Meta è nuovamente sotto accusa da parte del gruppo di difesa dei diritti alla privacy noyb per il suo tentativo di continuare a tracciare e profilare gli utenti di Facebook e Instagram in Europa, nonostante le rigorose leggi europee sulla protezione dei dati. noyb sostiene una nuova denuncia, che verrà presentata all’autorità austriaca per la protezione dei dati, secondo cui l’azienda sta violando la legge dell’UE presentando una scelta che rende molto più difficile per gli utenti revocare il consenso al tracciamento degli annunci rispetto all’accettazione.
Se torniamo indietro nella storia, ricorderemo che lo scorso anno ci sono state due importanti decisioni sulla privacy contro Meta (a gennaio e a luglio) che hanno invalidato le basi legali che l’azienda aveva precedentemente sostenuto per il trattamento dei dati degli europei per la pubblicità mirata, dopo anni di lamentele da parte dei difensori della privacy.
La denuncia di noyb
Di conseguenza, lo scorso autunno, Meta ha dichiarato che avrebbe adottato una base di consenso per il tracciamento. Tuttavia, la scelta che ha proposto richiede agli utenti che non desiderano essere tracciati e profilati di pagare un abbonamento mensile per accedere a versioni senza pubblicità dei suoi prodotti. Gli utenti di Facebook e Instagram che desiderano continuare a ottenere accesso gratuito ai servizi devono “acconsentire” al tracciamento, che Meta afferma essere un consenso valido ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell’UE. Ma naturalmente, noyb e i querelanti che supporta non sono d’accordo.
La denuncia precedente di noyb contro la versione di Meta del consenso, presentata all’Austrian DPA lo scorso novembre, si concentrava sul costo che Meta addebita agli utenti per non essere tracciati, un costo iniziale di €9,99 al mese sul web o €12,99 al mese su dispositivi mobili per ogni account collegato. noyb sostiene che questo costo sia “fuori misura” rispetto al valore che l’azienda trae da ogni utente. Questa seconda denuncia affronta invece la difficoltà (o meglio, l’assenza di facilità) con cui Meta permette agli utenti di revocare il loro consenso al tracciamento in base all’accordo.
Revocare il consenso nel sistema ideato da Meta richiede agli utenti di sottoscrivere un abbonamento mensile. Mentre accettare il tracciamento è un gioco da ragazzi: gli utenti devono semplicemente cliccare su “ok”. La questione legale qui è che il GDPR richiede che il consenso sia altrettanto facile da revocare quanto da concedere. Pertanto, la seconda denuncia di noyb si concentra sulle difficoltà intrinseche nel fatto che Meta chieda agli utenti di pagare per proteggere la propria privacy.
Revocare il consenso al tracciamento non è facile
“Nel momento in cui gli utenti hanno acconsentito al tracciamento, non c’è un modo facile per revocarlo successivamente”, scrive noyb in un comunicato stampa. “Questo è illegale. Nonostante l’articolo 7 del GDPR affermi chiaramente che ‘deve essere altrettanto facile revocare il consenso quanto concederlo’, l’unico modo per ‘revocare’ il consenso (in un solo clic) è acquistare un abbonamento da €251,88. Inoltre, il querelante ha dovuto navigare attraverso diverse finestre e banner per trovare la pagina in cui poteva effettivamente revocare il consenso.”
Massimiliano Gelmi, un avvocato specializzato nella protezione dei dati presso noyb, ha commentato: “La legge è chiara, revocare il consenso deve essere altrettanto facile quanto darlo inizialmente. È ovviamente evidente che pagare €251,88 all’anno per revocare il consenso non è altrettanto facile come cliccare su un pulsante ‘Ok’ per accettare il tracciamento.”
Le sanzioni per le violazioni confermate del GDPR possono arrivare fino al 4% del fatturato annuo globale, ma Meta, che ha incassato $116,61 miliardi nel 2022 tracciando e profilando i suoi miliardi di utenti per vendere annunci mirati, è più preoccupata che i regolatori dell’UE possano obbligarla ad offrire agli utenti una scelta genuinamente gratuita per negare il tracciamento, il che potrebbe ostacolare il suo business di annunci pubblicitari mirati a livello regionale. Lo scorso anno l’azienda ha suggerito che circa il 10% dei suoi ricavi pubblicitari globali provenga dagli utenti dell’UE.
Pagare o acconsentire
Un FAQ pubblicato il mese scorso dall’Austrian DPA, sul tema dei cookie e della protezione dei dati, discute la controversa questione del “pagare o acconsentire“, come viene talvolta chiamato il pagamento per il consenso. Nell’FAQ, l’Austrian DPA scrive che pagare per l’accesso a un sito web “può rappresentare un’alternativa al consenso” – con l’enfasi sul “può” – tuttavia afferma che ciò è possibile a condizione che il GDPR sia pienamente rispettato, compreso il consenso che deve essere specifico (cioè non raggruppato); che l’azienda non abbia una posizione di monopolio o “quasi monopolio” sul mercato; e che il prezzo per l’alternativa di pagamento sia “appropriato e equo” e non offerto “pro forma a un prezzo completamente irrealisticamente alto”, come si legge.
Tuttavia, l’Austrian DPA osserva anche che la Corte di giustizia dell’Unione europea (CJEU) non ha ancora pronunciato sentenze sulla questione del “pagare o acconsentire” – quindi si sottolinea che l’FAQ rappresenta la “posizione attuale” dell’Austrian DPA. E molti esperti di privacy si aspettano che la questione debba, alla fine, essere risolta attraverso un rinvio alla CJEU.
Nel frattempo, le denunce GDPR presentate contro Meta alle autorità di protezione dei dati dell’UE vengono di solito rinviate alla Commissione irlandese per la protezione dei dati (DPC), che è l’autorità di sorveglianza dei dati principale dell’azienda ai sensi del meccanismo di sportello unico (OSS) del regolamento. Ciò significa che le denunce di noyb sulla tattica di “pagare o acconsentire” di Meta finiranno probabilmente su una scrivania a Dublino prima o poi. Infatti, il regolatore irlandese ha dichiarato di stare esaminando l’approccio di Meta fin dall’estate scorsa, quando l’azienda ha proposto l’idea.
La sfida dell’UE nel regolare il consenso di Meta
Se la DPC trasforma la sua revisione dell’approccio di Meta al consenso in un’indagine formale, potrebbero passare ancora anni prima che si giunga a una decisione finale sul piano regolamentare – come è stato nel caso di un’altra denuncia di noyb contro la base legale di Meta per gli annunci; presentata nel lontano maggio 2018 ma non decisa fino a gennaio 2023 (una decisione che è ora oggetto di ricorso legale da parte di Meta in Irlanda).
In quel caso, la decisione che è emersa dall’Irlanda è stata effettivamente presa dalla DPC su istruzione dell’European Data Protection Board (EDPB), che ha dovuto intervenire per risolvere le divergenze tra i regolatori dell’UE. Quindi, una rapida azione sulla privacy contro l’uso distorto del consenso da parte di Meta sembra improbabile – a meno che altri DPA non decidano di prendere l’iniziativa.
Sulla carta, possono farlo. Nonostante l’esistenza nel GDPR del meccanismo di sportello unico, che può portare alla nomina di un’autorità principale per occuparsi delle denunce relative al trattamento transfrontaliero, il regolamento prevede poteri di emergenza che consentono ad altri DPA di agire per mitigare i rischi di dati nel loro mercato al fine di proteggere gli utenti locali. Possono anche seguire qualsiasi misura provvisoria che impongono localmente chiedendo all’EDPB di rendere permanente e a livello dell’UE la loro azione temporanea, come è successo l’anno scorso quando il DPA norvegese ha chiesto all’EDPB di esprimersi sulla base legale di Meta per gli annunci. Tuttavia, a quel punto, Meta aveva già modificato la base dichiarata a consenso, il che significa che poteva semplicemente eludere l’intervento regolamentare. (Ciò dimostra ancora una volta che un’applicazione ritardata equivale a un’applicazione negata).
noyb chiede all’autorità austriaca di imporre a Meta regole più stringenti e azioni urgenti
“L’autorità [austriaca] dovrebbe ordinare a Meta di conformare le sue operazioni di trattamento alla legge europea sulla protezione dei dati e di fornire agli utenti un modo semplice per revocare il loro consenso, senza dover pagare una tariffa”, scrive noyb, sollecitando l’imposizione di una multa “per prevenire ulteriori violazioni del GDPR”.
noyb sta anche chiedendo all’autorità austriaca per la protezione dei dati di avviare una procedura d’urgenza, citando le recenti sentenze della CJEU che, secondo loro, indicano che la discrezione dei DPA nel decidere se avviare o meno una procedura d’urgenza è limitata dal “loro dovere di fornire una protezione efficace dei diritti alla protezione dei dati”. “Quindi, in situazioni specifiche (come la nostra), il soggetto interessato ha diritto a una procedura d’urgenza”, ha suggerito un portavoce di noyb.
Tuttavia, finora, l’autorità austriaca ha resistito alla richiesta di adottare misure urgenti. “L’autorità austriaca ci ha appena comunicato di aver ricevuto la denuncia, che non c’è diritto a una procedura d’urgenza e che un’altra DPA potrebbe essere l’autorità principale di vigilanza”, ha aggiunto il portavoce di noyb. “Ma finora, per quanto ne so, la denuncia non è stata ufficialmente inviata alla DPC”.
Le complesse battaglie regolatorie di Meta e le conseguenze sul consenso
Mentre tutti questi tortuosi colpi di scena regolamentari si susseguono, il risultato per gli utenti di Facebook e Instagram in Europa è che la loro privacy rimane a discrezione di Mark Zuckerberg – a meno che non decidano di abbandonare del tutto i suoi dominanti social network – poiché, parallelamente a tutti questi anni di scrutinio e sanzioni sulla privacy, il gigante dell’adtech è stato in grado di continuare ad incassare i dati personali degli europei tutto il tempo, trattandoli per la pubblicità mirata nonostante le sue basi legali siano sotto accusa o addirittura, per periodi di diversi mesi, siano state invalidate (come è successo nei mesi tra l’esclusione delle basi di necessità contrattuale e interessi legittimi e l’adozione da parte di Meta di nuove alternative, prima interessi legittimi, ora consenso, l’anno scorso).
L’aumento delle cause legali contro Meta
Detto ciò, stiamo assistendo a un aumento delle cause legali contro Meta sulla privacy, come la richiesta di risarcimento danni da 600 milioni di dollari presentata lo scorso anno dai pubblicisti in Spagna che sostengono che la mancanza di base legale di Meta per il microtargeting degli utenti costituisca una concorrenza sleale per la quale dovrebbero essere risarciti. Quindi, il gigante dell’adtech potrebbe dover affrontare un conto salato per le violazioni passate della protezione dei dati, oltre alla prospettiva di future sanzioni derivanti da nuove denunce sulla privacy se portano a conclusioni di violazione.
Vale la pena notare che il GDPR dispone solo di un numero limitato di basi legali (sei) per il trattamento dei dati personali. Alcune sono semplicemente irrilevanti per un gigante dell’adtech come Meta, mentre altre sono state escluse dai regolatori e dalla CJEU. Quindi, le opzioni per il tracciamento e il profilazione degli utenti per gli annunci si sono ridotte a una sola possibilità: il consenso. Ora è proprio qui che si gioca l’azione sulla privacy: come Meta presenta questa scelta.
Meta difende le sue opzioni di tracciamento e abbonamento in Europa
Uno spokesperson di Meta, Matthew Pollard, ha rifiutato di inviare una dichiarazione in risposta all’ultima denuncia di noyb, ma ha fatto riferimento a un post sul blog pubblicato inizialmente da Meta a ottobre, quando ha annunciato quella che ha descritto come la “sottoscrizione senza annunci” per gli utenti di Facebook e Instagram in Europa, sottolineando un’altra affermazione fatta nel post in cui Meta sostiene che la scelta che ha creato per gli utenti, ovvero l’accesso gratuito continuato con il tracciamento o il pagamento a Meta per un accesso senza pubblicità, “è conforme alle ultime evoluzioni regolamentari, alle linee guida e alle sentenze condivise dai principali regolatori europei e dai tribunali negli ultimi anni”.
Pollard ha anche evidenziato una sezione del precedente post sul blog in cui Meta afferma che l’offerta “conforme alle indicazioni della massima corte d’Europa”, come viene definita. La sezione evidenziata prosegue: “[N]el luglio, la Corte di giustizia dell’Unione europea (CJEU) ha approvato il modello delle sottoscrizioni come un modo per le persone di acconsentire al trattamento dei dati per la pubblicità personalizzata. E anche prima di quella decisione, la validità di un servizio a pagamento come parte di un modello per ottenere un consenso valido era stata riconosciuta da numerose autorità europee per la protezione dei dati, comprese quelle di Francia, Danimarca e Germania”.
L’orientamento della CNIL francese
Tuttavia, l’orientamento fornito dalla CNIL della Francia, a cui il post sul blog di Meta fa esplicitamente riferimento, sottolinea la necessità di analisi “caso per caso” dei cosiddetti “paywall dei cookie”, avvertendo che “subordinare la fornitura di un servizio o l’accesso a un sito web all’accettazione del deposito di determinati traccianti è suscettibile di pregiudicare, in certi casi, la libertà del consenso”. La CNIL raccomanda inoltre che, se gli utenti desiderano rifiutare tutto il tracciamento, gli editori dovrebbero offrire ciò che definisce “un’alternativa reale e corretta che consenta l’accesso al sito e che non implichi l’accettazione dell’uso dei loro dati” [enfasi aggiunta].
Nel caso di un servizio esclusivo, come “fornitori di servizi dominanti o essenziali”, l’orientamento della CNIL suggerisce che “la scelta dell’utente in questo caso sarebbe, per definizione, limitata poiché il servizio in questione è disponibile solo sul sito fornito”. “In [questo] caso, il pubblicatore del sito che richiede il consenso ai traccianti per accedervi deve essere particolarmente attento all’esistenza di un possibile squilibrio tra lui e l’utente Internet, che potrebbe privare quest’ultimo di una vera scelta”, continua l’orientamento. “Deve quindi garantire una facile accessibilità per l’utente a questa alternativa”.
La sfida di Meta nel garantire un accesso facile e giusto alla versione senza tracciamento
È ovvio che sia Facebook che Instagram qualificherebbero come fornitori di servizi dominanti (argomentabili come servizi essenziali, dato il controllo che continuano ad esercitare nello spazio dei social network grazie agli effetti di rete). Pertanto, l’approccio del CNIL ai paywall richiederebbe probabilmente a Meta di dimostrare che sta garantendo una facile accessibilità alla versione senza tracciamento del suo prodotto.
Tuttavia, come sostiene la denuncia di noyb, richiedere agli utenti di fornire i dati della carta di credito e pagare una tariffa continua è difficile da presentare come “facilità di accesso”. (Inoltre, come già evidenziato in precedenza, l’orientamento dell’Austrian DPA suggerisce che i paywall non siano appropriati in scenari in cui un’azienda ha “una posizione di monopolio o quasi monopolio sul mercato”, come i social network di Meta).
Il post del CNIL affronta anche la necessità che eventuali tariffe addebitate dagli editori per l’accesso ai loro contenuti siano “ragionevoli” e incoraggia a pubblicare un’analisi della giustificazione della tariffa addebitata per garantire una “maggiore trasparenza” per gli utenti Internet. Abbiamo chiesto a Meta di inviarci la sua analisi su come sono state stabilite le tariffe addebitate agli utenti per evitare la pubblicità mirata (Aggiornamento: “Il nostro prezzo è in linea con le offerte di abbonamento simili di altre aziende tecnologiche, ad esempio YouTube Premium. È anche importante notare che il nostro prezzo include le commissioni addebitate da Apple e Google attraverso le rispettive politiche di acquisto”, ha risposto Pollard a riguardo).
Meta affronta le critiche sul prezzo del suo abbonamento
Meta ha precedentemente cercato di giustificare il prezzo del suo abbonamento “senza annunci” suggerendo che sta addebitando una tariffa mensile simile a quella di servizi di streaming come Netflix, Spotify e YouTube. Ma, come abbiamo già evidenziato in precedenza, il confronto è molto poco accurato, dato che Meta ottiene il contenuto generato dagli utenti che popola i suoi servizi gratuitamente, mentre i servizi di streaming pagano ingenti somme di denaro per ottenere licenze di musica, serie TV, film prodotti professionalmente, ecc.
Un’altra affermazione precedente di Meta, secondo cui il suo abbonamento ha un prezzo simile all’offerta premium senza annunci di Reddit, sembrava dubbia, dato che quest’ultima sembra costare considerevolmente meno rispetto agli abbonamenti di Facebook e Instagram. Inoltre, Meta sta facendo una doppia fatturazione, poiché richiede agli utenti di sottoscrivere abbonamenti per ogni account che hanno sui suoi servizi, quindi gli utenti con più di un account sui suoi social network vedranno aumentare ulteriormente le tariffe.
Tornando all’orientamento del CNIL, esso avverte inoltre gli editori di non cercare di raggruppare ingiustamente il consenso, con il consiglio che stabilisce che “la pubblicità mirata e la personalizzazione dei contenuti editoriali sono due scopi diversi che devono essere distinti quando si determinano gli scopi che regolano l’accesso al servizio”. Nel caso di Meta, agli utenti viene offerta solo una scelta tra accettare il tracciamento o pagare per ottenere accesso senza pubblicità ai contenuti. Non è chiaro se gli utenti che pagano per evitare gli annunci di tracciamento eviteranno che i loro dati personali vengano elaborati per guidare altri tipi di personalizzazione dei contenuti su Facebook e Instagram, che effettuano anche il tracciamento degli utenti per determinare come organizzare i feed dei contenuti. Quindi, il CNIL potrebbe trovare altre lacune se fosse l’autorità incaricata di indagare su questa denuncia.
Le complesse sfide di Meta
Passando all’orientamento danese citato nel post sul blog di Meta, il regolatore sottolinea anche che in uno scenario di paywall dei cookie “il consenso deve essere volontario”, scrivendo che “la questione è quindi se un approccio in cui i visitatori – come alternativa al consenso – possono, ad esempio, pagare per l’accesso ai contenuti o a un servizio, soddisfa questo requisito di volontarietà e quali requisiti deve soddisfare in tal caso”. Prosegue affermando che c’è una “generale mancanza di chiarezza” sulla legalità del “pagare o acconsentire”. Ma cita quattro criteri che dice che utilizzerà per valutare la questione – tra cui l’indicazione di un “prezzo ragionevole” per l’alternativa di pagamento, avvertendo che “il prezzo di questa alternativa non deve essere così alto da rendere illusoria la libertà di scelta dei visitatori”.
L’orientamento tedesco
L’orientamento tedesco citato nel post sul blog di Meta, che fa riferimento a una decisione della Conferenza delle autorità di controllo indipendenti per la protezione dei dati dei governi federali e statali di marzo dello scorso anno, sottolinea anche la necessità che il consenso soddisfi tutti i requisiti del GDPR, compresa la “libera volontà”. Anche se i regolatori scrivono che il “pagare o acconsentire” è possibile – “in linea di principio”.
Tuttavia, la loro decisione avverte anche contro un consenso generale “accetta tutto” per diversi scopi di trattamento. “Se ci sono diversi fini di trattamento che differiscono significativamente tra loro, i requisiti per la volontarietà devono essere soddisfatti in modo tale che il consenso possa essere concesso in modo specifico per ciascun fine”, scrivono le autorità tedesche. “Tra le altre cose, ciò significa che gli utenti devono avere la possibilità di selezionare gli scopi specifici per cui si richiede il consenso; [questi] possono essere selezionati attivamente dagli utenti stessi (opt-in). Solo se gli scopi sono strettamente correlati può essere considerato un raggruppamento di scopi. Un consenso generale complessivo per diversi scopi in questo senso non può essere concesso in modo efficace.”