Pensieri e parole...

Pubblicità online, la sanzione a Meta costringe le big tech a cambiare tutto.

La maxi sanzione comminata dal Garante privacy irlandese a Meta non riguarda solo l’azienda di Zuckerberg ma anche le altre Big Tech, che dovranno virare le loro policy verso un maggior rispetto della privacy degli utenti, in linea con le tutele previste dal GDPR.

Dopo anni di rapporti “amichevoli” tra Meta e il Garante privacy irlandese, che ha tenuto un atteggiamento quantomeno morbido sul rispetto della compliance sulla tutela dei dati personali, oggi sembra che la situazione sia cambiata. Prova ne è la multa di 390 milioni di euro comminata alla holding di Mark Zuckerberg per la violazione di diverse norme del GDPR, su tutte l’art. 6.

La decisione è stata presa sulla base dell’impossibilità di utilizzare la base giuridica dell’esecuzione del contratto per fare behavioral advertising, la personalizzazione degli annunci su Facebook e Instagram basata sui comportamenti degli utenti, la quale potrà avvenire solo dopo espresso consensodell’utente.

Ovviamente, ci saranno ripercussioni per tutte le Big Tech che dovranno modificare i loro modelli di business e garantire un maggior rispetto della privacy degli utenti.

È un po’ quello che sta succedendo ai giorni nostri tra la Meta Platforms Ireland Limited di Mark Zuckerberg (Facebook, Instagram, WhatsApp), il DPC (Data Protection Commission), ossia l’Autorità garante privacy irlandese e l’EDPB(European Data Protection Board), il Comitato europeo per la protezione dei dati, l’organismo consultivo indipendente che contribuisce all’applicazione corretta delle norme sulla protezione dei dati in tutta l’Unione e promuove la cooperazione tra le Autorità di controllo nazionali.

Infatti il DPC ha comunicato qualche giorno fa la conclusione delle indagini relative al caso Meta, con notizie pessime per il colosso dei social network, visto che fondamentalmente il Garante irlandese si è dovuto “piegare” al parere vincolante dello European Data Protection Board, gerarchicamente superiore.

Questa che sembra una telenovela in salsa internazionale, non solo può avere effetti importanti dal punto di vista dei profitti dei Meta, ma può cambiare gli scenari dell’advertising personalizzato, destando qualche preoccupazione anche agli e-commerce e a tutti business online che fanno affidamento sul behavioral advertising.

Senza considerare che i principi espressi si applicano a tutte le piattaforme online di ogni natura che devono raccogliere il consenso degli utenti per fare profilazione, ecco perché, oggi più che mai, è necessario un check legale di siti, e-commerce, app e via discorrendo con l’aiuto di un legale esperto privacy ed evitare sanzioni pesantissime.

Ma come si è arrivati a questa decisione?

Tutto parte dall’entrata in vigore del GDPR, l’ormai noto Regolamento europeo che, operativamente a partire da maggio 2018, ha introdotto negli ordinamenti di tutti gli Stati membri dell’Unione norme più stringenti sulla protezione dei dati delle persone fisiche.

Tra le varie novità che hanno toccato trasversalmente tutti, qui ci concentriamo sull’utilizzo, soprattutto da parte delle Big Tech, dei dati comportamentali online degli utenti per fare profitti con gli annunci pubblicitari personalizzati, il cosiddetto behavioral advertising.

Per spiegarlo in parole semplici il behavioural advertising (pubblicità comportamentale) è la tecnica di marketing digitale che ha le sue fondamenta nel tracciamento delle azioni degli utenti online e nella loro profilazione basata su comportamenti, interessi, abitudini et similia al fine di mostrare all’utente messaggi pubblicitari estremamente in linea con i propri interessi.

Questo tracciamento è tecnicamente possibile anche grazie ai cookies di profilazione, quelle piccole porzioni di codice che vengono posizionate dai siti visitati nel dispositivo dell’utente (solitamente tramite il browser), o ad altri strumenti di tracciamento che “seguono” la successiva navigazione associando l’utente ad un ID e raccogliendo e memorizzando dati comportamentali che andranno a costituire il profilo di quell’ID.

Meta, con i suoi social, basa il suo business proprio sulla monetizzazione di questa profilazione. Sarà capitato a tutti di visitare un sito di un brand e ritrovarsi su Facebook annunci in cui vengono proposti i prodotti di quel marchio o dei suoi competitor.

Il Regolamento UE non proibisce la profilazione, ma la disciplina puntualmente, limitandola a determinati casi.

Partiamo dalla definizione di profilazione secondo il GDPR, contenuta nell’art. 4secondo cui per profilazione si intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”…”.

Con le Linee Guida in tema di processo decisionale automatizzato e profilazione rispetto alle regole del GDPR, il Gruppo di lavoro “Articolo 29” (WP29) ha definito gli elementi che caratterizzano la profilazione, quali:

• il trattamento (raccolta, conservazione, elaborazione ecc.) è automatizzato;
• riguarda dati personali;
• ha l’obiettivo di valutare gli aspetti personali di una persona fisica.

Si tratta, quindi, esattamente di ciò che succede con il behavioural advertising, in cui il profilo dell’individuo, ottenuto attraverso l’analisi dei suoi comportamenti e caratteristiche, può essere utile per prevedere o analizzare in modo automatizzato la persona e le sue preferenze, così da mostrargli pubblicità in linea con queste.

Ma quando è possibile effettuare profilazione mediante trattamenti automatizzati?

Nell’art.22, dedicato specificatamente al tema, è stabilito che un utente “ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona…”, eccetto nei casi in cui:

• sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
• sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
• si basi sul consenso esplicito dell’interessato.

Quando questo trattamento, poi, implica l’utilizzo di cookie di profilazione o altri strumenti di tracciamento può avvenire esclusivamente sulla base di un consenso espresso, che costituisce la base giuridica per la profilazione.

In vista dell’entrata in vigore del GDPR, Meta, che già effettuava trattamenti automatizzati di questo tipo, si è ritrovata davanti alla necessità di rendere lecita l’attività di profilazione secondo le nuove norme.

La soluzione adottata da Zuckerberg è stata quella di modificare i “Termini di servizio” delle sue piattaforme includendo tutti i trattamenti connessi alla fornitura dei servizi, inclusa la fornitura di servizi personalizzati e del behavioral advertising, obbligando gli utenti (nuovi e già esistenti) ad accettare questi termini per poter utilizzare i social network.

In pratica gli utenti per continuare (o iniziare) ad usare Facebook e Instagram sono costretti ad accettare le condizioni di servizio predisposte da Meta, tra cui figura anche il trattamento personalizzato.

Anche la profilazione, quindi, è considerata “necessaria per la conclusione o l’esecuzione di un contratto” e da qui deriva la scelta della base giuridica dell’esecuzione del contratto che ha permesso a Meta di effettuare il trattamento dei dati personali degli utenti per questa finalità, senza aver ottenuto uno specifico consenso a tale finalità. Questo finora.

L’operazione di Meta non è stata gradita dall’associazione Noyb, l’organizzazione che fa capo al noto attivista austriaco Max Schrems che da anni ormai si batte per il rispetto del GDPR da parte dei grandi player del digitale.

Così, nel 2018, Noyb ha deciso di supportare due reclami, uno contro Facebookdi un cittadino austriaco e uno contro Instagram di un cittadino belga, contestando a Meta il fatto che la base giuridica per l’attività di profilazione non possa essere l’esecuzione di un contratto (come stabilito dall’art. 6 e dell’art. 22 del GDPR), bensì deve essere il consenso specifico degli utenti e che non si può impedire l’utilizzo dei social network a chi dovesse negare questo consenso specifico.

Secondo Nyob, in pratica, Meta sta bypassando la richiesta del consenso per fare behavioral advertising inserendo nel “grande calderone dei Terms & Conditions” anche questa attività, mentre in realtà secondo le modalità stabilite dal GDPR sono imposti requisiti molto più stringenti per la raccolta del consenso.

Questi reclami hanno fatto scattare le indagini presso l’Autorità competente, cioè il DPC, vista la sede legale di Meta Platforms Ireland Limited.

La bozza di decisione del Garante irlandese, in sostanza, dava ragione a Metaaffermando che era possibile ricorrere alla base giuridica dell’esecuzione del contratto, piuttosto che al consenso, anche se evidenziava carenze sotto il profilo della trasparenza resa agli utenti e combinava comunque una sanzione alla società.

Ma anche qui, la questione è più complessa.

Quando il trattamento dei dati personali supera i confini nazionali e coinvolge in maniera importante tutti i cittadini europei è previsto il meccanismo di coerenza, secondo il quale il Garante irlandese è stato costretto a sottoporre la bozza della sua decisione a tutte le Autorità di vigilanza interessate (CSA), in sostanza leAutorità nazionali degli altri Stati membri.

Il meccanismo prevede che se anche una sola delle CSA sollevi delle obiezioni, motivate e pertinenti, sulla bozza di decisione, questa debba ritornare indietro al mittente, essere modificata e sottoposta nuovamente a giudizio.

Questo il caso che commentiamo, in cui ben 10 CSA nazionali coinvolte si sono opposte ritenendo la base giuridica dell’esecuzione del contratto non sufficienteper l’attività di profilazione ai fini del behavioral advertising.

Non essendosi risolto il disaccordo tra le varie autorità, la questione è arrivata a livelli più alti, chiamando in causa l’EDPB per un parere vincolante, secondo il meccanismo della Dispute Resolution (stabilito dall’art. 65 del GDPR).

L’EDPB si è espresso attraverso due decisioni vincolanti: la decisione 3/2022 relativa ai servizi di Facebook e la decisione 4/2022 relativa ai servizi di Instagram.

Contrariamente alla bozza di decisione dell’Autorità irlandese, l’EDPB ha statuito, in buona sostanza, che per fare attività di profilazione è necessario un consenso specifico e distinto degli utenti e che questo non può essere incluso nell’accettazione delle clausole generali di utilizzo delle piattaforme, in quanto la base giuridica rimane il consenso e non l’esecuzione del contratto.

A fine dicembre scorso, il DPC ha emesso le sue decisioni finali circa le inquiries di META: la decisione in relazione a Facebook e la decisione in relazione a Instagram con le quali ha anche comminato sanzioni amministrative pecuniarie di €390 milioni (210 milioni per Facebook e 180 milioni per Instagram).

Tuttavia, da una prima lettura dei due provvedimenti, pare che il DPC, pur aderendo in parte alle decisioni vincolanti dell’EDPB, insista sulla questione legata alla mancanza di trasparenza del trattamento dei dati personali degli utenti, piuttosto che sul consenso quale base giuridica che legittimerebbe l’attività di profilazione e pubblicità comportamentale di Meta.

Infatti, secondo quanto affermato da Noyb in commento alla decisione del DPC su Facebook, “Il DPC cerca di ignorare la questione se Meta abbia intenzionalmente fuorviato gli utenti dicendo semplicemente che si tratta di una questione di trasparenza”, oltre che “ la questione centrale dei reclami, ossia se le clausole dei termini equivalgano di fatto a una clausola di consenso nascosta (falsa demonstratio)”, rifiutandosi “di indagare a fondo sulla questione”.

Queste decisioni aprono ad una serie di valutazioni valide per tutti i business che operano online e che fanno uso di pubblicità comportamentale.

L’EDPB, infatti, ha stabilito ancora una volta (e probabilmente in maniera definitiva) che per rendere il servizio della pubblicità comportamentale è necessario prevedere un meccanismo di opt-in per la raccolta del consensospecifico al trattamento dei dati per questa finalità in maniera trasparente.

Come raccogliere il consenso? L’EDPB ha messo a disposizione delle linee guida specifiche sul tema, ma, fondamentalmente, il GDPR è abbastanza chiaro su questo punto in diverse parti.

L’art. 4 stabilisce che il consenso deve essere una “…manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile…”

Inoltre il Considerando 32 stabilisce che “Non dovrebbe configurare consenso il silenzio, l’inattività o la preselezione di caselle… Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.”

Quindi niente form pre-flaggati e ogni finalità del trattamento per il quale è raccolto il consenso deve essere ben specificata nell’informativa e soprattutto non si può negare l’utilizzo della piattaforma se è negato il consenso.

E ora? Quali sono i possibili scenari che si aprono? Intanto Meta ha già annunciato che farà ricorso alle Autorità irlandesi preposte, anche se sembra poco plausibile un esito positivo per la holding.

La decisione prevede anche che Meta abbia 3 mesi per correre ai ripari, potendo percorrere due strade:

• rinunciare al behavioural advertising (improbabile)
• chiedere correttamente i consensi a tutti gli utenti.

In questa seconda ipotesi, Meta dovrà rispettare la volontà di chi non darà il consenso non potendo né impedire l’uso dei social, né usare i dati di questi utenti per la pubblicità comportamentale.

Probabilmente questo potrebbe essere un importante momento di transizione, con le Big Tech costrette a rivedere i propri modelli di business a vantaggio di una maggiore tutela delle libertà fondamentali delle persone, quello che è certo, però, è che difficilmente la pubblicità online possa sparire, ma al contrario bisogna assicurarsi di utilizzarla al meglio e in modo compliant al GDPR, e questo vale per tutti.