“Ping pong” EDPB – Meta. Punto di vista sostanziale e processualistico

I fatti in breve

In primo luogo, è opportuno ripercorrere sinteticamente le principali tappe dell’ormai annosa controversia che vede coinvolti Meta, l’EDPB e alcune Autorità di Controllo europee (in particolare quelle irlandese e norvegese).

La vicenda ha inizio nel dicembre 2022 con due prime decisioni vincolanti emesse dai Garanti europei ai sensi dell’art. 66 del GDPR (EDPB Binding Decisions 3 – 4/2022) che sancivano l’inidoneità del contratto ex art. 6(1)(b) GDPR quale base di liceità delle attività di trattamento dei dati personali degli utenti di Meta per finalità di pubblicità comportamentale (c.d. “behavioural advertising”). Al predetto provvedimento seguivano l’ordine dell’Autorità di Controllo irlandese (IE SA) che imponeva a Meta di adeguarsi alle prescrizioni dell’EDPB entro il termine di tre mesi e la successiva sanzione milionaria irrogata dalla medesima autorità irlandese; in seguito, il 14 luglio 2023, l’Autorità di controllo norvegese (NO SA) emetteva un ulteriore provvedimento che intimava a Meta IE e a Facebook Norway il divieto temporaneo di effettuare trattamenti di dati personali per finalità di “behavioural advertising” utilizzando quale presupposto di legittimità il contratto e il legittimo interesse. Contestualmente, la NO SA informava l’IE DPA delle misure adottate sulla base dell’art. 66, par. 1 del GDPR.

Infine, il 27 ottobre 2023 l’EDPB pronunciava la decisione urgente e vincolante 01/2023 (“Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (Art. 66(2) GDPR)) a cui faceva seguito l’adozione, da parte dell’IE SA, di un nuovo provvedimento che vietava a Meta IE di continuare il trattamento dei dati personali degli utenti per finalità di pubblicità comportamentale utilizzando il contratto e il legittimo interesse come basi giuridiche.

Il quadro normativo

Per meglio inquadrare giuridicamente la vicenda in esame è necessaria una breve analisi dell’art. 66 GDPR, rubricato “Procedura d’urgenza”, che prevede la facoltà, da parte di un’Autorità di controllo, di attivare una procedura in deroga al meccanismo di cooperazione (c.d. “sportello unico” o “one-stop-shop”) o di coerenza fra Autorità di controllo, nelle ipotesi in cui ricorrano circostanze eccezionali e vi sia l’urgenza di intervenire per tutelare i diritti e le libertà degli interessati. L’Autorità di controllo che ricorra alla procedura d’urgenza è tenuta a comunicare senza ritardo le misure adottate e la motivazione posta alla base della loro adozione alle altre Autorità di controllo interessate, all’EDPB e alla Commissione europea.

La misura che l’Autorità di controllo interessata può adottare ai sensi dell’art. 66, par. 1 GDPR non solo ha natura provvisoria, ma possiede un’efficacia temporale limitata a tre mesi ed è applicabile nel solo Stato membro a cui appartiene l’Autorità di controllo interessata. È evidente che la limitazione temporale e spaziale della misura si giustifichi in ragione della natura eccezionale del provvedimento assunto “in deroga” ai principi di cooperazione e coerenza sopra richiamati.

Una volta adottate le misure provvisorie sulla base dell’art. 66, par. 1 GDPR, qualora emerga la necessità di adottare misure definitive, l’Autorità di controllo può avanzare una richiesta motivata all’EDPB di pronunciare, a maggioranza semplice dei propri membri, un parere d’urgenza o una decisione vincolante (come accaduto nella fattispecie in esame).

Il legittimo interesse

Il tema principale affrontato nelle decisioni vincolanti dell’EDPB ha riguardato la verifica dell’idoneità delle basi giuridiche (i.e., contratto e legittimo interesse) su cui Meta ha fondato il trattamento dei dati personali dei propri utenti per fini di pubblicità comportamentale (nel caso di Facebook e Instagram) e per il miglioramento del servizio (nel caso di WhatsApp).

Come noto, la pubblicità comportamentale consiste nell’elaborazione di annunci pubblicitari mirati basati sui dati e le informazioni raccolte dagli utenti durante la navigazione e le interazioni online per ricavarne, per esempio, le abitudini di navigazione e le preferenze.

L’EDPB, all’esito dell’istruttoria sul caso, ha giudicato non adeguate le predette basi giuridiche, indicando il consenso dell’interessato ex art. 6, par. 1, lett. a) GDPR quale unica base di liceità concretamente utilizzabile da Meta.

Come dichiarato dalla presidente dell’EDPB Anu Talus, già nel dicembre 2022 le decisioni vincolanti dell’EDPB avevano chiarito che il contratto non costituiva una base giuridica adeguata per procedere al trattamento dei dati personali degli utenti di Meta per fini di pubblicità comportamentale, con la conseguente illegittimità dei relativi trattamenti effettuati dalla società.

Nello specifico, nei primi provvedimenti l’EDPB aveva rilevato come Meta si basasse in modo inappropriato sul contratto come base legale per elaborare i dati personali nel contesto dei Termini di servizio di Facebook e di Instagram ai fini della pubblicità comportamentale. Detto trattamento – secondo i Garanti europei - non poteva essere considerato un elemento fondamentale dei servizi forniti da Meta. In altri termini, la decisione di Meta di fondare il proprio business sulla realizzazione di profitti tramite annunci personalizzati non poteva rendere detti servizi “necessari”.

Allo stesso modo, l’EDPB ha ritenuto il legittimo interesse di Meta una base giuridica inappropriata in relazione ai trattamenti sopra rappresentati.

Nelle proprie argomentazioni, Meta ha sostenuto di aver fatto ricorso al legittimo interesse solo rispetto a quelle attività di trattamento di dati personali che si riferivano all’utilizzo di prodotti e servizi riconducibili a Meta stessa, al solo fine di analizzare gli interessi e le preferenze dei propri utenti; ciò a differenza dei trattamenti riguardanti i dati personali degli utenti raccolti dalle interazioni con siti web, apps o prodotti e/o servizi di terze parti che, invece, si sarebbero basati sul consenso degli interessati.

Analizzando il merito dei provvedimenti emessi dai Garanti europei, appare necessario soffermarsi brevemente sul concetto di legittimo interesse previsto dall’art. 6, par. 1, lett. f) del GDPR e sul fondamento giuridico delle argomentazioni dell’EDPB.

Come risaputo, in base al combinato disposto dell’art. 6(1)(f) e del Considerando 47 del GDPR sono richieste tre condizioni cumulative affinché un titolare del trattamento possa ricorrere, in maniera conforme alla normativa in materia di protezione dei dati personali, al legittimo interesse quale presupposto giuridico su cui fondare le attività di trattamento che intende porre in essere. Nello specifico, tali condizioni sono: i. il perseguimento di un legittimo interesse del titolare o di un terzo; ii. la rispondenza al criterio di necessità del trattamento, che si sostanzia nell’obbligo di verificare se le medesime finalità possano essere raggiunte con mezzi differenti; e iii. la necessità di verificare che gli interessi, i diritti e le libertà fondamentali dell’interessato non prevalgano sul legittimo interesse del titolare o del terzo. Tale ultima valutazione deve essere effettuata sulla base di un giudizio di bilanciamento o test di comparazione (c.d. “Legitimate Interest Assessment”) e deve tenere conto, fra i vari elementi, anche delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento e, in particolare, dell’eventualità che l’interessato, al momento della raccolta dei dati personali, potesse ragionevolmente attendersi tale trattamento.

Nel caso in esame, l’EDPB (e, in precedenza, l’IE SA) ha ritenuto che Meta abbia rispettato il primo requisito, atteso che la società, nelle proprie difese, aveva analiticamente indicato una serie articolata di interessi considerati legittimi (es. miglioramento della fruizione dei prodotti da parte degli utenti – c.d. user experience -; miglioramento dei prodotti di Meta e sviluppo di nuove tecnologie; interesse di terzi alla promozione delle proprie attività commerciali ecc.).

Il secondo requisito, al contrario, non è invece stato rispettato: anche a causa della genericità delle argomentazioni utilizzate da Meta a supporto delle proprie difese, all’EDPB (così come alle Autorità di controllo precedentemente coinvolte) non è stato possibile verificare se, in concreto, le medesime finalità del trattamento oggetto di analisi potessero essere perseguite con mezzi meno “invasivi” rispetto a quelli utilizzati da Meta e da questa ritenuti necessari.

Quanto al “test di bilanciamento” condotto da Meta, l’EDPB ha aderito alle motivazioni espresse da alcune Autorità di controllo coinvolte nella procedura d’urgenza che hanno valutato diversi elementi fondamentali quali: l’impatto del trattamento sugli interessati (in particolare, Meta non ha stabilito se il trattamento potesse riguardare anche dati particolari);  le modalità con cui i dati personali sono trattati (nel caso di Meta è stato individuato un trattamento massivo di dati personali, combinati con ulteriori dati ottenuti da altre fonti, senza considerare la conformità al principio di minimizzazione); le ragionevoli aspettative degli interessati (sul punto, è stata rilevata, per esempio, la scarsa trasparenza della privacy policy di Meta, il cui contenuto è risultato difficilmente comprensibile dall’utente medio); la posizione del titolare del trattamento rispetto all’interessato, che ha indotto le Autorità di controllo e l’EDPB a considerare come, nel caso di Meta, vi sia uno squilibrio di potere contrattuale con gli utenti che permette a Meta di imporre le proprie condizioni contrattuali, senza possibilità di negoziazione e senza che gli utenti possano selezionare analiticamente le attività di trattamento a cui sottoporre i propri dati personali.

Infine, è stata rilevata l’omessa indicazione delle misure adottate da Meta per rispettare il principio di minimizzazione ed impedire che si configurino trattamenti idonei a pregiudicare i diritti e le libertà degli interessati (nel caso, per esempio, di trattamenti che riguardino incidentalmente anche i dati particolari dell’interessato).

Da ultimo, si segnala come i giudizi delle Autorità di controllo e dell’EDPB siano stati orientati – in parte – anche dall’obiter dictum contenuto nella sentenza della Corte di Giustizia dell’Unione europea pronunciata nel caso Meta Platforms Inc. e altri contro Bundeskartellamt (cfr. CJUE – case C-252/21), nella parte in cui i giudici lussemburghesi rilevano come il trattamento dei dati personali degli utenti di un social network (nella specie, Facebook) da parte del titolare (a cui è riconducibile la proprietà della piattaforma) per finalità di pubblicità personalizzata (o profilata) non può rientrare nelle ragionevoli aspettative di quegli utenti se non sia basata sul consenso degli interessati. In altre parole, sostiene la CGUE, l’utente medio di una piattaforma online può ragionevolmente aspettarsi un eventuale utilizzo dei propri dati personali per scopi di pubblicità comportamentale soltanto se tale trattamento si basi su una chiara manifestazione di volontà rappresentata dal consenso dell’interessato.

In conclusione

È fuor di dubbio che le decisioni dell’EDPB e delle Autorità di controllo europee abbiano avuto un impatto significativo sulle attività di Meta, non tanto – e non solo - sotto il profilo economico (l’entità elevata, in termini assoluti, delle sanzioni amministrative pecuniarie irrogate va infatti rapportata al fatturato di Meta), quanto per il contenuto della misura interdittiva che, nei fatti, impedirà alla società big-tech di continuare ad adottare un certo modello di business nell’Unione europea e la obbligherà, mutando il paradigma giuridico riferito ai trattamenti dei dati personali degli utenti per finalità pubblicitaria personalizzata, ad esplicitare in maniera maggiormente trasparente, intelligibile e specifica la (o le) finalità a cui è riconducibile ogni consenso acquisito, con un maggior coinvolgimento degli utenti stessi.

Da ultimo, si segnala che a novembre del 2023 la decisione dell’EDPB è stata impugnata da Meta IE davanti alla High Court irlandese. Fra i motivi di gravame, la società ricorrente ha sostenuto che il divieto imposto dai Garanti europei impedirebbe a Facebook e Instagram di utilizzare i dati personali degli utenti per informare e fornire dettagli importanti agli inserzionisti, con evidenti ricadute anche sui rapporti commerciali con questi ultimi.