Il 27 Ottobre 2023 l’European Data Protection Board (EDPB) ha adottato una decisione urgente e vincolante, segnalando al Garante Privacy Irlandese di prendere opportune misure riguardo a Meta Ireland Limited (Meta IE) bandendo in tutta l’Area Economica Europea (EEA) il trattamento di dati personali per pubblicità comportamentali sulla base legale del contratto e dell’interesse legittimo. All’origine della decisione vi è una richiesta dell’Autorità Norvegese di Protezione dei Dati Personali (NO DPA).

La decisione non appare un fulmine a ciel sereno poichè già a Dicembre 2022 la EDPB ha chiarito come il contratto della piattaforma non è utilizzabile come opportuna base legale per il trattamento dei dati personali al fine di sviluppare pubblicità comportamentali (c.d. behavioural advertising). Da allora non è parso che la compagnia si sia adattata alle direttive, come dichiarato da Anu Talus, presidente dell’EDPB.

La vicenda ha anzi origini ancora più lontane ed infatti già il 25-05-2018 Max Shrems ha presentato un reclamo per violazione del GDPR riguardante proprio Meta in quanto la compagnia, invece di richiedere il consenso per processare i Dati Personali degli Utenti, aveva posto questa finalità all’interno dei “Termini e Condizioni” del servizio, rendendolo de facto il trattamento di tali dati “necessario all’esecuzione del contratto di cui l’interessato è parte”. In sostanza il trattamento dei dati era stato annoverato come interesse legittimo piuttosto che come trattamento che necessita del consenso dell’utente.

Il DPC Irlandese affermava, nella bozza in questione, come il GDPR ammetterebbe l’utilizzo della base giuridica sancita dall’art. 6 par. 2 lett. b) per fornire servizi a utenti, inclusa pubblicità personalizzata qualora sia caratteristica essenziale del servizio erogato (come sostenuto da Meta nel caso in esame). Nonostante ciò la condotta di Meta sarebbe stata sanzionabile per violazione degli obblighi di trasparenza. Secondo altre autorità invece il trattamento di dati per finalità di marketing mirato necessiterebbe del consenso degli utenti.

Nella decisione 3/2022 l’EDPB ripercorre gli scopi del GDPR, ovvero creare una solida impalcatura che sostanzi l’art 16 TFUE e all’art 8 della Carta di Nizza. In questa prospettiva l’EDPD si rifà alla giurisprudenza del celeberrimo caso Google Spain nell’affermare che la tutela dei diritti espressa nel GDPR prevarrebbe in linea di principio sugli interessi economici del titolare del trattamento. Tanto premesso, l’attività di scelta della base giuridica adeguata al trattamento non sarebbe discrezionale.

L’EDPB cita a questo proposito le proprie Linee Guida 2/2019, dove statuisce che è fondamentale analizzare la ratio del contratto in essere, ossia la sua “causa” unitamente all’obiettivo perseguito. A tal proposito è necessario partire anche dalle aspettative degli utenti – e in effetti qui sorgono le problematiche di trasparenza lamentate anche dal DPC Irlandese.

Quindi il concetto di “necessità” rappresenta il baluardo di difesa necessario per l’utilizzo della base legale in questione.

In conclusione quanto a Meta secondo l’EDPB il trattamento posto in essere dalla società non può essere considerato “necessario”, nel senso del termine ai sensi del GDPR. Pur considerando infatti il business model di Meta che, effettivamente, monetizza il proprio servizio grazie alle pubblicità personalizzate, le attività di trattamento in questo caso rilevanti sono utili per il titolare ma non necessarie per l’esecuzione del contratto con l’interessato. Ed oggi a seguito della condotta assunta da Meta di non uniformarsi a tale decisione, si profila all’orizzonte l’ennesima sanzione per la popolare società social.