WhatsApp rischia una multa di 5,5 milioni di euro: il DPC limita la portata del caso contro WhatsApp e respinge la richiesta dell'EDPB di indagare su questioni come la condivisione dei dati all'interno di Meta.
Come confermato oggi dal DPC irlandese, il Comitato europeo per la protezione dei dati (EDPB) ha deciso che Meta non può costringere gli utenti di WhatsApp ad accettare l'uso dei loro dati per "migliorare il servizio" e la "sicurezza". La questione centrale dell'utilizzo dei dati per "pubblicità comportamentale, per scopi di marketing, nonché per la fornitura di dati metrici a terzi e per lo scambio di dati con società affiliate " non sono state trattate dal DPC irlandese, nonostante una decisione vincolante dell'EDPB che impone di indagare su tali questioni. La decisione arriva 4,5 anni dopo la presentazione dei reclami originali da parte di noyb, in merito all'aggiramento del GDPR da parte di Meta attraverso una clausola nei termini e condizioni.
- Video esplicativo sull'aggiramento del GDPR da parte di Meta (dal dicembre 2022)
- Blogpost sulle decisioni prese su Facebook e Instagram
- Reclami originali di noyb del 2018
- Decisione finale del DPC (PDF)
Fatti principali:
- Il 25 maggio 2018, noyb ha presentato tre denunce contro Facebook, Instagram e WhatsApp sulla base del consenso forzato.
- Due denunce presentate contro Facebook e Instragram per conto di un utente austriaco e uno belga sono state decise nella prima settimana di gennaio e hanno portato a una multa complessiva di 390 milioni di euro.
- La terza decisione relativa a WhatsApp per conto di un utente tedesco è stata pubblicata oggi.
- Meta ha cercato di "aggirare" il requisito del consenso previsto dal GDPR aggiungendo una clausola ai termini e alle condizioni per la pubblicità.
- Nel dicembre 2022, l'EDPB ha annullato una precedente bozza di decisione del DPC irlandese che riteneva legale l'aggiramento del GDPR da parte di Meta e l'EDPB ha chiesto di modificare la decisione su WhatsApp, oltre a ulteriori indagini sulle violazioni fondamentali di WhatsApp.
- Il DPC ha ora adattato la sua decisione limitata, ma si rifiuta di indagare su altre questioni, come ordinato dall'EDPB. Il DPC minaccia di intentare una causa contro i suoi partner europei.
- La decisione probabilmente richiede a WhatsApp di implementare un "opt-in" per l'uso dei dati personali per il "miglioramento del prodotto", mentre l'uso dei dati personali per la sicurezza potrebbe essere ampiamente spostato su un'altra base legale.
Meta voleva "aggirare" il GDPR. Il GDPR prevede sei basi giuridiche per il trattamento dei dati, una delle quali è il consenso ai sensi dell'articolo 6(1)(a). Meta ha cercato di aggirare il requisito del consenso per il tracciamento e la pubblicità online sostenendo che gli annunci sono parte del "servizio" che deve contrattualmente agli utenti. Il presunto cambio di base giuridica è avvenuto esattamente il 25 maggio 2018, alla mezzanotte dell'entrata in vigore del GDPR. La cosiddetta "necessità contrattuale" ai sensi dell'articolo 6, paragrafo 1, lettera b), è solitamente intesa in senso restrittivo e consentirebbe, ad esempio, a un negozio online di inoltrare l'indirizzo a un servizio postale, in quanto strettamente necessario per consegnare un ordine. Meta, tuttavia, ha ritenuto di poter aggiungere elementi casuali al contratto (come la pubblicità personalizzata), per evitare un'opzione di consenso sì/no per i suoi utenti.
Il DPC limita il caso alla "sicurezza" e al "miglioramento dei servizi". Il DPC ha ora limitato la procedura di 4,5 anni alle questioni minori della base giuridica per l'utilizzo dei dati a fini di sicurezza e per il miglioramento dei servizi. Il DPC ha quindi ignorato le questioni più importanti relative alla condivisione dei dati di WhatsApp con le altre società di Meta (Facebook e Instagram) per scopi pubblicitari e di altro tipo. Mentre agli utenti dovrebbe essere chiesto di utilizzare i loro dati per migliorare i prodotti tramite un opt-in, sembra chiaro che l'uso dei dati per la sicurezza rimane legale ai sensi del GDPR, anche se questo non è più incluso in un contratto.
Max Schrems:"Siamo stupiti di come il DPC ignori semplicemente il nocciolo del caso dopo una procedura durata 4,5 anni. Il DPC ignora chiaramente anche la decisione vincolante dell'EDPB. Sembra che il DPC abbia finalmente tagliato i ponti con le autorità partner dell'UE e con i requisiti della legge europea e irlandese"
I "metadati" di WhatsApp vengono ulteriormente utilizzati per annunci personalizzati? Sebbene WhatsApp non fornisca annunci personalizzati, fornisce i cosiddetti "metadati" a Facebook e Instagram, che a loro volta vengono utilizzati per la pubblicità personalizzata sulle due piattaforme di social media. Questi metadati rivelano molte informazioni sul comportamento di comunicazione degli utenti: chi comunica con chi e quando, chi usa l'app quando, per quanto tempo e con quale frequenza. Mentre la comunicazione in sé è criptata, vengono raccolti i numeri di telefono e gli account Facebook o Instagram associati delle persone. Tali informazioni possono essere utilizzate per personalizzare gli annunci degli utenti su altre piattaforme Meta come Facebook e Instagram. Il DPC sembra essersi rifiutato di indagare su questa questione centrale delle denunce.
Max Schrems: "WhatsApp dice di essere criptato, ma questo è vero solo per il contenuto delle chat, non per i metadati. WhatsApp sa ancora con chi si chatta di più e a che ora. Questo permette a Meta di conoscere molto bene il tessuto sociale che vi circonda. Meta utilizza queste informazioni per indirizzare, ad esempio, gli annunci a cui gli amici sono già interessati. Sembra che il DPC si sia semplicemente rifiutato di decidere in merito, nonostante 4,5 anni di indagini"
Il DPC e Meta hanno collaborato e sono stati respinti dall'EDPB. Nel corso della procedura, Meta ha fatto affidamento su dieci incontri riservati con il DPC irlandese, in cui quest'ultimo ha permesso a Meta di utilizzare questo "bypass". È stato poi rivelato che il DPC ha persino cercato di influenzare le linee guida dell'EDPB nell'interesse di Meta. Ciononostante, le altre autorità di protezione dei dati europee hanno respinto il punto di vista del DPC internamente nel 2018, nelle linee guida nel 2019 e ancora nella decisione finale dell'EDPB nel dicembre 2022. Il caso si è protratto per 4,5 anni con centinaia di pagine di relazioni e documenti, nonostante si trattasse di una questione legale piuttosto semplice.
Max Schrems:"Questo caso riguarda una semplice questione legale. Meta sostiene che il 'bypass' è avvenuto con la benedizione del DPC. Per anni, il DPC ha trascinato la procedura e ha insistito sul fatto che Meta potesse aggirare il GDPR, ma ora è stato scavalcato dalle altre autorità dell'UE. Ècomplessivamente la quarta volta di fila che il DPC irlandese viene scavalcato"