Behavioural Advertising: impatti sui dati personali
Premesso che la pubblicità comportamentale (behavioural advertising) è una tecnica basata sul tracciamento (tracking) delle attività online degli utenti (il comportamento), al fine di costruire dei profili degli utenti di Internet con lo scopo di offrire loro pubblicità più rilevante (mirata, tailored) per gli utenti stessi.
A seguito delle decisioni vincolanti dell’EDPB per la risoluzione delle controversie del 5 dicembre 2022, l’Autorità irlandese per la protezione dei dati (IE DPA) ha adottato le sue decisioni relative a Facebook e Instagram (Meta Platforms Ireland Limited, “Meta IE”). Queste decisioni sono il risultato di indagini basate su reclami riguardanti le attività di Facebook e Instagram, in particolare per quanto riguarda la legittimità e la trasparenza del trattamento per la pubblicità comportamentale.
Meta IE è stata multata per 210 milioni di euro nella decisione relativa a Facebook e per 180 milioni di euro nella decisione relativa a Instagram dall’IE DPA.
Le decisioni finali dell’IE DPA del 31 dicembre 2022 incorporano la valutazione giuridica espressa dall’EDPB nelle sue decisioni vincolanti del 5 dicembre 2022. Tali decisioni vincolanti sono state adottate sulla base dell’articolo 65, paragrafo 1, lettera a), del GD. 65, paragrafo 1, lettera a), del GDPR, dopo che l’IE DPA, in qualità di autorità di controllo capofila (LSA), aveva avviato due procedure di risoluzione delle controversie in merito alle obiezioni sollevate dalle autorità di controllo interessate (CSA) di dieci Paesi in ciascun caso. Tra le altre cose, le CSA hanno sollevato obiezioni in merito alla base giuridica del trattamento (art. 6 GDPR), ai principi di protezione dei dati (art. 5 GDPR) e all’uso di misure correttive, comprese le ammende.
Il presidente dell’EDPB Andrea Jelinek ha dichiarato: “Le decisioni vincolanti dell’EDPB chiariscono che Meta ha trattato illegalmente i dati personali per la pubblicità comportamentale. Tale pubblicità non è necessaria per l’esecuzione di un presunto contratto con gli utenti di Facebook e Instagram. Queste decisioni possono avere un impatto importante anche su altre piattaforme che hanno la pubblicità comportamentale al centro del loro modello di business”.
L’EDPB ha deciso che Meta IE si è basata in modo inappropriato sul contratto come base giuridica per il trattamento dei dati personali nel contesto dei Termini di servizio di Facebook e dei Termini d’uso di Instagram ai fini della pubblicità comportamentale, in quanto questo non era un elemento centrale dei servizi. In entrambi i casi, l’EDPB ha riscontrato che Meta IE non aveva una base giuridica per questo trattamento e quindi ha trattato illegalmente questi dati. Di conseguenza, l’EDPB ha incaricato l’IE DPA di modificare le conclusioni nelle sue bozze di decisione e di includere una violazione dell’art. 6(1) GDPR. 6(1) GDPR.
L’EDPB ha incaricato l’IE DPA di includere, nelle sue decisioni finali, l’ordine a Meta IE di rendere conforme all’art. 6(1) GDPR il trattamento dei dati personali per la pubblicità comportamentale nel contesto dei servizi Facebook e Instagram. 6(1) GDPR entro tre mesi.
Successivamente, l’EDPB ha esaminato se i reclami fossero stati affrontati con la dovuta diligenza. Il reclamante aveva sollevato il fatto che i dati sensibili sono trattati da Meta IE. Tuttavia, la DPA di IE non ha valutato il trattamento dei dati sensibili e pertanto l’EDPB non disponeva di prove fattuali sufficienti per poter formulare conclusioni su un’eventuale violazione degli obblighi del responsabile del trattamento ai sensi dell’art. 9 GDPR. 9 GDPR. Di conseguenza, l’EDPB non ha condiviso la conclusione proposta dal DPA dell’IE, secondo cui Meta IE non è legalmente obbligata a fare affidamento sul consenso per svolgere le attività di trattamento coinvolte nella fornitura dei suoi servizi Facebook e Instagram, in quanto non è possibile concludere categoricamente senza ulteriori indagini. Pertanto, l’EDPB ha deciso che la DPA di IE deve svolgere una nuova indagine.
Inoltre, l’EDPB ha incaricato l’IE DPA di includere in entrambe le decisioni finali una constatazione di violazione del principio di equità e di adottare le misure correttive appropriate. L’EDPB ha rilevato che le gravi violazioni degli obblighi di trasparenza hanno inciso sulle ragionevoli aspettative degli utenti, che Meta IE ha presentato i suoi servizi agli utenti in modo fuorviante e che il rapporto tra Meta IE e gli utenti era squilibrato.
Per quanto riguarda le sanzioni amministrative, l’EDPB ha ordinato all’IE DPA di imporre una sanzione amministrativa per le ulteriori violazioni dell’articolo 6(1) del GDPR (mancanza di base giuridica per il trattamento dei dati personali) e di emettere sanzioni significativamente più elevate per le violazioni della trasparenza individuate, in quanto ha ritenuto che le sanzioni proposte non soddisfacessero il requisito di essere efficaci, proporzionate e dissuasive. Ciò ha portato l’IE DPA ad aumentare significativamente le ammende nelle sue decisioni finali (da un massimo di 36 e 23 milioni di euro per le bozze di decisione su Facebook e Instagram, a 210 e 180 milioni di euro rispettivamente nelle decisioni finali).
Le decisioni finali adottate dall’IE DPA sono disponibili nel registro delle decisioni adottate dalle autorità di vigilanza e dai tribunali su questioni trattate nel meccanismo di coerenza.
L’EDPB ha inoltre adottato un’altra decisione vincolante, il 5 dicembre 2022, sulla controversia nata da un’indagine relativa a WhatsApp Ireland Limited. La decisione finale dell’IE DPA deve ancora essere adottata.
Per ulteriori informazioni sulla procedura di cui all’art. 65 del GDPR, si prega di consultare le Art. 65 FAQ
Approfondisci qui http://bit.ly/3GyoV8c
