Come Meta voleva aggirare il GDPR

Il consenso al trattamento dei dati deve essere esplicito e non implicito al momento dell’iscrizione a una piattaforma/sito internet. Si tratta di un mantra che esiste fin da quando è entrato in vigore – nel 2018 – il Regolamento Europeo sulla Protezione dei dati personali. Nonostante la norma continentale, però, alcune grandi aziende del mondo digitale hanno tentato di aggirare questo divieto provando a sfruttare le “eccezioni”. Ed è proprio così che, saltando da un paragrafo all’altro, Meta vìola il GDPR, come sottolineato anche dall’ultimo pronunciamento della Corte di Giustizia Europea (CGUE) nella bocciatura del ricorso presentato dall’azienda di Zuckerberg contro un’indagine per “abuso di posizione dominante” avviata (con sanzione) da parte dell’Antitrust tedesca.

LEGGI ANCHE > Lo schiaffo della Corte di Giustizia UE contro Meta

Il consenso esplicito è fondamentale per non cadere in violazioni del Regolamento Europeo. E Meta, come molte altre aziende digitali, ha provato ad aggirare questo paletto con alcune mosse retoriche che, però, sono state rispedite al mittente. In particolare, nel giudizio della CGUE pubblicato nella giornata di martedì 4 luglio, si fa riferimento a un aspetto fondamentale sintetizzato nel documento destinato alla stampa:

«Per quanto riguarda più in generale il trattamento effettuato da Meta Platforms Ireland, incluso quello dei dati «non sensibili», la Corte esamina, di seguito, se esso rientri nelle giustificazioni, previste dal RGPD, che consentono di rendere lecito un trattamento di dati effettuato in assenza del consenso dell’interessato. In tale contesto, essa considera che la necessità di eseguire il contratto di cui l’interessato è parte giustifica la pratica controversa solo a condizione che il trattamento di dati sia oggettivamente indispensabile, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento. Ferma restando una verifica da parte del giudice nazionale, la Corte esprime dubbi in merito alla possibilità che la personalizzazione dei contenuti o l’utilizzo omogeneo e fluido dei servizi propri del gruppo Meta possano soddisfare tali criteri. Inoltre, secondo la Corte, la personalizzazione della pubblicità mediante la quale è finanziato il social network online Facebook non può giustificare, in quanto legittimo interesse perseguito da Meta Platforms Ireland, il trattamento di dati di cui è causa, in assenza del consenso dell’interessato».

Nel verificare se Meta vìola GDPR, dunque, la CGUE ha sottolineato come il trattamento dei dati per la profilazione pubblicitaria deve avvenire necessariamente attraverso l’esplicito consenso da parte dell’utente iscritto alla piattaforma. Non si può, quindi, “dare per scontata” (per semplificare il concetto) la volontà dell’utente di sottoporsi a quel tracciamento cookie per avere ricevere contenuti pubblicizzati “forgiati” sulle proprie esperienze di navigazione.

Meta vìola GDPR, il trattamento illecito dei dati

Meta, per quel che riguarda Facebook e Instagram, non ha fatto questo provando a sfruttare due fattispecie di eccezioni inserite all’interno dell’articolo 6 del GDPR. Subito dopo l’entrata in vigore del Regolamento Europeo sulla protezione dei dati personali, l’azienda di Menlo Park aveva “giustificato” il trattamento dei dati facendo sponda sulla “lettera B” del paragrafo 1 di questo articolo:

«Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso». 

La Corte di Giustizia Europea, però, ha sottolineato come questa prescrizione non faccia parte delle caratteristiche di profilazione dell’utente da parte di Meta, dando questa interpretazione:

«il trattamento di dati personali effettuato da un operatore di un social network online – consistente nel raccogliere dati degli utenti di tale social network provenienti da altri servizi del gruppo al quale appartiene tale operatore oppure derivanti dalla consultazione, da parte di tali utenti, di siti Internet o di applicazioni di terzi, nel mettere in relazione tali dati con l’account del social network di detti utenti e nell’utilizzare detti dati – può essere considerato necessario per l’esecuzione di un contratto del quale gli interessati sono parti, ai sensi di tale disposizione, solo a condizione che detto trattamento sia oggettivamente indispensabile per realizzare una finalità che costituisce parte integrante della prestazione contrattuale destinata a quegli stessi utenti, cosicché l’oggetto principale del contratto non potrebbe essere conseguito in assenza di tale trattamento». 

Meta, dunque, aveva provato a bypassare già questa possibile contestazione, facendo riferimento alla lettera F del paragrafo 1 dell’articolo 6 del GDPR che recita:

«Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore». 

Anche in questo caso, la CGUE ha contestato la posizione dell’azienda guidata da Mark Zuckerberg, sottolineando alcuni aspetti che – oltretutto – devono essere presi in esame non solo per il caso Meta, ma anche per molte altre aziende che gestiscono piattaforme digitali:

«Il trattamento di dati personali effettuato da un operatore di un social network online […] può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale disposizione, solo a condizione che il suddetto operatore abbia indicato agli utenti presso i quali i dati sono stati raccolti un legittimo interesse perseguito dal loro trattamento, che tale trattamento sia effettuato entro i limiti di quanto strettamente necessario alla realizzazione di tale legittimo interesse e che dal contemperamento dei contrapposti interessi, alla luce di tutte le circostanze pertinenti, risulti che le libertà e i diritti fondamentali e gli interessi di tali utenti non prevalgono su detto legittimo interesse del titolare del trattamento o di terzi».

La Corte di Giustizia Europea, dunque, sostiene che Meta vìola GDPR e che i suoi tentativi di aggirare i paletti imposti dall’articolo 6 del Regolamento siano illeciti per quel che riguarda il trattamento dei dati al fine di profilazione pubblicitaria.

Il legittimo interesse

E se il riferimento al “trattamento necessario” (articolo 6, paragrafo 1, lettera B del GDPR) era stato già bocciato all’inizio dell’anno dallo European Data Protection Board (EDPB), quello al “legittimo interesse” (articolo 6, paragrafo 1, lettera F del GDPR) utilizzato come cartina di tornasole da Meta per aggirare il Regolamento Europeo sulla Protezione dei Dati Personali è del tutto nuovo. Anche perché, la CGUE non ha messo in dubbio (ma non lo ha nemmeno confermato) il legittimo interesse da parte dell’azienda di Menlo Park nella sua liceità del trattamento – come per le questioni di sicurezza delle rete -, ma ha sottolineato come questo legittimo interesse non possa prevalere rispetto ai diritti degli utenti. Per questo motivo, da ieri è arrivata la conferma di un impianto normativo già noto: il trattamento dei dati per la profilazione pubblicitaria deve essere necessariamente esplicito e accettato dall’utente. Questo vale per l’azienda di Zuckerberg, ma anche per tutti gli altri operatori nel settore della pubblicità digitale.