Articoli

Il Caso Cambridge Analitica e L’ Ordinanza di Ingiunzione del Garante : Multa da 1 Milione di Euro per Facebook

Avv. Vincenzo  Colarocco

Il marzo scorso, nell’ambito del caso “Cambridge Analytica – società che attraverso un’applicazione per test psicologici aveva avuto accesso ai dati di 87 milioni di utenti e li aveva usati per tentare di influenzare le presidenziali americane del 2016 -, il Garante per la protezione dei dati personali aveva contestato a Facebook una serie di violazioni afferenti la disciplina sul trattamento dei dati, precisamente la mancata adozione di una informativa, la mancata acquisizione del consenso e il  mancato idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti.

In tale circostanza Facebook manifestò la volontà di avvalersi della possibilità di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a 52.000 euro.

Tuttavia, le violazioni su informativa e consenso erano state commesse in riferimento ad una banca dati di particolare rilevanza e dimensioni, caso per il quale non si ammette la possibilità di concedere una tale riduzione della misura del pagamento.

Su tali premesse, con provvedimento n. 134 del 14 giugno 2019, il Garante ha disposto per Facebook un’ulteriore sanzione per gli illeciti compiuti.

Nel caso di specie, preso in esame dall’Autorità, è stato considerato che:

  1. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di particolare gravità avuto riguardo al meccanismo in base al quale il semplice accesso di 57 utenti all’applicazione “Thisisyourdigitallife” ha determinato la condivisione di dati personali di ben 214.077 utenti;
  2. circa la personalità degli autori della violazione, deve essere considerata la circostanza che le Società non risultano gravate da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;
  • in merito alle condizioni economiche delle società, è stato preso in considerazione il bilancio d’esercizio per l’anno 2017 di Facebook Italy e le informazioni sul fatturato complessivo e sul patrimonio netto di Facebook Ireland.

Alla luce di siffatte valutazioni, il Garante per la protezione dei dati personali ha deciso di quantificare la sanzione in 1 milione di euro, assurgendo a criteri di quantificazione della misura sanzionatoria l’imponenza del database, oltre che le condizioni economiche di Facebook e il numero di utenti mondiali e italiani della società.

L’Avvocato Generale della Corte di Giustizia nel caso Facebook Ireland

Avv. Vincenzo Colarocco

Nel procedimento C-18/18, giunto innanzi alla Corte di Giustizia, al centro della controversia vi è un commento diffamatorio postato sul social network Facebook a seguito del quale la diffamata, Eva Glawischnig-Piesczek, ricorrente aveva ottenuto il blocco dei Dns (Domain Name System), blocco che ha consentito al contenuto di non essere più visibile ai cittadini austriaci.

Più nello specifico, un utente di Facebook aveva condiviso, sulla sua pagina personale, un articolo di una rivista di informazione austriaca online titolato «I Verdi: a favore del mantenimento di un reddito minimo per i rifugiati», commentandolo con un commento degradante nei confronti della signora Glawischnig-Piesczek, e tale contenuto risultava visibile a qualsiasi utente di Facebook.

All’indomani della diffusione di tale contenuto e della richiesta di cancellazione dello stesso da parte della diretta interessata, nell’inottemperanza di Facebook, la sig.ra Glawischnig-Piesczek domandava che venisse ordinato a Facebook di cessare la pubblicazione e/o diffusione identiche al commento contestato e/o dal «contenuto equivalente». Tuttavia, la rimozione del contenuto avveniva solo con riferimento al territorio austriaco.

L’Oberster Gerichtshof (Corte Suprema, Austria), accertata l’illiceità del contenuto pubblicato, chiamato a statuire sulla questione se il provvedimento inibitorio possa anche essere esteso, a livello mondiale, alle dichiarazioni testualmente identiche e/o dal contenuto equivalente di cui Facebook non è a conoscenza, ha chiesto alla Corte di giustizia di interpretare in tale contesto la direttiva sul commercio elettronico.

In data 4 giugno 2019 sono pervenute le conclusioni dell’Avvocato Generale, il quale ha ritenuto che la direttiva sul commercio elettronico non osti a che un host provider che gestisce una piattaforma di social network, quale Facebook, sia costretto, mediante un provvedimento ingiuntivo, a ricercare e ad individuare, tra tutte le informazioni diffuse dagli utenti di tale piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso tale provvedimento ingiuntivo.

Tale approccio consente di garantire un giusto equilibrio tra i diritti fondamentali coinvolti, ossia la protezione della vita privata e dei diritti della personalità, quella della libertà d’impresa, nonché quella della libertà d’espressione e d’informazione.

Ad avviso dell’avvocato generale, poiché la direttiva non disciplina la portata territoriale di un obbligo di rimozione delle informazioni diffuse tramite una piattaforma di social network, essa non osta a che un host provider sia costretto a rimuovere siffatte informazioni a livello mondiale.

 

Tali conclusioni non devono tuttavia indurre in errore e perciò sovrapporsi a quanto statuito dallo stesso Avvocato Szpunar relativamente al caso Google c. CNIL: in quell’occasione questi ha ritenuto necessaria una differenziazione a seconda del luogo a partire dal quale è effettuata la ricerca, sottolineando infatti che, sebbene per determinati ambiti – ad esempio in materia di diritto della concorrenza o di diritto dei marchi – sono ammessi in determinati casi effetti extraterritoriali, tale possibilità non sarebbe comparabile alla materia della protezione dei dati personali.

La differenziazione è obbligatoria tenuto conto che il concetto di deindicizzazione differisce da quello di cancellazione/rimozione, attività quest’ultima che presuppone l’accertata illiceità del contenuto. Nel primo caso, infatti, per contro, non ricorrendo aspetti diffamatori, ma solo l’obsolescenza del contenuto (veritiero), l’interesse pubblico all’informazione potrebbe giustificare la limitazione dell’applicazione extraterritoriale della normativa sulla riservatezza, così come ponderata in quell’occasione in sede di conclusioni dall’Avvocato Generale.

Facebook e il negoziato con la FTC per la nomina di un comitato di supervisione privacy

Avv. Vincenzo Colarocco

Nel contesto dell’indagine aperta dalla Federal Trade Commission (FTC) per il caso Cambridge Analytica sono in corso delle trattative tra Facebook e la sopra citata agenzia governativa americana per la negoziazione di un accordo che prevede una fortificazione delle privacy practices dell’azienda.

Tra gli aspetti oggetto di negoziazione sembrerebbe che Facebook per rafforzare la tutela dei dati dei propri utenti abbia accettato di creare un privacy committee da riunire trimestralmente, composto da membri del Consiglio di amministrazione di Facebook. Il negoziato in corso prevede, inoltre, la possibilità di designare un valutatore esterno -nominato congiuntamente da Facebook e dalla FTC- che rivesta il ruolo di soggetto in grado di analizzare la condotta dell’azienda relativamente agli ordini impartiti dalla FTC oltre che monitorare le politiche sulla privacy di Facebook. Si è prospettata, infine, la possibilità di nominare un responsabile della conformità, che potrebbe essere lo stesso Mark Zuckerberg.

Tutti gli impegni descritti e proposti in bozza di accordo, sono da inquadrare nell’ambito dell’istruttoria avviata dalla FTC per accendere un faro sul caso Cambridge Analytica, il quale ha profondamente segnato il rapporto tra Facebook e gli utenti facendo emergere con chiarezza la fondamentale importanza della protezione dei dati personali all’interno dei social media.

In relazione al caso –esploso nel marzo 2018- è in corso una valutazione (sulla più che plausibile) violazione di un accordo vincolante siglato nel 2011 con Facebook denominato consent decree secondo cui gli utenti devono sempre essere avvisati sull’eventuale uso dei propri dati personali che può avvenire solo con il loro consenso: si prevede quindi oltre che la previsione di una ingente sanzione, anche l’intesa su una nuova governance sulla privacy degli utenti.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.

Facebook e la raccolta dati in Germania: l’antitrust perimetra l’area di incidenza

Avv. Vincenzo Colarocco

Il Bundeskartellamt (l’Antitrust tedesco) ha deciso di imporre a Facebook severe restrizioni nei casi di elaborazione dei dati che prevedano una combinazione di dati estrapolati da diverse fonti, come per esempio WhatsApp e Instagram. Questa authority, infatti, è dell’opinione che la sconfinata raccolta di dati da più fonti e la fusione degli stessi costituisca un abuso di posizione dominante. In più, i termini d’uso proposti dall’azienda californiana nonché le stesse modalità di raccolta ed utilizzo dei dati costituirebbero, secondo il Bundeskartellamt, una violazione del GDPR.

Si legge, infatti, nella decisione che secondo i termini d’uso di Facebook l’utilizzo del social network da parte degli utenti comporta il trattamento dei loro dati in relazione sia al sito web Facebook, sia alla sua app mobile, sia ai servizi WhatsApp e Instagram, ed ancora ai siti terzi che gli utenti visitino durante la navigazione Internet. Tale mole di dati vengono attribuiti all’account Facebook dell’utente ma, secondo il Bundeskartellamt, verrebbero trattati senza consenso dello stesso, rendendo così il trasferimento illecito. Per l’autorità tedesca, al fine di trattare i dati provenienti dai diversi servizi del gruppo, come WhatsApp e Instagram,  sarà necessario, per Facebook, ottenere il consenso informato dell’utente stesso, in assenza del quale, i dati dovranno rimanere attribuiti al servizio che li ha raccolti e, quindi, non potranno essere elaborati assieme agli altri. Ugualmente per i dati raccolti dalla navigazione su siti terzi (ad esempio quando l’utente condivide sulla sua bacheca un link esterno a Facebook). L’autorità federale ci tiene a sottolineare la posizione dominante di cui Facebook gode sul mercato tedesco. Questo infatti conta 23 milioni di utenti attivi quotidianamente, equivalenti a un market share di oltre il 95% per gli utenti giornalieri e di oltre l’80%, cifre queste caratteristiche di un monopolio. Il Bundeskartellamt ha altresì chiesto al colosso di Menlo Park di presentare, entro 12 mesi, delle proposte volte ad attuare i cambiamenti richiesti. Ad ogni modo, la decisione dell’autorità di vigilanza non è definitiva e Facebook non ha tardato a richiedere appello avverso la stessa presso l’Alto tribunale regionale di Düsseldorf. Secondo i legali della compagnia, l’autorità federale non avrebbe tenuto conto della concorrenza che Facebook ha in Germania affermando, inoltre, che questa avrebbe male interpretato la compliance con il GDPR, mettendo in serio pericolo così l’omogeneità degli standard per la protezione dei dati  nel vecchio continente.

Facebook: l’antitrust rigetta l’eccezione di competenza in tema di privacy

Avv. Vincenzo Colarocco

L’Autorità Garante della Concorrenza e del Mercato (AGCM), con provvedimento del 29 novembre 2018, ha chiuso l’istruttoria per presunte violazioni degli articoli 21, 22, 24 e 25 del Codice del Consumo, avviata lo scorso aprile, nei confronti di Facebook Ireland Ltd. e della sua controllante Facebook Inc., irrogando alle stesse due sanzioni per complessivi 10 milioni di euro.

Secondo l’Antitrust, Facebook avrebbe posto in essere pratiche commerciali scorrette:

– inducendo ingannevolmente gli utenti a registrarsi sulla piattaforma social, dato che Facebook non fornirebbe, in fase di attivazione dell’account, informazioni adeguate ed immediate circa l’attività di raccolta dei dati che viene svolta a fini commerciali, e più in generale, non verrebbero messe in luce le finalità remunerative che in realtà risulterebbero essere alla base della fornitura del servizio di social network, enfatizzandone la sola gratuità e inducendo così gli utenti ad “assumere una decisione di natura commerciale che non avrebbero altrimenti preso” (registrazione al social network e permanenza nel medesimo);

– esercitando un “indebito condizionamento” nei confronti degli utenti/consumatori registrati, i quali subirebbero in modo inconsapevole ed automatico, cioè senza espresso e preventivo consenso, ma attraverso “l’applicazione di un meccanismo di preselezione del più ampio consenso alla condivisione di dati”, la trasmissione degli stessi da Facebook a siti web e/o app di terzi e viceversa, per finalità commerciali, ponendo in essere una pratica aggressiva.

Probabilmente quest’ultimo rappresenta uno dei punti più delicati della vicenda, in quanto potrebbe essere direttamente collegato a tutte le pratiche emerse dallo scandalo Cambridge Analytica in poi (clicca qui).

In considerazione dei rilevanti effetti di tali pratiche sui consumatori, l’Autorità ha altresì imposto a Facebook (ai sensi dell’art. 27, comma 8, del Codice del Consumo) l’obbligo di “pubblicare una dichiarazione rettificativa sul sito internet e sull’app per informare gli utenti consumatori”.

Risultano interessanti le argomentazioni dell’AGCM in merito al mancato accoglimento dell’eccezione sollevata da Facebook in relazione alla possibile incompetenza dell’Autorità stessa a trattare il caso, in ragione di possibili sovrapposizioni con le materie regolate dalla normativa sulla privacy. A tal proposito l’Autorità ha ritenuto che “non sussiste un conflitto tra le due discipline, integrandosi, piuttosto, le stesse in maniera complementare”.

Facebook di nuovo vittima degli hacker: violati 81 mila account

Avv. Vincenzo Colarocco

Dopo lo scandalo Cambridge Analytica e gli hacker che rubano le chiavi di 30 milioni di account, ancora una volta, lo scorso novembre, Facebook è vittima di un attacco hacker ed a farne le spese sono almeno 81 mila utenti i cui log di chat sono stati venduti a 10 centesimi l’uno.

In realtà, questa volta sembrerebbe che il social network non sia stato violato, ma siano stati compromessi i browser con i quali gli utenti accedono al Social utilizzando estensioni manomesse. È così, infatti, che milioni di messaggi privati degli utenti sono stati monitorati e salvati da “agenti ostili”. A rivelarlo è stata la stessa BBC dopo aver scoperto il forum dove i log di tutte queste chat sono stati messi in vendita.

In particolare, insieme con la società di sicurezza informatica Digital Shadows, la BBC ha indagato su un utente con il nickname “FBSaler”, il quale ha offerto in vendita alcune informazioni private ricavate da Messenger affermando: “Vendiamo informazioni personali degli utenti di Facebook. Il nostro database include 120 milioni di account”.

Ad oggi sembra che gli account violati appartengano per lo più ad utenti provenienti da Russia e Ucraina, ma alcuni anche dagli Stati Uniti, dal Regno Unito e altrove.

L’unico aspetto positivo di tutta la vicenda è che le informazioni in possesso degli hacker non sarebbero in nessun modo collegate né a quelle dello scandalo Cambridge Analytica di fine marzo 2018, né alle violazioni dello scorso settembre.
Per maggiori approfondimenti clicca qui.

E’ fatto divieto di cedere i dati degli utenti whatsapp a facebook

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali con il provvedimento 9058572 del 4 ottobre 2018 chiude un’inchiesta avviata nel 2016. In particolare, nell’agosto dello stesso anno Whatsapp modificava termini e informativa sulla privacy, predisponendo la disponibilità per Facebook di una serie di informazioni concernenti i singoli account degli utenti Whatsapp. Detto altrimenti, le due società, facenti parte come noto del medesimo gruppo (Whatsapp, Facebook, Instagram), avrebbero condiviso i dati degli utenti trattandone i dati per tre precipue finalità: 1) safety and security al fine di ricevere informazioni riguardanti account abusivi, pericolosi o illeciti; 2) business analytics al fine di de-duplicare gli account sulle varie applicazioni del gruppo individuandone gli utenti unici attivi su di esse; 3) pubblicitarie per promuovere prodotti e inserzioni pubblicitarie sul social network Facebook.

A seguito dell’istruttoria compiuta da una Task Force costituita dal Gruppo Articolo 29 (WP29) e delle osservazioni e valutazioni nel merito condotte dal Garante è emerso che il consenso degli utenti italiani ottenuto da Whatsapp deve ritenersi acquisito in violazione delle regole normative vigenti. In particolare, l’informativa non rispettava il principio di correttezza poiché non conteneva tutti gli elementi dell’art. 13 del GDPR: si trattava, infatti, di un comunicato troppo generico, non facilmente comprensibile, con finalità alquanto vaghe. Il consenso, per questo, non poteva ritenersi espresso, specifico e libero: Whatsapp chiedeva ai propri utenti di “accettare” le modifiche mediante un modello imperniato sull’opt-out (casella di spunta già “flaggata”), prospettando, in caso di mancata adesione, la sospensione del servizio, cosa che appariva decisamente sproporzionata. Del resto, non sussisteva una base giuridica diversa dal consenso, come il legittimo interesse, idonea a legittimare tali trattamenti.