Articoli

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso

Avv. Vincenzo Colarocco

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso. È quanto disposto dal Tribunale di Bari accogliendo il ricorso di un uomo che chiedeva venissero rimosse le foto sue e dei suoi figli dal profilo Facebook della propria ex compagna.

La pubblicazione di una foto è subordinata alla manifestazione, esplicita o implicita, del consenso da parte della persona ritratta. E tale condizione “è prevista sia dalle disposizioni normative a tutela del diritto all’immagine (art. 10 c.c. et art. 96 legge 633/1941) sia da quelle a tutela del diritto alla riservatezza (art. 6 Regolamento UE 2016/679) poiché l’altrui pubblicazione di una propria immagine fotografica costituisce in ogni caso (e a prescindere dall’applicabilità o meno della normativa di tutela di riferimento) una forma di trattamento di un dato personale”.

Irrilevante la differenza tra negazione e cessazione del consenso. Nel caso di specie, il consenso del ricorrente risulta espressamente negato, o, comunque, ne risulta comunicata la cessazione.

Il giudice ha disposto anche una misura di coercizione indiretta dell’adempimento dell’obbligo a norma dell’articolo 614-bis del c.p.c., condannando la donna a corrispondere una somma per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione.

Tar Lazio: il dato personale tra diritto della personalità e nuovo bene “patrimoniale”

Avv. Flaviano Sanzari

Il Tar Lazio, con sentenza 260/2020, si pronuncia su un provvedimento sanzionatorio adottato dall’Autorità Garante della Concorrenza e del Mercato nei confronti di Facebook Inc. e Facebook Ireland Limited, in relazione a presunte pratiche commerciali scorrette in violazione del decreto legislativo n. 206 del 6 settembre 2005 (cd. “Codice del Consumo”).

Le censure del social network riguardavano innanzitutto la carenza di potere dell’Agcm, che avrebbe invaso un campo di esclusiva competenza dell’Autorità garante per la “privacy”, in quanto non sussisterebbe alcun corrispettivo patrimoniale e, quindi, un interesse economico dei consumatori da tutelare.

Il Tribunale Amministrativo, sul punto, ha affermato che a fronte della tutela del dato personale quale espressione di un diritto della personalità dell’individuo, e come tale soggetto a specifiche e non rinunciabili forme di protezione, quali il diritto di revoca del consenso, di accesso, rettifica, oblio, sussiste pure un diverso campo di protezione del dato stesso, inteso quale possibile oggetto di una compravendita, posta in essere sia tra gli operatori del mercato che tra questi e i soggetti interessati.

Il fenomeno della “patrimonializzazione” del dato personale, tipico delle nuove economie dei mercati digitali, impone agli operatori di rispettare, nelle relative transazioni commerciali, quegli obblighi di chiarezza, completezza e non ingannevolezza delle informazioni previsti dalla legislazione a protezione del consumatore, che deve essere reso edotto dello scambio di prestazioni che è sotteso alla adesione ad un contratto per la fruizione di un servizio, quale è quello di utilizzo di un “social network”.

Deve anche escludersi che l’omessa informazione dello sfruttamento ai fini commerciali dei dati dell’utenza sia una questione interamente disciplinata e sanzionata nel “Regolamento privacy”.

Non sussiste, nel caso di specie, alcuna incompatibilità o antinomia tra le previsioni del “Regolamento privacy” e quelle in materia di protezione del consumatore, in quanto le stesse si pongono in termini di complementarietà, imponendo, in relazione ai rispettivi fini di tutela, obblighi informativi specifici, in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole.

Definire su Facebook gli amministratori pubblici “imbroglioni” è diffamazione aggravata, non critica

Avv. Flaviano Sanzari

La Corte di Cassazione, con sentenza n. 628/2020, ha confermato la sentenza resa dalla Corte d’Appello di Messina, che aveva condannato per il reato di diffamazione aggravata un cittadino responsabile di aver pubblicato sulla bacheca pubblica del portale “Facebook” due messaggi offensivi della reputazione del vice-sindaco del proprio comune di residenza, suo avversario politico.

La Suprema Corte ha ritenuto non censurabili le conclusioni della Corte d’Appello nell’aver ritenuto che il contenuto dei messaggi “postati” dall’imputato rivelasse la volontà di muovere non tanto un’aspra critica all’operato degli amministratori comunali, bensì quella di accusarli di essersi appropriati di danaro pubblico, insinuando che gli stessi si fossero “intascati” risorse provenienti dal prelievo fiscale. In tal senso, la sentenza ha dunque escluso la stessa configurabilità dell’esimente di cui all’art. 51 c.p., sostanzialmente negando la sussistenza della veridicità del fatto posto alla base dell’invocato esercizio del diritto di critica.

Corte di Giustizia dell’Unione: Facebook e siti corresponsabili per il pulsante «mi piace»

Avv. Vincenzo Colarocco

Il 29 luglio 2019, la Corte di Giustizia dell’Unione Europea ha emesso una importante sentenza in materia di data protection.

Con tale pronuncia, la Corte ha stabilito che il gestore di un sito Internet che scelga di inserire il pulsante “Like” fornito dalla piattaforma Facebook per consentire all’utente di esprimere il proprio gradimento in relazione ai prodotti proposti, può essere ritenuto congiuntamente responsabile con il social network della raccolta e della trasmissione dei dati personali dei visitatori a tale piattaforma.

La Corte si è pronunciata sulla vicenda che ha coinvolto la Fashion ID, impresa tedesca di abbigliamento di moda online, e la Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori. L’associazione in questione ha rilevato come la Fashion ID avrebbe trasmesso a Facebook Ireland i dati personali dei visitatori del proprio sito web senza il loro consenso ed in violazione degli obblighi di informazione previsti dalle disposizioni sulla protezione dei dati personali.

La Verbraucherzentrale NRW ha quindi proposto dinanzi al Landgericht Düsseldorf (tribunale regionale di Düsseldorf, Germania) un’ingiunzione contro la Fashion ID per porre fine a tale pratica.

La questione è giunta fino alla Corte lussemburghese, stante la decisione del Tribunale regionale superiore di Düsseldorf di sospendere il procedimento e di sottoporre alla CGUE le seguenti questioni pregiudiziali:

  • se la legittimazione attiva[1] ad agire per far valere i diritti degli interessati coinvolti nel trattamento spetti anche alle associazioni di categoria, e dunque alla Verbraucherzentrale NRW, associazione tedesca di pubblica utilità per la tutela degli interessi dei consumatori che ha dato inizio alla vertenza;
  • in caso di soluzione negativa della prima questione, se possa considerarsi “titolare del trattamento” un soggetto che, inserendo nel proprio sito web un codice di programma che consente al browser dell’utente di trasmettere dati personali a terzi, non può avere alcuna influenza su tale trattamento di dati[2];
  • se, in simili ipotesi, possa essere preso in considerazione l’interesse all’inserimento di contenuti di terzi o nell’interesse di terzi;[3]
  • in tale scenario, quale sia il soggetto tenuto alla raccolta del consenso al trattamento dei dati, nonché obbligato a rendere l’informativa.[4]

Con riferimento alla prima questione sollevata, la Corte di Giustizia ha affermato che, gli artt. 22-24 e i par. 3 e 4 dell’art. 28 della direttiva 95/46 non ostano ad una normativa nazionale che consenta alle associazioni di consumatori di promuovere un’azione giudiziaria nei confronti del presunto autore della violazione della protezione dei dati personali. A fondamento di tale assunto viene posta una norma fondamentale del diritto dell’Unione, ossia l’art. 288, III comma del TFUE, il quale dispone che gli Stati membri sono tenuti, in sede di recepimento di una direttiva, a garantirne la piena efficacia disponendo, allo stesso tempo, di un ampio margine di discrezionalità quanto alla scelta delle modalità e dei mezzi per garantirne l’attuazione. Tale libertà lascia a ciascuno Stato membro la facoltà di adottare tutte le misure necessarie per garantire la piena efficacia della direttiva in questione, conformemente all’obiettivo che persegue. A tal proposito viene anche richiamato il decimo Considerando della direttiva 95/46, che stabilisce che il ravvicinamento delle legislazioni nazionali applicabili in questo settore non deve portare ad un indebolimento della protezione da esse fornita, ma deve, al contrario, mirare a garantire un elevato livello di protezione nell’Unione.

La linea sostenuta da Fashion ID e Facebook Ireland, quindi, non è accettata dalla Corte, la quale non ritiene che qualsiasi azione legale non espressamente prevista dalla direttiva sarebbe esclusa, ma che gli articoli 22, 23 e 28 della direttiva 95/46 lasciano agli Stati membri la facoltà di decidere in merito ai dettagli o di scegliere tra le opzioni, cosicché gli Stati membri hanno per molti aspetti un margine di manovra per il recepimento di detta direttiva.

Per quanto concerne, poi, la seconda questione pregiudiziale e come espressamente previsto dall’articolo 2, lettera d), della direttiva 95/46, la nozione di “titolare del trattamento” si riferisce all’organismo che, “da solo o insieme ad altri“, determina le finalità e gli strumenti del trattamento dei dati personali: non ci si riferisce necessariamente ad un unico organismo e può riguardare diversi soggetti coinvolti nel trattamento, ognuno dei quali è soggetto alle disposizioni applicabili in materia di protezione dei dati. Ciò detto, l’esistenza di una responsabilità congiunta non si traduce necessariamente in una responsabilità equivalente, per lo stesso trattamento dei dati personali, dei diversi attori. Al contrario, questi soggetti possono essere coinvolti in fasi diverse di questo trattamento e in misura diversa, cosicché il livello di responsabilità di ciascuno di essi deve essere valutato tenendo conto di tutte le circostanze pertinenti del caso. Ebbene, nel caso in esame, sembra che, nonostante l’impossibilità per Fashion ID di determinare le finalità e le modalità di successivi trattamenti di dati personali effettuati da Facebook Ireland dopo la loro trasmissione a quest’ultima, questa sia, invece, in grado di determinare il trasferimento del dato mediante l’apposizione del pulsante “mi piace” sulla pagina web dell’azienda Fashion ID, e tanto anche al fine di beneficiare della visibilità procurata dal social network.

L’ultima questione affrontata ha, come anticipato, a che vedere con l’individuazione del soggetto deputato alla raccolta del consenso per il trattamento dei dati, nonché obbligato a rendere l’informativa necessaria. Qualificato come “titolare del trattamento” il gestore di un sito web che inserisca in tale sito un “modulo social” che consente al browser del visitatore di tale sito web di richiedere contenuti al fornitore di tale modulo e di trasmettere a tale fornitore i dati personali di tale visitatore, questi assume gli obblighi imposti dalla direttiva per tale figura.

Ragion per cui, la raccolta del consenso e l’obbligo di rendere l’informativa inerente il trattamento dei dati gravano anche in capo a questo soggetto.

 

[1] Cfr. punto 42, n.1 della sentenza: “Se il regime previsto dagli artt. 22, 23 e 24 della direttiva [95/46] osti ad una normativa nazionale che, oltre ai poteri di intervento delle autorità preposte alla protezione dei dati e all’azione legale dell’interessato, conferisce, in caso di violazione, alle associazioni di pubblica utilità che difendono gli interessi dei consumatori il potere di agire contro l’autore di una violazione.”

[2] Cfr. punto 42, n.2 della sentenza: “Se, in un caso come quello di specie, in cui qualcuno inserisce nel suo sito web un codice di programma che consente al browser dell’utente di richiedere contenuti a terzi e di trasmettere a tal fine dati personali a terzi, la persona che rende l’inserimento “responsabile del trattamento” ai sensi dell’art. 2, lett. d), della direttiva [95/46], qualora non possa avere egli stesso alcuna influenza su tale trattamento di dati.”

[3] Cfr. punto 42, n.4 della sentenza: “In un contesto come quello del caso di specie, quale sia l'”interesse legittimo” da prendere in considerazione nella ponderazione da effettuare ai sensi dell’art. 7, lett. f), della direttiva [95/46]. È nell’interesse dell’inserimento di contenuti di terzi o nell’interesse di terzi?

[4] Cfr. punto 42, n.5 della sentenza: “In un contesto come quello del caso di specie, a chi deve essere dato il consenso di cui agli artt. 7, lett. a), e 2, lett. h), della direttiva [95/46]. Se l’obbligo di informare l’interessato ai sensi dell’art. 10 della direttiva [95/46] in una situazione come quella che si verifica nel caso di specie si applichi anche al gestore del sito che ha inserito il contenuto di un terzo ed è quindi all’origine del trattamento di dati personali da parte di un terzo”.

Il Caso Cambridge Analitica e L’ Ordinanza di Ingiunzione del Garante : Multa da 1 Milione di Euro per Facebook

Avv. Vincenzo  Colarocco

Il marzo scorso, nell’ambito del caso “Cambridge Analytica – società che attraverso un’applicazione per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016 -, il Garante per la protezione dei dati personali aveva contestato a Facebook una serie di violazioni afferenti la disciplina sul trattamento dei dati, precisamente la mancata adozione di una informativa, la mancata acquisizione del consenso e il  mancato idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti.

In tale circostanza Facebook manifestò la volontà di avvalersi della possibilità di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a 52.000 euro.

Tuttavia, le violazioni su informativa e consenso erano state commesse in riferimento ad una banca dati di particolare rilevanza e dimensioni, caso per il quale non si ammette la possibilità di concedere una tale riduzione della misura del pagamento.

Su tali premesse, con provvedimento n. 134 del 14 giugno 2019, il Garante ha disposto per Facebook un’ulteriore sanzione per gli illeciti compiuti.

Nel caso di specie, preso in esame dall’Autorità, è stato considerato che:

  1. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di particolare gravità avuto riguardo al meccanismo in base al quale il semplice accesso di 57 utenti all’applicazione “Thisisyourdigitallife” ha determinato la condivisione di dati personali di ben 214.077 utenti;
  2. circa la personalità degli autori della violazione, deve essere considerata la circostanza che le Società non risultano gravate da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
  • in merito alle condizioni economiche delle società, è stato preso in considerazione il bilancio d’esercizio per l’anno 2017 di Facebook Italy e le informazioni sul fatturato complessivo e sul patrimonio netto di Facebook Ireland.

Alla luce di siffatte valutazioni, il Garante per la protezione dei dati personali ha deciso di quantificare la sanzione in 1 milione di euro, assurgendo a criteri di quantificazione della misura sanzionatoria l’imponenza del database, oltre che le condizioni economiche di Facebook e il numero di utenti mondiali e italiani della società.

L’Avvocato Generale della Corte di Giustizia nel caso Facebook Ireland

Avv. Vincenzo Colarocco

Nel procedimento C-18/18, giunto innanzi alla Corte di Giustizia, al centro della controversia vi è un commento diffamatorio postato sul social network Facebook a seguito del quale la diffamata, Eva Glawischnig-Piesczek, ricorrente aveva ottenuto il blocco dei Dns (Domain Name System), blocco che ha consentito al contenuto di non essere più visibile ai cittadini austriaci.

Più nello specifico, un utente di Facebook aveva condiviso, sulla sua pagina personale, un articolo di una rivista di informazione austriaca online titolato «I Verdi: a favore del mantenimento di un reddito minimo per i rifugiati», commentandolo con un commento degradante nei confronti della signora Glawischnig-Piesczek, e tale contenuto risultava visibile a qualsiasi utente di Facebook.

All’indomani della diffusione di tale contenuto e della richiesta di cancellazione dello stesso da parte della diretta interessata, nell’inottemperanza di Facebook, la sig.ra Glawischnig-Piesczek domandava che venisse ordinato a Facebook di cessare la pubblicazione e/o diffusione identiche al commento contestato e/o dal «contenuto equivalente». Tuttavia, la rimozione del contenuto avveniva solo con riferimento al territorio austriaco.

L’Oberster Gerichtshof (Corte Suprema, Austria), accertata l’illiceità del contenuto pubblicato, chiamato a statuire sulla questione se il provvedimento inibitorio possa anche essere esteso, a livello mondiale, alle dichiarazioni testualmente identiche e/o dal contenuto equivalente di cui Facebook non è a conoscenza, ha chiesto alla Corte di giustizia di interpretare in tale contesto la direttiva sul commercio elettronico.

In data 4 giugno 2019 sono pervenute le conclusioni dell’Avvocato Generale, il quale ha ritenuto che la direttiva sul commercio elettronico non osti a che un host provider che gestisce una piattaforma di social network, quale Facebook, sia costretto, mediante un provvedimento ingiuntivo, a ricercare e ad individuare, tra tutte le informazioni diffuse dagli utenti di tale piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso tale provvedimento ingiuntivo.

Tale approccio consente di garantire un giusto equilibrio tra i diritti fondamentali coinvolti, ossia la protezione della vita privata e dei diritti della personalità, quella della libertà d’impresa, nonché quella della libertà d’espressione e d’informazione.

Ad avviso dell’avvocato generale, poiché la direttiva non disciplina la portata territoriale di un obbligo di rimozione delle informazioni diffuse tramite una piattaforma di social network, essa non osta a che un host provider sia costretto a rimuovere siffatte informazioni a livello mondiale.

 

Tali conclusioni non devono tuttavia indurre in errore e perciò sovrapporsi a quanto statuito dallo stesso Avvocato Szpunar relativamente al caso Google c. CNIL: in quell’occasione questi ha ritenuto necessaria una differenziazione a seconda del luogo a partire dal quale è effettuata la ricerca, sottolineando infatti che, sebbene per determinati ambiti – ad esempio in materia di diritto della concorrenza o di diritto dei marchi – sono ammessi in determinati casi effetti extraterritoriali, tale possibilità non sarebbe comparabile alla materia della protezione dei dati personali.

La differenziazione è obbligatoria tenuto conto che il concetto di deindicizzazione differisce da quello di cancellazione/rimozione, attività quest’ultima che presuppone l’accertata illiceità del contenuto. Nel primo caso, infatti, per contro, non ricorrendo aspetti diffamatori, ma solo l’obsolescenza del contenuto (veritiero), l’interesse pubblico all’informazione potrebbe giustificare la limitazione dell’applicazione extraterritoriale della normativa sulla riservatezza, così come ponderata in quell’occasione in sede di conclusioni dall’Avvocato Generale.

Facebook e il negoziato con la FTC per la nomina di un comitato di supervisione privacy

Avv. Vincenzo Colarocco

Nel contesto dell’indagine aperta dalla Federal Trade Commission (FTC) per il caso Cambridge Analytica sono in corso delle trattative tra Facebook e la sopra citata agenzia governativa americana per la negoziazione di un accordo che prevede una fortificazione delle privacy practices dell’azienda.

Tra gli aspetti oggetto di negoziazione sembrerebbe che Facebook per rafforzare la tutela dei dati dei propri utenti abbia accettato di creare un privacy committee da riunire trimestralmente, composto da membri del Consiglio di amministrazione di Facebook. Il negoziato in corso prevede, inoltre, la possibilità di designare un valutatore esterno -nominato congiuntamente da Facebook e dalla FTC- che rivesta il ruolo di soggetto in grado di analizzare la condotta dell’azienda relativamente agli ordini impartiti dalla FTC oltre che monitorare le politiche sulla privacy di Facebook. Si è prospettata, infine, la possibilità di nominare un responsabile della conformità, che potrebbe essere lo stesso Mark Zuckerberg.

Tutti gli impegni descritti e proposti in bozza di accordo, sono da inquadrare nell’ambito dell’istruttoria avviata dalla FTC per accendere un faro sul caso Cambridge Analytica, il quale ha profondamente segnato il rapporto tra Facebook e gli utenti facendo emergere con chiarezza la fondamentale importanza della protezione dei dati personali all’interno dei social media.

In relazione al caso –esploso nel marzo 2018- è in corso una valutazione (sulla più che plausibile) violazione di un accordo vincolante siglato nel 2011 con Facebook denominato consent decree secondo cui gli utenti devono sempre essere avvisati sull’eventuale uso dei propri dati personali che può avvenire solo con il loro consenso: si prevede quindi oltre che la previsione di una ingente sanzione, anche l’intesa su una nuova governance sulla privacy degli utenti.