Facebook-Cambridge Analytica: l'intervento delle Authorities in Italia e Europa

Mentre in Europa gli sforzi dei legislatori sono protesi a delineare un quadro normativo unitario a tutela di quel diritto fondamentale che è la privacy attraverso il GDPR, il caso Facebook–Cambridge Analytica sembra aver (finalmente) squarciato quel velo di inspiegabile ignavia dell’opinione pubblica in ordine alle modalità e soprattutto ai fini della raccolta dei dati personali operata da Facebook. Ecco quindi che, con un discreto tempismo, praticamente tutte le Authorities italiane (e quelle di gran parte degli altri paesi europei) hanno avviato istruttorie volte a verificare, ciascuna per il settore di competenza, cosa si celi dietro i luccichii di post, like e share.

L’AGCM: gli utenti sanno davvero cos’è Facebook?

Tra i procedimenti avviati, conviene partire da quello istruito dall’Autorità Garante per la Concorrenza ed il Mercato (AGCM). Ciò perché l’Autorità in questione sembra aver risalito la corrente degli eventi, affrontando il problema lì dove esso origina: al momento di registrarsi a Facebook, gli utenti comprendono la “logica” di operatività del social network ? Verosimilmente, no. E infatti, come ha affermato il Presidente dell’AGCM, Giovanni Pitruzzella, in una intervista a SkyTG24, «quando ci iscriviamo a Facebook sulla homepage troviamo un messaggio che dice che il servizio è gratuito e lo sarà sempre. Ma il consumatore non è messo in grado di sapere che al contrario cede dei dati, per i quali ci sarà un uso commerciale, come dimostrano anche le recenti vicende».

Un effetti è proprio il concetto di “gratuità” che troppo spesso viene equivocato, risultando indebitamente ridotto a una prestazione o servizio offerti senza alcun corrispettivo a carico del soggetto che ne fruisce (in questo caso gli utenti Facebook). La dottrina civilistica, tuttavia, ha oramai da tempo messo in evidenza come nell’ambito dei negozi gratuiti quel che avviene è che l’una parte contrattuale realizza sì una prestazione senza pretendere un corrispettivo, ma – a differenza degli atti di liberalità, come ad esempio la donazione – egli non subisce una perdita secca nell’ambito della propria sfera giuridica, perché l’attribuzione patrimoniale che viene operata a vantaggio della controparte realizza pur sempre un interesse economico di chi esegue la prestazione (o mette a disposizione il servizio). Dunque, semplificando, si può affermare che mentre nei negozi onerosi l’arricchimento per ciascuna delle parti si rinviene nella prestazione che eseguirà l’altra, nei negozi gratuiti l’arricchimento per la parte che si obbliga ad eseguire la prestazione verrà realizzato, in maniera mediata o indiretta, proprio attraverso le utilità che essa potrà trarre dalla prestazione eseguita: nel caso in questione, mettendo a disposizione le funzionalità della piattaforma, Facebook riesce a incamerare una mole (estremamente significativa e dettagliata) di dati, da “rivendere” poi a chi ne faccia richiesta per fini di marketing.

A ben vedere, poi, non è forse neppure corretto parlare di “gratuità”, perché, se a fronte della fruizione dei servizi che la piattaforma offre l’iscritto si impegna a cedere determinati dati personali, non è affatto peregrino affermare che l’interesse di ciascuna delle parti si realizza per il tramite della prestazione dell’altra, sicché il contratto risulta in buona sostanza oneroso (altro che servizio gratuito).

Orbene, di tale complessa costruzione non pare esservi traccia nella prima pagina del social al momento in cui si avvia la procedura di registrazione e, dunque, tutto può dirsi tranne che i messaggi in parola risultino «chiari, precisi, non ingannevoli, su cosa le piattaforme come Facebook fanno della nostra identità digitale». Ecco allora che l’AGCM ipotizza la realizzazione di pratiche commerciali scorrette di Facebook (dunque, in violazione degli artt. 20, 21, 22, 24 e 25, del Codice del Consumo – D. Lgs. 205/206) mediante:

1. l’informativa fornita dal professionista in fase di registrazione alla piattaforma Facebook, con riferimento alle modalità di raccolta e utilizzo dei dati dei propri utenti a fini commerciali, incluse le informazioni generate dall’uso da parte dell’utente Facebook di app di società appartenenti al gruppo e dall’accesso a siti web/app di terzi;
2. l’automatica attivazione della piattaforma di scambio dei propri dati da/a terzi operatori per tutte le volte che l’utente accederà o utilizzerà siti web e app di terzi, con validità autorizzativa generale senza alcun consenso da parte dell’utente, con sola facoltà di opt-out. In particolare, l’opzione a disposizione dell’utente di rinunciare o meno a tale modalità risulterebbe preimpostata, tramite spunta nell’apposita casella, sul consenso al trasferimento dei dati».

Secondo l’Autorità, dunque, oltre alle criticità di cui già si è detto relative al momento della registrazione, Facebook potrebbe essere responsabile di un «indebito condizionamento nei confronti dei consumatori registrati, i quali […] presterebbero il consenso alla raccolta e all’utilizzo di tutte le informazioni che li riguardano (informazioni del proprio profilo Facebook, quelle derivanti dall’uso di Facebook e dalle proprie esperienze su siti e app di terzi), in modo inconsapevole e automatico, tramite un sistema di preselezione del consenso e a mantenere lo status quo per evitare di subire limitazioni nell’utilizzo del servizio in caso di deselezione». La questione, dunque, riguarda il caso del sign-in effettuato con riferimento a servizi terzi utilizzando le credenziali del proprio profilo Facebook: in queste ipotesi, infatti, la piattaforma fornisce sì un’indicazione delle informazioni che saranno trasferite al terzo, ma di default fa apparire acconsentito (attraverso una spunta automatica) il trattamento di tutte le varie tipologie di dati, peraltro specificamente qualificando alcune di esse come “obbligatorie” ai fini del completamento della registrazione sul sito terzo. Tale prassi per l’Antitrust va stigmatizzata, perché produce effetti distorsivi in ordine alla manifestazione del consenso richiesto (o, meglio, preteso).

L’AGCOM e le finalità politico-elettoriali del micro-targeting

Sulla particolare tipologia di impiego dei dati incamerati e trattati (con le dubbie modalità di cui s’è detto) da Facebook si è invece soffermata l’Autorità per le Garanzie nelle Comunicazioni (AGCOM). E infatti, con un comunicato stampa , l’Authority ha reso noto di aver inviato a Facebook una specifica richiesta di informazioni circa l’impiego di data analytics per finalità di comunicazione politica da parte di soggetti terzi. Ciò su cui l’AGCOM vuol far luce, dunque, è se – ed eventualmente con che incidenza – siano state realizzate attività di micro-profilazione degli utenti (italiani) al fine di condizionarne le decisioni al momento dell’espressione del voto. Va sottolineato, peraltro, che le informazioni relative alle opinioni politiche rappresentano una tipologia di dati personali fornita di una protezione rafforzata: e infatti, già considerati dati “sensibili” sotto la vigenza dell’attuale Codice Privacy, essi sono ora annoverati tra le “categorie particolari di dati” dall’art. 9 del GDPR, sicché il relativo trattamento è in linea di principio vietato, salve segnate eccezioni. Tuttavia, secondo l’AGCOM sarebbe emerso come Facebook «mette a disposizione degli utenti applicazioni sviluppate da soggetti diversi dalla piattaforma. Queste app permettono la raccolta di dati degli utenti tali da consentire la realizzazione di campagne mirate di comunicazione pubblicitaria a carattere politico-elettorale, in grado cioè di raggiungere audience profilate in base alle caratteristiche psico-sociali e di orientamento politico. Tali tecniche di profilazione degli utenti e di comunicazione elettorale “selettiva”, peraltro, sembrerebbero essere state utilizzate nel 2012 anche su commissione di soggetti politici operanti in Italia».

Ove vi fossero conferme circa il trattamento illecito di tali dati personali, Facebook e suoi dirigenti rischierebbero di incorrere in pesanti sanzioni (anche penali, ex 167 co. II Cod. Privacy attualmente in vigore).

Il Garante privacy, l’ICO ed il WP29: fuoco di sbarramento su Facebook

L’eventuale trattamento illecito dei dati personali rientra più specificamente nel fuoco dell’indagine avviata dal Garante per la Protezione dei Dati Personali. Si tratta peraltro di un procedimento che presenta una peculiarità rispetto a quello delle altre Authorities menzionate, giacché fin dal principio ha assunto una dimensione europea: in particolare l’ICO (Information Commissioner Office, ovverosia l’equivalente del nostro Garante per l’UK) ha assunto il ruolo di autorità capofila nell’ambito di una attività di approfondimento.

L’azione dell’ICO, poi, oltre a esser stata “doppiata” da analoghe (e coordinate) iniziative delle Authorities di vari Paesi Membri, ha incassato il significativo supporto del Gruppo di lavoro “Articolo 29” (WP29), che riunisce appunto le autorità europee per la protezione dei dati, il quale ha manifestato il proponimento di istituire un Gruppo di lavoro sui social media allo scopo di definire in questo ambito una strategia di lungo periodo. L’approccio estremamente rigoroso con il quale il WP29 sembra aver intenzione di esaminare la questione è ben riassunto dall’espressione “Sorry is not enough” con cui si apre il comunicato stampa nel quale l’organismo UE, appunto premettendo che «una piattaforma che fattura miliardi di dollari non può cavarsela con un ‘mi dispiace’» chiarisce come si intenda far tesoro dell’accaduto per elaborare un approccio innovativo e organico alle criticità emerse: «questo è l’inizio di una nuova era per la protezione dei dati. Una delle priorità fondamentali sarà tutelare le persone da ogni utilizzo illecito dei loro dati personali sulle piattaforme dei social media […]. Quello cui stiamo assistendo in questi giorni probabilmente è soltanto uno dei molti esempi di pratiche assai più diffuse che prevedono lo sfruttamento dei social media come bacino ove raccogliere dati personali per finalità commerciali o politiche. Ma il WP29 sa bene che si tratta di una problematica più ampia in cui sono coinvolti anche altri soggetti, come gli sviluppatori di app e i cosiddetti data brokers».

Il Garante per la privacy italiano, da parte sua, ha reso noto in un comunicato di aver già ricevuto le prime informazioni da Facebook, ma di essere intenzionato a raccogliere ulteriori elementi «per una piena valutazione del caso che ha visto coinvolti migliaia di cittadini italiani». A tale scopo, il Garante riceverà il 24 aprile Stephen Deadman, Deputy Chief Global Privacy Officer di Facebook. Ed inoltre proprio da parte italiana è stata avanzata in seno al WP29 la proposta di «estendere il mandato della task force, costituita a suo tempo per il caso Facebook-Whatsapp, anche alla vicenda Facebook-Cambridge Analytica”.

Appare chiaro, quindi, che Facebook è attualmente sotto il fuoco di fila di tutti gli organismi regolatori e di vigilanza, ed è ben difficile credere che possa cavarsela con un “mi dispiace”.