarato dalla Corte, un trattamento siffatto è particolarmente esteso, giacché verte su dati potenzialmente illimitati e ha un notevole impatto sull’utente, di cui la Meta Platforms Ireland controlla gran parte, se non la quasi totalità, delle attività online, il che può suscitare in quest’ultimo la sensazione di una continua sorveglianza della sua vita privata [sentenza del 4 luglio 2023, Meta Platforms e a.(Condizioni generali di utilizzo di un social network), C-252/21, EU:C:2023:537, punto 118].

63      In tali circostanze, il trattamento di dati di cui trattasi nel procedimento principale è caratterizzato da una grave ingerenza nei diritti fondamentali degli interessati, in particolare dei loro diritti al rispetto della vita privata e alla protezione dei dati personali garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, che, fatte salve le verifiche che spetta al giudice del rinvio effettuare, non sembra ragionevolmente giustificata alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità mirate.

64      In ogni caso, l’utilizzo indifferenziato di tutti i dati personali detenuti da una piattaforma di social network a fini pubblicitari, indipendentemente dal grado di sensibilità di tali dati, non risulta essere un’ingerenza proporzionata nei diritti garantiti agli utenti di tale piattaforma dall’RGPD.

65      Alla luce di quanto precede, occorre rispondere alla seconda questione dichiarando che l’articolo 5, paragrafo 1, lettera c), del RGPD deve essere interpretato nel senso che il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

 Sulla quarta questione

66      Con tale questione, il giudice del rinvio chiede, in sostanza, se l’articolo 9, paragrafo 2, lettera e), del RGPD debba essere interpretato nel senso che la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico autorizzi il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e siti Internet di terzi partners, ai fini dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona pubblicità personalizzata.

67      Più in particolare, il giudice del rinvio cerca di stabilire se, con la dichiarazione resa dal sig. Schrems in occasione di una tavola rotonda, quest’ultimo non abbia più diritto alla protezione conferita dall’articolo 9, paragrafo 1, del RGPD e se, di conseguenza, Facebook avesse il diritto di trattare altri dati relativi al suo orientamento sessuale.

68      In via preliminare, occorre rilevare che la tavola rotonda a cui fa riferimento il giudice del rinvio, nell’ambito della quale il sig. Schrems ha reso una dichiarazione relativa al proprio orientamento sessuale, si è svolta il 12 febbraio 2019 e che, come risulta dalla decisione di rinvio, in tale data, la Meta Platforms Ireland trattava già dati personali relativi all’orientamento sessuale del sig. Schrems, cosicché tale dichiarazione sarebbe successiva all’inizio di un siffatto trattamento di dati.

69      Ne consegue che la quarta questione sollevata dal giudice del rinvio deve essere intesa nel senso che riguarda unicamente gli eventuali trattamenti di dati relativi all’orientamento sessuale del sig. Schrems che sarebbero stati effettuati dalla Meta Platforms Ireland, dopo il 12 febbraio 2019. Spetta tuttavia al giudice del rinvio accertare se un siffatto trattamento abbia effettivamente avuto luogo dopo tale data, in conformità con la giurisprudenza di cui al paragrafo 42 della presente sentenza.

70      Per rispondere a tale questione, occorre, in primo luogo, rammentare che il considerando 51 del RGPD enuncia che meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per tali diritti e libertà. Tale considerando precisa che dati personali di questo tipo non dovrebbero essere oggetto di trattamento, a meno che quest’ultimo non sia consentito nei casi specifici previsti dal medesimo regolamento.

71      In tale contesto, l’articolo 9, paragrafo 1, del RGPD sancisce il principio del divieto di trattamento riguardante talune categorie particolari di dati personali da esso menzionati. Si tratta, in particolare, di dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose nonché di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona.

72      Ai fini dell’applicazione dell’articolo 9, paragrafo 1, del RGPD, occorre verificare, nel caso di un trattamento di dati personali effettuato dall’operatore di un social network online, se questi dati siano tali da rivelare informazioni rientranti in una delle categorie menzionate da tale disposizione, a prescindere dal fatto che tali informazioni riguardino un utente di tale social network o qualsiasi altra persona fisica. In caso affermativo, un siffatto trattamento di dati personali sarebbe dunque vietato, fatte salve le deroghe previste all’articolo 9, paragrafo 2, del RGPD.

73      Come sostanzialmente rilevato dall’avvocato generale ai paragrafi 40 e 41 delle sue conclusioni, tale divieto di principio, previsto all’articolo 9, paragrafo 1, del RGPD, è indipendente dalla questione se l’informazione rivelata dal trattamento di cui trattasi sia esatta o meno e se il titolare del trattamento agisca allo scopo di ottenere informazioni rientranti in una delle categorie particolari previste da tale disposizione. Infatti, tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsiasi trattamento di dati personali rientranti nelle categorie di cui all’articolo 9, paragrafo 1, del RGPD, quest’ultimo ha lo scopo di vietare tali trattamenti, a prescindere da quale sia la loro finalità dichiarata [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), C-252/21, EU:C:2023:537, punti 69 e 70].

74      Infatti, se è vero che tale articolo 9, paragrafo 1, vieta, in linea di principio, il trattamento dei dati relativi all’orientamento sessuale, il paragrafo 2 di detto articolo prevede, ai suoi punti da a) a j), dieci deroghe che sono indipendenti tra loro e che devono quindi essere valutate in modo autonomo. Ne consegue che il fatto che le condizioni di applicazione di una delle deroghe previste a tale paragrafo 2 non siano soddisfatte non può impedire che il titolare del trattamento possa avvalersi di un’altra deroga menzionata a tale disposizione (sentenza del 21 dicembre 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, punto 47).

75      Per quanto riguarda, in particolare, la deroga prevista all’articolo 9, paragrafo 2, lettera e), del RGPD, va ricordato che, in forza di tale disposizione, il divieto di qualsiasi trattamento riguardante categorie particolari di dati personali, sancito da detto articolo 9, paragrafo 1, non si applica nel caso in cui il trattamento riguardi dati personali «resi manifestamente pubblici dall’interessato».

76      Nella misura in cui prevede un’eccezione al principio del divieto di trattamento di categorie speciali di dati personali, l’articolo 9, paragrafo 2, lettera e), del RGPD deve essere interpretato in modo restrittivo [v., in tal senso, sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), C-252/21, EU:C:2023:537, punto 76 e giurisprudenza ivi citata].

77      Ne consegue che, ai fini dell’applicazione dell’eccezione prevista all’articolo 9, paragrafo 2, lettera e), del RGPD, si deve verificare se l’interessato abbia inteso, in modo esplicito e con un atto positivo chiaro, rendere accessibili al pubblico i dati personali in questione [sentenza del 4 luglio 2023, Meta Platforms e a. (Condizioni generali di utilizzo di un social network), C-252/21, EU:C:2023:537, punto 77].

78      Nel caso di specie, dalla decisione di rinvio risulta che la tavola rotonda organizzata a Vienna il 12 febbraio 2019, nell’ambito della quale il sig. Schrems ha rilasciato una dichiarazione sul suo orientamento sessuale, era accessibile al pubblico, che poteva ottenere un biglietto per assistervi nei limiti dei posti disponibili, e che era diffusa in streaming. Inoltre, una registrazione della tavola rotonda sarebbe stata successivamente pubblicata sotto forma di «podcast», nonché sul canale YouTube della Commissione.

79      In tali circostanze, e fatte salve le verifiche spettanti al giudice nazionale, non si può escludere che tale dichiarazione, pur iscrivendosi in un discorso più ampio e effettuato al solo scopo di criticare il trattamento di dati personali effettuato da Facebook, costituisca un atto con il quale l’interessato, con piena cognizione di causa, ha reso manifestamente pubblico, ai sensi dell’articolo 9, paragrafo 2, lettera e), del RGPD, il proprio orientamento sessuale.

80      In secondo luogo, se la circostanza che l’interessato abbia reso manifestamente pubblico un dato riguardante il suo orientamento sessuale comporta che tale dato possa essere oggetto di un trattamento, in deroga al divieto di cui all’articolo 9, paragrafo 1, del RGPD e conformemente ai requisiti derivanti dalle altre disposizioni di tale regolamento [v., in tal senso, sentenza del 24 settembre 2019, GC e a., C-136/17 (Deindicizzazione di dati sensibili) EU:C:2019:773, punto 64], tale circostanza non autorizza, di per sé, contrariamente a quanto sostiene Meta Platforms Ireland, il trattamento di altri dati personali relativi all’orientamento sessuale di quella persona.

81      Pertanto, da un lato, sarebbe contrario all’interpretazione restrittiva che occorre dare all’articolo 9, paragrafo 2, lettera e), del RGPD ritenere che l’insieme dei dati relativi all’orientamento sessuale di una persona sfugga alla protezione derivante dal paragrafo 1 di tale articolo per il solo motivo che l’interessato ha manifestamente reso pubblico un dato personale relativo al suo orientamento sessuale.

82      Dall’altro lato, il fatto che una persona abbia manifestamente reso pubblico un dato riguardante il suo orientamento sessuale non consente di ritenere che tale persona abbia fornito il proprio consenso, ai sensi dell’articolo 9, paragrafo 2, lettera a), del RGPD, al trattamento, da parte del gestore di una piattaforma di social network online, di altri dati relativi al suo orientamento sessuale.

83      Alla luce di quanto precede, occorre rispondere alla quarta questione dichiarando che l’articolo 9, paragrafo 2, lettera e), del RGPD deve essere interpretato nel senso che la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e siti Internet di partners terzi, al fine dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona della pubblicità personalizzata.

 Sulle spese

84      Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.

Per questi motivi, la Corte (Quarta Sezione) dichiara:

1)      L’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

dev’essere interpretato nel senso che:

il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

2)      L’articolo 9, paragrafo 2, lettera e), del regolamento 2016/679

dev’essere interpretato nel senso che:

la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e da siti Internet di partners terzi, al fine dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona della pubblicità personalizzata.

Firme

* Lingua processuale: il tedesco.