Segnalazione Meta per violazione del legittimo interesse
Recentemente Meta ha proposto una modifica rispetto al trattamento di dati personali legato alle attività di “Personalizzazione di inserzioni sui Prodotti di Meta”. Tali attività saranno ora svolte sulla base del legittimo interesse di Meta, e quindi senza consenso degli utenti.
Grazie alle analisi del nostro dipartimento Legal abbiamo osservato diverse criticità, come:
- Le deboli giustificazione fornite da Meta rispetto alla fondatezza del proprio legittimo interesse
- L’attuale metodologia di opt-out, tutt’altro che semplice ed agevole per gli interessati
- La carenza di trasparenza da parte di Meta
Abbiamo ritenuto quindi doveroso agire a tutela dei diritti degli utenti italiani, descrivendo le nostre perplessità al Garante Privacy con una segnalazione formale, che potete anche leggere di seguito.
Se vuoi sostenere Privacy Network e le nostre attività, seguici sui principali social network o associati!
PREMESSO CHE
Meta Platforms Ireland Limited (nel prosieguo “Meta”) è una società di diritto irlandese, entità di fatturazione europea della Meta Platforms, Inc. proprietaria delle piattaforme online “Facebook”, “Instagram” e “Whatsapp”, social network di larghissimo uso a livello globale.
In data 05 aprile 2023, Meta ha modificato la condizione di liceità del trattamento (ai sensi dell’art. 6 del GDPR) passando, per l’elaborazione degli annunci pubblicitari nell’UE, dalla lettera b) dell’art. 6, par. 1 GDPR, alla lettera f) dell’art. 6, par. 1 GDPR.
Tale modifica arriva in seguito alla sanzione comminata dalla Irish Data Protection Commission nel gennaio 2023 (link), in risposta all’azione legale mossa dall’organizzazione non-profit “noyb”.
A valle di tale pronuncia, era stato fornito a Meta un lasso di tempo (fino ad aprile 2023) utile per l’adeguamento delle proprie attività di trattamento, rispetto a quanto stabilito dal GDPR.
VISTO
L’annuncio di Meta del 30 marzo 2023 con il quale la società ha annunciato che:
- pur ritenendo il precedente approccio corretto, sarebbe stata cambiata la condizione di liceità del trattamento dei dati personali, per “garantire la conformità alla decisione della Irish Data Protection Commission”;
- la nuova base giuridica del trattamento dei dati personali, per quanto riguarda la “Personalizzazione di inserzioni sui Prodotti di Meta” (ossia, la profilazione degli utenti e la visualizzazione di pubblicità targettizzata), sarebbe stata individuata nel legittimo interesse del titolare del trattamento;
Quanto riportato nell’informativa privacy di Meta, laddove si dichiara che il legittimo interesse viene utilizzato per la “Personalizzazione di inserzioni sui Prodotti di Meta: i […] sistemi trattano in automatico le informazioni che riguardano te e altre persone che raccogliamo e memorizziamo per valutare e comprendere i tuoi interessi e le tue preferenze, per fornirti esperienze personalizzate nei Prodotti di Meta” e che questo avviene:
- poiché è nell’interesse di Meta e in quello di altri utenti permettere loro di generare ricavi e continuare a innovare, migliorare e sviluppare i Prodotti di Meta e nuove tecnologie;
- poiché è nell’interesse di Meta e in quello di terzi (ad esempio, gli inserzionisti) fornire alle aziende, sia grandi sia piccole, l’opportunità di entrare in contatto con gli utenti più interessati ai loro prodotti e servizi;
- poiché è nell’interesse di Meta e in quello di terzi (ad esempio, gli inserzionisti) e di altri utenti, essere in grado di promuovere prodotti e servizi delle aziende, siano esse grandi o piccole”;
Le nelle informazioni contenute nel c.d. “Centro sulla privacy” e in particolare per quanto riguarda le modalità di esercizio del diritto di opposizione al trattamento dei dati personali, di cui all’ art. 21 del GDPR
Le recenti osservazioni sollevate dalla stampa (link) e dalle associazioni di settore (link) straniere, che hanno accolto con riserbo la nuova politica sulla protezione dei dati di Meta.
RILEVATO
Che la nuova politica di gestione dei dati personali presenta numerose criticità sul profilo giuridico e un rischio per i diritti e le libertà degli utenti nei termini di seguito rappresentati.
Le deboli giustificazioni fornite da Meta rispetto alla fondatezza del proprio legittimo interesse. Nella news pubblicata sul proprio sito internet, Meta spiega come la scelta legata al cambio della base giuridica, verso il legittimo interesse, sia legata al fatto che “il GDPR afferma chiaramente che non esiste una gerarchia tra le basi giuridiche e nessuna dovrebbe essere considerata più valida di qualsiasi altra”, inoltre come “questa base giuridica viene utilizzata da piattaforme simili”. Tali motivazioni, appaiono assolutamente vaghe e deboli in quanto l’utilizzo del legittimo interesse è “condizionato dallo svolgimento di un test di bilanciamento che valuti l’interesse legittimo del titolare in relazione agli interessi o ai diritti fondatamentali dell’interessto al trattamento”.
I precedenti di questa Autorità sulle modalità di utilizzo del legittimo interesse. A differenza di altri player del mercato, che fondano il trattamento dei dati personali degli utenti per il c.d. targeting advertising sul consenso dell’interessato (tramite opt-in; art. 6, par. 1, lett. a) del GDPR), Meta ha deciso di fondare tale medesima finalità sul legittimo interesse (art. 6, par. 1, lett. f) del GDPR).
Come evidenziato anche dall’associazione Noyb, “la giurisprudenza e le linee guida in materia non consentono, infatti, ad una azienda di sostenere che i suoi interessi (nei profitti) risultino prevalenti rispetto al diritto alla protezione dei dati personali degli utenti”.
Le precedenti pronunce da parte dell’Autorità Garante della Protezione dei Dati Personali (link), nonché della Irish Data Protection Commission (link) hanno escluso la possibilità per i titolari del trattamento di ricorrere al legittimo interesse come base giuridica del trattamento per attività di marketing.
L’attuale metodologia di opt-out, tutt’altro che semplice ed agevole per gli interessati. Ulteriore difficoltà si riscontra, poi, nell’iter metodologico necessario per l’esercizio di una richiesta in merito alla protezione dei dati (link). Indipendentemente dalla legittimità della scelta effettuata da Meta rispetto alla nuova base giuridica, ai sensi dell’art. 21, paragrafi 1 e 2 del GDPR, agli utenti dev’essere garantita la possibilità di opporsi all’interesse legittimo del titolare del trattamento, tramite un sistema di opt-out (dal trattamento basato sul legittimo interesse).
Il sistema fornito da Meta a tal fine, fondato su una procedura guidata chiusa (priva di agili possibilità o aperture verso una richiesta “costruita” direttamente da parte degli interessati) risulta ben distante dal dettato dell’art. 12, par. 2 GDPR laddove stabilisce che “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli da 15 a 22”.
La carenza di trasparenza da parte di Meta. Giova, infine, sottolineare la complessa struttura della documentazione legale rilevante per gli interessati. I testi, spesso basati su di una struttura a livelli multipli di distribuzione delle informazioni, di difficile navigazione e fruizione per l’utente medio.
Le norme di stampo sia comunitario, sia nazionale, negli ultimi anni molto si sono spese sulla chiarezza e trasparenza delle informazioni (il GDPR stesso fa riferimento, all’art. 12, par. 1, all’utilizzo di una “forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”), pur non essendo esclusa la possibilità per i proprietari di siti web e/o titolari del trattamento di usufruire di strutture documentali-informative basate su un sistema basato su più layer.
TUTTO CIÒ PREMESSO
Con la presente si segnalano le suddette circostanze all’Autorità Garante della Protezione dei Dati Personali, pregandola di voler verificare se il trattamento dei dati personali sopra descritto ed effettuato da Meta Platforms Ireland Limited risulti conforme alla disciplina in materia di protezione dei dati personali e, se del caso, adottare i provvedimenti considerati opportuni.