g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Facebook Ireland Ltd e Facebook Italy s.r.l. - 14 giugno 2019 [9121486]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE: Comunicato stampa del 28 giugno 2019

 

[doc. web n. 9121486]

Ordinanza ingiunzione nei confronti di Facebook Ireland Ltd e Facebook Italy s.r.l. - 14 giugno 2019

Registro dei provvedimenti
n. 134 del 14 giugno 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che l’Ufficio del Garante, con atto n. 10660/125145 del 28 marzo 2019 (notificato mediante posta raccomandata e posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato a Facebook Ireland Ltd, in persona del legale rappresentante pro-tempore, con sede legale in 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Repubblica d’Irlanda (di seguito “Facebook Ireland”), e Facebook Italy s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, piazza Giuseppe Missori n. 2, C.F. 06691680968 (di seguito Facebook Italy”) , le violazioni previste dagli artt. 13, 23, 157, 161, 162, comma 2-bis, 164, 164-bis, comma 2, e 167 del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”, nella formulazione antecedente alle modifiche intervenute a seguito dell’entrata in vigore del d. lg. n. 101/2018);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

-  il Garante ha adottato, in data 10 gennaio 2019, il provvedimento n. 5 (in www.gpdp.it, doc. web n. 9080914, di seguito “Provvedimento”), al quale integralmente si fa richiamo, all’esito dell’istruttoria di un procedimento amministrativo avviato nei confronti di Facebook Ireland e Facebook Italy con riferimento a talune funzionalità della piattaforma software connessa al social network Facebook;

- in particolare, a seguito delle notizie di stampa nazionale ed internazionale relative alle vicende della società di ricerca Cambridge Analytica, il Garante formulava alle due società più richieste di informazioni in ordine all’applicazione di terze parti presente su Facebook denominata Thisisyourdigitallife, alla circostanza che i dati personali raccolti mediante tale applicazione fossero stati condivisi con Cambridge Analytica per finalità di profilazione psicologica degli utenti e successiva elaborazione di campagne promozionali altamente personalizzate, nonché in ordine alla funzione Facebook login, che avrebbe, in ultima analisi, permesso tale condivisione;

- obiettivo dell’istruttoria condotta dall’Autorità era quello di accertare se fra i dati personali di utenti Facebook trasmessi da Thisisyourdigitallife a Cambridge Analytica vi fossero anche quelli di utenti italiani, e quanto questi ultimi avessero consapevolmente consentito tale trasmissione di dati. Ulteriore obiettivo dell’istruttoria era quello di accertare se, mediante prodotti e messaggi veicolati tramite Facebook (in particolare un messaggio inviato agli utenti Facebook il 4 marzo 2018 e il prodotto Ballot - Candidati), fosse stato possibile condividere dati personali di utenti italiani, anche riferibili agli orientamenti politici degli stessi, in occasione delle elezioni per il rinnovo delle Camere del 4 marzo 2018 e se tali condivisioni si fossero svolte nella cornice di legittimità delineata dal Codice;

- con riferimento a Thisisyourdigitallife è emerso che 57 utenti italiani hanno scaricato l’applicazione attraverso la funzione Facebook login e che, in ragione della possibilità, consentita da Facebook login, di condividere i dati degli “amici”, tale applicazione ha acquisito i dati di 214.077 utenti italiani;

- in base a quanto stabilito dal Provvedimento, “la comunicazione da parte di Facebook dei dati dei propri utenti all’app “Thisyourdigitallife” risulta essere stata realizzata in maniera non conforme agli articoli 13 e 23 del Codice, da un lato, in quanto si è fondata su di un’informativa inidonea e, dall’altro, perché è avvenuta in assenza di un valido consenso. Il trasferimento di dati in questione è infatti avvenuto sulla base di un’informativa, fornita agli utenti al momento dell’iscrizione a Facebook, dal contenuto onnicomprensivo, generico e di difficile ricostruzione. Inoltre, il consenso non può ritenersi espressamente, specificamente e liberamente espresso, posto che, nel momento in cui si attivava l’app attraverso la funzione “Facebook login”, agli utenti non veniva lasciata alcuna alternativa rispetto al trasferimento integrale dei dati a suo tempo conferiti a Facebook (Versione.1 della suddetta funzione), ovvero veniva consentito di effettuare solo parziali variazioni, con modalità opt-out, rispetto a scelte già “pre-flaggate” (Versione.2)”;

- peraltro, il Provvedimento poneva in evidenza che gli ulteriori 241.077 utenti italiani, i cui dati erano stati acquisiti dall’applicazione “Thisisyourdigitallife”, senza che questi l’avessero direttamente scaricata, “non potevano immaginare, nel concedere la loro “amicizia” su Facebook, che, per effetto di questa azione, i loro dati avrebbero potuto essere ceduti da soggetti terzi (gli “amici” che attivavano la funzione “Facebook login”) a piattaforme quali “Thisisyourdigitallife”, ed utilizzati per finalità diverse e ignote. Né si può sostenere, a quest’ultimo proposito […] che anche gli “amici” dell’utente avessero espresso il loro consenso in quanto, al momento della loro registrazione alla Piattaforma in qualità di utenti, sarebbero stati informati che i loro “amici” avrebbero potuto condividere i loro dati con le app utilizzate su Facebook. Al contrario, l’informativa in questione, i cui contenuti erano da accettare obbligatoriamente per registrarsi a Facebook, non è da ritenersi idonea a consentire l’espressione di un consenso rispetto a trattamenti di tale tipo. Essa risulta infatti sia generica, sia tale da non prospettare soluzioni alternative al consenso, sia inidonea – perché descrittiva solo degli aspetti positivi dei prodotti Facebook -ad informare in modo esaustivo l’utente dei possibili rischi derivanti dalla condivisione dei dati, quali ad esempio quelli relativi alle molteplici finalità per le quali, attraverso le app utilizzate dagli “amici”, essi possano essere destinati”;

- quanto al prodotto Ballot e al messaggio inviato da Facebook in occasione delle elezioni politiche italiane del 4 marzo 2018 il Provvedimento evidenziava che “mediante i citati servizi Facebook ha […] trattato una serie di dati personali, alcuni dei quali potenzialmente “idonei a rivelare le opinioni politiche” degli utenti-cittadini italiani, e quindi “dati sensibili” ai sensi dell’art. 4, lettera d), del Codice. Tali possono ritenersi, in particolare, le condivisioni degli utenti relative all’essersi recati o meno alle urne e le ulteriori, eventuali dichiarazioni a favore del voto (entrambe rimaste visibili sulla piattaforma, ancorché asseritamente non monitorate da Facebook). Rilevanti appaiono anche, benché idonei a fornire indicazioni meno univoche in ordine alle opinioni politiche dell’interessato, i dati inerenti la consultazione dei profili dei candidati, in prossimità delle elezioni. Né, del resto, le risposte fornite all’Autorità in sede di istruttoria e, in particolare, la dichiarazione del social network […] secondo cui i dati sull’impiego del prodotto “Candidati” sarebbero stati utilizzati solo allo scopo di “generare metriche aggregate”, può essere considerata sufficiente ed esaustiva, né è idonea a dimostrare il carattere non personale di tale peculiare tipologia di dati ai sensi dell’articolo  4, comma 1, lettera b) del Codice, con la conseguente applicabilità delle relative norme”;

- sulla base delle considerazioni sopra richiamate l’Ufficio ha contestato alle due società le violazioni indicate in epigrafe;

RILEVATO che con il citato atto del 28 marzo 2019 sono state contestate a Facebook Ireland e Facebook Italy;

a) la violazione delle disposizioni di cui all’art. 13 del Codice, sanzionata dal successivo art. 161, con riferimento all’inidoneità dell’informativa resa agli utenti Facebook in relazione alla condivisione dei dati dei medesimi con soggetti terzi in occasione dell’utilizzo di specifici prodotti presenti nel social network;

b) la violazione delle disposizioni di cui all’art. 23 del Codice, sanzionata dal successivo art. 162, comma 2-bis, per aver svolto i trattamenti di dati personali di cui sopra senza aver acquisito dagli interessati un consenso libero, specifico e informato;

c) la violazione prevista delle disposizioni di cui all’art. 157 del Codice, sanzionata dal successivo art. 164, per non aver fornito idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti;

d) la violazione prevista dall’art. 164-bis, comma 2, del Codice, per aver realizzato le condotte sub a) e b) in relazione a banche dati di particolare rilevanza o dimensioni;

DATO ATTO che, per le violazioni di cui ai punti a), b) e c) è intervenuto pagamento in misura ridotta, ai sensi dell’art. 16 della l. n. 689/1981, comunicato all’Autorità in data 28 maggio 2019; rilevato altresì che per la violazione di cui al punto d) non è prevista la facoltà di estinguere il procedimento sanzionatorio mediante pagamento in misura ridotta; 

LETTI gli scritti difensivi presentati da Facebook Ireland il 25 aprile 2019 e preso atto che, con la comunicazione sopra richiamata del 28 maggio 2019 la medesima società ha rinunciato all’audizione richiesta ai sensi dell’art. 18 della legge n. 689/1981;

PRESO ATTO altresì che Facebook Italy non ha presentato scritti difensivi né ha richiesto di essere ascoltata dall’Autorità;

Rilevato che nelle memorie difensive presentate il 25 aprile 2019, che qui si intendono integralmente richiamate, in sintesi si rappresenta che:

- “Facebook Ireland ha proposto opposizione contro il Provvedimento avanti il Tribunale di Roma, dove il procedimento pende avanti la Sezione Stranieri Diritti della Persona, Giudice Dott.ssa Sangiovanni, con il N.R.G. 21580/2019, in attesa di fissazione d'udienza (l'"Opposizione"). Facebook Ireland è intervenuta inoltre nell'opposizione presentata avanti il Tribunale di Milano da Facebook Italy, pendente con il N.R.G. 13161/2019 avanti il Giudice Dr. Di Plotti della I Sezione Civile, udienza fissata per il 4 dicembre 2019, in corso di notifica (l'"Intervento"). Con l'Opposizione e l'Intervento Facebook Ireland ha chiesto l'annullamento del Provvedimento in quanto emesso dal Garante al di fuori dalle proprie attribuzioni e della propria competenza, per di più a seguito di un procedimento nel quale è stato chiarito fuori da ogni dubbio che Facebook Ireland non potesse essere oggetto di esame a norma della legge italiana”;

- “l'Opposizione è fondata sui motivi che si elencano di seguito. La loro compiuta illustrazione è contenuta nel ricorso in opposizione allegato, le cui contestazioni e argomentazioni si richiamano espressamente ai fini della presente memoria”;

- nell’atto di ricorso in opposizione sopra richiamato si evidenzia con riferimento alla questione della giurisdizione, che “nonostante sin dal primo riscontro al Garante - e in ogni successiva comunicazione - Facebook Ireland abbia sottolineato di essere in via esclusiva il "titolare del trattamento" dei dati in discussione, sia per quanto riguardava la questione Cambridge Analytica, che il prodotto "Candidati", e chiaramente eccepito la carenza di giurisdizione del Garante e l'inapplicabilità della legge italiana, il Garante ha comunque ritenuto di pronunciarsi, con un provvedimento rivolto indistintamente a Facebook”;

- “Nei trattamenti transfrontalieri, come nel caso della Piattaforma Facebook, la questione della legge applicabile e della competenza dell'autorità privacy nazionale è stata trattata a partire dalla sentenza resa dalla CGUE nel caso FanPage, dove si afferma palesemente che, in caso di titolare del trattamento con più stabilimenti all'interno dell'UE, l'autorità di controllo di uno Stato membro potrà esercitare i poteri attribuiti dall'Articolo 28(3) della Direttiva 95/46 nella circostanza in cui il trattamento è svolto nel contesto delle attività di uno stabilimento in quello Stato membro”;

- “Ne consegue che, anche a volerlo ritenere applicabile (quod non), il diritto italiano alla protezione dei dati potrebbe essere applicato solo con riferimento ad una società stabilita in Italia che operi quale stabilimento di Facebook Ireland, titolare del trattamento per i servizi Facebook nell'UE, e solo nella misura in cui tale attività di trattamento dati venga svolta nel contesto delle attività dello stabilimento italiano (cosa che non accade per Facebook Italy […])”;

- “Il RGPD, ed in specie l'art. 56, richiamato in dispositivo dallo stesso Garante, disciplina il complesso tema dei trattamenti transfrontalieri di dati su Internet anche sotto il profilo delle attribuzioni delle diverse autorità nazionali. Nel far ciò, assegna una competenza esclusiva ed inderogabile all'Autorità capofila (nella specie l'Autorità privacy irlandese - IDPC, data la sede del titolare del trattamento dei dati)”;

- “Sotto un diverso ed ulteriore profilo il Provvedimento si rivela irrimediabilmente viziato in quanto emesso in base alla legge italiana, non più vigente al tempo della pronuncia, in quanto sostituita dal RGPD, e comunque non applicabile a Facebook Ireland nel contesto del Provvedimento del Garante”.

- nel merito, in via generale “la decisione del Garante prende posizione relativamente ai numerosi temi oggetto di istruttoria, focalizzando la propria censura su due questioni: (i) le vicende di Cambridge Analytica e dell'accesso ai dati che una specifica applicazione di terzi ha avuto tra il novembre del 2013 ed il dicembre del 2015 tramite la funzionalità "Facebook Login"; (ii) il prodotto "Candidati" ed il "messaggio" del 4 marzo 2018 agli utenti italiani che li informava delle elezioni politiche. A tale proposito, preme segnalare che, pur fermamente contestando le conclusioni raggiunte dal Garante relativamente al prodotto "Candidati" ed al "messaggio" del 4 marzo 2018, Facebook Ireland ha dato comunque piena esecuzione, su base volontaria, a quanto prescritto dal Provvedimento, e non intende in futuro lanciare il prodotto "Candidati" in Italia nella medesima forma presa in considerazione dal Provvedimento”;

- sull’inidoneità dell’informativa “Facebook Ireland mette impegno particolare per informare gli utenti su come possono controllare i propri dati e come i dati possono essere condivisi. Inoltre agli utenti è data la possibilità di fare scelte informate sul se condividere i propri dati e con chi. A tale riguardo, durante il Periodo Rilevante, la piattaforma Facebook era predisposta in modo da informare gli utenti, attraverso modalità diverse e sinergiche, rispetto a: (a) come le app di terzi potevano raccogliere i dati degli utenti, compresi i dati degli amici degli utenti; e (b) come gli utenti potevano limitare ovvero escludere l'accesso ai propri dati da parte delle app”;

- “Deve inoltre essere considerato che, a seguito della diretta esperienza di interazione con le app della piattaforma Facebook, la maggioranza degli utenti era consapevole di come le app di terzi (che agivano quali autonomi titolari del trattamento e dunque erano soggetti a obblighi di trasparenza propri) cercavano di raccogliere i dati, compresi i dati degli amici degli utenti. Questo perché Facebook è un servizio di social network. Gli utenti sanno bene che nell'ambito del servizio la posizione predefinita è che le informazioni saranno condivise a meno che gli utenti esercitino le opzioni disponibili per modificare tale impostazione e condividere, di default, le informazioni con un pubblico più ristretto, come di seguito descritto”;

-  sulla mancata acquisizione di uno specifico e libero consenso “Il ruolo di Facebook Ireland in relazione alla condivisione di dati tra utenti e app di terzi attraverso il "Facebook Login" è in ultima analisi quello di un intermediario online, che facilita le scelte di condivisione dei dati liberamente effettuate dagli utenti, coerentemente con la loro libertà di manifestazione del pensiero e con l'interesse pubblico di favorire la libera circolazione dei dati. In generale, la scelta su cosa e quanto condividere, attraverso le funzionalità tecniche integrate nella Piattaforma Facebook, è una scelta rimessa agli utenti, non a Facebook Ireland. La normativa in materia di protezione dei dati personali riconosce che (a) nell'ambito di fattispecie complesse di trattamento di dati, che coinvolgono una molteplicità di attori/titolari, bisogna considerare la natura dei ruoli individuali rivestiti dai diversi titolari, e (b) la responsabilità legale deve essere calibrata con riferimento ai ruoli particolari rivestiti individualmente dai titolari. Tale approccio è coerente con il principio di proporzionalità proprio della legislazione europea, che deve essere applicato nel contesto della protezione dei dati. Dal momento che la condivisione di dati da utente ad app comporta un modello che vede la presenza di diversi titolari e che coinvolge gli utenti, gli sviluppatori di app e Facebook Ireland, che svolge il ruolo di intermediario, è necessario valutare come deve essere calibrata la responsabilità legale dei diversi soggetti”;

- “durante il Periodo Rilevante, tutti gli utenti che sceglievano di utilizzare  Facebook  potevano  controllare:  (a)  cosa  sceglievano  di  inserire  nel proprio profilo pubblico (con esclusione di limitatissime informazioni che erano richieste per avere un account su Facebook e che dovevano essere pubbliche); (b) quali dati decidevano di condividere con i propri amici; e, infine, (c) la misura in cui i dati che gli utenti decidevano di condividere con i propri amici fossero accessibili alle app (usando i controlli granulari dell'impostazione "App che altri usano" o utilizzando il controllo generale dell'opzione "Opt-Out Universale")”;

- “il flusso di informazioni per un utente che voleva installare un'app durante il Periodo Rilevante viene rappresentato di seguito: Quando un utente desiderava usare il Facebook Login per accedere ad un'app di terzi, appariva sullo schermo dell'utente una schermata di autorizzazione che richiedeva di autenticare le proprie credenziali di login a Facebook; e se l'autentificazione veniva  fornita,  l'app poteva:  (i)  richiedere l'autorizzazione dell'utente ad accedere a certe specifiche categorie di dati dell'utente; (ii) richiedere l'autorizzazione dell'utente ad accedere a certe categorie di dati degli amici dell'utente, (anche se questi ultimi dati sono accessibili solo dall'app quando ciò è coerente con l'impostazione adottata dagli amici dell'utente interessato tramite i controlli sulla privacy, come descritto sopra); e (iii) richiedere l'autorizzazione dell'utente per "scrivere" o pubblicare su Facebook contenuti per suo conto”;

- “l'App Thisisyourdigitallife è stata installata da 57 utenti italiani di Facebook. A quanto risulta a Facebook Ireland, i dati di altri utenti italiani fino ad un numero massimo di 214.077 sono stati condivisi con l' App per mezzo di "amici" (compresi "amici" fuori dal territorio italiano) che avevano a loro volta installato l' App. Non si tratta di un numero anomalo né particolarmente alto, se si considera che il numero degli utenti italiani di Facebook interessati comprende anche le persone che erano "amici" di altri utenti Facebook nel mondo, e che Facebook è un social network la cui missione è " dare alle persone il potere di costruire una comunità e di avvicinare il mondo”. E'carattere intrinseco di un social network - è nella sua natura - che gli utenti si registrino allo scopo di reperire e condividere informazioni con i loro amici e familiari esistenti e con i loro futuri contatti”;

RITENUTO che le argomentazioni addotte da Facebook Ireland non sono idonee a determinare l’archiviazione del procedimento sanzionatorio instaurato con la notifica dell’atto di contestazione, per i motivi che di seguito si espongono:

- la competenza di questa Autorità – eccepita nelle memorie difensive - a conoscere dei trattamenti nel cui ambito sono state realizzate le violazioni contestate è stata , implicitamente ma inequivocabilmente, riconosciuta dalla stessa parte, all’atto del pagamento in misura ridotta delle sanzioni riferite agli illeciti di cui alle lettere a), b) e c) di p. 3, a nulla rilevando sotto questo profilo l’impugnazione del provvedimento di gennaio 2019;

- non solo, infatti, la giurisprudenza di legittimità ma anche la Corte costituzionale, con ord. 46/2007 - ha affermato - in relazione alle violazioni del codice della strada, ma con argomenti di valenza più generale - come il pagamento in misura ridotta precluda la possibilità di proporre ricorso giurisdizionale, in quanto  manifesta la volontà di prestare acquiescenza all’accertamento della responsabilità per gli illeciti contestati;

- dalla finalità deflattiva dell’istituto premiale, infatti, consegue necessariamente un effetto preclusivo in ordine a contestazioni, da parte del trasgressore, degli addebiti ascrittigli, nonché ad “azioni di qualsivoglia natura con le quali il contravventore pretenda di rimettere in discussione la legittimità dell’accertamento dell’infrazione, sulla quale (….) con il pagamento in misura ridotta ha fatto acquiescenza”,  con effetti e ratio del tutto analoghi a quelli propri dell’oblazione (Cass., sez. II, sent. 8 giugno 2009, n. 13101);

- analogamente, è stato affermato che “il cosiddetto pagamento in misura ridotta, (…) comporta soltanto un'incompatibilità (oltre che un'implicita rinunzia) a far valere qualsiasi contestazione relativa sia alla sanzione pecuniaria irrogata sia alla violazione contestata, che della sanzione pecuniaria è il presupposto giuridico” (Cass. civ. Sez. Unite Sent., 29 luglio 2008, n. 20544);

- è significativo, del resto, che nel disciplinare il procedimento sanzionatorio nel nuovo quadro giuridico in materia di protezione dati, l’art. 166, comma 8 del Codice come modificato dal d.lgs. n. 101/2018, preveda come alternativi il pagamento in misura ridotta ovvero l’impugnazione del provvedimento sanzionatorio;

- da ciò deriva, con riferimento al caso in esame, come l’avvenuto pagamento in misura ridotta delle sanzioni relative a tre delle quattro violazioni ascritte esprima acquiescenza (e pertanto non consenta neppure in questa sede l’ulteriore contestazione) in ordine a profili, quali la competenza del Garante e la stessa sussistenza degli illeciti in questione, ai quali la violazione che in questa sede si sanziona è funzionalmente e strutturalmente connessa e complementare;

- quanto rilevato dimostra dunque l’infondatezza delle eccezioni avanzate dalla parte, cui deve pertanto ascriversi la responsabilità per gli illeciti contestati, procedendo in questa sede all’irrogazione della sanzione per la violazione di cui all’articolo 164-bis, comma 2, del Codice, riferita alle condotte per le quali Facebook ha pagato in misura ridotta, che hanno interessato circa 214.020 utenti, i cui dati sono stati indebitamente comunicati all’applicazione “Thisisyourdigitallife”;

- peraltro, in ordine  alla titolarità dei trattamenti presi in esame, se da un lato appare incontestabile, per ammissione della stessa Facebook Ireland, che a quest’ultima debba ascriversi la titolarità dei trattamenti connessi all’utilizzo del social network, alla medesima conclusione deve giungersi con riferimento a Facebook Italy, società di diritto italiano appartenente al gruppo Facebook la quale, in base al proprio statuto si occupa di “qualsiasi attività direttamente o indirettamente connessa all'acquisto e alla vendita di spazi pubblicitari online o qualsiasi altra transazione commerciale relativa a spazi pubblicitari online nel senso più ampio del termine, ivi comprese, a titolo esemplificativo e non esaustivo, le offerte di acquisto, di vendita e di fornitura di spazi pubblicitari online, la negoziazione di contratti relativi a spazi pubblicitari online, l’attuazione di strategie di marketing relative ad offerte di vendita di spazi pubblicitari e tutti gli altri servizi pubblicitari forniti ad inserzionisti, agenzie pubblicitarie e altri soggetti terzi”. In considerazione del fatto che il concetto di “spazio pubblicitario online” ricomprende anche gli utenti Internet verso i quali l’attività promozionale è indirizzata, e che l’acquisizione dei dati di tali utenti rientra nel novero delle attività di marketing dei soggetti terzi sviluppatori delle applicazioni veicolate mediante la funzione Facebook login (la stessa Facebook Ireland nell’atto di ricorso in opposizione ha dichiarato che “la maggioranza degli utenti era consapevole di come le app di terzi […] cercavano di raccogliere i dati, compresi i dati degli amici degli utenti” evidentemente con intenti commerciali), la titolarità dei trattamenti che hanno alla base la comunicazione di dati personali di interessati italiani per finalità commerciali deve ricondursi anche a Facebook Italy, società preposta sia alla vendita degli spazi pubblicitari (e quindi al correlato “pacchetto” di dati personali acquisibile) che alla elaborazione delle strategie di marketing finalizzate alla fornitura di “tutti gli altri servizi pubblicitari forniti ad inserzionisti, agenzie pubblicitarie e altri soggetti terzi” (quale, ad esempio, quelli ricompresi nella funzione Facebook login);

- quanto agli aspetti legati alla giurisdizione e al principio di stabilimento deve osservarsi, come già più volte affermato dal Garante nella vigenza della normativa applicabile al caso in argomento (Direttiva 95/46/CE e Codice in materia di protezione dei dati personali nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 101/2018, in ragione del principio tempus regit actum), che essi sono stati presi in esame nel parere 8/2010 adottato dal Gruppo di lavoro articolo 29 per la protezione dei dati in data 16 dicembre 2010, nel quale si osserva che "per determinare se si applicano una o più leggi alle diverse fasi del trattamento, è importante tenere a mente l'immagine globale dell'attività di trattamento: un insieme di operazioni svolte in una serie di diversi stati membri, ma tutte intese a servire un unico scopo […]. In tali circostanze, per individuare il diritto applicabile è decisiva la nozione di “contesto delle attività”, e non l’ubicazione dei dati. La nozione di “contesto di attività" non implica che la legge applicabile sia quella dello stato membro in cui è stabilito il responsabile ["titolare", ndr] del trattamento, ma quella del paese in cui uno stabilimento del responsabile del trattamento svolge attività correlate al trattamento dei dati”; pertanto il contesto delle attività non deve ritenersi ancorato a parametri formali, come la sede legale del titolare o l’ubicazione dei server contenenti i dati personali, ma a considerazioni legate all’effettiva attività svolta e ai soggetti verso la quale essa risulta indirizzata;

- nel caso in argomento, le attività prese in esame sono state inequivocabilmente indirizzate ad utenti italiani attraverso le sezioni che Facebook riserva agli stessi per la fruizione dei servizi del social network. Appare pertanto evidente la stretta correlazione fra il territorio italiano e il contesto delle operazioni di trattamento svolte, che hanno riguardato, in massima parte, utenti italiani;

- pur se riferita alle attività di un motore di ricerca gestito da un soggetto extraeuropeo, deve prendersi in considerazione anche quanto stabilito dalla sentenza della Corte di Giustizia dell'Unione Europea, C-131/12. In particolare, il punto n. 60 della predetta sentenza afferma che “un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro [...] qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l’attività della quale si dirige agli abitanti di detto Stato membro”;

- nel caso in argomento, ricorrono gli elementi richiamati nel suddetto principio, quali l'esistenza di una società di diritto italiano (Facebook Italy) preposta alla commercializzazione di spazi pubblicitari, e la circostanza che l'attività sia diretta ai cittadini dello Stato ove ha sede tale società;

- dalle considerazioni di cui sopra, deve confermarsi che la esistenza della società irlandese, in capo alla quale deve ascriversi (unitamente a Facebook Italy) la titolarità dei trattamenti, non ha modificato i parametri di valutazione della giurisdizione e che, quindi, nel caso di specie trovano applicazione le disposizioni del Codice;

- con riferimento al merito della questione, se da un lato appare sorprendente che Facebook Ireland si qualifichi, contraddicendo le proprie stesse premesse, quale mero intermediario, una sorta di “regolatore del traffico” in uno spazio nel quale interagiscono con differenziati e non sempre adeguati livelli di consapevolezza utenti del social network e autonomi titolari del trattamento, dall’altro risulta del tutto inconferente, in relazione alla normativa sulla protezione dei dati personali, l’assunto che le criticità individuate nell’istruttoria possano essere “neutralizzate” dalla semplice considerazione che “Facebook è un social network la cui missione è dare alle persone il potere di costruire una comunità e di avvicinare il mondo” e che “è carattere intrinseco di un social network - è nella sua natura - che gli utenti si registrino allo scopo di reperire e condividere informazioni con i loro amici e familiari esistenti e con i loro futuri contatti”;

- da tale scenario, delineato dalle impostazioni di default degli utenti Facebook con riferimento alla condivisibilità delle informazioni rilevabili dal proprio profilo, è emersa la circostanza, sproporzionata e abnorme, in base alla quale l’utilizzo, da parte di 57 utenti italiani, dell’applicazione Thisisyourdigitallife mediante la funzione Facebook login ha determinato la condivisione dei dati personali di ben 214.077 ulteriori utenti;

- il dato, di per sé, è idoneo ad evidenziare che, oltre alle criticità rilevate nel Provvedimento, aventi ad oggetto il rilascio dell’informativa e l’acquisizione del consenso da parte di Facebook, gli stessi elementi presentati da Facebook Ireland in sede di memoria difensiva risultano del tutto insufficienti a delineare una prassi operativa, nella gestione delle applicazioni di terzi all’interno del social network, rispettosa delle norme del Codice;

- risulta infatti confermato, proprio dalle memorie difensive e dal richiamato atto di ricorso in opposizione che, nel momento in cui gli utenti accedevano all’applicazione, soltanto ad essi veniva rilasciata un’informativa nella quale era illustrata la possibilità di impedire la condivisione di taluni dati personali, propri o di amici, e sempre soltanto ad essi era poi richiesta, dall’applicazione, l’autorizzazione a “accedere a certe specifiche categorie di dati dell'utente; […] accedere a certe categorie di dati degli amici dell'utente, (anche se questi ultimi dati sono accessibili solo dall'app quando ciò è coerente con l'impostazione adottata dagli amici dell'utente interessato tramite i controlli sulla privacy, come descritto sopra); […]"scrivere" o pubblicare su Facebook contenuti per suo conto”. I restanti 214.020 utenti, raggiunti dalla sola generale informativa resa da Facebook all’atto dell’iscrizione, potevano esercitare solo forme di controllo riconducibili al regime di consenso dell’opt-out (“usando i controlli granulari dell'impostazione "App che altri usano" o utilizzando il controllo generale dell'opzione "Opt-Out Universale"), non conforme alle disposizioni di cui all’art. 23 del Codice;

- pertanto, con riferimento a tali 214.077 utenti, che non hanno avuto alcuna informazione in ordine alla comunicazione dei propri dati all’applicazione Thisisyourdigitallife, si configura pienamente nei confronti delle società Facebook Ireland e Facebook Italy, la violazione delle disposizioni di cui agli artt. 13 e 23 del Codice;

- inoltre, poiché per la consistenza della complessiva banca di dati formata a seguito della comunicazione delle informazioni a Thisisyourdigitallife la stessa deve qualificarsi “di particolare rilevanza o dimensioni”, deve ritenersi pienamente configurata, nei confronti delle medesime società, la violazione di cui all’art. 164-bis, comma 2, del Codice;

RILEVATO, quindi, che Facebook Ireland e Facebook Italy, sulla base degli atti e delle considerazioni di cui sopra, risultano aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate ai punti a) e b) dell’atto di contestazione n. 10660/125145 del 28 marzo 2019, per le quali è intervenuta definizione in via breve e, conseguentemente, la violazione prevista dall’art. 164-bis, comma 2, per aver realizzato le violazioni di cui ai punti a) e b) in relazione a banche dati di particolare rilevanza o dimensioni;

VISTO l’art. 164-bis, comma 2, del Codice che per  le violazioni di un’unica o più disposizioni indicate nella parte III, titolo III, capo I del Codice (ad eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164), commesse in relazione ad una banca dati di particolare rilevanza o dimensioni, commina la sanzione amministrativa del pagamento di una somma da euro 50.000 ad euro 300.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di particolare gravità avuto riguardo al meccanismo in base al quale il semplice accesso di 57 utenti all’applicazione Thisisyourdigitallife ha determinato la condivisione di dati personali di ben 214.077 utenti;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che le società abbiano provveduto, in particolare per gli aspetti connessi all’utilizzo del prodotto Ballot, a uniformarsi alle prescrizioni impartite nel Provvedimento, così come rappresentato nella nota inviata all’Autorità il 21 febbraio 2019;

c. circa la personalità degli autori della violazione, deve essere considerata la circostanza che le Società non risultano gravate da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d. in merito alle condizioni economiche delle società, è stato preso in considerazione il bilancio d’esercizio per l’anno 2017 di Facebook Italy e le informazioni sul fatturato complessivo e sul patrimonio netto di Facebook Ireland;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 250.000 (duecentocinquantamila) per la violazione di cui all’art. 164-bis, comma 2, del Codice.

RITENUTO inoltre che, in relazione alle condizioni economiche dei contravventori, avuto riguardo in particolare ai dati relativi al fatturato complessivo, al numero di utenti mondiali e italiani, la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice (da € 250.000 a € 1.000.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Facebook Ireland Ltd, in persona del legale rappresentante pro-tempore, con sede legale in 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Repubblica d’Irlanda, e Facebook Italy s.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, piazza Giuseppe Missori n. 2, C.F. 06691680968, di pagare, in solido, la somma di euro 1.000.000 (un milione) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alle predette società di pagare, in solido, la somma di euro 1.000.000 (un milione), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d. lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 14 giugno 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia