La maggior parte delle grandi aziende tecnologiche non sono molto brave in materia di privacy, e Meta potrebbe essere la peggiore. "Guarda cosa fa Meta e fai l'esatto contrario" potrebbe essere la regola d'oro per la protezione dei dati.
Ad esempio, un contenzioso in corso in California ha evidenziato che Meta sa a malapena come gestisce i dati (l'ICCL, che ha portato la questione all'attenzione della Commissione Europea, ha riassunto abbastanza bene la situazione). Inoltre, l'autorità di vigilanza irlandese ha recentemente inflitto a Meta una multa di 390 milioni di euro per aver trattato illegalmente i dati personali di milioni di utenti in tutta Europa.
A marzo è stata emessa un'altra sentenza contro Meta, questa volta dal tribunale distrettuale di Amsterdam. Si tratta di una decisione importante e interessante sotto diversi punti di vista. Vi forniremo rapidamente alcune informazioni di base sulle decisioni dei DPC, che contribuiscono a contestualizzare la sentenza. Poi ci tufferemo nel vivo della vicenda!
Alcuni retroscena
Non è passato molto tempo da quando il DPC irlandese ha inflitto a Meta una multa di 390 milioni per aver profilato i propri utenti senza una base legale ai sensi del GDPR. L'ammenda totale è il risultato di tre casi distinti che coinvolgono Facebook, Instagram e Meta.
Il nostro blog approfondisce le decisioni, quindi ecco la versione breve. Tutti i casi sono stati oggetto di una serie di scambi tra il DPC (l'autorità di vigilanza irlandese) e l'EDPB (acronimo di European Data Protection Board, l'istituzione dell'UE in cui siedono tutte le autorità europee per la privacy). Inizialmente il DPC non era propenso a comminare multe a Meta, ma il Board ha sostanzialmente ribaltato le sue decisioni iniziali, che hanno portato alle multe.
Le decisioni hanno costituito un importante precedente per altre aziende e hanno evidenziato un profondo disaccordo tra il DPC e le sue controparti europee.
Il caso
Il 15 marzo la Data Privacy Foundation ha vinto una class action contro Meta presso il Tribunale distrettuale di Amsterdam. La Corte ha stabilito che Meta ha trattato illegalmente i dati personali degli utenti di Facebook a scopo pubblicitario, compresi i dati sensibili. Questa decisione arriva poco dopo che l'autorità irlandese di vigilanza sulla privacy (DPC) ha inflitto a Meta una multa di 390 milioni di euro per trattamento illecito di dati personali.
La sentenza è di natura dichiarativa, quindi i danni saranno richiesti in un'altra procedura. La class action coinvolge 190.000 persone, quindi Meta rischia un sacco di soldi!
La decisione ha riguardato diverse richieste1, quindi ci concentreremo sulle più importanti: il trattamento dei dati personali a fini pubblicitari, il trattamento dei dati sensibili e la violazione della legge sui consumatori.
Trattamento illecito dei dati personali
Nel caso olandese, la Data Privacy Foundation ha sostenuto che Meta non aveva una base legale per fornire agli utenti di Facebook pubblicità mirata. Ma cosa significa esattamente?
La pubblicità mirata si basa sulla profilazione. In altre parole, qualcuno (in questo caso il social network Facebook) raccoglie dati approfonditi su ciascun utente in base al suo comportamento sulla piattaforma e ai dati da lui stesso caricati. Questi dati vengono utilizzati per costruire un profilo di ciascun utente e capire quali sono le inserzioni pubblicitarie a cui è più probabile che si dedichino.
La profilazione richiede l'elaborazione di dati personali, altrimenti una piattaforma non può sapere quali sono gli interessi di un utente. Ai sensi del GDPR, i dati personali possono essere trattati solo sulla base di una base giuridica. Si può pensare a una base giuridica come a una "giustificazione legale" per il trattamento dei dati di qualcuno, come il consenso o un obbligo legale(questo blog approfondisce l'argomento, nel caso siate interessati).
In questo caso, la base giuridica di Meta per la profilazione dei suoi utenti era l 'esecuzione di un contratto2. In altre parole, Meta ha sostenuto che la pubblicità mirata era necessaria per fornire la sua piattaforma Facebook agli utenti e che questa necessità giustificava la profilazione degli utenti (come abbiamo spiegato nel nostro blog).
La Corte ha deciso diversamente. Sulla base delle indicazioni fornite in passato dall'EDPB (e dal WP29, il predecessore dell'EDPB nell'era pre-GDPR), la Corte ha approvato un'interpretazione rigorosa del concetto di "necessità". Ha ritenuto che la profilazione degli utenti non sia necessaria per fornire un social network.
Si tratta della stessa questione giuridica esaminata dall'EDPB in merito a tre diversi servizi Meta, tra cui Facebook, e il Consiglio è giunto esattamente alla stessa conclusione. Inoltre, la conclusione era piuttosto ovvia fin dall'inizio, poiché la stessa EDPB ha da tempo chiarito che l'esecuzione di un contratto non giustifica la profilazione sulle piattaforme di social media3.
Pertanto, il Tribunale distrettuale di Amsterdam non dice nulla di nuovo. Tuttavia, la decisione olandese è importante, in quanto dimostra che il precedente stabilito dall'EDPB può servire da guida non solo per le autorità di protezione dei dati, ma anche per i tribunali.
Il trattamento dei dati sensibili
La Data Privacy Foundation ha anche affermato che i dati sensibili sono stati trattati senza un'esenzione legittima, il che costituisce una grave violazione del GDPR.
La decisione dell'EDPB non riguardava il trattamento dei dati sensibili. La questione faceva parte dei reclami della Noyb che hanno dato il via a tutto, eppure il DPC non ha indagato. Inutile dire che né l'EDBP4 né la noyb ne sono molto contenti.
Ma torniamo al problema. I dati sensibili sono categorie molto delicate di dati personali come l'orientamento sessuale, i dati sulla salute, le convinzioni religiose e politiche e così via. Il GDPR protegge questi dati stabilendo requisiti aggiuntivi per il loro trattamento. Questi requisiti sono chiamati esenzioni e svolgono una funzione simile a quella delle basi giuridiche: sono essenzialmente una "giustificazione" per il trattamento dei dati sensibili, così come le basi giuridiche sono una "giustificazione" per il trattamento dei dati personali.
Ormai è un segreto aperto che Facebook tratta dati sensibili. Nel caso in cui non fosse chiaro dallo scandalo Facebook-Cambridge Analytica, la pubblicità sulla piattaforma lo rende abbastanza evidente. Le persone che soffrono di problemi alla schiena hanno più probabilità di vedere annunci di fisioterapia, i seguaci di una religione hanno più probabilità di vedere contenuti che si allineano al loro credo, e così via. Facebook utilizza le informazioni fornite dall'utente per "segnalarlo" come persona con determinate caratteristiche, anche piuttosto sensibili e rivelatrici (e rigorosamente protette dal GDPR). Ciò consente a Meta di profilare l' utente e di personalizzare le inserzioni pubblicitarie sulle sue piattaforme.
Ma c'è di peggio. La profilazione basata su dati sensibili può avvenire anche quando l'utente non rivela alcuna informazione sensibile al social network. Per esempio, gli utenti con molti amici queer su Facebook possono essere etichettati come probabilmente queer a loro volta dagli algoritmi di Facebook, e gli annunci e i contenuti che vedono saranno adattati a questa ipotesi.
In poche parole, la monetizzazione dei dati sensibili da parte di Facebook è invasiva e inquietante.
E secondo il tribunale distrettuale di Amsterdam, è anche illegale. Meta ha perso la causa sui dati sensibili. In primo luogo, la Corte ha respinto le false argomentazioni di Meta, che sostiene di non trattare i dati sensibili. Poi ha esaminato l'articolo che elenca le regole per il trattamento dei dati sensibili (art. 9(2) GDPR) e, senza sorpresa, ha rilevato che Meta ha trattato i dati in modo illegale.
La Corte ha approfondito le regole per il trattamento dei dati sensibili, il che è interessante di per sé. I requisiti legali per trattare legittimamente i dati personali comuni e i dati sensibili sono cumulativi: se non posso trattare i tuoi dati personali, non posso trattare nemmeno i tuoi dati sensibili. La Corte aveva già stabilito che i dati personali erano stati trattati illegalmente, il che significa che anche i dati sensibili erano stati trattati illegalmente.
I giudici sono persone impegnate e di solito risolvono i casi compiendo il numero minimo di passi logici necessari per giustificare il risultato. Allora perché la Corte ha fatto un lavoro supplementare e si è occupata dell'art. 9(2) nel dettaglio? 9(2) nel dettaglio?
Non possiamo saperlo con certezza, ma possiamo fare un'ipotesi. Forse la Corte ha voluto blindare la sua decisione sui dati sensibili nel caso in cui le sue conclusioni sulla questione delle basi giuridiche venissero ribaltate in appello. Forse ha voluto fare una precisazione che sarebbe rimasta valida anche se Meta avesse successivamente cambiato la propria base giuridica per il trattamento dei dati a causa delle multe del DPC(cosa che è avvenuta due settimane dopo). In alternativa, la Corte potrebbe aver semplicemente voluto far luce sulla gestione dei dati sensibili da parte di Meta, dal momento che il DPC ha ignorato la questione nella sua indagine.
In ogni caso, siamo felici che la Corte ci abbia dato una sentenza esaustiva che sfata completamente le difese di Meta. La gestione dei dati sensibili sui social network è un problema di privacy urgente. Ci auguriamo che la sentenza aumenti la consapevolezza di quanto aggressiva e invasiva possa essere la monetizzazione di tali dati.
Facebook non è gratuito
Meta pubblicizza Facebook come un servizio gratuito. Non lo è perché l'utente paga con i suoi dati personali.
La Fondazione ha sostenuto che presentare Facebook come un servizio gratuito è una pratica ingannevole. La Corte è stata d'accordo e ha ritenuto che si tratti di una pratica commerciale sleale e di una violazione della direttiva sulle pratiche commerciali sleali dell'UE e delle sue implementazioni nella legge olandese.
Questo non è affatto sorprendente. Come tutti sappiamo, non esiste un pasto gratis. Se il pasto sembra gratuito, allora il pasto siete voi.
Il pagamento con i dati è uno dei modelli di business dominanti nei servizi Web 2.0, eppure innumerevoli aziende continuano a pubblicizzare i loro servizi come gratuiti quando il loro obiettivo finale è la monetizzazione delle informazioni personali. È bello vedere una Corte che guarda oltre la foglia di fico del servizio gratuito e chiama il modello di business di Meta per quello che è.
Aggiornamenti
Il 5 aprile 2023, a seguito delle decisioni dell'EDPB e del DPC che si sono pronunciate contro il ricorso alla base giuridica del contratto, Meta è passata alla base giuridica dell'interesse legittimo per la fornitura di pubblicità mirata.
noyb - l'ONG che ha presentato il reclamo che ha portato alle decisioni - non è molto soddisfatta del ricorso di Meta al legittimo interesse e intende sfidare nuovamente l'azienda. A nostro avviso, noyb ha buone ragioni per criticare la mossa di Meta, ma questo è un grosso problema e una storia per un altro giorno.
Conclusioni
Vale la pena sottolineare ancora una volta che la class action ha coinvolto quasi duecentomila persone. I guardiani della privacy e gli appassionati di diritto non sono i soli a preoccuparsi della privacy digitale e del modo in cui le grandi aziende tecnologiche la rispettano (o non la rispettano).
Anzi, il pubblico si sta preoccupando sempre di più della privacy digitale. La gente si rende conto che molti servizi online sono essenzialmente delle macchine divoratrici di dati e che per molte aziende la privacy è un ripensamento, se non una vera e propria farsa.
Internet deve essere per forza così? Noi non la pensiamo così. Ecco perché abbiamo costruito Simple Analytics per consentire alle aziende di tutte le dimensioni di raccogliere informazioni utili in modo conforme al 100% alla privacy. Simple Analytics è stato concepito per garantire la privacy fin dalla sua progettazione. Non tracciamo i vostri utenti e non raccogliamo i loro dati personali. Se vi sembra una buona idea, non esitate a provarci!
#1 La decisione riguarda anche la condivisione dei dati con partner terzi e l'uso dei cookie. Le richieste relative ai cookie non sono state accolte dalla Corte. Per una descrizione più completa del caso e della sentenza, è possibile consultare la sintesi sul sito del Gdprhub. [^2]: Meta/Facebook ha utilizzato diverse motivazioni legali prima dell'entrata in vigore del GDPR. Discuterle tutte sarebbe un'eternità, ma alla fine sono state tutte ritenute non valide dalla Corte nel caso in questione. [^3]: Linee guida EDPB 8/2020 sul targeting degli utenti dei social media. [^4]: Il Consiglio ha ordinato al DPC di indagare sull'uso di informazioni sensibili da parte di Facebook. Il DPC, tuttavia, ritiene che il Consiglio non abbia l'autorità per ordinarle di svolgere un'indagine e intende impugnare l'ordine davanti alla Corte di giustizia dell'UE.