Articoli

Il Caso Cambridge Analitica e L’ Ordinanza di Ingiunzione del Garante : Multa da 1 Milione di Euro per Facebook

Avv. Vincenzo  Colarocco

Il marzo scorso, nell’ambito del caso “Cambridge Analytica – società che attraverso un’applicazione per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016 -, il Garante per la protezione dei dati personali aveva contestato a Facebook una serie di violazioni afferenti la disciplina sul trattamento dei dati, precisamente la mancata adozione di una informativa, la mancata acquisizione del consenso e il  mancato idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti.

In tale circostanza Facebook manifestò la volontà di avvalersi della possibilità di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a 52.000 euro.

Tuttavia, le violazioni su informativa e consenso erano state commesse in riferimento ad una banca dati di particolare rilevanza e dimensioni, caso per il quale non si ammette la possibilità di concedere una tale riduzione della misura del pagamento.

Su tali premesse, con provvedimento n. 134 del 14 giugno 2019, il Garante ha disposto per Facebook un’ulteriore sanzione per gli illeciti compiuti.

Nel caso di specie, preso in esame dall’Autorità, è stato considerato che:

  1. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di particolare gravità avuto riguardo al meccanismo in base al quale il semplice accesso di 57 utenti all’applicazione “Thisisyourdigitallife” ha determinato la condivisione di dati personali di ben 214.077 utenti;
  2. circa la personalità degli autori della violazione, deve essere considerata la circostanza che le Società non risultano gravate da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
  • in merito alle condizioni economiche delle società, è stato preso in considerazione il bilancio d’esercizio per l’anno 2017 di Facebook Italy e le informazioni sul fatturato complessivo e sul patrimonio netto di Facebook Ireland.

Alla luce di siffatte valutazioni, il Garante per la protezione dei dati personali ha deciso di quantificare la sanzione in 1 milione di euro, assurgendo a criteri di quantificazione della misura sanzionatoria l’imponenza del database, oltre che le condizioni economiche di Facebook e il numero di utenti mondiali e italiani della società.

Facebook e il negoziato con la FTC per la nomina di un comitato di supervisione privacy

Avv. Vincenzo Colarocco

Nel contesto dell’indagine aperta dalla Federal Trade Commission (FTC) per il caso Cambridge Analytica sono in corso delle trattative tra Facebook e la sopra citata agenzia governativa americana per la negoziazione di un accordo che prevede una fortificazione delle privacy practices dell’azienda.

Tra gli aspetti oggetto di negoziazione sembrerebbe che Facebook per rafforzare la tutela dei dati dei propri utenti abbia accettato di creare un privacy committee da riunire trimestralmente, composto da membri del Consiglio di amministrazione di Facebook. Il negoziato in corso prevede, inoltre, la possibilità di designare un valutatore esterno -nominato congiuntamente da Facebook e dalla FTC- che rivesta il ruolo di soggetto in grado di analizzare la condotta dell’azienda relativamente agli ordini impartiti dalla FTC oltre che monitorare le politiche sulla privacy di Facebook. Si è prospettata, infine, la possibilità di nominare un responsabile della conformità, che potrebbe essere lo stesso Mark Zuckerberg.

Tutti gli impegni descritti e proposti in bozza di accordo, sono da inquadrare nell’ambito dell’istruttoria avviata dalla FTC per accendere un faro sul caso Cambridge Analytica, il quale ha profondamente segnato il rapporto tra Facebook e gli utenti facendo emergere con chiarezza la fondamentale importanza della protezione dei dati personali all’interno dei social media.

In relazione al caso –esploso nel marzo 2018- è in corso una valutazione (sulla più che plausibile) violazione di un accordo vincolante siglato nel 2011 con Facebook denominato consent decree secondo cui gli utenti devono sempre essere avvisati sull’eventuale uso dei propri dati personali che può avvenire solo con il loro consenso: si prevede quindi oltre che la previsione di una ingente sanzione, anche l’intesa su una nuova governance sulla privacy degli utenti.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.