Sembra che le contese tra l’avvocato e attivista austriaco Maximillian Schrems e il colosso di Mark Zuckerberg non siano ancora finite, nemmeno dopo il famigerato caso “Schrems II” che ha portato alla caduta del Privacy Shield, l’accordo tra Europa e Stati Uniti per il trasferimento di dati personali.
Di fronte alla Corte Suprema austriaca è stata infatti impugnata da entrambe le parti una sentenza regionale, con la richiesta aggiuntiva di deferire il caso alla Corte di Giustizia Europea per ulteriori chiarimenti.
La materia del contendere? Ancora una volta riguarda il GDPR, ossia il Regolamento UE 2016/679 sul trattamento dei dati personali, che Schrems sostiene sia stato “bypassato” da Facebook per quanto riguarda le informazioni relative agli utenti della piattaforma utilizzate per fornire pubblicità personalizzata.
Trasferimento dati extra UE, i Garanti Ue fissano la roadmap e le misure supplementari
Un problema di consenso
Ai sensi dell’articolo 6 del GDPR, il trattamento dei dati personali deve avvenire sulla base di una delle condizioni di liceità elencate nel paragrafo 1 dell’articolo stesso. Tra queste troviamo il consenso dell’utente, ma anche altre tra cui la necessità di eseguire un contratto tra titolare e interessato.
Per questo motivo Facebook non chiede il consenso all’interessato per trattare i suoi dati per finalità di marketing comportamentale: poco prima dell’entrata in vigore del GDPR, le Condizioni d’uso del social network sono state aggiornate per ricomprendere, tra i servizi forniti dalla piattaforma, l’erogazione di pubblicità personalizzate. Ciò che molti utenti non hanno chiaro, purtroppo, è che tale documento è un vero e proprio contratto tra loro e Facebook: uno studio commissionato da NYOB (“None Of Your Business”, l’associazione no-profit fondata da Schrems) al Gallup Institute ha mostrato che solo il 10% degli utenti ha compreso di trovarsi di fronte a un accordo contrattuale, e di questi solamente 16 persone hanno capito che da questo meccanismo derivava un impegno da parte di Facebook di fornire pubblicità mirata. Tuttavia, è proprio questa la linea difensiva della piattaforma contro le accuse di Schrems: non è necessario chiedere il consenso agli interessati per il trattamento dei loro dati personali per finalità di marketing mirato in base ai loro interessi, perché Facebook si è impegnato contrattualmente a fornire questo servizio e, dunque, la base giuridica di tale trattamento, ai sensi dell’articolo 6 del GDPR, è l’esecuzione di un contratto con l’interessato. Tale tesi è stata accolta dalle due Corti di prima e seconda istanza in Austria, ma è contestata da Schrems nell’appello di fronte alla Corte Suprema.
In effetti, vi è un’intera sezione delle Condizioni d’uso dedicata a “Come vengono finanziati i servizi di Facebook”, nella quale viene spiegato all’utente che “Anziché pagare per l’uso di Facebook e degli altri prodotti e servizi offerti, utilizzando i Prodotti di Facebook coperti dalle presenti Condizioni, l’utente accetta che Facebook possa mostrare inserzioni, la cui promozione all’interno e all’esterno dei prodotti delle aziende di Facebook avviene dietro pagamento da parte di aziende e organizzazioni. Facebook usa i dati personali dell’utente (ad es., informazioni su attività e interessi) per mostrargli le inserzioni più pertinenti”. La piattaforma non trasferisce i dati personali alle aziende, ma li usa per rispondere alla loro richiesta di mostrare le proprie inserzioni a un pubblico specifico. È Facebook stesso, quindi, che analizzando le informazioni riguardanti i propri utenti decide cosa pubblicizzare loro; in questo modo, si legge nelle Condizioni d’uso, viene fornita “un’esperienza personalizzata all’utente”, elemento che è stato inserito tra i servizi offerti da Facebook nella sezione ad essi dedicata di quello che, è bene ribadirlo, è un vero e proprio contratto.
Perché serve consenso
Perché si contende sulla necessità di chiedere il consenso agli interessati per questo tipo di funzionalità? Il punto fondamentale è che uno degli obiettivi primari del GDPR è restituire agli interessati il controllo sui propri dati, cosa che viene assicurata anche tramite requisiti piuttosto stringenti per la validità del consenso e la possibilità di revocarlo in qualsiasi momento e con la stessa facilità con cui è stato prestato. Le altre condizioni di liceità sono tassative e riguardano casi particolari in cui il trattamento è necessario per finalità ritenute meritevoli di tutela.
La questione diventa, quindi, comprendere se vi siano limiti alle attività di trattamento che un titolare può inserire come condizioni all’interno di un contratto, specialmente in un contesto come questo in cui la maggior parte degli utenti sembra non aver capito di trovarsi di fronte a un accordo vincolante. Il rischio è anche una violazione del principio di correttezza sancito dall’articolo 5 del GDPR, attraverso un adeguamento formale alla normativa che però viola in concreto diritti, libertà e interessi degli utenti. Tramite l’inserimento all’interno del contratto della prestazione di pubblicità personalizzata i soggetti sono in effetti privati della facoltà di rifiutarla continuando ad accedere al social, cosa che era concessa loro dalla normativa precedente ed è ancora possibile per la maggior parte dei servizi analoghi: la prassi per gli operatori che forniscono marketing comportamentale è utilizzare il consenso come base giuridica del trattamento dei dati. Tuttavia, la questione è abbastanza complessa, come dimostrato dalle decisioni delle due Corti austriache che già si sono pronunciate a favore di Facebook invocando la libertà contrattuale, sostenendo però anch’esse che vi fosse un bisogno di chiarimenti ulteriori da parte di Corti superiori.
Intanto, Schrems e NYOB sostengono che Facebook, tramite questo approccio, ignora se non altro lo “spirito” del GDPR; sul sito dell’associazione, nell’articolo dedicato a questa vicenda, viene citata Sofie in ‘t Veld, membro del Parlamento europeo, che ha affermato che i termini contrattuali non possono essere usati come una clausola per evitare di chiedere il consenso o per aggirare qualsiasi altra base giuridica per il trattamento dei dati (“The requirement to ask consent must stand firm. Contractual terms cannot be used as an escape clause for that requirement, or indeed for any other legal base for the processing of data”).
Prospettive future
L’associazione NYOB sembra abbastanza ottimista sull’esito della vicenda, visto che già in varie occasioni la Corte Suprema austriaca ha deferito casi simili alla Corte di Giustizia europea, il cui orientamento sembra essere piuttosto critico in merito alle operazioni di trattamento dei dati personali effettuate da Facebook. Ricordiamo che Schrems è riuscito già in due occasioni a prevalere sul colosso di Zuckerberg in merito ai trasferimenti di dati dei suoi utenti dall’Unione Europea agli Stati Uniti, portando entrambe le volte a una rivoluzione in questo settore. Ci vorranno alcuni mesi prima di sapere se Schrems avrà successo ancora una volta contro il gigante del web, visto che la questione al momento si trova ancora di fronte alla Corte Suprema in Austria. Sembra tuttavia assai probabile che tra un paio d’anni ci troveremo di fronte a un caso “Schrems III”.
