Modifiche alla privacy policy del gruppo meta, la c.d. “Behavioural Advertising”, Trasferimento dati in USA.
L’art 6 del Reg. (EU) 679/2016 (in seguito “GDPR”) elenca le possibili basi giuridiche idonee a fondare un trattamento lecito di dati personali. Nel presente articolo si analizzano, in particolare, le scelte adottate dalla società del Gruppo META per fondare la legittimità di quel trattamento che specificatamente riguarda l’offerta al pubblico di pubblicità mirata. Gli utenti finali, interagendo sulle pagine dei famosissimi social network, trovano infatti inserzioni sempre più pertinenti ai loro interessi, resi manifesti dai post, commenti, “like” o da altro tipo di interazione. Sono dati personali questi che vengono dapprima registrati dagli algoritmi della Società e poi utilizzati dalla stessa per stringere accordi con parti terze (ad es. fornitori di servizi d pubblicità, ma non solo) al fine di permettere loro di raggiungere il target designato per la vendita di determinati prodotti o servizi. Dalla base giuridica del contratto, passando per l’interesse legittimo (attuale base giuridica), fino alle più recenti indiscrezioni sulla notizia di un prossimo cambio di rotta in direzione del consenso, si affronteranno tematiche legate al GDPR, al marketing e alla c.d. “Behavioural Advertising” e al trasferimento dei dati negli Stati Uniti.
Sommario
- MODIFICHE ALLE PRIVACY POLICY DEL GRUPPO META
- Cos’è la Behavioural Advertising?
- Possibili basi giuridiche
- Il trattamento dei dati personali degli utenti può essere il prezzo di un servizio?
- Principali modifiche apportate a luglio
- Novità di ottobre 2023
- NYOB e il diritto ad opporsi
- Trasferimento dati in USA
- Infografiche sulla Privacy Policy di Meta
A partire dal 26 luglio 2023, sono entrate in vigore le modifiche apportate alla privacy policy del gruppo Meta – a cui appartengono Facebook, Instagram, Threads e WhatsApp, oltre ad altri prodotti e servizi. Dette modifiche si sono rese necessarie per via dell’impossibilità di fondare la legittimità di taluni trattamenti all’interno dell’art. 6 par. 1, lett, b) GDPR, “esecuzione di un contratto in cui l’interessato è parte”: ci riferiamo, in particolare a quei trattamenti automatizzati che consentono di mostrare agli utenti inserzioni e contenuti pubblicitari in linea con i loro interessi. Proprio su questo tema era infatti già intervenuto il Garante privacy irlandese che, facendo proprie le conclusioni del Comitato dei Garanti europei (EDPB), il 31 dicembre dello scorso anno, aveva sanzionato Meta per 390 milioni di euro.
La base giuridica del contratto non sarebbe risultata idonea per diverse ragioni: scarsa trasparenza; dubbia validità di un contratto perfezionato in presenza di una significativa asimmetria informativa tra le parti; il fatto che gli utenti non si sarebbero neppure resi conto di aver concluso un contratto; ma soprattutto, il trattamento non apparirebbe effettivamente necessario a dare esecuzione al contratto che lega Meta ai suoi utenti, potendo detto contratto trovare esecuzione anche a prescindere dalla profilazione destinata alla trasmissione di pubblicità targettizzata – e (a maggior ragione) Meta non sembra mai aver assunto alcun obbligo specifico a tal riguardo.
In quell’occasione si era quindi sancito l’importante principio secondo il quale l’esecuzione di un contratto non può rappresentare una base giuridica legittima per il trattamento dei dati allo scopo di rendere servizi di advertising personalizzato, dovendo essere previsto un meccanismo di “opt-in” per l’utente, secondo modalità che siano facilmente comprensibili e trasparenti. Allora la base giuridica individuata per fondare la legittimità del trattamento è stata il legittimo interesse, disciplinato dall’art. 6, par. 1, lett. f) GDPR.
In altri termini sarebbe come affermare che l’azienda ha bisogno di trattare quei dati, per profilare gli utenti e fornire loro pubblicità targettizzata, perché, solo così, è in grado di garantire la migliore esperienza di navigazione e può riuscire ad esercitare il suo diritto a fare impresa.
Cos’è la Behavioural Advertising?
Behavioural advertising (pubblicità comportamentale) è la tecnica di marketing digitale che si fonda sul tracciamento delle azioni degli utenti online e sulla profilazione basata su comportamenti, interessi, abitudini... al fine di mostrare all’utente messaggi pubblicitari estremamente in linea con i propri interessi.
Questo tracciamento è tecnicamente possibile anche grazie ai cookies di profilazione, piccole porzioni di codice che vengono posizionate dai siti visitati nel dispositivo dell’utente (solitamente tramite il browser), o ad altri strumenti di tracciamento che “seguono” la successiva navigazione associando l’utente ad un ID e raccogliendo e memorizzando dati comportamentali che andranno a costituire il profilo di quell’ID.
Meta, con i suoi social, basa il suo business proprio sulla monetizzazione di questa profilazione.
Informazioni di base trattate per elaborare risultati mirati: età, genere, luogo, dispositivo in uso, lingua selezionata, inserzioni visualizzate, modalità di interazione
Possibili basi giuridiche
Per capire l’importanza della questione relativa alla base giuridica del trattamento è necessario muovere dal presupposto secondo il quale Meta, per profilare gli utenti ed essere in grado di promettere ai propri investitori pubblicitari di proporre il messaggio commerciale “giusto” a ciascuno dei suoi utenti, ha bisogno di arrivare a conoscere questi ultimi spesso meglio di quanto ciascuno di noi si conosce. Tanta conoscenza su miliardi di persone consegna, inesorabilmente, a chi la accumula un enorme potere di persuasione di massa e di orientamento delle scelte individuali e collettive.
Le possibili alternative:
- Chiedere agli utenti il consenso esplicito:
Chiedere ai suoi due miliardi e mezzo di utenti un consenso esplicito a trattare i loro dati personali al fine di profilarli. Strada piuttosto in salita perché una percentuale più o meno significativa non presterebbe il consenso e se anche gli utenti dessero il consenso potrebbero, naturalmente, revocarlo in qualsiasi momento. Ammesso e non concesso, di operare in modo diligente e corretto ovvero senza alterare in alcun modo, ad es. a colpi di dark pattern o simili, il diritto degli utenti di acquisire un’adeguata consapevolezza circa il trattamento dei propri dati. - Il Contratto:
In taluni contesti, il contratto è una base giuridica che può offrire agli interessati tutele e garanzie persino più stringenti giacché associa alle norme in materia di protezione dei dati personali, quelle del diritto dei contratti e, ove ne ricorrano i presupposti, quelle del diritto dei consumatori. Difficile, tuttavia, che Meta scelga di tornare a percorrere questa strada perché dovrebbe riscrivere completamente i propri termini d’uso e dire chiaramente a qualche miliardo di persone in giro per il mondo che Facebook e Instagram – e anche il metaverso che verrà – sono servizi a pagamento. - La strada del legittimo interesse:
Sostenere di aver bisogno di trattare quei dati per profilare gli utenti e fornire loro pubblicità targettizzata perché, solo così, Meta è in grado di fornire l’esperienza di navigazione che gli utenti stessi desiderano e, quindi, riuscire ad esercitare il suo diritto a fare impresa. Ma è principio piuttosto diffuso nella giurisprudenza della Corte di Giustizia e in quella dei Garanti europei che i diritti fondamentali degli interessati alla privacy e alla protezione dei loro dati personali prevalgono, almeno di norma, sugli interessi economici del responsabile del trattamento. Secondo poi, utilizzare il legittimo interesse come base giuridica risulterebbe una scelta davvero antistorica, in un’Europa che, con il DSA e il DMA, ha messo in maniera significativa la persona al centro dei mercati digitali, imponendo a questi ultimi di svilupparsi lungo direttrici sempre più rigide e sempre più rispettose dei diritti fondamentali delle persone. Senza contare che il titolare che avvii un trattamento di dati personali per finalità di marketing sulla base del legittimo interesse deve, necessariamente, interromperlo non appena l’interessato vi si opponga.
Il trattamento dei dati personali degli utenti può essere il prezzo di un servizio?
Il trattamento di dati personali può costituire il prezzo per ottenere un bene o accedere a un servizio? La questione non è di facile soluzione: non c’è una posizione comune e non c’è Autorità di protezione dei dati personali in Europa che l’abbia risolta. C’è chi sostiene che aprire questa strada significherebbe ammettere l’idea che un diritto fondamentale come il diritto alla privacy possa essere scambiato sui mercati globali come un qualsiasi bene giuridico-economico (rendendo così la privacy un diritto solo per ricchi) e dall’altra chi respinge questa idea e ritiene che, con un po’ di cautela, si potrebbe pensare di aprirla senza necessariamente derogare al principio che vuole i diritti fondamentali inalienabili perché licenziare il trattamento dei propri dati personali, non significa necessariamente rinunciare al proprio diritto alla privacy in cambio di un vantaggio economico.
La questione è ormai diventata ineludibile perché la verità è che stiamo pagando, non da ieri, Internet con i nostri dati personali ma lo stiamo facendo, fingendo che non sia così o, peggio, senza rendercene conto e, soprattutto, senza adottare alcuna regola che valga a regolare questo scambio.
Vedere ad es. la vicenda sui Cookie Wall: https://www.privacyacademy.it/cookie-wall-e-paywall-riflettori-sul-problema-del-libero-consenso/
Sebbene si sia in più occasioni sottolineato che la tutela del dato personale non è un diritto assoluto, e che va contemperato al pari degli altri diritti costituzionalmente riconosciuti (con un bilanciamento effettivo di privacy e sicurezza), la compressione di diritti personali, come quello di veder trattati i propri dati in maniera trasparente e non eccedente, ostacolerebbe senz’altro la formazione del libero consenso e, per estensione, la libera auto-determinazione della persona umana, ivi compresa la sua dignità.
Le principali modifiche apportate a luglio
Scrive Meta: “Anche se il testo appare diverso Meta non raccoglie, usa o condivide i tuoi dati in modi nuovi in seguito a questo aggiornamento normativo”. nella sostanza sono due le cose che cambiano:
- diventa più semplice decidere chi può vedere i nostri post su Facebook.
Adesso, quando si seleziona un pubblico predefinito, la scelta si applica ai nuovi post che vengono creati su Facebook e condivisi sul diario, a meno che non si selezioni un pubblico diverso per un post specifico. In precedenza, il pubblico predefinito per i post corrispondeva al pubblico che scelto più di recente;
- gestione delle inserzioni pubblicitarie.
I controlli “Argomenti” delle inserzioni e “Categorie di interessi” sono raggruppati in un unico controllo: un solo controllo per impostare le preferenze relative agli argomenti delle inserzioni.
Le novità di ottobre 2023
In anteprima su “The Wall Street Journal” è stato annunciato che Meta potrebbe chiedere esplicitamente il consenso agli utenti europei quando tratta i loro dati al fine di offrire pubblicità targettizzata. Il nuovo cambio di rotta potrebbe non avvenire prima di ottobre 2023. Meta ha fatto sapere, infatti, di aver bisogno di mesi per lavorare sulle nuove impostazioni e far coincidere l’implementazione del consenso esplicito, per la raccolta di dati a scopo pubblicitario, con il rilascio di nuovi aggiornamenti periodici sulla privacy.
Tra termini e condizioni che gli utenti accettano – più o meno consapevolmente – al momento dell’iscrizione a uno dei servizi della compagnia (Facebook, Instagram, WhatsApp, Threads, ecc.) sarà possibile gestire le impostazioni che riguardano la raccolta e il trattamento di dati a scopo pubblicitario.
L'offerta di limitare la pubblicità comportamentale ("behavioral ads” in inglese) agli utenti che scelgono di aderire è un passo inedito. Ha un significato enorme per Meta che è disposta così a rinunciare potenzialmente a parte del proprio fatturato pur di venire incontro alle richieste europee. C’è infatti il rischio che un gran numero di utenti europei neghi all’azienda il consenso al trattamento dei dati personali a fini pubblicitari e, se così fosse, diventerebbe sempre più difficile per Meta creare cerchie di audience targettizzate, con la conseguenza che l’investimento in Advertising pubblicitario sulle piattaforme di Meta potrebbe apparire agli occhi degli investitori meno conveniente perché meno capace di assicurare buoni risultati e ritorni concreti.
NYOB e il diritto ad opporsi
Nel passaggio di base giuridica, da contratto a legittimo interesse, Max Schrems di NYOB riportava che Meta stava sostituendo una pratica illegale con un’altra pratica illegale. “NYOB intraprenderà un’imminente azione legale per fermare questa farsa. […], Meta deve avere una chiara opzione “sì/no” per gli utenti, che devono dire attivamente “sì” se vogliono rinunciare ai loro diritti fondamentali. Questo sistema di utilizzo del legittimo interesse consente almeno l’opt-out, il che rappresenta un leggero miglioramento per gli utenti”.
Nel frattempo, NYOB metteva a disposizione uno proprio strumento per facilitare l’opt-out degli utenti dal trattamento di profilazione per il servizio di pubblicità mirata di META, ai sensi dell’articolo 21 (1)(2) del GDPR, in quanto esercitare tale diritto direttamente nei confronti del Titolare del trattamento si dimostrava troppo complesso e difficoltoso. Confermando il proprio indirizzo e-mail, lo stesso utilizzato per accedere a Facebook ed Instagram si rendeva possibile chiedere che i dati non venissero più utilizzati per il tracciamento e la profilazione senza consenso. Confermato di voler procedere alla rinuncia della profilazione da parte di Meta, il tool generava un'email che inviava al responsabile del trattamento dati della società, con la richiesta esplicita di interromperne il tracciamento entro cinque giorni lavorativi. Secondo il GDPR, i responsabili del trattamento dei dati devono rispettare il diritto di opporsi "senza indebito ritardo" o, al più tardi, entro un mese dopo aver ricevuto la richiesta.
TRASFERIMENO DATI IN USA
La Commissione europea ha annunciato, all'inizio di agosto 2023, di aver ufficialmente approvato lo “EU-US Data Privacy Framework” (“DPF”), vale a dire il nuovo accordo per il trasferimento dei dati dall'UE verso gli USA. A seguito della decisione della Corte di Giustizia che ha invalidato il Privacy Shield si è creato un vulnus normativo rispetto alle garanzie adeguate da utilizzare in relazione al trasferimento di dati personali verso gli USA. Pertanto, il trasferimento dei dati personali verso gli USA poteva essere realizzato solo sulla base di altre garanzie adeguate quali le clausole contrattuali standard, previa valutazione di impatto del trasferimento (c.d. TIA) e l’implementazione di misure supplementari, quali la cifratura a riposo e in transito.
- a] Decisione della Corte di giustizia del 16 luglio 2020, Data Protection Commissioner v Facebook Ireland Ltd, Maximillian Schrems, disponibile al seguente che invalida il Privacy Shield
link: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=en&mode=lst&dir=&occ=first&part=1&cid=12312155
Il 10 luglio la Commissione europea ha adottato la decisione di adeguatezza per il Data Privacy Framework (“DPF”) con la quale ha stabilito che gli Stati Uniti garantiscono un livello di protezione adeguato – rispetto a quello dell’UE – per i dati personali trasferiti dall’UE alle società statunitensi che partecipano al DPF
- [b] Commission implementing decision of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework, disponibile al seguente link:https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
La decisione di adeguatezza fa seguito alla firma da parte degli Stati Uniti di un ordine esecutivo “Enhancing Safeguards for United States Signals Intelligence Activities”: un elemento essenziale del quadro giuridico statunitense. Per i cittadini europei i cui dati personali sono trasferiti negli Stati Uniti, l’ordine esecutivo prevede: garanzie vincolanti che limitano l’accesso ai dati da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale; una maggiore supervisione delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza; e l’istituzione di un meccanismo di ricorso indipendente e imparziale, che comprende un nuovo tribunale per la revisione della protezione dei dati per indagare e risolvere i reclami relativi all’accesso ai propri dati da parte delle autorità di sicurezza nazionali statunitensi.
- [c] Executive Order (E.O.)14086 of October 7, 2022, on Enhancing Safeguards for United States Signals Intelligence Activities, bolsters privacy and civil liberty safeguards for U.S. signals intelligence activities and creates an independent and binding mechanism enabling individuals in qualifying states (defined as countries and regional economic integration organizations), disponibile al seguente link: https://www.state.gov/executive-order-14086-policy-and-procedures/#:~:text=14086%20of%20October%207%2C%202022,defined%20as%20countries%20and%20regional
Il DPF fornisce ai soggetti interessati europei diversi e nuovi diritti; offre diverse vie di ricorso, tra cui meccanismi indipendenti e gratuiti di risoluzione delle controversie. Le aziende statunitensi possono certificare la loro partecipazione al DPF impegnandosi a rispettare una serie dettagliata di obblighi (ad es. limitazione delle finalità, minimizzazione dei dati e conservazione dei dati) nonché obblighi specifici relativi alla sicurezza dei dati e alla condivisione con terze parti. La Federal Trade Commission vigilerà sul rispetto da parte delle aziende statunitensi degli obblighi previsti dal DPF.
Il Comitato Europeo sulla protezione dei dati personali (“EDPB”) ha pubblicata una nota informativa volta a fornire chiarimenti. La decisione di adeguatezza si applica dal 10 luglio 2023. i trasferimenti basati sulla decisione di adeguatezza non devono essere integrati da misure supplementari. Al contrario, i trasferimenti di dati personali verso società negli Stati Uniti che non sono incluse nell’elenco del DPF non possono essere basati sulla decisione di adeguatezza e richiederanno adeguate garanzie, ex artt. 46 e ss. GDPR (come clausole contrattuali standard o norme vincolanti d’impresa)
- [d] EDPB’s Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023,disponibile al seguente link: https://edpb.europa.eu/system/files/2023-07/edpb_informationnoteadequacydecisionus_en.pdf
- [e] Dichiarazioni di Max Schrems su NOYB disponibili al seguente link: https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu
- [f] Linee Guida del Comitato Europeo sulla protezione dei dati personali del 18 Giugno del 2021 relative alle “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello di protezione dei dati personali dell’UE” disponibile al seguente link: https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
Meta aggiorna la sua informativa sulla privacy con l’obiettivo «rendere più chiare le pratiche in materia di dati», anche con l’ausilio di esempi pratici e video. Di seguito alcune slide da me prodotte mentre vedevo la privacy policy di Meta, tra i vari suoi aggiornamenti:
Gli standard, che forniscano una guida su cosa è consentito e cosa è vietato su Facebook, si basano sui feedback ricevuti dalle persone e sui consigli di esperti in ambiti quali tecnologia, sicurezza pubblica e diritti umani. Per garantire che tutti possano esprimersi.
FONTI.
[1] https://www.altalex.com/documents/2023/02/02/garante-privacy-irlandese-sanziona-meta-pubblicita-personalizzata
[2] DOC Garante: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9844860
[3] Sanzione a Meta: https://www.cybersecurity360.it/news/maxi-sanzione-a-meta-ecco-i-paletti-del-garante-irlandese-sulla-pubblicita-personalizzata/
[4] Centro sulla privacy – http://www.facebook.com/privacy/guide/ads
[5] https://www.privacyacademy.it/cookie-wall-e-paywall-riflettori-sul-problema-del-libero-consenso/
[6] https://www.ilsole24ore.com/art/meta-aggiorna-l-informativa-privacy-ecco-cosa-cambia-facebook-AEHA9JcB?refresh_ce=1
[7] https://www.wsj.com/articles/meta-offers-to-seek-consent-for-highly-personalized-ads-in-europe-b520cbeb
[8] legittimo interesse come base giuridicahttps://www.avvera.it/meta-passa-al-legittimo-interesse/
[9] Associazione no-profit NOYB (acronimo di None of Your Business), fondata da Max Schrems
[10] NYOB e diritto di opporsi - Tool gratuito https://meta-out.noyb.eu/
[11] diritto di oppors: https://www.wired.it/article/come-opporsi-pubblicita-comportamentale-facebook/
[12] Trasferimento dati in USA: https://www.iusinitinere.it/approvato-il-data-privacy-framework-per-il-trasferimento-di-dati-personali-verso-gli-stati-uniti-44394
[13] THE META PRIVACY TEAM: Aggiornamento Condizioni d'uso e l'Informativa sulla privacy
https://www.facebook.com/privacy/guide/ads
Giacomo De Simio