Facebook per la prima volta sanzionata in Italia con un provvedimento da 1.000.000 di euro
Indice
1. Premesse
2. Il caso
3. Il servizio “Candidati”
4. Violazioni contestate a Facebook
5. I criteri applicati per la quantificazione della sanzione
6. Conclusioni
1. Premesse
Il 14 giugno scorso Facebook Italy S.r.l. e Facebook Ireland Ltd sono state sanzionate dal Garante Privacy italiano per il pagamento di 1.000.000 (un milione) di euro.
Il provvedimento è significativo in quanto rappresenta la prima sanzione emessa dal Garante nazionale nei confronti del colosso dei social network, tra l’altro, applicando il regime sanzionatorio della precedente normativa nazionale sulla protezione dei dati personali (ovvero il codice privacy ante GDPR).
2. Il caso
Le violazioni contestate riguardavano il coinvolgimento di Facebook nella vicenda – di grande impatto mediatico – che ha visto protagonista la società britannica Cambridge Analytica.
Tale coinvolgimento ha portato il Garante, nel mese di marzo 2018, ad avviare un’intensa attività di indagine nei confronti di Facebook Italy S.r.l. e Facebook Ireland Ltd, al fine di verificare se, tra i dati personali oggetto di trattamento illecito nella vicenda di Cambridge Analytica, vi fossero anche dati appartenenti a cittadini italiani.
Dai controlli è emerso che 57 utenti italiani, nel periodo interessato, avevano scaricato tramite Facebook l’app di terza parte denominata “Thisisyourdigitallife”, che raccoglieva i dati dei profili Facebook dei propri utilizzatori (di tutto il mondo, quindi anche degli utenti italiani) e li trasmetteva alla società Cambridge Analytica.
La comunicazione dei dati degli utenti, da Facebook all’app Thisisyourdigitallife, avveniva mediante la funzione “Facebook login” che, in una prima versione, consentiva l’attivazione dell’app solo se l’utente accettava l’integrale condivisione dei propri dati con Thisisyourdigitallife; in una seconda versione, all’utente era data la possibilità di scegliere se disattivare o meno la condivisione – preimpostata – solo di alcune categorie di dati (tranne quelli del profilo pubblico, la cui condivisione risultava obbligatoria per attivare l’app).
Inoltre, dalle indagini è risultato che la funzionalità Facebook login, oltre a consentire la comunicazione a Thisisyourdigitallife dei dati dei 57 utenti che avevano scaricato l’app, comunicava anche i dati degli “amici” di questi ultimi.
Pertanto, mediante il servizio Facebook login, nelle due versioni rilasciate, Thisisyourdigitallife è entrata in possesso dei dati di ben 214.077 utenti Facebook italiani che non avevano scaricato l’app.
3. Il servizio “Candidati”
Durante le indagini relative al caso Cambridge Analytica, il Garante è venuto a conoscenza anche di un particolare prodotto offerto da Facebook, ai soli utenti italiani, in occasione delle elezioni generali del 4 marzo 2018.
Il servizio “Ballot” o “Candidati”, proposto da Facebook, consentiva agli utenti, da un lato, di acquisire informazioni sui candidati politici della propria circoscrizione; dall’altro, di condividere sul social il fatto di essersi recato a votare.
Quest’ultima operazione era stata incoraggiata da un messaggio pubblicato da Facebook il 4 marzo 2018 nella “Sezione Notizie” degli account, che invitava gli utenti a rendere note le proprie convinzioni sull’importanza del voto.
Alla richiesta di informazioni formulata dal Garante in merito a tale servizio, Facebook ha risposto negando di aver tracciato specifiche informazioni sulle preferenze di voto espresse dagli utenti e ha precisato di aver conservato solo i log relativi alle visite ai profili dei singoli candidati effettuate dagli utenti.
In sostanza, Facebook ha dichiarato di aver predisposto il prodotto “Candidati” in collaborazione con il Ministero degli Interni e la Presidenza del Consiglio dei Ministri per scopi finalizzati esclusivamente ad accrescere la partecipazione civica, incoraggiando i cittadini all’esercizio del diritto di voto.
Il Garante ha ritenuto che le informazioni raccolte da Facebook con il citato servizio fossero potenzialmente idonee a rivelare le convinzioni politiche degli utenti interessati, dati considerati di natura “sensibile” ai sensi della normativa nazionale e europea. Pertanto, con il provvedimento del 10 gennaio 2019 ha inibito a Facebook l’utilizzo dei dati raccolti e dichiarato illecita l’acquisizione di dati personali mediante il servizio “Candidati”.
4. Violazioni contestate a Facebook
All’esito delle indagini sopra descritte, con il provvedimento n.134/2019, citato in premesse, il Garante ha ritenuto sussistenti diverse violazioni commesse da Facebook Italy S.r.l. e Facebook Ireland Ltd, riepilogate nella tabella che segue, con i riferimenti a norme violate e relative norme sanzionatorie con importi edittali (articoli riferiti al vecchio codice privacy, ora abrogati):
|
|
Violazione |
Norma violata |
Norma sanzionatoria. Importo sanzione |
|
A. |
inidoneità dell’informativa resa ai propri utenti in merito alla condivisione dei loro dati con soggetti terzi, in relazione a prodotti e servizi (app) forniti dal social network |
articolo 13: Informativa |
Articolo 161: omessa o inidonea informativa all’interessato sanzione amministrativa da 6.000 a 36.000 euro |
|
B. |
illegittimità e vizi del consenso, in quanto: (i) acquisito da Facebook mediante sistemi di Opt-out preimpostati e vincolanti, che limitano la libertà di scelta degli utenti, (ii) non informato mediante un’informativa idonea; (iii) raccolto per finalità indefinite |
Articolo 23: Consenso |
Articolo 162, comma 2-bis: altre fattispecie sanzione amministrativa da 10.000 a 120.000 euro |
|
C. |
mancato riscontro ad una richiesta di informazioni e esibizione documenti formulata dal Garante a Facebook |
Articolo 157: richiesta di informazioni e di esibizione di documenti |
Articolo 164: omessa informazioni o esibizione al Garante sanzione amministrativa da 20.000 a 120.000 euro |
|
D. |
circostanza aggravante per cui le violazioni di cui alle lettere A. e B. sono state commesse dalle due società di Facebook in relazione a banche dati di particolare rilevanza e dimensioni |
|
Articolo 164-bis, comma 2: casi di minore gravità e ipotesi aggravate sanzione amministrativa da 50.000 a 300.000 euro (pagamento in misura ridotta non ammesso) |
5. I criteri applicati per la quantificazione della sanzione
È interessante, a questo punto, esaminare i criteri e il percorso valutativo seguiti dal Garante per la quantificazione dell’importo di 1.000.000 di euro.
La normativa nazionale applicata per la quantificazione delle sanzioni amministrative è quella della Legge n.689/1981, che consente, in alcuni casi, il pagamento in misura ridotta delle sanzioni (articolo 16).
Nel caso di specie, le due società di Facebook si sono avvalse di tale possibilità per le violazioni di cui alle lettere A., B. e C. della tabella che precede, pagando, quindi, una somma complessiva di 52.000 euro.
Per quanto riguarda la violazione di cui alla lettera D. della tabella, non essendo previsto il pagamento in misura ridotta, il Garante, per la determinazione della relativa sanzione, ha applicato i criteri previsti dall’articolo 11 della Legge n.689/1989.
Tale disposizione prevede che, quando è fissato un minimo e un massimo edittale per la sanzione, la relativa quantificazione deve tenere conto delle seguenti circostanze:
- gravità della violazione;
- opera svolta dal contravventore per attenuare o eliminare le conseguenze della violazione;
- personalità del contravventore;
- condizioni economiche.
Sulla base di tali criteri, il Garante ha ritenuto di particolare gravità il fatto che con soli 57 utenti scaricanti l’app Thisisyourdigitallife, Facebook riuscisse a determinare la condivisione dei dati di altri 214.077 utenti che non avevano scaricato l’app.
Sul piano dell’opera svolta da Facebook per limitare le conseguenze, il Garante ha valutato positivamente il fatto che, in relazione al servizio “Candidati”, il colosso dei social network si fosse uniformato nei tempi alle prescrizioni del Garante.
Per quanto riguarda il criterio della personalità del contravventore, è risultato favorevole per Facebook il fatto di non essere mai stata destinataria in precedenza di provvedimenti di natura sanzionatoria da parte del Garante italiano.
In ultima analisi, il Garante ha tenuto conto delle condizioni economiche delle società, riferendosi all’ultimo bilancio di esercizio per Facebook Italy S.r.l. e al fatturato complessivo e al patrimonio netto generato da Facebook Ireland Ltd.
All’esito delle suddette valutazioni, per la violazione di cui alla lettera D. della tabella – con minimo e massimo edittale rispettivamente di 50.000 e 300.000 euro – l’Autorità ha ritenuto di quantificare la sanzione in euro 250.000.
Tale somma, in forza del comma 4 dell’articolo 164-bis del vecchio codice privacy, poteva essere ulteriormente aumentata fino al quadruplo in ragione delle condizioni economiche del contravventore.
Il Garante, ritenendo necessario e congruo l’aumento del quadruplo dell’importo di 250.000 euro, ha così determinato la somma finale, da pagare in solido da parte delle due società di Facebook, in 1.000.000 di euro.
6. Conclusioni
Il provvedimento crea un precedente nella storia sanzionatoria del Garante italiano nei confronti del gigante dei social network e descrive con accuratezza il percorso seguito dall’Autorità per la determinazione dell’importo della sanzione.
A livello mediatico, c’è stato chi ha criticato l’esiguità della sanzione, vista la natura e le dimensioni del contravventore, tuttavia, i passaggi descritti dal Garante nel provvedimento (pubblicato sul proprio sito web), non lasciano dubbi in merito al fatto che la sanzione è stata quantificata considerando quasi il massimo che si potesse attribuire in termini di importo, chiaramente nei limiti consentiti dalla legge.
A parere di chi scrive, ferma restando la rilevanza operativa del provvedimento, l’interrogativo che resta è il seguente:
come sarebbe stata determinata la responsabilità delle due società di Facebook per le violazioni contestate e a quanto sarebbe ammontato l’importo della sanzione se si fossero dovuti applicare le disposizioni e il regime sanzionatorio previsti dal GDPR?
(Provvedimenti del Garante privacy, n.5 del 10 gennaio 2019 e n.134 del 14 giugno 2019)
