Il 4 gennaio 2023 l’Autorità per la protezione dei dati irlandese (Data Protection Commission) ha reso noto di aver comminato due sanzioni a Meta Ireland, rispettivamente di 210 milioni di euro per le violazioni del GDPR relative al servizio Facebook e di 180 milioni di euro per le violazioni relative al servizio Instagram.
L’indagine svolta dall’Autorità irlandese era stata avviata a seguito di due reclami presentati il 25 maggio 2018 da un interessato austriaco (relativamente ai servizi Facebook) e da un interessato belga (relativamente ai servizi Instagram).
Prima del 25 maggio 2018, data a partire dalla quale il GDPR è divenuto applicabile negli Stati membri dell’Unione Europea, Meta Ireland avrebbe modificato i termini di servizio per i suoi servizi Facebook e Instagram, segnalando che avrebbe modificato la base giuridica sulla quale si fondava il trattamento dei dati personali degli utenti. In particolare, Meta Ireland, che fino ad allora aveva basato il trattamento dei dati personali degli utenti nel contesto della fornitura dei servizi di Facebook e Instagram, compresa la pubblicità comportamentale, sul consenso degli interessati, avrebbe fatto ricorso alla base giuridica contrattuale per la maggior parte delle operazioni di trattamento, ai sensi dell’art. 6, par. 1, lett. b) del GDPR, richiedendo agli utenti di accettare i Termini di servizio aggiornati. In caso di rifiuto, quindi, i servizi Facebook e Instagram, inclusa la fornitura di servizi personalizzati e pubblicità comportamentale, non sarebbero stati accessibili agli utenti.
I reclamanti denunciavano, quindi, la violazione del GDPR nella misura in cui Meta Ireland, ricorrendo alla base giuridica contrattuale e subordinando la fornitura dei propri servizi all’accettazione dei Termini di servizio aggiornati, “costringeva” gli utenti ad acconsentire al trattamento dei propri dati personali anche per la pubblicità comportamentale ed altri servizi personalizzati.
All’esito dell’istruttoria, l’Autorità irlandese ha riscontrato la violazione da parte di Meta Ireland degli obblighi di trasparenza nei confronti degli utenti e, pertanto, degli artt. 12 e 13, par. 1, lett. c) del GDPR. L’Autorità ha, altresì, ritenuto che il trattamento svolto da Meta Ireland violasse l’art. 5, par. 1, lett. a) del GDPR, a mente del quale i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato. L’Autorità ha precisato, tuttavia, che Meta Ireland non sarebbe stata comunque tenuta a basare le operazioni di trattamento sul consenso e che, in linea di principio, il GDPR non le avrebbe precluso di ricorrere alla base giuridica del contratto.
Vista la rilevanza della tematica, le bozze delle decisioni in commento sono state discusse con le Autorità di controllo europee di pari livello e, quindi, considerate le obiezioni sollevate da alcune delle Autorità di controllo interessate, sono state sottoposte al Comitato Europeo per la protezione dei dati (European Data Protection Board), come previsto dall’art. 65 del GDPR. Il 5 dicembre 2022 il Comitato ha confermato la posizione dell’Autorità per la protezione dei dati irlandese in relazione alla violazione, da parte di Meta Ireland, degli obblighi di trasparenza ed ha inserito l’ulteriore violazione del principio di “equità” e l’indicazione all’Autorità irlandese di aumentare l’importo delle sanzioni proposte.
Quanto al profilo della base giuridica, il Comitato, assumendo una posizione diversa rispetto a quella dell’Autorità irlandese, ha ritenuto che, in linea di principio, Meta Ireland non potesse ricorrere alla base giuridica contrattuale per poter trattare i dati degli utenti ai fini della pubblicità comportamentale nell’ambito dei suoi servizi di Facebook e Instagram e che, pertanto, il trattamento dei dati personali degli interessati svolto sulla base del contratto si ponesse in violazione dell’art. 6 del GDPR.
Le decisioni definitive sono state adottate dall’Autorità irlandese il 31 dicembre 2022, tenendo conto delle determinazioni vincolanti del Comitato Europeo. Meta Ireland dovrà, quindi, conformare le operazioni di trattamento dei dati personali degli utenti al GDPR entro tre mesi.
Il Comitato Europeo, inoltre, ha richiesto all’Autorità irlandese di condurre una nuova indagine che comprenda tutte le operazioni di trattamento svolte da Facebook e da Instagram e che esamini le categorie particolari di dati personali che possono essere o meno trattate nell’ambito di tali operazioni.