Con il Provvedimento n. 56 dell’11 Febbraio 2016 (testo Provvedimento), il Garante per la protezione dei dati personali si è espresso per la prima volta nei confronti del social network più noto al mondo, accogliendo il ricorso di un iscritto a Facebook e riaffermando la propria competenza a intervenire a tutela degli utenti italiani in materia di protezione dei dati personali.
Cosa è successo:
La pronuncia del Garante è il culmine di una vicenda che ha inizio con un fallito tentativo di estorsione realizzato attraverso la chat di Facebook, con conseguente creazione di un falso account Facebook utilizzando le fotografie e i dati personali in chiaro della vittima. In seguito, dopo aver quindi clonato l’identità, il responsabile diffondeva a tutti i contatti del social delle foto e dei video artefatti gravemente lesivi dell’onore e del decoro della vittima, titolare, tra l’altro, di una carica istituzionale locale. Accortosi dell’esistenza del falso account, il titolare dei dati immediatamente chiedeva l’intervento di Facebook attivando il servizio on-line, esigendo la rimozione delle false foto e dei video e la comunicazione in forma intellegibile di tutti i propri dati, detenuti in relazione ai profili Facebook aperti a suo nome, compreso il falso account. Tramite il servizio “download tool” l’interessato riceveva quindi una serie di dati affatto intellegibili poiché composti da cifre, codici e sigle, oltre che esclusivamente limitati all’account Facebook valido con esclusione dei dati trattati dal falso account e condivisi sul social network. Comprensibilmente insoddisfatto, l’interessato si rivolgeva dunque al Garante per la protezione dei dati personali chiedendo la cancellazione e il blocco del falso profilo e la comunicazione di tutti i propri dati compresi quelli trattati dal fake.
Il Provvedimento:
Il Garante innanzitutto afferma la propria competenza tenendo a mente quanto previsto dalla direttiva 95/46/EC e dalle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, considerando che sul territorio nazionale opera stabilmente la Facebook Italy Sr e successivamente precisa infatti che “il ricorrente ai sensi della normativa italiana, è legittimato ad accedere a tutti i dati che lo riguardano, ivi compresi quelli inseriti e condivisi nel social network Facebook dal falso account trattandosi di informazioni, fotografie e contenuti che si riferiscono alla sua persona..” considerando anche che la società resistente (Facebook) non aveva compiutamente dato corso alle richieste avanzate dall’interessato.
Sulla scorta di tali premesse, il Garante ha quindi accolto il Ricorso e, per l’effetto, ha ordinato a Facebook di comunicare all’interessato, entro un preciso termine e in forma intellegibile, tutti i dati che lo riguardano comprese le informazioni personali, le fotografie e i post del fake, nonché di fornire ogni informazione circa l’origine di tali dati, le finalità, le modalità, la logica di trattamento, gli estremi identificativi del titolo e del responsabile, oltre alle categorie di soggetti cui i dati erano stati comunicati o che potevano venirne a conoscenza.
Dunque, quando qualcuno si trova nella spiacevole situazione di essere “clonato” in un falso account di Facebook, l’azienda è tenuta a comunicare all’utente tutti i dati che lo riguardano (informazioni personali, fotografie, post) compresi quelli inseriti e condivisi dall’eventuale fake segnalato.
A ben vedere, Facebook, di fatto, non ha mai evitato di rispondere all’utente, indicandogli correttamente il tool di download dei dati e lo strumento di reporting per il falso profilo: eppure, il Garante, sulla scorta della constatazione per cui i dati risultanti dai suddetti strumenti automatici fossero poco intellegibili ha ritenuto di poter intervenire alla luce del diritto nazionale e ha riconosciuto diritti specifici all’utente, ben diversi (e più specifici) di quelli garantiti dagli strumenti self-help messi a disposizione.