Meta dice di avere un asso nella manica, ma è realmente così?

Il parere dello European Data Protection Board sul modello “consent or pay” adottato da Meta lo scorso autunno per le piattaforme social Facebook o Instagram non lascia spazio a molte interpretazioni: dare come unica alternativa all’utilizzo dei dati (ai fini di una pubblicità commerciale) una soluzione a pagamento tramite abbonamento non è conforme a quanto previsto dal GDPR. Si tratta di un parere, non di una sentenza, ma buona parte delle decisioni sul caso che saranno prese nel corso dei prossimi mesi non potranno che fare riferimento a tutto ciò. Eppure la holding di Menlo Park sostiene di avere un asso nella manica che consente alle sue piattaforme di tirare dritto.

LEGGI ANCHE > Il Garante Privacy europeo boccia il modello “Consent or Pay” di Meta

L’ostentata sicurezza su ciò trapela dalle dichiarazioni di un portavoce di Meta rilasciate poche ore dopo la pubblicazione del parere dell’EDPB:

«L’anno scorso, la Corte di giustizia dell’Unione europea ha stabilito che il modello di abbonamento è un modo giuridicamente valido per le aziende di chiedere il consenso delle persone per la pubblicità personalizzata. Il parere dell’EDPB non modifica tale giudizio». 

Dunque, la CGUE avrebbe stabilito la legittimità del modello “consent or pay” adottato da Meta. Ma di cosa stiamo parlando? E, soprattutto, è realmente così?

Modello consent or pay, l’asso nella manica di Meta

Per capire il fulcro centrale della questione, occorre fare un salto indietro nel tempo, fino al 4 luglio del 2023. All’epoca, la Corte di Giustizia europea era stata chiamata in causa nel merito di un ricorso presentato da Meta nei confronti della Bundeskartellamt tedesca che aveva condannato l’azienda Facebook – in una vicenda iniziata nel 2019 – per abuso di posizione dominante (ne avevamo parlato qui). All’interno della sentenza della CGUE, veniva sottolineato come in parte le motivazioni dell’autorità tedesca fossero legittime. Ma cosa c’entra tutto ciò con la rivendicazione fatta da Meta dopo il parere dell’EPBD. All’interno della sentenza del 4 luglio scorso, i giudici europei avevano dichiarato:

«Riguardo alla questione se il trattamento di tali dati cosiddetti “sensibili” sia eccezionalmente consentito in ragione del fatto che essi siano stati manifestamente resi pubblici dall’interessato, la Corte precisa che il solo fatto che un utente consulti siti Internet o applicazioni che possono rivelare informazioni di questo tipo non significa affatto che egli renda manifestamente pubblici i suoi dati, ai sensi del RGPD. Inoltre, lo stesso vale quando un utente inserisce dati in tali siti o in siffatte applicazioni o ancora attiva pulsanti di selezione ivi integrati, salvo che egli abbia esplicitamente espresso preliminarmente la sua scelta di rendere i dati che lo riguardano pubblicamente accessibili a un numero illimitato di persone».

Interpretando questa porzione delle sentenza, Meta sostiene che il modello “consent or pay” sia in linea con la libertà di scelta dell’utente: non pagare e vedere i propri dati utilizzati per una profilazione per una pubblicità comportamentale o pagare un abbonamento per evitare questo trattamento dei dati. Ma quel che dice l’EDPB è diverso.

Le parole dell’EDPB

Perché lo European Data Protection Board ha giudicato il modello adottato da Meta da un altro punto di vista, quello della conformità al GDPR. Ed è stato evidenziato come una scelta binaria (consent or pay) non rappresenti una reale opportunità di scelta per l’utente. Non è un caso, infatti, che l’organismo indipendente dell’Unione Europea che valuta la corretta applicazione delle norme del Regolamento sulla protezione dei dati personali, abbia citato proprio quella sentenza del luglio del 2023:

«L’elemento della condizionalità, ossia se il consenso è richiesto per accedere a beni o servizi, anche se il trattamento non è necessario per l’adempimento del contratto, è un altro criterio per valutare se il consenso è “liberamente prestato”. Nella sentenza del Bundeskartellamt, la CGUE ha affermato che agli utenti che rifiutano di dare il proprio consenso a determinati trattamenti deve essere offerta, “se necessario dietro pagamento di un adeguato corrispettivo, un’alternativa equivalente non accompagnata da tali trattamenti”. In questo modo, i responsabili del trattamento eviteranno un problema di condizionalità. In ogni caso, devono essere soddisfatti anche gli altri criteri per il consenso “liberamente dato”». 

Con questo sistema, Meta eviterebbe esclusivamente il problema di condizionalità. Ma questo è solo uno degli aspetti che fanno parte del GDPR. Infatti, l’EPDB sottolinea che nel concetto di “alternativa equivalente”:

«Per “alternativa equivalente” si intende una versione alternativa del servizio offerto dallo stesso responsabile del trattamento che non implica il consenso al trattamento dei dati personali a fini di pubblicità comportamentale […] Per quanto riguarda l’imposizione di un costo per l’accesso alla versione “alternativa equivalente” del servizio, l’EDPB ricorda che i dati personali non possono essere considerati alla stregua di un bene commerciabile e i responsabili del trattamento dovrebbero tenere presente la necessità di evitare che il diritto fondamentale alla protezione dei dati si trasformi in una caratteristica che gli interessati devono pagare per poterne usufruire». 

Ecco perché quel che Meta sostiene essere un asso nella manica, rappresenta più un tre di cuori quando regna picche.