Non paghi della buriana per Google Analytics e le recenti FAQ tedesche a gettare ombre su Office 365, recentemente è il turno di Meta Platforms, proprietaria di Facebook e del connesso servizio “fan page”, adottato mondialmente da privati, professionisti, aziende, pubbliche amministrazioni.
Secondo la conferenza che riunisce le autorità tedesche, l’uso di una fan page su Facebook configurerebbe una serie di violazioni del GDPR, di tale gravità da rendere di fatto inutilizzabile il servizio da parte degli amministratori/titolari della pagina.
Come vedremo, il provvedimento segue la scia di attacchi decisi e severi delle autorità dell’Unione contro le big tech di diritto USA, come sta accadendo per Google con Analytics, per Microsoft con Office 365 e per altri che sicuramente seguiranno.
Microsoft Office 365 e GDPR: ecco perché può diventare un nuovo caso “virale” in UE
Indice degli argomenti
ABC di una fan page di Facebook
In due parole, come funziona una fan page di Facebook (premesso che similmente vale tutto anche per Instagram, sempre di proprietà di Meta)? Anzitutto non la si confonda con i “gruppi” di Facebook, ideati per far partecipare gli utenti a un intento comune.
La fan page, invece, ha un obiettivo commerciale diretto, di un titolare, a coltivare e far crescere la propria base di fan, cioè di utenti che hanno cliccato sul relativo “Mi piace”.
Basta registrare un account business per promuovere la propria attività su Facebook e aprire fan page, raccogliendo strada facendo sempre più “fan” che danno il proprio “Like”, oltre in generale a poter monitorare il comportamento degli utenti visitatori della propria pagina.
In tal modo, il titolare può sfruttarla come vetrina (tramite i post), come raccoglitore di news e contenuti, come strumento di feedback e contatto con i propri fan, come tool per il proprio branding eccetera. Non già di mero hosting si tratta, bensì una rosa di servizi interconnessi concentrati, principalmente, sull’analisi delle audience e del comportamento utente per “mirare” la comunicazione al pubblico più adatto.
Insomma, si tratta di un servizio a scopo commerciale che per molti titolari può fare la differenza circa i risultati conseguibili suo tramite. In molti casi professionisti e imprese concentrano su tale social la propria presenza sul web, senza nemmeno aprire un sito in proprio, appoggiandosi esclusivamente al portale di Facebook.
La fan page assume così un’importanza decisiva per il proprio business che verrebbe irrimediabilmente compromesso qualora se ne dovesse cessare l’uso, non essendo facile né (spesso) efficace migrare su altre piattaforme social. Il numero di utenti di Facebook è forse la leva più importante del “lock-in” attuato verso gli amministratori/titolari.
Lato utente che visita una fan page su Facebook, accadono diverse cose: a parte i trattamenti di dati personali svolti direttamente dal solo amministratore titolare (ad es. replicando a commenti, post, richieste di informazioni, iniziative web ecc.), ve ne sono molti altri che si svolgono col supporto tecnico essenziale e condiviso di Facebook, tramite cookie soprattutto.
Quindi vi è una fetta di attività, con relativo trattamento di dati personali, in cui è coinvolto “il padrone di casa” Facebook – e da lì sorgono tutti i problemi che stiamo per esporre.
Un passo indietro: le sentenze della Corte di Giustizia sulla contitolarità
In passato, nel 2018 la CGUE aveva snocciolato una sentenza piuttosto importante, visti i suoi effetti, contro Meta/Facebook: nel caso C-210/16 (detto “Wirtschaftsakademie”), si era posta sotto la lente indagatrice la funzionalità di Facebook Insights. Ricordiamo che la sentenza utilizzava come guida la Direttiva 95/46 antecedente al GDPR, per fatti del 2011. Al netto di questo, le valutazioni in diritto risultano del tutto compatibili con il regime regolatorio seguente.
Di che tratta Insights, il servizio Facebook incriminato? È un servizio di analisi e metrica della propria fan page, tuttora attivo, il quale restituisce al titolare – tramite l’analisi dei cookie – dati statistici aggregati con varie misurazioni statistiche, utilissime e ormai imprescindibili per analisi di business. Il caso era sorto perché l’autorità tedesca regionale indipendente dello SchleswigHolstein aveva ritenuto l’uso della fan page, da parte di un titolare in Germania, come illecito, ordinandone la disattivazione.
Secondo l’autorità nessuno aveva informato i visitatori della fan page del fatto che Facebook raccogliesse – a mezzo dei cookie – informazioni personali che li riguardavano e che fossero successivamente elaborati. In breve – rimandando ad altra sede per maggiori approfondimenti – questo vizio informativo aveva portato a una disamina dei ruoli privacy coinvolti, tra Facebook e il titolare tedesco (nella figura dell’amministratore social della fan page).
Arrivando a riconoscere un regime di contitolarità (ora regolata dall’art. 26 GDPR) tra tali soggetti, in quanto: Facebook, determinava per conto suo proprie finalità e strumenti di trattamento dei dati utente, sfruttandone i risultati per le proprie attività di marketing (anche conto terzi); l’amministratore della fan page, invece, “attraverso la propria azione d’impostazione dei parametri (in funzione, segnatamente, del suo pubblico destinatario nonché di obiettivi di gestione o promozione delle proprie attività), alla determinazione delle finalità e degli strumenti del trattamento dei dati personali dei visitatori della sua fan page”.
Tra i dati utilizzati per realizzare le statistiche – aggregate – di Insights troviamo “dati demografici concernenti il pubblico destinatario (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali che consentono all’amministratore della fan page di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate”.
Ciò comporta, quale effetto della contitolarità, sia la necessità ex art. 26 GDPR di un contratto sottoscritto appositamente tra le parti (adottato in seguito su Facebook come Addendum), che l’instaurarsi di un regime di responsabilità congiunta.
Ragionamento analogo è stato effettuato dalla CGUE nella simile pronuncia del 2019 (C-40/17) detta “FashionID”. In quel frangente, il tassello fonte di contitolarità è stato identificato nell’uso, da parte di un sito web, di un plugin fornito da terzi (il social media), così che il browser dell’utente richiami e trasmetta dati – dell’utente del sito – al terzo.
Nel caso specifico, si trattava del pulsante “Mi piace” di Facebook. Non ci dilunghiamo qui sul connesso problema dei c.d. “shadow users”, cioè gli utenti che cliccando sul pulsante senza essere iscritti a Facebook si ritrovano comunque il trattamento (profilato) dei propri dati personali, di fatto senza adeguata informativa o adeguato consenso.
Tacendo del fatto che tecnicamente, in ogni caso, anche agli utenti del sito web che non cliccano sul pulsante social si ritrovano con i loro dati trattati da parte di Meta/Facebook, grazie ai cookie.
Tali risultati hanno grandemente influenzato e improntato le successive linee guida EDPB sui ruoli privacy, n. 7/2020, peraltro piuttosto dense di indicazioni pensate per strutturare un accordo di contitolarità ex art. 26 GDPR (di per sé piuttosto scarno di prescrizioni sul punto).
L’autorità norvegese aveva detto “no, grazie”
Accenniamo infine alla valutazione di rischio e DPIA dell’autorità norvegese Datatilsynet del 2021, ove si era dato conto del non poter aprire e utilizzare una fan page dell’autorità stessa proprio su Facebook.
Questo perché Datatilsynet aveva ritenuto (specificando di farlo proprio come titolare a sé pari ad altri, non in veste di autorità di controllo) di rischio troppo elevato, quanto ai diritti e alle libertà degli utenti, i trattamenti praticati da Facebook. Nessuna misura, a disposizione dell’autorità, è stata valutata in grado di mitigare a sufficienza i rischi esposti.
Tra i punti di attenzione e criticità maggiore, segnaliamo l’Addendum privacy sulla contitolarità (ritenuto inadeguato al dettato normativo, oltre che non negoziabile) e la scarsa trasparenza verso gli utenti (ad es. sugli effetti di un’azione come cliccare “Like” sulla pagina).
Non da meno la valutazione negativa circa la privacy by design e by default, per cui l’autorità scriveva di “non ritenere che Facebook abbia fornito garanzie adeguate sul fatto che abbia una protezione dei dati fin dalla progettazione e per impostazione predefinita”.
La decisione finale, infine, è stata quella di bocciare l’uso di Facebook per la comunicazione sulla propria attività, invitando alla stessa ponderazione parimenti altre autorità o enti pubblici che ne facciano uso. Datatilsynet scriveva che “utilizzando gli strumenti più popolari disponibili, gratuitamente, grazie alle grandi aziende tecnologiche, gli enti pubblici invitano gli attori commerciali a raccogliere e utilizzare i dati sui cittadini norvegesi.
Allo stesso tempo, si crea un rapporto di dipendenza da cui può essere difficile liberarsi [c.d. lock-in] in quanto vi sono pochi fornitori di servizi alternativi”. I risultati della DPIA norvegese sono molto simili alle valutazioni che vedremo fra poco, quelle tedesche.
Ci limitiamo ad aggiungere che non tutte le autorità di controllo hanno, pare, svolto simili analisi con simili risultati: è un dato di fatto, possiamo contare tuttora diverse pagine di autorità di controllo presenti su svariati social media, incluso Facebook.
Basti menzionare la CNIL francese, attiva proprio su Facebook – quando essa stessa ha sempre dimostrato scarsa tolleranza per fenomeni simili, specie sull’uso dei cookie.
Il provvedimento tedesco di analisi delle fan page di Facebook
Arriviamo al recente provvedimento tedesco, frutto del contributo di più autorità di controllo autonome (suddivise per Lander) e riunite nella DSK (Datenschutzkonferenz). Dall’analisi delle autorità emergono diversi elementi critici, ulteriori rispetto alle statuizioni CGUE sopra riportate, spesso richiamate sotto vari profili.
Ad esempio, circa la contitolarità si approfondisce il c.d. “effetto rete”, per cui il vantaggio di partecipare a una rete (come quella degli utenti del social network) aumenta con l’aumentare del numero di partecipanti. DSK afferma che “gli effetti di rete hanno quindi un impatto diretto sul numero di utenti di una piattaforma e sul valore aggiunto che viene creato per gli utenti attraverso l’uso della piattaforma. Questo vale sia per gli utenti registrati, gli operatori di fan page e gli inserzionisti.
Trasferito su Facebook, il concetto generale funziona principalmente grazie alla rete pubblicitaria [ad network], che consente il finanziamento e la realizzazione di un uso gratuito di Facebook”.
Di conseguenza, è l’effetto rete e la conseguente maggiore ampiezza e accessibilità dei gruppi target a interessare l’amministratore di una fan page. La fornitura e il miglioramento di questa rete è, a sua volta, lo scopo, l’interesse commerciale di Meta/Facebook.
Per tutto ciò, “sia Facebook che i gestori di fan page perseguono scopi connessi e complementari di visualizzazione del contenuto [display advertising] degli operatori verso il maggior numero possibile di interessati, poiché tale trattamento si traduce in un vantaggio reciproco per entrambi”. Le operazioni di trattamento sono allora, in larga parte, condivise tra i contitolari in base a tali sinergie.
L’Addendum per la contitolarità di Meta/Facebook viene ritenuto insufficiente, rispetto a quanto richiesto dal GDPR, così come già esposto dalla norvegese Datatilsynet. In particolare, le rispettive funzioni nelle operazioni di trattamento e i contributi al trattamento delle varie parti coinvolte non risultano descritti in modo trasparente: paiono privi di una chiara distinzione delle fasi di trattamento e dei rispettivi ruoli, per ognuna di tali fasi.
Tanto più, rimarca DSK, cercando ulteriori delucidazioni nell’informativa privacy di Facebook che, al contrario, frustra ogni tentativo di chiarimento e approfondimento.
Per la DSK gli amministratori delle fan page devono garantire ed essere in grado di provare la conformità legale del trattamento dei dati di cui sono titolari, in ottica di accountability. E giudicando dal report di analisi prodotto dalle autorità, questa prova non sarebbe possibile. La disamina è dettagliata, inclusa una schematizzazione funzionale dei cookie utilizzati su una fan page tipica di Facebook.
Innanzitutto vi sarebbe scarsa trasparenza verso gli utenti quanto all’uso dei cookie, in generale. Venendo al particolare, diversi cookie sono ritenuti tutt’altro che “tecnici” ed essenziali per fornire i servizi richiesti dall’utente.
Ebbene, le funzioni di Insights non sono ritenute affatto postulate dagli utenti (né apportano alcun “beneficio aggiuntivo” agli stessi), appunto per questo i relativi cookie sarebbero da assoggettare alla base consensuale. Da rigettare, al contrario, l’attuale opt-out (basato sul legittimo interesse), come applicato da Meta e imposto alle fan page degli amministratori.
Idem per un certo cookie di autenticazione utente, le cui finalità (secondo l’informativa di Facebook) sarebbero la “verifica del tuo account e per determinare quando hai effettuato l’accesso, in modo da poterti rendere più facile l’accesso ai Meta Prodotti e fornirti l’esperienza utente e le funzionalità appropriate”. La formulazione è ritenuta eccessivamente generica e, infine, ricondotta a scopi statistici e pubblicitari. Nuovamente, se ne sancisce l’illiceità perché sottoposti a base opt-out, al posto di quella consensuale.
Anche il layout del cookie banner di Facebook è posto sotto esame e censurato per alcuni “dark pattern”, cioè design maliziosi e capziosi verso le scelte utente. Sul punto è recente l’introduzione di apposite linee guida EDPB 3/2022, tuttora in consultazione pubblica e non definitive, che aiutano nell’inquadrare questo tipo di comportamenti relativi al design informativo e dei consensi.
Si veda di seguito il banner attuale, in italiano, di Facebook.
Come è facile notare, DSK rileva che l’utilizzo dei colori nei bottoni di scelta è una forma di “nudge”, di sollecitazione all’utente per dare risalto (e dunque indurre la scelta desiderata da Meta) e far propendere per il consenso più ampio possibile, a scapito dei reali interessi dell’utente e della sua capacità decisionale. Il secondo pulsante, infatti, “attira l’attenzione a causa del forte colore di sfondo blu”, mentre il grigio chiaro del primo sarebbe piuttosto “discreto”, meno avvertibile, in confronto.
Anche la dicitura dei pulsanti sarebbe fuorviante: la formula “Consenti solo i cookie essenziali” sarebbe errata poiché non è richiesta alcuna autorizzazione (cioè consenso) per i cookie necessari. Per di piú non sarebbe possibile chiudere semplicemente il banner di consenso, al primo o al secondo livello, per continuare a utilizzare il sito web, come avverrebbe ad es. tramite una X di chiusura o un pulsante dedicato a tal fine (cosa richiesta anche dal nostrano Garante nelle sue linee guida, ricordiamo). Un paniere già sufficiente a far ritenere invalido il consenso raccolto tramite la CMP di Facebook.
Non solo: secondo DSK, non viene fatto alcun riferimento esplicito né alla creazione e all’arricchimento di profili utente, né al trattamento dei dati al di fuori dello spazio economico europeo. Ulteriormente, non vi sarebbero informazioni su quanti prodotti Facebook e quante altre aziende terze (si pensi ad es. al circuito dell’ad network/exchange con meccanismi ad asta RTB) utilizzano i medesimi cookie, quali destinatari degli stessi.
A quale risultato finale portano siffatte considerazioni? Semplice: il dover disattivare – con effetto immediato – le proprie fan page, in quanto amministratori titolari. In attesa – sottolinea DSK – che sia Meta/Facebook a porre rimedio alle proprie criticità. Non viene intravisto alcun spiraglio per gli amministratori di fan page, circa un possibile rimedio “fai-da-te” che possa ritenersi rilevante, trattandosi di aspetti connaturati al rapporto impostato e governato da Meta/Facebook.
Citiamo le autorità in merito: “finché il funzionamento di una pagina Facebook non può essere eseguito in modo conforme alla legge, un ulteriore trattamento costituisce una violazione […] Poiché i problemi di protezione dei dati circa le fan page di Facebook esistono in gran parte a prescindere dal rispettivo contenuto, non possono essere risolti modificando i contenuti stessi, ma solamente disattivando la pagina. Non appena i miglioramenti, ritenuti sufficienti, da parte di Meta Platforms avranno portato al rispetto della normativa sulla protezione dei dati, una fan page di Facebook potrebbe quindi essere riattivata”.
Ciononostante DSK si spinge oltre, visto che in una FAQ pone il quesito forse più allarmante: “Altri servizi di social media (ad es. Instagram, Twitter, TikTok [questa di diritto cinese], ecc.) hanno gli stessi problemi?” E la risposta è immancabilmente positiva, pur senza analisi di dettaglio ma lasciando trarre facili conclusioni su ciò che potrebbe seguire.
Ennesimo chiarimento, se ve ne fosse bisogno, riguarda l’estensione orizzontale delle valutazioni in parola a tutti i titolari, privati o pubblici che siano. L’unica differenza è che gli enti della P.A., secondo DSK, “sono particolarmente obbligati ad agire in conformità alla legge. Per questo motivo e per la loro funzione di modello, le autorità di controllo della protezione dei dati vi attribuiscono la responsabilità primaria”.
Molto pertinente è un ulteriore quesito, ricorrente in altre vicende, coinvolgenti i fornitori Overt-the-Top come Google, Microsoft, ecc.: “Perché le autorità di controllo non intraprendono azioni dirette contro Meta?”. Ecco, viene ricordato che l’autorità irlandese per la protezione dei dati è responsabile della supervisione delle piattaforme Meta e dei suoi servizi, incluso Facebook, visto che si appoggiano alla società Meta Platforms Ireland ltd.
Per i casi transfrontalieri (coinvolgenti più Stati membri dell’Unione), le autorità di controllo devono cooperare, mediante le procedure scolpite nel GDPR, avendo voce in capitolo verso la “capofila” autorità irlandese.
Tuttavia, circa gli amministratori titolari delle fan page è competente la rispettiva autorità di controllo, in relazione alla loro sede.
Conclusioni
Si noterà che rispetto alle vicende Analytics od Office 365, le autorità tedesche sì menzionano il problema del trasferimento extra-UE dei dati ma nel provvedimento si limitano a un accenno. Non entrano nel vivo della discussione come accaduto in altri casi.
Ciò comporta che alle criticità vagliate per filo e per segno viste sopra, se ne dovrebbe aggiungere una ulteriore, con le radici ben piantate sulla “solita” sentenza Schrems II della Corte di Giustizia.
Di conseguenza, se pure si risolvessero tutte le criticità, non poche, elencate da DSK nel suo provvedimento, si arriverebbe in ogni modo al “confronto finale” con questo aspetto, “irrisolvibile” al momento. Consegnando potenzialmente tutta l’Unione a un’empasse di cui non si riesce a scorgere la fuoriuscita, in tempi brevi.
Tutto ciò sta assumendo sempre più tinte politiche tali da sovrastare i ragionamenti giuridici, con effetti paralizzanti e rimpalli di visione tra autorità di controllo, governi dei vari Stati membri, Commissione Europea (si veda il recente “richiamo” verso l’autorità olandese). Che fine ha fatto l’ “unione” europea?
