Per la prima volta, il Garante per la protezione dei dati personali italiano prende posizione contro Facebook, su ricorso di un cittadino italiano. Ricostruita la normativa e ritenutola applicabile – come molti commentatori avevano immaginato sarebbe accaduto – alla luce delle sentenze Weltimmo e Google Spain della Corte di Giustizia Europea, l’Autorità ha ordinato al famoso social network di comunicare al ricorrente i dati richiesti e di bloccare l’ulteriore trattamento dei dati.
di Francesco Minazzi - Avvocato e Cultore di Informatica Giuridica presso l’Università di Teramo
Il caso

La vicenda sottoposta all’attenzione del Garante per la protezione dei dati personali è di estremo interesse, anche per le implicazioni che esulano dagli aspetti legati alla privacy.

Il ricorrente, infatti, ha presentato due distinte richieste di accesso e controllo dei propri dati personali, inseriti nel social network ed utilizzati anche contro la propria volontà: entrambe sono state rivolte a Facebook Ireland Ltd (in quanto stabilimento principale del colosso americano in Europa), una in base al diritto irlandese, un’altra in virtù degli articoli 7 e 8 del Codice in materia di protezione dei dati personali italiano (D.Lgs. 196/2003).

Deduce, invero, nelle istanze il ricorrente, professionista e politico locale, di aver subito forme di ricatto da parte di un soggetto ignoto, il quale ha richiesto dei soldi al ricorrente e, dinanzi al diniego di pagare, ha creato un falso profilo Facebook dello stesso. Nel fare ciò, ha utilizzato foto e altri dati personali della vittima, interloquendo, peraltro, a suo nome, con altri contatti, mediante messaggi contenenti fotomontaggi diffamatori (tra cui rapporti sessuali intrattenuti con minori).

La questione interessa, quindi, temi ulteriori rispetto alla privacy, poiché sono configurabili le ipotesi di reato dell’estorsione, della sostituzione di persona, della minaccia e della pedopornografia virtuale: implicazioni tenute in debito conto dal Garante, come si dirà nel prosieguo.

Prima di inoltrare formale richiesta di accesso ai dati, il ricorrente ha, inoltre, preliminarmente tentato la rimozione delle false foto, mediante l’apposito servizio online offerto da Facebook, ricevendo da terzi notizia dell’eliminazione del profilo fake e l’indisponibilità delle conversazioni ad esso riferite.

In sede di istanza ai sensi dell’articolo 7 del Codice, invece, l’interessato ha chiesto la conferma dell’esistenza di propri dati personali e la loro comunicazione in forma leggibile, il blocco dei dati trattati in violazione dei suoi diritti e l’opposizione all’ulteriore trattamento.

L’azienda statunitense ha, tuttavia, replicato al ricorrente in modo insufficiente, limitandosi a segnalare il c.d. “download tool”, un servizio del social network idoneo a scaricare esclusivamente una copia del proprio account registrato, non di quelli aperti illegittimamente da terzi.

Alla luce di ciò, la vittima ha potuto presentare ricorso al Garante Privacy italiano, esponendo i fatti e lamentando l’insoddisfacente risposta di Facebook, seguendone l’apertura dell’istruttoria dinanzi all’Autorità di controllo.

Impatti pratici e considerazioni

Il Garante, di conseguenza, ha innanzitutto invitato sia Facebook Irland Ltd., sia Facebook Italy srl a dare riscontro all’interessato: ne è scaturita una nota dell’azienda, con cui la stessa ha comunicato di aver intrapreso le azioni necessarie, rinviando nuovamente al c.d. “download tool”, nonché al proprio Centro di assistenza per quanto riguarda il falso account.

Ovviamente, il ricorrente si è mostrato di nuovo insoddisfatto della mancata risposta del social network, insistendo per l’accoglimento del ricorso e fornendo al Garante l’occasione per esercitare i propri poteri nei confronti del servizio americano.

Infatti, la pronuncia riveste notevole importanza, poiché segue la scia interpretativa che vuole i servizi online extracomunitari soggetti anch’essi alla normativa in tema di dati personali europea.

Il Garante prende subito atto del problema, dichiarando che “ai fini della valutazione del caso di specie è necessario preliminarmente accertare il diritto ad esso applicabile, rilevato peraltro che comunque Facebook nulla ha eccepito nel corso del procedimento in merito alla giurisdizione di questa Autorità” e rilevando, in primo luogo, che nel territorio italiano esiste uno stabilimento – la Facebook Italy srl – strettamente collegato alla sede irlandese.

Come da aspettative, l’Autorità ha immediatamente richiamato le pronunce della Corte di Giustizia dell’Unione Europea “Google Spain” e “Weltimmo”, nelle quali il Giudice comunitario ha gettato le basi per l’applicazione del diritto europeo a tutela dei dati personali anche a soggetti situati al di fuori del territorio dell’Unione. Infatti, scrive il Garante “le attività delle due società sono "inestricabilmente connesse" poiché l'attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd.”, integrando i requisiti postulati dalle citate sentenze europee ai fini dell’applicabilità del diritto nazionale.

Nella decisione “Weltimmo”, la Corte Europea ha precisamente sancito che la Direttiva in materia di protezione dei dati personali deve essere intesa “nel senso che consente l’applicazione della legge in materia di protezione dei dati personali di uno Stato membro diverso da quello nel quale il responsabile del trattamento di tali dati è registrato, purché il medesimo svolga, tramite un’organizzazione stabile nel territorio di tale Stato membro, un’attività effettiva e reale, anche minima, nel contesto della quale si svolge tale trattamento”: è, quindi, sufficiente un’adeguata correlazione tra gli stabilimenti di una multinazionale affinché debba rispondere del trattamento dei dati personali.

Rilevata l’applicabilità del Codice Privacy italiano, il Garante ha avuto gioco facile nello stabilire che il ricorrente avesse tutto il diritto di accedere ai propri dati, anche a quelli di cui ha fruito l’account falso. Vi è di più: ravvisando giustamente la configurabilità di reati e dovendo, pertanto, tutelare la conservazione nel tempo dei dati illecitamente trattati, l’Autorità ne fa derivare l’impossibilità di cancellarli.

Per l’effetto, ha ordinato a Facebook di dare seguito alle istanze del ricorrente, comunicandogli i dati richiesti in forma intelligibile, nonché di procedere al blocco dei dati, al fine di mantenere la prova e l’oggetto dei futuri accertamenti giudiziari per la repressione dei reati emersi nella vicenda.

In definitiva, si deve concludere prendendo atto del grande, ancorché prevedibile, effetto dirompente del provvedimento che qui si commenta: prevedibile perché basato su precedenti giudiziali emessi in sede comunitaria e confermati dal nuovo Regolamento dell’Unione Europea sulla privacy in procinto di essere pubblicato; ma dirompente nel territorio italiano, in quanto prima pronuncia simile nel nostro ordinamento, che potrebbe aprire la strada a molti nuovi ricorsi nei confronti del social network più noto del mondo.

Riferimenti: D.Lgs. n. 196/2003, Direttiva 95/46/CE, Sentenze Corte di Giustizia Europea causa C-230/14(Weltimmo) e causa C- 131/12 (Google Spain)

Provvedimento Garante per la protezione dei dati personali, 11 febbraio 2016

Archivio news