Come riporta il Wall Street Journal, l'European Data Protection Board ha stabilito che Meta ha profilato illegalmente gli utenti per la pubblicità mirata sulle sue piattaforme. La decisione può essere impugnata, ma è improbabile che venga ribaltata. Al momento non sono disponibili informazioni sulle sanzioni, ma data la quantità di dati personali coinvolti, potremmo assistere a una multa salata.
La decisione deriva da un reclamo presentato nel 2018 dalla ONG per la privacy noyb e ribalta una precedente sentenza dell'autorità irlandese per la protezione dei dati (DPC). Sebbene la decisione non sia ancora stata pubblicata, il quadro è abbastanza chiaro poiché alcune informazioni sul reclamo sono disponibili pubblicamente da molto tempo.
In questo blog spiegheremo l'accordo con Meta e perché è una conseguenza di un problema più ampio con il modello di business alla base dei social media.
Immergiamoci!
La decisione
Per essere chiari, l'EDPB non ha affermato che la pubblicità mirata sulle piattaforme di social media sia di per sé illegale. Il Comitato ha ritenuto che Meta stesse profilando gli utenti in modo illegale perché abusava di una base giuridica specifica ai sensi del GDPR: l'esecuzione di un contratto. Questo potrebbe sembrare un dettaglio di poco conto, ma non lo è. Analizziamo la questione.
Come abbiamo spiegato sul nostro blog, ai sensi del GDPR, ogni responsabile del trattamento dei dati ha bisogno di una base giuridica per il trattamento dei dati: una giustificazione come il consenso dell'interessato o un obbligo legale. Il GDPR comprende un elenco chiuso di sei basi giuridiche, ciascuna con i propri requisiti.
Dall'entrata in vigore del GDPR nel 2018, Meta ha utilizzato l 'esecuzione di un contratto come base giuridica per servire agli utenti annunci pubblicitari personalizzati basati sulla loro attività online. In questo modo, Meta sosteneva essenzialmente che la pubblicità personalizzata è una parte essenziale del contratto con l'utente (ovvero i termini di servizio di Facebook e Instagram). Noyb ha sostenuto che Meta stava abusando del fondamento giuridico del contratto e ha intrapreso un'azione legale nel 2018, presentando la denuncia che ha portato alla decisione dell'EDPB.
La sentenza in sé non sorprende affatto. La giurisprudenza europea ha da tempo chiarito che il fondamento giuridico del contratto copre solo le attività di trattamento strettamente necessarie all'esecuzione del contratto. Questo non è ovviamente il caso della pubblicità mirata. Inoltre, lo stesso EDPB ha chiarito nelle sue linee guida che il contratto non è una base giuridica adeguata per la pubblicità comportamentale online.
Ma perché Meta non potrebbe affidarsi a una base giuridica diversa? La questione è un po' complicata, per cui in questa sede ci limiteremo a essere brevi e chiari e a fornire ulteriori dettagli nelle note. In poche parole, non basandosi sul contratto Meta sarebbe stata costretta a raccogliere il consenso dell'utente. Si tratta di una proposta complicata, perché un utente potrebbe semplicemente rifiutare la pubblicità mirata o scegliere di non farla. Poiché gli utenti di Internet sono sempre più attenti alla privacy, questo potrebbe avere un forte impatto sulle entrate pubblicitarie dell'azienda.
(Nota: Meta non si basa ancora sul consenso per la profilazione. Per ulteriori dettagli, consultare gli aggiornamenti riportati di seguito)
In conclusione, Meta ha aggirato le regole e l'ha fatta franca per quattro anni.
I dati non sono una merce
Meta non è l'unica grande azienda tecnologica alle prese con il GDPR. Per esempio, non molto tempo fa TikTok ha avuto problemi con la DPA italiana a causa delle basi legali. Anche Google Analytics sta avendo la sua parte di problemi ed è stato praticamente bandito in diversi Stati membri, per motivi diversi (ne abbiamo scritto sul nostro blog).
Il nocciolo della questione è che il GDPR (e il quadro normativo dell'UE in materia di protezione dei dati in generale) considera la privacy e la protezione dei dati come diritti fondamentali, mentre i social network (e molte altre aziende tecnologiche) incarnano un modello aziendale incentrato sulla sorveglianza che tratta i dati personali come una merce.
Queste prospettive sono radicalmente incompatibili. Da un punto di vista puramente economico, la profilazione è in realtà necessaria all'esecuzione del contratto perché è una parte cruciale del modello di business di Meta: se l'azienda non potesse trarre profitto dal contratto, non sarebbe in grado di fornire il servizio, né avrebbe alcun incentivo a farlo. Ma secondo il GDPR, la privacy e la protezione dei dati sono diritti non negoziabili. Il trattamento dei dati personali non può essere giustificato solo perché fa parte di un modello commerciale, per quanto diffuso e di successo.
Alcuni critici del GDPR sostengono che il regolamento sia impraticabile e non sia in linea con un'economia basata sui dati, ma non è così. Le istituzioni europee sono ben consapevoli del ruolo cruciale dei dati. Per questo motivo il GDPR cerca di trovare un equilibrio tra i diritti di protezione dei dati e altri diritti fondamentali, tra cui la libertà d'impresa.
Ma il GDPR traccia anche una linea di demarcazione tra un'economia guidata dai dati e un'economia di sorveglianza, e questa linea è stata giustamente applicata contro Meta.
Aggiornamenti
Ci sono stati diversi aggiornamenti da quando abbiamo pubblicato questo blog:
- il DPC ha emesso multe per un totale di 390 milioni di euro per le violazioni del GDPR da parte di Facebook e Instagram
- l'EDPB ha risolto un caso simile che riguardava Whatsapp, di proprietà di Meta. Il DPC ha inflitto a Whatsapp una multa di soli 5 milioni di euro
- l'EDPB ha ordinato al DPC di indagare ulteriormente sulle operazioni di trattamento dei dati di Meta. Il DPC ritiene che l'EDBP non abbia l'autorità per farlo e ha annunciato un'azione legale contro l'ordine presso la Corte di Giustizia dell'UE.
- il Tribunale distrettuale di Amsterdam ha ritenuto illegale la profilazione mirata di Meta in una recente class action(ne abbiamo parlato in dettaglio)
- A partire dal 5 aprile, Meta si basa sulla base giuridica del legittimo interesse per la pubblicità mirata. noyb non è soddisfatta della nuova base giuridica (giustamente, crediamo) e intende contestarla.
390 milioni di euro possono sembrare tanti, ma in realtà non lo sono. Le componenti più importanti delle multe riguardano la mancanza di trasparenza. La mancanza di una base legale, che è probabilmente il problema principale, è costata a Meta un totale di 120 milioni di euro tra le violazioni di Facebook e Instagram. Per fare un confronto, la DPA belga ha multato Amazon per 746 milioni di euro per violazioni simili!
È difficile dire come si svolgerà l'azione legale del DPC contro l'EDPB, ma sicuramente aumenterà il già allarmante attrito tra il DPC e le sue controparti europee.
Conclusioni
La decisione dell'EDPB dimostra ancora una volta che il GDPR può essere uno strumento efficace per far rispettare la privacy contro i modelli aziendali basati sulla sorveglianza. Ma l'applicazione è solo una parte del quadro. I consumatori sono sempre più consapevoli delle questioni legate alla privacy e le aziende iniziano a capire il valore di una buona governance dei dati rispettosa della privacy.
Il passaggio a strumenti che tengano conto della privacy può svolgere un ruolo importante nella costruzione di un Internet senza sorveglianza. Con Simple Analytics stiamo cercando di facilitare questo processo. Crediamo che sia possibile ottenere informazioni dalla propria analisi web senza la necessità di raccogliere informazioni personali o installare cookie nei computer dei visitatori.
Crediamo in un web indipendente e amichevole nei confronti dei visitatori. Se tutto questo vi sembra interessante, non esitate a provarci!