EDPB pubblica decisione urgente vincolante su Meta

La giornata del 7 dicembre 2023 ha portato un’importante decisione a Bruxelles, emanata dall’EDPB (European Data Protection Board). Questo organo ha agito in risposta alla decisione vincolante urgente adottata il 27 ottobre 2023, richiesta dall’Autorità norvegese per la protezione dei dati (NO DPA) per l’adozione di misure finali applicabili in tutto lo Spazio Economico Europeo (EEA).

Il Presidente dell’EDPB, Anu Talus, ha dichiarato: “Dopo un attento esame, l’EDPB ha ritenuto necessario incaricare l’Autorità irlandese per la protezione dei dati (IE DPA) di imporre un divieto di trattamento dei dati personali, a livello di EEA, rivolto a Meta Ireland Limited (Meta IE)”. La decisione è stata presa considerando che già nel dicembre 2022 le Decisioni Vincolanti dell’EDPB avevano chiarito che il contratto non è una base legale adeguata per il trattamento dei dati personali effettuato da Meta a fini di pubblicità comportamentale. In aggiunta, l’IE DPA ha constatato la mancata conformità di Meta alle disposizioni imposte alla fine dell’anno scorso. Questo ha portato all’utilizzo della procedura di urgenza Art. 66 – una deroga dalla procedura usuale di cooperazione, che può essere utilizzata solo in circostanze eccezionali.

Il 14 luglio 2023, la NO DPA ha emesso un’ordinanza che imponeva un divieto temporaneo ai sensi dell’Art. 66 (1) GDPR su Meta IE e Facebook Norway AS (“Facebook Norway”) per il trattamento dei dati personali dei cittadini norvegesi a fini pubblicitari comportamentali basati sui presupposti legali del contratto o dell’interesse legittimo. Questo divieto era limitato nel tempo e nel contesto geografico: era valido per tre mesi e applicabile solo in Norvegia. Il 26 settembre 2023, la NO DPA ha presentato una richiesta all’EDPB per una decisione vincolante urgente per l’adozione di misure finali applicabili agli utenti in tutti gli stati dell’EEA.

Dopo un’attenta analisi della documentazione, l’EDPB ha concluso che sono in corso violazioni del GDPR e c’è un urgente bisogno di agire in considerazione dei rischi per i diritti e le libertà dei soggetti interessati.

Sulla base delle prove fornite, l’EDPB ha rilevato una violazione in corso dell’art. 6 (1) del GDPR a causa dell’uso inappropriato dei presupposti legali del contratto e dell’interesse legittimo per il trattamento dei dati personali raccolti da Meta IE a fini pubblicitari comportamentali.

In aggiunta, l’EDPB ha concluso che c’era anche una violazione in corso del dovere di Meta di conformarsi alle decisioni delle Autorità per la Protezione dei Dati (DPA), in particolare alle decisioni finali dell’IE DPA del dicembre 2022.

Per quanto riguarda l’esistenza dell’urgenza, l’EDPB ha stabilito che i meccanismi regolari di cooperazione non possono essere applicati nel loro solito modo e che vi è un urgente bisogno di adottare misure finali, data la presenza di rischi di gravi e irreparabili danni causati ai soggetti interessati senza l’adozione di tali misure.

Inoltre, l’EDPB ha rilevato che l’IE DPA non ha risposto a una richiesta di assistenza reciproca da parte della NO DPA entro il termine previsto dal GDPR. La presunzione di urgenza stabilita dall’Art. 61 (8) del GDPR si applica quindi, confermando ulteriormente la necessità di derogare dai regolari meccanismi di cooperazione e coerenza.

L’EDPB ha quindi deciso che dovevano essere adottate misure finali dall’IE DPA. Ha considerato appropriato, proporzionato e necessario incaricare l’IE DPA di imporre un divieto di trattamento indirizzato a Meta IE per il trattamento dei dati personali raccolti sui prodotti di Meta a fini pubblicitari comportamentali, basato su contratto e interesse legittimo.

Questa decisione urgente e vincolante è stata indirizzata all’IE DPA, alla NO DPA e alle altre DPA interessate, e l’IE DPA ha adottato la sua decisione finale il 10 novembre 2023.