Con la scusa del Natale, possiamo concederci una buona notizia.
La buona notizia è in tre parti.
Indice degli argomenti
Accesso totale ai dati: cosa impone la sentenza Meta GDPR
Primo, Meta deve garantire ai propri utenti l’accesso completo a tutti i dati, ivi incluso da chi sono stati raccolti, a chi sono stati ritrasmessi, e gli specifici scopi per cui ciascun singolo dato è stato utilizzato.
Questo, manco a dirlo, va molto al di là dello strumento di download che fin qui Meta ha messo a disposizione degli utenti per scaricare solo quei dati personali che Meta, nella sua infinita saggezza, considerava “rilevanti” per l’utente.
Cosa chiedere a Meta: dati, fonti, destinatari e scopi
Quindi ora dobbiamo richiedere a Meta tutti i dati che ha su di noi, perché come ho detto adesso deve darceli tutti, inclusi quelli sensibili, incluso da chi li hanno avuti e a chi li hanno dati, e secondo me avremo delle sorprese poco gradite.
Magari scrivetemi, e raccontatemi cosa ci avete trovato di inaspettato.
Ah, e non scordatevi di aggiungere la richiesta di almeno 500€ per danni non materiali, visto che Meta ha trattato i dati in violazione di GDPR.
Dati sensibili: perché la sentenza austriaca smentisce Meta
Secondo, Meta riceve anche, o da terze parti, o tracciando l’utente attraverso internet, o attraverso le proprie piattaforme, dati sensibili dell’utente.
Sono quei dati relativi alla salute, alle opinioni politiche, alla vita e all’orientamento sessuale che Meta ha fin qui categoricamente negato di trattare.
Bene, Meta dovrà invece separarli dai dati non sensibili, cosa che fin qui Meta ha sostenuto di non essere in grado di fare, e potrà trattarli soltanto quando riceve un consenso “specifico, informato, libero e non ambiguo”.
Profilazione e tracking: cosa dice la sentenza sul consenso esplicito
Terzo, Meta non può tracciare gli utenti o fornire pubblicità profilata senza lo stesso consenso esplicito che deve raccogliere, separatamente, per trattare i loro dati sensibili.
In pratica, il modello pubblicitario di Meta è stato illecito in Europa per anni, e adesso lo sappiamo in modo definitivo.
Dalla causa del 2014 alla sentenza Meta: la sentenza e la testardaggine di Schrems
Questo regalo di Natale lo dobbiamo in parti uguali alla Corte Suprema austriaca, che ha emesso la propria decisione il 18 scorso, dando a Meta fino a San Silvestro per adempiere, e all’ostinata testardaggine di Max Schrems, che non solo ha intentato la causa, ma ha avuto la pazienza di seguirla fino alla propria conclusione.
Perché la causa ha avuto inizio nel 2014, ed è passata attraverso tre decisioni della Corte Suprema austriaca e due della Corte di Giustizia Europea.
Praticamente un’Odissea.
E qui siamo al punto dolente.
Una persona normale non ha né il tempo né la pazienza di seguire una trafila del genere solo per un puntiglio, o per un principio.
Max Schrems lo ha fatto perché è Schrems, l’uomo che da solo ha affossato due accordi USA–Unione Europea sul trasferimento di dati europei oltreatlantico.
Appunto, ostinata testardaggine.
Ma intanto questa decisione è finalmente definitiva, e applicabile immediatamente in tutta l’Unione.
Bene, quindi adesso possiamo andare oltre.
Come sempre, partiamo dai fatti.
I fatti nel GDPR: cosa ribadisce la sentenza Meta
- Primo fatto: che un utente abbia diritto a una copia completa dei propri dati in possesso di un titolare del trattamento, sta scritto nel GDPR, all’articolo 15.
- Secondo fatto: che l’utente debba conoscere da dove sono stati raccolti i propri dati personali, e con chi sono stati condivisi, sta scritto nel GDPR, articolo 14, comma 2 lettera f e articolo 15, comma 1, lettera c.
- Terzo fatto: che il consenso sia necessario per il trattamento dei dati sensibili, sta scritto nel GDPR, articolo 9, comma 2, lettera a.
- Quarto fatto: che la profilazione e la pubblicità profilata non possano avvenire senza il consenso dell’utente, indovinate un po’, sta scritto nel GDPR, Considerando 70 e articolo 21, comma 2.
Ricorderete che in origine Facebook sosteneva di fornire pubblicità profilata con il consenso implicito dell’utente, e che il giorno dopo l’entrata in vigore del GDPR sosteneva che la pubblicità profilata fosse parte del contratto con l’utente.
In pratica, la posizione iniziale di Facebook era che gli utenti andassero su Facebook per ricevere pubblicità profilata.
Questa posizione iniziale è stata ovviamente incenerita in aula, e allora Facebook prima e Meta poi si sono adattati a raccogliere il “consenso libero e non ambiguo”, fino a culminare nell’attuale ridicolaggine chiamata “Pay or OK”, che noi abbiamo ribattezzato “paga o stacce”.
Anche questa verrà prima o poi incenerita, e Meta si inventerà qualcos’altro.
L’applicazione che non funziona: Irlanda, procedure e conflitti
Il fatto che ci siano voluti 11 anni e cinque decisioni di alte Corti per ribadire cose che stanno scritte nella legge è indice del fatto che il problema non è il GDPR, come la Commissione vorrebbe farci credere.
Il problema è l’applicazione del GDPR.
Il problema è lasciare che una Big Tech si nasconda dietro la finzione di operare dall’Irlanda, dove tutti i profitti sono soggetti praticamente a zero tasse e dove il suo indotto tiene effettivamente in ostaggio l’intero Paese.
Non è un caso che il primo ostacolo nell’applicazione del GDPR contro Big Tech sia stata proprio l’autorità irlandese, che in otto anni di GDPR è stata il porto delle nebbie, quando non direttamente un complice.
Solo per dirne una, alcuni anni fa le altre autorità europee dovettero impugnare una multa contro Facebook per portarla da migliaia di euro a milioni di euro.
Oggi, l’Autorità irlandese ha come membro una signora che si chiama Niamh Sweeney.
La signora altro non è che la ex dirigente per le politiche pubbliche di Facebook Irlanda ed ex direttore delle politiche pubbliche di WhatsApp per l’Europa.
La Commissione Europea se ne è uscita da poco con un “Digital Omnibus” che dovrebbe “riformare” il GDPR.
Ne abbiamo già parlato: le riforme sono a tutti gli effetti una dismissione della principale arma che l’Europa possiede contro l’abuso dei dati da parte dei giganti USA del digitale.
Potrei anche suggerire alla Commissione quale utilizzo fare del “Digital Omnibus”, ma crederebbero che mi stia esprimendo metaforicamente.
La sentenza della Corte Suprema austriaca è un bel regalo di Natale, ma il fatto che sia stata necessaria, e che ci siano voluti undici anni per raggiungerla, ci dicono chiaramente che abbiamo un problema di applicazione.
Che il modello pubblicitario di Meta sia illecito, che il “Transparency and Consent Framework” dell’Internet Advertising Board sia illecito, che la pubblicità profilata come è stata gestita fino ad oggi sia illecita, lo sappiamo da anni con sentenze definitive.
Ma nonostante questo, Meta continua a operare impunemente, e la pubblicità profilata continua ad essere il solo modo di comprare e vendere pubblicità su Internet.
Oltre la sentenza: DSA, DMA e sovranità digitale europea
Quello di cui abbiamo bisogno è di applicare le nostre leggi sul digitale, il GDPR in primis, ma anche il Digital Services Act, il Digital Markets Act, e di farlo in modo rapido ed efficace.
E poi dobbiamo affrontare il fatto che la nostra intera infrastruttura digitale è in mano americana.
Non possiamo più permettercelo, come non possiamo permettere che i giganti del digitale eludano le nostre leggi nascondendosi dietro quisquilie procedurali o dietro le gonne di uno Stato come l’Irlanda, la cui intera economia dipende da loro.
L’Europa deve trovare una propria voce.
La Commissione deve essere risvegliata dal torpore atlantista che vede nell’Ucraina l’unico problema degno di nota.
L’Ucraina non è un problema; i nostri dati, le nostre infrastrutture e le nostre economie alla mercè degli USA nel momento in cui gli USA sono in pieno delirio autoritario, sì.
E ora basta.
È ora di impacchettare i regali, di chiudere i tortellini, comprare i panettoni e mettere in frigo lo spumante.
Lasciate perdere le solite rogne e passate buone feste con gli amici, la famiglia.
Festeggiate.
La notte più lunga è passata anche quest’anno, ricomincia a tornare la luce.
Riposate.
Perché, dopo la Befana, avrete bisogno di rabbia fresca.
Buon Natale, e buon 2026 a tutti.
Ti servono anche consigli su cosa correggere in questo articolo?
