EDPB, decisioni su Facebook e Instagram: “Importante impatto sull’uso dei dati personali per la pubblicità comportamentale”

 A seguito delle decisioni vincolanti sulla risoluzione delle controversie dell’EDPB del 5 dicembre 2022, l’autorità irlandese per la protezione dei dati (IE DPA) ha adottato le sue decisioni relative a Facebook e Instagram (Meta Platforms Ireland Limited, “Meta IE”). Queste decisioni sono il risultato di indagini basate su reclami sulle attività di Facebook e Instagram, in particolare per quanto riguarda la liceità e la trasparenza del trattamento per la pubblicità comportamentale. Meta IE è stata multata di 210 milioni di euro nella decisione di Facebook e di 180 milioni di euro nella decisione di Instagram da IE DPA.

Le decisioni finali dell’IE DPA del 31 dicembre 2022 incorporano la valutazione giuridica espressa dall’EDPB nelle sue decisioni vincolanti del 5 dicembre 2022. Tali decisioni vincolanti sono state adottate sulla base dell’art. 65(1)(a) GDPR, dopo che l’IE DPA in qualità di autorità di controllo capofila (LSA) aveva avviato due procedure di risoluzione delle controversie relative alle obiezioni sollevate dalle autorità di controllo interessate (CSA) di dieci paesi in ciascun caso. Tra gli altri, i CSA hanno sollevato obiezioni riguardanti la base giuridica del trattamento (art. 6 GDPR), i principi di protezione dei dati (art. 5 GDPR) e l’uso di misure correttive, comprese sanzioni pecuniarie.

Il presidente dell’EDPB, Andrea Jelinek, ha dichiarato: “ Le decisioni vincolanti dell’EDPB chiariscono che Meta ha elaborato illegalmente i dati personali per la pubblicità comportamentale. Tale pubblicità non è necessaria per l’esecuzione di un presunto contratto con gli utenti di Facebook e Instagram. Queste decisioni possono anche avere un impatto importante su altre piattaforme che hanno gli annunci comportamentali al centro del loro modello di business”.

L’EDPB ha deciso che Meta IE si basava in modo inappropriato sul contratto come base legale per elaborare i dati personali nel contesto dei Termini di servizio di Facebook e dei Termini di utilizzo di Instagram ai fini della pubblicità comportamentale in quanto questo non era un elemento fondamentale dei servizi. L’EDPB ha riscontrato in entrambi i casi che Meta IE non disponeva di una base giuridica per questo trattamento e pertanto ha trattato illegalmente questi dati. Di conseguenza, l’EDPB ha incaricato l’IE DPA di modificare la conclusione nei suoi progetti di decisione e di includere una violazione dell’art. 6(1) del RGPD.

L’EDPB ha incaricato l’IE DPA di includere, nelle sue decisioni finali, un ordine per Meta IE di conformare il trattamento dei dati personali per la pubblicità comportamentale nel contesto dei servizi Facebook e Instagram all’art. 6(1) GDPR entro tre mesi. 

Successivamente, l’EDPB ha esaminato se i reclami fossero stati trattati con la dovuta diligenza. Il denunciante aveva sollevato il fatto che i dati sensibili vengono elaborati da Meta IE. Tuttavia, l’IE DPA non ha valutato il trattamento di dati sensibili e, pertanto, l’EDPB non disponeva di prove fattuali sufficienti per consentirgli di formulare conclusioni su un’eventuale violazione degli obblighi del responsabile del trattamento ai sensi dell’art. 9 GDPR. Di conseguenza, l’EDPB non è d’accordo con la conclusione proposta dall’IE DPA secondo cui Meta IE non è legalmente obbligata a fare affidamento sul consenso per svolgere le attività di elaborazione coinvolte nella fornitura dei suoi servizi Facebook e Instagram, in quanto ciò non potrebbe essere categoricamente concluso senza ulteriori indagini. Pertanto, l’EDPB ha deciso che l’IE DPA deve svolgere una nuova indagine.

Inoltre, l’EDPB ha incaricato l’IE DPA di includere in entrambe le decisioni finali una constatazione di violazione del principio di equità e di adottare le opportune misure correttive. L’EDPB ha osservato che le gravi violazioni degli obblighi di trasparenza hanno influito sulle ragionevoli aspettative degli utenti, che Meta IE aveva presentato i propri servizi agli utenti in modo fuorviante e che il rapporto tra Meta IE e gli utenti era squilibrato.

Per quanto riguarda le sanzioni amministrative, l’EDPB ha ordinato all’IE DPA di imporre una sanzione amministrativa per le ulteriori violazioni dell’articolo 6, paragrafo 1, del GDPR (mancanza di base giuridica per il trattamento dei dati personali) e di emettere sanzioni significativamente più elevate per la trasparenza infrazioni individuate, in quanto ha ritenuto che le sanzioni proposte non soddisfacessero il requisito di essere effettive, proporzionate e dissuasive. Ciò ha portato l’IE DPA ad aumentare significativamente le ammende nelle sue decisioni finali (da un massimo di 36 e 23 milioni di euro per le bozze di decisione Facebook e Instagram, a 210 milioni di euro e 180 milioni di euro rispettivamente nelle decisioni finali).

Le decisioni finali prese dall’IE DPA sono disponibili nel  Registro delle decisioni prese dalle autorità di vigilanza e dai tribunali sulle questioni trattate nel meccanismo di coerenza .

L’EDPB ha inoltre adottato un’altra decisione vincolante, il 5 dicembre 2022, sulla controversia sorta su un’indagine relativa a WhatsApp Ireland Limited. La decisione finale dell’IE DPA deve ancora essere adottata.

Per ulteriori informazioni in merito all’art. 65 procedura GDPR, si prega di consultare l’ Art. 65 domande frequenti