Lo scorso 11 settembre 2017 l’Agencia Española de Protección de Datos (AEPD) – l’equivalente del nostro Garante per la protezione dei dati personali – ha emesso nei confronti di Facebook Inc. una sanzione complessiva di 1 milione e duecento mila euro per violazione della normativa sul trattamento dei dati personali messe in atto dal colosso americano.
L’AEPD – insieme ad altre autorità di diversi paesi tra cui Francia, Belgio, Germania e Paesi Bassi – aveva dato inizio ad una investigazione nei confronti di Facebook al fine di verificare le modalità di trattamento dei dati personali acquisiti dagli utenti. L’indagine ha portato alla scoperta di tre condotte integranti altrettante violazioni, due considerabili come “gravi” e una “molto grave”.
Sostanzialmente l’AEPD ha constatato che Facebook tratta dati personali, ivi inclusi dati sensibili, per finalità promozionali e di marketing in assenza di specifico consenso da parte degli utenti e che gli stessi dati non vengono cancellati totalmente nel momento in cui gli stessi non sono più utilizzabili per la finalità per la quale sono stati raccolti.
In particolare, Facebook ottiene dai propri utenti dati riguardanti l’ideologia, il sesso, le credenze religiose, i gusti personali e i dati di navigazione, senza aver previamente informato l’utente in maniera chiara ed inequivoca circa le modalità e le finalità del trattamento di tali dati, di modo che gli stessi vengono in sostanza utilizzati per scopi pubblicitari in assenza di specifico consenso, fattispecie considerata come “violazione di grave entità” dall’autorità spagnola.
Oltre alla mancanza di chiarezza legata alla raccolta dei dati personali e alle finalità per le quali gli stessi vengono utilizzati, l’AEPD contesta a Facebook la mancanza di debita informativa agli utenti circa la raccolta dei propri dati attraverso l’utilizzo di cookies quando gli stessi, navigando su siti internet di terze parti, cliccano sul bottone “mi piace” presente su tali pagine web di terzi e con ciò involontariamente permettono di associare tali informazioni con il profilo dell’utente sul social network.
La mancanza di trasparenza viene contestata anche con riferimento all’informativa privacy messa a disposizione degli utenti, informativa che si presenta poco chiara, ricca di espressioni generiche e che obbliga gli utenti ad accedere ad una serie di link diversi per poter aver accesso alla versione integrale e che in ogni caso non fornisce informazioni adeguate con riferimento al trattamento, non chiarendo altresì per gli utenti non registrati che anche i loro dati di navigazione vengono comunque registrati ed acquisiti dal social network.
L’indagine dell’agenzia spagnola ha infine accertato che Facebook non elimina le informazioni raccolte presso gli utenti con riferimento alle abitudini di navigazione degli stessi, continuando ad utilizzarle successivamente in associazione al profilo degli stessi e, in aggiunta a ciò, che nel momento in cui un utente decide di cancellare il proprio profilo dal social network chiedendo allo stesso tempo la relativa cancellazione delle proprie informazioni, Facebook continua a trattenere tali informazioni per più di 17 mesi utilizzando dei cookie associati al profilo eliminato.
Il provvedimento dell’AEPD è il primo di una serie che potrebbero essere presi tanto nei confronti di Facebook quanto di altri social network e grandi player del web che con modalità più o meno simili riescono ad accedere ad una base estremamente ampia di dati personali e sensibili degli utenti, utilizzando gli stessi a loro insaputa e senza fornire le necessarie cautele a tutela della riservatezza degli interessati.