Registro dei provvedimenti
n. 5 del 10 gennaio 2019
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente, della dott.ssa Giovanna Bianchi Clerici, componente, e del dott. Giuseppe Busia, segretario generale;
VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati (di seguito, “Direttiva”);
VISTO il Regolamento generale sulla protezione dei dati (Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati - di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");
VISTO il decreto legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”;
VISTI gli atti d’ufficio e le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1. Fatto
Nel mese di marzo 2018 alcuni articoli di stampa nazionale ed internazionale hanno portato all’attenzione dell’opinione pubblica la notizia secondo cui una società di ricerca, Cambridge Analytica, parte del gruppo SCL-Strategic Communication Laboratories, con sede nel Regno Unito, avrebbe utilizzato i dati di 87 milioni di utenti Facebook allo scopo di delineare la loro personalità mediante una profilazione di carattere psicologico, successivamente impiegata per veicolare, tramite lo stesso social network, una campagna pubblicitaria altamente personalizzata (“micro-targeting advertisement”), con il presunto obiettivo di influenzare il voto nelle elezioni, svoltesi negli USA l’8 novembre 2016.
Con un comunicato, pubblicato nell’area news di Facebook il 16 marzo 2018, il social network rendeva noto di aver deciso di bloccare le attività del gruppo SCL sulla sua piattaforma, incluse quelle riferibili alla società Cambridge Analytica, a seguito dell’utilizzo che quest’ultima avrebbe fatto dei dati degli utenti Facebook. Nel medesimo comunicato veniva resa nota anche la sospensione delle attività del dr. Aleksandr Kogan, professore di psicologia dell’Università di Cambridge, per aver dichiarato il falso a Facebook e violato le sue policy, trasferendo, tra gli altri, a Cambridge Analytica i dati di utenti della Piattaforma acquisiti mediante la sua app, “Thisisyourdigitallife” (comprensiva di un quiz sulla personalità sviluppato dallo stesso Kogan e gestito dalla sua società, GSR-Global Science Research).
2. Istruttoria
In relazione a tali notizie, l’Autorità ha avviato una formale istruttoria, trasmettendo in data 21 marzo 2018 una prima richiesta di informazioni a Facebook Italy e a Facebook Ireland Limited in merito all’eventuale utilizzo di dati personali di cittadini italiani, fruitori dei servizi della piattaforma “Facebook”, da parte di Cambridge Analytica. E’ stato, in particolare, richiesto se vi fosse stato accesso da parte di altri soggetti ai medesimi dati in relazione ad attività di profilazione a fini di carattere politico e/o elettorale.
Facebook Ireland Limited ha fornito riscontro a tale prima richiesta in data 28 marzo e, successivamente, ha fatto avere ulteriori elementi in data 6 aprile 2018.
Il 24 aprile 2018 si è svolto presso la sede dell’Autorità un incontro con alcuni rappresentanti di Facebook Inc. e di Facebook Italy, nel corso del quale sono stati chiesti altri chiarimenti in ordine alla vicenda e a quanto prospettato nei suddetti riscontri.
L’Autorità ha quindi rivolto un’ulteriore richiesta di informazioni a Facebook Ireland Limited e a Facebook Italy, in data 11 maggio 2018, avente ad oggetto non solo aspetti relativi alla vicenda Cambridge Analytica, ma anche ad altre questioni di carattere generale emerse nel corso dell’istruttoria, nonché ai trattamenti svolti dalla Piattaforma in occasione delle consultazioni politiche italiane del 4 marzo 2018, in particolare mediante il suo prodotto “Candidati”.
A tali richieste Facebook Ireland Limited ha fornito riscontro con note inviate in data 21 maggio, 13 giugno e, infine, 15 giugno 2018.
Con missiva del 26 ottobre 2018 l’Autorità ha chiesto a Facebook Ireland e a Facebook Italy di fornire una serie di ulteriori chiarimenti relativi al prodotto “Candidati” e al “messaggio” sulle elezioni del 4 marzo che esortava gli utenti Facebook a condividere la notizia di essersi recati a votare. Ad essa Facebook Ireland ha risposto con nota del 9 novembre 2018.
Nel corso dell’istruttoria è stato prioritariamente accertato che i fatti in questione si sono verificati prima dell’applicabilità del Regolamento, e quindi sotto la vigenza della Direttiva 95/46/CE e del Codice non ancora modificato dal d.lgs. n. 101/2018; inoltre, è emerso quanto segue.
3. Il caso “Cambridge Analytica” e la funzionalità “Facebook Login”
In linea generale, il dr. Aleksandr Kogan ha ceduto alla società Cambridge Analytica i dati personali raccolti dall’app “Thisisyourdigitallife”, mediante la funzione “Facebook Login”. Tale funzione, resa disponibile su tale piattaforma sin dal 2007 e periodicamente aggiornata, è stata realizzata – secondo quanto affermato da quest’ultima – per consentire ai propri utenti di utilizzare le rispettive credenziali Facebook “per autenticarsi a servizi di terzi e per trasmettere i propri dati ai fornitori di tali servizi, al fine di ottenere un’ampia gamma di esperienze utili, innovative, sociali e personalizzate”.
Sempre secondo quanto dichiarato da Facebook, nella prima fase di registrazione alla piattaforma gli utenti dovevano confermare di aver preso visione dell’informativa sul trattamento dei dati personali, nella quale si faceva esplicito riferimento al fatto che le proprie informazioni pubbliche potevano essere visualizzate da chiunque, anche al di fuori del social network.
Attraverso la funzione “Facebook Login”, Facebook comunicava all’app “Thisisyourdigitallife”, e in generale alle app attivate con le medesime modalità, le seguenti tipologie di dati personali, associati all'utente che procedeva alla loro installazione:
• dati del profilo pubblico, tra cui nominativo e genere;
• data di nascita;
• “città attuale”, indicata nella sezione “altro” del profilo utente, se fornita;
• pagine a cui l'utente aveva messo “mi piace”;
• lista degli amici (in conformità con le impostazioni sulla privacy di ciascun amico, e dunque solo nel caso in cui l’utente avesse deciso di rendere pubblica tale lista).
Come emerge dalla nota di Facebook del 15 giugno 2018, l’attivazione dell’app “Thisisyourdigitallife” attraverso “Facebook Login” richiedeva agli utenti di acconsentire necessariamente alla raccolta dei predetti dati. In altri termini, senza il conferimento dei dati personali di cui sopra non era possibile l’utilizzo dell’app medesima.
Il consenso suddetto avveniva in modo diverso a seconda della versione della funzione “Facebook login” utilizzata. Nella “Versione.1”, come evidenziato dalle schermate esemplificative allegate da Facebook, si chiedeva all’utente di acconsentire, con un’unica spunta, alla raccolta di tutti i dati sopra indicati, senza consentirgli di scegliere singolarmente quali informazioni condividere e quali, invece, mantenere private. Perciò, di fatto, l’utilizzo delle app così attivate era reso possibile solo accettando il trasferimento in blocco dei predetti dati.
La “Versione.2”, implementata a partire da aprile 2014, permetteva invece agli utenti un qualche controllo sulla condivisione dei loro dati con le app di terze parti, consentendo ad essi di rinunciare (con modalità, dunque, opt-out) alla trasmissione di singole tipologie di dati e di scegliere (modificando un’opzione di consenso pre-flaggata) quali specifiche categorie di dati condividere con le app, così potendo accedervi senza dover necessariamente fornire tutti i dati personali di cui sopra, ma fornendo comunque assenso all’acquisizione dei dati relativi al profilo pubblico dell’utente, che risultava “obbligatorio” per l’attivazione delle app.
L’uso della funzione “Facebook login” da parte delle app di terze parti è risultata inoltre soggetto a specifici termini di servizio e alla disciplina della piattaforma Facebook, periodicamente aggiornati nel corso degli anni, nei quali si richiedeva ai fornitori di app, tra l’altro, di “non trasferire alcun dato ottenuto (tra cui dati derivati, aggregati o anonimi) a provider di reti di inserzioni, broker di dati o altri servizi concernenti la monetizzazione o l'inserzione”, tant’è che – secondo quanto affermato da Facebook – il dr. Kogan, proprio trasferendo i dati acquisiti da quella piattaforma alla società Cambridge Analytica, avrebbe violato la disciplina sopracitata.
Nelle note del 13 giugno, del 15 giugno e del 9 novembre 2018 Facebook ha poi rappresentato che, secondo quanto dichiarato dal dr. Kogan, la sua società Global Science Research non avrebbe fornito a Cambridge Analytica dati di utenti ubicati in Italia, ma solo di utenti situati negli Stati Uniti d’America.
Inoltre, nella nota del 28 marzo 2018, relativamente alla sorte dei dati acquisiti in tali circostanze, Facebook Ireland ha rappresentato quanto segue: “Abbiamo richiesto al Dr. Kogan e GSR, così come a tutti gli altri soggetti con cui erano stati condivisi i dati ottenuti attraverso la app, di tracciare e cancellare in modo inequivocabile tutti i dati e le informazioni rilevanti. Abbiamo contattato direttamente i soggetti terzi destinatari di comunicazioni di dati identificati dal Dr. Kogan e da GSR al fine di ottenere attestazioni di aver tracciato e distrutto tutti i dati di utenti Facebook che avevano ricevuto… Il Dr. Kogan, la società GSR e la società SCL Limited hanno tutti dichiarato che i dati ricevuti sarebbero stati cancellati in modo irreversibile” (dalla courtesy translation, p. 5).
L’esame della funzione “Facebook Login” ha altresì evidenziato importanti carenze di informativa anche da parte delle varie app di volta in volta interessate, che, nella maggioranza dei casi presi in considerazione, non forniscono un’adeguata indicazione circa le finalità e modalità del trattamento dei dati acquisiti, che risultano peraltro generalmente più numerosi di quelli necessari all’autenticazione per via ordinaria, ossia quella della diretta immissione dei propri dati identificativi.
4. Il prodotto “Candidati” e il “messaggio” sulle elezioni del 4 marzo 2018
L’istruttoria avviata ha consentito di verificare anche che, in occasione delle elezioni politiche svoltesi in Italia il 4 marzo 2018, Facebook ha fornito, con specifico riferimento agli utenti italiani, due ulteriori servizi: da un lato, ha installato sulla propria piattaforma il prodotto “Ballot” (o “Candidati”), volto a consentire agli elettori di acquisire informazioni specifiche sui candidati nella propria circoscrizione elettorale;
SCHERMATA 1 – PRESENTAZIONE DEL PRODOTTO “CANDIDATI”
dall’altro nella “Sezione Notizie” degli utenti italiani il giorno 4 marzo 2018 è stato pubblicato un messaggio che, segnalando lo svolgimento delle elezioni politiche, dava la possibilità di acquisire “informazioni sul voto”, ma anche di “condividere” il fatto di aver votato (evidenziando quanti altri utenti avevano sino a quel momento effettuato detta operazione di “condivisione”) invitando anche a far conoscere le proprie convinzioni sull’importanza del voto.
SCHERMATA 2 – MESSAGGIO DEL 4.3.2018
In risposta alle richieste di informazioni relative alle finalità di tali prodotti, Facebook, nelle note del 21 maggio e del 9 novembre 2018, ha dichiarato che essi erano volti “a fornire agli utenti l’opportunità di accedere a informazioni sulle elezioni e di partecipare al dibattito pubblico”, consentendo loro di seguire e connettersi con i candidati e i politici e che, con tali strumenti, utilizzati per le elezioni italiane come in altri Paesi, intendeva “incoraggiare la partecipazione civica”.
Nella nota del 21 maggio 2018 Facebook ha altresì precisato che “i governi impiegano la sua piattaforma per interagire con i propri cittadini” ed ha specificato di aver collaborato con il Ministero dell’Interno e con la Presidenza del Consiglio dei Ministri nella campagna di comunicazione relativa alle elezioni del 4 marzo 2018 (in particolare, sulle specifiche del linguaggio utilizzato per la realizzazione di un video tutorial ufficiale sulle nuove modalità di voto, che è stato diffuso all’interno del suddetto prodotto).
Riguardo alle tipologie di dati raccolti tramite “Candidati” ed al loro utilizzo, Facebook ha fatto rinvio alla propria Data Policy generale (http://www.facebook. com/policy.php) ed ha poi precisato che gli utenti che utilizzavano tale prodotto – disponibile su base volontaria – potevano scegliere di fornire il loro indirizzo postale in modo da poter conoscere chi fossero i candidati della propria zona e ottenere informazioni specifiche su di essi e sui loro programmi. Infatti, ogni candidato presentatosi per il Senato o per la Camera dei Deputati era presente nella lista dello strumento. Utilizzando le informazioni fornite da tali candidati, gli utenti erano in grado di leggere e mettere a confronto le loro posizioni sulle questioni più rilevanti della campagna elettorale e quella dei partiti politici. Inoltre, per avere maggiori informazioni sui requisiti di voto e per comprendere la nuova legge, gli stessi potevano visionare, direttamente dal prodotto “Candidati”, il video tutorial di cui sopra.
Relativamente all’utilizzo dei dati così raccolti, Facebook ha affermato di non aver registrato specifiche informazioni sulle preferenze di voto, ma ha confermato di aver conservato i file di log relativi alla “visita” ai profili dei singoli dei candidati da parte degli utenti. Tali dati, però, secondo quanto dichiarato, sarebbero stati utilizzati “unicamente [per] generare matrici di ingaggio aggregate” al fine di comprendere come “il prodotto era stato utilizzato” e “come esso avrebbe potuto essere migliorato in occasione di future elezioni”. Detti dati sarebbero “stati cancellati dopo 90 giorni”.
Con specifico riferimento, poi, al messaggio sulle elezioni del 4 marzo 2018, Facebook, nella nota del 9 novembre 2018, ha affermato di non aver monitorato il contenuto dei post che gli utenti italiani hanno scelto di pubblicare a tal proposito e ha ricordato che questi possono essere cancellati dagli utenti stessi in qualsiasi momento, ribadendo che “lo scopo dei messaggi inviati agli utenti era semplicemente quello di incoraggiare l’impegno civico sulla … piattaforma”.
OSSERVA
5. Valutazioni di merito
In ordine alla vicenda di Cambridge Analytica, dall’istruttoria non risulta comprovato che la Global Science Research abbia fornito a Cambridge Analytica dati personali di utenti ubicati in Italia, essendo stato affermato che sarebbero state cedute solo informazioni riferite a utenti ubicati negli USA.
Tuttavia, È stata, ammessa la comunicazione dei dati personali di utenti di Facebook ubicati in Italia all’app “Thisisyourdigitallife”, mediante la funzione “Facebook Login”. In particolare, secondo quanto comunicato da Facebook, attraverso i 57 utenti italiani che avrebbero scaricato la suddetta app, sarebbero stati comunicati a questa i dati di 214.077 utenti italiani.
La comunicazione da parte di Facebook dei dati dei propri utenti all’app “Thisyourdigitallife” risulta essere stata realizzata in maniera non conforme agli articoli 13 e 23 del Codice, da un lato, in quanto si è fondata su di un’informativa inidonea e, dall’altro, perché è avvenuta in assenza di un valido consenso.
Il trasferimento di dati in questione è infatti avvenuto sulla base di un’informativa, fornita agli utenti al momento dell’iscrizione a Facebook, dal contenuto onnicomprensivo, generico e di difficile ricostruzione.
Inoltre, il consenso non può ritenersi espressamente, specificamente e liberamente espresso, posto che, nel momento in cui si attivava l’app attraverso la funzione “Facebook login”, agli utenti non veniva lasciata alcuna alternativa rispetto al trasferimento integrale dei dati a suo tempo conferiti a Facebook (Versione.1 della suddetta funzione), ovvero veniva consentito di effettuare solo parziali variazioni, con modalità opt-out, rispetto a scelte già “pre-flaggate” (Versione.2,).
Tale modalità di acquisizione del consenso è già stata più volte dichiarata illecita dal Garante.(1)
La preventiva consapevolezza degli utenti circa i possibili impieghi dei dati che li riguardano (art. 13 del Codice) costituisce l’ineludibile presupposto per consentire loro di prestare o meno il consenso al trattamento dei propri dati. Consenso che, ai sensi dell’art. 23 del Codice, è infatti “validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato”.
Analoga considerazione vale, a maggior ragione, per gli “amici” dell’utente in questione, i quali non potevano immaginare, nel concedere la loro “amicizia” su Facebook, che, per effetto di questa azione, i loro dati avrebbero potuto essere ceduti da soggetti terzi (gli “amici” che attivavano la funzione “Facebook login”) a piattaforme quali “Thisisyourdigitallife”, ed utilizzati per finalità diverse e ignote.
Né si può sostenere, a quest’ultimo proposito – come afferma Facebook, in particolare, nella nota del 15 giugno – che anche gli “amici” dell’utente avessero espresso il loro consenso in quanto, al momento della loro registrazione alla Piattaforma in qualità di utenti, sarebbero stati informati che i loro “amici” avrebbero potuto condividere i loro dati con le app utilizzate su Facebook.
Al contrario, l’informativa in questione, i cui contenuti erano da accettare obbligatoriamente per registrarsi a Facebook, non è da ritenersi idonea a consentire l’espressione di un consenso rispetto a trattamenti di tale tipo. Essa risulta infatti sia generica, sia tale da non prospettare soluzioni alternative al consenso, sia inidonea – perché descrittiva solo degli aspetti positivi dei prodotti Facebook -ad informare in modo esaustivo l’utente dei possibili rischi derivanti dalla condivisione dei dati, quali ad esempio quelli relativi alle molteplici finalità per le quali, attraverso le app utilizzate dagli “amici”, essi possano essere destinati.
Per quanto riguarda la concreta utilizzazione delle informazioni in questione, tuttavia, secondo le dichiarazioni riportate da Facebook, nella nota del 28 marzo 2018 (v. ante, par. 3), i dati raccolti dal dr. Kogan e dalla sua società con l’app “Thisisyourdigitallife” (tra i quali quelli degli utenti italiani) “sarebbero stati cancellati in modo irreversibile”.
Quanto ai trattamenti dei dati raccolti mediante il prodotto “Candidati” e per effetto del “messaggio” del 4 marzo 2018, essi rappresentano funzioni di Facebook specificamente concepite e rivolte, nell’imminenza delle elezioni politiche, ai cittadini italiani.
Nel merito, essi risultano in primo luogo eccedere le finalità indicate nella “data policy” della Piattaforma (https://www.facebook.com/policy.php). Infatti, con la creazione di tali servizi specificamente rivolti ai cittadini italiani nell’imminenza di un importante appuntamento elettorale, Facebook ha posto in essere un’attività difficilmente riconducibile all’ambito delle proprie finalità.
Né i chiarimenti forniti (“La missione di Facebook è di dare alle persone il potere di costruire una comunità e insieme di rendere il mondo più vicino” : nota del 21.5.2018, p. 1), paiono poter far modificare tale ordine di valutazioni.
Principio fondamentale in tema di protezione dei dati personali è che questi ultimi possano essere raccolti solo per finalità determinate ed esplicite (oltre che, ovviamente, legittime) e successivamente trattati in modi non incompatibili con tali finalità (art. 11 del Codice). La dichiarazione delle finalità del trattamento svolto da Facebook appare in linea generale non assistita da tali stringenti requisiti e, a maggior ragione, laddove vengano coinvolti dati potenzialmente “sensibili”, le finalità del relativo trattamento devono essere descritte con la precisione necessaria da un lato, a consentire agli interessati di esprimere il proprio consenso in modo libero e informato e, dall’altro, a permettere alle Autorità competenti di verificare il rispetto dei sopra richiamati requisiti e delle ulteriori disposizioni in materia, con particolare riguardo, ad es., al principio di minimizzazione dei dati.
Mediante i citati servizi Facebook ha infatti trattato una serie di dati personali, alcuni dei quali potenzialmente “idonei a rivelare le opinioni politiche” degli utenti-cittadini italiani, e quindi “dati sensibili” ai sensi dell’art. 4, lettera d), del Codice.
Tali possono ritenersi, in particolare, le condivisioni degli utenti relative all’ essersi recati o meno alle urne e le ulteriori, eventuali dichiarazioni a favore del voto (entrambe rimaste visibili sulla piattaforma, ancorché asseritamente non monitorate da Facebook). Rilevanti appaiono anche, benché idonei a fornire indicazioni meno univoche in ordine alle opinioni politiche dell’interessato, i dati inerenti la consultazione dei profili dei candidati, in prossimità delle elezioni.
Né, del resto, le risposte fornite all’Autorità in sede di istruttoria e, in particolare, la dichiarazione del social network, contenuta nella nota del 9 novembre 2018, secondo cui i dati sull’impiego del prodotto “Candidati” sarebbero stati utilizzati solo allo scopo di “generare metriche aggregate”, può essere considerata sufficiente ed esaustiva, né è idonea a dimostrare il carattere non personale di tale peculiare tipologia di dati ai sensi dell’articolo 4, comma 1, lettera b) del Codice, con la conseguente applicabilità delle relative norme.
Alla luce di tali considerazioni, il trattamento di dati personali (anche sensibili, in quanto come detto astrattamente idonei a rivelare le opinioni politiche dell’interessato) realizzato da Facebook durante la campagna elettorale per le elezioni politiche 2018 risulta illegittimo, in quanto avvenuto con modalità incompatibili con quelle di cui all’articolo 26 del Codice, sulla base di un generico assenso reso dall’utente (all’esito della lettura di un’informativa del tutto inidonea a descrivere compiutamente le reali implicazioni del trattamento stesso.
Infatti, come già osservato, l’informativa che veniva fornita agli utenti era quella di carattere generale, relativa a tutti i servizi e prodotti di Facebook, che gli utenti dovevano confermare di aver visionato durante la fase di registrazione alla piattaforma.
6. Conclusioni
Alla luce di tali considerazioni, deve quindi ritenersi illecita da parte di Facebook senza la predeterminazione di una specifica e determinata finalità, ed in assenza di un’informativa idonea e di uno specifico e legittimo consenso:
• la comunicazione, tramite l’app “Thisisyourdigitalife”, alla società GSR-Global Science Research e ad altri eventuali destinatari, di dati personali di cittadini italiani;
• l’acquisizione mediante il prodotto “Candidati” e il successivo trattamento di dati personali, ivi compresi i file di log ed eventuali matrici aggregate, potenzialmente idonei a rivelare le opinioni politiche;
• il trattamento di dati ed informazioni espresse dagli utenti, anche tramite la funzione “condivisione” di Facebook, su sollecitazione del “messaggio” del 4 marzo 2018.
Pertanto, preso atto delle dichiarazioni relative all’avvenuta cancellazione “in modo irreversibile” da parte della società GSR-Global Science Research e degli altri soggetti destinatari, dei dati ottenuti tramite l’app “Thisisyourdigitalife”, devono essere vietati a Facebook:
1. l’ulteriore trattamento, ivi compresa la conservazione, dei dati personali acquisiti mediante il descritto prodotto “Candidati”;
2. ogni trattamento di dati ed informazioni espresse dagli utenti, ivi compresa l’azione di “condivisione”, su sollecitazione del “messaggio” del 4 marzo 2018, ad eccezione della loro conservazione sulla piattaforma, fino ad eventuale rimozione da parte degli stessi utenti interessati.
L’Autorità si riserva, con autonomo procedimento, di contestare le violazioni amministrative concernenti i profili relativi all’informativa incompleta e inadeguata (art. 13 del Codice), alla mancata o inidonea prestazione del consenso da parte degli interessati (art. 23 e 26 del Codice), al non adeguato riscontro alla richiesta di informazioni formulata da questa Autorità art. 157 del Codice, nonché ogni ulteriore profilo inerente lo svolgimento di trattamenti in violazione delle finalità dichiarate e, più in generale, dell’art. 11 del Codice.
Si rileva da ultimo che l’applicabilità del Regolamento(UE) 2016/679, nel comportare obblighi di cooperazione tra le Autorità di controllo interessate dal trattamento transfrontaliero in esame (artt. 4, n. 23); 56, par. 1 e art. 60 del Regolamento (UE) 2016/679), rende opportuna la trasmissione del presente provvedimento all’Autorità di protezione dei dati irlandese in qualità di Autorità del Paese nel quale è insediato lo stabilimento principale di Facebook, per ogni eventuale valutazione e determinazione di competenza, in cooperazione con questa Autorità.
TUTTO CIO’ PREMESSO, IL GARANTE
- rilevata l’illiceità dei suesposti trattamenti posti in essere da Facebook, in vigenza della Direttiva 95/46/CE e del Codice, per le motivazioni di cui in premessa, consistenti:
1) nella comunicazione, tramite l'app "Thisisyourdigitalife", alla società GSR-Global Science Research e ad altri eventuali destinatari, di dati personali in assenza di un'informativa idonea e di uno specifico e valido consenso anche nel caso in cui risultino comprovate le dichiarazioni relative all’avvenuta cancellazione “in modo irreversibile” da parte della predetta società e degli altri soggetti destinatari, dei dati ottenuti tramite l’app sopraindicata;
2) nell’acquisizione mediante il prodotto “Candidati” e il successivo trattamento di dati personali, ivi compresi i file di log ed eventuali matrici aggregate, potenzialmente idonei a rilevare le opinioni politiche degli interessati in assenza di un'informativa idonea di uno specifico e valido consenso;
a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento:
1) vieta a Facebook l’ulteriore trattamento, ivi compresa la conservazione, dei dati acquisiti mediante il prodotto “Candidati”;
2) vieta a Facebook ogni trattamento di dati ed informazioni espresse dagli utenti, anche mediante l’azione di “condivisione”, su sollecitazione del “messaggio” del 4 marzo 2018, ad eccezione della loro conservazione sulla piattaforma fino ad eventuale rimozione da parte degli utenti interessati;
b) ai sensi dell'art. 58, par. 1, lett. a), del Regolamento, ingiunge a Facebook di fornire a questa Autorità adeguato riscontro, entro 30 giorni dalla ricezione del presente provvedimento, in ordine alle misure adottate al fine di consentire il rispetto dei divieti di cui alle lettere a) e b). Si ricorda che il mancato riscontro alle richieste formulate ai sensi dell'art. 58 è punito con la sanzione amministrativa ai sensi del combinato disposto di cui agli artt. art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679 e 166 del Codice.
Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.
Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 10 gennaio 2019
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia