NEWS

Dalle recenti maxi sanzioni inflitte a Meta una importante lezione per i DPO

Come è noto, uno dei nodi importanti affrontato dal GDPR è stato quello di assicurare che fossero chiari i rapporti tra le autorità di protezione dei dati dei vari paesi, sia sotto il profilo della ripartizione delle competenze tra esse, che sotto quello della conformità dei criteri adottati per applicare le norme del Regolamento UE, e sia per gli aspetti relativi alla qualificazione degli eventuali trattamenti illeciti di dati, che alla definizione delle sanzioni da adottare.

Francesco Pizzetti

(Nella foto: Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)

A questo fine, il Capo VI del GDPR contiene una sezione apposita (la seconda), intitolata “Competenza, compiti e poteri”, che all’art.56 specifica la competenza della Autorità di controllo Capofila, individuata nell’autorità dello Stato della UE in cui ha sede lo stabilimento unico o lo stabilimento principale del titolare o del responsabile del trattamento nell’ambito della UE.

Inoltre, è vero che il paragrafo 2 dell’art. 56 prevede che nel caso in cui il trattamento riguardi solo uno stabilimento situato in uno Stato membro o solo interessati residenti in uno Stato membro, allora la competenza è della Autorità di questo Stato, ma è vero anche che il paragrafo 3 del medesimo articolo impone alla Autorità dello Stato di informare entro tre settimane la Autorità Capofila, la quale a sua volta ha tre settimane per decidere se intende o meno trattare essa stessa il procedimento, applicando la procedura prevista dall’art. 60 del Regolamento.

Nel caso in cui la Autorità capofila intenda trattare essa stessa il caso, ne informa la Autorità dello Stato, che a sua volta ha la possibilità di presentare alla Autorità capofila un suo progetto di decisione.

In ogni caso, la Autorità di controllo capofila deve cooperare con tutte le autorità nazionali interessate e tenere nel massimo conto le loro opinioni, e ai sensi dell’art.60 deve, a tal fine, trasmettere alle altre autorità interessate un progetto di decisione per avere il loro parere.

Se una o più delle altre autorità sollevano obiezioni e la autorità capofila non intende accoglierle, allora quest’ultima deve ricorrere al meccanismo di coerenza disciplinato dalla Sezione 2 del Capo VII. In tal caso, la decisione è di competenza del Comitato Europeo per la Protezione dei Dati (European Data Protection Board) disciplinato nella Sezione 3 del Capo VII. Il Comitato è, ai sensi dell’art.68, un organismo dell’Unione composto dai rappresentanti delle autorità degli stati membri e dal Garante Europeo per la protezione dei dati (EDPS).

I compiti del Comitato sono numerosi, ed esso è anche organo di consulenza della Commissione UE. In particolare, esso può pubblicare linee guida sui temi che ritiene più importanti e che a suo giudizio più richiedano, con particolare riguardo alla interpretazione e applicazione dello stesso GDPR.

Inoltre, il Board europeo emette pareri vincolanti in tutti i casi previsti dall’art.65, assicurando così appunto la coerenza delle decisioni adottate dalle autorità nazionali, e in primo luogo dalle autorità capofila negli ambiti di loro competenza.

Ovviamente, quanto detto è solo un richiamo, necessariamente sintetico e anche frettoloso, al contenuto del GDPR. Esso però è, crediamo, sufficiente a ricordare che il meccanismo di coerenza è stato voluto, insieme alla istituzione dello European Data Protection Board, proprio come garanzia che il meccanismo della autorità capofila fosse sufficiente ad evitare che i titolari dei trattamenti potessero scegliersi a loro piacere la autorità competente a controllarli, semplicemente scegliendo di collocare la loro sede principale in UE nel paese con la autorità garante più favorevole alle loro prassi.

Cosa questa che aveva provocato molte distorsioni sotto la vigenza della Direttiva 95/46 CE, proprio per la nota tolleranza della autorità e della legislazione irlandese rispetto ai trattamenti di dati che fossero posti in essere da titolari o responsabili abituati a seguire normative diverse da quelle europee, e in particolare quelle del mondo giuridico USA.

Nel corso di questi anni il meccanismo di coerenza non è stato molto utilizzato, e anche lo European Data Protection Board ha avuto molte difficoltà a contrastare la permanente tendenza dell’autorità irlandese a operare come nel passato, e quindi il contesto è stato tale da attrarre la collocazione nel territorio irlandese degli stabilimenti principali di molti operatori extra UE a caccia di trattamenti favorevoli e interpretazioni più elastiche del GDPR.

È ragionevole ritenere che così sia stato anche per la decisione recente adottata dal Garante irlandese su decisione vincolante dello EDPB, che ha affermato l’inadeguatezza della semplice base contrattuale come fondamento giuridico del trattamento di dati personali, e che in questi casi il GDPR richiede necessariamente il consenso adeguatamente informato.

Il caso, ormai noto, è esploso recentemente quando il 4 gennaio 2023 la Autorità di protezione dati irlandese (Data Protection Commission) ha annunciato l’adozione di due provvedimenti sanzionatori nei confronti di Meta per i trattamenti di dati personali operati tramite le piattaforme Facebook e Instagram, mentre ne viene annunciato un terzo nei confronti di WhatsApp.

Si tratta di sanzioni rilevanti (210 milioni di euro per Facebook e 180 milioni per Instagram per un totale di 390 milioni di euro), comminate in seguito al ricorso di Noyb (associazione di Max Schrems) contro i trattamenti delle piattaforme richiamate basati sulla profilazione degli utenti di alcuni servizi finalizzata all’invio di messaggi pubblicitari personalizzati e ritagliati sui comportamenti degli utenti stessi.

Va detto che il punto centrale è proprio la affermata illiceità di questi trattamenti in quanto operati da Meta senza consenso specifico degli interessati, sul presupposto, ora censurato, che la mera sottoscrizione dei contratti di servizio da parte degli interessati, che prevedevano anche i trattamenti dei dati per “behaviour advertising”, costituirebbe base legittima del trattamento ai sensi dell’art. 6 b). Questa norma infatti prevede la legittimità di trattamenti dati anche non consenziati esplicitamente quando questi siano necessari per l’esecuzione di un contratto di servizio sottoscritto dall’interessato.

In realtà, col provvedimento adottato dalla Data Protection Commission irlandese anche sulla base di una decisione vincolante in tal senso dello EDPB viene colpita al cuore la strategia di Meta (un tempo Facebook) basata appunto sulla tesi che i trattamenti a fini di pubblicità comportamentale fossero requisiti intrinseci dei contratti di prestazione sottoscritti dagli interessati: tesi che sottintende anche l’idea che i trattamenti dei dati possano essere visti come remunerazione per le prestazioni rese dal servizio sottoscritto dall’interessato.

In un primo tempo, la tesi di Facebook era stata condivisa implicitamente anche dalla autorità irlandese, suscitando la protesta di Max Schrems e di altri ricorrenti che avevano minacciato impugnazioni in tutte le sedi possibili.

Proprio a tal fine, e tenendo conto della contrarietà manifestata da molte autorità nazionali, l’autorità irlandese aveva attivato il meccanismo di coerenza che si è concluso con una decisione vincolante dello EDPB contraria alla posizione di Meta. Lo European Data Protection Board ha infatti imposto alla autorità irlandese di adottare un provvedimento sanzionatorio, chiedendo anche che le sanzioni fossero elevate a causa della gravità della violazione.

Così è stato, e l’autorità irlandese, col provvedimento del 4 gennaio scorso, ancora non disponibile così come non è ancora pubblica la decisione del Board europeo, ha comunque affermato l’illiceità dei trattamenti di pubblicità comportamentale basati solo su contratti di servizi e senza alcuna informativa adeguata agli interessati e senza aver preventivamente ricevuto il loro consenso.

La decisone qui commentata ha subito fatto molto rumore, anche perché indubbiamente colpisce al cuore un delle basi fondamentali di remunerazione dei servizi forniti da Meta e dalle sue piattaforme.

In questa sede però merita soprattutto sottolineare che la decisione irlandese è stata obbligata dalla decisione dello EDPB che, come più volte si è detto, è comunque vincolante.

Dunque, il meccanismo di coerenza in questo caso ha funzionato bene e ha posto fine a una grave e crescente tensione tra Irlanda e altri Paesi UE proprio sul punto della sottoscrizione del contratto di servizio come adeguata base giuridica di trattamenti dati anche quando questi richiedono il consenso informato.

La vicenda è emblematica e dimostra che la protezione dei dati, personali e in prospettiva non solo personali, è sempre meno una questione nazionale e sempre più invece è una “questione europea”, strettamente legata al mercato unico digitale.

È giusto inoltre osservare che la vicenda dimostra anche che la protezione dei dati è un settore nel quale la UE funziona e funziona bene. In qualche modo è un settore che dimostra che l’Unione Europea può davvero mirare alla sovranità digitale e a costituire un sistema giuridico proprio, forte e sganciato dai microcosmi statali: il che in un quadro di globalizzazione sempre più accentuata della economia è un aspetto essenziale per il futuro di tutti gli europei.

I data protection officer devono conoscere i meccanismi di applicazione del GDPR

Dal caso però si può e si deve trarre anche una altra lezione, forse persino più importante.

Bisogna che tutti i Data Protection Officer abbiano chiara l’esistenza del meccanismo di coerenza e delle sue conseguenze, e quindi seguano costantemente le vicende che fanno capo allo European Data Protection Board, a partire dalle Linee Guida che, in modo sempre più frequente, esso adotta su molti temi di particolare delicatezza.

La stessa cosa è bene facciano ovviamente anche le stesse autorità di garanzia nazionali, che pure dovrebbero essere perfettamente consapevoli dell’importanza dello EDPB e del meccanismo di coerenza, e dunque non dovrebbero lasciare così ampi margini di dubbio (e di tensione) come è stato fatto dall’autorità irlandese nel caso in esame, e come la medesima autorità fa anche in molti altri casi.

Dunque la vicenda qui ricostruita è un passaggio molto importante non solo sulla strada del consolidamento del GDPR e dei suoi effetti ma anche della costruzione convinta e di una Unione Europea sempre più forte, coesa e “ben funzionante”.

Da questo punto di vista, la decisone dello EDPB prima e del Garante Irlandese ora non possono che essere viste positivamente, non solo per il loro contenuto, di per sé molto importante, ma anche per il valore che assumono nel quadro generale della applicazione del GDPR e della costruzione di una tutela dei dati europea davvero adeguata al mercato unico digitale.

Note Autore

Francesco Pizzetti Francesco Pizzetti

Professore ordinario di diritto costituzionale a Torino e docente alla Luiss. Presidente Autorita' Garante per la protezione dei dati personali dal 18 aprile 2005 al 17 giugno 2012.

Prev Per lo sviluppo sostenibile della società digitale la privacy deve essere davvero inclusiva
Next Il preoccupante lato oscuro della videosorveglianza

Caffè Privacy: il data protection officer

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy