NEWS

EDPB su decisioni vincolanti su Facebook e Instagram: ‘importante impatto sull'uso dei dati personali per la pubblicità comportamentale'

A seguito delle decisioni vincolanti sulla risoluzione delle controversie dell'European Data Protection Board (EDPB) del 5 dicembre 2022, l'autorità irlandese per la protezione dei dati (Data Protection Commission) ha adottato le proprie decisioni relative a Facebook e Instagram (Meta Platforms Ireland Limited, "Meta IE").  Queste decisioni sono il risultato di indagini basate su reclami sulle attività di Facebook e Instagram, in particolare per quanto riguarda la liceità e la trasparenza del trattamento per la pubblicità comportamentale. Meta è stata multata dalla Data Protection Commission per 210 milioni di euro nella decisione di Facebook e per 180 milioni di euro nella decisione di Instagram, per un totale di 390 milioni di euro di sanzioni.

European Data Protection Board

Le decisioni finali dell’autorità irlandese del 31 dicembre 2022 recepiscono la valutazione giuridica espressa dall'EDPB nelle sue decisioni vincolanti del 5 dicembre 2022, che sono state adottate sulla base dell'art. 65(1)(a) del GDPR, dopo che lo garante irlandese, in qualità di autorità di controllo capofila, aveva avviato due procedure di risoluzione delle controversie relative alle obiezioni sollevate dalle autorità di controllo interessate di dieci paesi per ciascun caso. Tra le varie obiezioni sollevate, le autorità di controllo avevano contestato la base giuridica del trattamento (art. 6 GDPR), i princìpi di protezione dei dati (art. 5 GDPR), e l'uso di misure correttive, comprese sanzioni pecuniarie.

Andrea Jelinek, presidente dell'European Data Protection Board

(Nella foto: Andrea Jelinek, presidente dell'European Data Protection Board)

Il presidente dell'European Data Protection Board, Andrea Jelinek ha dichiarato: “Le decisioni vincolanti dell'EDPB chiariscono che Meta ha elaborato illegalmente i dati personali per la pubblicità comportamentale. Tale pubblicità non è necessaria per l'esecuzione di un presunto contratto con gli utenti di Facebook e Instagram. Queste decisioni possono anche avere un impatto importante su altre piattaforme che hanno gli annunci comportamentali al centro del loro modello di business".

L'EDPB ha deciso che Meta si basava in modo inappropriato sul contratto come base legale per elaborare i dati personali nel contesto dei termini di servizio di Facebook e dei termini di utilizzo di Instagram ai fini della pubblicità comportamentale, in quanto questo non era un elemento fondamentale dei servizi.

Il Board europeo aveva riscontrato in entrambi i casi che Meta non disponeva di una valida base giuridica per questo trattamento e pertanto aveva trattato illegalmente questi dati. Di conseguenza, il Board europeo aveva incaricato l’autorità di controllo irlandese di modificare la conclusione nei suoi progetti di decisione e di includere una violazione dell'art. 6(1) del Regolamento europeo sulla protezione dei dati personali. L'EDPB aveva inoltre incaricato la Data Protection Commission irlandese di includere, nelle sue decisioni finali, un ordine per Meta di conformare il trattamento dei dati personali per la pubblicità comportamentale nel contesto dei servizi Facebook e Instagram all'art. 6(1) GDPR entro tre mesi.

L'European Data Protection Board ha assunto decisioni vincolanti sul Facebook e Instagram che avranno ripercussioni per tutte le piattaforme digitali

Successivamente, l'European Data Protection Board aveva esaminato se i reclami fossero stati trattati con la dovuta diligenza. Il denunciante aveva sollevato il fatto che Meta trattava dati sensibili. Tuttavia, il garante irlandese non aveva valutato il trattamento di informazioni sensibili e pertanto l'EDPB non disponeva di prove fattuali sufficienti per consentirgli di formulare conclusioni su un'eventuale violazione degli obblighi del titolare del trattamento ai sensi dell'art. 9 del GDPR per il trattamento di categorie particolari di dati personali.

Di conseguenza, l'European Data Protection Board non è stata d'accordo con la conclusione proposta dall'autorità irlandese secondo cui Meta non era legalmente obbligata a fare affidamento sul consenso per svolgere le attività di elaborazione coinvolte nella fornitura dei suoi servizi Facebook e Instagram, in quanto ciò non potrebbe essere categoricamente concluso senza ulteriori indagini.

Pertanto, l'EDPB ha deciso che la Data Protection Commission irlandese deve svolgere una nuova indagine. Inoltre, l'EDPB ha incaricato il garante irlandese di includere in entrambe le decisioni finali una constatazione di violazione del principio di equità e di adottare le opportune misure correttive. L'EDPB ha osservato che le gravi violazioni degli obblighi di trasparenza hanno influito sulle ragionevoli aspettative degli utenti, che Meta aveva presentato i propri servizi agli utenti in modo fuorviante e che il rapporto tra Meta e gli utenti era squilibrato.

Per quanto riguarda le sanzioni amministrative, l'EDPB ha ordinato all’autorità irlandese di imporre una sanzione amministrativa per le ulteriori violazioni dell'articolo 6, paragrafo 1, del GDPR (mancanza di base giuridica per il trattamento dei dati personali) e di emettere sanzioni significativamente più elevate per la trasparenza infrazioni individuate, in quanto ha ritenuto che le sanzioni proposte non soddisfacessero il requisito di essere effettive, proporzionate e dissuasive. Ciò ha portato la Data Protection Commission ad aumentare significativamente le sanzioni nelle sue decisioni finali (da un massimo di 36 e 23 milioni di euro per le bozze di decisione Facebook e Instagram, a 210 milioni di euro e 180 milioni di euro rispettivamente nelle decisioni finali).

Le decisioni finali prese dalla DPA irlandese sono disponibili nel Registro delle decisioni prese dalle autorità di vigilanza e dai tribunali sulle questioni trattate nel meccanismo di coerenza. L'EDPB ha inoltre adottato un'altra decisione vincolante, il 5 dicembre 2022, sulla controversia sorta su un'indagine relativa a WhatsApp Ireland Limited. La decisione finale del garante irlandese deve ancora essere adottata. Per ulteriori informazioni in merito alla procedura dell’art. 65 del GDPR, si prega di consultare le relative domande frequenti.

Fonte: European Data Protection Board

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.org 

Prev OCSE: adottato accordo intergovernativo sulla salvaguardia della privacy nell’accesso ai dati personali per finalità di sicurezza nazionale
Next Meta sbatte ancora sulla privacy, e stavolta si fa molto male: 390 milioni di euro di sanzioni per violazioni del GDPR

Caffè Privacy: il data protection officer

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy