Meta: nuova sanzione per violazione delle norme europee sulla privacy

La Data Protection Commission (DPC), Autorità Garante della privacy irlandese, ha comminato una nuova sanzione pecuniaria (per complessivi 390 milioni di euro) alla holding titolare di Facebook, Instagram e WhatsApp, attraverso due decisioni del 31 dicembre 2022, rese note il 4 gennaio scorso.

Nella nota rilasciata dalla DPC (consultabile al seguente link) si legge infatti che la società statunitense avrebbe “violato i suoi obblighi di trasparenza” utilizzando una “base giuridica sbagliata per il trattamento dei dati personali per la pubblicità mirata”, in particolare riguardo alle privacy policy dei servizi offerti da Facebook e Instagram.

Meta aveva infatti selezionato quale base giuridica su cui fondare la legittimazione del trattamento dei dati personali degli utenti, quella del “contratto” (prevista dall’art. 6 par. 1 lett. b GDPR, che regola il caso in cui il “trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso”) GDPR) per la maggior parte delle sue operazioni di trattamento.

Gli utenti che desiderassero continuare ad aver accesso a Facebook e Instagram dopo l’introduzione del GDPR avrebbero dovuto accettare i Termini di Servizio aggiornati (i servizi non sarebbero stati accessibili agli utenti che si fossero rifiutati); l’accettazione dei Termini di Servizio veniva assimilata alla conclusione di un contratto con l’utente e il trattamento dei dati connesso alla fornitura dei servizi delle piattaforme (comprese la fornitura di servizi personalizzati e di pubblicità comportamentale) veniva presentato come necessario per l’esecuzione del suddetto contratto.

Per l’Autorità irlandese, Meta non aveva “il diritto di fare affidamento sulla base giuridica del “contratto” in relazione alla fornitura di pubblicità comportamentale come parte dei suoi servizi Facebook e Instagram” e il suo trattamento dei dati degli utenti secondo la base giuridica del “contratto” “costituisce una violazione dell’art. 6 GDPR”.

La società statunitense ha già comunicato di voler impugnare il provvedimento, sia nel merito che sotto il profilo della multa irrogata (si veda il post al presente link).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *