Sembra finalmente giunta al termine la lunga battaglia portata avanti da associazioni ed istituzioni per spingere Meta a rinunciare a portare avanti attività di profilazione a fini marketing dei propri utenti sulla base del legittimo interesse dell’azienda.
Il post contenente l’annuncio nella newsroom di Meta, che risale al primo agosto scorso, consente di ripercorrere gli ultimi passi che hanno portato a questa decisione, con un travagliato percorso per cui Facebook (che in origine indicava come base giuridica la “necessità contrattuale” per profilare gli utenti per finalità di marketing) a suon di sanzioni è infine passato al legittimo interesse e infine al consenso.
Ad oggi l’informativa di Meta non è ancora allineata con quanto annunciato e continua a proporre, per gli utenti registrati, attività di personalizzazione delle inserzioni mostrate e di fornitura di prodotti pubblicitari (anche all’esterno dei siti/applicativi Meta tramite Audience Network di Meta) sulla base del legittimo interesse, ma non c’è da dubitare che presto l’azienda statunitense provveda a mettere in pratica quanto annunciato, visto il chiaro rischio di sanzioni milionarie in cui incorrerebbe ove non lo facesse.
Indice degli argomenti
Meta profilerà solo col consenso degli utenti. La storia
Con l’entrata in vigore del GDPR Facebook aveva rivisto le proprie informative inserendo di fatto la più parte della propria attività di profilazione per finalità di marketing tra le attività “necessarie” per l’esecuzione del contratto (sulla base del semplice ragionamento per cui se l’advertisement finanzia il servizio ho diritto di utilizzare come più mi aggrada i dati da fornire a coloro che mi consentono di proporre gratuitamente il mio social network).
Questa prospettiva è stata però rapidamente smentita dalle Autorità Garanti nazionali e tale smentita ha trovato autorevole conferma nelle Linee guida dell’EDPB n. 2/2019 relative al trattamento di dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati (base giuridica contrattuale) nel contesto della fornitura di servizi online agli interessati.
A quel punto Facebook ha obtorto collo “virato” dalla base giuridica contrattuale a quella del legittimo interesse per poter proseguire nell’attività di profilazione, anche visti i (pur minimi) spiragli aperti in tal senso dalle Linee Guida dell’EDPB n. 8/2020 relative al targeting degli utenti di piattaforme social media.
Di fatto però, travisando le indicazioni del Gruppo Europeo dei Garanti, Meta ed altri gestori di social network (ad esempio il 7 luglio 2022 il Garante Privacy italiano ha rilevato che sarebbe stato illegittimo per TikTok procedere, come aveva annunciato, alla profilazione degli utenti sulla base del legittimo interesse basandosi anche su dati conservati sul dispositivo dell’utente) hanno dato corso ad estese attività di “Legitimate Interest Assessment” in cui i loro esperti finivano sistematicamente per affermare la legittimità dell’attività di profilazione che le piattaforme volevano far rientrare sotto la “copertura” del legittimo interesse al trattamento evitando così lo spaventevole impatto che avrebbe avuto il passaggio all’unica altra base di trattamento disponibile, ovvero il consenso.
Non c’è però voluto molto per accorgersi che queste pratiche erano eccessivamente “generose” e violavano nei fatti il GDPR, ed infatti sono numerose le pronunce giudiziali ed amministrative che depongono in senso contrario.
A fare infine capitolare Meta sono stati in particolare alcuni recenti provvedimenti.
Il più incisivo è sicuramente la sentenza del 4 luglio scorso della Corte di Giustizia dell’Unione Europea, che in una complessa pronuncia che riguarda l’abuso della posizione dominante sul mercato tedesco da parte di Facebook, la raccolta di dati off-Facebook e l’attività di profilazione svolta dall’azienda a fini pubblicitari sulla base del legittimo interesse, ha affermato che tale attività è legittima unicamente se svolta sulla base del consenso dell’interessato (sentenza 04.07.2023, CJUE, Case C-252/21).
Europa contro Meta, che succede dopo la super sanzione da 1,2 miliardi di euro
La Corte in particolare afferma che il legittimo interesse legittima un trattamento dati solo se questo è necessario per soddisfare gli interessi legittimi perseguiti dal titolare del trattamento o da un terzo, a condizione che:
(1) il gestore abbia informato gli utenti presso i quali sono stati raccolti i dati di un interesse legittimo perseguito dal trattamento dei dati,
(2) tale trattamento sia effettuato solo nella misura strettamente necessaria per le finalità di tale interesse legittimo,
(3) tale trattamento sia il risultato di un’attività di bilanciamento degli interessi opposti, tenuto conto di tutte le circostanze pertinenti, senza che gli interessi o le libertà e i diritti fondamentali degli utenti prevalgono su tale interesse legittimo del titolare del trattamento o di un terzo.
La Corte di Giustizia non ha ritenuto che le tre condizioni sussistessero nel caso di Facebook, specie perché sebbene l’utente di un social network gratuito possa attendersi un esteso trattamento dei propri dati da parte del gestore della piattaforma, questa ragionevole aspettativa non si estende certo alla possibilità di condividere i dati con inserzionisti profilando continuativamente (ed anche off-site) l’utente al fine di sottoporgli pubblicità personalizzata.
A fare il paio con questa recentissima pronuncia della Corte di Giustizia UE vi è la sanzione comminata a Facebook dalla Autorità privacy irlandese (DPC) dopo una sostenuta revisione da parte dell’EDPB del più tiepido approccio della DPC.
La presa di posizione dell’EDPB è contenuta nelle decisioni vincolanti n. 3 e 4 del 2022 (pubblicate il 12 gennaio 2023) le quali escludono innanzitutto la possibilità di utilizzare la base giuridica contrattuale per l’advertising profilato per Facebook ed Instagram, e si spendono in alcuni passaggi nel circoscrivere rigidamente le possibilità di utilizzare come base giuridica il legittimo interesse.
Ultimo recente tassello di questa stretta all’advertisement comportamentale nei confronti di Facebook arriva da un paese extra-Ue ovvero la Norvegia, la cui autorità privacy (Datatilsynet) lo scorso 14 luglio ha imposto un ban di tre mesi a Meta in relazione alla pubblicità profilata rivolta agli utenti nel paese, con sanzioni di un milione di corone norvegesi (circa 90.000 €) per ogni giorno di ritardo nell’esecuzione della misura (a partire dal 14 agosto).
La resa di Facebook è quindi totale ma, se l’annuncio di Meta è chiaro, non è però altrettanto chiaro in cosa consisterà la sua traduzione nelle pratiche aziendali.
Le definizioni normative e giurisprudenziali di “behavioral advertising” non sono precisissime e lasciano quindi spazio a dubbi e “zone grigie” in cui l’azienda di Zuckerberg ha finora provato ad insinuarsi per proseguire indisturbata nei propri comportamenti non esattamente specchiati.
Sotto l’occhio (speriamo) vigile dell’Autorità privacy irlandese c’è però da augurarsi che Meta non tenti ulteriori colpi di coda e sottoponga infine ai propri utenti l’agognata scelta se farsi profilare per fini pubblicitari o meno.
La scelta degli utenti
A breve quindi gli utenti riceveranno entrando sui social di casa Meta la fatidica richiesta, e nel rispondere dovranno tener conto degli effetti di questa scelta, perché è evidente che la pubblicità non profilata sarà proposta agli utenti nella medesima quantità di quella non profilata e se qualcuno può preferire di non vedere annunci ritagliati sui suoi interessi per non essere indotto in tentazioni veniali, qualcun altro può considerare più utile vedere annunci rilevanti piuttosto che annunci generici che possono rendere più infruttuosa la navigazione online sui social network.
Le prospettive
Proprio in questi giorni TikTok annuncia l’imminente rilascio di una sua versione non profilata (ovvero non profilata non solo nell’advertisement, ma nemmeno nei contenuti) in adempimento degli obblighi imposti dal Digital Services Act (del resto l’app cinese affronta l’impegno già preparata avendo da tempo implementato identica misura nella propria app distribuita sul mercato della Repubblica Popolare, ovvero DuoYin, che per legge in Cina deve proporre una opzione non profilata agli utenti sin dal 2022).
Facebook invece, dal canto suo, sembra faticare a stare al passo ed a reinventare il proprio modello di business in un mondo che mette sempre più in difficoltà la strategia della profilazione individuale dell’advertising come valore aggiunto (non solo dal punto di vista della sempre più stringente normativa, ma anche dal punto di vista tecnologico con molti browser che ora impediscono la profilazione cross-site).
In questo contesto il colosso di Menlo Park sembra capace di agire unicamente in reazione alle sollecitazioni esterne, mantenendo il comportamento contra legem (e i conseguenti guadagni) fino all’ultimo e dando così di sé l’immagine di chi subisce queste innovazioni virtuose anziché promuoverle.
Pensiamo ad esempio a quando, nel novembre 2021, Zuckerberg ha annunciato l’eliminazione della funzione di riconoscimento facciale sui propri social. Apparentemente la scelta dimostrava sensibilità al problema dell’identificazione biometrica e massiva dei suoi utenti, ma in realtà la decisione nasceva:
(1) dagli evidenti e gravi problemi privacy della tecnologia implementata (che ad esempio non distingueva fra minorenni e maggiorenni),
(2) dalle strette normative che si profilavano (e ad oggi si profilano) all’orizzonte,
(3) dal fatto che non si trattava, nel caso, di una tecnologia direttamente connessa con le entrate pubblicitarie ed era quindi più “rinunciabile” di altre.
Meta si dimostra quindi ancora una volta pronta a combattere battaglie di retroguardia fintantoché questo le garantisce un flusso di cassa, senza però pensare ai rischi che corre nell’essere sempre l’ultima ad adeguarsi alle svolte normative e nel presentarsi quindi come un campione non nella tutela ma piuttosto dello sfruttamento dei nostri dati personali per fini commerciali.
