Le tecnologie di tracciamento di Meta violano il GDPR, dice il Garante Privacy austriaco

Le tecnologie di tracciamento di Meta violano il GDPR. È questa la conclusione¹ a cui è giunta l’autorità garante per la privacy austriaca tenendo conto di come attraverso il Facebook Login, i pixel di Meta, eccetera vengano sistematicamente raccolti dati personali degli utenti e trasferiti all’estero, verso paesi che non sempre sono in grado di garantire un grado di tutela conforme agli standard europei.

Perché il Garante austriaco ha ritenuto che le tecnologie di tracciamento di Meta violano il GDPR

Negli Stati Uniti, dove si trovano i data center di Meta, soprattutto forze dell’ordine e autorità giudiziarie hanno garantito in qualsiasi momento l’accesso ai dati personali anche dei cittadini esteri in possesso delle big tech e, com’è stato sottolineato più volte e da più soggetti, ciò rappresenta un rischio non indifferente in termini di cybersorveglianza. Ogni trasferimento di dati oltreoceano, inclusi quelli di dati ricavati dai sistemi di tracciamento pubblicitario o per il social login, andrebbe evitato così in mancanza di accordi ad hoc.

Restando agli Stati Uniti, dopo la dismissione del vecchio Privacy Shield, l’intesa su come rendere il trasbordo di dati personali più sicuro e conforme alle regole europee è ancora da trovare. Annunciato da tempo, il nuovo Data Privacy Framework deve ancora passare attraverso varie verifiche da parte degli organi europei e, se anche tutto andasse bene, potrebbe non entrare in funzione prima di luglio 2023.

La pronuncia dell’autorità per la protezione dei dati personali austriaca si inserisce, insomma, nel filone di quelle che nei mesi scorsi avevano già bollato Google Analytics, anche nella sua versione più aggiornata, non conforme al regolamento generale europeo sulla protezione dei dati.

Che un garante abbia esplicitato che le tecnologie di tracciamento di Meta violano il GDPR potrebbe avere un effetto decisamente più «rivoluzionario»², però, rispetto al semplice identificare come non pienamente rispettosa degli standard europei sulla protezione dei dati personali una suite per le web analytics. Se ne dichiara convinta NOYB, una delle principali non profit europee che si occupano di privacy.

Cosa succederà ora che un garante ha ritenuto i pixel e gli altri strumenti di tracciamento di Meta non conformi al GDPR

Formalmente il garante austriaco non ha vietato l’uso del Facebook login o dei pixel di Meta, esattamente come i diversi garanti europei che negli scorsi mesi si erano espressi su Google Analytics non ne avevano vietato l’utilizzo.

Al momento, nonostante siano previste dal GDPR, non sembrano essere state comminate neanche sanzioni al sito protagonista della pronuncia: un sito di news locali che, nel frattempo, avrebbe spontaneamente smesso di utilizzare³ però le tecnologie di tracciamento di Meta sulle proprie pagine.

L’approccio del Garante Privacy austriaco sembra qualcosa di più simile a una “spinta gentile”.

L’authority ha suggerito a chi voglia continuare a utilizzare le tecnologie di tracciamento di Meta di implementare misure supplementari per garantire un’adeguata tutela dei dati e delle informazioni personali dei propri utenti. Il nodo cruciale della vicenda sta proprio qui.

Come sottolineano dalla stessa NOYB, nel caso delle tecnologie di tracciamento di Meta ogni accorgimento in più, anche se tecnologicamente avanzato, rischia di rivelarsi superfluo. Semplificando, infatti, tramite i pixel di Meta o il Facebook login vengono raccolte numerose informazioni: da indirizzo IP e ID dell’utente alle caratteristiche del dispositivo, passando per i dati di navigazione.
Com’è esplicitato da termini e condizioni d’utilizzo degli strumenti Facebook Business, queste informazioni possono essere incrociate e scambiate con quelle, altrettanto numerose, presenti su Facebook. Quando ciò avviene ci si ritrova in possesso di dati che, poiché permettono l’individuazione dell’utente, sono da ritenere a tutti gli effetti dati personali, se non a certe condizioni dati particolari per come definiti dal GDPR.

Sarebbe allo stato attuale molto complicato e dispendioso, insomma, a detta di molti addetti ai lavori, usare le tecnologie di tracciamento di Meta in maniera davvero conforme alla normativa europea sulla privacy e sulla protezione dei dati personali e, in mancanza di un apposito accordo di interscambio, scongiurando in toto il rischio della sorveglianza digitale.

Per chi non vorrà rinunciare ai pixel di Meta e altri strumenti simili sarà indispensabile, dunque, effettuare un’adeguata valutazione del rischio.