Facebook è sotto accusa per aver “bypassato” il Gdpr
L'attivista austriaco Max Schrems continua la sua battaglia contro le condizioni contrattuali del social network. Nel mirino il consenso per la condivisione di dati con terze parti
Facebook è di nuovo sotto accusa per una violazione del Regolamento generale per la protezione dei dati personali dell’Unione europea (Gdpr). Max Schrems, che ha portato avanti due più grandi cause sul trattamento dei dati personali in Unione europea, i cosiddetti casi Schrems I e II, con la sua associazione per i diritti digitali Noyb ha fatto ricorso in appello contro Facebook per aver aggirato il Gdpr, dopo che una Corte regionale di Vienna si era espressa a favore del social network. Il caso, che sarà esaminato dalla Corte suprema austriaca, sarà sottoposto anche alla Corte di giustizia dell’Unione europea per ulteriori verifiche.
Il regolamento, approvato nel 2018, stabilisce, tra le altre cose, che l’utilizzo dei dati personali sia permesso solo tramite l’esplicito consenso degli utenti e che le richieste di consenso debbano essere chiare. Il ricorso tuttavia sostiene che Facebook starebbe aggirando questo obbligo inserendo il trattamento dei dati per le pubblicità personalizzate all’interno delle condizioni di servizio contrattuali, che gli utenti non possono rifiutare per poter accedere alla piattaforma.
Oltre all’esplicito consenso, il Gdpr prevede cinque situazioni in cui le aziende possano trattare i dati. Una di queste è che il trattamento sia “necessario per l’esecuzione di un contratto”. Così, il giorno dell’entrata in vigore del Gdpr, Facebook ha inserito gli annunci personalizzati all’interno dei suoi termini e condizioni contrattuali, sostenendo di avere il “dovere di fornire pubblicità personalizzata” agli utenti. In questo modo, per Schrems, la compagnia di Mark Zuckerberg ha evitato di chiedere il consenso del trattamento dei dati, forniti a terzi per la creazione degli annunci.
Secondo il Regolamento, gli utenti devono essere pienamente informati e avere libera scelta su ogni tipo di trattamento specifico dei propri dati. Inoltre gli utenti devono essere liberi di poter revocare il consenso in qualunque momento e senza costi. Questi diritti non valgono invece nel caso dei contratti che, in quanto sottoposti alle leggi nazionali, non hanno un’uniformità giuridica, non devono obbligatoriamente essere chiari e possono presentare dettagli nascosti.
Secondo l’eurodeputata olandese Sofie In’t Veld, che ha partecipato ai lavori del Gdpr, “l’obbligo di chiedere il consenso deve restare fermo. I termini contrattuali non possono essere utilizzati come una clausola di evasione di questo requisito, o per qualsiasi altra base giuridica che riguardi il trattamento dei dati. Il Gdpr è progettato per dare agli utenti il controllo sui propri dati. Non si deve permettere a Facebook di truffare gli utenti in questo modo”.
In un sondaggio affidato all’istituto Gallup, mille utenti austriaci sono stati interrogati sulla loro comprensione dei termini contrattuali di Facebook. Due terzi hanno interpretato la pagina in questione come una richiesta di consenso da parte di Facebook, solo il 10% come un contratto e solo 16 su 1000 hanno capito che comportava l’obbligo di cedere i propri dati personali per ricevere annunci personalizzati. Il social network si dichiara pienamente conforme al regolamento. La palla ora passa ai giudici.
