Il caso oggetto del ricorso

L’Autorità Garante Privacy si è pronunciata nei confronti di Facebook in seguito a un ricorso presentato da un utente che non aveva ricevuto risposta soddisfacente dal servizio di assistenza.
Il ricorrente aveva esercitato i suoi diritti ai sensi degli articoli 7 e 8 del Codice in materia di protezione dei dati personali.

Violazioni della privacy e comportamenti illeciti

Nel caso in esame, l’utente titolare di un account Facebook è stato vittima di attività configurabili come:

  • minacce;

  • tentativo di estorsione;

  • sostituzione di persona;

  • indebita intrusione in sistema informatico.

Tali comportamenti sono stati messi in atto da un altro utente Facebook che, dopo aver ottenuto la “amicizia” del ricorrente, ha intrattenuto una corrispondenza inizialmente confidenziale, poi sfociata in tentativi di reato.

una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato“.

Ricatto, falso account e diffusione di contenuti diffamatori

Dopo essersi insinuato tra i contatti dell’utente in modo confidenziale, l’autore del reato ha iniziato a ricattarlo richiedendo somme di denaro. Non avendo accettato le richieste, la persona ha creato un falso account Facebook utilizzando i dati personali e la fotografia del ricorrente.

Attraverso questo falso profilo, sono stati condivisi fotomontaggi diffamatori, che ritraevano il ricorrente in attività sessuali, anche con minori, gravemente lesive della sua reputazione, dell’onore e del decoro, oltre che della sua immagine pubblica e privata.

Tentativi di tutela della privacy da parte dell’utente

L’interessato aveva immediatamente chiesto a Facebook, tramite il previsto servizio on-line, la rimozione delle false foto/video montaggi a contenuto diffamatorio ricevendo “notizia da terzi che il falso profilo “Facebook” era stato eliminato e che le conversazioni presenti sull’account” di sua effettiva titolarità “erano state oscurate con dicitura di indisponibilità“.

Inoltre, l’interessato aveva provveduto anche ad inviare a Facebook Ireland Ltd. una raccomandata in cui chiedeva:

  1. la conferma dell’esistenza e la comunicazione in forma intelligibile di tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;
  2. di conoscere l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza;
  3. la cancellazione e il blocco del falso account e dei dati, fotografia inclusa, illecitamente inseriti dallo stesso falso account e condivisi nel social nework, oltre all’attestazione che tale operazione è stata portata a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi;
  4. e  si è opposto al trattamento dei dati in questione.

Facebook Ireland Ltd. invia in risposta le istruzioni per accedere ai propri dati tramite il servizio “download tool”, una serie di dati non intelligibili perchè indicati con codici, numeri e sigle, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network. Tramite questo servizio l’interessato ha avuto anche modo di riscontrare come tutte le conversazioni con l’autore del falso account (sia quelle colloquiali che quelle integranti gli asseriti illeciti) non erano state cancellate, nonostante dopo la segnalazione del ricorrente fossero risultate, secondo informazioni ricevute da terzi, indisponibili nel proprio account.

Intervento del Garante Privacy e applicabilità della legge italiana

A questo punto, l’interessato si rivolge al Garante Privacy, il quale ai fini della valutazione del caso, si sofferma ad accertare il diritto ad esso applicabile, partendo da un’analisi delle attività rispettivamente svolte da Facebook Italy S.r.l. e da Facebook Ireland Ltd.

Facebook Italy s.r.l., è una società che ha per oggetto “la fornitura di servizi internet e di servizi di vendita, la vendita di spazi pubblicitari on-line, il marketing ed ogni attività connessa“, pur non risultando il trattamento dei dati personali in questione effettuato direttamente dal predetto stabilimento italiano, lo stesso viene comunque svolto “nel contesto delle attività” di Facebook Italy s.r.l. e considerato altresì che le attività delle due società sono “inestricabilmente connesse” poiché l’attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd.

Il Garante ha quindi affermato l’applicabilità della legge italiana. Ha accolto il ricorso in base al Codice Privacy, della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015.

Decisioni del Garante e tutela dei dati personali

Il Garante ha ordinato a Facebook di:

  • fornire in forma intelligibile tutti i dati personali del ricorrente relativi ai profili Facebook a suo nome;

  • comunicare informazioni in merito ai diritti dell’utente ai sensi dell’art. 7, comma 2, del Codice Privacy;

  • sospendere immediatamente qualsiasi ulteriore trattamento dei dati inseriti nel social network dal falso account, mantenendo solo quelli necessari per eventuali acquisizioni da parte dell’autorità giudiziaria.

Questa decisione rafforza la protezione della privacy su Facebook e stabilisce la responsabilità della piattaforma nella gestione dei dati personali degli utenti.

(Fonte Garante Privacy)

Tag: , , , ,