Articoli

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.