L’Autorità garante norvegese limita temporaneamente il marketing comportamentale di Meta
L’Autorità norvegese (Datatilsynet) per la protezione dei dati ha adottato un provvedimento di limitazione temporanea del trattamento dei dati nei confronti di Meta relativamente alla personalizzazione della pubblicità basata sul monitoraggio e sulla profilazione degli utenti.
La decisione si applicherà a partire dal 4 agosto e sarà valida tre mesi o fino a quando Meta non dimostrerà di essersi conformata. Qualora la società non si adeguasse alla decisione, rischierebbe una sanzione pecuniaria per un valore che può arrivare fino a un milione di corone norvegesi al giorno (circa 90.000 euro).
L’ambito di applicazione territoriale del provvedimento concerne solo la Norvegia, benché si posizioni, in realtà, sulla scia di varie decisioni che hanno avuto ad oggetto il marketing comportamentale adottate sia dall’Autorità garante irlandese (Data Protection Commission – DPC) in qualità di leading Authority nel sistema europeo sia, recentemente, dalla Corte di Giustizia dell’Unione Europea (Sentenza 4 luglio 2023, C-252/21, Meta).
L’attività di marketing comportamentale si sostanzia nel raccogliere e utilizzare i dati personali degli utenti e nel profilarli in base a informazioni quali la loro posizione, il tipo di contenuti a cui mostrano interesse e ciò che pubblicano. I profili personali vengono poi utilizzati, appunto, per scopi di marketing comportamentale.
A seguito del provvedimento dell’Autorità norvegese e fino a quando non trovi un modo per trattare lecitamente i dati personali degli utenti per fini di marketing comportamentale, Meta potrà mostrare agli stessi pubblicità personalizzata esclusivamente sulla base delle informazioni presenti nei profili.
Poiché Meta ha sede a Dublino, di norma l’autorità di controllo competente è, come detto, quella irlandese. Tuttavia, sono previste delle eccezioni per i casi d’urgenza, nei quali le autorità nazionali possono intervenire direttamente. È quello che è accaduto nel caso in questione, in cui l’Autorità norvegese per la protezione dei dati è potuta intervenire direttamente dichiarandone l’urgenza.
Le condizioni che hanno condotto a ravvisare l’esistenza dell’urgenza sono state individuate proprio nei recenti provvedimenti della DPC e della Corte di Giustizia nei confronti di Meta, ai quali la società non si è ancora conformata. L’Autorità norvegese, pertanto, ha ritenuto necessario un intervento repentino per tutelare la privacy dei norvegesi.
Dopo l’estate, il caso potrebbe essere portato all’attenzione del Comitato europeo per la protezione dei dati (EDPB), che deciderà se prolungare la validità della decisione per ulteriori tre mesi.
