La Corte suprema austriaca ha stabilito che Meta ha violato il GDPR utilizzando dati personali e sensibili degli utenti europei per finalità pubblicitarie senza un consenso valido. La decisione riguarda il modello di advertising personalizzato basato sulla combinazione di informazioni raccolte attraverso app e siti di terze parti, oltre a dati che rientrano tra le categorie più protette dalla normativa europea, come orientamento politico, salute e aspetti della vita privata. La sentenza è immediatamente esecutiva in tutta l’Unione europea e può essere fatta valere direttamente dagli utenti interessati.
Secondo i giudici, Meta ha costruito un sistema di profilazione che supera i limiti consentiti dal diritto europeo, perché fondato su un consenso che non può essere considerato specifico, informato e liberamente prestato. La Corte ha chiarito che il semplice utilizzo delle piattaforme non equivale a un’autorizzazione valida al trattamento esteso dei dati per la pubblicità, soprattutto quando sono coinvolte informazioni sensibili. Questo punto rafforza una lettura rigorosa del GDPR già emersa in altre decisioni europee.
Perché la sentenza contro Meta vale in tutta l’Unione europea
La decisione della Corte suprema austriaca produce effetti che vanno oltre i confini nazionali. Il provvedimento è esecutivo in tutti gli Stati membri e consente agli utenti di chiedere a Meta l’accesso completo ai propri dati personali entro quattordici giorni dalla richiesta. L’obbligo non riguarda solo i dati grezzi, ma include anche informazioni sulle fonti, sui destinatari e sulle finalità del trattamento. Le rivendicazioni dell’azienda legate alla tutela dei segreti industriali sono state respinte, perché la trasparenza richiesta dal GDPR prevale sugli interessi commerciali.
In caso di mancato rispetto dell’ordine, le conseguenze possono essere rilevanti. A seconda delle modalità di esecuzione previste nei singoli ordinamenti nazionali, sono possibili sanzioni economiche giornaliere e responsabilità personali per i dirigenti chiamati a dare attuazione alla decisione. Questo aspetto segna un passaggio significativo nel rapporto tra enforcement della privacy e governance aziendale delle grandi piattaforme.
Cosa cambia per il modello pubblicitario basato sui dati
La Corte ha ordinato a Meta di cessare il trattamento dei dati sensibili per la pubblicità, respingendo l’argomento secondo cui una modifica tecnica del sistema sarebbe impraticabile. La pronuncia mette in discussione l’idea che la personalizzazione spinta possa essere considerata una condizione naturale dei servizi digitali gratuiti. Al contrario, viene riaffermato che l’uso dei dati personali deve rispettare confini chiari e verificabili, soprattutto quando incide su diritti fondamentali degli utenti.
Meta ha sostenuto che le pratiche oggetto della causa risalgono a oltre un decennio fa e che nel frattempo l’azienda ha investito ingenti risorse nel rafforzamento delle misure di tutela della privacy. La Corte ha però precisato che la valutazione si fonda sulla situazione accertata nel 2020, un periodo in cui il GDPR era già pienamente applicabile. Questo chiarimento riduce lo spazio per giustificazioni basate su evoluzioni successive dei sistemi interni.
Per le imprese che operano nel digitale, incluse quelle italiane, la sentenza rappresenta un segnale concreto. I modelli di business fondati sulla raccolta estesa di dati, sulla loro combinazione con fonti esterne e su meccanismi di profilazione opachi espongono a rischi giuridici sempre più elevati. La decisione spinge verso un ripensamento delle strategie di advertising e analytics, in cui consenso reale, tracciabilità dei flussi informativi e responsabilità diventano elementi centrali della sostenibilità dell’impresa digitale.
