Meta, la multa dell’Unione Europea non colpisce solo l’azienda. 390 milioni di euro di sanzione per violazione del Gdpr. Ora la compagnia deve trovare una nuova via per gli annunci mirati.
Sta andando di male in peggio per Meta. Ancora scosso da un calo delle entrate, licenziamenti di massa e un costoso passaggio al metaverso, il gigante deve affrontare un’altra minaccia esistenziale, questa volta diretta al suo modello pubblicitario alimentato dai dati. Secondo l’autorità di regolamentazione in Irlanda, Meta ha tre mesi per legalizzare il modello di targeting, dopo che l’Unione Europea ha scoperto che l’attuale base legale per la pubblicità utilizzata da Facebook e Instagram viola le norme del Gdpr.
LEGGI ANCHE: GDPR cos’è e perché rischia di rallentare la ripartenza
Le decisioni derivano dai reclami presentati dall’attivista austriaco per la privacy, Max Schrems, alla vigilia dell’entrata in vigore del regolamento generale sulla protezione dei dati, nel 2018. Schrems accusava l’allora Facebook di non avere basi legali adeguate per elaborare milioni di dati di europei. A inizio 2023, l’UE è giunta alla conclusione che Meta non può sfruttare i dati degli utenti come parte del contratto di iscrizione ai servizi social per fornire loro annunci personalizzati. Morale: il gruppo deve individuare un nuovo modo per indirizzare i suoi iscritti verso pubblicità mirate.
La sanzione di 390 milioni di euro, derivante dai 210 milioni di euro di Facebook e 180 milioni di euro per Instagram, potrebbe avere conseguenze ben oltre Meta. Molti colossi del web sono alle prese con varie difficoltà nel mantenere vitale il flusso di entrate pubblicitarie, senza entrare in conflitto con la legge. TikTok, l’anno scorso, ha cercato di passare dalla motivazione legale dell’affidarsi al consenso degli utenti per il targeting degli annunci ad un più oscuro “interesse legittimo” nella sua costruzione di una base di iscritti selezionata. La domanda per molti sarà se Meta e altri debbano offrire agli utenti una chiara opzione per rifiutare la pubblicità personalizzata senza interrompere l’accesso ai loro servizi. Attivisti come Schrems hanno sostenuto che l’attuale configurazione su molte piattaforme costringe gli utenti ad accettare annunci per ottenere l’accesso alle app.
Un portavoce di Meta ha affermato che la società è rimasta “delusa” dalle decisioni, ma ha sottolineato che sono disponibili altre opzioni legali per elaborare i dati, senza dover fare affidamento sul consenso dell’utente. “Siamo fortemente in disaccordo con la decisione finale del DPC (Data Protection Commission) e riteniamo di rispettare pienamente il Gdpr, facendo affidamento sulla necessità contrattuale per gli annunci comportamentali data la natura dei servizi”, ha detto il portavoce di Meta ai media. Schrems ha accolto con favore la mossa e ha contestato l’affermazione di Meta secondo cui non è inevitabile che la società abbia bisogno del consenso per utilizzare i dati per gli annunci. “Questo è un duro colpo per i profitti di Meta nell’UE. Ora è necessario chiedere alle persone se desiderano che i loro dati vengano utilizzati per gli annunci o meno”, ha spiegato.
Oltre a mettere in discussione i modelli di business del web, il caso sembra mettere in luce anche una sorta di difficoltà degli organi europei nell’allinearsi verso una sola linea di giudizio. Sebbene la Commissione irlandese per la protezione dei dati abbia inizialmente approvato il passaggio di Meta dal fare affidamento sul consenso dell’utente alla base giuridica del contratto in un progetto di decisione nel 2021, la sua opinione è stata ribaltata dal gruppo europeo di regolamentazione dei dati, il Comitato europeo per la protezione dei dati (EDPB).
Nel comunicato stampa che annuncia le decisioni, la Commissione irlandese per la protezione dei dati ha affermato l’intenzione di intraprendere un’azione legale presso la Corte di giustizia dell’Unione europea per annullare aspetti delle direttive dell’EDPB che, a suo dire, andavano oltre l’ambito del caso iniziale. “L’EDPB ha ordinato al DPC essenzialmente di impegnarsi in un’indagine molto aperta e speculativa che coinvolge tutte le operazioni di elaborazione dei dati di Facebook e Instagram. E diciamo che questo è un eccesso da parte dell’EDPB”, ha sottolineato il commissario irlandese per la protezione dei dati Helen Dixon in un’intervista al sito Politico. “Non possiamo creare uno scenario in cui non abbiamo un ruolo di autorità di controllo principale, in cui un’entità esterna possa arroccarsi il diritto di dirci cosa fare e come farlo”, ha affermato Dixon. Meta ha tre mesi per garantire che le sue “operazioni di elaborazione” siano conformi alle norme dell’UE.
Nel luglio del 2019, Facebook è stata multata per la cifra record di 5 miliardi di dollari dalle autorità federali statunitensi per i suoi controlli sulla privacy sulla scia dello scandalo Cambridge Analytica (di cui abbiamo parlato qui). A settembre del 2021, il Data Protection Commission ha multato WhatsApp con 225 milioni di euro per non aver rispettato le regole di trasparenza per i trasferimenti di dati. E in Francia, nel gennaio 2022, l’organismo nazionale di controllo dei dati, la CNIL, ha sanzionato Facebook con 60 milioni di euro per un uso scorretto dei “cookie” nell’indirizzare la pubblicità verso gli iscritti.
