Il 17 aprile la privacy ha ottenuto un'importante vittoria: il Comitato europeo per la protezione dei dati (cioè l'organizzazione che riunisce gli organi di vigilanza sulla privacy dell'UE) ha chiarito che i dati personali non sono una merce e ha preso una posizione chiara contro l'approccio pay-or-ok di Meta alla conformità al GDPR. Si tratta di un passo avanti per la legge sulla privacy dell'UE e di un grande affare per l'industria tecnologica.
Prima di stappare lo champagne, ricordiamo che la storia non è ancora finita. Meta trascinerà senza dubbio la battaglia legale davanti alla Corte di giustizia dell'Unione europea, che avrà l 'ultima parola. Detto questo, il fatto che l'EDPB si schieri con i critici di Meta è un ottimo segno.
Ecco tutto quello che c'è da sapere sul parere dell'EDPB e perché è importante. Tuffiamoci nel vivo!
Il contesto
Cosa non c'entra
Prima di spiegare il motivo di questa battaglia legale, sfatiamo un possibile equivoco: Meta non è sotto attacco per aver messo un prezzo alle sue piattaforme.
Meta è un'entità a scopo di lucro e ha il diritto di fissare i prezzi dei propri servizi come meglio crede, anche richiedendo abbonamenti a piattaforme precedentemente "gratuite". Nessuno contesta questo diritto, quindi qual è il problema?
Meta sta usando gli abbonamenti come argomento per dimostrare che il suo modello commerciale nel suo complesso - e in particolare la raccolta e l'estrazione di dati dagli utenti gratuiti - è compatibile con il GDPR. In altre parole, lo scopo degli abbonamenti di Meta è giustificare lo spionaggio degli utenti liberi. Questo è ciò che è problematico ai sensi del GDPR, non gli abbonamenti in sé.
Ecco la storia in dettaglio e perché è un problema importante per la legge sulla privacy.
Meta e il GDPR
Abbiamo già discusso ampiamente della saga pay-or-ok in un altro blog, quindi ecco la versione breve.
Da oltre un decennio Meta estrae aggressivamente i dati degli utenti come pagamento per Facebook (e successivamente per Instagram). Questa intensa attività di sondaggio consente all'azienda di profilare gli utenti e di fornire pubblicità comportamentale, per la quale fa pagare gli inserzionisti. Questo modello di business è in contrasto con il GDPR e i sostenitori della privacy lo stanno contestando da tempo, in particolare noyb, una ONG austriaca che ha una lunga storia con Meta.
Quindi, la sorveglianza commerciale è il modo in cui Meta ottiene la maggior parte delle sue entrate. Contestando la conformità della sua pubblicità mirata, i difensori della privacy stanno mettendo in discussione la legittimità del modello commerciale di Meta ai sensi del GDPR. Questo ha importanti implicazioni per l'intero settore tecnologico, perché molte altre aziende si basano su un modello di business basato sui dati come pagamenti.
Finora, Meta ha risposto a queste sfide modificando alcune sottigliezze della sua politica sulla privacy, pagando multe a nove cifre e continuando a fare affari come sempre. Ma se Meta continua a perdere le sfide legali, le sue opzioni si assottigliano.
Gli abbonamenti a pagamento sono l'ultimo atto di questa lunga saga e l'ultimo tentativo dell'azienda di salvare il proprio modello di business nel mercato europeo.
Pagare o no
Attualmente Meta presenta agli utenti dell'UE una scelta: possono acconsentire alla pubblicità comportamentale e utilizzare le sue piattaforme sociali gratuitamente, oppure liberarsi della pubblicità comportamentale e pagare 120 euro all'anno.
Naturalmente Meta sa che la stragrande maggioranza degli utenti non pagherà. Il punto non è raccogliere centesimi da una manciata di abbonati a pagamento, ma giustificare lo spionaggio di tutti gli altri. Gli abbonamenti sono un trucco che consente agli avvocati di Meta di affermare che il consenso alla pubblicità comportamentale soddisfa gli elevati standard di consenso del GDPR, in particolare il requisito della libera espressione del consenso.
Questo approccio "pay-or-ok" è controverso nell'ambito della privacy. Alcuni lo vedono come un potente strumento di conformità che potrebbe potenzialmente giustificare un'estrazione dei dati molto invasiva ai sensi del GDPR. Sperano che l'approccio di Meta sopravviva al controllo normativo, in modo da poter salire a bordo e fare del pay-or-ok il nuovo standard dell'economia digitale.
D'altro canto, i critici di Meta sostengono che i dati non sono una merce, perché la privacy e la protezione dei dati sono diritti umani (e la Carta dei diritti fondamentali è d'accordo). Inoltre, sottolineano che non tutti in Europa possono permettersi di pagare 10 euro al mese per rimanere in contatto con i propri amici e parenti su Facebook, per non parlare dei 10 euro al mese per app, nel caso in cui il pay-or-ok diventasse una prassi comune per le piattaforme sociali.
L'EDPB è stato chiamato a prendere posizione nella controversia sul pay-or-ok e ha inviato un messaggio molto chiaro.
Che cosa ha detto il Consiglio?
Il parere dell'EPBP è piuttosto complesso, ma in breve concorda ampiamente con i critici di Meta. I dati non sono una merce e dare un prezzo alla privacy non è un modo per raccogliere un consenso valido ai sensi del GDPR.
Il parere dell'EDPB non è vincolante, ma ha un peso notevole. Dopo tutto, i membri del Comitato sono autorità di regolamentazione nazionali con il potere di multare Meta per la mancata conformità al GDPR.
La formula "pay-or-ok" non è sufficiente
L'EPBP ha esaminato attentamente la strategia di conformità di Meta e non l'ha gradita affatto.
Il Consiglio sottolinea che Facebook e Instagram beneficiano di potenti effetti di lock-in e di rete: più contatti sociali si hanno su queste piattaforme, più è difficile abbandonarle (come ha scritto un blogger migliore, i social network sono ormai una situazione di ostaggio). Allo stesso tempo, la posizione dominante di Meta sul mercato dei social media significa che i consumatori non hanno alternative.
È per questo che l'EDPB è d'accordo con i critici di Meta e si rifiuta di riconoscere il consenso raccolto da Meta come un consenso valido e liberamente dato. In conclusione, Meta non ha il diritto di profilare gli utenti in base al loro comportamento.
(Tra l'altro, la posizione dominante sul mercato è il motivo per cui l'obiezione comune che "le piattaforme non sono libere di fornire" non funziona per Meta. In un mercato competitivo, la maggior parte degli utenti cancellerebbe il proprio account Facebook o Instagram e sposterebbe i propri dati su un concorrente più rispettoso della privacy. Nel mondo reale, i giganti tecnologici acquistano i potenziali concorrenti, lasciando agli utenti la possibilità di scegliere tra Meta, X e ByteDance).
Ci sono alternative
Meta e altri operatori del settore pubblicitario amano presentare la pubblicità comportamentale come una questione in bianco e nero: o ci permettete di scandagliare a fondo la vita digitale degli utenti di Internet, o andremo in rovina e l'economia digitale morirà (si veda la lettera dello IAB al Consiglio di amministrazione).
Ma la questione non è in bianco e nero. L'EDPB è stato attento a chiarire che le piattaforme possono fornire pubblicità senza consenso. Questo non significa necessariamente pubblicità contestuale: ad esempio, Meta potrebbe semplicemente chiedere agli utenti i loro interessi e utilizzare le loro risposte per indirizzare gli annunci. Secondo il Consiglio, questa forma meno invasiva di pubblicità potrebbe essere effettuata senza il consenso degli utenti, pur rispettando il GDPR.
Naturalmente, questa ragionevole via di mezzo sarebbe molto meno redditizia dell'invasivo sondaggio di Meta, e l'azienda continuerà a lottare con le unghie e con i denti contro la privacy piuttosto che ridurre la sorveglianza.
L'EDPB sottolinea inoltre che offrire agli utenti una terza opzione gratuita con pubblicità meno invasiva potrebbe aiutare Meta a giustificare il suo modello di business ai sensi del GDPR. Ma non ci aspettiamo che Meta segua presto questo consiglio: l'azienda sa che gli utenti non amano la sorveglianza e di solito dicono "no, grazie" quando viene loro presentata una scelta equa e trasparente come quella richiesta dall'EDPB.
(Vorrei anche sottolineare un altro modo ovvio e conforme al 100% al GDPR per Meta di monetizzare da Facebook e Instagram: trasformarli in servizi a pagamento, punto. Nessuno chiede un pasto gratis: né il GDPR, né le autorità di regolamentazione, né i difensori della privacy. Ma Meta non adotterà mai questa semplice soluzione perché il prezzo costerebbe all'azienda troppi utenti).
E i piccoli operatori?
Il messaggio per le Big Tech è molto chiaro, ma la stessa logica si applica ai siti web e ai servizi più piccoli?
Forse.
Sì, non è la risposta più soddisfacente, ma è quella che abbiamo ottenuto.
Il parere riguarda solo le grandi piattaforme, ma il Comitato sottolinea che alcuni dei suoi ragionamenti possono essere applicati anche ai piccoli operatori, il che è piuttosto confuso. Nel complesso, ci sembra che il Comitato non voglia prendere posizione su come le regole si applichino ai piccoli operatori, almeno per ora.
Cosa succederà in seguito?
Vale la pena ripetere che la storia non è ancora finita e che la Corte di Giustizia avrà probabilmente l'ultima parola.
È difficile dire quando ciò avverrà. Il reclamo di noyb con l'autorità austriaca probabilmente arriverà fino alla Corte di Giustizia, ma ci vorrà un po' di tempo, soprattutto se verrà coinvolta l'autorità irlandese. Nel frattempo, è improbabile che Meta cambi le sue pratiche, a meno che le multe non inizino a fioccare.
Se la Corte si schiererà a favore dell'EDPB, la sentenza segnerà una svolta nella legislazione sulla privacy. Meta sarà costretta a ripensare il proprio modello di business e probabilmente dovrà pagare multe gigantesche. Anche altri pesci grossi dovranno rivalutare il loro modello di business, perché i difensori della privacy non esiteranno a usare il precedente di Meta contro di loro. Per farla breve, ci avvicineremo di un passo alla morte, da tempo attesa , della pubblicità comportamentale.
D'altra parte, se la Corte si schiererà con Meta e sancirà la sua interpretazione egoistica della legge, allora il pay-or-ok diventerà probabilmente lo standard del settore, il GDPR sarà sostanzialmente deformato contro le Big Tech e tutti noi avremo poche o nessuna aspettativa di privacy sulle piattaforme che controllano le nostre vite digitali.
Conclusioni
Questa volta non si tratta solo di Meta contro i soliti sospetti (noyb). Anche i difensori dei consumatori del Bureau of European Consumers (BEUC) stanno contestando gli abbonamenti a Meta e persino la Commissione europea, in qualità di massima autorità antitrust dell'UE, sta esaminando la conformità di pay-or-ok al Digital Markets Act.
Siamo felici di vedere attori che sfidano il teatrino della compliance di Meta da diverse angolazioni. E siamo ancora più felici di vedere la EDBP prendere una posizione forte.
È impossibile sopravvalutare l'importanza della saga pay-or-ok. Quando la denuncia di noyb contro Meta approderà (prevedibilmente) alla Corte di giustizia, la Corte dovrà prendere una decisione: il GDPR deve piegarsi all'economia della sorveglianza o deve essere il contrario?
Non abbiamo la sfera di cristallo, ma il parere dell'EDPB è un buon motivo per essere ottimisti.
Abbiamo costruito Simple Analytics perché crediamo in un web rispettoso della privacy. Aiutiamo i nostri clienti a comprendere il loro traffico e ad ampliare il loro pubblico senza raccogliere alcun dato personale. Il nostro strumento di analisi web è facile da imparare, personalizzabile e dotato di un assistente AI. Se tutto questo vi sembra interessante, provateci!