Il bypass del GDPR di Facebook raggiunge la Corte Suprema austriaca

Mar 14, 2021

Il bypass del consenso GDPR di Facebook tramite un "obbligo di pubblicità contrattuale" davanti alla Corte Suprema austriaca, con un alto potenziale di riferimento alla CGUE

Come riportano l'Austrian Press Agency (APA) e Der Standard, un caso che potrebbe determinare la legalità del business di Facebook in Europa ha raggiunto la Corte Suprema austriaca (OGH). Facebook e il signor Schrems hanno entrambi presentato ricorso contro una precedente sentenza della Corte Regionale Superiore di Vienna (OLG Wien). Tra le altre questioni, il presunto "aggiramento" delle severe regole di consenso del GDPR è diventato centrale nel caso. Alla Corte Suprema è stato chiesto di rinviare il caso alla Corte di giustizia europea (CJEU) per un chiarimento.

Il "bypass del consenso" di Facebook. Quando il GDPR è entrato in vigore, un grande vantaggio è stato il dovere di avere un chiaro consenso opt-in quando le aziende vogliono trattare i dati degli utenti. Oltre al consenso, ci sono altre cinque basi giuridiche per trattare i dati ai sensi dell'articolo 6(1) GDPR. Una di queste basi è il trattamento che è "necessario per l'esecuzione di un contratto". Il 25.5.2018 a mezzanotte, quando il GDPR è diventato applicabile, Facebook ha semplicemente nominato cose come "pubblicità personalizzata" nei suoi termini e condizioni. Facebook ora sostiene di avere il "dovere di fornire pubblicità personalizzata" agli utenti, quindi non ha bisogno del consenso dell'utente per trattare i suoi dati personali.

La grande differenza tra consenso e contratto? Il GDPR ha regole molto severe sul consenso. Gli utenti devono essere pienamente informati, devono avere una libera scelta di accettare o meno e devono poter acconsentire ad ogni tipo di trattamento in modo specifico. Gli utenti possono anche ritirare il consenso in qualsiasi momento e senza costi. I contratti sono tuttavia una questione di ogni legge nazionale e sono di solito molto più flessibili. Gli utenti non devono aver compreso un contratto per essere vincolati, i dettagli possono essere nascosti in "termini e condizioni" e possono venire su una base "prendere o lasciare".

Katherina Raabe-Stuppnig, LGP, che rappresenta il signor Schrems "Facebook sta semplicemente cercando di rietichettare il consenso non valido per aggirare il GDPR. Tutte le altre aziende ottengono un consenso corretto - solo Facebook pensa di poterlo aggirare" e inoltre"Solo perché si sposta una dichiarazione di consenso in un contratto, deve essere ulteriormente trattato come consenso. Si è sempre dovuto interpretare i contratti principalmente secondo il loro vero scopo. Ilconsenso in un contratto deve quindi essere interpretato proprio come consenso"

Il64% degli utenti vede un "consenso", l'1,6% un "contratto pubblicitario". noyb ha commissionato uno studio all'Istituto Gallup, in cui 1.000 utenti austriaci di Facebook sono stati interrogati sulla loro comprensione del contratto. Circa due terzi hanno interpretato la pagina in questione come una richiesta di consenso da parte di Facebook, solo il 10% circa ha visto un "contratto", di cui solo 16 utenti hanno capito che comportava un obbligo di fornire pubblicità personalizzata (complessivamente 1,6%), come sostenuto da Facebook. I due tribunali inferiori in Austria, tuttavia, hanno ritenuto che è solo a discrezione di Facebook rivendicare un termine come "contratto" o "consenso". Di conseguenza, non hanno visto alcun problema con il bypass di Facebook, ma hanno anche affermato che la questione deve essere chiarita dalle Corti supreme.

Minare il GDPR? L'approccio di Facebook può anche essere visto come un chiaro segnale di ignorare (almeno lo spirito del) GDPR, mentre Facebook sostiene di essere pienamente conforme. Der Standard ha citato il membro liberale del Parlamento europeo Sofie in 't Veld, che ha negoziato il GDPR e ha detto "L'obbligo di chiedere il consenso deve rimanere fermo. I termini contrattuali non possono essere utilizzati come una clausola di fuga per questo requisito, o per qualsiasi altra base giuridica per il trattamento dei dati. Il GDPR è chiaramente progettato per dare agli utenti il controllo sui loro dati. Non per permettere a Facebook di truffare gli utenti dei loro dati personali"

Inattività dell'autorità per la protezione dei dati. La stessa questione è stata anche sollevata da noyb davanti alla Commissione irlandese per la protezione dei dati (DPC) più di 2,5 anni fa. Le tre indagini sul presunto "consenso forzato" andavano però a rilento e la questione centrale di un "bypass" è stata ritenuta fuori dall'ambito della procedura. Nel caso austriaco Facebook ha sostenuto che il "bypass" è stato implementato dopo aver avuto dieci incontri con il DPC che ha sviluppato il "bypass" con la Social Media Company. Il DPC ha negato questo, ma ha rifiutato di rivelare i dettagli dei dieci incontri riservati con Facebook nel periodo precedente al GDPR. Due dei casi irlandesi sono ora oggetto di una revisione giudiziaria davanti all'Alta Corte irlandese, il terzo caso è in appello davanti alla Corte amministrativa federale austriaca (BVwG).

Un track record promettente. La Corte suprema austriaca ha già rinviato casi simili alla CGUE (vedi ad esempio C-18/18 - Glawischnig-Piesczek, C-498/16 - Schrems). La CGUE a sua volta ha precedentemente deciso per lo più contro Facebook in materia di privacy (si veda ad esempio C-40/17 - Fashion ID o C-210/16 - Wirtschaftsakademie Schleswig-Holstein), in particolare due casi contro Facebook sui trasferimenti di dati UE-USA soprannominati "Schrems I" e "Schrems II". Non è quindi improbabile che ci siano seri problemi per Facebook. La Corte Suprema austriaca non conduce udienze orali e di solito decide sui riferimenti alla CJEU in pochi mesi e in una decisione scritta. La stessa CJEU però impiega fino a 1,5 anni per condurre tutte le udienze e raggiungere una decisione.