Profilazione senza consenso: sanzione di 390.000.000 euro a Meta per pubblicità personalizzata sui social

Il Comitato Europeo per la Protezione dei Dati (EDPB) si è pronunciato con decisione vincolante in risoluzione del disaccordo tra l’Aurotità garante irlandese e altre Autorità garanti europee, in relazione alla base giuridica privacy della pubblicità personalizzata nei confronti degli utenti di social network di proprietà di Meta Platforms Ireland Limited.

Il Comitato ha dichiarato che l‘esecuzione del contratto con gli utenti dei social network non può essere idonea base giuridica per la pubblicità personalizzata.

Meta aveva fondato la legittimità della profilazione degli utenti per finalità di pubblicità personalizzata, sulla base del contratto sottoscritto dagli utenti con il social al momento della creazione di un profilo.

Il Garante privacy irlandese aveva ricevuto reclami su questo da parte di utenti che lamentavano la liceità e la trasparenza del trattamento dei dati degli utenti di Facebook e Instagram per finalità di pubblicità personalizzata e la liceità del trattamento per il miglioramento del servizio offerto da WhatsApp.

L’Autorità garante irlandese aveva avviato così una propria indagine ed emesso una decisione provvisoria condivisa, che aveva creato grande disaccordo tra le autorità garanti.

L’EDPB è, appunto, dovuta intervenire per dissipare con propria decisione vincolante il contrasto e prendere una posizione su questo tema.

Il testo del provvedimento dell’EDPB non è ancora disponibile, ma a quanto risulta avrebbe ritenuto che la pubblicità personalizzata di Meta non può essere eseguita sulla base giuridica dell’esecuzione del contratto (cioè a dire sulla base di cui all’art. 6, paragrafo 1, lettera b) del Gdpr), pertanto tale trattamento dei dati eseguito da Meta è illegittimo.

Sulla base di tale decisione, il Garante privacy irlandese ha emesso due provvedimenti sanzionatori (uno per Facebook e uno per Instagram) a carico di Meta Ireland per complessivi 390.000.000 di euro, imponendo diversi obblighi all’azienda (che avrà 3 mesi di tempo per adempiere) tra cui:

  • ottenere il consenso (specifico e trasparente) degli utenti per gli annunci comportamentali
  • dare agli utenti la possibilità di ritirare il consenso in qualsiasi momento;
  • evitare di utilizzare dati non personali per personalizzare gli annunci, a meno che l’utente non abbia dato il proprio consenso.

Meta ha dichiarato che impugnerà tale decisione.

Tali decisioni hanno un evidente impatto sulle aziende che fanno profilazione finalizzata alla pubblicità personalizzata online, stante le evidenti difficoltà ad ottenere tale consenso specifico da parte degli utenti.

Fonti: comunicato EDPB del 6/12/2022; comunicato del Garante privacy irlandese del 4/01/2023

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI