Il16 novembre 2023, il Garante europeo della protezione dei dati (“EDPS”) ha ricevuto un reclamo, presentato da Noyb (European Center for Digital Rights), per il trattamento illecito di dati personali nell’ambito di una campagna pubblicitaria mirata, svolta sulla piattaforma di social media X, da parte della Commissione europea con l’obiettivo di promuovere la “Proposta di Regolamento che stabilisce norme per la prevenzione e la lotta contro l’abuso sessuale sui minori”, presentata a maggio 2022.
Noyb ha riportato che la Commissione ha impostato la campagna includendo ed escludendo utenti che avevano interagito con post contenenti parole chiave specifiche impostate dalla Commissione stessa, attraverso attività di microtargeting.
In particolare, alcune di queste parole si riferivano a determinati partiti politici, politici, opinioni politiche euroscettiche e/o nazionalistiche e a credenze religiose.
Sulla base di ciò, Noyb ha contestato alla Commissione di aver svolto il trattamento di dati particolari senza un’idonea base giuridica in violazione del “Regolamento (UE) 2018/1725 sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi europei e sulla libera circolazione di tali dati” (il “Regolamento”).
Indice degli argomenti
Le contestazioni di Noyb
Nel reclamo presentato all’EDPS, Noyb ha evidenziato il trattamento da parte della Commissione di categorie particolari di dati personali senza una base giuridica in violazione dell’Articolo 10 del Regolamento.
In particolare, la Commissione avrebbe usato 36 target riferiti a partiti politici, politici o termini politici o a credenze religiose nel contesto di una campagna di microtargeting su X.
Inoltre, rispetto al trattamento oggetto di contestazione, la Commissione, in qualità di soggetto che ha commissionato la campagna pubblicitaria, dovrebbe essere considerata un titolare del trattamento.
Infatti, secondo Noyb, la Commissione avrebbe determinato le finalità del trattamento (visualizzazione di annunci online secondo determinati parametri) e i mezzi del trattamento dei dati (la scelta dello strumento per la campagna e il ‘keyword targeting’ sulla piattaforma X).
La decisione dell’EDPS
- Sulla titolarità del trattamento
L’EDPS ha ritenuto la Commissione titolare del trattamento in quanto l’operazione di trattamento è stata condotta per informare un pubblico mirato riguardo alla proposta legislativa della Commissione e, di conseguenza, per perseguire un proprio interesse; ciò, secondo l’EDPS, consente di stabilire che sia stata la Commissione a determinare la finalità del trattamento.
Ma non solo, l’EDPS ha affermato che la Commissione abbia determinato anche i mezzi del trattamento scegliendo di utilizzare i servizi forniti da X per la campagna, selezionando le parole e gli account chiave per il targeting degli utenti1.
- Sulla base giuridica
Stabilita la titolarità del trattamento in capo alla Commissione, l’EDPS è passata ad analizzare le questioni attinenti alla base giuridica per il trattamento di dati particolari.
In particolare, l’EDPS ha evidenziato che le istruzioni fornite dalla Commissione per rivolgere la campagna solo ad alcuni soggetti utilizzando i dati raccolti dalla piattaforma per categorizzare gli individui come aventi determinate credenze religiose, filosofiche o politiche hanno determinato un trattamento di dati particolari.
Rispetto al trattamento di dati particolari, l’EDPS ha indagato l’eventuale presenza di una delle condizioni di cui all’art. 10 del regolamento, che consento il trattamento di tale categoria di dati.
In particolare, l’EDPS si è concentrata sui seguenti casi di cui all’art. 10, paragrafo 2: l’interessato ha prestato il consenso (lett.a); il trattamento ha riguardato dati resi manifestamente pubblici (lett. e); il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione (lett. g).
Tuttavia, nessuno dei casi menzionati è stato ritenuto applicabile al caso di specie. Pertanto, il trattamento è stato svolto dalla Commissione in assenza di una base giuridica.
Sulla base di quanto indicato, l’EDPS ha rilevato il trattamento illecito di dati personali da parte della Commissione e, ai sensi dell’art. 58, paragrafo 2, lett. b), le ha rivolto un ammonimento per le violazioni contestate.
L’EDPS ha inoltre dichiarato che, nell’esercizio dei poteri correttivi, ha tenuto conto, come fattore attenuante, dell’interruzione della campagna e, di conseguenza, del trattamento da parte della Commissione.
Conclusioni
Il tema oggetto della decisione dell’EDPS apre a molte riflessioni e lascia perplessi in quanto riguarda un’attività svolta dalle Istituzioni, che rappresentano la massima espressione della democraticità e, soprattutto, dovrebbero rappresentare l’emblema della nostra regolamentazione, garantendo la tutela dei diritti e delle libertà degli interessati.
- L’EDPS individua un’analogia con il caso C-210/16, Wirtschaftsakademie, in cui il creatore di una pagina fan sui social media, utilizzando i filtri di Facebook, ha definito i parametri del trattamento.
