GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Cambridge Analytica: il Garante Privacy italiano sanziona Facebook per un milione di euro


venerdì 28 giugno 2019
analisi dell'Avv. Gianni Dell' Aiuto



 

Il primo provvedimento è di Gennaio 2019, ma la sanzione è stata emessa a fine Giugno. Ed è una sanzione pesante anche se comminata sul vecchio Codice Privacy, ma che potrebbe avere ulteriori strascichi: un milione di euro.

La vicenda è quella nota di Cambridge Analytica: nel Marzo 2018 alcuni articoli di stampa hanno riportato la notizia secondo cui la società di ricerca Cambridge Analytica, con sede nel Regno Unito, avrebbe utilizzato i dati di 87 milioni di utenti Facebook per delineare la loro personalità mediante una profilazione di carattere psicologico successivamente impiegata per veicolare, sempre tramite lo stesso social, pubblicità altamente personalizzata. Facebook, quindi, blocca le attività del gruppo di controllo di Cambridge Analytica sulla sua piattaforma, oltre ad altri provvedimenti conseguenti.

Ovviamente il Garante avvia un’istruttoria, richiedendo informazioni a Facebook in merito all’eventuale utilizzo di dati di cittadini italiani, utenti “Facebook” da parte di Cambridge Analytica e, in particolare, se vi sia stato accesso in relazione ad attività di profilazione a fini di carattere politico e/o elettorale.

La vicenda può poi essere così riassunta per sommi capi: il dr. Aleksandr Kogan, docente di psicologia a Cambridge, ha ceduto alla Cambridge Analytica i dati personali raccolti dall’app “Thisisyourdigitallife”, mediante la funzione “Facebook Login”. Tale funzione, disponibile dal 2007 e periodicamente aggiornata, è stata approntata per consentire agli utenti di utilizzare le rispettive credenziali Facebook “per autenticarsi a servizi di terzi e per trasmettere i propri dati ai fornitori di tali servizi, al fine di ottenere un’ampia gamma di esperienze utili, innovative, sociali e personalizzate”.

Secondo quanto dichiarato da Facebook, nella fase di registrazione gli utenti dovevano confermare di aver preso visione dell’informativa, dove si faceva esplicito riferimento al fatto che le informazioni pubbliche potevano essere visualizzate da chiunque, anche al di fuori del social network. Queste informazioni non erano di poco conto: dati del profilo pubblico, tra cui nominativo e genere, data di nascita, città attuale, pagine a cui l'utente aveva messo “mi piace”, lista degli amici (in conformità con le impostazioni sulla privacy di ciascun amico e dunque solo nel caso in cui l’utente avesse deciso di renderla pubblica). 

Peraltro, l’esame della funzione “Facebook Login” ha evidenziato gravi carenze di informativa anche da parte delle varie app di volta in volta interessate, che, nella maggioranza dei casi, non forniscono una corretta indicazione delle finalità e modalità del trattamento dei dati, che risultano oltretutto essere più numerosi di quelli necessari all’autenticazione, in barba al principio di minimizzazione. 

L’istruttoria ha poi consentito di accertare che, in occasione delle elezioni politiche svoltesi in Italia il 4 Marzo 2018, Facebook ha fornito, con specifico riferimento agli utenti italiani, due ulteriori servizi: da un lato, ha installato sulla propria piattaforma il prodotto “Ballot” (o “Candidati”), per consentire agli elettori di acquisire informazioni specifiche sui candidati nella propria circoscrizione elettorale; inoltre nella “Sezione Notizie” degli utenti italiani il 4 marzo 2018 è stato pubblicato un messaggio che, segnalando lo svolgimento delle elezioni politiche, dava la possibilità di acquisire “informazioni sul voto”, nonché “condividere” il fatto di aver votato e addirittura invitando anche a far conoscere le proprie convinzioni sull’importanza del voto.

Per quanto non sia emerso con certezza che siano stati forniti a Cambridge Analytica dati personali di utenti ubicati in Italia, essendo stato riferito che sarebbero state cedute solo informazioni riferite a utenti ubicati negli USA, è stata, ammessa la comunicazione dei dati personali di utenti di Facebook ubicati in Italia all’app “Thisisyourdigitallife”, tramite la funzione “Facebook Login”, e, tramite 57 utenti italiani che avrebbero scaricato la suddetta app, sarebbero stati comunicati a questa i dati di 214.077 utenti italiani, comunicazione non conforme agli articoli 13 e 23 del Codice in quanto basata su un’informativa inidonea e comunque in assenza di un valido consenso. Inoltre agli utenti non era lasciata alcuna alternativa rispetto al trasferimento integrale dei dati a suo tempo conferiti a Facebook.

Inoltre, nel caso specifico, gli “amici” dell’utente non potevano immaginare, nel concedere la loro “amicizia” su Facebook, che, per effetto di ciò, i loro dati avrebbero potuto essere ceduti da soggetti a piattaforme quali “Thisisyourdigitallife”, ed utilizzati per finalità diverse e ignote.

Il Garante ha rilevato come i dati raccolti mediante il prodotto “Candidati” rappresentino funzioni di Facebook specificamente concepite e rivolte, nell’imminenza delle elezioni politiche, ai cittadini italiani che, nel merito, eccedono le finalità indicate nella “data policy” della Piattaforma. Nel suo provvedimento il Garante ha ben posto in evidenza come la raccolta e il trattamento dati da parte di Facebook andassero ben oltre i normali limiti e ha ritenuto illecita questa attività da parte di Facebook senza la predeterminazione di una specifica e determinata finalità, ed in assenza di un’informativa idonea e di uno specifico e legittimo consenso.

In particolare i comportamenti contestati sono stati i seguenti:

  • la comunicazione, tramite l’app “Thisisyourdigitalife”, alla società GSR-Global Science Research e ad altri eventuali destinatari, di dati personali di cittadini italiani;
  • l’acquisizione mediante il prodotto “Candidati” e il successivo trattamento di dati personali, ivi compresi i file di log ed eventuali matrici aggregate, potenzialmente idonei a rivelare le opinioni politiche;
  • il trattamento di dati ed informazioni espresse dagli utenti, anche tramite la funzione “condivisione” di Facebook,  su sollecitazione del “messaggio” del 4 marzo 2018.

Preso comunque atto della cancellazione “in modo irreversibile” da parte della società GSR-Global Science Research e degli altri soggetti destinatari dei dati ottenuti tramite l’app “Thisisyourdigitalife”, il Garante ha vietato a Facebook ogni ulteriore trattamento, ivi compresa la conservazione, dei dati personali acquisiti mediante il descritto prodotto “Candidati”, nonché ogni trattamento di dati ed informazioni espresse dagli utenti, ivi compresa l’azione di “condivisione”, su sollecitazione del “messaggio” del 4 Marzo 2018, ad eccezione della loro conservazione sulla piattaforma, fino ad eventuale rimozione da parte degli stessi utenti interessati.

Come immaginabile la sanzione è alla fine giunta a Facebook che intendeva avvalersi della facoltà di estinguere il procedimento mediante il pagamento in misura ridotta di una somma pari a 52.000 euro. Ma per questa fattispecie non è ammesso il pagamento in misura ridotta. Da qui la decisione del Garantedi applicare una sanzione di un milione di euro in quanto le violazioni su informativa e consenso sono state commesse in riferimento ad una banca dati di particolare rilevanza e dimensioni. Tutto ciò tenuto conto anche delle condizioni economiche di Facebook e del numero di utenti mondiali e italiani della società.

Avv. Gianni Dell’Aiuto




CONDIVIDI QUESTA PAGINA!