reclaminoyb : Il modello di business di Meta dichiarato illegale nell'UE secondo il WSJ. Facebook, Instagram e WhatsApp non possono più pubblicare annunci personalizzati senza il consenso degli utenti
Come riportato dal Wall Street Journal, l'EDPB ha deciso che Meta non può costringere gli utenti ad accettare annunci personalizzati. Nel maggio 2018, quando il GDPR è entrato in vigore nell'UE, Meta Ireland Ltd. riteneva di poter "aggirare" l'obbligo di ottenere il consenso degli utenti, semplicemente aggiungendo una disposizione nei termini e condizioni. Il 25 maggio 2018, l'organizzazione per i diritti digitali noyb ha presentato un reclamo alle autorità competenti per la protezione dei dati (DPA). Ora, a distanza di 4,5 anni, l'European Data Protection Board (EDPB) ha ritenuto illegale il presunto "aggiramento" del GDPR da parte di Meta. L'EDPB ha anche respinto il parere della Commissione irlandese per la protezione dei dati (DPC) che in precedenza si era schierata con Meta, dopo aver impiegato quattro anni per indagare sul caso.
- Rapporto esclusivo del Wall Street Journal
- Reclami originali del 25 maggio 2018
- Retroscena sull'approvazione del "bypass del consenso" da parte del DPC
- Retroscena su come il DPC ha spinto l'EDPB nell'interesse di Meta
- Linee guida EDPB 2/2019 sull'articolo 6(1)(b) GDPR
Fatti chiave. Ecco i punti chiave:
- Le informazioni attuali si basano su quanto riportato dal Wall Street Journal, secondo cui l'EDPB avrebbe"stabilito che la legge sulla privacy dell'UE non consente alle piattaforme Meta, come Instagram e Facebook, di utilizzare i loro termini di servizio come giustificazione per consentire tale pubblicità"
- Questa decisione si basa sui reclami presentati da noyb il 25 maggio 2018, giorno in cui il GDPR è diventato applicabile.
- L'EDPB ha emesso una decisione che richiede al DPC irlandese (l'autorità di regolamentazione per Meta nell'UE) di emettere una decisione finale entro un mese.
- La decisione dell'EDPB non è indirizzata alle parti in causa, ma al DPC irlandese.
- L'EDPB ha quindi annullato una precedente bozza di decisione del DPC irlandese che riteneva legale l'aggiramento del GDPR da parte di Meta.
- La decisione dell'EDPB prevede che Meta non possa utilizzare i dati personali per annunci basati su un presunto "contratto". Gli utenti devono quindi disporre di un'opzione di consenso "sì/no".
- La decisione EDPB non vieta altre forme di pubblicità (come gli annunci contestuali, basati sul contenuto di una pagina).
- La decisione dell'EDPB non è stata pubblicata, ma sarà pubblicata insieme alla decisione finale del DPC nel gennaio 2023.
- L'EDPB ha anche richiesto una multa consistente, di cui non si conosce ancora l'importo esatto.
Meta voleva "aggirare" il consenso. Il GDPR prevede sei basi giuridiche per il trattamento dei dati, una delle quali è il consenso ai sensi dell'articolo 6, paragrafo 1, lettera a). Meta ha cercato di aggirare il requisito del consenso per il tracciamento e la pubblicità online sostenendo che gli annunci sono parte del "servizio" che deve contrattualmente agli utenti. Il presunto cambio di base giuridica è avvenuto esattamente il 25 maggio 2018 a mezzanotte, quando il GDPR ha iniziato ad applicarsi. La cosiddetta "necessità contrattuale" ai sensi dell'articolo 6, paragrafo 1, lettera b), è solitamente intesa in senso restrittivo e consentirebbe, ad esempio, a un negozio online di inoltrare l'indirizzo a un servizio postale, in quanto strettamente necessario per consegnare un ordine. Meta, tuttavia, ha ritenuto di poter semplicemente aggiungere elementi casuali al contratto (come la pubblicità personalizzata), per evitare l'opzione di consenso sì/no per gli utenti.
Max Schrems:"Invece di avere un'opzione sì/no per gli annunci personalizzati, hanno semplicemente spostato la clausola di consenso nei termini e condizioni. Questo non è solo ingiusto, ma chiaramente illegale. Non siamo a conoscenza di nessun'altra azienda che abbia cercato di ignorare il GDPR in modo così arrogante"
Prevista una multa sostanziosa. Secondo il WSJ, oltre allo stop generale agli annunci personalizzati, l'EDPB ha insistito per una multa massiccia per Meta. Dopo tutto, l'azienda ha basato la maggior parte del trattamento dei dati commerciali su una base giuridica che è stata chiaramente esclusa dall'EDPB in linee guida esplicite nel 2019, portando a violazioni chiaramente intenzionali della legge. Meta è già stata colpita da oltre 1 miliardo di euro di multe per il GDPR. Meta deve pagare questa multa allo Stato irlandese.
Max Schrems: "Questa procedura attinge a molte risorse della nostra associazione finanziata da donazioni. Il caso sarà probabilmente portato in tribunale in seguito. Tuttavia, la sanzione andrà all'Irlanda, lo Stato che ha preso le parti di Meta e ha ritardato la procedura per oltre quattro anni"
DPC e Meta hanno collaborato per il "bypass". Nel corso della procedura, Meta ha fatto affidamento su dieci incontri riservati con il DPC irlandese, nel corso dei quali quest'ultimo avrebbe consentito a Meta di utilizzare questo "bypass". In seguito è stato rivelato che il DPC ha persino cercato di influenzare le linee guida EDPB nell'interesse di Meta. Tuttavia, le altre DPA europee hanno respinto il punto di vista del DPC già nel 2018 e ancora una volta nella decisione finale dell'EDPB. Il caso è durato più di 4,5 anni e ha portato a centinaia di pagine di relazioni e documenti, nonostante si trattasse di una questione legale piuttosto semplice.
Max Schrems:"Questo caso riguarda una semplice questione legale. Nonostante la lentezza della procedura, siamo soddisfatti della decisione dell'EDPB."
Conseguenza: niente annunci personalizzati. La decisione significa che Meta deve consentire agli utenti di avere una versione di tutte le app che non utilizzi i dati personali per gli annunci. La decisione consentirebbe comunque a Meta di utilizzare dati non personali (come il contenuto di una storia) per personalizzare gli annunci o di chiedere agli utenti il consenso agli annunci tramite un'opzione sì/no. Gli utenti devono poter ritirare il consenso in qualsiasi momento e Meta non può limitare il servizio. Se da un lato questo limiterà drasticamente i profitti di Meta nell'UE, dall'altro non proibirà completamente gli annunci. La decisione metterà Meta sullo stesso piano di altri siti web o app, che devono fornire agli utenti un'opzione "sì/no".
Max Schrems:"Questo è un duro colpo per i profitti di Meta nell'UE. Ora è necessario chiedere alle persone se vogliono che i loro dati siano utilizzati per gli annunci pubblicitari o meno. Devono avere una risposta "sì o no" e possono cambiare idea in qualsiasi momento. Ladecisione garantisce anche la parità di condizioni con gli altri inserzionisti che devono ottenere il consenso opt-in"
Prossime tappe. La decisione dell'EDPB viene consegnata al DPC irlandese. La decisione deve essere notificata a Meta in Irlanda e a noyb in Austria entro un mese (quindi nel gennaio 2023). Meta può quindi impugnare la decisione, ma le possibilità di vincere un ricorso sono minime dopo una decisione dell'EDPB. Sono inoltre in corso due cause simili presso la Corte di Giustizia dell'UE (CJEU) sul bypass del consenso di Meta, che potrebbero risolvere definitivamente la questione e tutti i ricorsi. Gli utenti possono anche intraprendere azioni legali per l'uso illegale dei loro dati negli ultimi 4,5 anni.