Dati personali: è possibile commerciare l'esercizio di un diritto fondamentale?

Osservatorio Legale n. 54 – Dicembre 2022

Dati personali: è possibile commerciare l'esercizio di un diritto fondamentale? Commentare il procedimento contro Meta, la società madre di Facebook, WhatsApp e Instagram, potrebbe diventare noioso, poiché attirerebbe l'ira delle autorità per la protezione dei dati. 

L'azienda è stata infatti la più pesantemente sanzionata tra le società GAFAM dall'entrata in vigore del GDPR e ha appena ricevuto una multa di altri 390 milioni di euro.

Tuttavia, le recenti decisioni del Comitato europeo per la protezione dei dati (EDPB), recepite dall'autorità irlandese per la protezione dei dati all'inizio di quest'anno, meritano la nostra attenzione per più di un motivo.

Da un lato perché costituiscono l'epilogo di una guerra di parole tra l'autorità irlandese per la protezione dei dati e le sue controparti europee, e dall'altro perché chiariscono il quadro giuridico della profilazione pubblicitaria in un contesto che va oltre il caso specifico di Meta.

Le decisioni adottate dal Comitato europeo per la protezione dei dati (CEPD) il 6 dicembre sono state adottate nell'ambito della procedura europea di risoluzione delle controversie (articolo 65 del GDPR). tra le autorità nazionali per la protezione dei dati.

A queste è seguita la pubblicazione, il 4 gennaio, della posizione definitiva dell'autorità irlandese, in linea con le conclusioni dell'EDPB.

In quanto leader in questa materia, l'Irlanda si è trovata in disaccordo con i suoi omologhi su questioni riguardanti diverse operazioni di elaborazione dei dati effettuate da Facebook, WhatsApp e Instagram.

Le decisioni adottate dal Comitato europeo per la protezione dei dati (EDPB) risolvono la controversia su tre punti principali: la base giuridica del trattamento (art. 6 GDPR), i principi di protezione dei dati (art. 5 GDPR) e l'uso di misure correttive, comprese le sanzioni pecuniarie.

Il punto di particolare interesse per noi è la questione della base giuridica del trattamento da parte dell'azienda, con Meta che ritiene – con il supporto dell'autorità irlandese – che i dati degli utenti potrebbero essere raccolti a fini di pubblicità comportamentale (o di miglioramento del servizio nel caso di WhatsApp), utilizzando la base giuridica dell'esecuzione del contratto.

È opportuno sottolineare che, fino all'entrata in vigore del GDPR, Meta legittimava la pubblicità comportamentale ottenendo il consenso dell'utente.

Il 25 maggio 2018 la società ha modificato le sue condizioni generali per includere questa finalità di targeting pubblicitario, che ora è considerata parte integrante del servizio offerto e limita di fatto il controllo degli utenti sull'uso dei loro dati.

L'azienda ha sostenuto di non aver bisogno di ottenere il consenso perché questo targeting online fa parte del servizio che fornisce agli utenti.

Ricordiamo che il consenso, così come la necessità dei dati nel contesto dell'esecuzione di un contratto, rientrano tra le sei basi giuridiche dell'articolo 6(1) del GDPR che consentono di giustificare la liceità di un trattamento.

Queste basi giuridiche sono intercambiabili?

La dottrina europea in materia è chiara, ed è stata appena confermata: la necessità contrattuale deve essere interpretata restrittivamente e i dati raccolti devono essere strettamente necessari per la prestazione del servizio, come avviene, ad esempio, con la raccolta dei dati della carta di credito per il pagamento online.

Nel suo parere dell'8 ottobre 2019 sui servizi online, il Comitato europeo per la protezione dei dati (CEPD) aveva già ritenuto che la pubblicità comportamentale non fosse un elemento necessario dei servizi online.

Un rivenditore online che desidera, ad esempio, creare profili dei gusti e delle scelte di stile di vita di un utente in base alle visite al suo sito web non può basarsi sull'esecuzione di un contratto di acquisto per creare tali profili.

Anche se la profilazione è espressamente menzionata nel contratto, questo fatto di per sé non la rende “necessaria” per l’esecuzione del contratto.

Se il rivenditore online desidera effettuare tale profilazione, deve basarsi su un'altra base giuridica.

Questa posizione è stata confermata dal Comitato europeo per la protezione dei dati (EDPB) nelle sue linee guida del 13 aprile 2021 sul targeting degli utenti dei social media.

Tuttavia, si nota che un numero crescente di servizi online si presentano come gratuiti, mentre in realtà sono pagati con i dati degli utenti, che costituiscono la controparte del servizio online.

Possiamo quindi “pagare con i nostri dati”?

La questione della contrattualizzazione dei dati non è nuova, ma oggi si pone con una certa acutezza.

Anche se le pubblicità servono a supportare il servizio, il trattamento per finalità di marketing diretto è in linea di principio considerato diverso dallo scopo oggettivo del contratto tra l'interessato e il fornitore del servizio, il che implica che l'utente deve rimanere libero di acconsentire o meno alla pubblicità mirata.

Nel 2017, il Garante europeo della protezione dei dati ha messo in guardia in un parere sui contratti per la fornitura di servizi digitali "contro qualsiasi nuova disposizione che introduca l'idea che le persone possano pagare con i propri dati allo stesso modo in cui possono pagare con denaro.

Infatti, i diritti fondamentali, come il diritto alla protezione dei dati personali, non possono essere ridotti ai soli interessi dei consumatori e i dati personali non possono essere considerati una semplice merce.

Alcuni penseranno che pagare con i propri dati non significhi rinunciare ai propri diritti fondamentali.

Da segnalare anche la posizione ambigua della CNIL in merito ai "paywall", che subordinano l'accesso a un sito web al pagamento per gli utenti che rifiutano l'uso dei cookie, mentre la Commissione afferma sul suo sito web di esaminare tali questioni caso per caso.

Dobbiamo quindi aspettarci che Meta addebiti costi agli utenti che rifiutano la profilazione pubblicitaria?

Come giustamente sottolinea l'ONG NOYB, che ha presentato il reclamo contro Meta, la controversia risolta dall'EDPB riguarda solo questa profilazione e non ha alcun impatto su altre forme di pubblicità, come la pubblicità contestuale, basata sul contenuto di una pagina.

La posizione dell'EDPB avrà sicuramente un impatto sulle finanze di Meta, ma non esclude del tutto la pubblicità.

Al contrario, dovrebbe ripristinare una sana concorrenza tra Meta e altri fornitori di servizi online, nonché tra le aziende soggette alla legge irlandese e quelle stabilite altrove in Europa.

E anche

Francia:

Il 19 dicembre 2022, la CNIL ha sanzionato la società MICROSOFT IRELAND OPERATIONS LIMITED per un valore di 60 milioni di euro per l'uso illegale dei cookie sul suo motore di ricerca "bing.com".

L'azienda è accusata di non aver implementato un meccanismo che consenta alle persone di rifiutare i cookie con la stessa facilità con cui li accettano.

La CNIL giustifica tale importo in base all'entità del trattamento, al numero di persone interessate e ai profitti che l'azienda ricava dai ricavi pubblicitari generati indirettamente dai dati raccolti tramite i cookie.

Il 30 novembre 2022, la CNIL ha imposto una sanzione di 300.000 euro alla società FREE.

Le ispezioni hanno evidenziato numerose violazioni, in particolare nei diritti delle persone interessate (diritto di accesso e diritto alla cancellazione) e nella sicurezza dei dati: la Commissione ha evidenziato la scarsa sicurezza delle password, la memorizzazione e la trasmissione delle password in chiaro e la rimessa in circolazione di circa 4.100 box "Freebox" mal ricondizionati.

Ha inoltre respinto l'argomentazione secondo cui le fonti dei dati personali del titolare del trattamento dovrebbero essere considerate "segreti commerciali".

In una pubblicazione del 5 dicembre 2022, la CNIL ricorda le regole da rispettare in caso di vendita di un file cliente a fini commerciali: il file deve contenere solo i dati dei clienti attivi e per un periodo massimo di tre anni dopo la fine del rapporto commerciale, possono essere venduti solo i dati dei clienti che non si sono opposti alla trasmissione dei loro dati o che vi hanno acconsentito, e l'acquirente deve garantire il rispetto dei diritti delle persone (in particolare, informazioni chiare e consenso alla prospezione elettronica).

La CNIL ha finalmente sanzionato questo 4 gennaio DISTRIBUZIONE INTERNAZIONALE APPLE fino a 8 milioni di euro per non aver raccolto il consenso degli utenti iPhone francesi che utilizzavano la vecchia versione di iOS 14.6 prima di depositare e/o scrivere identificativi utilizzati a fini pubblicitari sui loro dispositivi.

Europa:

Il 14 dicembre la presidenza svedese del Consiglio dell'UE ha pubblicato le sue priorità per i prossimi sei mesi: la tecnologia digitale non è in cima all'agenda., dati gli attuali dibattiti sulla sicurezza economica ed energetica e sulla resilienza nel contesto del conflitto russo-ucraino.

La Svezia precisa tuttavia che proseguirà i lavori avviati in merito alla regolamentazione dei dati ("Data Act"), alla regolamentazione "privacy e comunicazioni elettroniche" nonché alla proposta di regolamento relativo a uno spazio europeo dei dati sanitari.

Il 13 dicembre 2022 la Commissione europea ha pubblicato la tanto attesa bozza di decisione di adeguatezza relativa al livello di protezione dei dati negli Stati Uniti.

La presente decisione mira a fornire una base giuridica duratura per i trasferimenti UE-USA a seguito della sentenza “Schrems II” della Corte di giustizia dell’UE del luglio 2020, che ha invalidato il “Privacy Shield”.

Prima che possa essere adottata una decisione definitiva, la bozza deve ancora essere esaminata dal Comitato europeo per la protezione dei dati (EDPB) e approvata dal comitato dei rappresentanti degli Stati membri dell'UE.

Anche il Parlamento europeo ha il diritto di esaminare le decisioni di adeguatezza.

La Commissione europea ha pubblicato il 15 dicembre 2022 una dichiarazione sui diritti e i principi digitali per il decennio digitale.

La dichiarazione mira a guidare i decisori politici nella loro visione della trasformazione digitale lungo le seguenti linee: una trasformazione digitale incentrata sul cittadino, che sostenga la solidarietà e l'inclusione, un promemoria dell'importanza della libertà di scelta nelle interazioni con algoritmi e sistemi di intelligenza artificiale e una maggiore sicurezza, protezione e responsabilizzazione, soprattutto per i bambini e i giovani, garantendo al contempo il diritto alla privacy e al controllo degli individui sui propri dati.

Dopo un anno di indagini, il Mediatore europeo ha pubblicato la sua decisione del 19 dicembre 2022, riguardante il reclamo presentato dall'Irish Council for Civil Liberties (ICCL) contro la Commissione europea per non aver monitorato adeguatamente l'applicazione del GDPR da parte dell'Irlanda.

Questa decisione sottolinea la necessità di un migliore monitoraggio da parte della Commissione europea dell'avanzamento di ogni caso Big Tech portato dinanzi alla Commissione irlandese per la protezione dei dati.

Con sentenza dell'8 dicembre, la Corte di giustizia dell'Unione europea ha chiarito le condizioni alle quali i cittadini europei possono ottenere da Google la rimozione dei risultati di ricerca che li riguardano.

Il caso ha coinvolto due gestori di investimenti che hanno chiesto a Google di rimuovere i risultati di una ricerca effettuata utilizzando i loro nomi, che fornivano link ad alcuni articoli che criticavano il loro modello di investimento.

La Corte ha stabilito che "il diritto alla libertà di espressione e di informazione non può essere preso in considerazione quando, come minimo, una parte – non di secondaria importanza – delle informazioni presenti nel contenuto citato risulta essere inesatta". Chi desidera rimuovere risultati inesatti dai motori di ricerca deve fornire prove sufficienti (e ragionevoli) che quanto affermato sul loro conto sia falso.

Il 22 dicembre l'Autorità olandese per la protezione dei dati ha pubblicato una dichiarazione in merito ai suoi poteri di supervisione degli algoritmi in materia di trasparenza, discriminazione e arbitrarietà.

Anche nei Paesi Bassi, uno studio del gruppo olandese per la privacy Incogni rivela che molte app di shopping popolari, tra cui quella di Amazon, adottano pratiche discutibili per quanto riguarda la condivisione delle autorizzazioni di accesso con le librerie pubblicitarie, il che consente alle reti pubblicitarie di accedere indirettamente al dispositivo. 

autorità greca L'Autorità Garante per la protezione dei dati personali ha multato Vodafone PANAFON SA per 150.000 euro per non aver adottato misure tecniche e organizzative adeguate per proteggere la sicurezza dei propri servizi di comunicazione elettronica.

L'autorità islandese L'Autorità Garante per la protezione dei dati personali ha ordinato a un'officina di riparazione auto di ottemperare a una richiesta di accesso ai sensi dell'articolo 15 del GDPR e di fornire all'interessato i dati relativi a tutte le riparazioni e i servizi effettuati sulla sua auto mentre era in suo possesso.

L'autorità portoghese L'Autorità per la protezione dei dati ha rimproverato e multato il Comune di Setubal per 170.000 euro per aver violato il principio di integrità e riservatezza, il principio di limitazione della conservazione, gli obblighi di informazione previsti dall'articolo 13 del GDPR e per non aver nominato un responsabile della protezione dei dati in relazione alla raccolta di dati personali di rifugiati ucraini che hanno utilizzato una linea di assistenza telefonica in Portogallo.

L'Autorità portoghese per la protezione dei dati ha inoltre sanzionato l'Istituto nazionale di statistica per inosservanza del GDPR, tra cui l'invio di dati personali del censimento del 2021 agli Stati Uniti e la mancata esecuzione di una valutazione d'impatto sulla protezione dei dati.

L'autorità italiana L'Autorità Garante per la protezione dei dati personali ha multato Alpha Exploration di 2.000.000 di euro per aver gestito il social network Clubhouse in violazione delle disposizioni del GDPR in materia di liceità e trasparenza, per non aver valutato i rischi derivanti dal trattamento e per aver nominato un rappresentante dell'UE senza il mandato richiesto per agire per conto del titolare del trattamento.

L'autorità italiana per la protezione dei dati personali ha inoltre multato l'operatore di telecomunicazioni Vodafone Italia per 500.000 euro per aver trattato dati personali per finalità di marketing diretto senza una base giuridica, per aver ottenuto un consenso generico per distinte operazioni di trattamento dei dati e per aver fornito informazioni sul trattamento dei dati personali in modo incomprensibile.

autorità spagnola L'Autorità Garante per la Protezione dei Dati Personali ha multato un adolescente di 16 anni di 5.000 euro per aver utilizzato video e foto ricevuti tramite WhatsApp per ricattare un minore di 13 anni che non era in grado di fornire un valido consenso. L'Autorità ha inoltre ordinato all'adolescente di cancellare tutti gli altri dati personali che lo riguardano e di riferire in merito alle misure adottate a tal fine. 

Internazionale

STATI UNITI: Epic Games, produttrice del videogioco Fortnite, dovrà pagare più di mezzo miliardo di dollari per aver violato il Children's Privacy Protection Act (COPPA), modificato le impostazioni predefinite sulla privacy e indotto gli utenti a effettuare acquisti indesiderati.

Gli accordi tra la Federal Trade Commission e Epic Games sono stati resi pubblici dalla FTC il 15 dicembre.

In una pubblicazione del 29 dicembre, Il Guardian riporta che il produttore cinese di telecamere di sorveglianza Hikvision ha sviluppato una piattaforma software per assistere la polizia. per seguire le attività dei manifestanti.

La polizia cinese potrebbe quindi emettere avvisi per vari tipi di manifestazioni, come "raduni di folla che disturbano l'ordine in luoghi pubblici", "assembramenti, cortei, dimostrazioni illegali" e minacce di "petizioni".

Il 14 dicembre 2022 i paesi dell'OCSE hanno adottato il primo accordo intergovernativo sulla privacy. quando si accede ai dati personali per finalità di sicurezza nazionale e di applicazione della legge.

I principi definiscono il modo in cui i quadri giuridici regolano l'accesso governativo, gli standard giuridici applicati quando viene richiesto l'accesso, le modalità di approvazione dell'accesso e di elaborazione dei dati risultanti, nonché gli sforzi per garantire la trasparenza al pubblico.

Del soluzioni tecniche sono in fase di sviluppo per consentire sia agli utenti di controllare l'uso dei propri dati sia ai responsabili del trattamento dei dati di gestire i dati online in conformità con i principi di protezione dei dati.

Oltre a Global Privacy Control, il cui utilizzo sta ora espandendosi nel contesto della gestione del consenso online, la piattaforma di gestione del consenso CookieFirst offre agli utenti un controllo avanzato sui servizi di terze parti e sui cookie da essi impostati e si avvale di subappaltatori con sede nell'UE per l'archiviazione dei dati.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.