Fatti

Facebook dovrebbe bloccare i fake, dice il garante della privacy

Facebook dovrà comunicare a un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”. Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web, nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani. Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche sulle finalità, le modalità e la logica del trattamento dei dati, i soggetti cui sono stati comunicati o che possano venirne a conoscenza.

L’insana lotta di Facebook ai fake

Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network e aver ricevuto una risposta ritenuta insoddisfacente. L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato. Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata. L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake. Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale. La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account. Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso. L’Autorità non ha invece ritenuto opportuno ordinare alla società la cancellazione delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorita’ giudiziaria.

Cosa dice Facebook sulla condivisione di informazioni

Facebook ha una policy per il trattamento di dati e per le richieste dei tribunali di utilizzo dei dati che è visibile qui:

Possiamo accedere alle tue informazioni nonché conservarle e condividerle in risposta a una richiesta legale (come un mandato di perquisizione, un decreto ingiuntivo o un mandato di comparizione) qualora riteniamo in buona fede che la legge ci imponga di farlo. Quanto detto può includere la risposta a richieste provenienti da giurisdizioni esterne a quella degli Stati Uniti, qualora abbiamo ragione di ritenere che ciò sia richiesto dalla legge della giurisdizione in questione, riguardi gli utenti che rispondono a tale giurisdizione e sia conforme agli standard riconosciuti a livello internazionale. Inoltre, possiamo accedere alle informazioni nonché conservarle e condividerle qualora riteniamo in buona fede che ciò sia necessario per: individuare, prevenire e gestire frodi e altre attività illegali; tutelare noi stessi, l’utente e altre persone, anche nell’ambito di eventuali indagini; prevenire eventi che possano determinare danni fisici imminenti o decesso.
Ad esempio, possiamo fornire informazioni sull’affidabilità del tuo account a partner terzi per evitare frodi e usi impropri all’interno e all’esterno dei nostri Servizi. Le informazioni che riceviamo su di te, compresi i dati delle transazioni economiche relativi agli acquisti effettuati tramite Facebook, possono essere consultate, elaborate e conservate per un periodo di tempo prolungato quando sono oggetto di un procedimento legale, di un’indagine governativa o di indagini riguardanti possibili violazioni delle nostre condizioni o normative oppure per evitare danni. Possiamo inoltre conservare le informazioni presenti negli account disabilitati che non rispettano le nostre condizioni per almeno un anno al fine di evitare il ripetersi di usi impropri o altre violazioni delle nostre condizioni.

Ma queste condizioni presuppongono una rogatoria internazionale, a dispetto di quanto sostiene il Garante che parla di “sede italiana”. In realtà, come abbiamo visto anche in altre occasioni, Facebook ha sempre respinto questo tipo di richieste anche se provenivano da tribunali o pubblici ministeri. È complicato sostenere che una sede italiana sia il presupposto di una conservazione dei dati in Italia invece che negli USA dove risiedono i server del social network blu. Le sentenze della Corte di Giustizia europea però possono costituire un importante precedente legislativo per quando la risoluzione del garante verrà appellata da parte di Facebook. Per adesso la battaglia contro i fake su Facebook somiglia alla pratica di svuotare il mare con un cucchiaino.