Consent or pay: la Commissione UE sanziona Meta

È stata di recente pubblicata la decisione della Commissione Europea relativa alla non conformità del modello “Consent or pay” di Meta agli obblighi previsti per i gatekeepers dal Regolamento (UE) 2022/1925 (Digital markets act, “DMA”), i.e. articolo 5 (2).

Il modello “Consent or pay” di Meta richiede agli utenti di Facebook e Instagram di acconsentire alla combinazione dei loro dati personali per la pubblicità personalizzata o di pagare un abbonamento per accedere alle piattaforme senza pubblicità. In particolare, la Commissione ha stabilito che questo modello non è conforme al DMA in quanto Meta: non presenta ai suoi utenti finali una scelta specifica di un’alternativa meno personalizzata ma equivalente alla versione di questi servizi con pubblicità personalizzata non consente agli utenti finali di fornire un consenso valido secondo i requisiti del GDPR.   Quadro normativo di riferimento Il gatekeeper non: a) tratta, ai fini della fornitura di servizi pubblicitari online, i dati personali degli utenti finali che utilizzano servizi di terzi che si avvalgono di servizi di piattaforma di base del gatekeeper; b) combina dati personali provenienti dal pertinente servizio di piattaforma di base con dati personali provenienti da altri servizi di piattaforma di base o da eventuali ulteriori servizi forniti dal gatekeeper o con dati personali provenienti da servizi di terzi. Non è specificata la finalità della combinazione e quindi tale divieto si applica in relazione a qualsiasi finalità per la quale i dati sono utilizzati, ivi inclusa quella di mostrare pubblicità personalizzata agli utenti; c) utilizza in modo incrociato dati personali provenienti dal pertinente servizio di piattaforma di base in altri servizi forniti separatamente dal gatekeeper, compresi altri servizi di piattaforma di base, e viceversa. Anche questa disposizione non specifica alcuna finalità specifica per tale uso incrociato e pertanto si applica a prescindere dalla finalità, anche per mostrare pubblicità personalizzata agli utenti finali. I divieti di cui sopra non si applicano in presenza di due condizioni cumulative e quindi a meno che: sia stata presentata all’utente finale la scelta specifica; l’utente finale abbia dato il proprio consenso valido ai sensi dell’articolo 4, punto 11), e dell'articolo 7 del GDPR.   Sulla nozione di “scelta specifica” Tale nozione presuppone che l’utente possa scegliere tra due o più opzioni specifiche. Tuttavia, l’articolo 5(2) del DMA non indica espressamente quale debba essere l’oggetto di tale “scelta specifica” che è invece specificata dai considerando 36 e 37 nel seguente modo: di scegliere liberamente di seguire tali pratiche di trattamento dei dati, offrendo un’alternativa meno personalizzata ma equivalente al servizio, senza subordinare l’utilizzo del servizio di piattaforma di base o di talune sue funzionalità al consenso dell’utente finale; l’alternativa meno personalizzata non dovrebbe essere differente o di qualità inferiore rispetto al servizio fornito agli utenti finali che prestano il proprio consenso, a meno che il deterioramento della qualità non sia una conseguenza diretta del fatto che il gatekeeper non possa procedere al trattamento dei dati personali.   Sulla nozione di “valido consenso” L’articolo 5, paragrafo 2, del DMA fa riferimento all’articolo 4, punto (11), e all’articolo 7 del GDPR per definire il consenso che l’utente finale deve dare affinché il gatekeeper possa trattare, combinare o utilizzare in modo incrociato i suoi dati personali. Pertanto, a differenza della nozione di “scelta specifica” che è una nozione indipendente ai sensi del DMA, la nozione di “consenso” è ulteriormente specificata con riferimento al GDPR. Il consenso è valido se: dato liberamente, specifico, informato e non ambiguo; non deve essere condizionato all’accesso al servizio e gli utenti devono poter rifiutare o ritirare il consenso senza subire danni.   Violazioni Di seguito le principali osservazioni della Commissione rispetto alle due non conformità riscontrate. Mancanza di scelta specifica L’articolo 5(2) del DMA stabilisce che agli utenti finali deve essere offerta una scelta specifica che deve consistere nell’offrire agli utenti un’alternativa meno personalizzata ma equivalente che non si basi sulla combinazione dei dati personali. La Commissione rileva che l’opzione SNA (Social Network Advertising) proposta da Meta non è una alternativa equivalente all’opzione “With Ads”, che comporta la combinazione dei dati personali per la personalizzazione degli annunci. Infatti, la Commissione considera che l’opzione SNA sia significativamente diversa dall’opzione With Ads” per diversi motivi, tra cui il modello di accesso e il pagamento. Mentre l’opzione “With Ads” è gratuita, l’opzione SNA richiede un pagamento mensile, il che implica una differenza nelle condizioni di accesso ai servizi. Differenze nelle condizioni di accesso: la Commissione sottolinea che l’accesso all’opzione SNA richiede il pagamento di una quota mensile, mentre l’opzione “With Ads” è gratuita. La modalità di pagamento (che può comportare l’uso di carte di credito o sistemi di pagamento online) e la necessità di impegni economici ricorrenti rendono queste due opzioni non equivalenti. Inoltre, la Commissione osserva che gli utenti di social network sono abituati a utilizzare questi servizi gratuitamente, senza percepire il valore del servizio che ricevono. Pertanto, l’opzione SNA non appare attraente come alternativa a pagamento rispetto agli altri servizi digitali. Bassa adozione dell’opzione SNA: solo una percentuale molto bassa (<1%) degli utenti ha scelto l’opzione SNA dopo il lancio del modello “Consent or Pay”, il che conferma che questa opzione non rappresenta un’alternativa equivalente alla versione con annunci. La Commissione sostiene che Meta fosse consapevole che la maggior parte degli utenti avrebbe optato per l’opzione “With Ads” gratuita, confermato anche dalle stime interne di Meta prima del lancio.   Mancanza di consenso specifico La Commissione evidenzia come il consenso degli utenti non sia “liberamente dato”, come richiesto ai sensi del GDPR, per i seguenti motivi: Squilibrio di potere: esiste un chiaro squilibrio di potere tra Meta e gli utenti, poiché Meta, in qualità di gatekeeper e fornitore di servizi, ha un forte potere di influenzare la libertà di scelta degli utenti. Gli utenti non possono negoziare condizioni alternative rispetto alle due opzioni proposte: acconsentire alla raccolta dei dati per la pubblicità personalizzata o pagare un abbonamento mensile. Inoltre, poiché i servizi di Meta (come Facebook e Instagram) sono stati offerti gratuitamente per decenni, gli utenti si sono abituati a usufruirne senza alcun costo, il che rende difficile esercitare una scelta genuina riguardo al consenso per la pubblicità personalizzata. La Commissione ritiene che l’introduzione del modello “Consent or Pay” crei una situazione in cui gli utenti si sentono costretti a dare il consenso, altrimenti rischiano di subire un danno, come dover pagare o abbandonare i servizi. Condizione di “consenso libero”: il “consenso libero” non può essere considerato tale se l’utente non ha una vera e propria scelta. In questo caso, l’utente non può rifiutare il trattamento dei dati senza subire un danno, poiché sarebbe costretto a pagare una tariffa mensile o rinunciare all’uso dei servizi. L’effetto di lock-in e di network costruiti attorno ai servizi di Meta rendono praticamente impossibile per gli utenti prendere una decisione senza gravi conseguenze. La Commissione afferma che «l’introduzione di opzioni a pagamento, dopo anni di offerta gratuita, fa sì che il consenso degli utenti non possa essere considerato “libero”, in quanto è vincolato da una scelta illusoria».   Sanzione La Commissione ha comminato una sanzione di 200.000 euro per le non conformità sopra illustrate che hanno riguardato oltre 45 milioni di utenti attivi mensili nell’UE sia per Facebook che per Instagram. I fattori considerati per il calcolo della sanzione sono: gravità, durata, eventuale recidiva della violazione. La Commissione ha ritenuto: serio il livello di gravità della violazione, dato il numero significativo di utenti coinvolti e le dimensioni della società; medio il periodo di durata della violazione: otto mesi dal 7 marzo 2024 fino all’11; non rilevante fattore della recidiva, trattandosi della prima decisione contro Meta.   Ciò nonostante, la Commissione ha tenuto in debita considerazione le seguenti circostante attenuanti: novità del quadro normativo (i.e. DMA): trattasi della prima decisione di non conformità; complessità di conformità a più normative, ivi incluso il GDPR.   Misure correttive Ordine di cessare e desistere: Meta è tenuta a porre fine alla sua non conformità e a fornire spiegazioni su come intende conformarsi alla decisione entro 60 giorni dalla decisione. Pagamenti di penalità di mora periodiche: se Meta non si adegua entro i termini stabiliti, dovrà pagare penalità periodiche il cui importo non superi il 5 % del fatturato medio giornaliero realizzato a livello mondiale durante l’esercizio finanziario precedente per ogni giorno di ritardo a decorrere dalla data fissata nella decisione.   Conclusioni Alla luce di quanto sopra, Meta dovrà garantire un’alternativa meno personalizzata ma equivalente all’opzione “With Ads”, che: sia presentata in modo neutrale e con flussi di scelta che devono consentire agli utenti finali di scegliere liberamente di aderire a tale alternativa; per quanto riguarda la quantità di dati personali utilizzati) in termini di, ad esempio, prestazioni, esperienza e condizioni di accesso, e pertanto non dovrebbe essere fornita a pagamento fintanto che il servizio per gli utenti consenzienti non è fornito a pagamento.   Si evidenzia che la conformità della nuova opzione di Meta “Additional Ads” non è stata presa in considerazione nella presenta decisione e la Commissione si riserva di valutarla in futuro.   non comporti trattamento di dati personali sia equivalente al servizio per gli utenti che prestano il consenso (tranne per quanto riguarda la quantità di dati personali utilizzati) in termini di, ad esempio, prestazioni, esperienza e condizioni di accesso, e pertanto non dovrebbe essere fornita a pagamento fintanto che il servizio per gli utenti consenzienti non è fornito a pagamento.   Si evidenzia che la conformità della nuova opzione di Meta “Additional Ads” non è stata presa in considerazione nella presenta decisione e la Commissione si riserva di valutarla in futuro.