Documento senza titolo
Facebook, sanzione da 1 milione di Euro nell’ambito di Cambridge Analytica
La comunicazione dei dati all’app “Thisisyourdigitallife” è avvenuta sulla base di un’informativa inidonea e in assenza di un valido consenso

28/06/2019

Con un comunicato stampa del 28 giugno 2019, il Garante per la protezione dei dati personali ha reso noto di aver sanzionato Facebook per 1 milione di Euro; la multa fa seguito alle violazioni della privacy degli utenti italiani verificatesi (anche) nell’ambito del caso Cambridge Analytica.   

Per comprendere a fondo le ragioni di questa sanzione è tuttavia necessario ripercorrere le tappe dell’articolata istruttoria instaurata dall’Autorità nei confronti del social network, e conclusasi lo scorso gennaio con un provvedimento inibitorio.          

L’indagine del Garante – nata con l’intento di appurare gli illeciti verificatisi sulla piattaforma Facebook nel trasferimento di dati personali dall’app “Thisisyourdigitallife” a Cambridge Analytica – si è poi ampliata in corso di istruttoria. Le questioni affrontate sono, da un lato, il ruolo della funzione “Facebook login” nel data scandal Cambridge Analytica e, dall’altro, la raccolta dati effettuata da Facebook tramite il servizio “Candidati” in occasione delle elezioni politiche italiane del marzo 2018.



Sul primo punto, va innanzitutto ricordato che la funzione “Facebook login” consente all’utente di autenticarsi su app o piattaforme di terzi usando le credenziali del proprio account Facebook, in un do ut des in cui il conferimento dei dati personali (profilo pubblico, data di nascita, città attuale, like alle pagine, liste amici) è un requisito imprescindibile per l’utilizzo del servizio desiderato.      

Questo meccanismo, peraltro valido per tutte le app di terzi, si caratterizzerebbe per alcuni risvolti particolarmente preoccupanti in termini di privacy: la piattaforma “Thisisyourdigitallife” (un’app di profiling), ad esempio, attraverso il login di appena 57 utenti italiani, avrebbe avuto accesso indiretto ai dati di 214.077 italiani iscritti a Facebook.



Sulla base della vecchia normativa privacy, applicata ratione temporis, il Garante ha rilevato l’illiceità di un simile trasferimento di dati personali, non soltanto per quanto riguarda i dati indirettamente ottenuti, ma anche per i dati personali relativi a coloro che avessero scaricato l’app. La comunicazione dei dati, infatti, è avvenuta in assenza di un consenso espresso, libero, specifico e informato. Infatti, subordinare l’utilizzo dell’app terza alla cessione dei dati (integrale o parziale, ma con modalità opt-out) è una modalità di acquisizione del consenso tradizionalmente ritenuta illegittima.

Un accento particolare è posto sul concetto di consenso informato: l’informativa del “Facebook login” risulta infatti inidonea alla raccolta del consenso, in quanto generica, onnicomprensiva e di difficile ricostruzione. Sul tema, il Garante ha affermato che “la preventiva consapevolezza degli utenti circa i possibili impieghi dei dati che li riguardano […] costituisce l’ineludibile presupposto per consentire loro di prestare o meno il consenso al trattamento dei propri dati.”   

Va da sé, sulla base di questo ragionamento, che se una simile forma di consenso al trattamento dei dati non può essere considerata valida e specifica per l’utente che ha scaricato l’app “Thisisyourdigitallife”, meno che mai potrebbe esserlo per quei soggetti i cui dati siano stati acquisiti indirettamente (liste amici).         

Per quanto riguarda invece la seconda tipologia di trattamento di dati contestata al social network, consistente nel servizio “Candidati”, la sua funzione era “consentire agli elettori di acquisire informazioni specifiche sui candidati nella propria circoscrizione elettorale”. Ad accompagnarlo, inoltre, un messaggio apparso nella sezione notizie degli utenti italiani nell’election day, che consentiva loro di ottenere informazioni sul voto e di condividere il fatto stesso di aver votato.

Su questo punto, le osservazioni dell’Autorità si sono soffermate sul legame che deve necessariamente esistere tra la raccolta di dati personali e la finalità per cui tali dati sono raccolti e trattati dal titolare del trattamento. Un legame che, in questo caso, è apparso debole, perché una simile raccolta di dati – per di più dati politici, quindi “sensibili” – non può trovare giustificazione nella generica privacy policy cui l’utente presta il proprio consenso al momento dell’iscrizione a Facebook.          

Nel contesto appena riportato, la sanzione pari ad 1 milione di Euro comminata al social network, che nell’era del GDPR potrebbe rappresentare il canto del cigno della vecchia normativa, tiene peraltro conto di una molteplicità di aspetti, tra cui l’importanza numerica della banca dati coinvolta nell’illecito, le condizioni economiche di Facebook e il numero di utenti registrati sul social.


© Graziadei Studio Legale 

Disclaimer & Privacy
P.IVA 07340781009