Perché è rilevante la sanzione del Garante Privacy irlandese a Meta

L’autorità Garante irlandese ha sanzionato Meta per violazione delle normative privacy. La motivazione della sanzione è utile per capire quali pratiche contrattuali e commerciali le aziende del settore possono adottare e quali no.

Nei primi giorni del 2023 è stata diffusa la notizia che l’Autorità Garante per la privacy irlandese (Dpc – Data protection commission) ha irrogato a Meta due sanzioni per il totale di 390 milioni di euro per violazione delle norme del Regolamento Privacy UE.

Meta Platforms Inc è la società americana fondata tra gli altri da Mark Zuckerberg a cui fanno capo le piattaforme e i servizi Facebook, Instagram, Whatsapp. Come sua emanazione, nel 2008 è stata fondata la società Meta Platforms Ireland Limited, con sede a Dublino, per la gestione del mercato europeo.

La competenza del Garante irlandese sulle violazioni del GDPR da parte della società di Dublino è dovuta proprio al fatto che la società ha sede in territorio irlandese.

La motivazione

Le sanzioni irrogate sono pari a 210 milioni per violazioni della piattaforma Facebook e a 180 milioni per le violazioni di Instagram.  Sono accompagnate anche dall’intimazione a adeguarsi alle indicazioni dell’autorità entro tre mesi dalla pronuncia.

È interessante capire la ragione di queste sanzioni, perché indicano quale sia la valutazione non solo del Garante irlandese ma anche del Garante Privacy europeo e delle altre autorità nazionali rispetto ad alcune pratiche commerciali. Esse forniscono indicazioni anche per le altre società del settore rispetto a quali trattamenti dei dati siano ritenuti leciti o meno.

La decisione infatti ha preso le mosse dalle valutazioni dell’autorità irlandese ma ha anche assorbito il parere degli altri Garanti nazionali e del Garante UE debitamente consultati, come prevede la procedura del Regolamento nei casi in cui il trattamento dei dati in discussione coinvolga utenti presenti anche in altri Stati membri.  

Il nodo: Meta ha fondato la profilazione degli utenti per la personalizzazione della pubblicità sulla base giuridica di cui all’art. 6, co.1 lett. B e 22 co. 2 GDPR, che stabilisce che il trattamento è lecito se è necessario all’esecuzione di un contratto di cui l’interessato è parte.

Così facendo, ha reso questo trattamento effettuabile anche senza il consenso dell’utente, affermando appunto che esso sia necessario all’esecuzione del contratto con l’utente stesso.

L’autorità irlandese ha contestato da un lato l’assenza di trasparenza (secondo gli art. 5, 12 e 13 GDPR), dato che le informazioni al riguardo del trattamento non erano ben spiegate nelle condizioni contrattuali e quindi gli utenti non potevano davvero avere consapevolezza sia dei trattamenti a cui venivano sottoposti i loro dati, sia della base giuridica di liceità su cui si fondava il trattamento.

Dall’altro lato, in particolare dopo il confronto con le altre autorità interessate e l’accoglimento dei rilievi del Garante EU, ha contestato che il trattamento volto a fornire pubblicità personalizzata possa fondarsi sulla base giuridica dell’esecuzione del contratto (art. 6, co. 1. Lett. B e art. 22 co. 2 GDPR), dato che fornire annunci pubblicitari personalizzati non può considerarsi come elemento necessario all’esecuzione dell’accordo con l’utente – e quindi, se lo può essere la personalizzazione dei servizi forniti, ad essi non può assimilarsi l’erogazione di pubblicità personalizzata.

Le conseguenze per tutte le piattaforme

Il secondo punto è il più rilevante e ciò di cui tutti i gestori di piattaforme e servizi online devono tenere conto: la fornitura di pubblicità personalizzata non può essere assimilata alla fornitura di servizi personalizzati; pertanto, non può trovare la sua base giuridica nell’esecuzione del contratto con l’utente.

Viceversa, un simile trattamento richiede l’espressione del consenso da parte dell’interessato. Con la conseguenza che, in caso in cui il consenso sia negato, la piattaforma non potrà trattare i dati dell’utente al fine di offrire annunci personalizzati e dovrà attrezzarsi per escludere il trattamento dei dati degli utenti che non abbiano manifestato il consenso a detta personalizzazione pubblicitaria.

La fornitura di messaggi pubblicitari personalizzati infatti è possibile tramite il tracciamento degli utenti e la conseguente profilazione dei medesimi.

La profilazione, da definizione del GDPR e dall’elaborazione del WP29, è un trattamento automatizzato di dati personali che ha l’obiettivo di valutare gli aspetti personali e comportamentali di una persona fisica.

Il Regolamento consente la profilazione ma ne disciplina l’utilizzo.

Stabilisce (art. 22 GDPR) che sia possibile:

  • Se necessaria alla conclusione o esecuzione di un contratto;
  • Se sia autorizzata dal diritto UE o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  • Se si basa sul consenso dell’interessato.

Nel caso di utilizzo di strumenti di tracciamento come i cookies, il trattamento può essere effettuato solo con il consenso espresso dell’interessato.

Escluso quindi che sia legittimamente invocabile la base giuridica dell’esecuzione del contratto, la profilazione nel caso della fornitura di pubblicità personalizzata è possibile solo con il consenso dell’interessato.

Gli scenari futuri

Le società del settore faranno bene a tenere in considerazione questi provvedimenti e a rivedere la loro azione, ove difforme, in modo da rispettare effettivamente la normativa GDPR.

Si tratterà non solamente di adattare le piattaforme alla raccolta o negazione del consenso ma anche di escludere la profilazione ai fini della pubblicità personalizzata per quegli utenti che decideranno di negare il consenso. 

Si tratterà poi ulteriormente di valutare la modifica del proprio modello di business: molte piattaforme fanno affidamento sugli introiti che dà loro la possibilità di personalizzare gli annunci pubblicitari indirizzati agli utenti. Gli inserzionisti, infatti, sono disposti a versare un compenso maggiore affinché i propri annunci siano indirizzati agli utenti che rientrano nel loro target e meno per una diffusione dei loro messaggi in maniera indistinta a tutti gli utilizzatori della piattaforma.

Meta è già pronta a impugnare la decisione ma è il caso di farsi trovare preparati agli scenari che sin d’ora si prospettano.

Foto di Dayne Topkin.
Il contenuto di questo documento ha mero scopo informativo e non costituisce parere professionale sul tema trattato. 
Per ulteriori informazioni ed approfondimenti contattateci all’indirizzo studioATtommasinimartinelli.it.
È consentita la diffusione parziale purché ne sia citata la fonte.

Share on linkedin
LinkedIn
Share on email
Email

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *