Immagine di DilokaStudio
Nei primi giorni del nuovo anno la Commissione per la data protection irlandese (Dpc) ha concluso le procedure relative alle inchieste in corso sulle operazioni di trattamento dei dati di Meta, che in Europa ha sede legale in Irlanda. Inchieste aperte in relazione alla fornitura dei suoi servizi Facebook e Instagram e al Gdpr. La Commissione è l’autorità nazionale indipendente responsabile della difesa del diritto degli individui nell’UE alla protezione dei dati personali. Nello specifico rappresenta l’autorità di vigilanza irlandese per il Regolamento Generale sulla Protezione dei Dati (Gdpr) ed esercita le funzioni relative all’applicazione anche di altri quadri normativi tra cui l’Irish ePrivacy Regulations (2011) e la direttiva UE nota come Law Enforcement Directive. In particolare la Commissione ha prima indagato Meta Platforms Ireland Limited e quindi deciso di multarla per 210 milioni di euro per violazioni al Gdpr relative al servizio Facebook e di 180 milioni per il servizio Instagram con l’azienda che è chiamata ora a rendere conformi le operazioni di trattamento dati entro un periodo di tre mesi.
Si tratta di decisioni relative a reclami presentati in “antica” data, ovvero a fine maggio 2018 quando è entrato in vigore il Gdpr, e provenienti da interessati austriaci (per Facebook) e belgi (per Instagram).
Un momento delicato, quello cui si fa riferimento, in cui l’azienda era impegnata a modificare le basi degli accordi con gli utenti per legittimare il trattamento dei dati personali. Avendo precedentemente fatto affidamento sul consenso degli utenti al trattamento dei loro dati personali nel contesto della fornitura dei servizi di Facebook e Instagram (inclusa la pubblicità comportamentale), Meta Ireland ha cercato di fare affidamento sulla base giuridica del “contratto” per la maggior parte (ma non tutte) le operazioni di trattamento dei dati, ed agli utenti è stato chiesto di accettare i termini di servizio aggiornati per l’accesso a tutte le funzionalità dei servizi.
Secondo Meta accettando i termini di servizio aggiornati, è di fatto stato stipulato un contratto con gli utenti in cui il trattamento dei dati degli utenti in relazione alla fornitura dei suoi servizi Facebook e Instagram è stato riconosciuto come necessario per l’esecuzione dell’accordo stesso, per la fornitura di servizi personalizzati e l’utilizzo di pubblicità comportamentale; mentre i denuncianti sostenevano che, subordinando l’accessibilità dei servizi all’accettazione da parte degli utenti dei termini aggiornati, Meta Ireland di fatto costringeva ad acconsentire al trattamento dei dati personali per la pubblicità comportamentale e gli altri servizi personalizzati, in violazione del Gdpr.
Secondo la Dpc, che ha erogato ora le sanzioni, le informazioni in relazione alla base giuridica invocata da Meta Ireland non sono state chiaramente delineate per gli utenti, con il risultato che “gli utenti non avevano sufficiente chiarezza su quali operazioni di trattamento fossero in corso sui loro dati personali”, per quale/i scopo/i e con riferimento a quale delle sei basi giuridiche individuate nell’articolo 6 del Gdpr. In particolare sono stati ritenuti violati gli articoli 12 e 13, paragrafo 1, lettera c del Gdpr e l’articolo 5 dove sancisce il principio secondo cui i dati personali degli utenti devono essere trattati in modo lecito, equo e trasparente, mentre Meta si sarebbe mossa su una base giuridica non corretta nel trattamento dei dati personali degli utenti ai fini pubblicitari.
Nell’ambito delle procedure imposte dal Gdpr, i progetti di decisione preparati dalla Commissione sono stati presentati alle autorità di regolamentazione paritetiche di UE/See conosciute anche come Concerned Supervisory Authorities (Csa) che hanno addirittura ritenuto di dover aumentare le sanzioni previste ritenendo che a “Meta Ireland non dovrebbe essere consentito fare affidamento sulla base giuridica del contratto sulla base del fatto che la fornitura di pubblicità personalizzata ]..[ non si può dire che sia necessaria per eseguire gli elementi fondamentali di quella che è stata definita una forma di contratto molto più limitata”. Tra Dpc e Csa non è stato trovato accordo in merito a questo punto per cui le questioni controverse sono state deferite all’organo competente Edpb (European Data Protection Board) che a inizio dicembre ha comunicato le sue determinazioni, respingendo molte delle obiezioni sollevate dai Csa, ma accogliendo la posizione della Commissione in relazione alla violazione da parte di Meta Ireland dei suoi obblighi di trasparenza, subordinata però solo all’inserimento di un’ulteriore violazione (del principio di “equità”).
Le decisioni finali adottate dal Dpc il 31 dicembre 2022 riflettono le determinazioni vincolanti dell’Edpb come sopra indicate. Di conseguenza, le decisioni della Dpc includono conclusioni secondo cui Meta Ireland non aveva il diritto di fare affidamento sulla base giuridica del “contratto” in relazione alla fornitura di pubblicità comportamentale come parte dei suoi servizi Facebook e Instagram e che il suo trattamento dei dati degli utenti fino ad oggi, nel presunto affidamento alla base giuridica del “contratto”, costituisce effettivamente una violazione dell’articolo 6 del Gdpr. Da qui il valore definitivo delle sanzioni comminate e la richiesta di adeguamento delle operazioni al Gdpr entro un periodo di 3 mesi.
Inoltre Edpb chiede ora alla Commissione di condurre una nuova indagine che riguarderebbe tutte le operazioni di trattamento dei dati di Facebook e Instagram ed esaminerebbe categorie speciali di dati personali che potrebbero o meno essere trattati nel contesto di tali operazioni. Ricordiamo tuttavia come l‘Edpb non ha un ruolo di supervisione generale simile ai tribunali nazionali nei confronti delle autorità nazionali indipendenti e non è consentito all’Edpb di istruire e dirigere un’autority affinché intraprenda indagini speculative e aperte. La direzione è quindi problematica in termini giurisdizionali, e non appare alla Commissione coerente con la struttura degli accordi di cooperazione e coerenza previsti dal Gdpr.
La vicenda ripropone di fatto due temi importanti: il primo riguarda la chiarezza delle norme, il bisogno di vigilanza oculata ma anche di tempestività e rapidità nella capacità degli organismi di rilevare eventuali mancanze, il secondo tema la liceità delle pratiche di pubblicità mirata e personalizzata che non è in sé in discussione ma richiede ulteriori approfondimenti.
© RIPRODUZIONE RISERVATA
