Il nuovo anno, dal punto di vista della protezione dei dati personali, sarà ricordato per un avvenimento tanto atteso, seppur in parte “spoilerato” da indiscrezioni giornalistiche di inizio dicembre 2022: le sanzioni a Meta comminate dall’autorità privacy irlandese (Data Protection Commission – DPC).
Con un comunicato sul proprio sito Internet, il 4 gennaio 2023, l’autorità per protezione dei dati personali irlandese ha dato notizia della notifica a Meta di due provvedimenti sanzionatori riguardanti il trattamento dei dati personali tramite le sue piattaforme Facebook e Instagram. Un terzo provvedimento, avente ad oggetto il terzo servizio di Meta, WhatsApp, è atteso nelle prossime settimane.
I provvedimenti della DPC in dettaglio
Si tratta di provvedimenti articolati, che trattano diversi temi relativi a come Meta struttura i trattamenti di dati personali dei suoi utenti, costruisce il suo business model e da applicazione alla normativa europea in materia di privacy.
Provvedimenti che possono essere letti e raccontati da più punti di vista: l’analisi dei singoli trattamenti illeciti posti in essere da Meta tramite i suoi servizi; l’ammontare milionario delle sanzioni, 210 milioni di euro per Facebook e 180 per Instagram; l’ennesimo duello legale tra Max Schrems – tramite Noyb, l’associazione a tutela di utenti e interessati da lui creata – e Meta, vinto anche questa volta dal primo; il conflittuale rapporto tra l’autorità irlandese e le autorità privacy degli altri Stati membri, consumatosi e risolto con qualche strascico, sia mediatico che giuridico, in sede di Comitato europeo della protezione dei dati (EDPB).
Si tratta di provvedimenti importanti perché toccano il mercato più strategico per le piattaforme digitali, quello della pubblicità online e, in particolare, della più preziosa pubblicità personalizzata, quella basata sulla profilazione degli utenti e che permette l’invio di messaggi pubblicitari ritagliati su misura degli stessi.
È probabilmente questo il punto di più grande interesse e che ha caricato di rilievo le decisioni della DPC: non l’ennesima sanzione nei confronti di Facebook, ora Meta, bensì i principi generali che si ricavano dalle decisioni e che danno indicazioni importanti su come svolgere correttamente la raccolta e profilazione degli utenti per finalità pubblicitarie.
Un diverso modo di intendere i servizi digitali
Al centro dei reclami promossi da Noyb contro Meta vi è un diverso modo di intendere i servizi digitali offerti e, conseguentemente, un diverso modo di dare applicazione al Regolamento UE 2016/679, il famoso GDPR.
Meta intende infatti remunerare i suoi servizi (e già sul termine “remunerare” si apre un mondo, quello della “monetizzazione dei dati personali”, sempre più fitto di pronunce e sentenze legate alle modalità che rendono lecito il pagamento del servizio con i dati personali piuttosto che con denaro) riutilizzando i dati degli utenti per inviargli messaggi pubblicitari personalizzati (behaviour advertising). Sulla base di questa scelta Meta ha aggiornato le sue condizioni contrattuali (Terms and Condition o Terms of Service) e inserito la raccolta di dati personali per finalità di pubblicità personalizzata all’interno del contratto che ogni utente è chiamato ad accettare per l’utilizzo del servizio. Conseguentemente è stata modificata anche l’informativa privacy dalla quale è stata eliminata la richiesta di consenso, ulteriore e distinto rispetto all’aver accettato le condizioni contrattuali del servizio “base” offerto da Meta, ossia Facebook e Instagram per limitarci alle pronunce in commento.
Tale strategia è stata considerata da Noyb come una violazione del GDPR e, quindi, una limitazione dei diritti degli utenti che non avevano più la possibilità di scegliere se essere profilati per finalità pubblicitarie.
La profilazione per finalità pubblicitaria
Semplificando un dibattito giuridico articolato e connesso ad altri temi di pur indubbio rilievo (pensiamo alla gestione dei cookie e al recente dibattito sui cookie wall e pay wall), dal punto di vista giuridico ciò si è trasformato in una valutazione su quale sia la corretta base giuridica per la fornitura di un servizio digitale e, in particolare, se la profilazione per finalità pubblicitaria sia un trattamento necessario o accessorio alla fornitura del servizio e quindi quale sia la base giuridica da utilizzare per renderla lecita.
Inserendo la pubblicità personalizzata nelle sue condizioni contrattuali, Meta ha ritenuto di basare la pubblicità personalizzata sul contratto e, quindi, sull’art. 6.1.b) del GDPR. Al contrario, Noyb ritiene che per svolgere l’ulteriore trattamento di profilazione per finalità pubblicitaria serva un “opt-in”, ossia un comportamento espresso e positivo dell’utente che accetti tale trattamento, quindi un autonomo consenso sulla base dell’art. 6.1.a) del GDPR.
Questione giuridica con impatti pratici evidenti laddove inserire la pubblicità personalizzata nel contratto consente alla piattaforma di assicurarsi un potente strumento di remunerazione ancorché questo costituisca un trattamento di dati personali invasivo e rischio per l’utente. Dal punto di vista dell’utente viene meno il diritto di scegliere come devono essere trattati i suoi dati e lo stesso viene posto dinanzi la scelta secca tra accettare un trattamento, sebbene con aspetti che potrebbero non interessargli o non condividere, oppure rifiutarlo integralmente.
La decisione della DPC
Il rebus giuridico è stato risolto, controvoglia, dalla DPC che si è trovata vincolata dal parere contrario espresso dalle altre autorità europee in sede di EDPB: la pubblicità personalizzata non è un trattamento strettamente necessario alla fornitura del servizio principale e non può quindi basarsi sul contratto. Almeno con riferimento a questi modelli di business, il contratto ex art. 6.1.b) GDPR non è un’adeguata base giuridica.
Non è quindi solo una questione di trasparenza, ossia di corretta scrittura delle condizioni contrattuali e di informazione agli utenti sulla presenza di tali trattamenti, come sostenuto dalla DPC, ma è anche necessario che l’utente (interessato del trattamento) abbia la possibilità effettiva di esprimersi sui trattamenti ulteriori dei propri dati, come invece sostenuto dalle altre autorità europee in sede di Comitato (EDPB).
Ne segue che gli utenti hanno diritto di esprimersi sulla possibilità di ricevere pubblicità personalizzata tramite un apposito e specifico consenso.
L’importanza delle pronunce
Ecco quindi l’importanza delle pronunce. Si tratta di decisioni che non riguardano solo Meta e i servizi da lei offerti ma che toccano il cuore dei servizi digitali, il mercato pubblicitario, dettando specifiche regole sul trattamento dei dati per tale finalità e rimarcando la centralità di una scelta effettiva dell’utente. Scelta che non può essere annacquata in condizioni contrattuali secondo un approccio “take it or leave it”, né essere forzata tramite stratagemmi vari, come i noti dark pattern, ossia la tendenza a evidenziare i tasti con cui si presta il consenso e invece nascondere o confondere con lo sfondo i tasti con cui lo si nega.
Quelle della DPC sono decisioni che riscrivono o, secondo alcuni, esplicitano una volta per tutte come svolgere un trattamento di pubblicità personalizzata.
L’utente è parte attiva dei mercati digitali, li influenza ed è un attore importante delle sue dinamiche nonché creatore di gran parte del suo valore. Ecco perché la sua scelta sul trattamento dei suoi dati ha un peso e deve essere sempre rispettata.
Articolo originariamente pubblicato il 05 Gen 2023