La Commissione per la protezione dei dati (DPC), Autorità Garante Irlandese, ha annunciato nella giornata di ieri di aver concluso due indagini relative alle operazioni di trattamento dati condotte da Meta Platforms Ireland Limited, la holding fondata da Mark Zuckerberg cui fanno capo, tra le altre, le piattaforme Facebook e Instagram.
Proprio in relazione a dette piattaforme, l’Autorità irlandese ha riscontrato la violazione di una serie di norme del GDPR, compreso l’art. 6, comminando, per dette violazioni, due sanzioni parallele dell’importo di 210 milioni di euro (per quanto riguarda le violazioni riscontrate nella piattaforma Facebook) e di 180 milioni di euro (per quanto riguarda, invece, le violazioni riscontrate nella piattaforma Instagram), per un ammontare complessivo di 390 milioni di euro.
L’aspetto assolutamente rilevante della decisione riguarda la non utilizzabilità della base giuridica contrattuale al fine di perseguire finalità di personalizzazione dei servizi pubblicità e di advertising comportamentale, sulla scorta di quanto già espresso dall’EDPB. È già stata annunciata da Meta, tuttavia, la volontà di proporre ricorso avverso la decisione.
Pubblicità personalizzata, possibile stop a Meta dall’EDPB e sanzione miliardaria
Indice degli argomenti
Il caso
La sanzione di cui si discute giunge a conclusione, come anticipato in premessa, di due indagini avviate nel 2018, a seguito dell’entrata in vigore del GDPR, sulla scorta di due reclami presentati il 25 maggio dello stesso anno da un interessato austriaco (in relazione ai trattamenti svolti da Facebook) e da un interessato belga (in relazione, invece, ai trattamenti posti in essere da Instagram).
Come indicato dalla DPC nel proprio comunicato stampa prima del 25 maggio 2018, Meta aveva provveduto a modificare i Termini di servizio delle due piattaforme, segnalando di star modificando la base giuridica che legittimava il trattamento dei dati personali degli utenti, al fine di renderla conforme a quanto previsto dall’art. 6 GDPR, che afferma che il trattamento dei dati personali è lecito solo se conforme a una delle 6 basi giuridiche individuate.
“Avendo precedentemente fatto affidamento sul consenso degli utenti al trattamento dei propri dati personali nel contesto della fornitura dei servizi di Facebook e Instagram (inclusa la pubblicità comportamentale)”, si legge nel comunicato, “Meta Ireland ha ora cercato di fare affidamento sulla base giuridica del “contratto” per la maggior parte (ma non tutte) delle sue operazioni di trattamento. Se desideravano continuare ad avere accesso ai servizi Facebook e Instagram dopo l’introduzione del GDPR, agli utenti esistenti (e nuovi) è stato chiesto di fare clic su “Accetto” per indicare la loro accettazione dei Termini di servizio aggiornati. (I servizi non sarebbero accessibili se gli utenti si rifiutassero di farlo)”.
In poche parole, Meta affermava che l’accettazione dei Termini di Servizio aggiornati avrebbe potuto essere assimilata alla conclusione di un contratto con l’utente e che, dunque, i trattamenti connessi alla fornitura dei servizi delle piattaforme, ivi inclusa la fornitura di servizi personalizzati e della pubblicità comportamentale, fossero necessari all’esecuzione di detto contratto, e dunque rientranti nella base giuridica “contrattuale” previsti all’art. 6 par. 1, lett. b) GDPR.
Le indagini condotte dall’Autorità
Sulla scorta dei reclami avanzati dagli interessati, l’Autorità Garante ha dunque provveduto ad aprire due indagini parallele, nel corso delle quali si è accertata la violazione delle disposizioni contenute nel GDPR.
In particolare, l’Autorità rilevava, nell’iniziale bozza di decisione:
- la violazione degli obblighi previsti dal GDPR in materia di trasparenza, in quanto le informazioni relative alla base giuridica prescelta da Meta non erano chiaramente delineate agli utenti, con il risultato che questi ultimi “non avevano sufficiente chiarezza su quali operazioni di trattamento fossero in corso sui loro dati personali, per quale/i scopo/i e con riferimento a quale delle sei basi giuridiche individuate nell’articolo 6 del GDPR”. Il DPC ha dunque “ritenuto che la mancanza di trasparenza su tali questioni fondamentali violasse gli articoli 12 e 13 (1) (c) del GDPR” e costituisse altresì una violazione “dell’articolo 5, paragrafo 1, lettera a), che sancisce il principio secondo cui i dati personali degli utenti devono essere trattati in modo lecito, equo e trasparente”;
- l’assenza di un obbligo, per Meta, di fare affidamento sul consenso, non precludendo il GDPR il ricorso alla base giuridica del contratto per la fornitura dei servizi personalizzati.
Dette bozze di decisione sono state poi sottoposte, secondo quanto previsto dal GDPR, a revisione da parte delle autorità di regolamentazione paritetiche, o c.d. Autorità di vigilanza interessate (CSA). Dette autorità concordavano in linea di massima, secondo quanto riferisce il DPC, con quanto concluso dal Garante irlandese, ma ritenevano che le sanzioni proposte dovessero essere aumentate al fine di renderle efficaci ed effettivamente dissuasive.
Tuttavia, dieci delle 47 autorità interessate hanno sollevato delle obiezioni in relazione ad altri elementi delle bozze di decisione: “in particolare, questo sottoinsieme di CSA ha ritenuto che Meta Ireland non dovrebbe essere autorizzata a fare affidamento sulla base giuridica del contratto sulla base del fatto che la fornitura di pubblicità personalizzata (come parte della più ampia suite di servizi personalizzati offerti come parte di Facebook e servizi di Instagram) non si può dire che sia necessaria per eseguire gli elementi fondamentali di quella che è stata definita una forma di contratto molto più limitata”.
Al contrario, il DPC sosteneva che i servizi personalizzati costituivano una realtà centrale per l’accordo concluso tra gli utenti e la piattaforma, e formassero parte del contratto concluso al momento dell’accettazione dei Termini di servizio.
Sul punto, non essendo possibile raggiungere un accordo tra il DPC e le altre autorità, è stato avviato il meccanismo di cooperazione e coerenza previsto al Capo VII del GDPR innanzi all’EDPB (European Data Protection Board), volto a dirimere i punti controversi dell’indagine.
L’EDPB, interessato della questione, con determinazione del 5 dicembre 2022 respingeva parte delle obiezioni sollevate dalle CSA, accogliendo la posizione del DPC in relazione alla violazione, da parte di Meta, degli obblighi di trasparenza previsti dal GDPR e riscontrando anche la violazione del principio di “equità”. L’EDPB concordava, poi, con la richiesta delle CSA di incrementare l’importo delle sanzioni.
In relazione alla questione della “base giuridica”, inoltre, l’EDPB riteneva, contrariamente a quanto invece sostenuto dal DPC, “che, in linea di principio, Meta Ireland non fosse autorizzata a invocare la base giuridica del “contratto” quale una base legale per il suo trattamento dei dati personali ai fini della pubblicità comportamentale”.
La decisione del Garante irlandese
In esito a quanto sin qui esposto, il Garante Irlandese provvedeva dunque ad adottare, il 31 dicembre 2023, due decisioni finali, il cui contenuto riflette quanto affermato nelle determinazioni vincolanti dell’EDPB. Pertanto, l’Autorità garante irlandese ha concluso che Meta “non ha il diritto di fare affidamento sulla base giuridica del “contratto” in relazione alla fornitura di pubblicità comportamentale come parte dei suoi servizi Facebook e Instagram, e che il suo trattamento dei dati degli utenti fino ad oggi, nel presunto affidamento alla base giuridica del “contratto”, costituisce una violazione dell’articolo 6 del GDPR”.
E’ dunque stato sancito l’importante principio secondo il quale l’esecuzione di un contratto non può rappresentare una base giuridica legittima per il trattamento dei dati allo scopo di rendere servizi di advertising personalizzato, dovendo essere previsto un meccanismo di “opt-in” per l’utente, secondo modalità che siano facilmente comprensibili e trasparenti.
Sul profilo sanzionatorio, alla luce dell’ulteriore violazione riscontrata del GDPR, il DPC ha dunque incrementato l’ammontare delle sanzioni amministrative pecuniarie da irrogarsi nei confronti di Meta, per il citato importo di 210 milioni in riferimento a Facebook e di 180 milioni in riferimento ad Instagram. L’ammontare delle sanzioni pecuniarie riflette anche le opinioni dell’EDPB in relazione alle violazioni dei suoi obblighi da parte di Meta Ireland in relazione al trattamento equo e trasparente dei dati personali degli utenti.
Resta fermo l’obbligo, per Meta, di adeguarsi alla decisione del DPC entro il termine di 3 mesi.
Unitamente alle citate sanzioni, l’EDPB ha anche ordinato al DPC di avviare una nuova indagine, che riguardi tutte le operazioni di trattamento dei dati personali condotte da Facebook e Instagram, al fine di esaminare se nel contesto di tali operazioni sono trattate anche categorie speciali di dati personali. Detto ordine, tuttavia, non è stato condiviso dal DPC, il quale afferma di ritenere opportuno “proporre ricorso per annullamento dinanzi alla Corte di giustizia dell’UE al fine di ottenere l’annullamento delle ingiunzioni dell’EDPB”, non essendo previsti dal GDPR poteri di questa natura in capo all’autorità europea.
I commenti di Meta e NOYB
In una nota resa pubblica da Meta a commento della decisione dell’Autorità Irlandese, la società si è detta delusa, e ha affermato di voler procedere ad un’impugnativa delle decisioni medesime relativa sia al merito (ossia alla applicabilità della base giuridica contrattuale) sia all’importo della multa irrogata.
Meta ha osservato, in particolare, come il dibattito sulle basi giuridiche sia ancora oggi molto acceso, e che per tale ragione le aziende del settore si trovano ad affrontare una mancanza di certezza normativa, con conseguente assunzione di rischi elevati nel caso in cui, come nell’ipotesi di cui si discute, l’autorità garante non sposi l’interpretazione della norma resa dal titolare.
Non è mancato anche il commento di Max Schrems, attivista per la protezione dei dati personali e fondatore dell’associazione NOYB, il quale ha criticato duramente l’operato dell’autorità irlandese e si è dichiarato soddisfatto della posizione assunta dalle altre autorità europee. Nel comunicato pubblicato sul proprio sito, Schrems ha affermato che “questo caso riguarda una semplice questione legale. Meta afferma che il ‘bypass’ è avvenuto con la benedizione del DPC. Per anni il DPC ha trascinato la procedura e ha insistito sul fatto che Meta potesse aggirare il GDPR, ma ora è stato annullato dalle altre autorità dell’UE. Nel complesso è la quarta volta consecutiva che il DPC irlandese viene annullato. […] Essere ribaltato dall’EDPB è un duro colpo per il DPC, ora sembra che cerchino di influenzare la percezione pubblica di questo caso. In dieci anni di contenzioso non ho mai visto una decisione notificata solo a una parte, ma non l’altro. Il DPC gioca un gioco di pubbliche relazioni molto diabolico. Non permettendo a noyb o al pubblico di leggere la decisione, cerca di modellare la narrazione della decisione insieme a Meta. Sembra che la collaborazione tra Meta e il regolatore irlandese sia viva e vegeta, nonostante sia stata annullata dall’EDPB“. Schrems afferma, altresì, che “Questo è un duro colpo per i profitti di Meta nell’UE. Ora è necessario chiedere alle persone se vogliono che i loro dati vengano utilizzati per gli annunci o meno. Devono avere un’opzione ‘sì o no’ e possono cambiare idea in qualsiasi momento. La decisione garantisce inoltre parità di condizioni con altri inserzionisti che devono anch’essi ottenere il consenso all’attivazione”.
Secondo NOYB, inoltre, le possibilità che un eventuale ricorso avanzato da Meta possa essere accolto sono oggi “minime”, essendo intervenuta sul punto la decisione vincolante dell’EDPB.
