Caso Cambridge Analytica: anche l’Italia presenta il conto a Facebook

Il Garante italiano, con provvedimento del 14 giugno 2019, ha imposto a Facebook Ireland Ltd e Facebook Italy S.r.l. il pagamento in solido di una sanzione amministrativa di ammontare pari a 1 milione di Euro.

Centrale nella vicenda è l’installazione dell’app ‘Thisisyourdigitallife’ – finalizzata alla produzione di profili psicologici e di previsione del comportamento sulla base delle attività svolte online – cui gli utenti potevano accedere tramite il c.d. Facebook Login, che permette di autenticarsi a servizi di terzi tramite le credenziali di accesso al celeberrimo social network senza essere tenuti alla creazione di ulteriori username e password.

L’utilizzo di tale strumento, sebbene prima facie appaia privo di corrispettivo, in realtà cela un ingente trasferimento di dati personali da parte di Facebook alle applicazioni di volta in volta utilizzate dagli utenti, affinché possano fornire esperienze sempre più personalizzate alla luce delle informazioni disponibili sui profili. 

Nel caso di specie, peraltro, le informazioni raccolte da Thisisyourdigitallife tramite Facebook venivano ulteriormente condivise con una società terza, Cambridge Analytica, con sede nel Regno Unito, specializzata nel raccogliere dati dai social network al fine di rielaborarli e, tramite appositi algoritmi, creare profili molto dettagliati su ogni utente.

Lo schema sinteticamente riportato avrebbe permesso a Cambridge Analytica di raccogliere i dati di 87 milioni di utenti di Facebook con lo scopo di creare profili destinati a essere utilizzati per veicolare campagne di marketing che avrebbero avuto il presunto ulteriore obiettivo di influenzare le elezioni presidenziali statunitensi tenutesi l’8 novembre 2016.

Come noto, una volta reso pubblico, il caso ha suscitato un enorme scalpore nella comunità internazionale e nell’opinione pubblica, tanto che il provvedimento del Garante italiano si affianca alle misure adottate da altre autorità quali la ICO, autorità di controllo inglese, che ha già sanzionato la società di Menlo Park per un importo pari a 500.000 sterline, e la Federal Trade Commission statunitense che ha recentemente inflitto un’ulteriore stangata al social network, applicando una sanzione pari a 5 miliardi di dollari (a fronte dei 3 accantonati da Facebook in vista della potenziale multa).

Con specifico riferimento alla realtà italiana, nella prima metà del 2018 il Garante ha avviato una formale istruttoria, invitando le società Facebook Ireland Ltd. e Facebook Italy S.r.l. a fornire informazioni in merito all’utilizzo di dati personali di cittadini italiani da parte di Cambridge Analytica, accertando in tale sede che l’app Thisisyourdigitallife era stata effettivamente scaricata anche da 57 utenti italiani.

Dalle informazioni raccolte in sede di istruttoria, è emerso, tra le altre cose, che:

a) nell’informativa resa da Facebook agli interessati al momento della registrazione alla piattaforma, è previsto che le informazioni pubbliche del profilo possono essere visualizzate da chiunque, anche al di fuori del social network;

b) Facebook comunicava a Thisisyourdigitallife diverse informazioni personali associate all’utente e, in particolare: dati del profilo pubblico, data di nascita, pagine a cui l’utente aveva messo “mi piace” e la lista degli amici (laddove, coerentemente con le impostazioni sulla privacy di Facebook, per scelta dell’utente tale lista fosse pubblica). Questo, in particolare, ha determinato la crescita esponenziale del numero di utenti italiani impattati dalla violazione. Infatti, secondo i dati raccolti dal Garante, la condivisione della lista degli amici ha consentito all’applicazione di acquisire i dati di 214.077 utenti italiani;

c) l’attivazione di Thisisyourdigitallife tramite Facebook Login non era consentita se gli utenti non acconsentivano al trattamento dei dati personali.

Inoltre, dall’istruttoria condotta dall’Autorità è emerso altresì che dati di utenti italiani sono stati illecitamente trattati anche con riferimento al prodotto “Candidati”. Questo, in particolare, invitava gli utenti di Facebook a condividere la notizia di essersi recati a votare nel corso delle elezioni politiche del 4 marzo 2018 e a far conoscere le proprie convinzioni sull’importanza del voto stesso. Ciò, unitamente ai commenti che gli utenti potevano formulare per accompagnare la condivisione di tale status, consentiva a Facebook di raccogliere dati personali potenzialmente suscettibili di fornire indicazioni in merito alle opinioni politiche degli utenti.

Nonostante le precisazioni fornite da Facebook, il Garante italiano ha ritenuto il trattamento illecito per violazione degli articoli 13 e 23 del D.Lgs. 30 giugno 2003, n. 196 (“Codice Privacy”) che, si ricorda, disciplinavano (prima del GDPR) rispettivamente l’obbligo di fornire agli interessati un’idonea informativa sul trattamento dei dati personali e di raccoglierne il relativo consenso nei casi ivi previsti.

Da un lato, infatti, l’Autorità ha ritenuto l’informativa fornita agli interessati al momento della registrazione al social network inidonea rispetto alle finalità effettivamente perseguite, considerato il “contenuto onnicomprensivo, generico e di difficile ricostruzione” e, dall’altro lato, ha precisato come il consenso non può ritenersi espressamente, specificamente e liberamente espresso, posto che, nel momento in cui si attivava l’app attraverso la funzione Facebook Login, agli utenti non veniva lasciata scelta rispetto al trasferimento dei dati conferiti al tempo della registrazione al social network.

Inoltre, con specifico riferimento a coloro i cui dati sono stati trattati esclusivamente in quanto inclusi nella ‘lista di amici’ di uno degli utenti che aveva utilizzato Thisisyourdigitallife, il Garante ha sottolineato come, nel concedere l’amicizia su Facebook, essi non potevano immaginare che i loro dati avrebbero potuto essere ceduti a terzi; al riguardo, non si può neppure sostenere che di tale potenziale trattamento sia stata data loro notizia nell’informativa ricevuta al momento dell’iscrizione alla piattaforma.

Sulla base di tali considerazioni, all’esito dell’istruttoria il Garante ha vietato a Facebook il trattamento di ogni eventuale dato raccolto tramite le modalità sin qui descritte, riservandosi di contestare sanzioni amministrative per gli illeciti trattamenti di dati riscontrati.  

Nel marzo 2019 il Garante ha quindi sanzionato Facebook per (a) la violazione dell’articolo 13 del Codice Privacy “con riferimento all’inidoneità dell’informativa resa agli utenti Facebook in relazione alla condivisione dei dati dei medesimi con soggetti terzi in occasione dell’utilizzo di specifici prodotti presenti nel social network”; (b) la violazione dell’articolo 23 del Codice Privacy per “aver svolto i trattamenti di dati personali di cui sopra senza aver acquisito dagli interessati un consenso libero, specifico e informato”; (c) la violazione dell’articolo 157 del Codice Privacy per “non aver fornito idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti”; (d) la violazione dell’articolo 164-bis del Codice Privacy per “aver realizzato le condotte sub a) e b) in relazione a banche dati di particolare rilevanza e dimensioni”.

Con riferimento a tali violazioni, la società guidata da Mark Zuckerberg si è avvalsa della possibilità di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a Euro 52.000. Agevolazione comunque non prevista per la violazione di cui al precedente punto (d) relativamente alla quale il 14 giugno 2019 il Garante ha applicato una sanzione di 1 milione di Euro.

In particolare, ai fini del calcolo dell’importo l’Autorità ha tenuto conto della particolare gravità della violazione, in considerazione del fatto che l’accesso di 57 utenti all’app Thisisyourdigitallife ha avuto come conseguenza l’illecita condivisione di dati di oltre 210.000 utenti. Inoltre, visto il fatturato complessivo e il patrimonio netto di Facebook Ireland il Garante ha ritenuto l’importo comminato pari a Euro 250.000 insufficiente a dare efficacia alla sanzione, così, avvalendosi del disposto di cui all’articolo 164-bis, comma 4,Codice Privacy, (ai sensi del quale “le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore”) ha quadruplicato l’ammontare imponendo una multa pari a 1 milione di Euro.

Sebbene tale importo possa sembrare irrisorio rispetto ai profitti generati dal colosso statunitense, è bene ricordare che, essendo la violazione posta in essere prima dell’applicazione del GDPR, la sanzione è stata emessa ai sensi del Codice Privacy che prevedeva ammontari molto più modesti rispetto all’attuale normativa.

Ciò posto, la recente pronuncia dell’Autorità italiana conferma il trend su cui si stanno attestando le autorità di controllo europee (si ricordano anche le recentissime sanzioni emesse sempre dalla ICO nei confronti di British Airways e di Marriott, rispettivamente pari a 183 milioni di sterline e 110 milioni di euro) che, coerentemente con l’inasprimento delle sanzioni introdotto dal GDPR, lascia presagire un approccio più rigido rispetto all’applicazione della normativa a tutela dei dati personali. Pertanto, in una società in cui l’informazione è a portata di smartphone, le imprese al fine di scongiurare inevitabili danni di immagine derivanti da sanzioni di tali entità che non potranno che avere come conseguenza una perdita di fiducia da parte dei consumatori non potranno esimersi dall’implementare tutte le misure richieste per garantire la protezione dei dati personali trattati.