L’Autorità Europea per la Protezione dei Dati (EDPS) ha adottato una decisione di rilevante interesse giuridico (Caso 2023-1205) nei confronti della Commissione Europea, formalmente ripresa per aver trattato dati sensibili senza base legale, utilizzando strategie di microtargeting che rivelano preferenze politiche e religiose degli utenti, a seguito di una denuncia presentata da NOYB – European Center for Digital Rights. Al momento, l’Autorità privacy Ue si è limitata a una reprimenda, ma se le violazioni dovessero ripetersi, potrebbe adottare misure più stringenti, tra cui la sospensione del trattamento o l’imposizione di limiti specifici.
Ma andiamo per gradi.
La contestazione alla Commissione
La contestazione riguarda il trattamento di dati personali operato nel contesto di una campagna di pubblicità mirata condotta dalla Direzione Generale per gli Affari Interni (DG HOME) sulla piattaforma X (ex-Twitter), finalizzata alla promozione di una proposta di regolamento sulla prevenzione degli abusi sessuali sui minori.
L’EDPS ha accertato che la Commissione, in qualità di titolare del trattamento ai sensi dell’art. 3(8) del Regolamento (UE) 2018/1725, ha determinato finalità e mezzi del trattamento attraverso l’uso di parole chiave “inclusione” ed “esclusione” e la “look-alike strategy” fornita dalla piattaforma X.
Le keyword utilizzate per il targeting hanno incluso termini che però rivelavano opinioni politiche e convinzioni religiose, configurando il trattamento di categorie particolari di dati personali ai sensi dell’art. 10(1) del Regolamento. La Commissione ha sostenuto che il trattamento fosse giustificato dalla prerogativa di promozione legislativa garantita dall’art. 17(2) TUE, invocando la necessità di informare e sensibilizzare il pubblico sulle proprie iniziative normative.
L’EDPS ha rigettato tale argomentazione, affermando che l’art. 17(2) TUE non costituisce una base giuridica chiara, precisa e prevedibile ai sensi dell’art. 5(2) del Regolamento e del Considerando 23, in linea con la giurisprudenza della Corte di Giustizia.
Ne è conseguita una reprimenda formale nei confronti della Commissione, ritenendo che il trattamento dei dati personali, inclusi quelli sensibili, fosse privo di una valida base giuridica, evidenziando coì una condotta non conforme ai principi di liceità, responsabilizzazione e limitazione delle finalità.
Analisi giuridica della decisione dell’EDPS
L’analisi giuridica della decisione dell’EDPS nei confronti della Commissione Europea evidenzia diverse violazioni del Regolamento (UE) 2018/1725, con particolare riferimento alla titolarità del trattamento, alla liceità dello stesso, al trattamento di categorie particolari di dati e alla responsabilizzazione del titolare.
La Commissione come titolare del trattamento
In primo luogo, l’EDPS ha qualificato la Commissione come titolare del trattamento, poiché essa ha determinato sia le finalità che i mezzi del trattamento, in conformità a quanto previsto dall’art. 3(8) del Regolamento. La Commissione ha scelto le parole chiave di inclusione ed esclusione e ha definito i parametri per la look-alike strategy sulla piattaforma X, elementi che configurano un controllo operativo sulle modalità essenziali del trattamento.
L’EDPS ha richiamato la giurisprudenza della Corte di Giustizia (C-210/16, Wirtschaftsakademie), secondo cui il soggetto che determina le modalità di targeting degli utenti su piattaforme social è da considerarsi titolare del trattamento.
Sebbene sia possibile configurare un regime di co-titolarità tra la Commissione e la piattaforma X, l’EDPS ha scelto di concentrare la propria analisi sulla responsabilità esclusiva della Commissione, segnando un chiaro orientamento verso la responsabilizzazione delle istituzioni pubbliche nelle operazioni di trattamento congiunto con le Big Tech.
Messa in discussione la liceità del trattamento
In secondo luogo, la liceità del trattamento è stata messa in discussione. La Commissione ha invocato l’art. 17(2) TUE come base giuridica, sostenendo che il trattamento dei dati fosse necessario per promuovere le proprie iniziative legislative. Tuttavia, l’EDPS ha escluso la validità di tale base giuridica, affermando che l’art. 17(2) TUE non soddisfa i requisiti di chiarezza, precisione e prevedibilità richiesti dall’art. 5(2) del Regolamento e dal Considerando 23. In linea con la giurisprudenza della Corte di Giustizia (C-252/21, Meta vs. Bundeskartellamt), ogni base giuridica deve essere chiara e prevedibile, consentendo agli interessati di comprendere l’impatto del trattamento sui loro dati personali. L’art. 17(2) TUE, che si limita a disciplinare la prerogativa di iniziativa legislativa della Commissione, non fornisce alcuna indicazione esplicita sul trattamento di dati personali. La sentenza Nikolaou v. Commissione (T-259/03), richiamata dalla Commissione, non è stata ritenuta pertinente dall’EDPS, poiché si riferiva alla legittimità della pubblicazione di un comunicato stampa, fattispecie radicalmente distinta dalla profilazione degli utenti attraverso tecniche di targeting.
Il trattamento illecito di categorie particolari di dati personali
Un elemento cruciale dell’analisi giuridica riguarda il trattamento illecito di categorie particolari di dati personali, come previsto dall’art. 10(1) del Regolamento. L’EDPS ha accertato che la Commissione, utilizzando parole chiave di esclusione come “Brexit”, “Islam” e “AfD”, ha consentito una profilazione implicita degli utenti, rivelando opinioni politiche e convinzioni religiose. L’EDPS ha richiamato il principio stabilito nella sentenza C-252/21, Meta vs. Bundeskartellamt, secondo cui l’uso di etichette, tag o parole chiave idonee a inferire opinioni politiche e credenze religiose costituisce trattamento di categorie particolari di dati.
La difesa della Commissione
La Commissione ha cercato di difendersi sostenendo di non aver avuto intenzione di trattare dati sensibili, ma l’EDPS ha chiarito che la natura obiettiva del trattamento prevale sull’intenzione soggettiva del titolare. Non è la volontà del titolare a determinare la qualificazione del trattamento, bensì l’effetto concreto della segmentazione degli utenti.
La profilazione degli utenti
L’EDPS ha ribadito che la selezione di parole chiave con connotazione politica e religiosa ha inevitabilmente portato alla profilazione degli utenti sulla base delle loro opinioni politiche e convinzioni religiose, configurando così una violazione dell’art. 10(1) del Regolamento. La Commissione non ha invocato alcuna delle deroghe previste dall’art. 10(2), né ha dimostrato l’esistenza di una base giuridica idonea, come il consenso esplicito degli interessati o la necessità di perseguire un rilevante interesse pubblico.
La violazione del principio di responsabilizzazione
Infine, l’EDPS ha rilevato una violazione del principio di responsabilizzazione (accountability), sancito dall’art. 4(2) del Regolamento. La responsabilizzazione implica che il titolare del trattamento debba dimostrare la conformità al Regolamento attraverso documentazione e valutazioni d’impatto adeguate. Nel caso di trattamenti che coinvolgono categorie particolari di dati personali, come le opinioni politiche o le credenze religiose, il titolare è tenuto a effettuare una valutazione d’impatto sulla protezione dei dati (DPIA), ai sensi dell’art. 35 del Regolamento (UE) 2016/679, applicabile anche nel contesto del Regolamento (UE) 2018/1725.
La Commissione non ha fornito alcuna prova di aver eseguito tale valutazione d’impatto, né ha dimostrato di aver effettuato un’analisi dei rischi connessi all’impiego di tecniche di targeting basate su categorie particolari di dati personali. L’EDPS ha sottolineato che la mancanza di questa documentazione rappresenta una violazione diretta del principio di accountability, evidenziando l’assenza di una cultura della protezione dei dati anche all’interno delle istituzioni europee. La responsabilizzazione non si esaurisce nel rispetto formale del Regolamento, ma richiede che il titolare sia in grado di dimostrare la conformità mediante evidenze documentali verificabili.
La denuncia presentata da NOYB
La ricostruzione dei fatti posti alla base della decisione dell’EDPS nei confronti della Commissione Europea evidenzia la successione logico-temporale degli eventi e le modalità di trattamento dei dati personali. La vicenda ha origine con la denuncia presentata da NOYB (European Center for Digital Rights) il 16 novembre 2023, in rappresentanza di un cittadino olandese, il quale lamentava l’illecito trattamento dei propri dati personali nell’ambito di una campagna pubblicitaria mirata condotta dalla Direzione Generale per gli Affari Interni (DG HOME) della Commissione Europea sulla piattaforma X (ex-Twitter).
La campagna, svoltasi dal 15 al 28 settembre 2023, aveva come obiettivo la promozione della proposta di regolamento sulla prevenzione degli abusi sessuali sui minori. La Commissione ha fatto ricorso a tecniche di microtargeting, utilizzando parametri di selezione basati su parole chiave di inclusione e di esclusione, nonché sulla cosiddetta “look-alike strategy” fornita dalla piattaforma X. Questa strategia consente di raggiungere utenti con interessi affini a quelli di specifici account chiave individuati dal committente.
Il trattamento di categorie particolari di dati personali
L’elemento di maggiore rilievo è rappresentato dall’utilizzo di parole chiave di esclusione quali “AfD”, “Brexit” e “Islam”, nonché dall’impiego di parole di inclusione con chiara connotazione politica e religiosa. L’effetto pratico di tali criteri di selezione ha comportato il trattamento di categorie particolari di dati personali ai sensi dell’art. 10(1) del Regolamento (UE) 2018/1725, in quanto le parole chiave rivelano in modo diretto o indiretto opinioni politiche e convinzioni religiose degli utenti.
La Commissione ha tentato di giustificare la propria condotta invocando il diritto di iniziativa legislativa ex art. 17(2) TUE, sostenendo che la promozione di una proposta normativa rientrerebbe tra le sue funzioni istituzionali. Tuttavia, l’EDPS ha respinto tale argomentazione, ritenendo che la Commissione abbia agito come titolare del trattamento e che la selezione delle parole chiave abbia determinato un trattamento di dati personali e di categorie particolari di dati senza una base giuridica chiara, precisa e prevedibile, in violazione degli artt. 4, 5 e 10 del Regolamento (UE) 2018/1725.
L’EDPS ha deciso di emettere una reprimenda formale ai sensi dell’art. 58(2)(b) del Regolamento (UE) 2018/1725, evitando l’adozione di misure più incisive, come la sospensione o il divieto di trattamento, poiché la campagna pubblicitaria era già conclusa. Sebbene la reprimenda non preveda conseguenze sanzionatorie dirette, essa ha un valore dissuasivo e rappresenta una chiara presa di posizione sulla condotta della Commissione.
Cos’è la reprimenda
La reprimenda non è una misura meramente simbolica, poiché comporta un effetto stigmatizzante. L’EDPS, nell’adottare tale misura, ha sottolineato la gravità della violazione e ha richiamato la Commissione al rispetto del principio di esemplarità, principio fondamentale per le istituzioni europee. Infatti, a differenza dei soggetti privati, le istituzioni pubbliche europee non possono limitarsi ad applicare formalmente le norme, ma sono chiamate a rappresentare un modello di conformità al diritto dell’Unione, in ragione del loro ruolo di garanti dei diritti fondamentali.
La responsabilità esemplare delle istituzioni pubbliche trova il proprio fondamento nei principi di legalità, responsabilizzazione e trasparenza, i quali richiedono una condotta proattiva e irreprensibile, specie in materia di trattamento di categorie particolari di dati personali.
La scelta dell’EDPS di non adottare misure più incisive è giustificata dalla cessazione del trattamento al momento della decisione. Tuttavia, la reprimenda assume un ruolo strategico sul piano normativo e giurisprudenziale, poiché rafforza l’idea che anche le istituzioni europee debbano garantire la conformità preventiva e non solo reattiva.
La reprimenda come strumento correttivo
La reprimenda come strumento correttivo si inserisce nel contesto degli obblighi di accountability previsti dall’art. 4(2) del Regolamento, poiché impone al titolare del trattamento di adottare misure adeguate e di dimostrare la propria conformità.
La scelta della reprimenda potrebbe essere letta anche in una prospettiva di gradualità delle misure correttive, prevista dall’art. 58(2) del Regolamento, secondo cui le autorità di controllo dispongono di un ampio margine di discrezionalità nella scelta degli strumenti correttivi più appropriati. In questa logica, la reprimenda non è solo una sanzione formale, ma un segnale di avvertimento. Essa indica chiaramente alla Commissione la necessità di evitare il ripetersi di simili condotte, soprattutto in relazione al trattamento di categorie particolari di dati. Sebbene non vi sia un’immediata imposizione di obblighi aggiuntivi, la decisione sottolinea che l’EDPS continuerà a monitorare la condotta della Commissione.
La reprimenda nel contesto della giurisprudenza dell’EDPS e della Corte di Giustizia
Infine, la reprimenda acquista un ulteriore rilievo se vista nel contesto della giurisprudenza dell’EDPS e della Corte di Giustizia. La scelta di non comminare sanzioni pecuniarie o misure più drastiche è coerente con un approccio che mira alla conformità sostanziale piuttosto che alla repressione formale. Tuttavia, qualora la Commissione reiterasse condotte analoghe, l’EDPS potrebbe adottare misure più stringenti, tra cui la sospensione del trattamento o l’imposizione di limiti specifici.
