Le multe GDPR più interessanti

Image of Carlo Cilento

Pubblicato il 14 ott 2024 e modificato il 2 apr 2025 da Carlo Cilento

Avvertenza: il blog che segue è piuttosto ricco di opinioni.

Quando si parla di multe per il GDPR, in genere è per via dei numeri. Ormai la comunità legale in generale conosce i famigerati massimali del GDPR, pari a 20 milioni di euro o al 4% del fatturato annuo.

Ma se il denaro è ovviamente un aspetto fondamentale delle multe, ci sono altri aspetti importanti e interessanti che a volte passano inosservati. Ecco quindi un breve elenco di multe che si sono distinte in un modo o nell'altro. Alcune di esse sono state molto costose, altre sono state uno schiaffo al polso, altre ancora sono state del tutto stupide, ma tutte contengono una lezione preziosa in un modo o nell'altro.

  1. Le multe più salate
  2. La multa più impattante
  3. La multa più sconcertante
  4. La multa più stupida
  5. La minaccia incombente
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Tuffiamoci in questa storia!

Le multe più salate

Partiamo dalla voce più nota dell'elenco: La multa di 1,2 miliardi di euro comminata da Meta nel 2023 per il trasferimento di dati.

Questa multa record è arrivata all'indomani della storica decisione Schrems II. La decisione è stata il risultato di una lunghissima saga legale che ha coinvolto Facebook (ora Meta), Max Schrems, il garante della privacy irlandese, il Comitato europeo per la protezione dei dati e persino la Corte di giustizia dell'UE.

Amazon è il secondo della lista con la sua multa di 746 milioni di euro per pubblicità mirata.

La motivazione non è ancora pubblica a causa di alcune stranezze della legge lussemburghese. Quando sarà resa pubblica, potrebbe dire qualcosa che già conosciamo grazie a decisioni più recenti sulla monetizzazione dei dati, come le multe per la pubblicità di Meta (vedi sotto) o la storica sentenza del Bundeskartellamt.

La multa più impattante

Meta si è mangiata altre due multe importanti nel 2023 per la pubblicità personalizzata su Facebook e Instagram, per un totale di *390 milioni di euro*.*

Sì, lo stesso anno della multa da 1,2 miliardi di euro. Il 2023 non è stato clemente con Meta.

Queste multe riguardavano le basi legali della pubblicità mirata di Meta. In altre parole, i casi ruotavano attorno a una domanda fondamentale: come giustifica Meta la raccolta e l'analisi dei dati personali per la sua pubblicità mirata?

All'epoca, la risposta di Meta (secondo la sua politica sulla privacy) fu che la raccolta dei dati era necessaria per rispettare i suoi Termini di servizio. Si tratta di qualcosa che i funzionari del GDPR chiamano "base giuridica" della "necessità contrattuale".

I difensori della privacy non sono soddisfatti di questa giustificazione. La giustificazione della "necessità contrattuale" consentirebbe a Meta di giustificare praticamente qualsiasi cosa, purché sia menzionata nei Termini di servizio delle sue piattaforme. Inoltre, ha portato alla strana conclusione che Meta ha il diritto di profilarci perché noi, utenti delle sue piattaforme, vogliamo vedere pubblicità mirata.

Il DPC e il Comitato europeo per la protezione dei dati si sono schierati dalla parte dei critici: hanno ritenuto che Meta non avesse realmente bisogno di raccogliere i dati per eseguire il contratto e che la giustificazione della necessità contrattuale non fosse applicabile.

(Per essere precisi, il DPC non era intenzionato a multare Meta, ma l'EDPB l'ha sostanzialmente costretta ad agire. C'è stato un discreto disaccordo tra gli addetti all'applicazione della legge su questo caso).

Le decisioni sono cruciali perché la questione delle "basi legali" non è un piccolo dettaglio di conformità che i team legali di Meta possono risolvere. L'estrazione di dati personali per la pubblicità mirata è difficile da giustificare ai sensi del GDPR, e questo è il suo scopo. È una caratteristica, non un bug.

Meta non è l'unica azienda a monetizzare i dati personali. Pensate a TikTok, X e alle innumerevoli app "gratuite" presenti sul vostro telefono. Ecco perché le decisioni hanno avuto un impatto su molte aziende presenti nell'UE.

La battaglia legale sulla monetizzazione dei dati non è ancora finita. Dopo le multe, Meta è passata da una base giuridica all'altra per cercare di mantenere in vita il suo modello commerciale in base al GDPR. Alla fine la Corte di Giustizia interverrà e chiarirà a quali condizioni (se mai lo farà) i modelli commerciali a pagamento con i propri dati sono consentiti dal GDPR.

La multa più sconcertante

La multa da 390 milioni di euro di Meta è anche la mia scelta come la più insoddisfacente, per due motivi.

In primo luogo, l'importo della multa sembra un buffetto per le violazioni commesse.

L'EDPB ha ritenuto che la pubblicità personalizzata sulla piattaforma social di Meta sia stata realizzata attraverso dati raccolti illegalmente. La violazione si è protratta per anni, ha coinvolto centinaia di milioni di cittadini europei e ha generato entrate miliardarie per Meta. Come se non bastasse, tra le denunce e la decisione si sono verificate undici importanti violazioni di dati.

Quindi: Meta ha raccolto i nostri dati illegalmente per anni, ci ha guadagnato miliardi e li ha divulgati una dozzina di volte. Cos'altro deve fare un'azienda per ottenere il massimo della multa?

In secondo luogo, un punto cruciale dei casi non è stato indagato dal DPC.

Le denunce iniziali sostenevano che Meta stava raccogliendo illegalmente dati sensibili. Si tratta di particolari tipi di dati che ricevono una maggiore protezione ai sensi del GDPR, come le convinzioni politiche, lo stato di salute e l'orientamento sessuale. La raccolta illegale di questi dati è una delle peggiori violazioni che mi vengono in mente. Eppure nelle decisioni del DPC non c'è stata alcuna menzione di questo problema!

Questa omissione è stata segnalata non solo dai difensori della privacy, ma anche da altre autorità per la privacy in tutta l'UE. Per quanto le decisioni abbiano avuto un impatto, avrebbero potuto essere molto più incisive se i reclami fossero stati esaminati in modo completo.

A tutt'oggi, Meta e innumerevoli altre aziende fingono che i dati che utilizzano per la profilazione non siano sensibili, oppure sminuiscono sistematicamente la quantità di dati che si qualificano come sensibili. Le decisioni del DPC nei confronti di Meta sono un'occasione persa per affrontare un importante problema di privacy.

La multa più stupida

Come Meta, anche Uber si è beccata una grossa multa per il trasferimento dei dati: l'autorità olandese per la protezione dei dati ha inflitto all'azienda una multa di 290 milioni di euro. Ma c'è una differenza fondamentale: La multa di Uber è stata incredibilmente stupida. Non stupida nel senso di "sbagliata", sia chiaro. Stupida nel senso di "evitabile".

Le multinazionali stavano affrontando l'incertezza giuridica sui trasferimenti di dati tra l'UE e gli Stati Uniti tra il 2020 (Schrems II) e il 2023 (decisione di adeguatezza degli Stati Uniti). Quindi, si trattava sicuramente di un problema più ampio.

Ma Uber ha deciso di gestirlo nel modo più sbagliato possibile. Invece di fare ciò che tutti gli altri stavano facendo all'epoca (= implementare le clausole contrattuali standard per il trasferimento dei dati), si è affidata a un'interpretazione in qualche modo non tradizionale del GDPR e ha trasferito i dati attraverso un meccanismo diverso.

C'è solo un problema. L'interpretazione di Uber del GDPR contraddiceva ciò che tutte le DPA europee avevano detto per anni. E le DPA sono quelle che multano le aziende per il trasferimento dei dati.

La vera domanda è perché. Perché Uber ha dovuto fare di testa sua (e prevedibilmente sbagliare) invece di attenersi allo standard de-facto del settore? Quali erano i vantaggi delle sue strategie di conformità?

Non ho una risposta. L'unico vantaggio concepibile della strategia di Uber è che (presumibilmente) ha risparmiato un po' di lavoro allo staff legale. D'altra parte, mi aspetterei che un gigante da oltre cento miliardi di dollari non tagliasse la corda.

La minaccia incombente

Nel corso degli anni Clearview AI è stata multata dalle autorità italiane, greche e olandesi per la raccolta illegale di dati personali. Le multe ammontano ormai a 110 milioni di euro.

ClearviewAI è un'azienda che offre tecnologia di riconoscimento facciale ad agenzie governative e forze dell'ordine al di fuori dell'UE. L'azienda si basa principalmente su immagini raccolte dal web.

Fin qui tutto bene. Ma il punto è questo**: lo scraping su larga scala e non consensuale** dal Web è il modo in cui le Big Tech raccolgono i dati per addestrare l'IA generativa.

Non è una coincidenza che Open AI sia sotto inchiesta in Italia e che sia sotto esame in tutta l'UE. L'anno scorso, infatti, l'intera vicenda ha attirato l'attenzione dei media quando la DPA italiana ha chiuso ChatGPT per un mese.

Gli sviluppatori di sistemi di IA generativa seguono in gran parte lo stesso schema: accumulano tutti i dati che possono e sostengono di poterli sanificare escludendo i dati sensibili o pericolosi dall'insieme dei dati. Ad oggi, non esistono prove convincenti che tale sanificazione sia possibile, tanto meno su database grandi quanto Internet.

È difficile dire come si evolverà la situazione per quanto riguarda lo scraping. Le autorità di protezione dei dati sono certamente più inclini ad avere una conversazione costruttiva con OpenAI che non con i criminali della sorveglianza come Clearview AI. Ma gli sviluppi più recenti non sono promettenti.

Un recente documento dell'EDPB sul caso OpenAI lascia intendere una posizione piuttosto rigida da parte delle DPA. Inoltre, Meta ha recentemente fatto marcia indietro su alcune delle sue politiche in materia di IA dopo essersi consultata con la DPA irlandese e ora chiede il consenso degli utenti dell'UE prima di addestrare la sua IA sui loro dati.

Leggendo tra le righe, la DPA irlandese potrebbe vedere il consenso come un requisito non negoziabile per l'addestramento dell'IA sui dati personali. Ma affidarsi al consenso è praticamente impossibile per le aziende che non hanno alcun rapporto diretto con le persone i cui dati vengono raccolti (si pensi a OpenAI o Anthropic). In effetti, l'affidamento del consenso potrebbe essere complicato anche per Meta, a seconda di come si svolgeranno le cose per quanto riguarda il pay-or-ok.

In conclusione, il problema del data scraping è ancora irrisolto e potrebbe compromettere il futuro dell'IA generativa nel mercato europeo.

Noi di Simple Analytics crediamo in un web aperto e rispettoso della privacy. Per questo motivo abbiamo costruito il nostro software di analisi web in modo che non raccolga dati personali, pur fornendovi tutte le informazioni necessarie per far crescere la vostra presenza online. Il nostro software è rispettoso della privacy, facile da imparare e dotato di un innovativo assistente AI.

Se tutto questo vi sembra interessante, provate Simple Analytics con la nostra prova gratuita completa !

GA4 è complesso. Prova Simple Analytics

GA4 è come essere seduti nella cabina di pilotaggio di un aereo senza licenza di pilota

Inizia gratis ora