Il DPC irlandese ha emesso la sua decisione finale sul trattamento illegale dei dati degli utenti da parte di Meta per la pubblicità personale. Ecco il link per il download e un primo rapido riassunto di noyb.
La decisione del DPC mostra chiaramente un forte disaccordo tra il DPC irlandese e l'EDPB.
- Decisione DPC di Facebook
- Decisione DPC di Instagram
- Decisione Facebook EDPB
- Decisione Instagram EDPB
Grande scontro tra il DPC e le controparti dell'UE. Dalla decisione del DPC risulta che le autorità austriache, tedesche, francesi, italiane, olandesi, norvegesi, polacche, portoghesi e svedesi hanno sollevato obiezioni formali contro la decisione del DPC. Tradizionalmente, tuttavia, le autorità non sollevano obiezioni formali se è chiaro che la questione è già stata sollevata da diverse autorità. Il DPC non si è nemmeno preoccupato di modificare la decisione e di adattare le proprie posizioni, ma ha semplicemente copiato la posizione dell'EDPB nella decisione precedente.
Max Schrems:"La decisione assomiglia a un compito a casa in cui l'alunno non si è preoccupato di modificare gli errori, ma ha semplicemente copiato le correzioni dell'insegnante in un testo"
La decisione del DPC potrebbe non chiudere il caso. La decisione non sembra inoltre affrontare completamente le lamentele della noyb, in quanto non copre questioni come l'uso dei dati personali per migliorare la piattaforma di Facebook o per contenuti personalizzati. L'EDPB ha inoltre richiesto ulteriori indagini. Inoltre, il conflitto di fondo è che secondo la legge austriaca o tedesca, il reclamo definisce l'ambito della procedura, mentre il DPC ritiene che secondo la legge irlandese possa limitare l'ambito di un reclamo. noyb potrebbe dover impugnare la decisione per questi motivi.
Multa minima per un'effettiva violazione dei diritti degli utenti? Un elemento piuttosto scioccante riguarda l'entità delle multe. Mentre l'EDPB chiedeva una multa "significativamente più alta", la DPC ha deciso le cifre finali. Mentre il DPC ha comminato a Facebook una multa complessiva di 150 milioni di euro per questioni di trasparenza, il DPC ha comminato a Meta una multa di soli 60 milioni di euro per la mancanza di una base legale per il trattamento dei dati di milioni di utenti europei per circa cinque anni.
Max Schrems:"A quanto pare, il DPC è più preoccupato di fregare gli utenti in modo trasparente, piuttosto che non fregarli affatto"
Ulteriori dettagli nei punti salienti. La decisione è suddivisa in diverse sezioni che trattano diverse questioni e in un calendario che si occupa di questioni procedurali. Di seguito è possibile leggere un breve riassunto dei punti principali, con i paragrafi in cui è possibile trovare il punto nella decisione finale di Facebook. Potrebbero esserci lievi differenze per la decisione di Instagram, ma ci aspettiamo che siano in gran parte simili.
Se Meta può usare il consenso (questione 1 della decisione)
- Il DPC cerca di ignorare la questione se Meta abbia intenzionalmente fuorviato gli utenti dicendo semplicemente che si tratta di una questione di trasparenza (§ 2.19); il DPC respinge quindi il fatto che non abbia esaminato a fondo il reclamo originale (§ 2.20).
- L'EDPB ha rilevato che il DPC"avrebbe dovuto includere un esame delle operazioni di trattamento di Facebook, delle categorie di dati trattati (compresa l'identificazione di categorie speciali di dati personali che possono essere trattati) e delle finalità a cui servono", per determinare pienamente il reclamo.
- Il DPC continua a ignorare la questione centrale dei reclami, ossia se le clausole dei termini equivalgano di fatto a una clausola di consenso nascosta(falsa demonstratio). Invece, il DPC ha aderito al punto di vista di Meta, secondo cui se il responsabile del trattamento non ha mai chiesto il consenso. Se questo è il caso, non può esserci alcun consenso (§ 3.10) e la questione non deve quindi essere esaminata, anche se l'accusa è che Meta ha semplicemente inserito una clausola di consenso nei termini e condizioni.
- Il fatto che uno studio condotto su 1.000 utenti dimostri che più del 60% ritiene che si tratti di un consenso e meno del 2% che si tratti di un contratto, viene continuamente ignorato dal DPC. L'EDPB ha sottolineato che lo studio è un'informazione importante che non è stata presa in considerazione dal DPC e non è stata inclusa nel progetto di decisione.
- L'EDPB ha annullato la valutazione del DPC sul fatto che il clic su "accetta" sul sito web di Meta fosse effettivamente da valutare come "consenso" ai sensi dell'articolo 6, paragrafo 1, lettera a), o come "contratto" ai sensi dell'articolo 6, paragrafo 1, lettera b), del GDPR.
- L'EDPB ha chiesto che il DPC rimuova tutte le conclusioni sulla "questione 1" nella decisione (cfr. § 3.26). Mentre il DPC continua a mantenere tutte le sue conclusioni alle pagine 15-21 della bozza di decisione (contro la posizione del EDPB), il DPC ha aggiunto un singolo paragrafo alla fine della sezione, affermando che (nonostante il mantenimento di tutte le argomentazioni contro il punto di vista del EDPB) "non fa alcuna conclusione in merito alla questione 1".
Se Meta può utilizzare l'articolo 6, paragrafo 1, lettera b), "contratto" (questione 2 della decisione)
- Il DPC ha negato di indagare su tutte le operazioni di trattamento in cui Meta si appoggia all'articolo 6, paragrafo 1, lettera b), in quanto"non sarebbe possibile per un denunciante ... richiedere tale valutazione". Di conseguenza, Facebook non ha mai fornito un elenco di tutte le operazioni di trattamento e della relativa base giuridica. Ciò potrebbe violare la legge austriaca, in cui la portata di un reclamo è chiaramente di competenza del reclamante. Il DPC ha quindi esaminato la questione solo a livello di principio (§ 4.7), concentrandosi sulla "pubblicità comportamentale". Ciò può rendere la decisione impugnabile, in quanto sono state sollevate anche altre forme di personalizzazione (come la personalizzazione dei contenuti, il miglioramento del prodotto e simili) o il trattamento dei dati personali sensibili ai sensi dell'articolo 9 del GDPR, ma non sono state trattate dall'indagine e dalla decisione del DPC.
- Il DPC non vede alcuna competenza nell'interpretare cosa sia un "contratto" e ritiene che la sua giurisdizione sia limitata al GDPR (§ 4.13). Questo è abbastanza sorprendente, poiché determinare cosa contiene il contratto è un prerequisito logico per determinare se il trattamento è "necessario" per adempiere a un contratto. noyb ha precedentemente affermato che non valutare il contratto equivale a un trucco per non affrontare la questione. Il DPC"respinge, con la massima fermezza, queste gravi accuse di malafede, disonestà e condotta altrimenti illegale" da parte di noyb, quando la necessità contrattuale non è stata semplicemente esaminata dal DPC. Il DPC non accetta che non indagare su ciò che contiene il contratto sia un"diniego di giustizia" (§ 4.16).
- Nei paragrafi da 4.26 a 4.55 il DPC ribadisce il disaccordo tra il DPC e l'EDPB, dove il DPC afferma di non poter valutare il contenuto dei contratti e di essere favorevole a un'interpretazione ampia, in cui qualsiasi cosa inserita in un contratto o nei termini e condizioni è "necessaria" ai sensi dell'articolo 6, paragrafo 1, lettera b), del GDPR.
- L'EDPB sembra essersi basato sui riferimenti della CGUE nelle sentenze C-252/21 e C-446/21 sulle constatazioni di fatto sull'uso dei dati personali da parte di Meta per la pubblicità e simili, poiché il DPC si è rifiutato di indagare a fondo sulla questione (pagg. 37 e 38). Sembra esserci un grosso problema procedurale, in quanto l'EDPB potrebbe semplicemente non avere le prove fattuali per prendere una decisione sull'intero reclamo, se il DPC si rifiuta continuamente anche solo di indagare a fondo sulla questione.
- Il DPC poi si limita a copiare la decisione dell'EDPB nella bozza di decisione del DPC. I punti salienti dell'EDPB:
- L'EDPB rifiuta in larga misura il punto di vista del DPC e sottolinea che lo studio di noyb dimostra che gli utenti non considerano il contratto, ma il consenso.
- L'EDPB afferma inoltre che il fatto che Meta scelga di realizzare profitti attraverso annunci personalizzati non li rende "necessari", poiché Meta potrebbe anche pubblicare annunci basati sul contesto o su altri dati.
- L'EDPB ritiene che lo scopo principale per cui gli utenti utilizzano i servizi Meta sia la comunicazione, non gli annunci personalizzati.
- Secondo l'EDPB, la posizione del DPC e di Meta potrebbe incoraggiare altri operatori a utilizzare l'articolo 6, paragrafo 1, lettera b), per aggirare l'obbligo di consenso.
- L'EDPB si unisce al parere delle autorità austriache, tedesche, francesi, italiane, olandesi, norvegesi, polacche, portoghesi e svedesi, secondo cui la pubblicità comportamentale "non è oggettivamente necessaria per l'esecuzione del presunto contratto di Meta".
- Senza ulteriori commenti, al § 4.56 la DPC dichiara (contro tutto ciò che ha sostenuto in precedenza) che,"come indicato dall'EDPB","Facebook non aveva il diritto di invocare l'articolo 6(1)(b) del GDPR" ai fini del targeting comportamentale.
Trasparenza del "bypass"
- Il DPC ha finora sostenuto principalmente che Meta avrebbe dovuto semplicemente rendere più trasparente l'aggiramento del GDPR (secondo il DPC altrimenti legale). Ciò avrebbe significato che gli utenti avrebbero semplicemente visto un pop-up aggiuntivo o simili, ma non avrebbe impedito a Meta di abusare ulteriormente dei dati degli utenti. La mancanza di trasparenza viene mantenuta nella decisione e spiegata nei paragrafi da 5.1 a 5.77.
- L'EDPB ha tuttavia insistito sul fatto che ciò comporta anche una violazione dell'articolo 5(1)(a) del GDPR, che a sua volta significherebbe anche che i dati personali degli utenti non avrebbero dovuto essere trattati.
- Anche in questo caso, il DPC si è limitato a copiare/incollare la decisione dell'EDPB nella propria decisione e ha aggiunto una riga, affermando che, in base alla decisione dell'EDPB, doveva fare questa ulteriore constatazione.
Gli ordini finali:
- L'EDPB ha richiesto un periodo di tre mesi per conformarsi all'ordine a partire dal momento in cui l'ordine dell'EDPB è stato notificato. L'ordinanza vieta a Meta di utilizzare l'articolo 6, paragrafo 1, lettera b), come descritto nell'ordinanza dell'EDPB.
- Il DPC ha specificato che la decisione dell'EDPB deve significare che "il trattamento" è limitato al solo trattamento a fini pubblicitari. Sembra che altri aspetti del reclamo non siano stati trattati dal DPC, il che potrebbe essere di per sé illegale.
- La DPC ha modificato la decisione della EDPB in modo che il termine di tre mesi non decorra dal momento in cui la decisione della EDPB è stata notificata a Meta (a dicembre), ma dalla notifica della decisione della DPC (a gennaio) (cfr. § 8.11). Questo scostamento della CDI dalla decisione della EDPB sembra essere illegittimo.
- L'EDPB è fondamentalmente in disaccordo con il parere della DPC sull'ammenda. L'autorità tedesca l'ha addirittura definita "controfattuale" (pagina 91). Allo stesso tempo, l'EDPB non aveva nemmeno le prove per stabilire che Meta avesse violato "intenzionalmente" il GDPR, come sostenuto dal DPA svedese.
- L'EDPB non ha stabilito una multa specifica, ma ha solo richiesto al DPC una multa "significativamente più alta".
- Le pagine da 100 a 153 sono dedicate alla rivalutazione della multa maggiorata da parte del DPC. L'ammenda è suddivisa in 80 milioni di euro, 70 milioni di euro per la mancanza di trasparenza e solo 60 milioni di euro in relazione all'effettivo trattamento illecito dei dati personali di milioni di utenti dell'UE ai sensi dell'articolo 6, paragrafo 1, lettera b) (§ 10.45).