g-docweb-display Portlet

Pubblicità online, Scorza: “Ecco i tre scenari dopo la maxi multa a Meta” - Intervento di Guido Scorza

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Pubblicità online, Scorza: “Ecco i tre scenari dopo la maxi multa a Meta”
La maxi-multa a Meta ci mette di fronte alla verità: stiamo pagando Internet con i nostri dati personali. Potrebbe, quindi, essere la volta buona per aprire un dibattito “alto”, maturo, franco e responsabile sul futuro dell’ecosistema digitale. Ne derivano tre opzioni per una nuova era che riguarda non solo Meta
Intervento di Guido Scorza, componente del Garante per la protezione dei dati personali
(AgendaDigitale, 16 gennaio 2023)

Il provvedimento con cui il Garante privacy irlandese ha sanzionato Meta per 390 milioni di euro avrà un impatto profondo al di là dell’ambito specifico a cui è riferito: produrrà infatti effetti importanti sugli attuali modelli di business dell’internet commerciale nonché per il rispetto dei diritti degli utenti, riaprendo al contempo una questione enorme e moto complessa, quale quella della monetizzabilità dei dati personali.

Ma andiamo per gradi.

La decisione del Garante irlandese

Come è ormai noto il Garante per la privacy irlandese, facendo forzatamente proprie le conclusioni del Comitato dei Garanti europei (EDPB) che pure non condivideva, lo scorso 31 dicembre, ha condannato Meta a pagare 390 milioni di euro per aver violato le regole europee sulla privacy.

Alla base della sanzione, in particolare, la circostanza che Meta abbia fondato il trattamento dei dati personali dei propri utenti necessario a offrire a questi ultimi pubblicità targettizzata sul contratto, ovvero sulla condizione di liceità di cui all’articolo 6.1 (b) del Regolamento.

Tale base giuridica, secondo numerose autorità di protezione dei dati personali europee, incluso il Garante, e, quindi, secondo il Comitato dei Garanti, non sarebbe idonea allo scopo per ragioni diverse che vanno dalla scarsa trasparenza con la quale Meta ha rappresentato detta circostanza agli interessati, alla dubbia validità di un contratto perfezionato almeno in presenza di una significativa asimmetria informativa tra le parti, al fatto che la più parte degli utenti di Facebook e Instagram non si sono mai neppure resi conto di aver concluso un contratto con Meta ma, soprattutto, al fatto che il trattamento in questione non appare effettivamente necessario a dare esecuzione al contratto che lega Meta ai suoi utenti, potendo detto contratto trovare esecuzione a prescindere dalla profilazione destinata alla trasmissione di pubblicità targettizzata e non avendo mai, in effetti, Meta assunto alcun obbligo specifico di fornire agli utenti tale pubblicità.

Entro tre mesi dalla notifica del provvedimento, Meta dovrà adeguarsi allo stesso e, dunque, modificare il proprio modello almeno con riferimento ai trattamenti di dati personali strumentali alla profilazione degli utenti a scopo pubblicitario

Perché l’impatto della decisione trascende la singola vicenda

Il provvedimento è destinato a produrre – ancorché solo indirettamente – effetti che trascenderanno la specifica vicenda nel cui ambito è stato adottato e alla quale, naturalmente, solo si riferisce soprattutto perché l’impostazione di Meta, ovvero quella di fondare sul contratto anche il trattamento di dati personali finalizzato alla diffusione di pubblicità profilata, non è originale ed è adottata anche da numerosi altri grandi e meno grandi fornitori di servizi digitali.

Ma, anche a prescindere dalla specifica impostazione oggetto del provvedimento, è evidente che la vicenda riguarda – e riguarderà – più in generale il modello di business che rappresenta, con poche eccezioni, il modello di business dell’intera Internet commerciale che conosciamo: la fornitura di servizi finanziati pressoché integralmente da pubblicità targettizzata ovvero fornita a valle di un trattamento di dati personali degli utenti finalizzato alla loro profilazione.

Non c’è, infatti, nessun dubbio che nel lavorare all’adeguamento al provvedimento del Garante irlandese e – nei termini di cui si è detto del comitato dei garanti europei – Meta, nelle prossime settimane, dovrà sottoporre alle Autorità di protezione dei dati personali europee – quella irlandese e indirettamente quelle rappresentate nel board – una soluzione alternativa che, evidentemente, le consenta comunque di non rinunciare ai ricavi che ottiene appunto dalla pubblicità targettizzata che mai potrebbe distribuire in assenza di un massiccio trattamento di dati personali degli utenti finalizzato alla profilazione.

Nel confronto tra Meta e le autorità europee a margine del provvedimento, quindi, inevitabilmente si esploreranno strade diverse idonee a rendere legittimi i trattamenti di dati personali sui quali, in ultima analisi, riposa ogni possibilità di Meta – ma per quello che si è detto non solo di Meta – di continuare a fornire il servizio che conosciamo.

Non è, dunque, esagerato sostenere che il provvedimento è, in qualche modo, destinato a avere su Internet l’impatto più rilevante sin qui avuto da un provvedimento in materia di privacy sulle cose della Rete.

E che questo avvenga è, probabilmente – al di là del terremoto che potrebbe innescare nel breve-medio periodo – un bene perché per questa via potrebbe pervenirsi a un assetto non solo più rispettoso dei diritti delle persone utenti dei servizi digitali ma anche – come a più riprese richiesto dalle stesse big tech – basato su una maggiore certezza delle regole del diritto.

Perché la questione della base giuridica del trattamento è tanto importante

In tanti, specie tra i non addetti ai lavori della privacy, nelle ultime settimane si sono chiesti perché le autorità di protezione dei dati personali di tutta Europa abbiano con tanta determinazione insistito perché l’Autorità irlandese – che aveva una diversa opinione – contestasse a Meta l’inidoneità della base giuridica contrattuale a fondare il trattamento dei dati personali posto in essere da Meta per fornire agli utenti pubblicità profilata.

Perché mai la questione è tanto importante? Perché scaldarsi tanto?

Per capirlo è, probabilmente, necessario riavvolgere per un istante il nastro della vicenda e ricordare che la questione, technicalities giuridiche a parte, muove dal presupposto incontrovertibile secondo il quale Meta – al pari di ogni altro soggetto commerciale nella stessa o in analoga posizione – per profilare gli utenti ed essere in grado di promettere ai propri investitori pubblicitari di proporre il messaggio commerciale “giusto” a ciascuno dei suoi miliardi di utenti ha bisogno di arrivare a conoscere questi ultimi, spesso meglio di quanto ciascuno di noi si conosce.

E non si tratta di un’iperbole almeno se limitiamo l’affermazione ai gusti, gli interessi, le inclinazioni, le opinioni, il modo di sentire e di agire che formano oggetto dell’attività di profilazione in questione.

Tanta conoscenza su miliardi di persone consegna, inesorabilmente, a chi la accumula un enorme potere di persuasione di massa e di orientamento delle scelte individuali e collettive.

È, d’altra parte, un dato di fatto che più qualcuno sa di noi, più sa come prenderci e indurci – non necessariamente in una dimensione illecita naturalmente – a compiere scelte personali, commerciali, culturali e politiche di ogni genere.

Lasciarsi profilare, in questo senso, significa inesorabilmente rinunciare a un po’ della propria libertà.

La profilazione non è una nemica dell’umanità

Questo, intendiamoci, non rende l’attività di profilazione una nemica dell’umanità perché, al contrario, la profilazione oltre a tenere sulle sue spalle, in qualche modo, il modello di business di Internet e consentire, dunque, a Internet di essere quello che è, offre a ciascuno di noi straordinarie opportunità in tutte le dimensioni della nostra vita.

Tuttavia, forse, spiega perché preoccuparsi che quando una persona sceglie di lasciare che qualcuno accumuli così tanta conoscenza su di sé lo faccia in modo assolutamente consapevole e libero.

Insomma, in questa vicenda si può dubitare di tutto ma non del fatto che l’attenzione che le Autorità di protezione dei dati personali le stanno dedicando sia più che giustificata e che non commettere errori nel gestirla, fino in fondo, nel modo migliore possibile sia davvero indispensabile per i singoli e per la comunità globale, specie all’alba, forse, della sua immersione nel metaverso.

Cosa aspettarci adesso: le tre alternative per Meta

La storia è certa, il futuro incerto, sempre e nell’epoca che stiamo vivendo più di sempre.

Il primo passo, in una direzione qualsiasi, certamente tocca a Meta anche se è verosimile che nel firmamento delle big tech – e anche un po’ più giù – il provvedimento irlandese abbia accelerato, in maniera diffusa, una serie di riflessioni già in atto sul futuro della pubblicità targetizzata, della profilazione e, più in generale, sui modelli di business che verranno.

Meta non ha moltissime strade anche se può percorrerle in maniera molto diversa.

Chiedere agli utenti il consenso esplicito

La prima è quella di rivedere radicalmente il proprio approccio e chiedere ai suoi due miliardi e mezzo di utenti un consenso esplicito a trattare i loro dati personali al fine di profilarli e poter così offrire loro anche della pubblicità targetizzata.

È una strada in salita per Meta e non è neppure detto che sia la strada che potrebbe rasserenare di più chi si preoccupa che il diritto alla privacy sia rispettato.

Per Meta la strada sarebbe in salita perché, indubbiamente, se chiedesse ai suoi utenti di scegliere – comunque dovendo promettere loro che quale che sia la loro scelta potranno continuare a usare Facebook e Instagram – una percentuale più o meno significativa non presterebbe il consenso, imponendo, in qualche modo, a Meta di regalare loro un servizio che innegabilmente ha un costo enorme di sviluppo, ricerca, fornitura e gestione almeno con gli elevati standard di qualità che lo caratterizzano oggi.

E non basta: anche gli utenti che dessero il consenso potrebbero, naturalmente, revocarlo in qualsiasi momento.

Tutto questo, almeno, a voler ipotizzare – come in un contesto di questo genere appare indispensabile – che Meta, scelta questa strada, la percorresse in maniera diligente e corretta ovvero senza alterare in alcun modo, a colpi di dark pattern e simili, il diritto degli utenti di acquisire un’adeguata consapevolezza circa il trattamento dei propri dati personali e di revocare, in qualsiasi momento, il consenso eventualmente prestato.

Ma, ed ecco perché, in realtà, non è detto che la strada del consenso sia neppure quella più garantista per chi è chiamato a preoccuparsi della privacy degli utenti, occorre riconoscere che oggi è difficile, per non dire impossibile – specie nella dimensione digitale – che un interessato arrivi a scegliere se prestare o meno un consenso a un trattamento di dati personali specie importante e complesso come quello del quale stiamo discutendo, dopo aver acquisito un’effettiva consapevolezza della portata della scelta.

Ed è ancora più difficile che un utente, dopo aver prestato il consenso, percorra i sentieri digitali tortuosi che lo portano a revocarlo.

Nessuno o quasi nessuno legge per davvero, infatti, le informative sulla privacy e pochi, se non pochissimi, sono disponibili a fare gimcana tra pagine, menù, pulsanti, tendine, click e campi da compilare per arrivare a revocare un consenso.

Sarebbe un errore, insomma, pensare che qualora Meta – cosa che appare per la verità comunque improbabile – scegliesse di basare il trattamento in questione sul consenso anziché sul contratto, questo significherebbe necessariamente maggiori garanzie per la privacy dei suoi utenti rispetto a quelle loro garantite dal contratto.

In principio è innegabile che, pur essendo le basi del trattamento tutte equipollenti, il consenso è uno strumento di maggior libertà e controllo, dal lato degli interessati, rispetto al contratto ma la pratica, specie nell’universo digitale, è tutta un’altra storia.

La strada del legittimo interesse

L’altra strada che Meta potrebbe percorrere è quella del legittimo interesse.

La società di Mark Zuckerberg potrebbe, in altre parole, dire che ha bisogno di trattare i dati personali degli utenti per profilarli e fornire loro pubblicità targettizzata perché solo così è in grado di fornire loro il servizio che, innegabilmente, questi ultimi le richiedono di fornire e, quindi, in qualche modo di esercitare il proprio diritto a fare impresa, un diritto sacrosanto tanto quanto quello alla privacy.

Si tratta, probabilmente, dell’ipotesi che, se si scommettesse sulla scelta che Meta annuncerà tra qualche settimana, i bookmakers dovrebbero dare come più probabile.

E, però, le criticità non sembrano significativamente diverse rispetto a quelle che contraddistinguono la strada del consenso.

Tanto per cominciare è principio piuttosto diffuso nella giurisprudenza della Corte di Giustizia e in quella dei Garanti europei quello secondo il quale i diritti fondamentali degli interessati alla privacy e alla protezione dei loro dati personali prevalgono, almeno di norma, sugli interessi economici del responsabile del trattamento.

E sotto questo profilo la strada di Meta per sostenere che il proprio, innegabilmente legittimo, interesse a profilare gli utenti per rendere sostenibile il proprio modello di business e quindi fornire loro i servizi che le richiedono sia prevalente rispetto al diritto alla privacy è davvero in salita.

Sembrerebbe davvero una scelta antistorica, specie in un’Europa che non solo con il GDPR ma anche con il DSA e il DMA ha messo, in maniera significativa, la persona al centro dei mercati digitali e imposto a questi ultimi di svilupparsi lungo direttrici sempre più rigide e sempre più rispettose dei diritti fondamentali delle persone.

Senza dire che non tutti i trattamenti strumentali all’esercizio dell’attività di profilazione che Meta ha bisogno di fare ricadono esclusivamente sotto l’ambito di applicazione del GDPR perché ve ne sono alcuni che, verosimilmente, ricadono anche sotto l’ambito di applicazione della disciplina sulla privacy nelle comunicazioni elettroniche – oggi la vecchia Direttiva E-privacy e domani, verosimilmente, il nuovo Regolamento E-privacy – che, semplicemente, non contempla il legittimo interesse come possibile base giuridica.

Ma anche in questo caso a prescindere dalle difficoltà che, verosimilmente, Meta incontrerebbe nel percorrere questa strada è lecito dubitare della circostanza che percorrendola arriverebbe dove vorrebbe e dovrebbe.

Come è noto, infatti, il titolare che avvii un trattamento di dati personali per finalità di marketing sulla base del legittimo interesse deve, necessariamente, interromperlo non appena l’interessato vi si opponga.

E, quindi, chi fonda il proprio business su un trattamento basato sul legittimo interesse scommetterebbe, inesorabilmente, sulla circostanza che la più parte dei propri utenti non faccia opposizione perché, qualora ciò accadesse, resterebbe tenuto a continuare a fornire il servizio senza, tuttavia, poter contare sui dati personali di quanti facessero opposizione.

E, quindi, si ripropone la questione già affrontata a proposito del consenso.

Il legittimo interesse, a volerlo usare come base giuridica in maniera corretta e trasparente e, dunque, a voler informare adeguatamente tutti gli interessati del diritto di far opposizione e a voler loro riconoscere una soluzione estremamente semplice di esercitare tale diritto può davvero sostenere un modello di business pressoché integralmente basato sul trattamento dei dati personali degli utenti?

La risposta va naturalmente lasciata, come nel caso precedente, a Meta e agli altri grandi e meno grandi fornitori di servizi digitali ma qualche dubbio, almeno in prospettiva, appare lecito perché è fuor di dubbio che, negli anni che verranno la consapevolezza degli utenti in fatto di protezione dei dati personali crescerà ed è auspicabile che anche le associazioni di consumatori investano, con determinazione crescente, nella tutela e promozione del diritto alla privacy di utenti e consumatori mai come oggi divenuto un elemento centrale nelle relazioni di mercato.

Non è, peraltro, detto che Meta abbandoni la strada che, pure, al momento appare più stretta e impervia delle altre, di rappresentare la volontà di continuare a fondare il trattamento dei dati personali degli utenti strumentale all’attività di profilazione per finalità pubblicitaria sul contratto ma secondo una prospettiva diversa rispetto a quella sin qui seguita.

Il contratto come base giuridica

E al riguardo vale la pena chiarire che, naturalmente, il provvedimento del Garante irlandese così come le osservazioni del comitato dei garanti europei che lo hanno ispirato sono legate a doppio filo – e non potrebbe che essere così – alla fattispecie che vi ha dato origine con la conseguenza che non c’è dubbio che uno spazio per ricorrere al contratto come base giuridica anche di un trattamento finalizzato alla profilazione per finalità commerciale certamente esiste.

Perché – e, sul punto è bene essere chiarissimi – il contratto è una base giuridica per i trattamenti di dati personali che ha la stessa dignità del consenso e del legittimo interesse e che, anzi, in taluni contesti, può offrire agli interessati tutele e garanzie persino più stringenti giacché associa a quelle caratteristiche della disciplina in materia di protezione dei dati personali, quelle del diritto dei contratti e, ove ne ricorrano i presupposti, quelle del diritto dei consumatori.

Difficile, tuttavia, che Meta scelga di tornare a percorrere questa strada perché per farlo, probabilmente, le resterebbe una sola possibilità: quella di riscrivere completamente i propri termini d’uso ma, soprattutto, la propria filosofia e la propria storia e dire chiaramente a qualche miliardo di persone in giro per il mondo che Facebook e Instagram – e, naturalmente, non solo loro ma anche il suo metaverso che verrà – sono servizi a pagamento che gli utenti pagano impegnandosi a lasciarsi profilare così da consentirle di vendere ai propri investitori pubblicitari l’unica forma di pubblicità che, sin qui, sembra capace di sostenere il modello di business di Meta e, più in generale, quello di Internet.

I due eventi che hanno fatto crollare gli introiti pubblicitari

E che sia proprio così lo raccontano meglio di un fiume di parole, tra i tanti, un paio di episodi che hanno caratterizzato gli ultimi anni: da una parte il crollo verticale degli introiti pubblicitari dei gestori di centinaia di migliaia di app – Facebook e Instagram incluse – dopo che Apple ha deciso di imporre agli utenti di scegliere, attraverso un pop up molto molto chiaro e usabile, se desiderassero o meno essere profilati dall’app appena scaricata o aggiornata e dall’altra parte, la recentissima scelta degli editori, anche italiani, dopo che la raccolta del consenso per la profilazione a mezzo cookies è diventata più dura e dopo che Google ha stretto le maglie che consentivano loro di profilare i propri lettori, di proporre a questi ultimi di scegliere se prestare un consenso alla profilazione o pagare in denaro il diritto a sfogliarsi le pagine digitali che, sino a qualche mese fa, sfogliavamo liberamente, dopo aver fornito, nella più parte dei casi, senza rendercene conto, agli editori il consenso all’installazione dei cookie e ala profilazione.

Pubblicità targetizzata: l’ipocrisia che va smascherata

Insomma mentre nel procedimento davanti al Garante irlandese Meta ha sostenuto che la pubblicità targettizzata avrebbe rappresentato una caratteristica del servizio che essa fornisce agli utenti e, quindi, in qualche modo, in termini contrattuali, una propria obbligazione nei confronti degli utenti, ora si tratterebbe di sostenere, con un po’ di ipocrisia in meno, l’esatto opposto, ovvero che la pubblicità targettizzata – o, meglio, i trattamenti di dati personali necessari a realizzarla – costituiscono l’obbligazione che chi vuole continuare a utilizzare servizi digitali straordinari quanto costosi da sviluppare, gestire e fornire, deve pagare a chi tali servizi ha inventato e fornisce.

Certo una dichiarazione di questo tipo metterebbe a nudo il Re e, anzi, i Re.

I filantropi digitali che sin qui hanno – più o meno direttamente – raccontato di regalarci servizi che ci hanno letteralmente cambiato la vita, si dovrebbero presentare per quello che sono: società che per realizzare ogni giorno il miracolo di far funzionare Internet hanno bisogno di guadagnare valanghe di denaro, tenendone una parte consistente per loro.

Niente di straordinario, intendiamoci: utenti e consumatori sono assolutamente abituati a pagare per fruire di servizi anche meno centrali nelle loro vite rispetto a quanto non lo siano diventati molti servizi digitali.

E, però, chi ci fornisce l’energia elettrica o il gas, chi ci da accesso alle autostrade e alle altre utilities non ci ha mai raccontato di regalarci qualcosa mentre nella dimensione digitale in tanti – non solo le big tech – ce lo hanno raccontato per anni.

Le difficoltà (e le conseguenze) di un cambio di narrativa

Ora dover cambiare la narrativa è difficile come insegna, ancora una volta, l’esperienza degli editori di giornali che dopo aver persuaso milioni di lettori a un’apparenza del “tutto gratis per tutti”, oggi stanno facendo una gran fatica a educarli all’idea di dover pagare un prezzo per leggere un articolo.

E questo benché, fino a prima di Internet, per tutti fosse assolutamente normale pagare per il giornale che si acquistava in edicola.

Ma certo se Meta avesse il coraggio di imboccare questa strada, la questione cambierebbe radicalmente.

A quel punto non si tratterebbe più di interrogarsi se il trattamento dei dati personali degli utenti sia o non sia necessario per l’esecuzione del contratto perché lo sarebbe proprio come lo è pagare il prezzo di qualsiasi servizio.

E, verosimilmente, la formulazione letterale dell’articolo 6.1.b del GDPR – che, in effetti, sembra far riferimento a una fattispecie diversa rispetto a quella nella quale il trattamento divenisse corrispettivo di una prestazione caratteristica – non basterebbe a negare a Meta di sostenere la propria tesi.

I dati personali sono monetizzabili?

E, però, ci sarebbe un altro nodo ancora più difficile da sciogliere: il trattamento dei dati personali degli utenti può diventare prezzo di un servizio?

O, per come in genere la si racconta, i dati personali sono monetizzabili?

La questione è enorme e fa impallidire quella all’origine del provvedimento nei confronti di Meta.

Non c’è autorità di protezione dei dati personali in Europa che, sin qui, l’abbia risolta e non c’è una posizione comune: da una parte chi sostiene che aprire questa strada significherebbe ammettere l’idea che un diritto fondamentale come il diritto alla privacy possa essere scambiato sui mercati globali come un qualsiasi bene giuridico-economico, rendendo così la privacy un diritto solo per ricchi e dall’altra chi respinge questa idea e ritiene che, con un po’ di cautela, si potrebbe pensare di aprirla senza necessariamente derogare al principio che vuole i diritti fondamentali inalienabili perché licenziare il trattamento dei propri dati personali, non significa necessariamente rinunciare al proprio diritto alla privacy in cambio di un vantaggio economico.

Qui si sbaglia solo se si pensa di avere in tasca la risposta giusta e, tuttavia, vicenda Meta a parte, la questione è ormai diventata ineludibile perché la verità è che stiamo pagando, non da ieri, Internet con i nostri dati personali ma lo stiamo facendo, fingendo che non sia così o, peggio, senza rendercene conto e, soprattutto, senza adottare alcuna regola che valga a fare in modo che questo scambio non comporti un insostenibile sacrificio del diritto alla privacy e non produca quella mercificazione di un diritto fondamentale sempre più centrale nelle nostre vite che è certamente democraticamente insostenibile.

Conclusioni

Potrebbe, quindi, essere la volta buona per aprire un dibattito “alto”, maturo, franco e responsabile sul futuro dell’ecosistema digitale attorno al quale trovare, verosimilmente anche intervenendo sulle attuali regole, una nuova posizione di equilibro capace di garantire i diritti di tutti, di chi ha diritto di controllare la circolazione dei propri dati personali più e meglio di come lo abbiamo effettivamente fatto sin qui e di chi intende fare business anche sfruttando commercialmente i dati personali o, almeno, quella parte di essi – pure non facile da identificare – che meno probabilmente può compromettere e pregiudicare il destino di una persona.

Certo, ma qui si abbandonano i sentieri battuti per fare “fanta-internet”, Meta potrebbe anche decidere rendere Facebook a pagamento almeno per chi non presta il consenso a lasciarsi profilare.

E, a questo punto, la questione diventerebbe un mix di quelle ipotizzate sin qui e di quella che si sta affrontando a valle della scelta dei grandi editori di giornali di proporre esattamente una scelta di questo tipo ai loro lettori.

Non resta che stare a vedere con una sola certezza: nella dimensione digitale tanto se non tutto sta per cambiare.