ANDIG

Violazione del GDPR: il caso Meta

Dopo la sanzione da 390 milioni di dollari, Meta pensa di introdurre un nuovo modello di abbonamento a pagamento per accedere a Facebook. 

Capita ormai assai frequentemente che grandi aziende abusino della loro posizione dominante per giungere, attraverso l’uso non autorizzato di dati personali, a profilazioni non consentite di ignari consumatori che accedano ai loro servizi. Queste aziende, infatti, offrono servizi, solo apparentemente, a titolo gratuito, ma, in realtà, ricevono “in pagamento” i dati personali degli utenti, dati che vengono poi a loro volta “venduti” ed utilizzati per creare pubblicità on line personalizzata da inviare agli utenti.

Uno dei casi che, recentemente, ha fatto più notizia è quello che vede coinvolta la società Meta Platforms

Come è noto, Meta è un’impresa statunitense che controlla i servizi di rete sociale Facebook e Instagram, i servizi di messaggistica istantanea WhatsApp e Messenger. In Europa, in particolare, Meta Platforms Ireland si occupa di gestire il social network online Facebook. Ebbene, Meta Platforms è stata sanzionata per l’uso improprio di dati personali dei suoi utenti Facebook - nella specie cittadini tedeschi - acquisiti, senza consenso, all’esterno del social e provenienti da altre app e siti web o da altri servizi del gruppo Meta, quali, appunto, Instagram e Whatsapp (i c.d. dati off Facebook). La violazione del GDPR (Regolamento Ue 2016/679) contestata a questa impresa è quella di non aver acquisito preventivamente il consenso dell’utilizzatore al trattamento dei dati non ottenuti direttamente e di giustificare tale trattamento sulla sussistenza, per la verità meramente ipotetica, della base giuridica dell’esecuzione di un contratto (art. 6, par. 1, lett. b del Regolamento 2016/679). 

La vicenda prende le mosse nel 2019 quando l’Autorità federale garante della concorrenza tedesca, il Bundeskartellamt,aveva ordinato alle società Meta PlatformsMeta Platforms Ireland  e Facebook Deutschland di interrompere la raccolta dei dati degli utenti all’esterno del social Facebook, senza il loro esplicito consenso. Raccolta che avveniva sulla base della semplice accettazione delle condizioni generali allora vigenti, nelle quali era stabilito che la profilazione e la pubblicità personalizzata facevano parte del servizio reso. L’accettazione veniva, infatti, imposta da Meta come necessaria per l’utilizzazione del social.

In tal modo, ad avviso dell’Autorità garante della concorrenza, il trattamento dei dati costituiva un abuso della posizione dominante di queste società sul mercato dei social network online, oltre a costituire una violazione del GDPR. 

In particolare, la Bundeskartellamt aveva non soltanto vietato a Meta di unire i dati personali provenienti da fonti diverse senza il preventivo consenso esplicito dell’utente, ma le aveva anche ordinato di adeguare le condizioni generali in modo che da esse “risultasse chiaramente che tali dati non sarebbero stati né raccolti, né messi in relazione con gli account degli utenti Facebook, né utilizzati senza il consenso dell’utente interessato”, chiarendo, altresì, “che tale consenso non è valido qualora costituisca una condizione per l’utilizzo deli social network” (cfr. sentenza CGCE G.S. 4/7/2023).

Contro il provvedimento dell’Autorità tedesca, MetaMeta Platforms Ireland e Facebook Deutschland hanno presentato ricorso dinanzi il Tribunale superiore del Land, Düsseldorf. Quest’ultimo, ritenendo dubbia la competenza delle Autorità nazionali garanti della concorrenza circa il controllo sulla conformità o meno del trattamento dati alla normativa privacy del GDPR, ha sottoposto la questione, in via pregiudiziale, alla Corte di Giustizia Europea. Le ulteriori questioni trattate hanno riguardato la possibilità per un operatore social network online di trattare dati personali “particolari” (chiamati nella precedente disciplina “sensibili”) della persona interessata ai sensi dell’art 9 GDPR, la liceità del trattamento dei dati personali e la validità del consenso prestato ad un operatore che ricopre una posizione dominante sul mercato ai sensi dell’art 6 GDPR. 

Nel giudizio così instaurato, iscritto come C-252/2021 Meta Platforms e a. (condizioni generali d’uso in un social network), la Corte di giustizia dell’Unione Europea ha, quindi, riconosciuto che, nell’ambito dell’esame di una ipotesi di abuso di posizione dominante da parte di un’impresa, l’Autorità garante nazionale per la concorrenza ha il potere di esaminare la conformità del comportamento di tale impresa anche alle norme previste dal GDPR. Tale valutazione può, tuttavia, essere riconosciuta al solo scopo di constatare un abuso di posizione dominante e di imporre misure volte a far cessare tale abuso. Inoltre, la Corte ha precisato che le decisioni delle Autorità garanti non si sostituiscono a quelle delle Autorità di controllo istituite dal Regolamento, poiché tali Enti devono cooperare tra loro. 

La Corte sottolinea, altresì, come il trattamento effettuato da Meta Platforms sembra riguardare anche categorie particolari di dati, quelli c.d. sensibili, il cui trattamento è generalmente vietato dal GDPR. Premesso che il trattamento di tali dati è eccezionalmente consentito soltanto qualora sia strettamente necessario per il perseguimento di pubblici interessi, nel caso di specie la Corte ha precisato che il solo fatto che un utente consulti siti Internet o applicazioni che possano rivelare informazioni di questo tipo, non significa che egli renda o voglia rendere manifestamente pubblici i suoi dati. Ciò vale anche quando un utente inserisce i propri dati in tali siti o in siffatte applicazioni o ancora attiva pulsanti di selezione ivi integrati, salvo che egli abbia esplicitamente e preliminarmente scelto di rendere pubblicamente accessibili a un numero illimitato di persone i dati che lo riguardano.

A fronte delle argomentazioni dell’Autorità nazionale tedesca, la Meta Platforms Ireland aveva cercato di giustificare il proprio comportamento sulla base di quanto disposto dall’art. 6 GDPR. 

Tale norma, infatti, legittima il trattamento dei dati personali solo in presenza di una base giuridica, tra le quali è compresa, oltre al consenso che, nel caso di specie non era stato neppure richiesto, anche quella dell’esecuzione del contratto. Pertanto, secondo Meta il trattamento oggetto di contestazione era da considerarsi necessario per poter dare esecuzione al contratto sottoscritto dagli utenti con l’iscrizione al social network.

Tuttavia, la CGUE, confermando il principio già espresso dall’Autorità nazionale della concorrenza tedesca, ha affermato che non sussiste la base giuridica contrattuale invocata da Meta, in quanto fornire contenuti di pubblicità personalizzata non può considerarsi elemento necessario per offrire agli utenti i servizi di social network online (non rientrerebbe cioè nella prestazione contrattuale). Questo a differenza di quanto invece si verifica, ad esempio, nei casi di shopping online, ove l’oggetto del contratto non può validamente essere eseguito senza il trattamento di dati personali, quali il nominativo e l’indirizzo dell’utente, al quale seguiranno comunque informazioni pubblicitarie ad hoc. 

La Corte ha, inoltre, stabilito che gli utenti del social network in questione devono godere della libertà di rifiutare di prestare il proprio consenso a operazioni di trattamento dati non necessarie all’esecuzione del contratto, senza dover, per questo motivo, rinunciare alla fruizione del medesimo network. 

In ultimo, la CGUE ha ritenuto che non sarebbe neanche possibile ipotizzare la sussistenza di un legittimo interesse di Meta all’utilizzo dei dati off Facebook (quindi acquisiti al di fuori del social) per la creazione di una pubblicità personalizzata al singolo utente, tenendo conto che il legittimo interesse giustifica il trattamento dei dati soltanto in presenza di un obbligo legale imposto al titolare del trattamento, nella specie, insussistente (non ritenendosi legittimo l’interesse alla pubblicità personalizzata ovvero alla profilazione) e, peraltro, in contrasto con l’art. 25 del Reg.UE.

In conclusione, oltre al pagamento di una sanzione pari a 390 milioni di euro e all’annunciata impugnativa del provvedimento dell’Autorità della concorrenza, Meta dovrà necessariamente rivedere la propria politica sulla privacy, senza poter sfruttare la propria posizione dominante. 

Sarà, quindi, necessario, almeno allo stato, ottenere uno specifico consenso, libero, informato, incondizionato e revocabile, per il trattamento legittimo dei dati off Facebook.

Tuttavia, poiché tale decisione comporta evidentemente significative ricadute in termini di perdite economiche a carico della società, sembra che Meta si sia già attivata per offrire un modello di abbonamento a pagamento per accedere al social, in mancanza di consenso all’uso dei dati personali.

Non resta che domandarsi quante persone saranno disposte a pagare per tutelare la propria riservatezza e quanti, invece, continueranno a ritenere che, in fondo, la propria privacy non sia poi così inviolabile, se è per avere un servizio “gratuito”.