L’Information Commissioner’s Office (ICO), organismo indipendente del Regno Unito, ha multato Facebook (mezzo milione di sterline) per gravi violazioni della legge sulla protezione dei dati. L’indagine dell’ICO ha rilevato che tra il 2007 e il 2014, Facebook avrebbe elaborato dati personali degli utenti in modo illecito. Facebook non sarebbe nemmeno riuscita a proteggere adeguatamente le informazioni personali degli utenti. Infatti uno sviluppatore, il dott. Aleksandr Kogan e la sua società GSR, avrebbero raccolto i dati di Facebook di oltre 87 milioni di persone in tutto il mondo, a loro insaputa. Un sottoinsieme di questi dati è stato successivamente condiviso con altre organizzazioni, tra cui SCL Group, la società madre di Cambridge Analytica, coinvolte in campagne politiche negli Stati Uniti.
La notifica recapitata
L’indagine
L’Autorità ha accertato che dal lancio della piattaforma di Facebook nel maggio 2007, questi ha consentito a terzi soggetti di ottenere dati personali sugli utenti della piattaforma. E fin qui nulla di grave, se l’utente che li cedeva era consapevole ed informato. Il problema è che le cessioni di dati riguardavano, non solo coloro che installavano l’app di terzi, ma anche dei loro amici. Quindi il nostro “amico facebook”, non solo cedeva i suoi dati, ma anche quelli di tutti i suoi amici (cioè i nostri).
Nel 2013, tale Dr. Aleksandr Kogan creò un’app, che in seguito divenne nota come “thisisyourdigitallife”, da utilizzare insieme alla piattaforma di Facebook. Il dott. Kogan avrebbe agito sia a titolo personale che per mezzo della sua società, Global Science Research Limited (“GSR”). Come risultato, il Dr. Kogan e / o GSR sono stati in grado di ottenere dati personali sia da persone che hanno scelto di utilizzare l’App, sia da amici di Facebook di tali utenti.
L’App è stata progettata per ed è stata in grado di ottenere le seguenti categorie di informazioni dalle persone che hanno scelto di utilizzare l’app:
• Il loro profilo Facebook pubblico, incluso il loro nome e genere;
• Data di nascita;
• “Città attuale”, se l’utente ha scelto di aggiungere queste informazioni al proprio profilo;
• Fotografie in cui gli utenti sono stati taggati;
• Pagine che gli utenti hanno gradito;
• Post sulla timeline degli utenti;
• Post dei feed di notizie;
• Liste di amici;
• Indirizzi email;
• Messaggi di Facebook (prove che suggeriscono, secondo l’Autorità) che i dati ottenuti non erano limitati alle sole parti che scambiavano messaggi, ma includevano anche il contenuto di tali messaggi.
Sugli amici ignari invece l‘App avrebbe avuto accesso a:
• Dati del profilo pubblico, inclusi nome e genere.
• Data di nascita.
• “Città attuale”, se gli amici hanno scelto di aggiungere queste informazioni al loro profilo.
• Fotografie in cui gli amici sono stati taggati.
• Pagine che gli amici avevano gradito.
Facebook avrebbe pertanto permesso all’App di operare in modo tale da raccogliere dati personali sulla sua piattaforma dagli amici degli utenti dell’App, senza che tali amici di Facebook fossero informati che tali dati erano stati raccolti, e senza che gli fosse chiesto di acconsentire a tali raccolta dati
Attraverso le informazioni ottenute dagli utenti dell’App, l’App ha generato profili di personalità per quegli utenti. L’app sarebbe rimasta operativa sulla piattaforma Facebook fino a dicembre 2015.
i numeri
L’app è stata utilizzata da circa 300.000 utenti di Facebook in tutto il mondo. Poiché l’App è stata in grado di raccogliere dati sugli amici di Facebook dei suoi utenti, il numero totale di persone su cui l’App ha raccolto dati personali è stato stimato dalle società di Facebook fino a 87 milioni di utenti in tutto il mondo.
Il numero di utenti di Facebook che solo nel Regno Unito hanno utilizzato l’App è stato 1040 (dichiarato dalle aziende di Facebook). Pertanto il numero totale di utenti di Facebook nel Regno Unito di cui l’App ha raccolto dati personali è stato stimato dalle società di Facebook come almeno 1 milione.
Dr. Kogan e / o GSR hanno condiviso tali dati personali (sia sugli utenti dell’App, sia sui loro amici di Facebook), e / o dati derivati da tali dati, con varie società. L’Autorità dichiara che alcuni dei dati condivisi con queste società potrebbero essere stati utilizzati per campagne politiche.
il diritto
Facebook è stato sanzionata non sulla base del GDPR ma del “Data Protection Act” (norma sulla protezione dei dati personali inglese, al pari del nostro D. Lgs. 196/2003…poi sostituita dal maggio 2018 dal GDPR) e pertanto le sanzioni sono state di gran lunga inferiori a quelle che invece il GDPR avrebbe potuto infliggere.
Le violazioni contestate:
- Facebook avrebbero elaborato ingiustamente i dati personali degli utenti del sito di Facebook, tra cui: coloro che erano utenti dell’App; coloro che scambiavano messaggi di Facebook con gli utenti dell’App; e quelli che erano amici di Facebook con gli utenti dell’App;
- Facebook avrebbe agito non adottando adeguate misure tecniche e organizzative contro l’elaborazione non autorizzata o illecita di dati personali di: a) utenti dell’App; b) amici Facebook degli utenti dell’App; c) individui che scambiano messaggi di Facebook con gli utenti dell’App.
L’Autorità ritiene che Facebook sapesse o dovesse ragionevolmente sapere che sussisteva un serio rischio che la violazione si verificasse e fossero di un tipo che potrebbe causare notevoli difficoltà. Inoltre, ritiene che Facebook non abbia adottato misure ragionevoli per prevenire tale violazione, in quanto:
(1) Facebook collettivamente considerato è un titolare di dati di grandi dimensioni, ben gestito e con esperienza. Dovevano essere consapevoli dei rischi!
(2) Facebook ha avuto ampie opportunità per un lungo periodo di tempo per attuare misure tecniche e organizzative adeguate rispetto alle questioni sopra esposte, ma non l’ha fatto.
la sanzione
Tenendo conto di tutto quanto sopra, il Commissario ha deciso che una sanzione della somma di £ 500.000 sia appropriata, considerati i fatti particolari del caso e l’obiettivo sottostante nell’imporre la sanzione.
Il Commissario ha preso in considerazione le prove della posizione finanziaria delle società di Facebook. Non ritiene che il pagamento di una penale dell’importo di cui sopra possa causare indebite difficoltà alle aziende di Facebook. La sanzione pecuniaria deve essere pagata all’ufficio del Commissario tramite bonifico o assegno BACS al più tardi entro il 24 novembre 2018.
E’ previsto anche uno sconto, proprio come in Italia: se il Commissario riceverà il pagamento integrale della sanzione pecuniaria entro il 23 novembre 2018, il Commissario ridurrà la sanzione pecuniaria del 20% a 400.000 sterline (quattrocentomila sterline). Tuttavia, è necessario essere consapevoli che lo sconto di pagamento anticipato non è disponibile se si decide di esercitare il diritto di ricorso. Ebbene si: esiste sempre il diritto da parte di Facebook di proporre ricorso dinanzi al Tribunale.
Finirà mai?
