Tool di tracciamento di Meta: il Garante austriaco sanziona un sito web per l’uso dei tool di tracciamento di Facebook.
di Dott. Alessandro Mammoli
Tool di tracciamento di Meta: il ricorso di un utente
Nel 2020 un cittadino austriaco ha visitato il sito web di una società giornalistica nazionale mentre era loggato col proprio account Facebook personale. Al tempo, la società di media utilizzava il tool Facebook Login che ha lo scopo di facilitare l’accesso ai servizi non offerti da Meta senza dover creare servizi aggiuntivi. Sullo stesso sito web la società utilizzava anche Facebook Pixel per tracciare le attività dei visitatori sul sito web in oggetto.
Durante la visita al sito web, l’utente si è reso conto di essere tracciato da questi strumenti e ha deciso di presentare reclamo contro tale trattamento dei dati. Il reclamo dell’interessato, rappresentato da NOYB (ne parlo in fondo all’articolo), specificava come il semplice accesso al sito web avesse attivato un trasferimento dati, a sua detta illegale, verso gli Stati Uniti.
Il Garante austriaco avvia l’istruttoria
Il Garante austriaco, ricevuto il reclamo, ha avviato l’istruttoria. Istruttoria che è durata diversi mesi, un lungo lasso di tempo durante il quale il titolare del sito web ha rimosso i tool di tracciamento Facebook incriminati. In sua difesa, il titolare ha anche specificato come l’unica terza parte vincolata da contratto fosse Meta Platforms Ireland Limited. Di conseguenza, successivi trasferimenti dati, anche extra UE, non sarebbero rientrati nella sua sfera di competenze in quanto responsabile del trattamento.
L’interessato ha però fatto notare come la disattivazione dei tool di tracciamento Meta fosse postuma rispetto alla presentazione del reclamo e quindi avvenuta dopo che la violazione già era occorsa.
Secondo l’Autorità austriaca però Meta non ha violato gli art.44 e seguenti del GDPR poiché, nel fatto in esame, ha avuto il ruolo di mero importatore di dati. Di conseguenza il trattamento non ricade nell’ambito di applicazione del Capitolo V del GDPR. Infatti Meta, nell’ambito del trasferimento, non ha diffuso dati ma li ha solo ricevuti.
Non solo: ai sensi dell’art 5, paragrafo 2 (“Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»” N.d.r) Meta non può ritenersi responsabile perchè quell’obbligo giace in capo al titolare del trattamento. Da questo punto di vista, l’autorità austriaca non ha approfondito la qualifica soggettiva di Meta, ritenendo di non disporre di sufficienti elementi per qualificarla come responsabile del trattamento.
La decisione del Garante austriaco: i tool di tracciamento Meta sono illegali
Il Garante austriaco ha invece accolto il reclamo nei confronti del titolare del trattamento, ovvero la redazione giornalistica proprietaria del sito web. In primo luogo, il semplice fatto che la società abbia disattivato i tool di tracciamento dopo il reclamo non annulla la violazione dell’art 44 GDPR, dato che il fatto è già avvenuto.
L’autorità austriaca ha anche delimitato la portata dell’eccezione giornalistica, prevista dalla legge austriaca in accordo con l’art. 85 GDPR. I dati personali possono essere trattati a scopi giornalistici se il trattamento ha il solo scopo di diffondere informazioni, opinioni o idee al pubblico. In questo caso, però, il titolare del trattamento non può appellarsi all’eccezione giornalistica dato che i dati raccolti dai tool di tracciamento Meta sono usati per tracciare gli utenti e facilitare la procedura di accesso al sito web. Inoltre, una volta trasferiti a Meta Ireland, questi dati possono essere trattati anche per scopi ulteriori. Chiaro quindi come lo scopo giornalistico non sia in questo caso applicabile.
Il trasferimento dati negli USA
Inoltre il Garante austriaco ha verificato se il sito web operasse, tramite questi tool, un trasferimento dati negli USA. E si, il trasferimento di dati personali negli USA c’è stato. Dati personali sufficienti a consentire a Meta Platforma Ireland Limited di collegare i dati trasferiti dal sito web ai dati del profilo Facebook dell’interessato. Ma, come ha ribadito il garante austriaco, non c’era alcuna necessità che il sito web raccogliesse informazioni utili a identificare l’interessato.
Non solo: il Garante ha respinto l’argomentazione difensiva secondo cui, dopo il trasferimento a Meta, il responsabile del trattamento non avrebbe più controllo su ulteriori trattamenti dati. Il motivo è che la società ha accettato che Meta Platform Ireland Limited potesse avvalersi di un sub-responsabile al di fuori dell’UE (Meta Platform Inc, sede in USA).
Infine, il garante non ha trovato alcuna valida base legale a legittimare questo trasferimento dati negli USA.
In conclusione…
Alla luce di quanto riscontrato quindi il garante austriaco non ha ritenuto responsabile Meta di alcuna violazione del Regolamento. Violazione invece accertata nella condotta del responsabile del trattamento, ovvero la società editrice gestrice del sito web oggetto di reclamo. Come già accaduto per Google Analytics quindi, anche strumenti di tracciamento come Facebook Pixel e Facebook Login sono dichiarati non conformi al GDPR. Chi li utilizza può essere soggetto a sanzione, non necessariamente solo di natura economica: può ad esempio subire ingiunzione da parte delle autorità garanti a cessare l’uso di tool simili.
Per approfondire > Garante austriaco: i siti web che usano Google Analytics violano la privacy
In ogni caso non sono state comminate sanzioni.
NOYB e la campagna dei 101 reclami
Questa decisione del Garante austriaco discende dalla campagna dei “101 reclami”. Si tratta di una raccolta di denunce presentate dalle persone interessate riguardo a violazioni della privacy da parte di varie aziende che operano in Europa.
La campagna è stata promossa da NOYB, un’organizzazione senza scopo di lucro che si occupa di tutelare i diritti degli utenti di internet in materia di privacy e protezione dei dati. Nel corso degli anni, NOYB ha lavorato per promuovere la consapevolezza sulle questioni legate alla privacy online, sensibilizzare l’opinione pubblica e influenzare le politiche pubbliche in questo ambito.
Nel 2020, l’Associazione ha ottenuto una vittoria storica nella causa legale contro il “Privacy Shield”, l’accordo che regolava il trasferimento di dati personali tra l’Europa e gli Stati Uniti. Grazie alla denuncia presentata da Nyob, la Corte di giustizia dell’Unione Europea ha dichiarato l’accordo “illegittimo” per la mancanza di garanzie sufficienti sulla protezione dei dati personali degli utenti europei.
Per saperne di più > Privacy Shield: l’UE annulla l’accordo per il trasferimento dei dati personali negli USA
Vuoi verificare se il tuo sito web è conforme alla normativa vigente? Ti serve un esperto che verifichi o produca per te la documentazione privacy? Contattaci, ti aiuteremo noi!