L'11 febbraio 2016 il Garante per la protezione dei dati personali italiano ha emesso il suo primo provvedimento nei confronti del social network Facebook.
Il Garante ha accolto il ricorso di un iscritto a Facebook, noto professionista con cariche istituzionali locali, il quale era stato vittima di minacce, tentata estorsione, sostituzione di persona e indebita intrusione in un sistema informatico. Un’altra persona iscritta a Facebook, prima gli aveva chiesto l’amicizia, poi ha intrattenuto una corrispondenza col ricorrente, e infine ha posto in essere i tentativi di reato descritti.
Poiché il ricorrente non ha accettato di sottostare alla tentata estorsione, l’altra persona ha creato un falso account utilizzando i dati personali del ricorrente, nella fattispecie anche la foto del profilo, così inviando ai contatti del ricorrente foto e video ritoccati, che lo ritraevano intento in attività sessuali anche con minori, facendo credere che tali contenuti provenissero, quindi, dal ricorrente stesso.
Sentitosi leso nell'onore e nel decoro, il ricorrente ha immediatamente chiesto a Facebook la rimozione delle false foto e video montaggi, venendo a conoscenza da parte di terzi del fatto che il profilo falso era stato eliminato.
Il ricorrente, quindi, inviava una raccomandata a Facebook Ireland Ltd con richiesta di conoscere tutti i dati tutti i dati che lo riguardano, relativi ai profili aperti a suo nome, chiedendo altresì la cancellazione del falso account e dei dati illecitamente inseriti sui server.
Facebook Ireland rispondeva per via telematica comunicando le modalità per accedere a tutti i dati personali tramite lo strumento predisposto (download tool). Purtroppo tali dati erano limitati a quelli del profilo originale del ricorrente e non contenevano anche i dati del falso profilo. Inoltre si poteva notare che le conversazioni con l’autore del falso account, pur non essendo più visibili, erano ancora presenti tra i dati detenuti da Facebook.
Innanzitutto il Garante si è dovuto porre il problema se ha giurisdizione su Facebook, considerato che la sede principale dell’azienda è in Irlanda. Il Garante ha, quindi, applicato la sentenza Weltimmo della Corte di Giustizia europea, ritenendo che Facebook Italy (che svolge solo attività di marketing e pubblicitari), pur non esercitando alcun trattamento di dati (che vengono inviati direttamente in Irlanda), svolge comunque attività connessa economicamente con Facebook Ireland. Secondo la sentenza C-230/14 della CGUE, la forma giuridica di stabilimento (cioè il rappresentante in Italia) non è il fattore predominante per decidere sulla giurisdizione, ma occorre valutare altri fattori quali la lingua nella quale è redatto il sito, e l’utenza alla quale si rivolge. Tale orientamento è stato già applicato da un tribunale belga nel condannare, appunto, proprio Facebook, per la creazione dei cosiddetti “profili shadow”. In questa sentenza il tribunale del Belgio sentenzia che Facebook non può tracciare i navigatori di internet che non abbiano dato il consenso al tracciamento (quindi tutti i soggetti non iscritti a Facebook oppure non loggati al momento della navigazione).
Una volta accertata la propria competenza, il Garante italiano ha stabilito che il ricorrente, ai sensi della normativa italiana, è legittimato ad accedere a tutti i dati che lo riguardano, compreso ovviamente i dati inseriti da persone terze. Si tratta di un principio pacifico perché la normativa in materia di dati personali prevede che l’interessato debba avere il controllo su tutti i dati che lo riguardano, indipendentemente da chi poi quei dati li immette online. Quindi, nel momento in cui appare evidente che determinati dati sono riferiti ad un soggetto, se non addirittura un intero profilo, Facebook non solo deve permettere al soggetto in questione l’accesso ai dati ma anche l’esercizio dei relativi diritti, compreso quello di cancellazione dei dati medesimi. Nel caso specifico, invece, Facebook non aveva consentito al ricorrente di accedere ai dati del falso profilo.
Nel caso di specie, però, il Garante ritiene di non dover ordinare la cancellazione dei dati, bensì il solo blocco con conservazione, ai fini di una eventuale acquisizione da parte dell’autorità giudiziaria, trattandosi di possibili reati.
In conclusione il Garante “accoglie il ricorso e, per l’effetto, ordina a Facebook:
a) di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato informazioni circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza, entro e non oltre trenta giorni dalla ricezione della presente decisione;
b) di non effettuare, con effetto immediato dalla data di ricezione del presente provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria”.
