Sanzione privacy: il caso Meta può rappresentare la fine di Internet per come lo conosciamo?
Il 2023 non è iniziato nel migliore dei modi per Meta. Il 4 Gennaio del nuovo anno, l’autorità di controllo per la privacy irlandese ha annunciato sanzioni per 390 milioni euro contro la società di Zuckerberg. Le sanzioni sono arrivate a conclusione di due istruttorie iniziate nel 2018, che hanno coinvolto sia Facebook che Instagram.
A preoccupare Meta non è la sanzione da 390 milioni ma piuttosto la motivazione del provvedimento, che potrebbe minare seriamente il suo modello di business in Europa. Ciò non coinvolge soltanto Facebook e Instagram ma l’intero mondo del Digital Advertising e della pubblicità personalizzata e potrebbe rappresentare la fine di Internet per come lo conosciamo oggi.
La pubblicità personalizzata e i dati personali
Vi siete mai chiesti come fanno società come Meta, Google, TikTok a fornire gratuitamente la maggior parte dei loro servizi ed a fatturare comunque miliardi di euro?
Beh, ormai la risposta è diventata uno slogan: “quando il servizio è gratuito, stai pagando con i tuoi dati“. Non si tratta di una frase fatta ma è esattamente così. Quando utilizziamo Facebook e Instagram, consegniamo a Meta i nostri dati personali, le permettiamo di profilarci e di inviarci pubblicità personalizzata.
La pubblicità personalizzata è estremamente più efficiente della pubblicità generica. Essa consente ai giganti del web di generare ingenti profitti pur continuando a garantire l’accesso alle loro piattaforme a titolo “gratuito”, o meglio: senza chiedere denaro.
Se la pubblicità personalizzata venisse vietata o fortemente limitata in virtù della protezione della privacy, questo modello di business potrebbe non reggere più. In questo caso, dovremo riadattarci a pagare molti dei servizi che siamo abituati ad usufruire in modo gratuito.
Questo è il motivo per cui la recente decisione dell’autorità di controllo irlandese, peraltro sollecitata dal European Data Protection Board (EDPB), rischia di avere effetti dirompenti per Internet.
Cerchiamo quindi di capire cosa è successo e quali conseguenze potrebbe avere.
Le basi giuridiche per trattare dati personali
Per comprendere la decisione dell’autorità irlandese, occorre introdurre il concetto di base giuridica. Infatti, Meta è stata sanzionata proprio per non aver individuato correttamente la base giuridica per profilare gli utenti di Facebook e Instagram.
Qualsiasi trattamento di dati personali obbliga il titolare ad individuare una base giuridica fra quelle elencate all’art. 6 del GDPR. Niente base giuridica = trattamento dei dati illegittimo.
Le basi giuridiche che ci interessa esaminare per la pubblicità personalizzata sono sostanzialmente tre: il consenso, il legittimo interesse e l’esecuzione del contratto.
Il consenso come base giuridica
Una delle basi giuridiche che permette di trattare dati personali è il consenso dell’interessato. Con l’avvento del GDPR nel 2018, però, non è più così semplice ottenere il consenso. Infatti, il consenso deve essere libero, informato, manifestato chiaramente e revocabile in ogni momento.
Questo significa che Facebook e le altre piattaforme non possono più limitarsi a dire: “se utilizzi il mio servizio, stai accettando di essere profilato“. Per ottenere un consenso valido, i titolari del trattamento devono dare all’interessato una scelta effettiva e priva di conseguenze. In sostanza, devono dire: “se vuoi essere profilato, dacci il tuo consenso, se invece preferisci di no, puoi comunque accedere ai nostri servizi come chiunque altro. L’unica conseguenza sarà che vedrai pubblicità generiche anziché basate sui tuoi interessi“.
Capirete bene che, se Facebook lasciasse questa possibilità agli utenti, perderebbe un percentuale enorme di dati di profilazione. Pensate che quando Apple, nel 2021, ha introdotto la funzione App Tracking Transparency sugli Iphone, che richiede un opt-in degli utenti per consentire alle App di tracciarli, si calcola che Facebook abbia subito perdite per circa 8 miliardi di dollari in un anno. Immaginate quali sarebbero le conseguenze per Meta se ciò si estendesse a tutti i device, almeno in Europa.
Il legittimo interesse
Il legittimo interesse funziona più o meno così: il titolare del trattamento deve dimostrare di avere un interesse meritevole a trattare dati, che prevale sulla compressione dei diritti e delle libertà degli utenti causata dal trattamento. Se ci riesce, può trattare i dati senza bisogno di chiedere un consenso preventivo agli utenti.
Anche questa base giuridica ha però i suoi limiti.
Il primo è che non è affatto facile convincere le autorità di controllo che il legittimo interesse a profilare gli utenti prevale sul diritto di questi ultimi a non essere profilati. Recentemente, il Garante italiano ha gentilmente invitato TikTok a farci una pensata sopra, quando quest’ultimo aveva annunciato nella nuova informativa privacy di voler basare la profilazione sul legittimo interesse. Non si è poi arrivati ad una pronuncia, perché la piattaforma cinese ha accettato il suggerimento e modificato la base giuridica.
Inoltre, il legittimo interesse permette agli utenti di esercitare il diritto di opposizione. A differenza del consenso, il legittimo interesse non richiede l’opt-in degli interessati prima di trattare i loro dati. Deve però essere previsto un opt-out. Questo significa che gli utenti dovrebbero avere la possibilità di dire a Facebook: “non voglio essere profilato“, senza subire alcuna penalizzazione nell’uso della piattaforma.
L’esecuzione del contratto
Il GDPR consente di trattare dati personali quando ciò è necessario a dare esecuzione ad un contratto di cui l’interessato è parte.
Ad esempio, se acquisti un prodotto su un e-commerce, il venditore dovrà necessariamente conoscere i tuoi dati anagrafici e il tuo indirizzo, per poterti spedire il pacco. Per trattare questi dati, non avrà bisogno del tuo consenso, né di dimostrare un legittimo interesse. Potrà trattarli perché sono necessari a dare esecuzione al contratto di vendita online.
La base giuridica utilizzata da Meta e la decisione dell’autorità irlandese
Meta ha utilizzato l’esecuzione del contratto come base giuridica per profilare gli utenti di Facebook e Instagram. In questo modo, ha evitato di chiedere il consenso e di garantire il diritto di opt-out.
In sostanza, nelle condizioni che l’utente accetta con l’iscrizione al social network, Meta ha scritto che la profilazione e la pubblicità personalizzata fanno parte del servizio reso agli utenti. In parole povere, Meta profilerebbe i suoi utenti per fornire loro un servizio richiesto con l’iscrizione (!?).
In un primo momento, l’autorità irlandese ha pure “abboccato”. Tuttavia, dopo le obiezioni di altre autorità di controllo europee e il parere negativo dell’EDPB, è dovuta tornare sui suoi passi e sanzionare Meta per 390 milioni di euro. Inoltre, ha fornito alla società di Zuckerberg 3 mesi di tempo per conformarsi alla decisione e rivedere la base giuridica.
Meta ha già dichiarato di voler impugnare il provvedimento, perché in ballo ci sono molto più dei 390 milioni di euro di sanzioni. C’è la sua stessa sopravvivenza sul mercato europeo e quella di molte altre piattaforme.
Le possibilità di Meta
In attesa dell’appello, nei prossimi mesi Meta dovrà comunque conformarsi alla decisione e rivedere la sua politica sulle basi giuridiche.
Le alternative, come abbiamo visto, non sono molte: c’è il consenso, con la certezza di subire perdite miliardarie, e c’è il legittimo interesse, con il forte rischio di vedersi rigettata anche questa base giuridica e con l’obbligo di garantire l’opt-out degli utenti dalla profilazione.
In realtà, Meta avrebbe anche un’altra scelta, anch’essa però non priva di complicazioni. Potrebbe mantenere come base giuridica l’esecuzione del contratto, ma su presupposti diversi da quelli attuali. Invece che raccontarci la favola, secondo cui la profilazione farebbe parte del servizio reso agli utenti, Meta potrebbe scoprire le carte e dire le cose come stanno una volta per tutte:
Cari utenti, mantenere Facebook, Instagram e tutti quei bei servizi che vi garantiamo gratuitamente, costa un sacco di soldi. Dobbiamo pagare i dipendenti, mantenere i server, garantire la sicurezza etc. Siamo inoltre una società quotata in borsa e dobbiamo anche garantire dei profitti ai nostri azionisti. Per farlo abbiamo bisogno della pubblicità personalizzata e quindi di trattare i vostri dati. Questi hanno per noi un valore economico e sono il prezzo che pagate per utilizzare i nostri servizi.
La monetizzazione dei dati personali
Un approccio di questo tipo sarebbe sicuramente più sincero e trasparente, ma solleverebbe comunque un polverone.
Qualcosa di simile è stato fatto recentemente da molti editori italiani, seguendo l’esempio dei cugini francesi. Quando approdiamo sui siti web dei loro giornali, ci appare quello che in gergo si chiama un Cookie Wall. Il messaggio è più o meno sempre lo stesso: “fornire informazione di qualità costa e la pubblicità personalizzata ci permette di farlo senza chiederti denaro”. A questo punto viene presentata una scelta: se vuoi vuoi continuare a leggere le notizie, puoi abbonarti oppure accettare di essere profilato, pagando in sostanza con i tuoi dati personali.
Il Garante italiano non si è ancora pronunciato sulla legittimità di questo approccio e, anche se ho una mia personale opinione, non vorrei essere nei loro panni.
La domanda delle domande è: si possono usare i dati personali come moneta di scambio?
Su questo argomento c’è da tempo un’accesa diatriba ed entrambe le fazioni hanno argomenti molto forti a sostegno delle rispettive tesi.
La mia opinione personale sulla monetizzazione dei dati
L’obiezione principale di coloro che contestano la possibilità di monetizzare i dati personali è questa: la privacy è un diritto di tutti. Se dessimo un prezzo ai dati personali, la privacy diventerebbe una cosa per ricchi, perché soltanto questi potrebbero permettersi di pagare, mentre gli altri sarebbero costretti a rinunciare ai loro diritti.
Personalmente, questa obiezione non mi convince, almeno nel contesto che abbiamo analizzato fino ad ora. È vero, la privacy è un diritto ma utilizzare Facebook non lo è. Nessuno viene costretto a rinunciare alla sua privacy. Una volta che le informazioni sono trasparenti, chi non vorrà essere profilato avrà sempre la sua scelta: non utilizzare Facebook.
La mia opinione sui Cookie Wall
Lo stesso ragionamento vale anche per i Cookie Wall degli editori. L’informazione e la privacy sono diritti di tutti, ma leggere il giornale gratuitamente non lo è e non lo è mai stato. Prima di Internet, chi voleva leggere il giornale doveva andare in edicola ed acquistarlo. Eppure non si è mai discusso sul fatto che questo limitasse il diritto d’informazione di coloro che non potevano permetterselo.
In passato, la scelta era soltanto una: vuoi leggere il giornale? Paga per acquistarlo. Adesso le scelte sono due: puoi pagare per acquistarlo, oppure puoi accettare di essere profilato e ricevere pubblicità personalizzata.
Anche se personalmente credo di potermi permettere di pagare un giornale, non ho difficoltà a dire che accetto senza alcun problema la profilazione. In questo modo, non sto rinunciando ad un mio diritto, sto effettuando una scelta libera, informata e consapevole.
Vietare la profilazione significa invece tornare ad una sola scelta: pagare il giornale. In questo modo non proteggiamo alcun diritto, anzi. Chi non può permetterselo, dovrà necessariamente rinunciare all’informazione. Tutti gli altri verranno invece privati della possibilità di scegliere.
Perché è sbagliato demonizzare la profilazione
A mio parere, piuttosto che difendere a spada tratta dei diritti che rischiano di restare solo sulla carta, bisognerebbe cercare di essere realisti. I dati personali nella società digitale sono già una merce di scambio. Ammetterlo una volta per tutte in modo chiaro ed onesto non può che rappresentare un passo avanti verso la protezione del diritto alla privacy, almeno sotto il profilo della trasparenza.
La profilazione e la pubblicità personalizzata non sono il male assoluto, anzi.
La pubblicità personalizzata è innanzi tutto utile per gli utenti, che anziché essere bombardati da offerte di ogni tipo, ricevono solo informazioni pertinenti per loro. La profilazione consente inoltre di fruire gratuitamente di alcuni servizi, come leggere un giornale online.
La pubblicità personalizzata è poi utilissima per piccole e medie imprese, perché permette loro di raggiungere il pubblico di riferimento con costi contenuti. In passato, un’impresa doveva bombardare di pubblicità milioni di persone pur di raggiungere il proprio pubblico. Soltanto una piccola parte dei suoi messaggi andava a segno, il resto veniva sprecato. È evidente che solo pochissime aziende potevano permetterselo. Personalizzando la pubblicità, è invece possibile ottenere un rating di conversione molto più alto, con dei costi molto più bassi.
I rischi di una politica troppo restrittiva sui dati
La profilazione non rappresenta necessariamente una minaccia per la privacy degli utenti, purché i dati siano effettivamente utilizzati per le finalità esposte, in modo trasparente e con la consapevolezza di chi viene profilato.
Ciò che invece bisogna combattere sono gli usi distorti dei dati personali. Quando i dati raccolti da Facebook vengono utilizzati per influenzare le scelte politiche di un Paese (vedi il caso Cambridge Analytica), allora sì che abbiamo un problema. Per combattere queste patologie, però, non serve demonizzare la profilazione in quanto tale.
Adottare una politica eccessivamente restrittiva verso l’uso dei dati personali potrebbe rappresentare un boomerang per l’economia europea e riportarci indietro di almeno un decennio. Infatti, limitare alle nostre imprese la possibilità di fare pubblicità personalizzata significa consegnare un vantaggio competitivo enorme alle imprese extra UE. Inoltre, si rischia di scoraggiare gli investimenti stranieri nel mercato europeo.
Conclusioni
Il provvedimento del gennaio 2023 contro Meta rappresenta una pietra miliare nella politica di protezione della privacy in relazione al digital advertising. Comunque vada a finire, ne vedremo delle belle.
Il caso Meta potrebbe portare ad una definitiva accettazione del fatto che i dati personali sono una moneta di scambio. Oppure, potrebbe determinare significative limitazioni nella possibilità di profilare gli utenti e fare pubblicità personalizzata, sentenziando così la fine di Internet per come lo conosciamo oggi.