Cambridge Analytica, multa a Facebook per privacy cosa cambia?


Gli effetti dello scandalo Cambridge Analytica e le prese di posizione dell’Autorità per la tutela dei dati personali impongono alle aziende di prepararsi a più controlli sull’uso delle informazioni

Il fondatore di Facebook Mark Zuckerberg spiega le novità di Facebook alla conferenza degli sviluppatori F8 (foto: Amy Osborne/Afp/Getty Images)
Il fondatore di Facebook Mark Zuckerberg spiega le novità di Facebook alla conferenza degli sviluppatori F8 (foto: Amy Osborne/Afp/Getty Images)

A marzo 2018 era emersa la notizia secondo cui una società di ricerca inglese, Cambridge Analytica, avrebbe utilizzato i dati di 87 milioni di utenti Facebook per delineare la loro personalità, mediante una profilazione psicologica, con il presunto obiettivo di influenzare le elezioni americane del 2016.

A questa notizia era seguita una richiesta di informazioni da parte del Garante privacy italiano a Facebook per comprendere l’eventuale utilizzo di dati di utenti situati in Italia da parte di Cambridge Analytica.

Dall’indagine emergeva che, tramite l’applicazione denominata This is your digital life presente su Facebook, fosse possibile raccogliere dei dati degli utenti poi condivisi – tramite la funzione Facebook login – con Cambridge Analytica per finalità di profilazione psicologica degli utenti e successiva elaborazione di campagne promozionali altamente personalizzate, attraverso un quiz gestito dalla società Gsr-Global Science Research.

Il caso in Italia

Dagli accertamenti svolti dal Garante è emerso che 57 utenti italiani avevano scaricato l’applicazione e che, in ragione della possibilità consentita dal Facebook login di condividere i dati degli “amici”, tale applicazione aveva acquisito e condiviso con Cambridge Analytica i dati di 214.077 utenti italiani.

Il Garante aveva già emesso nel gennaio 2019 un provvedimento nei confronti di Facebook rispetto a questa condotta e il nuovo provvedimento ha solo l’obiettivo di quantificare la sanzione eventualmente dovuta da Facebook rispetto alla condotta contestata.

Le contestazioni

In particolare, le contestazioni sollevate nei confronti di Facebook riguardano la mancata consegna dell’informativa privacy e il mancato conseguimento del consenso alla comunicazione dei dati a Cambridge Analytica in relazione ai 214.077 utenti italiani che erano “amici” sul social media degli utenti che avevano scaricato l’applicazione, con l’aggravante che il tutto era avvenuto con riferimento ad una banca dati di rilevanti dimensioni.

Secondo il Garante, infatti, i 214.077 utenti non avevano ricevuto alcuna informazione dettagliata circa le modalità di trattamento dei loro dati personali e non avevano prestato alcun consenso specifico alla loro comunicazione. Quindi non potevano immaginare che nel concedere la loro “amicizia” su Facebook, i loro dati sarebbero stati ceduti a terzi.

Ma la condotta di Facebook è stata contestata anche con riferimento al prodotto Ballot (anche detto Candidati), un servizio utilizzato durante le elezioni italiane del 4 marzo 2018 per consentire agli utenti di condividere la notizia di essersi recati al voto. Tale informazione, insieme con il commento dell’utente nella condivisione della notizia che accompagnava la dichiarazione di voto, comportava – a giudizio del Garante – la raccolta di dati sensibili quali le informazioni sull’orientamento politico.

La multa

A seguito delle contestazioni sopra indicate, Facebook Ireland aveva già provveduto al pagamento delle sanzioni per le quali il pagamento poteva avvenire in misura ridotta. Quindi, il nuovo provvedimento del Garante riguarda unicamente l’aggravante dell’avvenuta violazione rispetto a una banca dati di particolare rilevanza e dimensioni per la quale il pagamento ridotto non è consentito.

Tuttavia, a giudizio del Garante, il medesimo pagamento in misura ridotta preclude a Facebook di contestare la fondatezza delle violazioni, in quanto rappresenta una riconoscimento delle stesse. E infatti, il principale rilievo sollevato da Facebook riguardava la mancanza di giurisdizione da parte del Garante rispetto a Facebook Ireland che ha sede in Irlanda.

Il Garante italiano ha ritenuto invece di avere giurisdizione anche perché l’attività oggetto della contestazione ha riguardato degli utenti italiani, anticipando in qualche modo il principio del cosiddetto targeting, ora espressamente previsto dal Gdpr, anche alla luce delle attività di promozione del social network svolte da Facebook Italy.

Per i motivi sopra esposti il Garante ha emesso una sanzione pari a  250mila euro, che è stata quadruplicata fino a raggiungere 1 milione di euro, alla luce delle condizioni economiche di Facebook che avrebbero altrimenti reso inefficace la sanzione.

Il valore della sanzione

Questo importo può sembrare irrisorio rispetto alla portata della violazione e alle condizioni economiche di Facebook. Si deve considerare però che, come sottolineato dallo stesso Garante, la violazione è avvenuta prima del 25 maggio 2018 e quindi le sanzioni applicabili erano quelle previste dal codice privacy, prima dell’inizio dell’efficacia del Gdpr. Qualora la medesima violazione fosse stata emessa durante l’applicabilità del regolamento privacy europeo, Facebook avrebbe rischiato una sanzione di oltre 2 miliardi, tenendo conto che le sanzioni possono raggiungere il 4% del fatturato dell’anno precedente alla violazione.

Il provvedimento del Garante dimostra ancora una volta l’approccio rigido che la nostra autorità privacy vuole assumere rispetto alla tutela del trattamento dei dati personali. E una conferma di ciò è data dalla ripresa delle ispezioni del Garante nel 2019 che sono diventate sempre più invasive, anche grazie al supporto di tecnici informatici e del personale della Guardia di Finanza.

Le aziende devono essere pronte a giustificare le posizioni assunte rispetto al trattamento dei dati personali, a gestire un’ispezione e a difendere le proprie scelte, altrimenti i rischi di possibili sanzioni sono elevati.

* socio responsabile del settore technology dello studio legale Dla Piper

Potrebbe interessarti anche





Source link