Non è stata una buona fine anno per Meta, la società che possiede Facebook e Instagram: il Garante della Privacy irlandese l’ha sanzionata con una multa da 390 milioni di euro per violazione delle regole europee dettate dal GDPR sul trattamento dei dati. Vero è che parliamo di una società che nel 2021 ha fatturato poco meno di 27 miliardi di dollari, ma comunque nemmeno il colosso di Menlo Park può permettersi una sanzione del genere senza battere ciglio.
Per approfondire su Meta leggi l’articolo: La guerra dei dati tra Meta e l’unione Europea. Come e perchè la privacy è ancora e più che mai una norma sociale
Indice
1. Le violazioni alla base della sanzione
Quali sono state le violazioni del Regolamento Europeo per la Protezione dei Dati Personali contestate a Meta? La decisione del Garante irlandese si pone in linea con le linee guida decise dal Comitato dei Garanti Europei (European Data Protection Board) e sostanzialmente contesta il fatto che la società di Zuckerberg utilizzi una base giuridica non corretta per il trattamento dei dati dei propri utenti necessario ad offrire pubblicità targettizzata.
Ma andiamo con ordine.
La base giuridica è, ai sensi dell’art. 6 del GDPR, la condizione di liceità di un trattamento dei dati, ossia ciò che rende un particolare trattamento legittimo. L’articolo 6 ne individua sei:
- 1) il consenso, espresso per una o più specifiche finalità;
- 2) l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- 3) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento;
- 4) la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- 5) l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- 6) il legittimo interesse del titolare del trattamento o di terzi (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore).
Siccome la scelta della base giuridica spetta al Titolare del trattamento, nell’esercizio del suo potere-dovere di accountability, il Garante ha contestato a Meta di aver fondato la profilazione degli utenti per finalità di invio di pubblicità mirata sul contratto stipulato tra la società e gli utenti nel momento in cui questi si iscrivono alla piattaforma social.
Secondo il Garante questa base giuridica non sarebbe legittima, perché non è idonea allo scopo per cui i dati vengono raccolti per diverse ragioni. Innanzi tutto, per la scarsa trasparenza dell’informativa, e in secondo, ma non meno importante, luogo per l’evidente asimmetria informativa tra le parti. In altre parole, nella stragrande maggioranza dei casi gli utenti di Facebook o Instagram, nell’iscriversi al social, nemmeno si rendono conto di stare stipulando un contratto, senza poi considerare che, se anche invece se ne rendessero conto, la finalità di profilazione non sarebbe assolutamente necessaria per la stipula dello stesso.
La stipula e l’esecuzione del contratto, quindi, ben si possono compiere a prescindere dalla profilazione degli utenti destinata alla pubblicità mirata e pertanto la scelta del titolare non è stata compiuta secondo i principi che regolano il trattamento dei dati.
Oltre alla sanzione, a Meta è stato dato un tempo di tre mesi dalla notifica del provvedimento per adeguarsi al dettato normativo: in altre parole, dovrà scegliere un’altra e più adeguata base giuridica, modificando di conseguenza le proprie informative ed il proprio modello di business.
Detta così sembra semplice, ma nei fatti Meta dovrà sottoporre al garante una soluzione alternativa che sia rispettosa del Regolamento, ma che allo stesso tempo non vada a inficiare (non più di un limite che potrà essere considerato tollerabile, quanto meno) il fatturato e di conseguenza i ricavi aziendali.
Nel commentare il provvedimento in questione, l’Autorità Garante per il trattamento dei Dati Personali italiana ha affermato che “Non è esagerato sostenere che il provvedimento è, in qualche modo, destinato a avere su Internet l’impatto più rilevante sin qui avuto da un provvedimento in materia di privacy sulle cose della Rete”.
2. Perché questa decisione è così importante?
Il modello di business di Meta si basa su un do ut des: l’utente fornisce a Meta i propri dati e in cambio Meta fornisce un servizio “gratuito” di social network. Le virgolette sono d’obbligo, perché la verità è che gli utenti pagano per quel servizio che credono essere gratuito, non con moneta sonante, ma con i propri dati. Già nel 2018 l’Autorità Garante della Concorrenza e del Mercato aveva sanzionato Facebook per pratiche commerciali ingannevoli: il claim del noto social, fino a quel momento era stato “iscriviti: è gratis e lo sarà per sempre” ed è stato proprio su quel gratis che l’AGCM ha fondato la propria contestazione. La parola gratis non faceva percepire agli utenti l’importanza dei dati che fornivano alla società (che all’epoca si chiamava ancora Facebook), che era ed è tuttora il vero valore ed il vero business miliardario: non parliamo solo di nome, cognome e email, cioè quelli che servono per iscriversi ad una delle piattaforme di proprietà del colosso di Menlo Park, ma di tutte quelle informazioni per sonali che forniamo su di noi nel corso del rapporto ad ogni “mi piace”, ad ogni commento, post o condivisione: stato civile e sentimentale, sesso, preferenze, gusti, passioni, amici, amori, desideri, aspirazioni, paure, informazioni finanziarie e molto altro.
Il modello è semplice: Meta (così come ogni operatore online, solo che Meta, evidentemente, lo fa meglio e con maggior profitto) ha bisogno dei nostri dati, perché ha bisogno di mandare ai propri utenti (parliamo di miliardi di utenti nel mondo) il messaggio commerciale giusto, che permetta all’azienda che lo propone di “convertire” ossia di vendere, che è il motivo per cui la società che vuole pubblicizzare un prodotto paga a Meta fior di soldi per posizionare i propri annunci in maniera “profilata”, Che è il motivo per cui Meta fattura i famosi 27 miliardi di dollari.
Nel marketing si dice che parlare a tutti vuol dire non parlare a nessuno, ma se invece parlassimo proprio a quelle persone che hanno bisogno del nostro prodotto? Allora sì che avremmo la possibilità di vendere e di farlo bene. Per questo il social ci conosce meglio dei nostri genitori e del nostro partner. Perché sa cosa vogliamo e sa come darcelo.
3. La profilazione è illegittima?
La profilazione degli utenti non è di per sé illegittima, così come la tecnologia che vi sta dietro non è brutta o cattiva: la tecnologia in quanto tale non ha connotazione, dipende dal modo in cui si usa e dall’impiego che se ne fa. Anche la fissione e la fusione nucleare, di per sé, sono state scoperte rivoluzionarie, è stato poi l’ingegno malefico umano che le ha trasformate in armi di distruzione di mazza.
La profilazione, al contrario, costituisce un’ottima opportunità di business non solo per Meta, ma per milioni di aziende che operano nel mondo online, e il business porta con sé benessere, per quanto questo possa fare dispiacere ai nemici dell’imperialismo, americano e non.
Ma essere profilati vuol dire, inevitabilmente, rinunciare ad un po’ di libertà personale, di diritti che dovrebbero essere inalienabili ed alla nostra privacy e sicurezza ed è pertanto dovere della società che ci profila metterci nelle condizioni di conoscere ogni aspetto del processo, affinché noi ne siamo consapevoli e possiamo prendere una decisione libere e informate.
4. Non solo Meta
È chiaro che la famiglia Facebook rappresenta, insieme alle altre Big Tech, la parte più ampia di questo mercato dei dati, ma sarebbe sbagliato pensare che solo loro siano “i cattivi” in questa storia.
La rete pullula di generosi operatori digitali, che “gratuitamente” propongono corsi, prodotti, contenuti imperdibili di vario genere, ma che in realtà non fanno altro che replicare, in scala ridotta, il medesimo modello di business: la raccolta dei nostri dati per trarre profitti. Uno scopo più che lecito, quando dietro a quell’imperdibile contenuto gratuito c’è una società di capitali e non una onlus, ma come sempre è la modalità con cui si fanno le cose che andrebbe ridiscussa: trasparenza da una parte e consapevolezza dall’altra, due elementi che costituiscono merce rara in rete.
5. Il valore dei dati
Al di là delle problematiche tecnico-giuridiche e delle scelte che Meta dovrà compiere nei prossimi tre mesi per adeguarsi a quanto richiesto dal Garante irlandese, il vero tema, che non vale solo per Meta, ma per tutti, è sempre lo stesso: quanto valgono, in termini di denaro, i nostri dati nel web? È giusto che vengano monetizzati? E ancora, monetizzare i nostri dati, non vuol dire, in ultima analisi, monetizzare noi stessi esseri umani?
La questione si è posta quando molte testate giornalistiche hanno inventato la trovata del pay wall, ovvero lo sbarramento ai propri contenuti che propone l’alternativa: o mi dai il consenso ai cookie, oppure mi devi pagare per leggere il mio sito (ne abbiamo parlato in questo articolo), questione tuttora sottoposta all’attenzione del nostro Garante.
6. Dunque, i dati personali sono monetizzabili?
La questione occupa giuristi ed addetti ai lavori da anni, ed anche il Comitato Europeo dei Garanti non è addivenuto ad una conclusione condivisa, segno inequivocabile che si tratta di un tema spinoso, ma ormai divenuto ineludibile: da un lato l’esigenza, legittima e meritevole di tutela, di fare business e di sfruttare le ampie possibilità che la rete offre, dall’altro i diritti e le libertà fondamentali degli interessati, che però sempre più spesso dimostrano di essere del tutto dis-interessati alla questione privacy, preferendo di gran lunga continuare a sfruttare una serie di servizi senza esborso di denaro, nell’inconsapevolezza del fatto che quando qualcosa è gratis, vuol dire che il prodotto siamo noi.
Stiamo quindi per essere messi di fronte a un Facebook e ad un Instagram a pagamento? Per il momento la questione resta aperta, e pare che l’unica certezza sia, per citare nuovamente il nostro Guido Scorza, che “nella dimensione digitale tanto se non tutto sta per cambiare”.
Volume consigliato
Come applicare il GDPR e il codice privacy
Grazie al D.Lgs. n. 101/2018 è avvenuto l’adeguamento del nostro Codice privacy (D.Lgs. n. 196/2003) alle numerose modifiche introdotte dal Regolamento europeo 2016/679, noto anche come GDPR – General Data Protection Regulation. Con il decreto di adeguamento – entrato in vigore dal 19 settembre 2018 – il quadro può pertanto ritenersi completo e tutti gli enti, i professionisti e le società dovranno operare nel rispetto del GDPR e della disciplina contenuta nel Codice privacy, così come appena modificato. Ma quali incombenze e adempimenti ne deriveranno, in concreto? L’obiettivo di questo breve manuale è appunto quello di analizzare la nuova legislazione, indicando, anche attraverso esempi pratici e schede di sintesi, i profili di maggior rilievo che professionisti e imprese devono considerare per adeguarsi alla normativa ed evitare di incorrere in gravose sanzioni.Roberta Rapicavoli Avvocato, Master di primo livello in “Diritto delle tecnologie informatiche” organizzato dall’Osservatorio CSIG di Messina, esercita l’attività professionale nel settore della privacy, del diritto informatico e del diritto applicato a internet e alle nuove tecnologie. In tali settori del diritto presta assistenza e consulenza a imprese e professionisti. Si dedica ad attività divulgativa e formativa, pubblicando articoli e approfondimenti in materia di privacy e di diritto informatico su riviste di settore e siti web e partecipando, quale relatrice e docente, a eventi e corsi, organizzati in tutto il territorio nazionale, su tematiche attinenti alla protezione dei dati personali e sulle questioni di maggior interesse riguardanti il rapporto tra diritto e mondo del web e delle nuove tecnologie.
Roberta Rapicavoli | Maggioli Editore 2018
Scrivi un commento
Accedi per poter inserire un commento