LinkedIn ha violato il GDPReffettuando un trattamento dei dati degli utenti per finalità di analisi comportamentale e pubblicità mirata, senza aver prima ottenuto un consenso libero, informato, specifico e univoco da parte degli interessati: è questa la motivazione con cui la Commissione irlandese per la protezione dei dati (DPC) ha sanzionato LinkedIn Ireland Unlimited Company (LinkedIn) per un totale di 310 milioni di euro.
Inoltre, la stessa Autorità, nel medesimo provvedimento, ha esercitato i propri poteri correttivi, ammonendo la società ed imponendo un’ingiunzione a LinkedIn di conformarsi alla normativa europea sulla protezione dei dati personali.
L’indagine è stata avviata dalla DPC, nel suo ruolo di autorità di vigilanza principale per LinkedIn e agendo per conto dell’Unione europea, a seguito di una denuncia presentata inizialmente all’Autorità francese per la protezione dei dati dall’organizzazione no-profit francese La Quadrature Du Net e dopo presentato una bozza di decisione al meccanismo di cooperazione del GDPR nel luglio 2024, come richiesto dall’articolo 60 del GDPR.
I dati personali in questione comprendevano dati forniti direttamente a LinkedIn dai suoi membri (dati di prima parte) e dati ottenuti tramite i partner di terze parti relativi ai suoi membri (dati di terzi).
Il Vice Commissario della DPC, Graham Doyle, ha commentato: “La legalità del trattamento è un aspetto fondamentale della legge sulla protezione dei dati e il trattamento dei dati personali senza una base legale appropriata è una violazione chiara e grave del diritto fondamentale di un interessato alla protezione dei dati”.
Indice degli argomenti
Sanzione a LinkedIn: le violazioni contestate
La decisione del Garante irlandese si è focalizzata sulla base giuridica del trattamento per finalità di analisi comportamentale e pubblicità mirata, affermando nuovamente che l’unica valida rimane quella del consenso dell’interessato.
Inoltre, i diritti degli interessati sono stati considerati prevalenti rispetto al legittimo interesse invocato dalla società, e l’esecuzione del contratto di licenza tra la piattaforma e l’utente è stata ritenuta incompatibile con tali finalità.
E, di conseguenza, sono state ritenute non valide le informative rilasciate ai sensi degli artt. 13 e 14 GDPR.
La posizione dell’EDPB
Sull’utilizzo del legittimo interesse per finalità di pubblicità personalizzata è necessario effettuare un richiamo alle recenti linee guida dell’EDPB, che confermano la correttezza giuridica della decisione del Garante Irlandese.
Tali linee guida riportano tra gli esempi proprio il caso di cui ci occupiamo, affermando la necessità del consenso per il perseguimento di scopi di pubblicità personalizzata e nonostante la gratuità del servizio: “Un social network online è finanziato attraverso la pubblicità online, che è personalizzata per i singoli utenti del social network in base, tra l’altro, al loro comportamento di consumo, interessi, potere d’acquisto e situazione personale. Questa pubblicità è resa possibile, dal punto di vista tecnico, dalla produzione automatizzata di profili dettagliati degli utenti della rete. A tal fine, oltre ai dati forniti dagli utenti direttamente al momento della registrazione al servizio online, vengono raccolti anche altri dati relativi agli utenti e ai dispositivi, sia all’interno che all’esterno di quel social network, e collegati al loro account. La visione aggregata dei dati consente di trarre conclusioni dettagliate sulle preferenze e sugli interessi di quegli utenti.
Nonostante il fatto che i servizi del social network online siano gratuiti, l’utente di quella rete non può ragionevolmente aspettarsi che l’operatore del social network tratti i dati personali di quell’utente, senza il suo consenso, per scopi di pubblicità personalizzata. Inoltre, gli utenti del social network online non possono ragionevolmente aspettarsi che tali dati vengano trattati neppure per altri scopi, come il miglioramento del prodotto”.
Il legittimo interesse: case-by-case assessment
In tali linee guida si afferma, infatti, che per la Corte di Giustizia dell’Unione Europea (CGUE) la pubblicità personalizzata potrebbe essere considerata una forma di marketing diretto.
Inoltre, la CGUE ha interpretato il concetto di comunicazione per scopi di marketing diretto nell’ambito della Direttiva ePrivacy, che è strettamente collegata al GDPR e regola l’invio di comunicazioni di marketing diretto.
In particolare, la CGUE ha stabilito che, per valutare se una comunicazione è effettuata per scopi di marketing diretto, è necessario accertare se tale comunicazione persegua uno scopo commerciale e sia indirizzata direttamente e individualmente a un consumatore.
A questo proposito, la CGUE ha ritenuto irrilevante se la pubblicità in questione sia indirizzata a un destinatario predefinito e identificato individualmente o se venga inviata in modo massiccio e casuale a più destinatari.
Ciò che conta è che ci sia una comunicazione per uno scopo commerciale, che raggiunge, direttamente e individualmente, un consumatore.
Il fatto che il considerando 47 del GDPR affermi che il trattamento dei dati personali per scopi di marketing diretto possa essere effettuato per soddisfare un interesse legittimo non implica che il marketing diretto costituisca sempre un interesse legittimo, né che sia automaticamente possibile fare affidamento sull’Articolo 6(1)(f) del GDPR per svolgere tutte le attività di marketing diretto.
Per alcuni casi di marketing diretto, potrebbe essere necessario un diverso fondamento giuridico – come il consenso.
Il ricorso all’interesse legittimo richiede che siano soddisfatte tre condizioni cumulative: in primo luogo, la perseguimento di un interesse legittimo da parte del titolare del trattamento o di un terzo; in secondo luogo, la necessità di trattare i dati personali per le finalità degli interessi legittimi perseguiti; e, in terzo luogo, che gli interessi o le libertà e i diritti fondamentali della persona interessata dal trattamento non prevalgano sull’interesse legittimo del titolare del trattamento o di un terzo.
Ne consegue che il trattamento dei dati personali per scopi di marketing diretto non può basarsi sull’Articolo 6(1)(f) del GDPR se tali criteri non sono soddisfatti. Ad esempio, non si può fare affidamento sull’Articolo 6(1)(f) del GDPR se il marketing diretto in questione è illecito, o se gli interessi degli interessati superano quelli del titolare, tenendo conto del fatto che, ad esempio, non possono ragionevolmente aspettarsi che i loro dati vengano utilizzati per scopi di marketing diretto.
L’EDPB suggerisce il ricorso ad un approccio case-by-case, una valutazione caso per caso, per verificare se il trattamento previsto soddisfa le tre condizioni cumulative e considerando il livello di invasività delle pratiche di marketing quale fattore particolarmente rilevante da tenere in considerazione nel test di bilanciamento.
Conclusioni
Questa decisione rappresenta un precedente importante nel panorama della protezione dei dati in Europa, sottolineando l’importanza del consenso e della trasparenza nei confronti degli interessati, specialmente per quelle società che operano su scala globale come LinkedIn.
E tale decisione evidenzia come le autorità di protezione dei dati siano pronte a prendere misure rigorose per garantire che le aziende rispettino i diritti degli utenti.
In un’epoca in cui la raccolta e l’analisi dei dati personali sono in continua espansione, l’adesione alle normative è fondamentale in un equilibrio precario tra l’uso dei dati per attività commerciali, come il miglioramento dei servizi e la pubblicità mirata, ed un trattamento equo e trasparente.
