Due reclami portano a due sanzioni milionarie 

La sanzione di 390 milioni di dollari, comminata dall’Autorità di controllo irlandese per la protezione dei dati (la Data Protection Commission – “DPC”), si divide in due ammende pari a 210 milioni per le violazioni del GDPR da parte di Facebook e di 180 milioni per le violazioni da parte di Instagram. Per quanto l’ammontare complessivo possa sembrare, a prima vista, elevato, ricordiamo che Meta Platforms, Inc., al 30 settembre dell’anno appena terminato, fatturava poco meno di 90 miliardi di dollari. La DPC irlandese ha imposto alla sussidiaria irlandese Meta Platforms Ireland Ltd. (a seguire, per semplicità, “META”) di conformare le operazioni di trattamento al GDPR entro un periodo di 3 mesi.

A destare l’attenzione, quindi, non dev’essere tanto l’importo in sé, quanto, piuttosto, il fatto che l’indagine sia partita da due semplici reclami, presentati in Austria ed in Belgio da interessati che denunciavano di essere illegalmente costretti ad accettare annunci personalizzati su Facebook e Instagram. Ancora una volta, emerge il potere dei mezzi di tutela messi dal Codice Privacy e dal GDPR – Regolamento europeo in materia di protezione dei dati personali – a disposizione degli interessati. Reclami e segnalazioni rappresentano, in circa l’80% dei provvedimenti della nostra Autorità Garante, i presupposti per l’avvio della fase istruttoria, nonché lo starting point di ispezioni (vedi approfondimento).

La Commissione irlandese si conforma all’EDPB 

Per giungere ad una decisione finale è stato necessario attivare la procedura di risoluzione delle controversie fra Autorità prevista dal GDPR, in quanto ben dieci paesi hanno sollevato obiezioni rispetto alla bozza di decisione iniziale della Commissione irlandese, la quale ha dimostrato di adottare un approccio più moderato nel definire casi riguardanti aziende aventi sede nei Silicon Docks (area situata nei pressi di Dublino, dove hanno stabilito il proprio quartier generale UE molte Big Tech Companies).

Quanto disposto dalla DPC irlandese recepisce quindi le decisioni vincolanti con cui, lo scorso 5 dicembre, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board – EDPB), chiariva che “Meta ha elaborato illegalmente i dati personali per la pubblicità comportamentale”. META ha quindi svolto trattamenti illegittimi, in quanto in violazione delle norme in materia di protezione dei dati personali.

Ma cosa è successo di preciso?

I fatti: NOYB vs META

Poco prima dell’entrata in vigore del GDPR, META aveva modificato i Termini di servizio per Facebook e Instagram. Mediante tale modifica, META decideva di affidarsi alla base giuridica del contratto, prevista dall’art. 6 par. 1 lett. b) del GDPR per la maggior parte delle sue operazioni di trattamento.

“Articolo 6 – Liceità del trattamento 

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

[…”> b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; […”>”.

Agli utenti delle due piattaforme social, veniva quindi richiesto un unico consenso per l’accettazione dei Termini di servizio aggiornati, i quali includevano la fornitura di servizi personalizzati e di pubblicità comportamentale. Gli utenti erano, di fatto, costretti ad accettare per poter accedere a Facebook ed Instagram.

• Secondo i reclamanti e secondo l’associazione rappresentativa dei rispettivi interessi “NOYB”, rappresentata dall’avvocato e attivista Max Schrems, META avrebbe cercato di aggirare i requisiti previsti dal GDPR per garantire la legittimità dei trattamenti svolti. La società statunitense si è appellata ad una presunta “necessità contrattuale” per giustificare la pubblicità personalizzata, sostenendo che gli annunci fanno parte del servizio che contrattualmente deve agli utenti. Schrems ha quindi dichiarato: “invece di avere un’opzione ‘sì/no’ per gli annunci personalizzati, hanno semplicemente spostato la clausola di consenso nei termini e condizioni. Questo non è solo ingiusto, ma chiaramente illegale. Non siamo a conoscenza di nessun’altra azienda che abbia cercato di ignorare il GDPR in modo così arrogante”;
• Secondo META, Facebook ed Instagram forniscono un’esperienza intimamente personalizzata per gli utenti ed è quindi legittimo aspettarsi che tale esperienza personalizzata si ripercuota anche sugli annunci.

Spoiler alert: 

Fonte: https://noyb.eu/en/breaking-meta-prohibited-use-personal-data-advertising 

L’oggetto della decisione

L’EDPB ha quindi chiarito che la cosiddetta “necessità contrattuale” ai sensi del GDPR è generalmente intesa in modo restrittivo e che, nel caso in esame, la pubblicità personalizzata non può rientrare ed essere assimilata agli altri servizi resi mediante le piattaforme META.

Le decisioni finali adottate dal DPC il 31 dicembre 2022 riflettono le determinazioni vincolanti dell’EDPB sopra riportate. META ha:

• Contravvenuto agli obblighi di trasparenza imposti dagli articoli 12 e 13 del GDPR nei confronti degli interessati, in quanto le informazioni relative alla base giuridica non sono state chiaramente state illustrate agli utenti, così come le operazioni di trattamento effettuate sui loro dati, per quale/i scopo/i e con riferimento a quale delle sei basi giuridiche individuate nell’articolo 6 del GDPR;
• Violato l’articolo 6 del GDPR, con riferimento alla determinazione della base giuridica da utilizzare in relazione alla fornitura di pubblicità comportamentale nell’ambito dei suoi servizi Facebook e Instagram.

Da notare che le decisioni non hanno però reso illegale anche la pubblicità “contestuale”, cioè quella che riceviamo in correlazione alle pagine web che stiamo visitando. Ciò significa che, ad esempio, resta legittimo ricevere annunci di automobili se sto visitando un sito di informazioni sui motori. Diventa pubblicità personalizzata / targettizzata se l’utente, spostandosi da quella specifica pagina web ad un’altra, continua a ricevere i medesimi annunci.

Quali conseguenze per enti ed imprese?

Alla notizia dei provvedimenti dell’Autorità irlandese, il commento di Max Schrems è stato il seguente: “Questo è un duro colpo per i profitti di META nell’Unione Europea. Ora è necessario chiedere alle persone se vogliono che i loro dati vengano utilizzati per gli annunci o meno. Devono avere un’opzione ‘sì o no’ e devono poter cambiare idea in qualsiasi momento. La decisione di oggi garantisce inoltre parità di condizioni con altri inserzionisti i quali devono anch’essi ottenere il consenso”.

La conseguenza principale che ne deriva è che deve essere chiesto in maniera esplicita all’utente se vuole concedere l’uso dei propri dati per la pubblicità personalizzata e l’utente ha diritto di negare il consenso pur continuando ad usare il servizio online. Questa regola impatta su tutto il business degli annunci pubblicitari personalizzati ed è in grado di cambiare il modo in cui l’economia dei dati funziona, in quanto conferisce agli utenti più potere di azione nei confronti dei provider dei servizi.

La presidentessa dell’EDPB, Andrea Jelinek, ha dichiarato che “queste decisioni possono anche avere un impatto importante su altre piattaforme che hanno gli annunci comportamentali al centro del loro modello di business”.

Prospettive e azioni

Quanto detto non significa che gli interessati negheranno, in maniera generalizzata, l’utilizzo dei propri dati. Forse questa potrà essere la prima reazione “di rivalsa” nei confronti delle grandi piattaforme. Col tempo, gli utenti cominceranno a pensare che l’uso dei propri dati può essere un modo per premiare servizi online che vengono considerati affidabili rispetto ad altri.

Ancora una volta, quando si parla di privacy si parla di reputazione di impresa. Accrescere la fiducia dei consumatori, è un processo complesso ma realizzabile: servono azioni puntuali che consentano di trasformare l’adeguamento alle norme applicabili in un valore aggiunto per l’organizzazione, in grado di orientare le scelte dei consumatori (vedi approfondimento).

Il nostro team di consulenti può supportarti in questo processo, valutando la conformità di trattamenti spesso oggetto di provvedimenti sanzionatori da parte delle Autorità di controllo, quali il marketing e la pubblicità mirata/personalizzata. 

Contattaci per un preventivo.