Il GDPR prevede sei basi giuridiche per il trattamento dei dati personali. Nella causa Meta contro Bundeskartellamtla CGUE si è pronunciata oggi su tutte, chiarendo ulteriormente l'interpretazione del GDPR. La CGUE ha in gran parte chiuso le porte a Meta per l'utilizzo dei dati personali al di là di quanto strettamente necessario per fornire i prodotti principali (come la messaggistica o la condivisione di contenuti) - tutti gli altri trattamenti (come la pubblicità e la condivisione di dati personali) richiedono un consenso libero ed equo da parte degli utenti.
- Sentenza in Tedesco e Francese
- Comunicato stampa della CGUE
- Precedente decisione dell'EDPB che ha portato a una multa di 320 milioni di euro
- Informazioni sull'approccio del "consenso forzato" da parte di Meta
- Retroscena sul passaggio di Meta al "legittimo interesse"
Prima dichiarazione. noyb deve ancora studiare i dettagli di questa enorme sentenza. Dalla lettura in diretta della sentenza, sembra che a Meta/Facebook sia stato impedito di utilizzare qualsiasi cosa che non sia il consenso per operazioni cruciali su cui si basa per ottenere profitti in Europa.
Max Schrems:"Accogliamo con favore la decisione della CGUE. Chiarisce ulteriormente che Meta non può semplicemente aggirare il GDPR con alcuni paragrafi nei suoi documenti legali. Ciò significa che Meta deve chiedere un consenso adeguato e non può usare la sua posizione dominante per costringere le persone ad accettare cose che non vogliono. Questo avrà anche un impatto positivo sulle controversie in corso tra noyb e Meta in Irlanda"
Meta voleva "aggirare" il GDPR. L'articolo 6(1) del GDPR prevede sei basi legali per il trattamento dei dati, una delle quali è il consenso ai sensi dell'articolo 6(1)(a), ma Meta voleva aggirare il requisito del consenso attraverso le altre cinque basi legali. La CGUE le ha affrontate tutte, citando nella sentenza l'articolo 6, paragrafo 1, lettera a) fino alla lettera f). Meta ha cercato principalmente di aggirare l'obbligo di consenso per il tracciamento e la pubblicità online sostenendo che gli annunci sono parte del "servizio" che deve contrattualmente agli utenti. Il presunto cambio di base giuridica è avvenuto esattamente il 25 maggio 2018, alla mezzanotte dell'entrata in vigore del GDPR. La cosiddetta "necessità contrattuale" ai sensi dell'articolo 6, paragrafo 1, lettera b), è solitamente intesa in senso restrittivo e consentirebbe, ad esempio, a un negozio online di inoltrare l'indirizzo a un servizio postale, in quanto strettamente necessario per consegnare un ordine. Meta, tuttavia, ha ritenuto di poter semplicemente aggiungere elementi casuali al contratto (come la pubblicità personalizzata), per evitare l'opzione di consenso sì/no per gli utenti.
Max Schrems:"Invece di avere un'opzione 'sì/no' per gli annunci personalizzati, hanno semplicemente spostato la clausola di consenso nei termini e condizioni. Questo non è solo ingiusto, ma chiaramente illegale. Non siamo a conoscenza di nessun'altra azienda che abbia cercato di ignorare il GDPR in modo così arrogante"
Anche il ricorso di Meta al "legittimo interesse" è fallito. Dopo la sentenza dell'EDPB, che ha vietato il "bypass" ai sensi dell'articolo 6, paragrafo 1, lettera b), Meta è passata all'articolo 6, paragrafo 1, lettera f) del GDPR questa primavera. La CGUE sembra inoltre cestinare le speranze di Meta di passare semplicemente a un cosiddetto "interesse legittimo" per la pubblicità ai sensi dell'articolo 6, paragrafo 1, lettera f), del GDPR. Sebbene la CGUE non abbia escluso l'esistenza di un interesse legittimo (ad esempio per la sicurezza della rete), la sentenza chiarisce che non esiste un "interesse legittimo" che possa prevalere sui diritti degli utenti quando i responsabili del trattamento cercano di fornire pubblicità. In sostanza, questo limita qualsiasi controllore dell'UE dall'eseguire pubblicità personalizzata se non sulla base di un consenso liberamente dato (sì/no).
Max Schrems:"Si tratta di un duro colpo per Meta, ma anche per altre società di pubblicità online. Chiarisce che le varie teorie legali del settore per aggirare il GDPR sono nulle"