Sono giunte definitivamente a conclusione le indagini avviate dal Garante Irlandese nei confronti di Meta Platforms Ireland Limited (società cui fanno capo le piattaforme social Facebook e Instagram) aventi ad oggetto la verifica del corretto trattamento dei dati personali per le finalità di pubblicità comportamentale.
Indice degli argomenti
Meta e pubblicità comportamentale: il caso
La tematica era stata oggetto, nel dicembre 2022, di specifiche decisioni vincolanti emesse dall’EDPB (acronimo di European Data Protection Board) che avevano analizzato attentamente proprio il profilo relativo alla possibilità – annunciata come percorribile da parte di Meta – di utilizzare o meno l’esecuzione di un contratto quale base giuridica per la persecuzione di finalità di advertising comportamentale.
Dette decisioni vincolanti, come illustrato dalla stessa EDPB e da NOYB (fondata dall’attivista Max Schrems), sono state poste poi alla base delle odierne decisioni adottate dal Garante Irlandese. L’autorità irlandese, facendo proprie alcune delle tesi avanzate dall’EDPB, in esito alla procedura di risoluzione delle controversie di cui all’art. 65 GDPR, ha multato il colosso dei social per l’ingente somma di 210 milioni di euro (con riferimento a Facebook) e di 180 milioni di Euro (con riferimento ad Instagram).
Oltre che per l’elevato importo, le decisioni del Garante Irlandese (oggetto di disamina anche di un precedente articolo) risultano assolutamente rilevanti per i principi di diritto che vengono enunciati nelle stesse: si è previsto, in particolare, che l’esecuzione del contratto non possa essere utilizzata quale utile base giuridica per le finalità di pubblicità comportamentale. Si tratta di un’interpretazione della norma europea che potrebbe comportare un danno economico rilevante per Meta, i cui ricavi sono composti in larga parte dalla vendita di servizi pubblicitari personalizzati.
Il presidente dell’EDPB, Andrea Jelinek, ha dichiarato, a tal riguardo, che “ Le decisioni vincolanti dell’EDPB chiariscono che Meta ha trattato illegalmente i dati personali per la pubblicità comportamentale. Tale pubblicità non è necessaria per l’esecuzione di un presunto contratto con gli utenti di Facebook e Instagram. Queste decisioni possono anche avere un impatto importante su altre piattaforme che hanno gli annunci comportamentali al centro del loro modello di business”.
Maxi sanzione a Meta: ecco i paletti del Garante irlandese sulla pubblicità personalizzata
Stretta sulla pubblicità comportamentale anche in USA
Giova rilevare come l’attività di controllo avviata in Europa sulla pubblicità comportamentale, concretatasi nelle decisioni in esame, si rifletta anche oltreoceano: in un editoriale pubblicato sul Wall Street Journal Joe Biden ha affermato di essere “preoccupato per il modo in cui alcuni operatori del settore raccolgono, condividono e sfruttano i nostri dati più personali, rendono più profondo l’estremismo e la polarizzazione nel nostro Paese, alterano il campo di gioco della nostra economia, violano i diritti civili delle donne e delle minoranze e mettono a rischio i nostri figli”.
I rischi che le Big Tech comportano, si legge, “sono chiari. Le Big Tech raccolgono enormi quantità di dati sugli oggetti che compriamo, sui siti web che visitiamo, sui luoghi che frequentiamo e, cosa più preoccupante di tutte, sui nostri figli”. E’ dunque vivo l’interesse dei legislatori statunitensi di limitare le capacità delle grandi aziende del web di raccogliere dati finalizzati all’analisi dei comportamenti dei propri utenti, proprio al fine di tutelare questi ultimi, specie se minori di età.
“Per mantenere gli americani sulle loro piattaforme,” si legge, “le società di Big Tech spesso usano i dati personali degli utenti per indirizzarli verso contenuti estremi e polarizzanti che probabilmente li terranno connessi e continueranno a farli cliccare. […] Di più, i social media e altre piattaforme hanno permesso abusi e comportamenti persino criminali, come il cyberstalking, lo sfruttamento sessuale dei minori, la pornografia non consensuale e la vendita di droghe pericolose. In altri casi, le Big Tech hanno escluso dalle loro piattaforme le imprese a conduzione familiare, le hanno svantaggiate o hanno imposto loro prezzi spropositati, rendendo più difficile la competizione e la crescita e soffocando così l’innovazione”.
Queste, afferma Biden sono solo alcune delle ragioni per cui la presidenza sta spingendo verso una legislazione che, sulla spinta anche di quanto fatti in Europa con DSA e DMA, responsabilizzi le Big Tech.
Sono tre i punti su cui si dichiara di voler agire:
- serie protezioni federali per la privacy degli americani. “Ciò significa limiti chiari al modo in cui le aziende possono raccogliere, utilizzare e condividere dati altamente personali: la vostra cronologia internet, le vostre comunicazioni personali, la vostra posizione e i vostri dati sanitari, genetici e biometrici. Non è sufficiente che le aziende rivelino quali dati stanno raccogliendo. Molti di questi dati non dovrebbero essere raccolti. Queste protezioni dovrebbero essere ancora più forti per i giovani, che sono particolarmente vulnerabili online. Dovremmo limitare la pubblicità mirata e vietarla del tutto per i bambini”;
- responsabilizzazione da parte delle grandi aziende tecnologiche per i contenuti che diffondono egli algoritmi che utilizzano, mediante una riforma della Sezione 230 del Communications Decency Act;
- tutela della concorrenza nel settore tecnologico. “Quando le piattaforme tecnologiche diventano abbastanza grandi, molte trovano il modo di promuovere i propri prodotti escludendo o svantaggiando i concorrenti, oppure fanno pagare ai concorrenti una fortuna per vendere sulla loro piattaforma. La mia visione per la nostra economia è quella di un’economia in cui tutti – piccole e medie imprese, negozi a conduzione familiare, imprenditori – possano competere ad armi pari con le aziende più grandi”.
Quanto affermato da Biden conferma come nei prossimi anni, il mercato digitale (sia dei dati che dei prodotti e dei servizi) sarà al centro dell’attività legislativa, con focus (necessari) sulla tutela dei minori.
La bozza di decisione del DPC e le evidenze di EDPB
Appare utile indicare come la bozza di decisione presentata inizialmente dall’autorità irlandese fosse stata oggetto di numerose obiezioni da parte delle altre autorità europee interessante, le quali hanno evidenziato come la bozza presentasse alcune criticità sotto questi profili:
- la base giuridica del trattamento (art. 6 GDPR);
- i principi di protezione dei dati (art. 5 GDPR);
- l’uso di misure correttive, comprese le sanzioni pecuniarie, da parte dell’autorità garante.
Per tale ragione venivano avviate due procedure congiunte di risoluzione delle controversie, riguardanti le obiezioni sollevate dalle autorità di controllo interessate di dieci paesi.
L’EDPB, a seguito delle attività di indagine svolte, ha affermato, nelle sue decisioni vincolanti, che Meta “si basava in modo inappropriato sul contratto come base legale per elaborare i dati personali nel contesto dei Termini di servizio di Facebook e dei Termini di utilizzo di Instagram ai fini della pubblicità comportamentale in quanto questo non era un elemento fondamentale dei servizi”.
L’EDPB ha riscontrato, in entrambi i casi posti alla sua attenzione, “che Meta IE non disponeva di una base giuridica per questo trattamento e pertanto ha trattato illegalmente questi dati. Di conseguenza, l’EDPB ha incaricato l’IE DPA di modificare la conclusione nei suoi progetti di decisione e di includere una violazione dell’articolo 6, paragrafo 1, del GDPR”.
Non solo: l’EDPB afferma che la decisione di Meta di fondare il proprio business sulla realizzazione di profitti tramite annunci personalizzati non rende detti servizi “necessari” in quanto Meta potrebbe anche pubblicare annunci basati sul contesto o altri dati. Sposare la posizione di Meta, inoltre, potrebbe incoraggiare altri operatori a utilizzare l’articolo 6, paragrafo 1, lettera b) come elusione dell’obbligo di consenso.
Congiuntamente, l’EDPB incaricava l’autorità irlandese “di includere, nelle sue decisioni finali, un ordine affinché Meta IE adegui il suo trattamento dei dati personali per la pubblicità comportamentale nel contesto dei servizi Facebook e Instagram all’articolo 6, paragrafo 1, del GDPR entro tre mesi” oltre ad una constatazione di violazione del principio di equità e di adottare le opportune misure correttive, alla luce del fatto che “le gravi violazioni degli obblighi di trasparenza hanno influito sulle ragionevoli aspettative degli utenti, che Meta IE aveva presentato i propri servizi agli utenti in modo fuorviante e che il rapporto tra Meta IE e gli utenti era sbilanciato”.
Sotto il profilo delle sanzioni amministrative, l’EDPB ha ordinato al garante irlandese di imporre una sanzione amministrativa anche per le ulteriori violazioni dell’articolo 6, paragrafo 1, del GDPR (mancanza di base giuridica per il trattamento dei dati personali) e di emettere sanzioni significativamente più elevate per la trasparenza infrazioni individuate, in quanto ha ritenuto che le sanzioni proposte non soddisfacessero il requisito di essere effettive, proporzionate e dissuasive.
Ciò ha portato l’IE DPA ad aumentare significativamente le ammende nelle sue decisioni finali (da un massimo di 36 e 23 milioni di euro per le bozze di decisione sui casi Facebook e Instagram, ai citati 210 e 180 milioni di euro nelle decisioni finali).
Le decisioni finali del DPC e le critiche di NOYB
Come anticipato in premessa, il contenuto delle decisioni finali del DPC irlandese appare sostanzialmente conforme a quanto indicato dall’EDPB.
Il contenuto del testo è stato oggetto di alcune valutazioni preliminari da parte di NOYB, la quale ha affermato innanzitutto che le decisioni in esame rappresenterebbero solo l’inizio, in quanto “la decisione non copre questioni come l’uso dei dati personali per migliorare la piattaforma Facebook o per contenuti personalizzati”: elementi sui quali l’EDPB ha richiesto, ad ogni modo, di avviare ulteriori indagini.
Il primo tema affrontato dal Garante irlandese riguarda la possibilità o meno di interpretare l’azione di clic su “accetta” sui Termini di servizio quale atto utile di consenso anche ai sensi del GDPR e, dunque, in relazione alle disposizioni relative al trattamento dei dati personali degli utenti. Il reclamante evidenziava che le modalità di richiesta del consenso da parte di Meta, secondo detto schema, fossero ingannevoli e fuorvianti, oltre che non conformi a quanto richiesto dal GDPR.
Sul punto, l’autorità conclude affermando che, di fatto, “Facebook non si basava, né pretendeva di fare affidamento, sul consenso del denunciante come base giuridica per il trattamento dei dati personali ai sensi i Termini di servizio” e che, al tempo stesso, non potesse valutarsi come consenso, ai sensi del GDPR, fare clic su “accetta”. A tal riguardo, NOYB non manca di rimarcare come, “il DPC continua a ignorare la questione centrale dei reclami, vale a dire se le clausole nei termini de facto equivalgono a una clausola di consenso occulto (falsa demonstratio)”, valorizzando come “uno studio condotto su 1.000 utenti dimostri che più del 60% ha trovato questo consenso e meno del 2% ha pensato che fosse un contratto”.
A seguito dello svolgimento di una articolata analisi sul rapporto tra la Data Policy e i Termini di Servizio, e preso atto delle conclusioni dell’EDPB, il DPC conclude anche che “Facebook non fosse autorizzato a fare affidamento sull’articolo 6, paragrafo 1, lettera b) del GDPR per trattare i dati personali del denunciante allo scopo di pubblicità comportamentale nel contesto dei Termini di Servizio di Facebook”.
Anche in relazione a detto aspetto sono molteplici le critiche avanzate dall’associazione NOYB. Quest’ultima, in particolare, sostiene che:
- “Il DPC ha negato di indagare su tutte le operazioni di trattamento in cui Meta si avvale dell’articolo 6, paragrafo 1, lettera b) in quanto “non sarebbe consentito a un denunciante … richiedere una tale valutazione”. Di conseguenza, Facebook non ha mai fornito un elenco di tutte le operazioni di trattamento e della relativa base giuridica. Ciò potrebbe violare la legge austriaca, in cui l’ambito di un reclamo è chiaramente di competenza del denunciante. Il DPC ha quindi approfondito la questione solo sul piano di principio (§ 4.7), con un focus sulla “pubblicità comportamentale””.
- Il DPC non riconosce la propria giurisdizione in riferimento all’interpretazione di cosa possa ritenersi un “contratto”, limitandosi i suoi poteri all’interpretazione del GDPR: detta affermazione appare a NOYB contraddittoria, in quanto “determinare cosa contiene il contratto è un prerequisito logico per determinare se l’elaborazione è “necessaria” per adempiere a un contratto.
Un ulteriore punto fondamentale delle decisioni riguarda la violazione dei principi di trasparenza previsti dal GDPR. Il considerando 58, infatti, prevede che qualsiasi informazione rivolta al pubblico o all’interessato sia concisa, facilmente accessibile e di facile comprensione e che sia utilizzato un linguaggio chiaro e semplice e, inoltre, ove appropriato, la visualizzazione.
Ciò è di particolare rilevanza in situazioni in cui la proliferazione di attori e la complessità tecnologica della pratica rendono difficile per l’interessato sapere e capire se, da chi e per quale scopo vengono raccolti dati personali che lo riguardano, come ad esempio nel caso della pubblicità online.
Sulla scorta degli elementi acquisiti dall’autorità, è stato possibile riscontrare una intrinseca mancanza di trasparenza nelle informazioni rese all’interessato, con conseguente violazione dell’art. 5 GDPR, oltre che degli articoli 12 e 13 GDPR. Sul tema, NOYB evidenzia come sinora il DPC abbia ritenuto principalmente che Meta avrebbe dovuto implementare le informazioni rese a schermo: “Ciò avrebbe significato”, afferma NOYB, “che gli utenti avrebbero semplicemente visto un pop-up aggiuntivo o simili, ma non avrebbe impedito a Meta di abusare ulteriormente dei dati degli utenti”.
Parimenti, sempre in relazione all’art. 5 GDPR, il DPC richiama quanto affermato dall’EDPB in relazione alla riscontrata violazione del principio di equità, strettamente connesso al principio di trasparenza ed alla corretta individuazione della base giuridica: elementi, questi, oggetto dell’indagine di cui si discute.
Anche sotto il profilo ordinatorio e sanzionatorio il DPC si è sostanzialmente allineato a quanto previsto dall’EDPB, seppur con alcune differenze riscontrate da NOYB nella propria analisi del testo reso pubblico.
Nella decisione finale si prevede, in particolare, che:
- il termine di 3 mesi previsto dall’EDPB per conformarsi all’ordinanza non decorra dal momento in cui la decisione dell’EDPB è stata notificata a Meta, ma dalla data di notifica della decisione finale emanata dal DPC medesimo. “Questa deviazione del DPC dalla decisione dell’EDPB sembra essere illegittima”, afferma NOYB;
- la sanzione amministrativa contenuta nella bozza di decisione sia innalzata, andando a ricomprendere ammende per mancanza di trasparenza e per illecito trattamento di dati personali. L’importo indicato quale proporzionato per detto ultimo punto, però, appare eccessivamente ridotto a NOYB, alla luce della base utenti coinvolta in detto trattamento dati.
NOYB, infine, rileva come la decisione si sia focalizzata prevalentemente sul tema della pubblicità comportamentale, non pronunciandosi sugli ulteriori profili di criticità avanzati dal reclamante. Tuttavia, non si esclude che detti ulteriori elementi siano oggetto di diverse indagini, anche alla luce del fatto che l’EDPB ha richiesto al DPC di avviare nuove indagini volte ad accertare il rispetto del GDPR in tutte le operazioni di trattamento di dati poste in essere da Facebook ed Instagram.
