Il Garante a Facebook: stop ai fake e trasparenza sui dati.

(Garante della Privacy, 27 aprile 2016, n. 414)

Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”. Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura.

Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web [doc. web n. 4833448], nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani. Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche sulle finalità, le modalità e la logica del trattamento dei dati, i soggetti cui sono stati comunicati o che possano venirne a conoscenza.

Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente.

L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona  da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato. Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata.

L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la  comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.

Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale. La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd  che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account. Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso.

L’Autorità non ha invece ritenuto opportuno ordinare alla società la  cancellazione  delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati.

Ha di conseguenza  imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria.

Garante della Privacy, provvedimento 11 febbraio 2016, n. 56

[doc. web n. 4833448]

Registro dei provvedimenti
n. 56 dell’11 febbraio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna alla presenza del dott. Antonello Soro, presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 9 novembre 2015 nei confronti di Facebook Ireland Ltd con il quale XY, titolare di un account Facebook, rappresentato e difeso dall’avv. Giuseppe Innamorati, ha lamentato di essere stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato” sopra descritti;

PRESO ATTO che in detto atto di ricorso, l’interessato ha in particolare rappresentato:

– che, non avendo accettato di sottostare alle indebite richieste di denaro rivoltegli da tale persona, questa avrebbe creato un falso account – utilizzando i suoi dati personali e la fotografia postata sul suo profilo – dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotografie e video artefatti con fotomontaggio (che lo ritraevano “intento in attività sessuali anche con minori”) gravemente lesivi dell’onore e del decoro oltre che dell’immagine pubblica e privata del ricorrente, noto professionista e titolare di una carica istituzionale in ambito locale;

– di aver immediatamente chiesto a Facebook, tramite il previsto servizio on-line, la rimozione delle false foto/video montaggi a contenuto diffamatorio ricevendo “notizia da terzi che il falso profilo “Facebook” era stato eliminato e che le conversazioni presenti sull’account”  di sua effettiva titolarità “erano state oscurate con dicitura di indisponibilità”;

– di aver trasmesso a Facebook Ireland Ltd una lettera raccomandata datata 7 ottobre 2015, contenente, ai sensi della Sezione IV della Legge sulla protezione dei dati personali irlandese, una richiesta di accesso a tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;

– di aver altresì trasmesso a Facebook Ireland Ltd con altra lettera raccomandata, sempre datata 7 ottobre 2015, un’istanza ai sensi degli artt. 7 e 8 del Codice in materia di protezione dati personali (in appresso “Codice”) con la quale ha chiesto:

a) la conferma dell’esistenza e la comunicazione in forma intelligibile di tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;

b) di conoscere l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza;

c) la cancellazione e il blocco del falso account e dei dati, fotografia inclusa, illecitamente inseriti dallo stesso falso account e condivisi nel social nework, oltre all’attestazione che tale operazione è stata portata a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi;

d) e  si è opposto al trattamento dei dati in questione;

PRESO ATTO che l’interessato, dopo aver ricevuto da Facebook Ireland Ltd in data 20 ottobre 2015 una comunicazione e-mail contenente le istruzioni per accedere ai propri dati personali, ha acquisito tramite il servizio “download tool” una serie di dati, peraltro non intelligibili perchè indicati con codici, numeri e sigle, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network;

CONSIDERATO che, sempre tramite tale “strumento self-service”, il ricorrente ha avuto anche modo di riscontrare come tutte le conversazioni con l’autore del falso account (sia quelle colloquiali che quelle integranti gli asseriti illeciti) non erano state cancellate, nonostante dopo la segnalazione del ricorrente fossero risultate, secondo informazioni ricevute da terzi, indisponibili nel proprio account;

PRESO ATTO che con il ricorso ex art. 145 del Codice il ricorrente ha ribadito tutte le richieste già avanzate nei confronti di Facebook Ireland Ltd con il citato interpello preventivo rivolto ai sensi degli artt. 7 e 8 del medesimo Codice;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 13 novembre 2015 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice, ha invitato Facebook Ireland Ltd e Facebook Italy s.r.l. a fornire riscontro alle richieste dell’interessato, nonché la nota del 5 gennaio 2016 con cui è stata disposta, ai sensi dell’art. 149, comma 7, del medesimo Codice, la proroga del termine per la decisione sul ricorso;

VISTA la nota dell’11 dicembre 2015 con la quale Facebook Ireland Ltd ha dichiarato di aver “già intrapreso le azioni necessarie per cancellare il falso account (…) segnalato dal ricorrente tramite i (…) tool di reporting”;

PRESO ATTO che nella medesima nota (il cui contenuto è stato ribadito anche con successiva nota del 14 gennaio 2016), Facebook Ireland Ltd ha comunicato che “se il segnalante ha un account valido, può accedere ai propri dati personali utilizzando il (…) tool Download” ed ha anche aggiunto che “se il segnalante desidera ottenere dati relativi ad un account che non è di sua proprietà, può consultare il (…) centro di assistenza per maggiori informazioni in merito a forze dell’ordine e questioni di terzi, incluso informazioni sulle citazioni in ambito civile”;

VISTA la nota del 19 gennaio 2016 con la quale il ricorrente si è dichiarato insoddisfatto del riscontro ricevuto, insistendo per l’accoglimento di tutte le richieste formulate nell’atto di ricorso;

CONSIDERATO che ai fini della valutazione del caso di specie è necessario preliminarmente accertare il diritto ad esso applicabile, rilevato peraltro che comunque Facebook nulla ha eccepito nel corso del procedimento in merito alla giurisdizione di questa Autorità;

TENUTO CONTO che nel territorio nazionale opera un’organizzazione stabile, Facebook Italy s.r.l., società che ha per oggetto “la fornitura di servizi internet e di servizi di vendita, la vendita di spazi pubblicitari on-line, il marketing ed ogni attività connessa”;

PRESO ATTO che, pur non risultando il trattamento dei dati personali in questione effettuato direttamente dal predetto stabilimento italiano, lo stesso viene comunque svolto “nel contesto delle attività” di Facebook Italy s.r.l. e considerato altresì che le attività delle due società sono “inestricabilmente connesse” poiché l’attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd (cfr. art. 5, comma 1, del Codice in materia di protezione dei dati personali, art. 4 paragrafo 1, lett. A) della Direttiva 95/46/EC, sentenza della Corte di Giustizia Europea Google Spain del 13 maggio 2014);

RILEVATO quindi che al caso di specie risulta applicabile il diritto nazionale (cfr. sentenza della Corte di Giustizia Europea Weltimmo del 1° ottobre 2015 C, nonché il WP 179 Update del 16 dicembre 2015) e che pertanto l’odierno ricorso può essere validamente preso in esame;

RILEVATO dunque che il ricorrente, ai sensi della normativa italiana, è legittimato ad accedere a tutti i dati che lo riguardano, ivi compresi quelli inseriti e condivisi nel social network Facebook dal falso account trattandosi di informazioni, fotografie e contenuti che si riferiscono alla sua persona e considerato che la società resistente, pur avendo dichiarato nel corso del procedimento di aver intrapreso le azioni necessarie per cancellare il falso account, non ha finora dato corso:

– né alla richiesta di accesso avanzata dall’interessato, essendosi limitata a fornire al medesimo solo le istruzioni per accedere ai dati relativi all’account valido attraverso uno strumento self-service disponibile on-line;

– né alle ulteriori richieste di cui all’art. 7, comma 2, del Codice;

RITENUTO pertanto di dover accogliere il ricorso e, per l’effetto, ordinare alla società resistente di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato indicazioni  circa le richieste di cui all’art. 7, comma 2, del Codice, entro e non oltre trenta giorni dalla ricezione della presente decisione;

RILEVATO che i profili di illiceità del trattamento dei dati riguardo ai quali è stata chiesta la cancellazione e il blocco e manifestata l’opposizione da parte del ricorrente non sono stati contestati nel corso del procedimento dalla società resistente, la quale ha oltretutto dichiarato di aver intrapreso le azioni necessarie per la cancellazione del falso account;

CONSIDERATO che dette informazioni appaiono potenzialmente valutabili in sede di accertamento di eventuali reati e che pertanto non risulta opportuno procedere direttamente alla loro cancellazione;

RITENUTO quindi, alla luce di quanto sopra esposto, di dover accogliere il ricorso e, per l’effetto, di dover ordinare alla società resistente, con effetto immediato dalla data di ricezione del presente provvedimento, di non effettuare alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE:

accoglie il ricorso e, per l’effetto, ordina a Facebook:

a) di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato informazioni  circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza, entro e non oltre trenta giorni dalla ricezione della presente decisione;

b) di non effettuare, con effetto immediato dalla data di ricezione del presente provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria.

Il Garante, nel chiedere a Facebook, ai sensi dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro quarantacinque giorni dalla ricezione dello stesso, ricorda che l’inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell’art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Time limit is exhausted. Please reload CAPTCHA.