Qualcosa si muove. Se il GDPR è stato pensato in primis per i colossi del web e poi a cascata per chiunque svolga un’attività di trattamento, ecco che assistiamo a una prima – forse delle tante – azioni in sede giudiziaria contro uno dei colossi del social la big tech per antonomasia, Meta.

Così un’associazione spagnola ha deciso di farsi portavoce di svariate testate giornalistiche avanzando una richiesta risarcitoria pari a 550 milioni di euro, per avere fatto concorrenza sleale nel mercato pubblicitario. Analizziamo la questione e chiediamoci se e quali ripercussioni possono esserci anche in Italia.

I fatti di causa

Molti sono i quotidiani, alcuni anche noti come El Pais, El Mundo, Abc e La Vanguardia, che in Spagna si sono riuniti e associati per andare contro Meta azionando una causa per violazione in modo “massiccio” e “sistematico”, dal maggio 2018 allo scorso luglio 2023, in spregio del GDPR i dati raccolti attraverso la famosa piattaforma/social network che include i rinomati Facebook e Instagram.

Tale ripetuta e massiva condotta ha portato il noto colosso ad acquisire, per conseguenza, un indiscusso vantaggio e così ha violato tanto il GDPR quanto ha agito in concorrenza non leale onde “attrarre investimenti pubblicitari” con annunci estremamente personalizzati.

Le ragioni della causa

Secondo le accuse mosse dall’associazione AMI predetta e nella causa, per quanto qui ci è dato sapere, Meta avrebbe agito in piena violazione del GDPR praticando atti concorrenziali non leali.

La nota azienda avrebbe estratto informazioni anche particolari (ex sensibili) di utenti per poi venderle agli inserzionisti invocando, per ciò, nessuna base giuridica. Di qui, nessuna “giustificazione” di un trattamento illegittimo se non anche illecito.

L’importanza del consenso quale base giuridica

Prima di usare informazioni/dati personali per finalità di marketing/pubblicitaria, le aziende devono senz’altro chiedere e ottenere il consenso libero ed espresso, non coartato, da parte degli utenti. Consenso che deve esserci prima di quando è possibile trattare/adoperare i dati personali.

Il consenso, infatti, deve essere “dato liberamente” per essere ottenuto in modo lecito/legittimo/legale.

In caso contrario, offrire annunci personalizzati su piattaforme come quelle in parola, deve ritenersi oltre tutto un “atto” di concorrenza sleale.

Meta e la sua posizione dominante

È risaputo che Meta assuma una posizione dominante sul mercato pubblicitario, da qui l’abuso costituisce tipicamente atto concorrenziale scorretto.

Se poi queste considerazioni le rapportiamo alle circostanze di questi ultimi anni, che hanno visto una crescita importante della big tech la quale ha, tra gli altri, fornito ai brand la possibilità di acquistare pubblicità, orientata in modo perfetto verso il target voluto dalle aziende, ecco che capiamo come tutto il meccanismo avrebbe reso i social più interessanti delle pagine di giornale.

Di qui, l’indignazione e la decisione di ricorrere giudizialmente. A maggior ragione a fronte del periodo quinquennale trascorso in cui, dunque, Meta avrebbe “ripetutamente violato la normativa [UE] sulla protezione dei dati, ignorando l’obbligo normativo secondo la quale i cittadini devono acconsentire all’utilizzo dei propri dati per la profilazione pubblicitaria”. Cosa non da poco.

Il cuore della questione e qualche precedente

Il punto centrale allora risiede nel fatto che l’utilizzo sistematico e massiccio di dati personali degli utenti iscritti nelle piattaforme in parola, traccia lato privacy, senza raccogliere correttamente alcun consenso.

In pratica, l’utente durante la navigazione web non avrebbe potuto manifestare alcun legittimo consenso.

Per contro, in questo modo la nota big tech avrebbe consentito la vendita di spazi pubblicitari sul mercato in base al vantaggio competitivo ottenuto.

Ma non si tratta del primo e isolato caso dal quale possiamo evincere che Meta attui un comportamento non conforme, in specie, alle normative in materia di protezione dati violando in questo caso la necessità richiesta dal GDRP di individuare le “basi giuridiche” affinché il trattamento sia legittimo/lecito (art. 6).

L’ultimissimo tentativo di Meta e alcuni degli ulteriori precedenti

Per non parlare di quanto accaduto e dello scandolo di novembre 2023 quando Meta ha chiesto di pagare un abbonamento mensile per una versione priva di pubblicità dei suoi prodotti. In caso di mancato “dazio” cioè di pagamento, ecco la supina accettazione dell’utente di essere tracciato e/o profilato, in piena e costante e ripetuta violazione dei principi cardine del GDPR (art. 22).

Non solo, la contestazione dell’AMI si riferisce anche ad una ulteriore decisione di carattere vincolante del 27 ottobre 2023 in ordine alla pubblicità comportamentale di Meta emessa a seguito di una richiesta rivolta all’Autorità Garante norvegese a fronte della perdurante attività di trattamento dei dati personali da parte del noto colosso senza invocare alcuna base giuridica valida, congrua e coerente al caso di specie.

Rammentiamo poi la sanzione amministrativa inflitta a Meta per quasi quattrocento milioni di euro dopo aver confermato espressamente che “l’esecuzione di un contratto non era una base legale valida per tracciare e profilare gli utenti per indirizzarli con annunci pubblicitari”. Opinione del tutto condivisibile.

Parimenti ricordiamo del ricorso in materia di concorrenza e privacy avverso la “cd superprofilazione” che Meta ha fatto, presentando il Garante della concorrenza tedesca una base giuridica in quella sede cassata, per via “degli effetti invalidanti di derivazione”.

In pratica, il Bundeskartellamt – l’Autorità, si è soffermato in particolare sull’abuso del potere di mercato basato sulla portata della raccolta, dell’utilizzo e dell’unione dei dati in un account/utente.

Molti utenti non sanno, scrivono i componenti dell’Authority, che “l’uso privato della rete è subordinato, alla capacità di Facebook di raccogliere da terze parti una quantità quasi illimitata di dati utente di qualsiasi tipo e di assegnarli agli utenti account Facebook e utilizzarli per numerosi processi di elaborazione dei dati”; e poi prosegue affermando testualmente che “anche se agli utenti di un sito web non è visibile alcun simbolo di Facebook, i dati degli utenti fluiranno da molti siti web a Facebook” richiamando il famoso meccanismo di Analytics.

Quali possibili ripercussioni, anche in Italia

Ora chiediamoci se e in che misura questa vicenda possa determinare possibili ripercussioni anche in Italia.

Senz’altro, e non solo in Italia. D’altra parte, è noto che la big tech abbia già una discreta storia di cause e sanzioni anche milionarie; poi quante di queste sono state regolarmente pagate sarebbe anche interessante indagarlo; ma non è questa di certo la sede.

Ancora, il consenso al tracciamento non va dimenticato che rappresenti una tipica caratteristica di molti siti web di giornali europei, i quali richiedono agli utenti di pagare un abbonamento per accedere a un quotidiano/settimanale ovvero di accettare di essere tracciato in cambio di un accesso non a pagamento. Si tratta di un aspetto drammaticamente ironico sull’uso del cd. cookie paywall (pagamento quale condizione di accesso).

Ma non finisce qui; e siamo quasi curiosi di vedere quali saranno le altre prese di posizioni, anche da parte della nostra Autorità Garante per la protezione dati personali.

Quindi, pioggia di cause in arrivo?

Potrebbe essere, non è da escludere, anzi.

Conclusioni

In conclusione, dunque, alla luce delle considerazioni finora esposte, questa causa spagnola potrebbe essere solo la prima goccia di una pioggia più o meno fitta di analoghe cause in altri Stati membri.

Potremo infatti assistere da qui a breve a class action o analoghe azioni/procedure dal momento che appare pacifica la violazione della normativa europea in materia di protezione dei dati personali (GDPR) e non solo.

Ma l’ultima parola va sempre agli Organi competenti siano essi amministrativi o giurisdizionali. Non ci resta che attendere gli ulteriori sviluppi e nel frattempo osservare gli andamenti del caso.

@RIPRODUZIONE RISERVATA