Articoli

Facebook: l’antitrust rigetta l’eccezione di competenza in tema di privacy

Avv. Vincenzo Colarocco

L’Autorità Garante della Concorrenza e del Mercato (AGCM), con provvedimento del 29 novembre 2018, ha chiuso l’istruttoria per presunte violazioni degli articoli 21, 22, 24 e 25 del Codice del Consumo, avviata lo scorso aprile, nei confronti di Facebook Ireland Ltd. e della sua controllante Facebook Inc., irrogando alle stesse due sanzioni per complessivi 10 milioni di euro.

Secondo l’Antitrust, Facebook avrebbe posto in essere pratiche commerciali scorrette:

– inducendo ingannevolmente gli utenti a registrarsi sulla piattaforma social, dato che Facebook non fornirebbe, in fase di attivazione dell’account, informazioni adeguate ed immediate circa l’attività di raccolta dei dati che viene svolta a fini commerciali, e più in generale, non verrebbero messe in luce le finalità remunerative che in realtà risulterebbero essere alla base della fornitura del servizio di social network, enfatizzandone la sola gratuità e inducendo così gli utenti ad “assumere una decisione di natura commerciale che non avrebbero altrimenti preso” (registrazione al social network e permanenza nel medesimo);

– esercitando un “indebito condizionamento” nei confronti degli utenti/consumatori registrati, i quali subirebbero in modo inconsapevole ed automatico, cioè senza espresso e preventivo consenso, ma attraverso “l’applicazione di un meccanismo di preselezione del più ampio consenso alla condivisione di dati”, la trasmissione degli stessi da Facebook a siti web e/o app di terzi e viceversa, per finalità commerciali, ponendo in essere una pratica aggressiva.

Probabilmente quest’ultimo rappresenta uno dei punti più delicati della vicenda, in quanto potrebbe essere direttamente collegato a tutte le pratiche emerse dallo scandalo Cambridge Analytica in poi (clicca qui).

In considerazione dei rilevanti effetti di tali pratiche sui consumatori, l’Autorità ha altresì imposto a Facebook (ai sensi dell’art. 27, comma 8, del Codice del Consumo) l’obbligo di “pubblicare una dichiarazione rettificativa sul sito internet e sull’app per informare gli utenti consumatori”.

Risultano interessanti le argomentazioni dell’AGCM in merito al mancato accoglimento dell’eccezione sollevata da Facebook in relazione alla possibile incompetenza dell’Autorità stessa a trattare il caso, in ragione di possibili sovrapposizioni con le materie regolate dalla normativa sulla privacy. A tal proposito l’Autorità ha ritenuto che “non sussiste un conflitto tra le due discipline, integrandosi, piuttosto, le stesse in maniera complementare”.

Facebook di nuovo vittima degli hacker: violati 81 mila account

Avv. Vincenzo Colarocco

Dopo lo scandalo Cambridge Analytica e gli hacker che rubano le chiavi di 30 milioni di account, ancora una volta, lo scorso novembre, Facebook è vittima di un attacco hacker ed a farne le spese sono almeno 81 mila utenti i cui log di chat sono stati venduti a 10 centesimi l’uno.

In realtà, questa volta sembrerebbe che il social network non sia stato violato, ma siano stati compromessi i browser con i quali gli utenti accedono al Social utilizzando estensioni manomesse. È così, infatti, che milioni di messaggi privati degli utenti sono stati monitorati e salvati da “agenti ostili”. A rivelarlo è stata la stessa BBC dopo aver scoperto il forum dove i log di tutte queste chat sono stati messi in vendita.

In particolare, insieme con la società di sicurezza informatica Digital Shadows, la BBC ha indagato su un utente con il nickname “FBSaler”, il quale ha offerto in vendita alcune informazioni private ricavate da Messenger affermando: “Vendiamo informazioni personali degli utenti di Facebook. Il nostro database include 120 milioni di account”.

Ad oggi sembra che gli account violati appartengano per lo più ad utenti provenienti da Russia e Ucraina, ma alcuni anche dagli Stati Uniti, dal Regno Unito e altrove.

L’unico aspetto positivo di tutta la vicenda è che le informazioni in possesso degli hacker non sarebbero in nessun modo collegate né a quelle dello scandalo Cambridge Analytica di fine marzo 2018, né alle violazioni dello scorso settembre.
Per maggiori approfondimenti clicca qui.

E’ fatto divieto di cedere i dati degli utenti whatsapp a facebook

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali con il provvedimento 9058572 del 4 ottobre 2018 chiude un’inchiesta avviata nel 2016. In particolare, nell’agosto dello stesso anno Whatsapp modificava termini e informativa sulla privacy, predisponendo la disponibilità per Facebook di una serie di informazioni concernenti i singoli account degli utenti Whatsapp. Detto altrimenti, le due società, facenti parte come noto del medesimo gruppo (Whatsapp, Facebook, Instagram), avrebbero condiviso i dati degli utenti trattandone i dati per tre precipue finalità: 1) safety and security al fine di ricevere informazioni riguardanti account abusivi, pericolosi o illeciti; 2) business analytics al fine di de-duplicare gli account sulle varie applicazioni del gruppo individuandone gli utenti unici attivi su di esse; 3) pubblicitarie per promuovere prodotti e inserzioni pubblicitarie sul social network Facebook.

A seguito dell’istruttoria compiuta da una Task Force costituita dal Gruppo Articolo 29 (WP29) e delle osservazioni e valutazioni nel merito condotte dal Garante è emerso che il consenso degli utenti italiani ottenuto da Whatsapp deve ritenersi acquisito in violazione delle regole normative vigenti. In particolare, l’informativa non rispettava il principio di correttezza poiché non conteneva tutti gli elementi dell’art. 13 del GDPR: si trattava, infatti, di un comunicato troppo generico, non facilmente comprensibile, con finalità alquanto vaghe. Il consenso, per questo, non poteva ritenersi espresso, specifico e libero: Whatsapp chiedeva ai propri utenti di “accettare” le modifiche mediante un modello imperniato sull’opt-out (casella di spunta già “flaggata”), prospettando, in caso di mancata adesione, la sospensione del servizio, cosa che appariva decisamente sproporzionata. Del resto, non sussisteva una base giuridica diversa dal consenso, come il legittimo interesse, idonea a legittimare tali trattamenti.

Facebook è titolare del trattamento

In Irlanda del Nord, la Court of Appeal in Northern Ireland ha emanato una attesissima sentenza in materia di responsabilità di Facebook per l’abuso di informazioni riservate e ha ribaltato la decisione di primo grado, la quale stabiliva che il noto social network non fosse considerabile titolare del trattamento di dati personali. Invece, i giudici d’appello hanno affermato che Facebook Ireland deve essere ritenuta “data controller” ai sensi della sezione 5 del Data Protection Act 1998, rimanendo legittimata, tuttavia, ad invocare la sua qualità di hosting ai sensi della direttiva sul commercio elettronico contro la domanda di risarcimento del danno per violazione del medesimo Data Protection Act 1998. In questa decisione, la contraddizione tra l’affermazione di applicabilità della direttiva sul commercio elettronico da un lato e la disciplina britannica sui dati personali dall’altro (alla quale è sottoposta Facebook Irlanda) risulta evidente e la Corte d’Appello nordirlandese cerca di appianare tale contraddizione specificando che, nonostante la protezione dei dati sia esclusa dalla disciplina del commercio elettronico, le pagine Facebook e i relativi commenti invece ricadano sotto questa disciplina. Tuttavia, la Corte ha trascurato di affrontare la circostanza secondo cui agli utenti debba essere fornito un rimedio efficace per la tutela del loro diritto alla privacy, senza che tale strumento giuridico debba sussistere a seconda del meccanismo tecnico utilizzato per il trattamento dei dati.

Diffamazione attraverso Facebook

Avv. Alessandro La Rosa

Con sentenza dello scorso 29 gennaio (n. 3981/2016), la Cassazione penale ha assolto dal reato di diffamazione aggravata un utente del noto social network “Facebook” che aveva “postato” un commento ritenuto offensivo della reputazione di un collega. Secondo la Corte non integra il reato di diffamazione la condotta di chi mediante un post su un social network esprima, con frasi non offensive né ingiuriose, il suo apprezzamento e la sua condivisione con riferimento ad espressioni e critiche diffamatorie utilizzate in precedenza da altri, e condivise via internet.

I difensori dell’imputato denunciavano l’errata applicazione della legge penale in ordine all’attribuzione della portata offensiva del messaggio, ritenendo il contenuto del “post” di per sé inoffensivo: “spero solo di vivere abbastanza x godermi il giorno ke andrà in pensione e prenderlo a bastonate.

Particolare interesse rivestono le considerazioni relative alla portata lesiva della frase “postata”: nei tre gradi di giudizio vi é stata grande difformità d’interpretazione.

In particolare, secondo i giudici della Corte di Appello, sebbene il commento fosse di per sé inoffensivo, avrebbe mutuato la sua carica denigratoria dall’implicita adesione al contenuto dei “post” precedenti, caricati da altri utenti e realmente diffamatori, rappresentando così “una volontaria adesione e consapevole condivisione” delle espressioni offensive precedentemente pubblicate.

La Suprema Corte, recuperando parte delle argomentazioni del primo giudice, evidenzia invece l’illogicità della motivazione della Corte di Appello: se infatti, il reato di diffamazione circoscrive la condotta di colui che specificatamente “comunicando con più persone, offende l’altrui reputazione”, non può essere sanzionata una condotta di per sé inoffensiva, per il solo processo all’inverso della ricerca di un’indiretta, implicita e non provata, volontà adesiva a condotte realmente illecite tenute da terzi.

In questi termini, appare irrilevante che l’imputato condividesse o meno i presunti insulti che altri avrebbero pubblicato prima di lui, laddove, il commento susseguente, non necessariamente deve considerarsi quale atto di adesione integrale a quanto sopra scritto.

La decisione della Cassazione in esame conferma, dunque, un discrimine nell’individuazione della colpevolezza di chi si limita a condividere indirettamente le ostilità di terzi, senza tuttavia utilizzare espressioni dall’intrinseca portata offensiva. Sembra quindi prevalere l’orientamento (già condiviso in Cass. penale, Sezione V, 14 aprile 2015, n. 31669; Cass. penale, Sezione V, 9 marzo 2015, n. 18170) che attribuisce particolare importanza alla libertà di manifestazione del pensiero, così come alla tutela del diritto di critica e di cronaca.