La sentenza della CGUE sul rinvio Meta potrebbe chiudere il capitolo sul capitalismo della sorveglianza

Segnatevi sul calendario amici europei: il 4 luglio potrebbe presto essere celebrato come il giorno dell'indipendenza dal capitalismo-di-sorveglianza-di-Meta…
la capacità del gigante dei social media di continuare a violare la legge sulla privacy dell'UE negando agli utenti la libera scelta sul tracciamento e la profilazione.
La sentenza risale a un ordine pionieristico del cane da guardia antitrust tedesco, il Federal Cartel Office (FCO), che ha trascorso anni a indagare sugli affari di Facebook, sostenendo che anche il danno alla privacy dovrebbe essere trattato come un abuso della concorrenza di sfruttamento.
Nel suo ordine di febbraio 2019, l'FCO ha detto a Facebook (come lo era ancora Meta allora) di interrompere la combinazione dei dati sugli utenti attraverso la propria suite di piattaforme social senza il loro consenso.
Meta ha cercato di bloccare l'ordine nei tribunali tedeschi, provocando infine il rinvio alla CGUE sul cosiddetto "superprofiling" di Meta nel marzo 2021.
Quartier generale, questo è sicuro.
La CGUE non solo ha concordato che le autorità garanti della concorrenza possono tenere conto della protezione dei dati nelle loro valutazioni antitrust (il che sembra instabile ma in realtà è vitale perché il lavoro congiunto piuttosto che i silos normativi è la strada per un controllo efficace del potere della piattaforma) – ma ha segnalato che il consenso è il solo una base legale appropriata per il contenuto "personalizzato" basato sul monitoraggio e la profilazione e la pubblicità comportamentale che Meta monetizza.
Ecco la parte rilevante del comunicato stampa: Per quanto riguarda più in generale l'operazione di trattamento effettuata da Meta Platforms Ireland, compreso il trattamento di dati "non sensibili", la Corte esamina successivamente se questo è coperto dalle giustificazioni, esposte nel GDPR, consentendo di rendere leciti i trattamenti di dati effettuati in assenza del consenso dell'interessato.
In tale contesto, ritiene che la necessità dell'esecuzione del contratto di cui l'interessato è parte possa giustificare la pratica in questione solo a condizione che il trattamento dei dati sia oggettivamente indispensabile affinché l'oggetto principale del contratto non possa essere raggiunto se il trattamento in questione non avviene.
Fatta salva la verifica da parte del giudice del rinvio, la Corte di giustizia esprime dubbi sulla possibilità che un contenuto personalizzato o un utilizzo coerente e senza soluzione di continuità dei servizi propri del gruppo Meta soddisfi tali criteri.
Il consenso ai sensi della legge sulla protezione dei dati dell'UE significa che agli utenti deve essere offerta la possibilità di negare questo tipo di tracciamento senza dover rinunciare all'accesso al servizio principale.
Ed è proprio questa la scelta che Meta ha storicamente negato ai suoi utenti.
(Anche se – sorpresa, sorpresa! – solo poche settimane prima della sentenza della CGUE, senza dubbio anticipando ciò che stava arrivando, ha annunciato nuovi controlli per consentire agli utenti di limitare il tracciamento tra siti, anche se con una certa riduzione della funzionalità se negano il monitoraggio, quindi resta da vedere se il tentativo di Meta di anticipare la decisione è andato abbastanza lontano.) L'anno scorso un consulente della CGUE ha espresso un'opinione simile sulla sostanza del deferimento di Meta superprofiling.
Ma mentre l'opinione dell'avvocato generale alla Corte non era legalmente vincolante, la sentenza di oggi è una legge dura in buona fede.
Ciò significa che né Meta né le autorità di protezione dei dati dell'UE possono ignorarlo.
Quest'ultimo è importante perché la riluttanza di alcune autorità di protezione dei dati ad applicare con forza il regolamento generale sulla protezione dei dati (GDPR) del blocco ai giganti della tecnologia che violano le regole che dovrebbero supervisionare ha portato a gridare che il regolamento ha fallito – o almeno è stato irrimediabilmente ostacolato da acquisti sul forum.
Non c'è dubbio che l'applicazione del GDPR su Big Tech sia stato davvero un processo molto scrupoloso.
Un'importante decisione del DPA irlandese a gennaio è stata finalmente confutata contro l'affermazione di Meta di fare affidamento sulla necessità contrattuale per gestire la sua pubblicità comportamentale.
Ma ci sono voluti più di quattro anni da quando è stata depositata la denuncia originale per arrivare a quell'ordinanza (a cui anche Meta ora sta facendo appello, quindi anche il processo non è ancora concluso).
Quindi, a marzo, in risposta a una scadenza di conformità nell'ordine della Commissione irlandese per la protezione dei dati (DPC), Meta ha annunciato che avrebbe cambiato la base legale che sostiene per l'elaborazione dei dati per gli annunci pubblicitari con un'altra base non basata sul consenso – nota come interesse legittimo.
Quindi, dopo anni di denunce di violazione della privacy, indagini normative e (eventuale) applicazione, Meta ha ancora deciso di non offrire agli utenti una chiara scelta sì/no sul suo tracciamento, presumibilmente anticipando di poter far girare il processo di supervisione della sua richiesta di LI (ed evitare di avere per riformare il suo modello di business ostile alla privacy) per altri quattro anni circa.
Tuttavia, la CGUE sembra aver lanciato una chiave inglese in quell'ultima tattica di evasione del GDPR poiché le autorità di protezione dei dati dell'UE non possono ignorare la direzione della Corte.
Quindi l'Irlanda non dovrebbe limitarsi a sedersi con le mani in mano e lasciare che Meta lo faccia rivendicando una base giuridica di interesse legittimo che la CGUE ha segnalato come inappropriata in questo contesto.
E, beh, quando gli utenti hanno il potere di negare il capitalismo della sorveglianza, lo fanno a frotte.
(Vedi, ad esempio: l'impatto della trasparenza del monitoraggio delle app di Apple sull'attività pubblicitaria di Meta.) La chiarezza della CGUE su come il GDPR deve essere applicato su modelli di business finanziati dalla pubblicità come quello di Meta potrebbe finalmente chiudere questo capitolo sul capitalismo della sorveglianza.
Nel suo comunicato stampa sulla sentenza, la Corte scrive (con enfasi): “[L]a pubblicità personalizzata con cui il social network online Facebook finanzia la sua attività, non può giustificare, come legittimo interesse perseguito da Meta Platforms Ireland, il trattamento di i dati in questione, in mancanza del consenso dell'interessato.
Abbiamo contattato il DPC irlandese per una risposta alla sentenza della CGUE e aggiorneremo questo rapporto se ne avremo uno.
La CGUE ha anche optato per evidenziare la necessità di garantire che la qualità del consenso sia valida — vale a dire che la scelta offerta sia veramente libera (non manipolata, ad esempio mediante l'uso di schemi oscuri o altrimenti penalizzando l'utente, ad esempio con un servizio scadente per negare l'accesso ai propri dati) – dato lo squilibrio tra il potere di mercato di un social network dominante e i suoi utenti, osservando nel suo comunicato stampa che "questo spetta all'operatore dimostrarlo".
Inoltre, la Corte ha confermato che Meta non può semplicemente eludere l'obbligo legale di ottenere il consenso esplicito degli utenti per trattare le cosiddette categorie sensibili di dati personali (come le convinzioni politiche, l'orientamento sessuale, l'origine razziale o etnica, ecc.) – con la conclusione della Corte il fatto che l'utente visiti o interagisca con i servizi web non implica che questi abbia manifestamente reso pubblici propri dati sensibili (il che solleverebbe l'obbligo di acquisire il consenso esplicito).
Questo elemento della sentenza potrebbe alimentare una nuova ondata di contenzioso contro Meta per l'elaborazione dei dati sensibili degli utenti senza ottenere il loro esplicito consenso poiché Facebook elabora chiaramente una gran quantità di tali cose, sempre senza chiedere esplicitamente il permesso.
Sempre dal comunicato della CGUE: Inoltre, la Corte osserva che l'operazione di trattamento dei dati effettuata da Meta Platforms Ireland sembra riguardare anche categorie particolari di dati che possono rivelare, tra l'altro, l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o sessuali orientamento e il cui trattamento è in linea di principio vietato dal GDPR.
Spetterà al giudice del rinvio stabilire se alcuni dei dati raccolti possano effettivamente consentire la rivelazione di tali informazioni, indipendentemente dal fatto che tali informazioni riguardino un utente di tale rete sociale o qualsiasi altra persona fisica.
Max Schrems, l'avvocato e attivista per i diritti alla privacy che era dietro la denuncia originale contro il "consenso forzato" di Meta, ha soprannominato oggi "il giorno del tracollo del GDPR per Meta" – sostenendo che il tribunale ha chiuso la porta a tutte le "scappatoie" che gli avvocati dell'azienda hanno cercato di premere negli ultimi cinque anni.
Questo è il "giorno del crollo del #GDPR" per @Meta: la CGUE sostanzialmente chiude tutte le "scappatoie" che i loro avvocati hanno sostenuto negli ultimi cinque anni.
Abbiamo messo insieme una (molto) prima dichiarazione qui: https://t.co/3Kk53rogEQ https://t.co/oqodQ2f34g — Max Schrems (@maxschrems) 4 luglio 2023 In una dichiarazione più completa, noyb — Schrem's privacy diritti senza scopo di lucro – ha affermato che la CGUE ha dichiarato "illegale" l'approccio GDPR di Meta.
“noyb deve ancora studiare i dettagli di questo imponente giudizio.
Dalla lettura in diretta della holding, sembra che a Meta/Facebook sia stato impedito di utilizzare qualsiasi cosa tranne il consenso per operazioni cruciali su cui fa affidamento per realizzare profitti in Europa", ha anche scritto, con Schrems che sostiene che Meta ora dovrà "cercare una corretta consenso e non può usare la sua posizione dominante per costringere le persone ad accettare cose che non vogliono”.
"Ciò avrà anche un impatto positivo sul contenzioso in corso tra noyb e Meta in Irlanda", ha aggiunto, riferendosi alla suddetta decisione presa dall'Irlanda sulla base legale di Meta per gli annunci.
Anche il BEUC, l'organizzazione europea dei consumatori, ha accolto con favore la sentenza della CGUE, suggerendo che "apre la strada a un'applicazione più efficace contro le piattaforme digitali dominanti".
Da parte sua, Meta non ha ancora offerto molte risposte da offrire.
"Stiamo valutando la decisione della Corte e avremo altro da dire a tempo debito", ha detto un portavoce della società.
Meta ha anche richiamato un precedente post sul blog, pubblicato dopo la scoperta della violazione del GDPR a gennaio e aggiornato a marzo quando è passata a LI, dove l'azienda ha poi scritto: "Per conformarsi, da mercoledì 5 aprile stiamo cambiando la base legale che abbiamo utilizzare per elaborare determinati dati di prima parte in Europa da "Necessità contrattuale" a "Interessi legittimi".
Il GDPR afferma chiaramente che non esiste una gerarchia tra le basi giuridiche e nessuna dovrebbe essere considerata più valida di un'altra.
La sfida della concorrenza al "superprofiling" degli utenti di Facebook fa scattare il rinvio alla sentenza della Corte suprema europea della CGUE sul rinvio di Meta potrebbe chiudere il capitolo sul capitalismo della sorveglianza di Natasha Lomas originariamente pubblicato su TechCrunch