Il 12 giugno scorso l’autorità Garante per la protezione dei dati personali (“Garante”) ha sanzionato le società Facebook Italy S.r.l. e Facebook Ireland (congiuntamente, “Facebook”) per gli illeciti compiuti nell’ambito dello scandalo Cambridge Analytica, irrogando una sanzione pari a 1 milione di euro.
Il Garante si era infatti mosso a seguito delle notizie, circolate sulla stampa internazionale e nazionale, circa la comunicazione da parte di Facebook dei dati personali dei propri utenti a Cambridge Analytica, società terza fornitrice di servizi di analytics. All’esito dell’indagine così avviata, il Garante aveva riscontrato che 57 utenti italiani avevano scaricato la app “Thisisyourdigitallife” e che i relativi dati erano stati comunicati illecitamente a Cambridge Analytica. Per tale ragione, con i provvedimenti dello scorso 10 gennaio e del 28 marzo, il Garante aveva intimato Facebook di cessare il trattamento in questione e aveva sanzionato Facebook con una sanzione di 52.000 euro.
Inoltre, gli utenti in questione avevano avuto la possibilità di condividere con Cambridge Analytica i dati personali dei propri contatti Facebook (cd. “amici”) tramite la funzionalità “Facebook login”. Con la decisione di giugno in commento, il Garante ha accertato che a seguito dell’utilizzo della funzionalità “Facebook login” da parte dei 57 utenti italiani, Cambridge Analytica ha ricevuto dati personali (ivi inclusi dati appartenenti a categorie particolari, come dati relativi agli orientamenti politici) di ben 214.077 utenti. Secondo il Garante, tale comunicazione è stata effettuata illecitamente in quanto: (i) gli interessati non erano stati informati circa la possibilità che, accettando la richiesta di amicizia di un utente di Facebook, i propri dati personali potessero essere comunicati a terze parti a seguito dell’utilizzo, da parte dell’utente aggiunto fra gli amici, della funzionalità “Facebook login”, e (ii) agli interessati in questione non era stata data in ogni caso la possibilità di esprimere il proprio consenso a tale comunicazione in forma di opt-in (risolvendosi, nei fatti, in un opt-out).
Al fine di calcolare l’ammontare della sanzione, il Garante ha ritenuto le violazioni in esame commesse in riferimento a una banca dati di particolare rilevanza e dimensioni: infatti, il database oggetto della violazione ricomprendeva una quantità considerevole di dati aggiornati e riferiti a una parte significativa della popolazione italiana. Il Garante ha inoltre tenuto in considerazione la situazione economica di Facebook, e il fatto che Facebook avesse comunque posto in essere le misure correttive richieste dal Garante nel provvedimento di gennaio.
Le vicende oggetto del provvedimento in commento risalgono al periodo precedente all’entrata in vigore del Regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR) e del decreto legislativo n. 101/2018 che è intervenuto sulla previgente normativa nazionale in materia. Pertanto, il Garante ha basato il suo provvedimento esclusivamente sul Codice Privacy (decreto legislativo n. 196/2003) nella sua versione precedente ai recenti interventi normativi, che in quanto tali non sono stati ritenuti applicabili alle vicende in questione in virtù del principio tempus regit actum.
Infine, rileva notare il Garante affronti espressamente la questione della sua giurisdizione sui fatti oggetto del provvedimento, affermando la sua sussistenza sulla base dei seguenti argomenti: (a) l’attività di Facebook Ireland è diretta a utenti italiani ed è condotta attraverso una società di diritto italiano (Facebook Italy S.r.l.) preposta alla commercializzazione di spazi pubblicitari, e (b) Facebook Italy S.r.l. deve considerarsi quale titolare del trattamento dei dati comunicati a Cambridge Analytica, in quanto società avente quale oggetto sociale lo svolgimento di “qualsiasi attività direttamente o indirettamente connessa all’acquisto e alla vendita di spazi pubblicitari online o qualsiasi altra transazione commerciale relativa a spazi pubblicitari online”; tale attività ricomprende le attività di marketing dei soggetti terzi sviluppatori delle applicazioni veicolate mediante la funzionalità Facebook login e implica la raccolta di dati personali degli utenti a cui l’attività promozionale è indirizzata.