Con decisione del 6/03/2023, l’Autorità Garante Austriaca (DSB) ha affermato che l’utilizzo dei tool di tracciamento Facebook Login e Meta Pixel, forniti dalla statunitense Meta, comporta il trasferimento di dati personali versi gli USA in violazione delle prescrizioni imposte dal GDPR per il trasferimento di dati extra-UE.
Il caso
La questione sottoposta al DSB risale al 12.08.2020, quando un soggetto aveva visitato il sito web di una società di media austriaca accedendo attraverso il proprio account Facebook.
Sul sito in questione erano stati implementati due strumenti di tracciamento offerti dal Gruppo Meta – Facebook Login e Meta Pixel – circostanza che, secondo il ricorrente, avrebbe comportato un illecito trasferimento di dati personali verso gli USA.
Meta Pixel e Facebook Login
Attraverso queste due tecnologie è possibile tracciare le attività degli utenti che visitano un determinato sito web, anche al fine di mostrare poi all’utente delle pubblicità personalizzate e selezionate in base alle attività registrate.
In particolare, Meta Pixel, consente al titolare del sito di registrare le azioni compiute dall’utente durante la permanenza sul sito, come tutti i pulsanti cliccati e le pagine visitate.
Facebook Login consente invece all’utente di accedere a servizi di terze parti usando il proprio account Facebook, senza necessità di creare un altro account. Questo strumento raccoglie diverse informazioni che rientrano nella definizione di dato personale, come l’indirizzo IP, l’user ID, la data e l’orario di accesso al sito, il paese dal quale si accede, il sistema operativo e il browser usato dal dispositivo, la lingua dei contenuti o la risoluzione dello schermo applicata sul dispositivo.
Stati Uniti e GDPR
Meta è un gruppo composto da diverse società controllate dalla capogruppo statunitense, Meta Platforms Inc.
Quindi, nella privacy policy applicabile anche ai visitatori del sito austriaco, si specificava che Meta Platforms Ireland Limited avrebbe agito quale responsabile del trattamento, con facoltà di nominare ulteriori sub-responsabili con sede al di fuori dell’UE per il trattamento dei dati, inclusa la capogruppo Meta Platforms Inc. Questo trasferimento extra-UE veniva giustificato in forza del c.d. “Privacy Shield”, ossia dell’accordo USA-UE che disciplinava il trasferimento di dati verso gli Stati Uniti e che, a seguito della sentenza della Corte di giustizia dell’Unione Europea del 16.07.2020 (c.d. Schrems II) è stato invalidato.
Infatti, la Corte UE ha da tempo evidenziato come le agenzie di intelligence americane possano accedere con facilità ai dati dei cittadini europei, mentre ai cittadini europei non è consentito ricorrere ad un’autorità garante della privacy per chiedere tutela in caso di violazione dei loro diritti.
Ad oggi, quindi, i trasferimenti di dati al di fuori dell’UE, in particolare negli USA, avvengono in mancanza di una decisione di adeguatezza dell’UE.
La decisione del DSB
Al termine di un’istruttoria durata diversi mesi, il Garante Austriaco ha confermato che l’uso degli strumenti di tracciamento di Meta comporta un trasferimento di dati personali verso gli Stati Uniti, realizzato in assenza di adeguate garanzie per la tutela dei diritti degli interessati europei, soprattutto a causa della legislazione statunitense in materia di privacy e di programmi di sorveglianza.
Nel caso specifico, non risulta che sia stata applicata una sanzione al titolare del sito web (che già aveva disabilitato i due strumenti di tracciamento nel corso dell’istruttoria), ma non si può escludere che questa decisione abbia un impatto rilevante su tutti i gestori di siti web europei.
Ilaria Feriti