L'Autorità irlandese per la protezione dei dati regala 3,97 miliardi di euro a Meta? L'Autorità non sarebbe in grado di trarre benefici finanziari dalle violazioni del GDPR di Meta in considerazione.
Il 04.01.2023, la Commissione irlandese per la protezione dei dati (DPC) ha annunciato una multa di 390 milioni di euro contro Meta a causa di pubblicità personalizzate illegali su Facebook e Instagram. Una prima analisi delle decisioni rivela ora che la DPC ha chiuso un occhio sui ricavi generati dalla violazione del GDPR nel calcolare la multa. Questo nonostante un voto a maggioranza di 2/3 di tutte le autorità dell'UE (l'EDPB) abbia indirizzato il DPC irlandese a tenere conto dei miliardi di euro di entrate illecite di Meta. La manovra del DPC ha fatto risparmiare a Meta quasi 4 miliardi di euro.
- lettera della noyb all'EDPB che illustra il mancato rispetto della decisione dell'EDPB da parte della DPC (PDF)
- Tabella con i numeri rilevanti (PDF)
- Informazioni pubbliche di Facebook su utenti e ricavi (vedi "Earning Slides")
Contesto: Violazione del GDPR da parte di Meta. In una battaglia durata 4,5 anni sulla mancanza di una base legale per la fornitura di pubblicità personalizzata nell'UE, noyb ha ottenuto un'importante vittoria. Il Comitato europeo per la protezione dei dati (EDPB) ha ribaltato l'elemento centrale di una precedente bozza di decisione del DPC irlandese e ha ritenuto che Meta non avesse una base legale adeguata per trattare i dati personali per la pubblicità comportamentale. Il tentativo di Meta di inserire un "accordo" nei termini e nelle condizioni di Facebook e Instagram è stato giudicato illegale. Qualsiasi trattamento basato su questo "aggiramento" dal 25 maggio 2018 era quindi illegale. L'EDPB ha dichiarato al DPC che una multa aggiuntiva deve "controbilanciare i vantaggi derivanti da questo "aggiramento" da parte di Facebook e Instagram"controbilanciare i guadagni derivanti dalla violazione" e ha ordinato alla DPC di "imporre una multa che superi tale importo".
Nuovo sviluppo: Il DPC non è in grado di stimare i ricavi illeciti di Meta? Il 5 dicembre 2022, il Comitato europeo per la protezione dei dati (EDPB) ha ordinato al DPC di quantificare l'entità dei ricavi generati da Meta attraverso la violazione del GDPR, e di includere tale somma nell'ammenda. Tuttavia, il DPC ha semplicemente ignorato gli introiti illeciti realizzati da Meta e ha affermato che"la Commissione non è in grado di accertare una stima delle questioni" e che quindi "non può tenerne conto". Questo nonostante avesse il potere di richiedere tali informazioni a Meta ai sensi dell'articolo 58(1) del GDPR.
Max Schrems, presidente della noyb:"Siamo tutti a conoscenza delle enormi entrate di Meta. È sorprendente che il DPC non ne abbia tenuto conto. Il DPC non ha nemmeno usato i suoi poteri statutari per chiedere a Meta le informazioni. Abbiamo quindi ricercato le informazioni pubblicamente disponibili e abbiamo scoperto che questo fattore da solo avrebbe dovuto far aumentare la multa di 3,97 miliardi di euro"
Informazioni sulle multe del GDPR. L'articolo 83 del GDPR stabilisce le regole per le ammende. Ogni multa deve essere generalmente"efficace, proporzionata e dissuasiva", deve tenere conto dei"benefici finanziari ottenuti ... dalla violazione", ma ha anche un tetto massimo del 4% del fatturato globale dell'ultimo anno. Nel caso di Meta, ciò equivarrebbe a una multa massima di 4,36 miliardi di euro. L'EDPB ha quindi chiesto al DPC di indagare sui "benefici finanziari" di Meta derivanti dalla violazione dell'articolo 6(1) del GDPR per circa 4,5 anni, in quanto una multa inferiore a tali benefici difficilmente potrebbe essere"efficace, proporzionata e dissuasiva".
Max Schrems:"Il tetto massimo del 4% del fatturato globale è stato facilmente superato dai ricavi derivanti dal trattamento illecito negli ultimi 4,5 anni. È facile dimostrare, sulla base delle informazioni pubbliche, che il solo fattore dei ricavi avrebbe richiesto l'imposizione della multa massima"
Informazioni pubbliche e un foglio di calcolo. Meta, essendo una società quotata in borsa, pubblica la maggior parte dei dati finanziari rilevanti. Secondo quanto riportato dalla stessa Meta, tra il terzo trimestre del 2018 e il terzo trimestre del 2022 ha ricavato 84,7 miliardi di euro (91,59 miliardi di dollari) dalla pubblicità nel continente europeo. Se si tiene conto del numero di utenti solo nell'UE, la cifra ammonta a circa 72,5 miliardi di euro (78,4 miliardi di dollari). Sebbene la "pubblicità comportamentale" non costituisca la totalità dei ricavi della pubblicità complessiva di Meta, è chiaro che in qualsiasi scenario realistico i ricavi della "pubblicità comportamentale" nell'UE superano la multa massima di 4,36 miliardi di euro.
Max Schrems:"Non avendo nemmeno controllato le informazioni pubblicamente disponibili, il DPC ha regalato a Meta 3,97 miliardi di euro. Abbiamo impiegato un'ora e un foglio elettronico per fare il calcolo. Sono sicuro che ai contribuenti irlandesi non dispiacerebbe avere quei soldi in più, se un dipendente del DPC avesse semplicemente aperto un motore di ricerca e fatto qualche ricerca"
Meta guadagna ancora 68,17 miliardi di euro dalla violazione del GDPR. Anche se fosse stata comminata la multa massima del 4%, Meta avrebbe comunque guadagnato fino a 68 miliardi di euro dalla violazione del GDPR dal 2018, se si presume che fondamentalmente ogni pubblicità su Meta sia attualmente una "pubblicità comportamentale". Ciò è dovuto principalmente al fatto che la procedura è stata ritardata in modo massiccio dal DPC e ha richiesto 4,5 anni, mentre la multa massima può essere calcolata solo sulla base di un singolo anno. Inoltre, la violazione di Meta ha probabilmente superato il 4% in ogni anno, il che significa che i ricavi hanno superato di gran lunga la multa massima per anno.
Max Schrems:"In conclusione, per Meta è stato assolutamente redditizio violare il GDPR e il DPC irlandese ha reso ancora più redditizio per Meta violare la legge dell'UE"
Lettera all'EDPB. noyb ha ora inviato una lettera all'EDPB in cui illustra in dettaglio il problema della decisione del DPC e tutti i calcoli. noyb chiede all'EDPB di garantire che la sua decisione sia pienamente confermata dal DPC.