Il Garante sanziona Facebook per la mancanza di una corretta informativa circa i dati raccolti con finalità di profilazione psicologica degli utenti

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: provvedimento n. 134 del 14 giugno 2019

Fatto

Il Garante per la protezione dei dati personali aveva avviato un’istruttoria nei confronti di due Società, con sede in Irlanda e Italia, che gestiscono per gli Stati in cui hanno sede le funzioni di un importante social network, per una presunta violazione dei dati personali di 87 milioni di utenti del social network, trattati illecitamente allo scopo di effettuare una profilazione di carattere psicologico, al fine di veicolare mediante il social network una campagna pubblicitaria personalizzata con il presunto obiettivo di influenzare il voto nelle elezioni presidenziali statunitensi.

L’istruttoria avviata dal Garante aveva avuto come obiettivo quello di accertare se tra i dati personali raccolti dal social network, mediante una determinata applicazione, e trasmessi ad una società terza per finalità di profilazione psicologica degli utenti e successiva elaborazione di campagne promozionali altamente personalizzate, vi fossero anche quelli di utenti italiani, e se questi avevano o meno prestato un consapevole consenso a quel trattamento.

Ulteriore obiettivo dell’istruttoria era quello di accertare se, mediante prodotti e messaggi veicolati tramite il social network fosse stato possibile condividere dati personali di utenti italiani, anche riferibili agli orientamenti politici degli stessi, in occasione delle elezioni per il rinnovo delle Camere del 4 marzo 2018 e se tali condivisioni si fossero svolte legittimamente.

Al termine dell’istruttoria il Garante aveva ritenuto che il trattamento dei dati operato dal social network mediante la comunicazione dei dati degli utenti all’applicazione, presente sullo stesso social network, era da considerarsi illecito perché fondato su di un’informativa inidonea ed in assenza di un valido consenso.

In particolare il Garante aveva ritenuto che l’informativa fornita agli utenti al momento dell’iscrizione al social network, era da considerarsi onnicomprensiva, generica e di difficile ricostruzione, e che il consenso non potesse considerarsi espressamente, specificamente e liberamente espresso, in quanto al momento in cui gli utenti attivavano una determinata funzione non veniva lasciata alcuna alternativa rispetto al trasferimento integrale dei dati a suo tempo conferiti al social network.

Il Garante aveva, poi, appurato che oltre ai dati degli utenti che avevano scaricato l’applicazione, questa aveva acquisito dal social network anche i dati di 241.077 utenti italiani, che non avevano direttamente scaricato l’app. Tale acquisizione era avvenuta mediante la semplice “amicizia” con utenti che utilizzavano l’app. In base a questo meccanismo i dati di 241.077 era stati ceduti da soggetti terzi (gli “amici” che attivavano la funzione “login”) a piattaforme quali ad esempio l’applicazione di cui si parla. Anche in questo caso il Garante aveva ravvisato un difetto nel contenuto del consenso, in quanto l’informativa fornita agli utenti non poteva considerarsi idonea a consentire l’espressione di un consenso rispetto a trattamenti di tale tipo: in particolare, ha ritenuto il Garante che l’informativa risultava generica (tale da non prospettare soluzioni alternative al consenso) e inidonea ad informare in modo esaustivo l’utente dei possibili rischi derivanti dalla condivisione dei dati, quali ad esempio quelli relativi alle molteplici finalità per le quali, attraverso le app utilizzate dagli “amici”, essi potessero essere destinati.

In riferimento al possibile trattamento dei dati personali riferibili agli orientamenti politici degli utenti italiani, in occasione delle elezioni per il rinnovo delle Camere del 4 marzo 2018, il Garante nel suo provvedimento aveva ravvisato che il social network aveva trattato alcuni dati (quali l’essersi recati o meno alle urne, le eventuali dichiarazioni a favore del voto) rientranti nella categoria di dati sensibili, perché idonei a rivelare le opinioni politiche degli utenti, e lo aveva fatto in modo illecito.

 

Successivamente al provvedimento adottato dal Garante, la Società con sede in Irlanda aveva presentato alcune argomentazioni, le quali non sono state ritenute idonee a determinare l’archiviazione del procedimento sanzionatorio, che si è quindi concluso con un ulteriore provvedimento del Garante.

La decisione del Garante  

Entrando nel merito della decisione assunta dall’Autorità Garante, dobbiamo innanzitutto riferire che la stessa si sia in primo luogo espressa sull’eccezione avanzata dalla Società irlandese in ordine alla carenza di giurisdizione del Garante Italiano e l’inapplicabilità della legge italiana, rigettando totalmente l’eccezione.

Sul punto il Garante ha ribadito quanto già osservato in altri precedenti provvedimenti, secondo cui per individuare il diritto applicabile quando ci sono più operazioni svolte in diversi stati membri, tutte intese a servire un unico scopo, è decisiva la nozione di “contesto delle attività”, e non l’ubicazione dei dati. La nozione di “contesto di attività” non implica che la legge applicabile sia quella dello stato membro in cui è stabilito il responsabile del trattamento, ma quella del paese in cui uno stabilimento del responsabile del trattamento svolge attività correlate al trattamento dei dati”; pertanto il contesto delle attività non deve ritenersi ancorato a parametri formali, come la sede legale del titolare o l’ubicazione dei server contenenti i dati personali, ma a considerazioni legate all’effettiva attività svolta e ai soggetti verso la quale essa risulta indirizzata.

Nel caso di specie il Garante ha evidenziato come le attività, oggetto di valutazione, sono state inequivocabilmente indirizzate ad utenti italiani attraverso le sezioni riservate agli stessi per la fruizione dei servizi del social network, inducendolo in tal modo ad affermare una stretta correlazione fra il territorio italiano e il contesto delle operazioni di trattamento svolte, che hanno riguardato gli utenti italiani. Sulla scorta di questo convincimento il Garante ha confermato la corretta applicazione delle disposizioni del Codice.

In riferimento al merito della questione il Garante ha riscontrato, oltre alla carenza di informativa e acquisizione del consenso già rilevate nel Provvedimento precedente, un’ulteriore criticità, quella per cui solo agli utenti che accedevano all’applicazione veniva rilasciata un’informativa nella quale era illustrata la possibilità di impedire la condivisione di taluni dati personali, propri o di amici, e sempre soltanto ad essi era poi richiesta, dall’applicazione, l’autorizzazione a “accedere a certe specifiche categorie di dati dell’utente e degli amici dell’utente. A tutti gli altri utenti, non utilizzatori dell’app ma amici di chi la utilizzava, veniva fornita l’informativa generale resa dal social network all’atto dell’iscrizione, e non anche l’informativa in ordine alla comunicazione dei propri dati all’app, potendo esercitare solo forme di controllo riconducibili al regime di consenso dell’opt-out.

In virtù di quanto rilevato il Garante ha accertato nei confronti delle due società (con sede in Irlanda e in Italia) le violazioni delle disposizioni del Codice privacy in ordine all’informativa ed al consenso.

Volume consigliato

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento