(di Laura Spagnoli e Luigi Manna)

Con un recente provvedimento, il Garante per la protezione dei dati personali ha accertato l’illecito trattamento da parte di Facebook dei dati forniti dai propri utenti attraverso le App disponibili sulla piattaforma e attraverso alcuni servizi ideati in occasione delle elezioni politiche italiane del 2018. La pronuncia di illiceità si è basata sulla mancanza di un’informativa adeguata e di uno specifico consenso per il trattamento in questione.

La vicenda ha avuto origine dal noto caso statunitense ‘Cambridge Analytica’, riguardante lo sfruttamento dei dati forniti dagli utenti di Facebook per attività di profilazione a fini politico-elettorali. Il social network, infatti, permetteva ai propri utenti di utilizzare le App presenti sulla piattaforma inserendo direttamente le credenziali usate per il Facebook Login, determinando così l’accesso di tali applicazioni ai dati del profilo quali nome, indirizzo mail, età, sesso, residenza. Nonostante le condizioni di utilizzo della piattaforma vietassero alle App di condividere con società terze i dati così raccolti, l’applicazione “Thisisyourdigitallife” aveva ceduto i dati relativi agli utenti statunitensi alla società di ricerca Cambridge Analytica, che li aveva successivamente sfruttati per elaborare una campagna pubblicitaria altamente personalizzata con la presunta finalità di influenzare il voto nelle elezioni USA del 2016.

In seguito a questa vicenda, il Garante ha chiesto a Facebook di chiarire se anche i dati degli utenti italiani, forniti attraverso la funzione Facebook Login e tramite alcuni servizi creati per la campagna elettorale italiana del 2018, siano stati comunicati a soggetti terzi per svolgere attività di profilazione a fini politico-elettorali. Nei chiarimenti, il social network ha ammesso di aver trasmesso alla App “Thisisyourdigitallife” i dati di 214.077 utenti italiani, non risultando invece dimostrata la successiva cessione degli stessi a Cambridge Analytica. Facebook ha però precisato che i dati raccolti corrispondevano a quelli individuati nell’informativa privacy accettata in fase di registrazione, dove veniva fatto esplicito riferimento alla possibilità che le informazioni pubbliche dell’utente fossero visualizzate da soggetti esterni alla piattaforma.

Il Garante ha anzitutto accertato che la comunicazione a “Thisisyourdigitallife” dei dati raccolti attraverso la funzione di Login è avvenuta in violazione degli articoli 13 e 23 del d. lgs 196/2003 (cioè il Codice della privacy antecedente all’applicazione del c.d. GDPR, applicabile ratione temporis alle fattispecie qui considerate). L’utente, infatti, acconsentiva al trasferimento dei propri dati alla App tramite l’accettazione dell’informativa fornita in occasione della registrazione al social network, ritenuta “dal contenuto onnicomprensivo, generico e di difficile ricostruzione”, e dunque non idonea ad informarlo adeguatamente delle implicazioni derivanti dal consenso prestato. In altri termini, l’utente non era reso effettivamente consapevole della possibilità che i suoi dati sarebbero stati raccolti da App di terzi. Inoltre, l’Autorità ha ricordato che – in base all’art 23 del codice privacy – il consenso “è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato”. Al contrario, l’informativa fornita all’utente non permetteva di opporsi alla comunicazione dei dati del proprio profilo alle App di terzi, con la conseguenza che l’accettazione di questo trattamento era imprescindibile per potersi registrare.

Venendo ai servizi sviluppati in occasione delle elezioni italiane del 2018, Facebook ha dichiarato che si trattava di servizi volti a favorire l’informazione ed ad incentivare la partecipazione civica. Per esempio, attraverso il servizio “Candidati” l’utente poteva ottenere, fornendo il proprio indirizzo, varie informazioni sui candidati della propria circoscrizione, mentre il 4 marzo (data delle votazioni) era possibile condividere la propria esperienza elettorale nella sezione “Notizie”. Ricordando che i dati personali possono essere raccolti solo per “scopi determinati, espliciti e legittimi” e devono essere successivamente trattati in modo compatibile agli stessi (art. 11 del Codice Privacy), il Garante ha accertato l’illiceità del trattamento in questione. In primo luogo, infatti, la finalità del trattamento dei dati raccolti mediante i predetti servizi – rivolti esclusivamente ai cittadini italiani e offerti solo in occasione della campagna elettorale – non poteva rientrare tra quelle contemplate nell’informativa privacy fornita in fase di registrazione, riferita invece a tutte le attività normalmente svolte dal social network: in altre parole, “Facebook ha posto in essere un’attività difficilmente riconducibile all’ambito delle proprie finalità”. Inoltre, poiché risultavano coinvolti dei dati potenzialmente sensibili, l’informativa avrebbe dovuto descrivere le finalità del relativo trattamento con la necessaria precisione: l’esperienza elettorale dell’utente, così come l’interesse che manifesta per i candidati della propria circoscrizione, sono dati potenzialmente idonei a rivelarne l’opinione politica, quindi Facebook avrebbe dovuto fornire un’informazione adeguata sui rischi e le conseguenze derivanti dal consenso prestato per il relativo trattamento.

Preso atto dell’avvenuta cancellazione dei dati così raccolti, il Garante ne ha vietato qualsiasi ulteriore trattamento e si è riservato di avviare un procedimento sanzionatorio nei confronti di Facebook.