Gli annunci personalizzati su Facebook, Instagram e WhatsApp sono da considerarsi illegali se non sono stati autorizzati in modo chiaro ed incontrovertibile dall’utente.
Questi punti sono emersi ora con tutta la loro forza nella sanzione da 390 milioni di euro appena confermata dal Garante Privacy irlandese, ieri.
Perché Meta è stata sanzionata dal Garante privacy
Meta non può obbligare gli utenti ad accettare il trattamento finalizzato alla pubblicità personalizzata a pena di escluderli dal servizio.
Agli utenti dovrà invece essere concesso l’opt-in, vale a dire la facoltà, by default, di non essere tracciati ai fini della pubblicità personalizzata, salvo espressa volontà di acconsentire al trattamento. Meta deve ora adeguare le proprie condizioni contrattuali, ha 3 mesi di tempo.
Nuovi paletti alla pubblicità personalizzata sui social: Edpb contro Meta
Di fatto così il Garante irlandese ha confermato la decisione del Board europeo dei dati personali (EDPB) del 5 dicembre scorso che, alla fine di un lungo ed accidentato percorso, aveva dato ragione a Mark Schrems circa dei casi di violazione del GDPR da parte di Meta, la società che gestisce Facebook, in relazione al trattamento di dati personali per la pubblicità personalizzata.
L’attivista austriaco da anni si batte per l’effettiva applicazione del GDPR nella UE, e che di questa battaglia ha fatto quasi un business. Sono riconducibili a lui, tra le altre, le sentenze europee che hanno affossato il trasferimento dei dati personali dall’Europa agli Stati Unici (sentenze giustamente chiamate Schrems I e II).
L’autorità irlandese si è quindi adeguata, sebbene obtorto collo, alla decisione del EDPB secondo cui Meta non può obbligare gli utenti a subire annunci personalizzati senza il loro preventivo consenso.
Meta aveva sempre ritenuto che, per aggirare l’obbligo del consenso, fosse sufficiente inserire una clausola ad hoc nelle condizioni del servizio, così appellandosi all’art. 6,1b del GDPR secondo cui il trattamento dei dati è lecito se necessario per l’esecuzione del contratto. Come dire che pubblicità targettizzata e social network vivono in simbiosi, così oscurando un po’ la favola della gratuità del servizio.
Il 25 maggio 2018, proprio con l’entrata in vigore del GDPR, l’organizzazione di Schrems, Noyb, aveva presentato reclami contro Meta in vari paesi europei, tra cui Austria, Belgio e Germania. I casi sono però stati gestiti dall’autorità irlandese DPC, poiché proprio sull’isola Meta, come altri grandi OTT, ha posto gli headquarter europei. Trattandosi di un tema di grande rilevanza e che impattava su numerosi mercati europei, la decisione doveva essere discussa con le altre autorità di regolazione; in caso di dissenso, la questione doveva essere deliberata dall’agenzia europea EDPB, ai sensi dell’art 65 GDPR. Così infatti è avvenuto.
L’autorità irlandese aveva tendenzialmente dato ragione a Meta, considerando che si trattasse di un problema di trasparenza più che di corretta raccolta del consenso. Se questa posizione fosse stata confermata, il caso si sarebbe potuto chiudere semplicemente obbligando Meta a modificare alcune parti della sua Privacy Policy, eventualmente con una multa. Per Meta sarebbe stata una vittoria, perché le fondamenta del suo modello di business sarebbero rimaste intatte. Ma questo approccio non è stato condiviso dalle altre autorità di protezione di dati ed alla fine è stato rigettato da EDPB, il quale con propria decisione ha definito le regole giuridiche che DPC avrebbe dovuto seguire per chiudere il caso presso di essa.
Che succederà ora
Secondo EDPB il consenso per la pubblicità personalizzata non può essere incluso nell’accettazione generalizzata delle clausole del servizio di social network, ma deve essere espresso in modo distinto ed effettivo. Meta ha ora 3 mesi di tempo per rivedere le proprie condizioni contrattuali e, più in generale, per ripensare il proprio modello di pubblicità targettizzata.
Da notare che la decisione del EDPB non ha però reso illegale anche la pubblicità “contestuale”, cioè quella che riceviamo in coerenza alle pagine che stiamo visitando: quando, ad esempio, navigo su un gruppo di amanti delle moto e mi appaiono annunci sullo stesso tema. Ma se lascio la pagina delle moto e continuo a ricevere i medesimi annunci, allora non è più pubblicità contestuale, ma targettizzata.
Con la decisione del 5 dicembre EDPB aveva anche definito i criteri per l’irrogazione di sanzioni a Meta ed infatti DPC ne ha imposto due (relative ai casi Belgio ed Austria) per la somma complessiva di 390 milioni di Euro.
Se ne ha notizia dal comunicato stampa di DPC, mentre la decisione irlandese non è tuttavia ancora pubblica. Un terzo caso relativo alla Germania è tutt’ora pendente.
Quest’anno pende anche una decisione della Corte di Giustizia europea che potenzialmente può colpire le pratiche di data collection.
DPC è stata spesso accusata di essere troppo leggera con le Big Tech, perché si suppone che l’Irlanda vorrebbe mantenere buone relazioni con le corporation che l’hanno scelta per ragioni fiscali e che, in più, gradirebbero un trattamento benevolo anche in tema di privacy. In effetti, il tema della pubblicità personalizzata di Meta andava avanti da 4 anni con il regolatore irlandese, il quale, come già notato, sembrava intenzionato a supportare la posizione di Meta, ma senza successo vista la decisione finale di EDPB.
L’attivista Schrems ha accusato DPC di essersi schierata con Meta: “During the course of the procedure, Meta has relied on ten confidential meetings with the Irish DPC in which the DPC has allowed Meta to use this “bypass”. It was later revealed that the DPC has even tried to influence relevant EDPB Guidelines in the interest of Meta”.
Sicuramente Meta impugnerà la decisione del regolatore irlandese di fronte alle corti irlandesi, contestando l’interpretazione dell’art. 6,1b del GDPR: se sia lecito, o meno, dare per scontato che l’adesione ad un social network includa l’accettazione alla pubblicità personalizzata. Le chance di riuscita sono scarse, vista la decisione inequivocabile del EDPB; tuttavia non si può escludere che, nel corso dei vari gradi di giudizio, la questione sia sottoposta all’esame della Corte europea di giustizia per un giudizio interpretativo.
E’ invece esclusa l’appellabilità della decisione del EDPB da parte di Meta, perché un mese fa proprio la Corte europea di giustizia ha escluso che le imprese possano attaccare tale tipo di decisioni, che sono dirette non ad esse ma ai regolatori nazionali (DPC in questo caso).
