Facebook ha una sede legale in Italia, e anche se non si occupa direttamente del trattamento dei dati personali degli utenti italiani è tenuta a rispondere alle richieste formulate dal garante della privacy. Dovrà per questo collaborare alla soluzione di un caso incentrato su un furto di identità, e sulle bizze di un account fake, che a nome della vittima ha condiviso sulla piattaforma immagini diffamanti, collegate ad un tentativo di estorsione.
Il provvedimento del Garante Privacy muove da una segnalazione inoltrata da un utente italiano nel mese di novembre. L’utente, professionista e rappresentante di istituzioni locali, a seguito di un contatto su Facebook con un secondo utente e a seguito dello stabilirsi di una amicizia mediata dal social network, dopo un periodo di corrispondenza privata, aveva subito un tentativo di estorsione . Al suo rifiuto di assecondare alle richieste, l’aguzzino aveva creato un account a suo nome , condividendo immagini modificate e video artefatti anche a sfondo pedopornografico, ritenuti “gravemente lesivi dell’onore e del decoro oltre che dell’immagine pubblica e privata del ricorrente”.
La vittima si era messa in contatto con Facebook Ireland per segnalare l’abuso: oltre a richiedere l’eliminazione dell’account che lo rappresentava indebitamente, poi accolta da Facebook senza rimuovere in maniera permanente i dati, il ricorrente chiedeva che l’azienda gli fornisse, oltre a tutti i propri dati e le proprie comunicazioni, anche tutti i contenuti caricati dall’account fake . Ha ottenuto da Facebook le istruzioni per accedere e scaricare i propri dati, operazione a cui ha provveduto autonomamente, e per i dati dell’account fake Facebook gli ha raccomandato di consultare il centro assistenza “per maggiori informazioni in merito a forze dell’ordine e questioni di terzi, incluso informazioni sulle citazioni in ambito civile”.
L’utente vittima del suo emulo non si è ritenuto soddisfatto e si è rivolto all’authority italiana.
Il Garante italiano ha in primo luogo dovuto deliberare su una questione non scontata, la giurisdizione del caso . L’orientamento dei diversi paesi europei è ancora poco uniforme: ad esempio la giustizia tedesca ha escluso che l’authority locale possa imporre alcunché ad un’azienda che ha sede in Irlanda e si attiene alla sua peculiare legislazione , mentre nel contesto europeo il caso sollevato contro Facebook dall’attivista Max Schrems, che ha portato al decadimento degli accordi Safe Harbor, suggerisce che i garanti abbiano diritto e dovere di agire a nome dei cittadini del paese che rappresentano. L’authority italiana ha scelto di confrontarsi con le decisioni della Corte di Giustizia dell’Unione europea, per esempio con il caso tra Google e le autorità spagnole che è sfociato nell’ istituzione del diritto all’oblio, e ha stabilito che al caso è applicabile il diritto italiano . Se è vero che Facebook Italy s.r.l. “ha per oggetto la fornitura di servizi internet e di servizi di vendita, la vendita di spazi pubblicitari on-line, il marketing ed ogni attività connessa ” e che l’azienda italiana non è direttamente incaricata del trattamento dei dati, spiega il Garante, il trattamento “viene comunque svolto nel contesto delle attività di Facebook Italy s.r.l.” e “le attività delle due società sono inestricabilmente connesse poiché l’attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd”.
Confrontandosi con il quadro normativo italiano, dunque, il Garante ha stabilito che il ricorrente abbia diritto ad accedere a tutti i dati che lo riguardano , compresi quelli inseriti e condivisi dal falso account , in quanto si tratta di “informazioni, fotografie e contenuti che si riferiscono alla sua persona”. Facebook avrebbe mancato di fornirli all’utente vittima del furto di identità, al quale è stato semplicemente suggerito di provvedere autonomamente, senza però la possibilità di accedere ai contenuti caricati dall’utente terzo.
L’authority ha così ordinato a Facebook di interrompere immediatamente il trattamento dei dati oggetto del contendere, conservandoli sui propri server in vista di possibili interventi dell’autorità giudiziaria. Il social network, ha stabilito poi il garante italiano, è tenuto a “comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome” e di informarlo riguardo ai termini e alle condizioni del trattamento, nonché dei “soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza”.
Gaia Bottà