Meta sbatte ancora sulla privacy, e stavolta si fa molto male: 390 milioni di euro di sanzioni per violazioni del GDPR
Sanzioni per 390 milioni di euro per Meta, la holding di Facebook, Instagram e Whatsapp. La società guidata da Mark Zuckerberg è accusata di aver illegalmente costretto i propri utenti ad accettare annunci personalizzati durante l’uso dei social network, in violazione delle norme europee sulla protezione dei dati personali.
A rendere note le due sanzioni, una di 210 milioni di euro per violazioni relative a Facebook e una di 180 milioni di euro riguardante Instagram, è stata oggi l’autorità per la protezione dei dati irlandese (Data Protection Commission) che nel comunicato stampa pubblicato sul proprio sito web spiega che Meta avrebbe “violato i suoi obblighi di trasparenza” richiesti dal GDPR utilizzando una “base giuridica sbagliata per il trattamento dei dati personali per la pubblicità mirata”.
Alla notizia dei provvedimenti dell’autorità irlandese, il commento di Max Schrems, fondatore della ong austriaca Noyb da cui erano partite le denunce, è stato il seguente:
“Questo è un duro colpo per i profitti di Meta nell’Unione Europea. Ora è necessario chiedere alle persone se vogliono che i loro dati vengano utilizzati per gli annunci o meno. Devono avere un’opzione ‘sì o no’ e devono poter cambiare idea in qualsiasi momento. La decisione di oggi garantisce inoltre parità di condizioni con altri inserzionisti i quali devono anch’essi ottenere il consenso.”
Secondo Noyb, Meta voleva infatti aggirare il GDPR, che prevede sei possibili basi giuridiche per il trattamento dei dati, una delle quali è il consenso ai sensi dell’art. 6, par. 1, lettera a), e la società statunitense avrebbe cercato di aggirare il requisito del consenso per il tracciamento e la pubblicità online sostenendo che gli annunci fanno parte del servizio che contrattualmente deve agli utenti”.
Ma la cosiddetta “necessità contrattuale” ai sensi del suddetto articolo è generalmente intesa in modo restrittivo e potrebbe consentire ad esempio a un negozio online di inoltrare l’indirizzo a un servizio postale, in quanto ciò è strettamente necessario per consegnare un ordine. Meta, tuttavia, ha ritenuto di poter semplicemente aggiungere elementi casuali al contratto (come la pubblicità personalizzata), per evitare un’opzione di consenso sì/no per gli utenti.
Le decisioni assunte nei confronti di Meta comportano che entro tre mesi Facebook ed Instagram dovranno consentire agli utenti di continuare ad utilizzare le app ed i loro servizi senza utilizzare i dati personali per gli annunci personalizzati.
Da parte sua, Meta ha commentato il proprio rammarico in una nota: “Oggi la Commissione irlandese per la protezione dei dati ha esposto le sue conclusioni sulla base giuridica che Facebook e Instagram utilizzano ai sensi del Gdpr per la pubblicazione di pubblicità comportamentale. Il dibattito sulle basi giuridiche è in corso da tempo e le aziende hanno dovuto affrontare una mancanza di certezza normativa in questo settore. Siamo fermamente convinti che il nostro approccio rispetti il Gdpr, pertanto siamo delusi da queste decisioni e intendiamo appellarci sia alla sostanza delle decisioni che alle multe”.
Intanto, i conti di Meta con le autorità per la privacy diventano sempre più pesanti. Dopo queste ennesime sanzioni, che fanno seguito a quella di 265 milioni di euro ricevuta a novembre e quella di 405 milioni di euro inflitta a Meta sempre dal garante irlandese nel mese di settembre, complessivamente dall’introduzione del GDPR le sanzioni sono arrivate a pesare sui conti della società di Zuckerberg per oltre 8 miliardi di euro.
Articolo ripreso da FederPrivacy