BREAKING: Meta (Facebook e Instagram) non può utilizzare i dati personali per la pubblicità. Un duro colpo per il modello di business di Meta in Europa, a seguito del contenzioso con la Noyb . La multa per Meta è più che decuplicata, passando da 32 a 390 milioni di euro. Terzo caso su WhatsApp in corso.
Come confermato dal DPC irlandese, l'European Data Protection Board (EDPB) ha respinto l'aggiramento del GDPR da parte del DPC irlandese e di Meta sulla base dei reclami noyb contro Facebook e Instagram. A Meta è ora vietato aggirare il GDPR tramite una clausola dei termini e delle condizioni. Meta deve ottenere il consenso "opt-in" per la pubblicità personalizzata e deve fornire agli utenti un'opzione "sì/no". La decisione su un terzo caso parallelo su WhatsApp è rimandata a metà gennaio.
- Video esplicativo sul bypass di Meta (da dicembre 2022)
- Denunce originali di noyb del 2018
- Precedente relazione sulle prime informazioni sulla decisione dell'EDPB (Reuters)
Fatti principali:
- Due reclami presentati da noyb per conto di un utente austriaco e uno belga il 25 maggio 2018 (giorno in cui il GDPR è diventato applicabile) sono stati decisi oggi.
- Un terzo reclamo presentato da WhatsApp per conto di un utente tedesco è stato rinviato a metà gennaio, secondo un'e-mail del DPC.
- Meta ha cercato di "aggirare" il requisito del consenso previsto dal GDPR aggiungendo una clausola ai termini e alle condizioni per la pubblicità.
- Nel dicembre 2022, l'EDPB ha annullato una precedente bozza di decisione del DPC irlandese che riteneva legale l'aggiramento del GDPR da parte di Meta.
- La decisione finale prevede che Meta non possa utilizzare i dati personali per gli annunci sulla base di un presunto "contratto". Agli utenti deve quindi essere fornita un'opzione di consenso sì/no ("opt-in"), altrimenti Meta non può utilizzare i loro dati per la pubblicità personalizzata.
- La decisione non vieta altre forme di pubblicità (come gli annunci contestuali, basati sul contenuto di una pagina).
- Oltre a stabilire che l'uso dei dati personali da parte di Meta era illegale dal maggio 2018.
- La multa per Facebook e Instragram ammonta a 380 milioni di euro. È prevedibile un'ulteriore multa per WhatsApp nel procedimento parallelo.
Meta voleva "aggirare" il GDPR. Il GDPR prevede sei basi giuridiche per il trattamento dei dati, una delle quali è il consenso ai sensi dell'articolo 6, paragrafo 1, lettera a). Meta ha cercato di aggirare il requisito del consenso per il tracciamento e la pubblicità online sostenendo che gli annunci sono parte del "servizio" che deve contrattualmente agli utenti. Il presunto cambio di base giuridica è avvenuto esattamente il 25 maggio 2018, alla mezzanotte dell'entrata in vigore del GDPR. La cosiddetta "necessità contrattuale" ai sensi dell'articolo 6, paragrafo 1, lettera b), è solitamente intesa in senso restrittivo e consentirebbe, ad esempio, a un negozio online di inoltrare l'indirizzo a un servizio postale, in quanto strettamente necessario per consegnare un ordine. Meta, tuttavia, ha ritenuto di poter semplicemente aggiungere elementi casuali al contratto (come la pubblicità personalizzata), per evitare l'opzione di consenso sì/no per gli utenti.
Max Schrems:"Invece di avere un'opzione 'sì/no' per gli annunci personalizzati, hanno semplicemente spostato la clausola di consenso nei termini e condizioni. Questo non è solo ingiusto, ma chiaramente illegale. Non siamo a conoscenza di nessun'altra azienda che abbia cercato di ignorare il GDPR in modo così arrogante"
380 milioni di euro di multe, il DPC voleva € da 28 a 36 milioni di euro. Oltre allo stop generale agli annunci personalizzati, l'EDPB ha insistito su una multa massiccia per Meta. Dopo tutto, l'azienda ha basato la maggior parte del trattamento dei dati commerciali su una violazione intenzionale della legge. L'EDPB ha già emanato delle linee guida in materia nel 2019. Meta è già stata colpita con più di 900 milioni di euro di multe GDPR in altri casi precedenti. La multa va allo Stato irlandese, non al denunciante, al Noyb o all'EDPB. Il DPC ha chiesto in precedenza, in una bozza di decisione, una cifra compresa tra i 28 e i 36 milioni di euro, pari solo al 10% della sentenza definitiva dell'EDPB.
Max Schrems: "La sanzione andrà all'Irlanda, lo Stato che ha preso le parti di Meta e ha ritardato l'applicazione della normativa per più di quattro anni. Questo caso sarà probabilmente oggetto di appello da parte di Meta, con conseguenti ulteriori costi per la Noyb"
DPC e Meta hanno collaborato e sono stati respinti dall'EDPB. Nel corso della procedura, Meta ha fatto affidamento su dieci incontri riservati con il DPC irlandese, in cui quest'ultimo ha permesso a Meta di utilizzare questo "bypass". In seguito è stato rivelato che il DPC ha persino cercato di influenzare le linee guida dell'EDPB nell'interesse di Meta. Ciononostante, le altre autorità di protezione dei dati europee hanno respinto il punto di vista del DPC internamente nel 2018, nelle linee guida nel 2019 e ancora nella decisione finale dell'EDPB nel dicembre 2022. Il caso si è protratto per 4,5 anni con centinaia di pagine di relazioni e documenti, nonostante si trattasse di una questione legale piuttosto semplice.
Max Schrems:"Questo caso riguarda una semplice questione legale. Meta sostiene che il 'bypass' è avvenuto con la benedizione del DPC. Per anni il DPC ha trascinato la procedura e ha insistito sul fatto che Meta potesse aggirare il GDPR, ma ora è stato scavalcato dalle altre autorità dell'UE. È complessivamente la quarta volta di fila che il DPC irlandese viene scavalcato."
Il DPC vede una vittoria sulla questione della "trasparenza"? Nella dichiarazione ai media del DPC la questione centrale, se Meta può utilizzare i dati degli utenti per la pubblicità, viene seppellita in un dibattito più piccolo sulla trasparenza, dove è stata riscontrata una violazione.
"È piuttosto patetico che il DPC sostenga che le altre autorità si siano accordate su una questione di trasparenza minore: sarebbe bastato cambiare un testo sul sito web di Meta. Il nocciolo della questione è che Meta ha trattato illegalmente i dati degli utenti per più di quattro anni, il DPC ha protetto Meta ed è stato bocciato a livello europeo."
Conseguenza: niente annunci personalizzati, meno profitti. La decisione significa che Meta dovrà consentire agli utenti di avere una versione di tutte le app che non utilizzi i dati personali per gli annunci entro tre mesi. La decisione consentirà comunque a Meta di utilizzare dati non personali (come il contenuto di una storia) per personalizzare gli annunci o di chiedere agli utenti il consenso agli annunci tramite un'opzione "sì/no". Gli utenti devono poter ritirare il consenso in qualsiasi momento e Meta non può limitare il servizio se gli utenti decidono di farlo. Se da un lato questo limiterà drasticamente i profitti di Meta nell'UE, dall'altro non proibirà completamente gli annunci. La decisione metterà Meta sullo stesso piano di altri siti web o applicazioni, che devono fornire agli utenti un'opzione "sì/no".
Max Schrems:"Questo è un duro colpo per i profitti di Meta nell'UE. Ora bisogna chiedere alle persone se vogliono che i loro dati vengano utilizzati per gli annunci pubblicitari o meno. Devono avere un'opzione "sì o no" e possono cambiare idea in qualsiasi momento. Ladecisione garantisce anche la parità di condizioni con gli altri inserzionisti che devono ottenere il consenso opt-in"
Il DPC censura la decisione del querelante e del pubblico, assicurando che Meta e il DPC controllino la narrazione dei media. Con una mossa sorprendente, il DPC ha informato oggi noyb che, pur essendo una delle due parti in causa nel procedimento, non renderà nota la decisione a noyb. Il DPC ha improvvisamente addotto come motivo la presunta "riservatezza" della decisione. La decisione dovrebbe essere comunicata al querelante in una fase successiva, forse anche dopo la scadenza di un eventuale ricorso. Ciò è in contrasto con le precedenti informazioni del DPC, secondo cui le parti avrebbero ricevuto la decisione prima di qualsiasi pubblicazione da parte del DPC.
Max Schrems:"L'annullamento della decisione da parte dell'EDPB è un duro colpo per il DPC, ma non sembra che si voglia almeno cercare di guadagnare la percezione pubblica di questo caso. In dieci anni di contenzioso non ho mai visto una decisione notificata solo a una parte, ma non all'altra. Il DPC fa un gioco di pubbliche relazioni davvero diabolico. Non permettendo alla Noyb o al pubblico di leggere la decisione, cerca di plasmare la narrazione della decisione insieme a Meta. Sembra che la cooperazione tra Meta e il regolatore irlandese sia viva e vegeta, nonostante sia stata annullata dall'EDPB"
Prossime tappe: DPC fa causa all'EDPB, Meta probabilmente farà ricorso. Meta dovrebbe appellarsi alla decisione presso i tribunali irlandesi, ma le possibilità di vincere un ricorso sono minime dopo una decisione vincolante dell'EDPB. Sono inoltre in corso due cause simili presso la Corte di Giustizia dell'UE (CJEU) sul bypass del consenso di Meta, che potrebbero risolvere definitivamente la questione e tutti i ricorsi. A margine, il DPC ha anche annunciato che potrebbe citare in giudizio l'EDPB per una serie di questioni, in quanto l'EDPB ha richiesto al DPC di intraprendere ulteriori azioni investigative su Meta, oltre ai reclami decisi da noyb. Il DPC ritiene che l'EDPB non abbia questi poteri e cercherà di far annullare questa decisione. Gli utenti possono quindi intraprendere azioni legali per l'uso illegale dei loro dati negli ultimi 4,5 anni.