Questo è il secondo blog di una serie di due parti sulla Bundeskartellamt, una sentenza molto importante contro Meta che è passata inosservata ai media.
In un altro blog abbiamo spiegato come la sentenza potrebbe cambiare le carte in tavola per le analisi basate sui cookie. Ma c'è molto di più nella decisione. Oggi analizzeremo ciò che la Corte di giustizia ha detto sul modello di business di Facebook e sui poteri delle autorità antitrust.
Spoiler: sono tutte cattive notizie per Big Tech.
- Di cosa si tratta e cosa dice la sentenza?
- Meta e pubblicità mirata - ancora una volta!
- L'esecuzione di un contratto, ovvero perché l'EDPB aveva ragione
- Anche il legittimo interesse non funziona
- E il consenso?
- Il Bundeskartellamt sta già inviando segnali di allarme
- Protezione dei dati e diritto della concorrenza
- Cosa significa tutto questo per Meta e Big Tech?
- Conclusione
Di cosa si tratta e cosa dice la sentenza?
Nel nostro primo blog abbiamo spiegato che la sentenza riguarda un caso che coinvolge Meta e l'autorità tedesca per la concorrenza (il Bundeskartellamt). L'autorità ha riscontrato che Meta abusava della sua posizione dominante sul mercato dei social network imponendo politiche sulla privacy contrarie al GDPR.
Il Bundeskartellamt ha ordinato a Meta di modificare la sua politica sulla privacy per gli utenti tedeschi. Meta ha impugnato la decisione e ha ottenuto una sentenza ancora peggiore dalla Corte di giustizia.
Nella sentenza, la Corte ha toccato punti molto delicati per Meta:
- gli strumenti di tracciamento di Meta raccolgono una tonnellata di dati sensibili (come abbiamo spiegato nel nostro altro blog sulla decisione)
- ilconsenso è praticamente obbligatorio per la pubblicità mirata e deve soddisfare standard piuttosto elevati per piattaforme enormi come Facebook
- le autorità garanti della concorrenza possono prendere in considerazione le violazioni del GDPR per valutare l'abuso di posizione dominante.
Meta e pubblicità mirata - ancora una volta!
Nella causa Bundeskartellamt la Corte di Giustizia (CGUE) ha esaminato da vicino le basi giuridiche di Meta per la pubblicità mirata. Le questioni legali possono sembrare molto tecniche, ma non fraintendetemi: il cuore di questo caso riguarda la legittimità del modello di business di Facebook e, per estensione, di altri "servizi gratuiti" di Big Tech che pagate con i vostri dati.
Non si tratta quindi delle clausole scritte in piccolo sull'informativa sulla privacy di Meta. La sentenza è importante nel grande schema delle cose. Ecco perché.
Facebook ricava la maggior parte delle sue entrate dalla pubblicità mirata. Questa pubblicità richiede una profilazione aggressiva degli utenti in base al loro comportamento sia all'interno che all'esterno della piattaforma.
Secondo le regole generali del GDPR, questa profilazione dei dati ha bisogno di una giustificazione legale ("base giuridica"), come un obbligo legale, l'esecuzione di un contratto o il consenso dell'utente (che è una delle varie basi giuridiche e non sempre è necessaria per trattare i dati personali, come abbiamo spiegato in un vecchio blog).
Le persone non amano il tracciamento e la profilazione invasiva, quindi Meta non ha voluto dare agli utenti una scelta reale ed equa in materia. Ecco perché finora ha evitato di affidarsi al consenso.
Fino all'aprile di quest'anno, Meta ha utilizzato la base giuridica della necessità contrattuale per fornire pubblicità mirata su Facebook e Instagram. In altre parole, Meta sosteneva che la fornitura di pubblicità mirata era strettamente necessaria per rispettare i suoi Termini di servizio con l'utente.
Il Comitato europeo per la protezione dei dati (cioè l'istituzione dell'UE che riunisce tutte le autorità europee per la privacy) non è stato d'accordo. Meta è stata multata per un totale di 390 milioni di euro e costretta a cambiare la sua base giuridica in "interesse legittimo" in aprile nella sua nuova politica sulla privacy.
L'esecuzione di un contratto, ovvero perché l'EDPB aveva ragione
La CGUE ha esaminato attentamente le pratiche pubblicitarie di Meta e le ha ritenute non necessarie per l'esecuzione del contratto con l'utente. In altre parole, ha confermato che la necessità contrattuale non può giustificare la pubblicità mirata.
L'EDPB aveva già espresso questo punto, ma la sentenza è comunque importante perché la CGUE ha l'ultima parola sull'interpretazione del GDPR (e del diritto dell'UE in generale). L'EDPB è molto influente, ma la parola della CGUE ha sostanzialmente la meglio su tutto il resto.
Quindi, il Bunderskartellamt non dice nulla di nuovo sulla necessità contrattuale, ma conferma "ufficialmente" la posizione dell'EDPB. Dopo che la CGUE ha abbracciato la stessa posizione, non c'è più spazio per sostenere la necessità contrattuale.
Questo non riguarda Meta, che ha già abbandonato la necessità contrattuale. Ma è una cattiva notizia per le Big Tech, perché per le altre aziende che utilizzano un modello commerciale "pay-with-your-data" sarà molto, molto difficile sostenere che la necessità contrattuale è una base giuridica valida per la pubblicità.
Ciao ciao, necessità contrattuale. Non ci mancherai.
Anche il legittimo interesse non funziona
Ma che dire della nuova base giuridica di Meta, il legittimo interesse? Sicuramente funziona, giusto?
No: la sentenza del Bundeskartellamt ha bocciato anche l'interesse legittimo! Spiegare il perché trasformerebbe questo blog in un libro, ma diciamo solo che più il trattamento dei dati è invasivo, più è improbabile che il legittimo interesse sia una base giuridica valida. E la profilazione di Meta è quanto di più invasivo possa esistere.
In realtà, è sempre stato ovvio che l'interesse legittimo non era una base giuridica valida in questo scenario. Meta lo sapeva e ha cambiato la sua politica sulla privacy solo per guadagnare tempo.
Il Bundeskartellamt renderà più difficile per Meta guadagnare tempo perché farà pressione sulle autorità di regolamentazione (leggi: l'autorità irlandese per la protezione dei dati) affinché si pronuncino contro Meta quando verrà fuori la questione del legittimo interesse. Noyb - la ONG che si occupa di privacy e che ha portato alla multa di 390 milioni di euro - intende contestare nuovamente Meta per la sua nuova politica sulla privacy.
Non deve sorprendere, quindi, che Meta abbia recentemente annunciato l'intenzione di affidarsi al consenso per fornire pubblicità mirata!
E il consenso?
La sentenza del Bundeskartellamt esamina essenzialmente tutti i motivi legali plausibili per la pubblicità mirata e risparmia solo la base del consenso.
Ma la CGUE non si è limitata a dire: "Sì, il consenso va bene per questo, siamo a posto". La Corte ha sottolineato che il consenso deve essere una vera scelta dell'utente e non può essere estorto da una piattaforma, cosa che Meta e altri monopolisti amano fare. In particolare, le pratiche di raccolta del consenso dei monopolisti devono essere esaminate molto, molto attentamente per garantire che il consenso sia libero e non estorto.
Leggendo tra le righe, la CGUE stava chiaramente pensando al futuro. Sapeva che Meta sarebbe passata al consenso a un certo punto e si aspettava che l'azienda estorcesse il consenso attraverso una proposta "prendere o lasciare" ai suoi utenti. In altre parole, o acconsentite a essere profilati per la pubblicità, o non potete essere su Facebook, mi dispiace.
Sottolineando che il consenso deve essere libero e non estensivo, la CGUE ha dato un chiaro segnale che vuole vedere un consenso reale e significativo e si aspetta lo stesso dalle autorità per la privacy e dagli altri tribunali. Questo è un problema per Meta, perché le persone non amano essere profilate e spesso dicono "no" quando viene loro offerta una scelta reale e corretta.
Ad essere onesti, c'è un certo margine di discussione sul libero consenso. Sulla carta, il GDPR lascia un certo margine di manovra per estorcere il consenso a causa della formulazione (esasperantemente vaga) dell'articolo 7(4). Ma le osservazioni "preventive" della CGUE sul consenso suggeriscono che la Corte adotterà probabilmente una posizione più dura e non permetterà alle aziende di forzare il consenso con un approccio "prendere o lasciare", in particolare quando si tratta di monopolisti come Meta.
Che ne è della pubblicità mirata sulle piattaforme sociali? Come può essere giustificata ai sensi del GDPR?
La necessità contrattuale è fuori dal quadro, così come l'interesse legittimo. Il consenso sarà sottoposto a standard molto elevati, con conseguenti alti tassi di opt-out e perdita di ricavi. In che modo le Big Tech giustificheranno il modello commerciale pay-with-your-data? È possibile a questo punto?
Il Bundeskartellamt sta già inviando segnali di allarme
La decisione del Bundeskartellamt sta già avendo un impatto sulla pubblicità mirata. Un mese dopo la sentenza, Meta ha annunciato l'intenzione di passare al consenso come base giuridica per la pubblicità mirata, confermando ulteriormente che la sua nuova strategia di conformità basata sul legittimo interesse è già morta.
Inoltre, due settimane dopo la sentenza, l'autorità norvegese di vigilanza sulla privacy (Datatilsynet) ha provvisoriamente vietato la pubblicità mirata su Facebook e Instagram.
L'ordinanza è una decisione urgente che ha aggirato i normali criteri di giurisdizione del GDPR. Per questo motivo, l'autorità chiederà la conferma della sua decisione al Comitato europeo per la protezione dei dati, l'organizzazione che riunisce tutte le autorità per la privacy dell'UE e del SEE. Se la decisione dovesse essere confermata, non sarebbe sorprendente vedere altre autorità seguire l'esempio di Datatylsinet e bloccare la pubblicità di Meta finché quest'ultima non darà seguito al suo annunciato passaggio al consenso.
Protezione dei dati e diritto della concorrenza
Che ci crediate o no, c'è dell'altro nella sentenza. Sì, ci si potrebbe scrivere un libro.
Secondo la Corte, un'autorità antitrust può prendere in considerazione la violazione del GDPR per valutare un abuso di posizione dominante, a condizione che vi sia un certo grado di collaborazione con l'autorità competente per la privacy.
Questa indicazione è piuttosto vaga. Potrebbe quindi essere necessario un po' di tempo per capire cosa significhi esattamente e quali tipi di violazioni del GDPR possano essere considerate. Forse le autorità antitrust potrebbero iniziare a esaminare le violazioni del GDPR relative a politiche sulla privacy e termini d'uso scorretti, in pratica il tipo di cose che confondono i confini tra le leggi sulla privacy e quelle sulla protezione dei consumatori. Ma tutto questo è basato sulle mie sensazioni, quindi prendetelo con le molle.
Di sicuro, il Bundeskartellamt significa problemi per le Big Tech. I giganti tecnologici spesso detengono una posizione dominante in uno o più mercati. Per esempio, Google è un monopolista nei mercati dei motori di ricerca e della pubblicità online, e Meta è praticamente un monopolista per i social network (TikTok è probabilmente un concorrente, ma a un esame più attento, potrebbe essere un mercato leggermente diverso).
Le Big Tech hanno poca o nessuna considerazione per la legge sulla privacy. A volte ci sono poche o nessuna alternativa ai loro servizi, quindi possono imporre condizioni orribili agli utenti e farla franca perché gli utenti non hanno nessun altro posto dove andare. Inoltre, amano violare le leggi antitrust a ogni occasione: è così che sono diventati monopolisti, dopotutto.
Se le leggi sulla privacy e sull'antitrust iniziano a sovrapporsi, sono nei guai, ed è per questo che il Bundeskartellamt potrebbe cambiare le carte in tavola nel lungo periodo e giocare un ruolo importante nei casi di antitrust.
Cosa significa tutto questo per Meta e Big Tech?
Innanzitutto, la nuova politica sulla privacy di Meta è morta dopo soli 4 mesi.
Ma il Bundeskartellamt è molto, molto più grande di Meta. La conclusione è che le Big Tech non possono farla franca ai sensi del GDPR. Questo è l'assunto implicito ma coerente alla base di tutte le conclusioni della Corte, dalle basi legali per la pubblicità alla sovrapposizione tra antitrust e legge sulla privacy. Ogni parola di questa sentenza è una cattiva notizia per le Big Tech.
D'ora in poi sarà più difficile che mai sostenere che il diffuso modello commerciale "pay-with-your-data" possa essere conforme al GDPR, a meno che non si offra agli utenti una scelta equa e significativa di opt-out. In questo caso, molti utenti rinunceranno, con conseguenze catastrofiche per i ricavi. La sentenza rappresenta quindi un duro colpo per il modello commerciale dei dati come pagamento spesso utilizzato dalle Big Tech.
Come se non bastasse, le autorità garanti della concorrenza possono tenere conto delle violazioni del GDPR quando valutano gli abusi di posizione dominante. Questa è una cattiva notizia per le Big Tech, che sono spesso nel mirino delle autorità preposte alla privacy e alla concorrenza.
Conclusione
È ormai un luogo comune che l'applicazione del GDPR sia carente. Le decisioni spesso richiedono tempi lunghi perché le autorità per la privacy sono cronicamente sottofinanziate e sovraccariche di lavoro, e innumerevoli casi transfrontalieri vengono ritardati o fatti deragliare completamente da una cooperazione inefficiente tra le autorità.
Ma c'è un lato positivo. Forse non vedremo tutte le decisioni necessarie, ma quelle che vediamo sono spesso molto buone.
Molte autorità di regolamentazione capiscono che il GDPR non è una lista di scartoffie che un'azienda deve sbrigare, ma piuttosto una legge importante che svolge un ruolo cruciale nella protezione del diritto fondamentale alla privacy. Si aspettano che le organizzazioni si conformino allo spirito del regolamento e non le lasciano andare via per cavilli. Se fate qualcosa di sbagliato, probabilmente non riuscirete a cavarvela con un "avvocato".
IlBundeskartellamt è un esempio di buona applicazione della normativa. Dimostra che la CGUE prende sul serio il GDPR e suggerisce che il regolamento potrebbe finalmente mostrare i denti alle Big Tech nel prossimo futuro, il che è una cattiva notizia per le Big Tech e una buona notizia per tutti gli altri.
Nel frattempo, anche le organizzazioni possono contribuire alla transizione dell'UE verso la privacy. Molti servizi diffusi e affamati di dati hanno alternative eccellenti e rispettose della privacy, e Google Analytics dovrebbe essere uno dei candidati principali per essere abbandonato!
Abbiamo costruito Simple Analytics perché crediamo che l'analisi web non debba essere invasiva! Siamo orgogliosi di fornire ai nostri clienti tutte le informazioni di cui hanno bisogno per far crescere la loro attività e promuovere la loro presenza online, il tutto senza raccogliere dati personali o tracciare gli utenti. Se vi sembra una buona idea, non esitate a provarci!