26 Feb “Pay or Okay”: una timeline degli eventi

Autori: Martim Taborda Barata, Andrea Strippoli, Miriam Fadda

Il banner “Pay or Okay”

Dall’inizio di novembre dello scorso anno, al momento del caricamento delle app di Facebook o Instagram i lettori avranno notato l’introduzione di un nuovo banner[1] che blocca l’uso di questi servizi e che impone agli utenti di decidere se desiderano abbonarsi, previo pagamento mensile, o se invece preferiscano continuare ad utilizzarli gratuitamente. Il compromesso per la scelta dell’utilizzo gratuito di questi servizi è che le informazioni dell’utente potranno essere utilizzate per presentargli pubblicità personalizzata[2] (mentre gli utenti abbonati non vedrebbero annunci pubblicitari su queste piattaforme, né le loro informazioni sarebbero usate a tali fini).[3] Questa opzione è conosciuta informalmente come il modello “Pay or Okay”.

Gli utenti meno attenti saranno rimasti sorpresi da questo banner. Tuttavia, Meta lo aveva già anticipato il 1° agosto 2023, quando ha annunciato per la prima volta l’intenzione di basare il trattamento dei dati dei suoi utenti per finalità di pubblicità comportamentale sulla base del consenso, ai sensi del Regolamento (UE) 2016/679 (ovvero il Regolamento generale sulla protezione dei dati, o “GDPR“).[4] Questo annuncio ha di fatto segnato il secondo cambiamento della base giuridica utilizzata da Meta per queste particolari attività di trattamento, dopo essere passata dall’affidarsi esclusivamente alla presunta necessità di queste attività per dare esecuzione al contratto con i propri utenti a far leva sul legittimo interesse come base giuridica per la maggior parte delle attività di pubblicità personalizzata[5].

Tra le tante domande che questo banner può aver suscitato nella mente dell’utente, una non può che essere “perché lo sto vedendo?”. In questo articolo, si cercherà di fare luce sul punto, descrivendo brevemente gli eventi che vi hanno portato ed aggiornando i lettori sui prossimi sviluppi che potrebbero mettere ulteriormente in discussione l’approccio di Meta sulla pubblicità comportamentale in Europa.

“Pay or Okay”: timeline degli eventi

Un punto di partenza rilevante è la serie iniziale di decisioni prese dalla Commissione irlandese per la protezione dei dati – ovvero l’autorità di controllo GDPR per l’Irlanda – in merito al trattamento dei dati personali da parte di Meta in relazione ai suoi servizi Facebook e Instagram. A seguito di una denuncia inizialmente presentata il 25 maggio 2018, secondo cui Meta avrebbe violato una serie di disposizioni del GDPR e della Carta dei diritti fondamentali dell’UE, in particolare facendo presumibilmente affidamento sul “consenso forzato” per il trattamento dei dati personali per la pubblicità comportamentale online^[6], il 14 maggio 2021 la Commissione irlandese (ritenuta competente a trattare il reclamo ai sensi del GDPR) ha emesso una proposta di decisione preliminare, in cui non concordava con la maggior parte dei punti sollevati dalla denuncia. In particolare, la Commissione ha concluso che il trattamento di Meta non si basava sul “consenso forzato” per queste attività, ma piuttosto sull’esecuzione del contratto con gli utenti di Facebook e Instagram, cosa che, secondo la Commissione, Meta poteva, in linea di principio, fare[7].

Dopo aver condiviso questa decisione con altre autorità di controllo europee, come richiesto dal GDPR, la Commissione ha incontrato una serie di obiezioni (da parte di 10 autorità dell’UE), che alla fine hanno portato la questione ad essere deferita al Comitato europeo per la protezione dei dati (EDPB)[8]. Dopo aver analizzato le argomentazioni presentate non solo dalle diverse autorità, ma anche dalla stessa Meta, l’EDPB ha concluso (tra le altre) che Meta non poteva legittimamente fare affidamento sulla base giuridica dell’esecuzione contrattuale su cui aveva fino a quel momento fondato le attività relative alla pubblicità comportamentale e che Meta poteva, invece, essere tenuta a fare affidamento sul consenso dell’utente, almeno in alcuni casi[9].

A seguito di tale decisione, la Commissione Irlandese ha rivisto la sua proposta di decisione e, il 31 dicembre 2022, ha constatato la violazione del GDPR da parte di Meta. La decisione finale della Commissione ha ordinato a Meta di conformare il trattamento dei dati personali per la pubblicità comportamentale ai requisiti della base giuridica del GDPR entro 3 mesi[10]. Ciò ha innescato, come detto poco sopra, il primo annuncio di modifica della base giuridica di Meta del 30 marzo 2023[11] con cui dall’esecuzione contrattuale Meta è passata al legittimo interesse come base giuridica per fondare i trattamenti in parola. Tuttavia, questo cambiamento di approccio non è stato accolto positivamente dalle autorità di controllo europee: infatti, molte di loro hanno chiesto chiarimenti alla Commissione e hanno espresso riserve sull’adeguatezza di questa nuova base giuridica[12].

Nel frattempo, la Corte di Giustizia dell’Unione Europea è stata chiamata a rispondere su diverse questioni relative alla liceità della pubblicità comportamentale di Meta ai sensi del diritto dell’UE – in particolare, se tali attività potessero essere legittimamente fondate sull’esecuzione del contratto o sul legittimo interesse – nel “Bundeskartellamt Case”[13]. È importante sottolineare che questa decisione si è concentrata principalmente sulla pubblicità comportamentale fondata sui dati raccolti da Meta sui suoi utenti, relativi, però, al loro utilizzo di altri servizi di Meta (ad esempio, raccogliendo dati sugli utenti di Facebook dalla loro attività su Instagram) o alle loro visite a siti web o app di terze parti. La Corte ha analizzato l’applicabilità delle basi giuridiche quali l’esecuzione contrattuale ed il legittimo interesse e, il 4 luglio 2023, ha evidenziato che Meta non sarebbe stata in grado di sfruttare legittimamente né l’una né l’altra[14].

Dopo tale decisione, il 14 luglio 2023 l’autorità di controllo norvegese (la Datatilsynet), ha imposto un divieto temporaneo alla pubblicità comportamentale di Meta nei confronti degli utenti con sede in Norvegia, poiché riteneva che Meta continuasse a fare affidamento sulle basi giuridiche dell’esecuzione contrattuale e del legittimo interesse per tali scopi[15]. La risposta di Meta è stata dichiarare la sua intenzione di modificare ancora una volta le basi giurdiche su cui fondava il trattamento in questione, optando per il consenso, culminando nel già citato annuncio del 1° agosto 2023[16]. Questo ha portato a qualche attrito tra le autorità di controllo dell’UE, con la Commissione irlandese che ha sostenuto che Meta dovrebbe essere autorizzata a mostrare come avrebbe implementato legalmente il consenso prima che venissero adottate ulteriori misure coercitive,[17] mentre la Datatilsynet ha spinto per un divieto immediato della pubblicità comportamentale di Meta senza consenso[18]. Chiamato a decidere in merito, l’EDPB, sulla base del caso Bundeskartellamt, delle sue precedenti linee guida[19] in materia e del contributo fornito da diverse autorità di controllo europee, ha preso la posizione di Datatilsynet e ha convalidato un divieto per tutto lo Spazio Economico Europeo[20].

L’evento finale, ad oggi, è l’introduzione da parte di Meta del banner menzionato all’inizio di questo articolo. Meta ha ora cercato di implementare il consenso come base legale per la pubblicità comportamentale, consentendo agli utenti di scegliere se prestarlo quando utilizzano i servizi di Meta o se pagare un canone mensile.

Qual è il prossimo passo?

L’implementazione del consenso di Meta non è stata ben accolta da tutti. Esempi di reazioni a questi sforzi includono (1) la denuncia presentata da noyb (un’organizzazione austriaca senza scopo di lucro focalizzata su questioni di privacy commerciale in Europa[21]) all’autorità di controllo austriaca, che sostiene, ad esempio, che il consenso raccolto da Meta in questo modo non è liberamente fornito, specifico o informato (essendo, quindi, invalido)[22] e (2) la richiesta congiunta presentata da Datatilsynet e dalle autorità di controllo dei Paesi Bassi e di Amburgo (Germania) per richiedere un parere dell’EDPB in merito alla legittimità del nuovo meccanismo di consenso di Meta[23].

Conclusioni

Non è chiaro come verrà gestito il reclamo appena menzionato, cosa deciderà in ultima istanza l’EDPB o se emergeranno altre sfide in futuro. Uno dei problemi principali sembra essere il prezzo applicato da Meta per l’abbonamento mensile, in combinazione con la sua posizione dominante nel mercato dei social network: il fulcro della questione non è tanto che venga addebitato un prezzo[24], quanto piuttosto se l’importo consenta davvero agli utenti di scegliere liberamente tra l’abbonamento o la fruizione gratuita dei servizi. La questione di come decidere un prezzo equo che non spinga indebitamente gli utenti ad accettare la pubblicità comportamentale appare obiettivamente molto difficile da risolvere. Auspicabilmente, le future linee guida dell’EDPB in materia contribuiranno a chiarire la questione e rappresenteranno una decisione storica in merito alla legalità della pubblicità comportamentale sui social network in Europa.

[1] Un esempio può essere visto, alla data di questo articolo, all’indirizzo: https://i.imgur.com/bGMbgxb.jpeg.

[2] Il termine «pubblicità personalizzata», spesso utilizzato in modo intercambiabile nell’UE con «pubblicità comportamentale», si riferisce, come suggerito dalle autorità di controllo dell’UE, a “(…) pubblicità che si basa sull’osservazione del comportamento degli individui nel corso del tempo [e che] cerca di studiare le caratteristiche di tale comportamento attraverso le loro azioni (visite ripetute al sito, interazioni, parole chiave, contenuti online) al fine di sviluppare un profilo specifico e quindi fornire agli interessati annunci pubblicitari personalizzati in base ai loro interessi dedotti” – cfr. il gruppo di lavoro sulla protezione dei dati articolo 29, Opinion 2/2010 on online behavioural advertising (22 giugno 2010), disponibile all’indirizzo: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp171_en.pdf (pag. 4).

[3] Meta, Facebook and Instagram to Offer Subscription for No Ads in Europe (Europa (30 ottobre 2023), disponibile all’indirizzo: https://about.fb.com/news/2023/10/facebook-and-instagram-to-offer-subscription-for-no-ads-in-europe/.

[4] Meta, How Meta Uses Legal Bases for Processing Ads in the EU (4 gennaio 2023 ), disponibile all’indirizzo: https://about.fb.com/news/2023/01/how-meta-uses-legal-bases-for-processing-ads-in-the-eu/ (cfr. aggiornamento del 1° agosto 2023).

[5] Ibid. (cfr. aggiornamento del 30 marzo 2023). Si noti che, sebbene Meta suggerisca di essere passata completamente alla base giuridica del legittimo interesse in questo annuncio, le autorità di controllo dell’UE hanno ritenuto che, in questa fase, Meta stesse ancora facendo affidamento sulla base giuridica dell’esecuzione contrattuale per alcune attività che si qualificano come “pubblicità comportamentale” (cfr. Comitato europeo per la protezione dei dati, Urgent Binding Decision 01/2023 requested by the Norwegian SA for the ordering of final measures regarding Meta Platforms Ireland Ltd (articolo 66, paragrafo 2, del GDPR) (27  ottobre 2023), disponibile all’indirizzo: edpb_urgentbindingdecision_202301_no_metaplatformsireland_en_0.pdf (europa.eu) (ad esempio, pagg. 25-26, § 97).

[6] Comitato europeo per la protezione dei dati, Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service (articolo 65 del GDPR) (5  dicembre 2022), disponibile all’indirizzo: https://edpb.europa.eu/system/files/2023-01/edpb_bindingdecision_202203_ie_sa_meta_facebookservice_redacted_en.pdf (pag. 5, § 3).

[7] Ibid. (p. 12, § 32).

[8] Ibid. (pp. 6-7, § 5).

[9] Ibid. (p. 117, §§ 482 – 484, 485 – 487).

[10] Comitato europeo per la protezione dei dati, Urgent Binding Decision… (p. 4, § 2-3).

[11] Meta, How Meta Uses… (vedi aggiornamento del 30 marzo 2023).

[12] Comitato europeo per la protezione dei dati, Urgent Binding Decision… (pagg. 4-8, § 4-10).

[13] Judgment of the Court (Grand Chamber) of 4 July 2023, Case C-252/21disponibile all’indirizzo: https://curia.europa.eu/juris/documents.jsf?num=C-252/21.

[14] Ivi, §§ 102-103, 117, 150-151.

[15] Comitato europeo per la protezione dei dati, Urgent Binding Decision…(pag. 10, § 24).

[16] Meta, How Meta Uses… (vedi aggiornamento del 1° agosto 2023).

[17] Comitato europeo per la protezione dei dati, Urgent Binding Decision… (pagg. 12-13, §§ 38).

[18] Ibid. (pp. 13-14, § 44).

[19]Cfr.,  ad esempio, Comitato europeo  per la protezione dei dati, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects (8 ottobre 2019), disponibile all’indirizzo: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf.

[20] Comitato europeo per la protezione dei dati, Urgent Binding Decision… (pp. 75-76, §§ 296, 302-303).

[21] Si veda il sito web di noyb, disponibile all’indirizzo: https://noyb.eu/en.

[22] noyb, noyb files GDPR complaint against Meta over “Pay or Okay” (28 novembre 2023), disponibile all’indirizzo: https://noyb.eu/en/noyb-files-gdpr-complaint-against-meta-over-pay-or-okay.

[23] Datatilsynet, Request for an EDPB opinion on “consent or pay” (26 gennaio 2024), disponibile all’indirizzo: https://www.datatilsynet.no/en/news/aktuelle-nyheter-2024/request-for-an-edpb-opinion-on-consent-or-pay/.

[24] Vale la pena sottolineare che la sentenza Bundeskartellamt ha suggerito che potrebbe essere opportuno addebitare agli utenti “un corrispettivo adeguato” per la fornitura di un servizio equivalente non accompagnato da un trattamento non necessario per la fornitura di un servizio (come, in determinate circostanze, è il caso della pubblicità comportamentale). Cfr. Judgment of the Court…, § 150.