Meta: dopo più di quattro anni arriva la pronuncia dell’EDPB

noyb - illegale il modello business di Meta in EU

All’inizio del mese è stato pubblicato sul Wall Street Journal un articolo nel quale veniva riportata la notizia di un’imminente pronuncia, non ancora resa ufficiale al momento della pubblicazione, da parte dell’European Data Protection Board (nel prosieguo “EDPB”) nell’ambito del procedimento che da oltre quattro anni coinvolge Meta Platforms Ireland Ltd. (società americana che controlla Facebook, Whatsapp e Instagram).

All’origine della vicenda giudiziaria vi erano diversi ricorsi promossi dall’organizzazione NOYB (acronimo di “none of your business”), fondata dal famoso attivista austriaco Max Schrems, in data 25/05/2018, giorno dell’entrata in vigore del GDPR, al fine di denunciare violazioni della nuova normativa europea da parte di Instagram, Facebook, Whatsapp e Google.

Le condotte incriminate consistevano nel c.d. “bundling”, ovvero nella pratica di accorpare la prestazione del consenso al trattamento dei dati, anche per quelle attività non necessarie all’esecuzione, alle diverse clausole contrattuali, di fatto subordinando la sottoscrizione del contratto alla concessione del consenso e quindi forzando il cliente-interessato ad accettare ogni genere di trattamento.

Allo stesso tempo, nell’idea del Titolare, i consensi prestati vengono sottratti alla disciplina europea in termini di revoca e mutamento degli stessi in quanto considerati alla stregua di clausole contrattuali che non possono essere modificate e rigettate in un secondo momento successivo alla sottoscrizione del contratto medesimo.

Sul piano legale, il trattamento dei dati veniva così giustificato sulla base dell’art. 6 par. 1 lett. b) Reg. U.E. 679/2016, che legittima il trattamento che sia “necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”; nella pratica, la citata base giuridica viene intesa in senso restrittivo e non consente al Titolare di utilizzare i dati raccolti per ogni operazione che non sia strettamente necessaria per il contratto in questione.

Nel caso di specie, Meta ha interpretato la disposizione legislativa in maniera da giustificare l’impiego di pubblicità personalizzate che venivano imposte all’utente-contraente; e ciò in aperto contrasto con quanto sancito tanto dal Regolamento stesso quanto dalle Autorità Garanti Europee.

Nonostante ciò, il Garante Irlandese (nel prosieguo “DPC”) aveva trovato legittima e rispondente al dettato del GDPR la condotta incriminata ed anzi aveva proposto la creazione di un gruppo di lavoro tra le S.A. degli Stati Membri al fine di promuovere un’interpretazione dell’art. 6 par.1 lett. b) fondata sulla c.d. “freedom to contract” che avrebbe finito per avvallare la posizione assunta da Facebook in materia.

La risposta delle Autorità Garanti fu universamente negativa: secondo quanto riportato da noyb la proposta del DPC fu ritenuta contraria allo spirito della normativa vigente e idonea a trasformare il GDPR in un mero strumento formale privo di ogni valenza pratica. Il gruppo di lavoro terminò il proprio compito pubblicando le linee guida 02/2019 in materia di consenso che contenevano posizioni diametralmente opposte a quella irlandese.

Recentemente, a più di quattro anni dagli originali ricorsi effettuati da noyb, l’EDPB ha preso posizione sulla materia con una decisione vincolante per le Autorità Garanti nazionali: a mezzo di tale provvedimento veniva stabilito definitivamente che i Titolari del trattamento devono necessariamente raccogliere il consenso informato dei propri interessati per l’utilizzo di pubblicità personalizzate o, come nel caso di Whatsapp, per apportare migliorie al servizio.

Oltre a ciò, le SA che avevano ricevuti i ricorsi promossi da noyb vengono invitate a pronunciarsi in linea con la decisione vincolante emessa dall’EDPB e a prevedere sanzioni, la cui entità è rimessa alle autorità procedenti.

Questa decisione chiude un dibattito durato anni e mette finalmente chiarezza in materia di consenso e di pubblicità comportamentale, ponendo fine ad una pratica come quella del c.d. “bundling” che consisteva frequentemente in un abuso da parte di colossi della tecnologia come Meta della propria posizione contrattuale dominante a scapito dell’interessato che, al fine di poter usufruire del servizio offerto, doveva forzatamente accettare una serie di condizioni supplementari che poco avevano a che fare con l’oggetto del contratto stesso,

Oltre a ciò, con essa viene sancito ancora una volta il ruolo centrale che l’EDPB ha assunto in materia di uniforme applicazione del GDPR: il potere vincolante che la norma gli riconosce nei confronti delle Autorità nazionali si rivela fondamentale per la decisione di casi, come quello di specie, che per la rilevanza e la natura sovrannazionale richiedono una soluzione unitaria che venga applicata in maniera univoca in tutti gli Stati Membri.

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su