Con provvedimento n.9788429 del 7 luglio 2022 il Garante per la protezione dei dati personali si è espresso in merito alla possibilità che un social network possa utilizzare il legittimo interesse proprio e dei suoi partner come base giuridica che legittimi l'attività di profilazione che intende effettuare sulla base delle informazioni che l'utente fornisce o delle informazioni che vengono raccolte automaticamente o da altre fonti.
(fonte https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9788429).
Vediamo la questione sottoposta all'attenzione del Garante.
I fatti dell'istruttoria
Un noto social network, modificando la propria policy sulla privacy, ha comunicato l'intenzione di avviare a partire dal 13 luglio un'attività di fornitura di pubblicità personalizzata agli utenti dai 18 anni in su, consistente nel mostrare a questi annunci personalizzati in base alle informazioni che l'utente fornisce o delle informazioni che vengono raccolte automaticamente o da altre fonti.
A fronte di tale prospettata modifica, l'Ufficio del Garante ha richiesto alla società che gestisce il social network in Italia di poter conoscere la base giuridica legittimante l'attività di profilazione, la valutazione di impatto preliminare, la valutazione del bilanciamento di interessi, nonché le misure adottate al fine di verificare la maggior età anagrafica dell'utente.
Nel corso dell'istruttoria la Società ha dichiarato che 1) i dati raccolti sono sia ricavati direttamente dalle azioni dell'utente sull'app, sia ricevuti da partner esterni sulla base dell'attività effettuata dall'utente al di fuori dell'app; 2) tali dati sarebbero raccolti sulla base del consenso degli interessati, ai sensi dell'art.6, par. 1, lettera a) GDPR e per i soli utenti di età superiore ai 18 anni la base giuridica sarebbe da ravvisare nei legittimi interessi perseguiti dal social network, dai suoi partner pubblicitari e dai suoi utenti; 3) la valutazione di impatto effettuata dimostrerebbe che il trattamento è chiaramente spiegato agli utenti e non recherebbe loro alcun danno, nonché gli utenti di età inferiore ai 18 anni sono esclusi dal trattamento e sarebbero stati adottati processi e procedure tecniche e umane per verificare l'età degli utenti.
Il provvedimento del Garante per la protezione dei dati personali
Dall'esame della policy sulla privacy del social network, il Garante ha rilevato le informazioni che il social intende utilizzare, sulla base del legittimo interesse sono costituite da informazioni raccolte automaticamente, quali informazioni sul dispositivo relative al modello del dispositivo, al sistema operativo, ai pattern o ai ritmi di digitazione, all'indirizzo IP e alla lingua del sistema, ai log delle prestazioni, alle informazioni tecniche (tra cui la scheda SIM e l'indirizzo IP), alla posizione del dispositivo, ai "cookie ecc.
Il Garante ha precisato che tutti questi dati possono essere acquisiti solo previo consenso dell'utente. E ciò sia sulla base dell'art.5, par. 3 della direttiva 2002/58/CE, che richiede il consenso per "l'archiviazione di informazioni, o l'accesso a informazioni già archiviate, nell'apparecchiatura terminale di un abbonato o utente" sia sulla base dell'art.122 del Nuovo Codice della privacy ai sensi del quale "1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate."
Il Garante ha, quindi, evidenziato che il legittimo interesse non può rappresentare una idonea base giuridica per il trattamento, ai fini dell'invio di pubblicità personalizzata, di tutti le "informazioni raccolte automaticamente". Infatti l'eventuale utilizzo della base giuridica del legittimo interesse richiede necessariamente una preliminare e documentata attività di ponderazione degli interessi in gioco. E ciò anche ai fini del rispetto del principio di responsabilizzazione del trattamento dei dati personali (accountability).
Inoltre il legittimo interesse del titolare del trattamento non può rendere lecita la profilazione se il trattamento riguarda dati raccolti automaticamente; e ciò in coerenza con il disposto di cui all'art.22, par. 1 GDPR a norma del quale "L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona."
Ne consegue che l'applicazione della base giuridica del legittimo interesse presuppone ineludibilmente la prevalenza in concreto dell'interesse legittimo stesso sui diritti, sulle libertà e sui meri interessi degli interessati.
Nel caso in esame il Garante ha ravvisato che 1) non è stato dichiarato quale sia l'interesse legittimo della società e dei suoi partner, 2) non è stata fornita copia della valutazione di impatto e della valutazione relativa al bilanciamento degli interessi e 3) l'attività di somministrazione di pubblicità commerciale "personalizzata" agli utenti maggiorenni, attraverso attività di profilazione dei loro comportamenti all'interno del social network si pone in contrasto con la normativa vigente.
Conseguentemente il Garante
- ha inviato alla società un avvertimento, ai sensi del combinato disposto di cui all'art.58, par. 2, lett. a), del Regolamento e all'art.154, comma 1, lett. f), del Codice della Privacy e
- si è riservato di intervenire con l'adozione di eventuali provvedimenti di urgenza qualora la società non ponga fine ai trattamenti annunciati.