Prima pronuncia del Garante Privacy contro Facebook

L’11 Febbraio 2016, con Provvedimento n. 56, il Garante per la protezione dei dati personali italiano ha emesso la sua prima pronuncia nei confronti di Facebook: com’era prevedibile, ai fini dell’applicabilità del diritto italiano al colosso americano, ha richiamato le decisioni Weltimmo e Google Spain della Corte di Giustizia dell’Unione Europea.

Si riporta il testo del provvedimento.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna alla presenza del dott. Antonello Soro, presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il ricorso presentato al Garante in data 9 novembre 2015 nei confronti di Facebook Ireland Ltd con il quale XY, titolare di un account Facebook, rappresentato e difeso dall’avv. Giuseppe Innamorati, ha lamentato di essere stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato” sopra descritti;

PRESO ATTO che in detto atto di ricorso, l’interessato ha in particolare rappresentato:

– che, non avendo accettato di sottostare alle indebite richieste di denaro rivoltegli da tale persona, questa avrebbe creato un falso account – utilizzando i suoi dati personali e la fotografia postata sul suo profilo – dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotografie e video artefatti con fotomontaggio (che lo ritraevano “intento in attività sessuali anche con minori”) gravemente lesivi dell’onore e del decoro oltre che dell’immagine pubblica e privata del ricorrente, noto professionista e titolare di una carica istituzionale in ambito locale;

– di aver immediatamente chiesto a Facebook, tramite il previsto servizio on-line, la rimozione delle false foto/video montaggi a contenuto diffamatorio ricevendo “notizia da terzi che il falso profilo “Facebook” era stato eliminato e che le conversazioni presenti sull’account” di sua effettiva titolarità “erano state oscurate con dicitura di indisponibilità”;

– di aver trasmesso a Facebook Ireland Ltd una lettera raccomandata datata 7 ottobre 2015, contenente, ai sensi della Sezione IV della Legge sulla protezione dei dati personali irlandese, una richiesta di accesso a tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;

– di aver altresì trasmesso a Facebook Ireland Ltd con altra lettera raccomandata, sempre datata 7 ottobre 2015, un’istanza ai sensi degli artt. 7 e 8 del Codice in materia di protezione dati personali (in appresso “Codice”) con la quale ha chiesto:

a) la conferma dell’esistenza e la comunicazione in forma intelligibile di tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;

b) di conoscere l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza;

c) la cancellazione e il blocco del falso account e dei dati, fotografia inclusa, illecitamente inseriti dallo stesso falso account e condivisi nel social nework, oltre all’attestazione che tale operazione è stata portata a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi;

d) e si è opposto al trattamento dei dati in questione;

PRESO ATTO che l’interessato, dopo aver ricevuto da Facebook Ireland Ltd in data 20 ottobre 2015 una comunicazione e-mail contenente le istruzioni per accedere ai propri dati personali, ha acquisito tramite il servizio “download tool” una serie di dati, peraltro non intelligibili perchè indicati con codici, numeri e sigle, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network;

CONSIDERATO che, sempre tramite tale “strumento self-service”, il ricorrente ha avuto anche modo di riscontrare come tutte le conversazioni con l’autore del falso account (sia quelle colloquiali che quelle integranti gli asseriti illeciti) non erano state cancellate, nonostante dopo la segnalazione del ricorrente fossero risultate, secondo informazioni ricevute da terzi, indisponibili nel proprio account;

PRESO ATTO che con il ricorso ex art. 145 del Codice il ricorrente ha ribadito tutte le richieste già avanzate nei confronti di Facebook Ireland Ltd con il citato interpello preventivo rivolto ai sensi degli artt. 7 e 8 del medesimo Codice;

VISTI gli ulteriori atti d’ufficio e, in particolare, la nota del 13 novembre 2015 con la quale questa Autorità, ai sensi dell’art. 149, comma 1, del Codice, ha invitato Facebook Ireland Ltd e Facebook Italy s.r.l. a fornire riscontro alle richieste dell’interessato, nonché la nota del 5 gennaio 2016 con cui è stata disposta, ai sensi dell’art. 149, comma 7, del medesimo Codice, la proroga del termine per la decisione sul ricorso;

VISTA la nota dell’11 dicembre 2015 con la quale Facebook Ireland Ltd ha dichiarato di aver “già intrapreso le azioni necessarie per cancellare il falso account (…) segnalato dal ricorrente tramite i (…) tool di reporting”;

PRESO ATTO che nella medesima nota (il cui contenuto è stato ribadito anche con successiva nota del 14 gennaio 2016), Facebook Ireland Ltd ha comunicato che “se il segnalante ha un account valido, può accedere ai propri dati personali utilizzando il (…) tool Download” ed ha anche aggiunto che “se il segnalante desidera ottenere dati relativi ad un account che non è di sua proprietà, può consultare il (…) centro di assistenza per maggiori informazioni in merito a forze dell’ordine e questioni di terzi, incluso informazioni sulle citazioni in ambito civile”;

VISTA la nota del 19 gennaio 2016 con la quale il ricorrente si è dichiarato insoddisfatto del riscontro ricevuto, insistendo per l’accoglimento di tutte le richieste formulate nell’atto di ricorso;

CONSIDERATO che ai fini della valutazione del caso di specie è necessario preliminarmente accertare il diritto ad esso applicabile, rilevato peraltro che comunque Facebook nulla ha eccepito nel corso del procedimento in merito alla giurisdizione di questa Autorità;

TENUTO CONTO che nel territorio nazionale opera un’organizzazione stabile, Facebook Italy s.r.l., società che ha per oggetto “la fornitura di servizi internet e di servizi di vendita, la vendita di spazi pubblicitari on-line, il marketing ed ogni attività connessa”;

PRESO ATTO che, pur non risultando il trattamento dei dati personali in questione effettuato direttamente dal predetto stabilimento italiano, lo stesso viene comunque svolto “nel contesto delle attività” di Facebook Italy s.r.l. e considerato altresì che le attività delle due società sono “inestricabilmente connesse” poiché l’attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd (cfr. art. 5, comma 1, del Codice in materia di protezione dei dati personali, art. 4 paragrafo 1, lett. A) della Direttiva 95/46/EC, sentenza della Corte di Giustizia Europea Google Spain del 13 maggio 2014);

RILEVATO quindi che al caso di specie risulta applicabile il diritto nazionale (cfr. sentenza della Corte di Giustizia Europea Weltimmo del 1° ottobre 2015 C, nonché il WP 179 Update del 16 dicembre 2015) e che pertanto l’odierno ricorso può essere validamente preso in esame;

RILEVATO dunque che il ricorrente, ai sensi della normativa italiana, è legittimato ad accedere a tutti i dati che lo riguardano, ivi compresi quelli inseriti e condivisi nel social network Facebook dal falso account trattandosi di informazioni, fotografie e contenuti che si riferiscono alla sua persona e considerato che la società resistente, pur avendo dichiarato nel corso del procedimento di aver intrapreso le azioni necessarie per cancellare il falso account, non ha finora dato corso:

– né alla richiesta di accesso avanzata dall’interessato, essendosi limitata a fornire al medesimo solo le istruzioni per accedere ai dati relativi all’account valido attraverso uno strumento self-service disponibile on-line;

– né alle ulteriori richieste di cui all’art. 7, comma 2, del Codice;

RITENUTO pertanto di dover accogliere il ricorso e, per l’effetto, ordinare alla società resistente di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato indicazioni circa le richieste di cui all’art. 7, comma 2, del Codice, entro e non oltre trenta giorni dalla ricezione della presente decisione;

RILEVATO che i profili di illiceità del trattamento dei dati riguardo ai quali è stata chiesta la cancellazione e il blocco e manifestata l’opposizione da parte del ricorrente non sono stati contestati nel corso del procedimento dalla società resistente, la quale ha oltretutto dichiarato di aver intrapreso le azioni necessarie per la cancellazione del falso account;

CONSIDERATO che dette informazioni appaiono potenzialmente valutabili in sede di accertamento di eventuali reati e che pertanto non risulta opportuno procedere direttamente alla loro cancellazione;

RITENUTO quindi, alla luce di quanto sopra esposto, di dover accogliere il ricorso e, per l’effetto, di dover ordinare alla società resistente, con effetto immediato dalla data di ricezione del presente provvedimento, di non effettuare alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria;

VISTA la documentazione in atti;

VISTI gli artt. 145 e ss. del Codice;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE:

accoglie il ricorso e, per l’effetto, ordina a Facebook:

a) di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato informazioni circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza, entro e non oltre trenta giorni dalla ricezione della presente decisione;

b) di non effettuare, con effetto immediato dalla data di ricezione del presente provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria.

Il Garante, nel chiedere a Facebook, ai sensi dell’art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro quarantacinque giorni dalla ricezione dello stesso, ricorda che l’inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell’art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all’art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 febbraio 2016

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia