- Nei giorni scorsi, l’autorità irlandese per la privacy, conformandosi alla decisione del Comitato europeo per la protezione dei dati, ha inflitto due multe a Meta per un totale di 390 milioni di euro.
- Il Comitato europeo ha disposto che Meta non possa usare la base giuridica del contratto per fornire pubblicità personalizzata, essendo necessario il consenso specifico degli utenti. Insomma, l’accesso a Facebook e Instagram non può essere subordinato all’accettazione di tale pubblicità.
- Meta potrà continuare a fare pubblicità generalista sui propri social, ma non marketing comportamentale, in base alla profilazione degli utenti, senza il loro consenso espresso. Ciò potrà avere ripercussioni negative sui profitti di Meta nell’UE.
Nei giorni scorsi, la Commissione per la protezione dei dati irlandese ha annunciato di aver concluso due indagini relative al trattamento di dati personali su Facebook e Instagram da parte di Meta Platforms Ireland Limited, la holding fondata da Mark Zuckerberg.
La decisione potrebbe comportare una sorta di rivoluzione nella gestione dei social network.
Le decisioni transfrontaliere
Preliminarmente, è necessario spiegare come vengono adottati i provvedimenti in tema di privacy per le società operanti in più Stati - come le web company – essendo destinati a essere applicati in ognuno di tali Stati.
Tali società sono sottoposte all’autorità per la privacy del Paese dove hanno la sede principale (autorità capofila, Leading Supervisory Authority, Lsa). Ciò in base al principio dello “sportello unico” (one stop shop), introdotto dal Gdpr per ovviare all’evenienza di più decisioni, eventualmente difformi, da parte dei diversi paesi coinvolti dai trattamenti transfrontalieri di dati personali.
L'autorità capofila è competente a emanare il provvedimento finale, ma prima deve interpellare tutte le autorità interessate (Concerned Supervisory Authorities, Csa) e tenere conto delle “obiezioni pertinenti e motivate” che dette autorità possono sollevare sulla sua proposta di decisione. In caso di contrasto tra la Lsa e le Csa, può essere richiesto l’intervento del Comitato europeo per la protezione dei dati (European Data Protection Board, Edpb), che decide secondo la procedura prevista dal regolamento europeo per la protezione dei dati personali (Gdpr, art. 65). La decisione del Comitato è vincolante per l'autorità capofila e le altre autorità interessate.
In base al meccanismo dello sportello unico, l’autorità irlandese per la privacy (Dpc) è quella capofila per le decisioni riguardanti molte multinazionali tecnologiche. Infatti, importanti web company hanno stabilito in Irlanda la propria sede europea, per godere delle agevolazioni fiscali vigenti nel paese. Il garante irlandese è stato più volte accusato di adottare orientamenti interpretativi del Gdpr in senso favorevole a tali società, al fine di attrarne gli investimenti nel Paese. La decisione vincolante dell’Edpb, in caso di contrasto tra Lsa e Csa, rappresenta comunque un fattore di bilanciamento rispetto al potere dell’autorità capofila.
I fatti
La vicenda parte da due reclami paralleli presentati il 25 maggio 2018, giorno di entrata in vigore del Gdpr, da Noyb - l’associazione fondata da Mark Schrems, attivista di battaglie relative al Gdpr - per conto di un utente austriaco e di uno belga. I ricorsi riguardavano il trattamento dei dati personali effettuato da Meta. Va ricordato che il trattamento è lecito solo se e nella misura in cui è conforme a una delle sei basi giuridiche individuate dal Gsdpr (art. 6): consenso, obblighi contrattuali, obblighi di legge, interessi vitali della persona, legittimo interesse, interesse pubblico o esercizio di pubblici poteri.
Fino al Gdpr, il trattamento dei dati personali degli utenti veniva effettuato da Meta sulla base del loro consenso. Poi, con l’arrivo del regolamento europeo, che richiede condizioni più stringenti per l’uso del consenso, la società aveva cambiato base giuridica. Nei Termini di servizio di Facebook e Instagram era stata, infatti, inserita una clausola che imponeva agli utenti di accettare servizi personalizzati e pubblicità comportamentale, e quindi il connesso trattamento di dati personali, per continuare ad avere accesso alle due piattaforme. In altre parole, Meta aveva configurato la fornitura di tali servizi e pubblicità come condizione necessaria per l’esecuzione del contratto con i fruitori dei social network. E così la base giuridica del trattamento dei dati era passata dal consenso al contratto.
I ricorrenti sostenevano che, subordinando l’utilizzo delle piattaforme all'accettazione da parte degli utenti dei Termini di servizio aggiornati, Meta Ireland li stesse di fatto “costringendo” ad acconsentire al trattamento dei loro dati per marketing personalizzato, in violazione del Gdpr.
L’autorità irlandese e l’Edpb
A seguito dei due ricorsi, la Dpc irlandese aveva elaborato le proposte di decisione. Pur rilevando talune inadempienze di Meta, quanto a trasparenza e informativa agli utenti circa il trattamento dei loro dati, l’autorità aveva reputato non fosse corretto parlare di consenso forzato e che il contratto potesse costituire base legale per tale trattamento. Le proposte di decisione erano state inviate alle Csa.
Alcune di esse avevano sollevato obiezioni, tra le altre cose, circa la base giuridica, sostenendo che la fornitura di pubblicità personalizzata non può essere considerata necessaria per dare esecuzione al contratto di utilizzo delle piattaforme Facebook e Instagram.
Siccome non era stato possibile raggiungere un accordo tra l’autorità irlandese e le altre, il caso era stato deferito all’Edpb. Quest’ultimo, con le determinazioni vincolanti del 5 dicembre scorso, ha deciso - tra l’altro - che la base giuridica contrattuale non sia utilizzabile da Meta Ireland per legittimare il trattamento dei dati personali relativo a pubblicità comportamentale. Pertanto, il consenso a tale trattamento non può considerarsi incluso nell’accettazione generalizzata delle clausole del servizio di social network, ma va espresso dall’utente in modo distinto ed effettivo.
La decisione finale
Lo scorso 4 gennaio, l’autorità irlandese, conformandosi alle determinazioni dell’Edpb, ha annunciato di aver inflitto due multe a Meta per un totale di 390 milioni di euro (210 per Facebook, 180 per Instagram). L’adesione a un social network non può essere subordinata all’accettazione di pubblicità comportamentale, e pertanto Meta – ha statuito la Dpc - «non ha il diritto di fare affidamento sulla base giuridica del “contratto”»: per fornire tale pubblicità serve il consenso specifico e trasparente degli utenti.
Noyb ha commentato che per la quarta volta di seguito le decisioni dell’autorità irlandese vengono superate da quelle delle autorità europee - il Dpc aveva inizialmente proposto una sanzione tra 28 e 36 milioni di euro - e che ora sarà «necessario chiedere alle persone se vogliono che i loro dati vengano utilizzati per gli annunci o meno. Devono avere un’opzione “sì o no” e possono cambiare idea in qualsiasi momento». Pertanto, Meta potrà continuare a fare pubblicità generalista sui propri social, ma non annunci personalizzati in base alla profilazione degli utenti senza il loro consenso espresso. E ciò comporterà «un duro colpo per i profitti di Meta nell’UE», ha affermato Noyb.
Meta ha tre mesi per adeguarsi alla decisione, ma proporrà ricorso. Secondo Noyb le possibilità di una sua vittoria sono esigue, data la decisione dell’EDPB. Peraltro, nota ancora Noyb, presso la Corte di Giustizia europea sono in corso due cause simili – mancata richiesta del consenso da parte di Meta - «che potrebbero risolvere definitivamente la questione». Insomma, lo strapotere dei gestori di social network sui nostri dati, qual è stato finora, potrebbe avere i giorni contati.
© Riproduzione riservata