L’organizzazione senza scopo di lucro NOYB (acronimo di None Of Your Business) ha fatto trapelare la bozza della decisione che la Commissione per la protezione dei dati irlandese, in qualità di Autorità capofila, ha inoltrato alle altre Autorità garanti europee, relativa alla violazione, da parte di Facebook, degli obblighi previsti normativa privacy europea.
Spiccano 36 milioni di euro di sanzione per poca trasparenza, ma la questione è più complessa di quanto sembri.
A seguito della condivisione di tale documento, si procederà alla stesura della decisione finale. Ma la bozza resa nota da NOYB non ha mancato di suscitare molto scalpore, specialmente per i toni “soft” delle contestazioni mosse al colosso tecnologico.
Nel seguito, una breve disamina dei principali punti critici rilevati da NOYB in relazione alla bozza di decisione del Garante privacy irlandese.
Indice degli argomenti
L’origine del provvedimento
Come riportato nella bozza di decisione, la vicenda trae origine dalla modifica, da parte di Facebook, dei Termini e delle Condizioni di servizio alla data di entrata in vigore del GDPR.
Per continuare ad accedere alla piattaforma Facebook, tutti gli utenti erano tenuti ad accettare i Termini di servizio aggiornati prima del 25 maggio 2018. Detti Termini di servizio venivano portati all’attenzione degli utenti di Facebook tramite una serie di avvisi informativi e opzioni sulla piattaforma Facebook, denominati “flusso di coinvolgimento” o “flusso di utenti”, progettati per aiutare gli utenti a decidere se accettare o meno l’aggiornamento dei termini di servizi.
L’opzione di accettare i “termini” veniva presentata agli utenti nella fase finale del “flusso di coinvolgimento”, che conteneva anche collegamenti ipertestuali incorporati al testo completo degli stessi, dell’Informativa sul trattamento dei dati personali e della Policy sui cookie.
Agli utenti che decidevano di accettare l’aggiornamento dei termini di servizio veniva poi data la possibilità, sempre attraverso il “flusso di coinvolgimento”, “di acconsentire o meno a una serie di attività specifiche di trattamento dei dati, incluso l’uso del riconoscimento facciale. La fornitura del consenso per tale trattamento non veniva presentata come prerequisito per continuare a utilizzare il servizio. In altre parole, si trattava di scelte che l’utente poteva fare al di là della decisione di iscriversi al servizio, e gli utenti sono liberi di utilizzare il servizio senza fornire il consenso a questo trattamento”.
Tuttavia, secondo quanto statuito dal ricorrente, Max Schrems, si concedeva agli utenti soltanto una scelta di tipo “binario”: accettare i Termini e le Condizioni di servizio significava accettare anche la Policy sul trattamento dei dati personali; in caso contrario, l’unica alternativa era rimuovere l’account.
Il consenso, pertanto, veniva “forzatamente richiesto” all’utente, senza dare al medesimo la possibilità di usufruire del servizio senza fornire il consenso anche a trattamenti di dati ultronei a quelli minimi richiesti per usufruire delle funzionalità del social.
Schrems lamentava, altresì, la violazione degli obblighi di trasparenza, non essendo in alcun modo chiaro quali fossero le basi giuridiche che legittimavano le operazioni di trattamento dei dati personali, ai sensi dell’art. 6 GDPR.
Il contenuto della decisione e la proposta di sanzione
A fronte di tali accuse, Facebook ha risposto affermando che il trattamento dei dati personali non sia da ritenersi fondato sul consenso, come ritenuto dal ricorrente, bensì debba essere rinvenuto nell’esecuzione di un contratto. Nello specifico, il trattamento dei dati personali degli utenti sarebbe, dunque, unicamente connesso all’esecuzione degli obblighi contrattualmente previsti nei confronti degli utenti e, dunque, nell’erogazione del servizio.
In tal senso, non potrebbe ritenersi estorto il consenso dell’utente, non potendo questo assumersi come base giuridica del trattamento.
Nella bozza di decisione, la Commissione Irlandese per la protezione dei dati decide di sposare tale interpretazione, affermando che “non vi è alcun obbligo per Facebook di cercare di fare affidamento esclusivamente sul consenso ai fini della legittimazione del trattamento dei dati personali quando offre un contratto a un utente che alcuni utenti potrebbero valutare come riguardante principalmente il trattamento di dati personali. Né Facebook ha preteso di fare affidamento sul consenso ai sensi del GDPR”.
La Commissione, date queste premesse, eleva comunque nei confronti di Facebook una multa di 36 milioni di euro, per riscontrata violazione dei requisiti di trasparenza previsti dal GDPR, avendo fornito agli utenti informazioni insufficienti in merito ai termini di servizio dell’azienda. Anche l’importo appare agli esperti non coerente con i fini perseguiti dalle Autorità: in base ai soli guadagni del secondo trimestre (29 miliardi di dollari), Facebook potrebbe coprire l’importo di tale sanzione in poco più di due ore e mezza.
L’indagine privacy su Facebook in Irlanda può continuare, ecco perché è una decisione importante
Le critiche mosse all’Authority Irlandese
Il contenuto della bozza di decisione è stato duramente criticato da Max Schrems, attivista responsabile dell’avvio delle indagini e fondatore della ONG NOYB. Lo stesso ha affermato che “è dolorosamente ovvio che Facebook cerca semplicemente di aggirare le chiare regole del GDPR rietichettando l’accordo sull’uso dei dati come un ‘contratto’. Se questo fosse accettato, qualsiasi azienda potrebbe semplicemente scrivere il trattamento dei dati in un contratto e quindi legittimare qualsiasi utilizzo dei dati dei clienti senza consenso”.
Secondo Schrems, la bozza di decisione dell’Autorità irlandese è contraria alle linee guida emanate sul tema dal Comitato Europeo per la protezione dei dati (anche noto come EDPB), anche a seguito delle pronunce rese dallo stesso nella sua qualità di organo di coordinamento.
Nello specifico, ad essere violate sarebbero le Guidelines 02/2019 “on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects”, all’interno delle quali sarebbero chiaramente delineati i presupposti sulla base dei quali poter ritenere che il trattamento dei dati personali sia effettivamente necessario per l’esecuzione di un contratto, dovendosi, contrariamente, basare il trattamento medesimo sul consenso dell’interessato.
A tal riguardo, si legge nelle linee guida come: “In linea con i loro obblighi di trasparenza, i titolari del trattamento dovrebbero assicurarsi di evitare qualsiasi confusione su quale sia la base giuridica applicabile. Ciò è particolarmente rilevante quando la base giuridica appropriata è l’articolo 6, paragrafo 1, lettera b), e gli interessati stipulano un contratto relativo ai servizi online. A seconda delle circostanze, gli interessati possono erroneamente avere l’impressione di dare il loro consenso in linea con l’articolo 6, paragrafo 1, lettera a), al momento della firma di un contratto o dell’accettazione dei termini di servizio. Allo stesso tempo, un controllore potrebbe erroneamente presumere che la firma di un contratto corrisponda a un consenso ai sensi dell’articolo 6, paragrafo 1, lettera a). Questi sono concetti completamente diversi. È importante distinguere tra l’accettazione delle condizioni di servizio per concludere un contratto e la comunicazione del consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), in quanto tali nozioni hanno requisiti e conseguenze giuridiche diversi. […] l’articolo 6, paragrafo 1, lettera b), non riguarderà il trattamento utile ma non oggettivamente necessario per l’esecuzione della prestazione contrattuale o per l’assunzione di misure precontrattuali pertinenti su richiesta dell’interessato, anche se necessario per altri scopi commerciali del responsabile del trattamento”.
Senza dubbio trattasi di profili che, in una Società data-driven come Facebook, dovranno ampiamente essere analizzati dalle Autorità Garanti e dall’EDPB nella presente fase di revisione della bozza di decisione.
“Non è né innovativo né intelligente sostenere che un accordo è qualcosa che non è per aggirare la legge”, continua Schrems “Dall’epoca romana, i tribunali non hanno accettato tale ‘rietichettatura’ degli accordi. Non si possono aggirare le leggi sulla droga semplicemente scrivendo ‘polvere bianca’ su una fattura, quando si vende chiaramente cocaina. Solo il DPC irlandese sembra cadere in questo trucco”.
NOYB rileva, inoltre, come l’interpretazione resa da Facebook e dal Garante irlandese non sia coerente con quanto percepito dall’utenza. Un’indagine commissionata dall’organizzazione all’Istituto Gallup, ha rivelato che “Su 1.000 utenti di Facebook, solo l’1,6% ha visto un contratto sulla pubblicità (come sostenuto da Facebook), il 64% ha ritenuto che l’accordo fosse un “consenso”. Il resto non era sicuro del significato legale dell’accordo”.
Critiche sono mosse da Schrems anche sulle modalità mediante le quali l’Autorità Irlandese starebbe affrontando il caso: “Abbiamo casi davanti a molte autorità, ma il DPC non sta nemmeno lontanamente gestendo una procedura equa. I documenti sono trattenuti, le udienze sono negate e le argomentazioni e i fatti presentati [dal ricorrente, n.d.a.] non sono semplicemente riflessi nella decisione. La decisione stessa è lunga, ma la maggior parte delle sezioni finisce semplicemente con un ‘parere’ del DPC, non con una valutazione obiettiva della legge”.
Il meccanismo di risoluzione delle controversie
Non è la prima volta che il Garante Irlandese viene accusato di assumere un atteggiamento troppo “timido” all’applicazione del GDPR nei confronti delle Big Tech: tant’è che la stessa Autorità tedesca aveva chiesto all’EDPB di intervenire per scongiurare il rischio che potesse essere elevata nei confronti di Facebook una sanzione eccessivamente ridotta, o non conforme alle violazioni riscontrate.
Essendo la bozza condivisa con le altre Autorità, tuttavia, non si esclude che il suo contenuto possa drasticamente mutare rispetto a quello attualmente reso noto. Per tale ragione, pare frettoloso giungere a rapide conclusioni in una fase ancora interna e non conclusiva del procedimento. In base al meccanismo di risoluzione delle controversie previsto dal GDPR, infatti, le altre Autorità interessate saranno in grado di apportare modifiche anche significative a quanto attualmente affermato dalla Commissione irlandese.
Anche l’EPDB esaminerà il progetto di decisione prima della sua pubblicazione in via definitiva, e appare indubbio che saranno sollevate delle contestazioni in merito alle conclusioni raggiunte dal Garante irlandese.
Un esempio dell’efficacia di tale meccanismo è stato riscontrato proprio nel caso WhatsApp, che ha visto l’erogazione, da parte del Garante Irlandese, di una multa di ben 225 milioni di euro, sempre per violazione degli obblighi di trasparenza in merito alle basi giuridiche legittimanti il trattamento dei dati personali, a seguito dell’intervento degli altri garanti.
“La nostra speranza è nelle altre autorità europee”, conclude Schrems. “Se non prendono provvedimenti, le aziende possono semplicemente spostare il consenso nei termini e quindi bypassare il GDPR per sempre”
Nel caso di specie, come correttamente riportato da EURACTIV, “la principale fonte di reddito di Facebook è la pubblicità mirata, che consiste nella raccolta e nell’elaborazione di grandi quantità di dati. Pertanto, una decisione negativa sull’approccio contrattuale avrebbe conseguenze disastrose per il suo modello di business”.
L’illegittimo trattamento dei dati da parte di Facebook è, allo stato, anche oggetto di un procedimento giudiziario avanti la Corte di Giustizia dell’Unione Europea, la quale potrebbe giungere a conclusioni differenti da quelle della Commissione irlandesi.
