30 Dicembre 2022• byDLA Piper
L’EDPB (Comitato europeo per la protezione dei dati personali) si è pronunciata negando la legittimità da parte di Meta di trattare i dati degli utenti fondando la pubblicità personalizzata e il miglioramento del servizio sull’esecuzione di un contratto ai sensi della normativa privacy.
L’iniziale disaccordo tra la posizione dell’autorità privacy irlandese e le altre autorità europee viene affrontata e indirizzata dall’EDPB verso una presa di posizione che potrebbe avere un impatto economico rilevante per Meta. In questo articolo, analizziamo gli aspetti più interessanti della posizione dell’EDPB sul caso Meta.
Il disaccordo tra le autorità privacy europee e l’intervento dell’EDPB
Già nel 2020, l’autorità garante per la privacy irlandese, competente a decidere per la società Meta Platforms Ireland Limited, con sede in Irlanda, aveva avviato un’indagine su Instagram (noto social sotto il controllo del gruppo Meta) per trattamento illegittimo di dati di minori. Da queste indagini, la Leading Supervisory Authority irlandese aveva emesso una bozza di decisione nel dicembre 2021, condividendola con le altre Concerned Supervisory Authorities europee ai sensi dell’articolo 60(3) del Regolamento 679/2016 (GDPR).
Alcuni garanti privacy europei, tra cui quello italiano, hanno obiettato alle conclusioni raggiunte dall’autorità irlandese, rifiutandosi di scendere a compromessi e portando il garante irlandese a rivolgere la questione all’EDPB per sciogliere il nodo di contrasto. Il dissenso manifestato da Germania, Francia, Italia, Olanda e Norvegia riguardava principalmente la possibilità per Meta di giustificare la liceità del trattamento dei dati degli utenti per pubblicità personalizzata sul consenso o sull’esecuzione di un contratto (articolo 6(a) e (b) GDPR), nonché i principi di protezione dei dati (articolo 5 GDPR) e l’uso di misure correttive, comprese le ammende. In particolare, i garanti privacy hanno ritenuto che l’esecuzione della profilazione per finalità di marketing sulla base giuridica dell’esecuzione del contratto fosse illegittima poiché, tra i vari motivi: 1) non fondata su un contratto valido (quello tra Meta e gli utenti) e 2) non necessaria ai fini dell’esecuzione dello stesso. Su questo punto, l’autorità italiana ha sottolineato come “la valutazione della necessità di una determinata attività di trattamento dovrebbe essere basata sulle finalità del servizio offerto e l’interessato dovrebbe essere messo a conoscenza di tali fini attraverso un’adeguata informazione”. Oltre all’opacità delle informazioni fornite da Meta agli utenti, insufficiente a comprendere con chiarezza per quali scopi i dati raccolti sarebbero trattati, il garante italiano ha rimarcato che “la pubblicazione della genericità dei dati nel codice sorgente della pagina HTML nella versione web di Instagram non può essere considerata necessaria”. L’autorità irlandese ha ritenuto invece tali obiezioni come “non rilevanti e ragionate”, non considerando in modo particolare l’impatto di un tale trattamento sui diritti e le libertà degli individui.
La posizione dell’EDPB sulla pubblicità personalizzata di Meta e quali sono le conseguenze procedurali
Facendo un passo indietro: il trattamento di dati personali deve fondarsi su una delle basi giuridiche indicate dall’articolo 6 del GDPR. Questo principio ha portato Meta a giustificare la profilazione degli utenti per finalità di pubblicità personalizzata sull’esecuzione dei propri termini e condizioni, ossia giustificando il trattamento di milioni di dati personali per pubblicità personalizzata sulla base del contratto sottoscritto dagli utenti con il social al momento della creazione di un profilo. Il garante privacy irlandese ha emesso la propria decisione sulla base di reclami che lamentavano:
- la liceità e la trasparenza del trattamento dei dati degli utenti di Facebook e Instagram per finalità di pubblicità personalizzata; e
- la liceità del trattamento per il miglioramento del servizio offerto da WhatsApp.
Il testo del provvedimento dell’EDPB non è ancora disponibile, ma a quanto risulta il Comitato europeo per la protezione dei dati avrebbe ritenuto che la pubblicità personalizzata di Meta non può essere eseguita sulla base giuridica dell’esecuzione del contratto di cui all’articolo 6, paragrafo 1, lettera b) e quindi il trattamento dei dati eseguito da Meta è illegittimo. Meta dovrà quindi chiedere un consenso specifico e trasparente all’esecuzione della pubblicità personalizzata con un impatto potenzialmente negativo sui propri guadagni.
La posizione dell’EDPB servirà a indirizzare le tre decisioni finali che il garante privacy irlandese sarà chiamato a prendere nell’arco del prossimo mese rispetto a Meta. Il contenuto della decisione dell’EDPB incide in modo negativo sul business model dei vari social facenti capo al gruppo Meta e potrebbe rivoluzionare il modo con cui Meta imposta i propri guadagni sulle informazioni ricavate dagli utenti. L’azienda madre di Facebook, Instagram e WhatsApp avrà però comunque la possibilità di impugnare la decisione dell’autorità garante e sospenderne l’efficacia nelle more dell’ottenimento di una pronuncia definitiva.
Su un simile argomento può essere interessante l’articolo Instagram: sanzione per illecito trattamento di dati di minori (dirittoaldigitale.com).