Enorme vittoria per la privacy: Multa record contro Facebook grazie a Max Schrems.

Meta deve pagare 1,2 miliardi di euro per aver violato il regolamento europeo GDPR.

2023-05-24 / First published: 2022-12-09
Facebook business model to force users to agree to tracking and then posting personalized ads is illegal in Europe.
L'UE ha imposto una multa record di 1,2 miliardi di euro alla società madre di Facebook, Meta, per aver trasmesso i dati degli utenti agli Stati Uniti. A Meta è stato anche ordinato di interrompere il trasferimento dei dati. Sebbene questa sia un'enorme vittoria per la privacy, Meta vuole intraprendere un'azione legale contro la multa.

La nuova multa record di Facebook, pari a 1,2 miliardi di euro, è stata emessa grazie a due personaggi di spicco: Max Schrems, che anni fa ha fatto causa a Facebook per aver trasferito i dati personali dei cittadini dell'UE negli Stati Uniti, ed Edward Snowden, che ha reso pubblico il fatto che i servizi segreti statunitensi possono ottenere dati da servizi americani come Meta piuttosto facilmente - il che è in violazione del Regolamento generale sulla protezione dei dati (GDPR) europeo.

Dieci anni dopo le rivelazioni di Snowden, whistleblower della NSA, Facebook è stato finalmente multato per 1,2 miliardi di euro per aver potenzialmente divulgato i dati dei cittadini dell'UE ai servizi segreti statunitensi: Dopo le pressioni dell'UE, l'autorità irlandese per la protezione dei dati (DPC) ha imposto una multa record di 1,2 miliardi di euro alla piattaforma di social media.

La multa inflitta dal DPC supera il precedente record di 746 milioni di euro inflitto ad Amazon dal Lussemburgo nel 2022.

Il motivo della multa è stata una denuncia dell'attivista austriaco per la protezione dei dati Max Schrems, che aveva ripetutamente chiesto conseguenze alle rivelazioni di Snowden, portando la questione fino alla Corte di giustizia europea. Di conseguenza, la Corte ha dichiarato illegale l'accordo Privacy Shield tra gli Stati Uniti e l'UE.

Le ragioni che hanno portato all'annullamento del Privacy Shield sono ancora valide. Il problema è che le leggi statunitensi non proteggono adeguatamente i dati dei cittadini europei, poiché i programmi di sorveglianza negli Stati Uniti non sono limitati allo stretto necessario.

Meta deve quindi interrompere qualsiasi ulteriore trasferimento di dati personali europei verso gli Stati Uniti, poiché l'azienda rimane soggetta alle leggi di sorveglianza statunitensi. Il gigante tecnologico della Silicon Valley ha sei mesi di tempo per conformarsi alla sentenza.

La sentenza si applica solo a Facebook

Meta ritiene di essere stata multata ingiustamente e ha annunciato che ricorrerà in appello: "Non si tratta delle pratiche di protezione dei dati di un'azienda - c'è un conflitto legale fondamentale tra le norme governative statunitensi sull'accesso ai dati e i diritti di protezione dei dati europei, che i responsabili politici dovrebbero risolvere in estate", afferma Facebook in una dichiarazione inviata allo SPIEGEL.

Max Schrems, che ha fondato l'organizzazione no-profit NOYB per continuare la sua lotta per la privacy, concorda con questo punto: "Qualsiasi altro grande fornitore di cloud statunitense come Amazon, Google o Microsoft potrebbe essere colpito da una sanzione simile ai sensi della legge dell'UE".

"Il DPC irlandese ha fatto tutto il possibile per impedire questa decisione, ma è stato ripetutamente rimproverato dai tribunali e dalle istituzioni europee. È piuttosto assurdo che la multa record vada all'Irlanda, lo Stato membro dell'UE che ha fatto tutto il possibile per garantire che questa sanzione non venisse comminata", spiega Schrems.

Dall'introduzione del GDPR nel 2018, Meta ha visto imporre dalle autorità di regolamentazione dell'UE multe per quattro miliardi di euro.

Tra le dieci aziende con le multe più alte basate sul GDPR, Meta è ora rappresentata sei volte - un record negativo.

Le 10 multe GDPR più salate finora

  1. Multa GDPR di Meta - 1,2 miliardi di euro imposta dall'Irlanda nel maggio 2023

  2. Multa Amazon GDPR - 746 milioni di euro imposta dal Lussemburgo nel luglio 2021

  3. Multa Meta GDPR - 405 milioni di euro inflitta dall'Irlanda nel settembre 2022

  4. Multa Meta GDPR - 390 milioni di euro inflitta dall'Irlanda nel gennaio 2023

  5. Meta GDPR - 265 milioni di euro di multa inflitta dall'Irlanda nel novembre 2022

  6. Multa GDPR WhatsApp - 225 milioni di euro inflitta dall'Irlanda nel settembre 2021

  7. Google LLC multa GDPR - 90 milioni di euro inflitta dalla Francia nel dicembre 2021

  8. Google Ireland multa GDPR - 60 milioni di euro inflitta dalla Francia nel dicembre 2021

  9. Facebook Ireland multa GDPR - 60 milioni di euro inflitta dalla Francia nel dicembre 2021

  10. Google France multa GDPR - 50 milioni di euro inflitta dalla Francia nel gennaio 2019


Il modello di business di Facebook è illegale nell'UE

La multa record di 1,2 miliardi di euro inflitta a Meta è solo l'atto finale di una lunga battaglia legale che dimostra come il modello di business di Facebook sia illegale in Europa a causa delle sue violazioni della privacy e del rischio che i dati dei cittadini europei possano finire nelle mani dei servizi segreti statunitensi.

All'inizio di quest'anno, nel gennaio 2023, Meta è già stata multata per 390 milioni di euro. I regolatori della privacy dell'UE affermano che Facebook e Instagram non devono costringere gli utenti ad accettare il tracciamento inserendo questo requisito nei loro termini. Questo modello di business di Meta è illegale secondo il GDPR.

Poiché Facebook - così come altri giganti tecnologici - non si concentrano sulla protezione della nostra privacy o sulla crittografia dei nostri dati, tutti i dati che raccolgono possono essere facilmente trasmessi.

Dobbiamo ricordare: se è gratis, tu sei il prodotto.

Quote: If it’s free, you are the product.

TL;DR: La pratica di Meta di richiedere agli utenti di acconsentire al tracciamento attraverso le loro condizioni non è legale secondo il GDPR. Facebook, Instagram e WhatsApp devono offrire un'opzione Sì e No in modo che gli utenti possano dare attivamente il consenso - o rifiutarlo. Questo è un duro colpo per il modello di business di Meta, basato sulla sorveglianza della pubblicità.

Una lezione da imparare: Smettete di aspettare Facebook e iniziate subito a utilizzare servizi che rispettino il vostro diritto alla privacy.

La Commissione irlandese per la protezione dei dati (DPC) ha confermato in un comunicato stampa che la pratica di Meta di imporre accordi sui cookie a Facebook e Instagram è illegale ai sensi del GDPR. Il gigante tecnologico è stato multato per 390 milioni di euro per questa violazione della privacy - già la metà di quanto Meta è stata multata nel 2022 per violazioni del GDPR europeo, e il 2023 è appena iniziato. La decisione finale su WhatsApp non è ancora stata presa.

Questo è un altro segno dell'approccio più severo dell'Europa nel gestire le violazioni della privacy in relazione al GDPR.

Inizialmente, il DPC voleva solo 28-36 milioni di euro, circa il 10% della sentenza finale. Tuttavia, l'EDPB europeo ha respinto il DPC e ha insistito su multe massicce per Meta, affermando che Meta ha intenzionalmente violato il GDPR e la privacy delle persone per il proprio profitto.

Max Schrems della ONG NOYB, che ha fatto causa a Meta per le sue violazioni della privacy, afferma:

"La sanzione andrà all'Irlanda, lo Stato che ha preso le parti di Meta e ha ritardato l'applicazione della normativa per più di quattro anni. Questo caso sarà probabilmente oggetto di appello da parte di Meta, con conseguenti ulteriori costi per Noyb".

Per saperne di più sulla lotta legale per la privacy in Europa, visitate la pagina web di NOYB.

Il modello di business di Meta - costringere gli utenti ad accettare il tracciamento attraverso le loro condizioni - è stato dichiarato illegale nell'UE. Facebook, Instagram e WhatsApp non possono più pubblicare annunci personalizzati senza il consenso attivo degli utenti.

Post originale

Decisione dei regolatori della privacy dell'UE

In una decisione di vasta portata, lunedì scorso, i regolatori della privacy dell'UE hanno dichiarato che Meta Platforms Inc. non deve costringere gli utenti ad accettare annunci personalizzati basati sulla loro attività online. La decisione potrebbe limitare enormemente i dati che Meta può utilizzare per vendere annunci pubblicitari mirati.

Secondo il Regolamento generale sulla protezione dei dati (GDPR), il semplice inserimento di un paragrafo nei termini di servizio, che gli utenti devono accettare, non è sufficiente. Tali termini non sono una giustificazione per raccogliere dati e pubblicare annunci mirati. Al contrario, le piattaforme Meta, Facebook, Instagram e WhatsApp devono offrire agli utenti una chiara scelta "sì e no", in cui gli utenti possono accettare attivamente di essere tracciati o rifiutare.

Il cosiddetto consenso forzato del gigante tecnologico per continuare a tracciare e indirizzare gli utenti elaborando i loro dati personali per costruire profili per la pubblicità comportamentale è stato aggiunto ai termini di Meta dopo la pubblicazione del GDPR nel 2018. Ora è stato dichiarato illegale dai guardiani della privacy dell'UE.

EU decision makes requiring tracking via terms illegal.

La decisione fa seguito alle denunce presentate dalla ONG europea per la privacy noyb non appena il GDPR è entrato in vigore nel maggio 2018. L'UE ha impiegato circa 4,5 anni per decidere finalmente sulla questione.

Il motivo di questo lungo processo è che la Commissione irlandese per la protezione dei dati (DPC) ha inizialmente dichiarato che i termini aggiornati di Meta soddisfano i requisiti del GDPR. L'Irlanda è il principale regolatore della privacy di Meta nel blocco perché è lì che ha sede la sede europea di Meta.

Meta ha spiegato che i suoi termini aggiornati si basano sul concetto di "necessità contrattuale" del GDPR. Il GDPR vieta principalmente alle aziende di obbligare gli utenti a fornire informazioni personali per utilizzare i loro servizi. L'unica eccezione è rappresentata dai casi in cui tali informazioni sono necessarie per l'esecuzione di un contratto: ad esempio, un'applicazione di car sharing deve conoscere la vostra posizione per potervi mostrare le auto vicine.

Meta si è affidata a questa disposizione contrattuale del GDPR, alla quale il regolatore della privacy irlandese ha inizialmente acconsentito.

Ma ora i regolatori della privacy dell'UE stanno rimandando la decisione al DPC, affermando che la "necessità contrattuale" non è soddisfatta da app come Facebook, Instagram e WhatsApp e che è obbligo del DPC far rispettare i diritti alla privacy dei cittadini europei.

Il DPC ha ora un mese di tempo per emettere una decisione finale, oltre a multe significative.

L'impatto

L'impatto della decisione dell'UE, secondo cui l'attuale pratica di tracciamento di Facebook è illegale, è enorme: colpisce direttamente il modello di business di Facebook. Attualmente, Facebook e Instagram traggono grande profitto dal fatto che le persone devono fornire loro i propri dati privati per utilizzare il servizio. A sua volta, Meta utilizza questi dati per creare profili e pubblicare annunci mirati, una miniera d'oro per il gigante della Silicon Valley.

Tuttavia, la decisione dell'UE limiterà l'accesso di Facebook a questa miniera d'oro e, quindi, avrà un impatto diretto sulle entrate.

Un segno di quanto questa decisione sia negativa per i profitti di Meta è la decisione presa lo scorso anno da Apple. Nel 2021, Apple ha imposto agli sviluppatori di app per iPhone di chiedere agli utenti se desiderano che il loro utilizzo sia tracciato. Non sorprende che molti utenti di iPhone abbiano rifiutato di essere tracciati e profilati.

Di conseguenza, le entrate di Meta nel 2021 si sono ridotte dell'8% solo perché gli utenti di iPhone non erano più disposti a condividere i loro dati privati con Facebook, Instagram e WhatsApp.

La riduzione del tracciamento online da parte di Facebook va a tutto vantaggio della privacy degli utenti e contemporaneamente danneggia le entrate di Meta. Per le Big Tech i dati delle persone valgono molto di più di quanto si pensi.

L'UE limita il tracciamento di Facebook

L'ultima decisione dell'UE è un altro segno del crescente interesse delle autorità europee a limitare il tracciamento basato sulla sorveglianza. Finalmente i cittadini e i politici si stanno rendendo conto dei pericoli della pubblicità comportamentale e i funzionari dell'UE stanno iniziando a regolamentarla in modo da proteggere la privacy delle persone.

Per aziende come Facebook, Google e Amazon, tuttavia, questo business vale miliardi di dollari ogni anno.

Scoprite qui come venite profilati online e come potete impedirlo.

Tuttavia, anche la California - dove ha sede la maggior parte delle aziende Big Tech - ha adottato una legge sulla privacy che consente agli utenti di rinunciare a quella che viene definita pubblicità comportamentale trasversale.

Forse la ragione di questa legislazione è che i californiani sanno meglio di chiunque altro quanto sia dannoso il tracciamento e la pubblicità comportamentale, dato che questo modello di business è nato lì.

Conseguenze per gli utenti

Purtroppo la decisione dell'UE non avrà conseguenze dirette per gli utenti, poiché può essere impugnata. Tale ricorso comporterebbe un lungo processo giudiziario.

Tuttavia, se confermata, questa decisione renderà molto più difficile per Facebook e altre piattaforme mostrare agli utenti annunci pubblicitari basati su ciò che cliccano, mettono "mi piace", condividono e guardano all'interno delle applicazioni di queste piattaforme.

Meta consente già agli utenti di scegliere di non personalizzare gli annunci basati su dati provenienti da altri siti web e app, ma non ha mai offerto una simile opzione per gli annunci basati su dati relativi all'attività degli utenti sulle proprie piattaforme.

Per Facebook - e per altre società di Big Tech - limitare l'accesso al tracciamento degli utenti sarebbe un duro colpo, dato che la creazione di un pubblico per gli annunci personalizzati costituisce la maggior parte delle entrate di queste società.

"Questa non è la decisione finale ed è troppo presto per fare speculazioni", ha dichiarato un portavoce di Meta al Wall Street Journal, aggiungendo che la legge dell'UE potrebbe consentire altre giustificazioni legali per il targeting dei suoi annunci. "Ci siamo impegnati pienamente con il DPC sulle loro richieste e continueremo a impegnarci con loro mentre finalizzano la loro decisione".

Tuttavia, il GDPR prevede multe salate per le violazioni più gravi, fino al 4% del fatturato annuo globale.

Crescita dell'applicazione della privacy

Sebbene il GDPR dell'UE sia entrato in vigore già nel maggio 2018, l'applicazione politica ha iniziato a crescere solo negli ultimi due mesi. Ormai molte grandi aziende tecnologiche sono state colpite da multe salate.

Il DPC irlandese ha multato Meta per oltre 900 milioni di dollari in altri quattro casi negli ultimi 15 mesi e attualmente ha in corso altre 10 indagini sull'azienda.

L'anno scorso la filiale irlandese di Meta ha stanziato quasi 3 miliardi di euro per le multe sulla privacy nell'UE, con un aumento di 1,97 miliardi di euro rispetto all'anno precedente, secondo i documenti aziendali irlandesi.

Comunque sia, finora sembra molto più redditizio per i giganti della Silicon Valley limitarsi a pagare le multe, invece di cambiare il proprio modello di business.

Questo significa che dobbiamo continuare a lottare per fermare il tracciamento basato sugli annunci. Iniziate subito aggiungendo un adblocker al vostro browser!