Il 14 settembre 2022 il Garante per la privacy sudcoreano ha irrogato una sanzione record alle società Google e Meta per violazione delle norme in tema di tutela dei dati personali degli utenti sudcoreani, i quali non hanno ricevuto comunicazioni sufficienti sulla raccolta e l’utilizzo delle informazioni relative alla propria attività online impiegati a fini di pubblicità personalizzata. I behavioural data consentono alle società di analizzare la navigazione dell’utente per identificarne gli interessi e poter successivamente applicare strategie di marketing mirate. La decisione assunta dal Garante costituisce un importante precedente per definire lo standard di tutela della privacy richiesto alle Big Tech nella fornitura di servizi per gli utenti sudcoreani.
Il Garante per la protezione dei dati personali sudcoreano, la Personal Information Protection Commission (PIPC), come esplicato in un comunicato stampa del 14 settembre 2022, ha sanzionato Google LCC e Meta Platforms, Inc., il fornitore di servizi di Facebook e Instagram, per un totale di 100 miliardi di won sudcoreani (circa 72 mila euro), a seguito della violazione della legge sulla protezione dei dati personali, il Personal Information Protection Act (PIPA), riscontrata in relazione alla raccolta e all’utilizzo dei dati comportamentali degli utenti, ottenuti omettendo la richiesta del consenso al trattamento dei dati, per l’elaborazione di annunci pubblicitari mirati. Di conseguenza, più del 98 per cento degli utenti locali dei servizi Meta e l’82 per cento degli utenti di Google hanno permesso alle società di accedere alle proprie informazioni personali, nella maggior parte dei casi senza esserne a conoscenza.
Il PIPC ha imposto una sanzione di 69,2 miliardi di won a Google per aver omesso nel corso di sei anni di informare in modo chiaro gli utenti in fase di registrazione al servizio che i loro dati comportamentali sarebbero stati raccolti e trattati per pubblicità mirate. Google è stata multata per aver impostato come scelta predefinita il consenso al trattamento dei dati: nascondendo la possibilità di negarlo dalla schermata principale delle impostazioni, l’unica soluzione a disposizione dell’utente per impedire il tracciamento dei dati risiedeva nel tasto «più opzioni».
Analogamente, il PIPC ha imposto una sanzione di 30,8 miliardi di won a Meta per aver omesso nel corso di quattro anni di notificare all’utente in modo facilmente visibile di aver ottenuto il consenso al trattamento dei dati e di non aver richiesto il loro consenso effettivo per la raccolta e uso di dati comportamentali durante il processo di registrazione a Facebook e Instagram. Meta avrebbe celato rilevanti informazioni in tema di tutela dei consumatori tra le pieghe dell’informativa sulla privacy estesa, raramente consultata dagli utenti, omettendo di riportare un’informativa completa sulle schermate a questi immediatamente visibili (sul tema delle privacy policies, si veda qui).
Il PIPC ha deciso di rivelare pubblicamente gli ordini correttivi imposti alle società e ha anche ordinato a entrambe di implementare un processo «facile e chiaro» per ottenere il consenso al trattamento dei dati, che conferisca agli utenti un maggiore controllo sulla condivisione delle informazioni relative alla propria attività online.
La decisione assunta dal Garante per la privacy sudcoreano rappresenta il primo caso in Corea del Sud di sanzioni imposte ai gestori di piattaforme online per la raccolta e l’uso illecito dei dati comportamentali degli utenti a fini di pubblicità mirata. Il PIPC ha così definito la controversia sorta in ordine ai requisiti legali del trattamento dei dati per gli annunci personalizzati, stabilendo un precedente su cui il Garante parametrerà le proprie sanzioni in caso di future inosservanze del PIPA. Le ammende inflitte a Google e Meta sono le più elevate mai imposte per le violazioni delle norme sulla protezione dei dati personali e precludono a maggiori conseguenze sanzionatorie per società che non conformino il proprio trattamento dei dati allo standard di tutela imposto dal PIPA. Il record precedente era la sanzione di 6,7 miliardi di won irrogata dal PIPC a Facebook nel novembre 2020 per aver condiviso le informazioni personali di oltre 3,3 milioni di utenti sudcoreani a società terze senza aver previamente ottenuto il consenso al trattamento dei dati da maggio 2012 a giugno 2018.
Il PIPC ha avviato l’inchiesta sui casi di violazione della legge sulla privacy da parte dei principali servizi di pubblicità online nel febbraio dello scorso anno. Nel mese di maggio 2022, Meta ha iniziato a chiedere agli utenti sudcoreani di accettare l’informativa sulla privacy aggiornata entro l’8 agosto o avrebbero perso l’accesso ai propri account Facebook e Instagram, ma, a seguito delle reazioni degli utenti locali, il piano di sospensione è stato ritirato il 28 giugno. Il PIPC intende proseguire l’indagine nei confronti di Meta per altre possibili violazioni del PIPA connesse al precedente tentativo, seppur ritirato, di limitare la fornitura di servizi agli utenti che non hanno prestato il consenso alla raccolta e all’uso di dati comportamentali. Vi è dunque la possibilità che Meta possa trovarsi di fronte a ulteriori sanzioni relative, tra l’altro, alla mancata distinzione tra consenso obbligatoriamente prestato per il trattamento di dati personali, in quanto necessario alla fornitura del servizio, e consenso che è invece qualificato come facoltativo.
Si tratta della seconda sanzione di elevato importo irrogata a Google in meno di un anno, dopo che la sentenza del Tribunale dell’Unione europea del 10 novembre 2021 ha rigettato il ricorso presentato dalla Big Tech statunitense avverso la sanzione di 2,4 miliardi di euro comminata nel 2017 dalla Commissione europea per violazione della disciplina antitrust stabilita dall’Unione (ne abbiamo parlato qui). Il Garante francese per la protezione dei dati (CNIL) con deliberazione del 21 gennaio 2019, ha emesso la sua prima sanzione di 50 milioni di euro, in quanto Google, nella procedura di creazione di un nuovo profilo Android, aveva negato agli utenti adeguata informativa su finalità e modalità di conservazione delle proprie informazioni personali e la possibilità di non acconsentire al trattamento dei dati.
Per quanto attiene a Meta, la società è stata recentemente multata dal Garante per la protezione dei dati personali irlandese a seguito della violazione del GDPR riscontrata in relazione al trattamento dei dati personali di utenti minorenni di Instagram, rendendo la prima decisione a livello europeo sui diritti dei minori in materia (ne abbiamo parlato qui).
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale