L’organizzazione NYOB riporta come META, nell’ambito dell’Unione Europea, abbia deciso di modificare il proprio modello privacy per quanto riguarda le attività pubblicitarie mirate, a seguito del provvedimento sanzionatorio di 390 milioni di euro dell’Autorità garante irlandese, in quanto META aveva sfruttato come base legale per le proprie attività di pubblicità mirata l’articolo 6(1)(b) GDPR (esecuzione di un contratto di cui l’interessato è parte). È necessario ricordare che la pubblicità mirata consiste preliminarmente in un’attività di profilazione delle attività e preferenze dell’utente.
A fronte di provvedimenti similari di altre Autorità garanti europee, altre aziende del settore (Google e Microsoft) hanno cominciato a giustificare questa tipologia di trattamento con la logica dell’opt-in dell’utente, ovvero considerando come base legale di questo trattamento il consenso libero ed espresso dell’interessato (ai sensi dell’art. 7 GDPR).
Tuttavia, META avrebbe preferito un modello c.d. “opt-out”, giustificando le proprie attività di profilazione degli utenti sulle piattaforme di Facebook e Instagram come legittimo interesse (articolo 6(1)(f) GDPR), prevalente sui diritti e libertà dell’interessato. Infatti l’informativa aggiornata al 5 Aprile 2023 riporta che la base giuridica del legittimo interesse riguarda la fornitura di “un servizio innovativo, personalizzato, sicuro e redditizio ai nostri utenti e Partner, nonché rispondere alle richieste legali”.
Questo trattamento può essere limitato soltanto con l’intervento attivo del medesimo interessato, ai sensi dell’art. 21(1) del GDPR, obbligando il Titolare del trattamento a dimostrare “l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato”. Questa strategia era già stata tentata da altre aziende, per essere successivamente respinte da alcune Autorità garanti europee (tra cui il Garante italiano con i propri provvedimenti verso TikTok).
Si rileva che questa pratica sembrerebbe in contrasto anche con il nuovo Regolamento (UE) 2022/1925, c.d. Digital Market Act (DMA), che entrerà in vigore il 2 Maggio 2023. In materia anti-trust, il DMA ha l’obiettivo di regolare e definire le condotte e gli obblighi per i c.d. gatekeeper, le grandi imprese che forniscono importanti servizi di piattaforma di base (servizi di intermediazione online, motori di ricerca online, social network online, ecc.), con un impatto significativo sul mercato interno (tra queste, tutte le Big Tech). Infatti, al Considerando 36 del DMA, è esplicito che per la fornitura di servizi pubblicitari online “i gatekeeper dovrebbero consentire agli utenti finali di scegliere liberamente di seguire tali pratiche di trattamento dei dati e accesso con registrazione offrendo un’alternativa meno personalizzata ma equivalente, e senza subordinare l’utilizzo del servizio di piattaforma di base o di talune sue funzionalità al consenso dell’utente finale. Ciò non dovrebbe pregiudicare la possibilità per il gatekeeper di procedere al trattamento dei dati personali o di fare accedere con registrazione gli utenti finali a un servizio, avvalendosi della base giuridica di cui all’articolo 6, paragrafo 1, lettere c), d) ed e), del regolamento (UE) 2016/679, ma non di cui all’articolo 6, paragrafo 1, lettere b) ed f), del medesimo regolamento”. Queste considerazioni sono state trasposte nelle disposizioni normative degli articoli 5 e 6 del DMA (obblighi dei gatekeeper) e nell’articolo 13 DMA (misure antielusive).
In caso di condotte considerate sleali, tra cui la raccolta ingiustificata dei dati degli utenti finali, nonché la combinazione di dati personali dell’utente, ricavati dai servizi di piattaforma, con altri dati personali ricavati da altri servizi, anche di terze parti, senza espressa autorizzazione (c.d. consenso) dell’utente stesso, le sanzioni previste dal DMA arrivano fino al 10% del fatturato dell’azienda e al 20% in caso di recidiva. In caso di violazione sistematica delle norme sono previste sanzioni straordinarie, tra cui anche l’obbligo di cedere parte del capitale o delle proprietà aziendali.
Max Schrems di NYOB riporta che “Meta sta sostituendo una pratica illegale con un’altra pratica illegale. nyob intraprenderà un’imminente azione legale per fermare questa farsa, poiché è chiaro che l’autorità di regolamentazione irlandese di Meta sarà nuovamente inattiva. Questo è un gioco assurdo e lo fermeremo il prima possibile. Come qualsiasi altra azienda, Meta deve avere una chiara opzione “sì/no” per gli utenti, che devono dire attivamente “sì” se vogliono rinunciare ai loro diritti fondamentali. Questo sistema di utilizzo del legittimo interesse consente almeno l’opt-out, il che rappresenta un leggero miglioramento per gli utenti“.
Nel frattempo, NYOB ha messo a disposizione uno proprio strumento per facilitare l’opt-out degli utenti dal trattamento di profilazione per il servizio di pubblicità mirata di META, ai sensi dell’articolo 21 (1)(2) del GDPR, in quanto esercitare tale diritto direttamente nei confronti del Titolare del trattamento si sta dimostrando troppo complesso e difficoltoso, che si può effettuare anche confermando il proprio indirizzo e-mail utilizzato per accedere a Facebook ed Instagram.