Il Garante per la privacy ha concluso l’istruttoria avviata nei confronti di Facebook per la vicenda di Cambridge Analytica. Avviata lo scorso 10 gennaio, l’indagine mirava a verificare l’utilizzo dei dati degli utenti italiani raccolti tramite l’applicazione Thisisyourdigitalife, al centro dello scandalo. Secondo l’authority le informazioni, malgrado non siano state trasmesse alla società di analisi britannica, sarebbero state trattate in modo illecito, “in assenza di idonea informativa e di uno specifico consenso. Pertanto il Garante ne ha vietato l’ulteriore trattamento e si è riservato di avviare un separato procedimento sanzionatorio”. È quindi molto probabile che nelle prossime settimane si arrivi a una multa per il social network. Lo scorso dicembre, invece, era stato l’Antitrust a sanzionare Facebook con 10 milioni di euro per non aver avvisato in modo adeguato gli utenti sulle attività di raccolta a scopo commerciale dei dati privati.
Ma l’istruttoria del Garante non si è fermata qui, perché secondo quanto spiegato dall’autorità durante le indagini è “emerso uno specifico trattamento di dati personali dei cittadini italiani acquisiti in occasione delle elezioni politiche del 4 marzo 2018, mediante un prodotto, denominato “Candidati”, installato sulla piattaforma del social network”.
Il servizio permetteva, previo inserimento dell’indirizzo di residenza, di scoprire i candidati alle elezioni politiche del 2018 della propria circoscrizione, con i loro programmi. Il colosso di Menlo Park, “pur affermando di non registrare informazioni su come gli utenti si fossero orientati su tali profili, conservava i file di log delle loro azioni per un periodo di 90 giorni, per poi estrarne “matrici aggregate” non meglio definite. Inoltre, nel giorno delle elezioni appariva sul newsfeed degli utenti di Facebook un messaggio che sollecitava la condivisione dell’essersi o meno recati al voto e ad esprimere opinioni sull’importanza dello stesso”.
L’ente “ha rilevato che queste due funzioni di Facebook, specificamente concepite e rivolte ai cittadini italiani in prossimità delle elezioni, non sono previste tra le finalità indicate nella “data policy” della piattaforma. I dati personali possono essere raccolti per finalità determinate ed esplicite e successivamente trattati in modo compatibile con tali finalità. A maggior ragione le finalità del relativo trattamento devono essere descritte con estrema precisione quando vengono raccolti dati sensibili, come quelli potenzialmente idonei a rivelare opinioni politiche, in modo tale da consentire agli utenti di esprimere il proprio consenso libero e informato”.
In base a questo ragionamento, l’autorità ha “ritenuto illegittimo il trattamento di dati realizzato da Facebook in quanto basato su un generico consenso reso dall’utente al momento della registrazione alla piattaforma dopo la lettura di una informativa del tutto inidonea” e ha deciso di vietare all’azienda “il trattamento di ogni eventuale dato raccolto mediante tali modalità e delle valutazioni espresse dagli utenti a seguito del messaggio che sollecitava la condivisione”. Anche per questo secondo aspetto il Garante potrebbe comminare una sanzione amministrativa.
Nel frattempo fioccano guai anche in Germania. L’antitrust tedesco ha infatti stabilito che Facebook richieda agli iscritti un consenso esplicito ogni volta che vengono raccolti dati sensibili. La regola vale anche per le app collegate, come Instagram e Whatsapp. La decisione, però, non è immediatamente operativa. La società californiana ha un mese di tempo per ricorrere in appello e provare a far valere le proprie ragioni.