Comitato europeo per la protezione dei dati: illegale la pubblicità personalizzata su Facebook, Instagram e WhatsApp
Il Wall Street Journal ha pubblicato pochi giorni fa un articolo a firma Sam Schechner che annuncia un vero e proprio terremoto nel modello di business che è alla base dei successi di Meta e delle piattaforme ad essa ricollegabili. Inoltre l’annuncio del WSJ costituisce anche una notizia importante circa il ruolo che sempre più sta assumendo lo European Data Protection Board nell’applicazione del Gdpr anche rispetto ai meccanismi di controllo e coerenza tra le Autorità di controllo sull’uso dei dati personali.
(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)
La questione inoltre coinvolge anche Noyb (None for your business), l’organizzazione senza scopo di lucro fondata nel 2017 a Vienna da Max Schrems per costituire un team europeo con esperienza nei settori della privacy, della protezione dei dati, dei diritti dei consumatori e della tecnologia. Un team collegato inoltre, sempre nell’ambito della associazione Noyb, da una rete di partner a dimensione europea.
La storia è molto interessante e ancora di più lo è la vicenda che il WSJ annuncia prima ancora che la decisione dello EDPB sia resa pubblica.
Nel 2018, quando il GDPR entrò definitivamente in vigore, il gruppo Meta ritenne che l’inserimento tra le clausole contrattuali sottoscritte dagli utenti per avvalersi dei servizi forniti dal gruppo dell’utilizzo di sistemi di pubblicità personalizzata avrebbe potuto costituire base legale adeguata (proprio perché inserita nel contratto) all’uso dei dati personali degli utenti acquisiti da Meta per fornire i servizi richiesti, senza alcuna necessità di fornire una informazione puntuale e, soprattutto, di acquisire un consenso esplicito all’ uso dei dati per pubblicità personalizzata.
Contro questa interpretazione del GDPR il 25 maggio 2018 l’organizzazione Noyb presentò ricorso alle competenti Autorità di protezione dei dati e particolarmente alla Autorità Irlandese specificamente competente, stante che la sede di Facebook prima e di Meta ora, in UE è situata, come ben noto, in Irlanda.
Ora, ben quattro anni e mezzo dopo la presentazione dei ricorsi, è intervenuto lo EDPB (l’European Data Protection Board, è il Comitato europeo per la protezione dei dati previsto dall’art. 64 del GDPR e organo collegiale costituito, come è noto, da rappresentanti di tute le Autorità nazionali di protezione dati) il quale ha ritenuto importante esaminare la questione e adottare una decisione vincolante per tutte le Autorità e quindi anche, in particolare, per la Autorità irlandese.
La decisione dello EDPB, sempre stando a quanto riferito dal WSJ, afferma che la posizione di Meta, finalizzata a bypassare il GDPR attraverso una interpretazione, tanto ampia quanto ora dichiarata infondata, del contratto come base legale per il trattamento di dati personali anche senza il consenso esplicito degli interessati, è illegale e contrastante col GDPR stesso. In questo quadro lo l’European Data Protection Board rigetta dunque anche, e in primo luogo, l’interpretazione seguita in questi anni anche dalla Autorità Irlandese che, a suo tempo, ha costituito e confermato la legittimità della tesi sostenuta da Meta.
La presa di posizione del Comitato Europeo fa seguito a quattro anni di indagine e ha come effetto non solo quello di comportare una sanzione rilevante che toccherà alla Autorità irlandese definire, ma anche, e soprattutto, di colpire al cuore il modello di business di Meta, sul quale la società di Zuckerberg ha fondato la sua posizione industriale nel sistema globale della società digitale.
In sostanza lo EDPB ritiene che la pubblicità personalizzata richieda sempre un consenso informato, basato su una adeguata informativa, corrispondentemente a quanto richiesto dall’art.13 GDPR per qualunque trattamento di dati ulteriore rispetto a quelli per cui i dati sono conferiti dagli interessati o messi dagli interessati a disposizione dei titolari dei trattamenti.
Se quanto affermato dal WSJ corrisponde al vero sarà estremamente interessante e importante leggere bene il provvedimento dello EDPB perché esso inevitabilmente diventerà la base fondamentale per ogni trattamento di dati finalizzato alla pubblicità personalizzata o, comunque, posto in essere al fine di conoscere e utilizzare la conoscenza dei comportamenti degli utenti di qualunque servizio che comporti uso di dati degli utenti come condizione per potersi avvalere del servizio stesso.
Ovvia la soddisfazione di Max Schrems, che ancora una volta ha dimostrato di essere, sia pure indirettamente, un protagonista di primo piano del sistema europeo di protezione dei dati personali. Ancora più ovvio l’interesse di quanti trattano dati per finalità di pubblicità personalizzata ad analizzare la posizione dello EDPB al fine di inquadrare correttamente l’applicazione del GDPR ai casi in questione.
Adottando una visione un poco più ampia merita inoltre dire che quanto anticipato dal WSJ è importante anche per gli effetti che questa vicenda ha sul ruolo dell’European Data Protection Board.
Anche se gli esperti hanno sempre saputo benissimo che lo EDPB è centrale e fondamentale nel sistema del GDPR proprio per i suoi poteri vincolanti sulle Autorità di controllo (poteri che non ha invece lo EDPS), verificare in concreto, con riferimento a un caso così importante e centrale nel sistema economico globalizzato della società digitale, quanto importante e penetrante sia e possa essere il ruolo dello EDPB, concorre certamente a capire meglio il peso che lo spazio economico europeo e la sua regolamentazione in tema di dati personali ha, e sempre più avrà, rispetto allo sviluppo della economia digitale.
Non resta dunque che darci appuntamento a dopo che il provvedimento annunciato al Wall Street Journal sarà reso pubblico per riprendere i termini di questa questione che, come è evidente, già fin da ora si configura come centrale nello sviluppo del sistema UE di protezione dei dati personali e di evoluzione della economia digitale.
Ovviamente, dopo la pubblicazione del provvedimento dello EDPB toccherà alla Autorità irlandese pronunciarsi anche rispetto alla sanzione ed, altrettanto ovviamente, la decisione della Autorità irlandese potrà essere impugnata davanti alle competenti Autorità giudiziarie irlandesi. Non è escluso, in questo quadro, che anche questa questione finisca all’attenzione della Corte di giustizia la cui pronuncia, se mai sarà necessaria, avrà il pregio di stabilizzare ulteriormente l’applicazione del GDPR e di uniformarla su tutto il territorio dell’Unione.
La vicenda può dunque essere ancora lunga e ricca di nuove vicende, come sempre quando Schrems è in ballo.
Tuttavia merita segnalarla e invitare tutti i DPO, e particolarmente quelli che prestano servizio in aziende che pratichino la tecnica della pubblicità comportamentale, a seguire gli sviluppi che essa potrà avere. Non vi è dubbio, infatti, che siamo di nuovo di fronte a un tourning point importante dell’applicazione del GDPR: il che dimostra che il GDPR è tutt’altro che superato dall’evoluzione della società digitale. Questo anche perché proprio la globalizzazione dell’economia legata anche alla digitalizzazione aumenta sempre di più il ruolo del sistemo economico europeo e del suo spazio nel quadro globale. Il che significa, come dimostra l’evoluzione regolamentare in atto nella UE, che lo strumento della regolazione, sul quale la UE basa essenzialmente il suo sforzo di proteggere e sviluppare lo spazio economico europeo, è destinato ad avere un peso sempre più rilevante.
