Il Garante Privacy italiano condanna Facebook: Davide contro Golia

di Morena Ragone - 16 maggio 2016 - Google +

Importante pronuncia quella del Garante Privacy italiano dell’11 febbraio 2016, n. 56 e di certo non solo perché risulta essere la prima contro il colosso Facebook.

Importante perché si incentra su due punti, i fake account e la gestione delle informazioni personali, che erano/sono già state oggetto di particolare attenzione da parte delle autorità competenti in molte parti del mondo.

Nel caso di specie, il ricorrente aveva contattato Facebook Ireland Ltd lamentando di essere stato vittima di “minacce, tentativi di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di un altro utente di Facebook”. L’account “amico” in questione avrebbe chiesto e ottenuto, appunto, l’amicizia, e intrattenuto conversazioni private sfociate nel tentativo di reato.

Reato, appunto (meglio sottolinearlo).

Al rifiuto di sottostare alle richieste estorsive, il presunto amico avrebbe creato un falso account, utilizzando dati personali e la fotografia dell’amico - tutte informazioni presenti sul profilo - per inviare a tutti i contatti dell’amico “fotomontaggi di fotografie e video”.

Facebook aveva prontamente provveduto alla rimozione dell’account fake e a rendere indisponibili le conversazioni private, ma non aveva pienamente riscontrato le richieste successive, e precisamente:

  • una richiesta di accesso a tutti i dati i propri dati (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;
  • un’istanza ai sensi degli artt. 7 e 8 del Codice Privacy relativa a:
  1. la conferma dell’esistenza e la comunicazione in forma intelligibile di tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;
  2. l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza;
  3. la cancellazione e il blocco del falso account e dei dati, fotografia inclusa, illecitamente inseriti dallo stesso falso account e condivisi nel social network, oltre all’attestazione che tale operazione è stata portata a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi;
  4. il blocco del trattamento dei dati in questione.

La parziale risposta di Facebook si era concretizzata nell’invio di un link per l’accesso ai propri dati personali, che consentiva di acquisire “una serie di dati, peraltro non intelligibili perché indicati con codici, numeri e sigle, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network”, verificando, altresì, “che tutte le conversazioni con l’autore del falso account (sia quelle colloquiali che quelle integranti gli asseriti illeciti) non erano state cancellate, nonostante dopo la segnalazione del ricorrente fossero risultate, secondo informazioni ricevute da terzi, indisponibili nel proprio account”.

Pertanto, il ricorrente si era rivolto all’Authority, lamentando la situazione già esposta alla società californiana, l’esistenza di “fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata”, e chiedendo la cancellazione e il blocco del falso account, nonché la comunicazione dei suoi dati - compresi quelli presenti nel fake - in forma chiara.

Prima di pronunciarsi nel merito, il Garante - attraverso una ricognizione della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea Google Spain del 13 maggio 2014 e Weltimmodel 1 ottobre 2015 - ha affermato la propria competenza quale Autorità Nazionale,dal momento che, “pur non risultando il trattamento dei dati personali in questione effettuato direttamente dal predetto stabilimento italiano, lo stesso viene comunque svolto “nel contesto delle attività” di Facebook Italy s.r.l. e considerato altresì che le attività delle due società sono “inestricabilmente connesse” poiché l’attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd (cfr. art. 5, comma 1, del Codice in materia di protezione dei dati personali, art. 4 paragrafo 1, lett. A) della Direttiva 95/46/EC, sentenza della Corte di Giustizia Europea Google Spain del 13 maggio 2014)”, identificava in Facebook Italy Ltd. la “stabile organizzazione” prevista dalla normativa in vigore.

Pertanto, alla luce delle osservazioni svolte, il Garante ha accolto la richiesta - rilevando, tra l’altro, che i profili di illiceità del trattamento dei dati riguardo ai quali è stata chiesta la cancellazione e il blocco e manifestata l’opposizione da parte del ricorrente non sono stati contestati nel corso del procedimento dalla società resistente, la quale ha oltretutto dichiarato di aver intrapreso le azioni necessarie per la cancellazione del falso account - e ha ordinato a Facebook:

  • di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato informazioni circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza, entro e non oltre trenta giorni dalla ricezione della presente decisione;
  • al contempo, pur non ritenendo opportuno ordinare alla società la cancellazione delle informazioni “poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati, ha imposto di non effettuare alcun ulteriore trattamento dei dati del ricorrente inseriti nel social network dal falso account.

Il tutto entro 45 giorni della ricezione della decisione del ricorso.

Una pronuncia davvero interessante, sulla cui definizione spero ci saranno date ulteriori notizie. Sicuramente, una pronuncia apripista per i molti che, adesso, avranno un motivo in più per affrontare con maggiore tranquillità un giudizio dinanzi al Garante.

Davide contro Golia.

 

Morena Ragone

@morenaragone


0 Commenti :

Commento

Captcha

MORENA RAGONE

/media/8293940/morena-ragone-55x55.jpg
SOCIAL MEDIA E TECNOLOGIA
Account twitter Account LinkedIn Feed RSS

Giurista, dottoranda di ricerca presso l’Università di Foggia, ha esercitato come avvocato per molti anni. Studiosa di diritto di Internet e delle nuove tecnologie, diritto d’autore, informatica giuridica, eGovernment, Open Govenment e Open data, ha approfondito le problematiche giuridiche connesse alla rete e ai nuovi media ed alla tutela e al trattamento dei dati personali. E’ docente e relatrice in convegni di settore e formatrice per la pubblica amministrazione ed il settore privato. Pubblica articoli di approfondimento sui quotidiani giuridici online Altalex e LeggiOggi, su ForumPA, Pionero e MySolutionPost. E’ co-fondatrice dell’Associazione Wikitalia e tra i promotori degli Stati Generali dell’Innovazione, della quale è anche membro del Direttivo. E’ componente del Comitato degli Esperti in Innovazione di OMAT360, membro del Comitato Scientifico della Scuola per giovani amministratori YPBPR - Youth Politician’ Best Practice - e della collana di ebook “Cambiamo Modello” di SGI/Garamond, nonchè componente del comitato di redazione delle riviste “Documento Digitale” e “eCloud”. E’ consulente giuridico per Stati Generali dell’Innovazione e IWA Italy. Attualmente lavora come responsabile di Azione del Fondo Europeo di Sviluppo Regionale presso la Regione Puglia.

Impresa
Foia, tra pochi giorni si parte
14 dicembre 2016
Impresa
Diritti di privativa e apertura: in quale mondo viviamo?
1 novembre 2016
Impresa
Una riforma per la riforma: CAD che pasticcio!
1 novembre 2016

ARCHIVIO