Provvedimento del 21 dicembre 2022 [9853406]

estimated reading time: 36 min

[doc. web n. 9853406]

Provvedimento del 21 dicembre 2022

Registro dei provvedimentin. 448 del 21 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Regolamento generale sulla protezione dei dati” - di seguito, “Regolamento”), con particolare riguardo agli artt. 4, 5, 6, 9, 12, 13, 25, 58 e 66;

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la “Dichiarazione 2/2019 sull'uso di Dati personali nel corso di campagne politiche” adottata il 13 marzo 2019 dal Comitato europeo per la protezione dei dati (di seguito: EDPB), che richiede alle Autorità per la protezione dei dati di “monitorare e, se necessario, [di] far rispettare l’applicazione dei principi di protezione dei dati, quali la trasparenza, la limitazione delle finalità, la proporzionalità e la sicurezza, nonché l'esercizio dei diritti dell'interessato, nel contesto delle elezioni e delle campagne politiche. Le autorità per la protezione dei dati intendono utilizzare tutti i poteri di cui dispongono ai sensi del regolamento generale sulla protezione dei dati, garantendo un approccio cooperativo e coerente nel quadro del comitato europeo per la protezione dei dati”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. La campagna di Meta

Agenzie di stampa nazionali, a partire dal 20 settembre 2022 (cinque giorni prima dello svolgimento delle elezioni politiche per il rinnovo del Parlamento italiano) hanno riportato che Meta Platforms Ireland Limited (da qui in avanti “Meta” o “la Società”) avrebbe avviato sui propri social network Facebook ed Instagram una campagna, indirizzata espressamente agli utenti maggiorenni italiani, volta a fornire informazioni e a contrastare le interferenze e rimuovere i contenuti che disincentivano al voto in relazione alle imminenti elezioni per il rinnovo delle due Camere del Parlamento.

In particolare, Meta ha predisposto per Facebook promemoria elettorali volti a reindirizzare gli utenti al sito web del Ministero dell’interno dove gli stessi avrebbero potuto “trovare informazioni attendibili sulle elezioni”; i promemoria in questione erano asseritamente indirizzati ai cittadini italiani maggiorenni. Tali attività sono state veicolate da Meta in particolare sulla propria piattaforma Facebook attraverso la funzione denominata “Election Day Information” (EDI), ma il medesimo reindirizzamento era possibile anche cliccando su tre “adesivi” a disposizione sulla piattaforma Instagram.

1.2. La richiesta di informazioni e i riscontri della Società

L’Autorità, con nota prot. n. 50245/22 del 21 settembre 2022, ha ritenuto necessario rivolgere specifiche richieste di informazioni a Meta, con particolare riguardo:

- alla natura e modalità dei trattamenti di dati connessi alla pubblicazione dei promemoria e degli adesivi ed alla eventuale loro condivisione, nonché ai tempi di conservazione dei dati raccolti;

- all’accordo dichiaratamente in essere con il Ministero dell’interno per l’invio dei predetti promemoria e la pubblicazione degli “adesivi”;

- alle policy aziendali e della Comunità social, nonché eventuali riferimenti nelle “Condizioni d’Uso”, rilevanti rispetto alla cennata iniziativa;

- agli accordi realizzati con le organizzazioni indipendenti di fact-checking e flussi di dati scambiati con le medesime, con specifico riferimento ad eventuali nomine a responsabili del trattamento;

- alle modalità con le quali i trattamenti di cui sopra, in particolare quelli idonei a rivelare le opinioni politiche degli interessati, sarebbero stati portati a conoscenza dei medesimi e base giuridica che legittimasse i trattamenti stessi;

- alle misure poste in essere per garantire che l’iniziativa, come dichiarato, fosse portata a conoscenza esclusivamente dei maggiori di anni 18.

La Società, in data 22 settembre, ha trasmesso una nota di riscontro che, tuttavia, priva di gran parte degli elementi richiesti, non consentiva all’Autorità di superare alcune perplessità sulla correttezza e liceità del preannunciato Trattamento di dati dei cittadini italiani. Proprio in ragione di tali perplessità, con nota prot. n. 50924/22 del 23 settembre 2022, Meta è stata invitata a sospendere momentaneamente il preannunciato trattamento.

Nella tarda serata del 23 settembre la Società ha inviato un’ulteriore nota con la quale, palesando la propria volontà di non bloccare le preannunciate iniziative, forniva – sempre in maniera non esaustiva – alcune ulteriori informazioni, che tuttavia non consentivano ancora una volta di superare le rappresentate perplessità e, anzi, per certi aspetti, finivano per acuirle. Da tale nota emergeva, infatti, tra l’altro, che il Trattamento dei dati raccolti nell’ambito dell’iniziativa in questione “vengono aggregati entro 90 giorni” e che gli stessi potrebbero essere condivisi “con terzi come partner di ricerca, il mondo accademico, partner governativi o comitati elettorali”.

1.3. La nuova funzionalità “EDI”, i precedenti analoghi e il ruolo dell’Autorità irlandese

Non è la prima volta che Meta (in precedenza Facebook) lancia funzionalità relative all’interazione dei propri utenti in contemporanea e in collegamento con lo svolgimento di importanti momenti elettorali di interesse per i cittadini italiani:

- in relazione alle elezioni politiche nazionali del 4 marzo 2018, il social network aveva proposto il prodotto “Candidati”, sulla cui legittimità il Garante si era espresso, ritenendo doveroso intervenire dapprima con un divieto di Trattamento e poi ordinando a Facebook di corrispondere un milione di euro a titolo di sanzione amministrativo-pecuniaria,   (provvedimenti del 10 gennaio 2019, in www.gpdp.it, doc. web n. 9080914 e del 14 giugno 2019, doc. web n. 9121486);

- in occasione delle elezioni per il rinnovo del Parlamento europeo, il 26 maggio 2019, quando nella “sezione notizie” di Facebook è stato pubblicato un messaggio dal titolo “E’ tempo di votare!” (Election Day Reminder - EDR) con il quale si invitavano gli utenti a condividere il fatto di aver votato; anche in quel caso il Garante aveva formalmente richiamato, l’attenzione dell’Autorità irlandese su tale prodotto, condividendo vari dubbi circa la sua conformità alla disciplina in materia di protezione dati. A seguito di una interlocuzione con Facebook, la DPC aveva poi riferito che, non essendo stato possibile per il Titolare del Trattamento superare tutti i dubbi avanzati in quella sede , la stessa aveva deciso di non lanciare la nuova funzionalità proprio in occasione delle elezioni politiche irlandesi, momentaneamente sospendendone, dunque, l’applicazione(1).

Successivamente, Meta ha sviluppato un ulteriore prodotto, per l’appunto l’”Election Day Information” (EDI), oggetto del presente esame. Sotto un profilo generale, nei vari menzionati riscontri citati nel par. 1.2, Meta riferisce che “l’EDI è stata lanciata nell'UE nel 2021 solo dopo aver preso in considerazione le raccomandazioni dell'IDPC a seguito di un'ampia consultazione sulle caratteristiche del prodotto e sulle relative garanzie di trasparenza, in qualità di autorità di controllo capofila di Meta Ireland”; inoltre, viene precisato che “la consultazione di Meta Ireland con l’Irish Data Protection Commission ("IDPC") riguardava precisamente la funzione EDI, ora oggetto della Richiesta (ovvero la funzione EDI del Servizio Facebook e le relative informazioni di trasparenza)”.

In merito a tale prospettazione, si deve rilevare che le criticità riscontrate da questa Autorità e più ampiamente sviluppate di seguito (par. 2) sono legate a profili di natura sostanziale (base giuridica del trattamento, principio di finalità, natura dei dati trattati, condivisione dei dati, tempi di conservazione e data retention) e non sono riconducibili al solo, pur fondamentale, aspetto della trasparenza, oggetto, quest’ultimo, specificamente al centro della richiamata interlocuzione tra Meta e l’Autorità irlandese.

Inoltre, a ben vedere, anche la consultazione condotta dalla Autorità irlandese aveva, per espressa indicazione di quest’ultima, un taglio generale, tanto da indurla a specificare, in una comunicazione inviata a tutte le Autorità interessate nel marzo 2021, che “la valutazione della funzione EDI da parte del DPC è in relazione a questioni di trasparenza specificamente nel contesto dell’interazione di un utente con la funzione. Questioni più ampie e sistemiche relative agli obblighi di trasparenza di FB e alle basi giuridiche per il Trattamento dei Dati personali sono al vaglio nel contesto di una serie di indagini in corso”, precisando ulteriormente che “a scanso di equivoci, sia la revisione di alto livello che le raccomandazioni di alto livello emesse dalla DPC non pregiudicano l'obbligo di Facebook di garantire che questa funzionalità sia conforme al GDPR”. V’è di più; nella stessa comunicazione, la DPC informava che “questioni più ampie e sistemiche relative agli obblighi di trasparenza di FB e alle basi legali per il Trattamento dei Dati personali sono all'esame nel contesto di una serie di indagini in corso” e che, in ogni caso, “la DPC si riserva inoltre il diritto di condurre un'indagine per stabilire, in relazione a qualsiasi delle preoccupazioni che ha [il Garante] delineato fino ad oggi o successive, se una qualsiasi delle disposizioni del GDPR e del Data Protection Act 2018 sia stata, sia o possa essere violata in futuro o svolgere un'indagine al fine di garantire la conformità con il GDPR e il Data Protection Act 2018 e identificare eventuali violazioni”(2).

In merito a tali iniziative, non risultano allo stato aggiornamenti da parte della DPC, né gli esiti di tale istruttoria sono stati condivisi nell’ambito della più recente procedura avviata dal Garante ex art. 61 del Regolamento.

Anche la citazione dalla relazione annuale della DPC, effettuata da Meta, appare inconferente, visto che in essa, viene solo dato atto dell’adozione di misure finalizzate ad adottare le raccomandazioni espresse dalla stessa Autorità. Del resto tali raccomandazioni erano limitate ad un miglior posizionamento del link relativo all’informativa e al chiarimento circa l’assenza di finalità pubblicitarie.

Pertanto, dai chiarimenti ricevuti direttamente dalla DPC nella procedura di cooperazione avviata sul tema, ma anche dalla stessa lettura della relazione annuale richiamata da Meta, emerge chiaramente che la natura delle valutazioni condotte dall’Autorità irlandese erano limitate solo ad alcuni profili, peraltro molto generali, del carattere di trasparenza dell’informativa e non hanno affrontato gli ulteriori e più specifici aspetti di merito, oggetto delle perplessità e delle richieste del Garante.

Contestualmente allo svolgimento dell’istruttoria preliminare e in considerazione del fatto che Meta Platform Ireland ha fissato il proprio stabilimento all’interno dell’Unione Europea in Irlanda e che, dunque, la Data protection Commission irlandese (da qui in avanti DPC) è da considerarsi Autorità capofila (ai sensi dell’art. 56, par. 1 del Regolamento), il Garante ha prontamente attivato le previste procedure di cooperazione e coerenza, ai sensi degli artt. 60 e ss. del Regolamento. L’attivazione di tali procedure, peraltro, si è resa ulteriormente necessaria proprio a fronte delle richiamate dichiarazioni di Meta circa un’asserita valutazione positiva da parte della DPC sul prodotto EDI.

Tramite una procedura di mutua assistenza volontaria, inviata ai sensi dell’art. 61 del Regolamento, l’Autorità ha richiesto alla DPC, nell’ordine: a) di condividere con la massima urgenza consentita le informazioni circa la nuova funzionalità EDI e di chiarire se, come affermato dal titolare, tale funzionalità avesse ricevuto una qualche forma di approvazione da parte della DPC; b) di valutare, con la massima urgenza consentita, l’adozione di misure correttive, ivi compresa una limitazione provvisoria del Trattamento prima dello svolgimento delle elezioni in Italia.

Come sopra accennato, la DPC ha fornito le informazioni richieste ed ha contattato Meta affinché fornisse un riscontro più esaustivo al Garante (quello del 23 settembre), ma non ha ritenuto di adottare alcuna misura correttiva nei confronti della Società.

2. PRINCIPI APPLICABILI E BASE GIURIDICA DEL TRATTAMENTO

2.1. Premessa

Questa Autorità deve preliminarmente e nuovamente rilevare che i trattamenti dei Dati personali dei cittadini italiani operati da piattaforme social tanto ampiamente diffuse quale Facebook e Instagram assumono una particolare rilevanza in concomitanza con un così delicato momento per la vita istituzionale e politica del Paese, quale quello del rinnovo del Parlamento nazionale.

Questo a maggior ragione se si considera che l’art. 48 della Costituzione italiana nel suo complesso definisce il voto come “diritto/dovere civico”, qualificandolo così come un diritto individuale ma anche come una funzione da esercitarsi in quanto membri di una comunità politica.

Tale duplice connotazione, infatti, rappresenta, come ampiamente riportato dalla dottrina costituzionalistica, una soluzione di equilibrio e di compromesso, in grado di soddisfare entrambe le posizioni presenti in Assemblea costituente in riferimento al dibattito sul rendere o meno il voto come obbligatorio. Le due diverse concezioni che si contrapponevano all’epoca, infatti, furono, da un lato, quella volta a ritenere prevalente la natura di diritto di libertà del voto e, dall’altro, quella tesa ad evidenziarne la natura funzionale in correlazione alla funzione pubblica elettiva.

In tale prospettiva, la non partecipazione al voto, a partire dal 1993, non è più sanzionata, a riprova del fatto che nel contesto specifico dell’ordinamento italiano le informazioni inerenti all’esercizio (o il non esercizio) di un diritto o il compimento (o il non compimento) di una funzione sono idonee a rivelare opinioni ed orientamenti politici e a porsi, quindi, come particolare forma di espressione della volontà popolare.

Difatti, se è vero che solo nel caso del referendum abrogativo ex art. 75 Cost., la non partecipazione al voto può comportare conseguenze di carattere espressamente giuridico, è altrettanto vero che la non partecipazione al voto, in particolare nel contesto istituzionale e sociale italiano, può rappresentare una espressione “politica” in senso ampio dei convincimenti dell’avente diritto al voto, tanto da venire anche costantemente misurata e monitorata in termini statistici, spesso quale indice di disaffezione se non proprio di generale malcontento nei confronti delle istituzioni latamente intese o dei partiti. In questo senso, le informazioni idonee a rivelare tali opinioni politiche debbono essere assistite dalla tutela rafforzata di cui all’art. 9 del RGPD.

L’Autorità, pertanto, in premessa rimarca che ogni intervento, soprattutto laddove posto in essere da parte di un soggetto imprenditoriale privato multinazionale, in merito all’esplicarsi  dell’esercizio di un diritto fondamentale, quale quello di voto, con un impatto così decisivo e rilevante per la vita politica di un Paese, andrebbe attentamente considerato e presentato con modalità ben diverse da quelle utilizzate nel caso di specie.

E invece il Trattamento posto in essere da Meta, già a partire dai suoi aspetti principali quali quelli legati alle finalità, alla base giuridica applicabile, al rispetto dei principi di min imizzazione e di conservazione limitata dei dati, oltre alla possibile comunicazione a soggetti non meglio identificati, sollevano inquietanti interrogativi circa l’uso di dati (che possono avere anche natura particolare) di cittadini italiani.

Tali preoccupazioni e l’urgenza causata da alcune affermazioni di Meta, impongono al Garante, nelle more del completamento dell’analisi incardinata presso l’Autorità irlandese, di analizzare con attenzione gli elementi a disposizione al fine di verificare quanto meno l’esistenza di un fumus di illiceità nei trattamenti in atto e l’esistenza o meno di un concreto pericolo per i diritti e le libertà dei cittadini italiani, anche al fine della messa in atto dei meccanismi di tutela previsti dall’ordinamento.

2.2. Finalità e base giuridica del trattamento

2.2.1 Funzionalità EDI

Dai riscontri forniti da Meta non emerge alcuna indicazione chiara in merito alla Base giuridica del trattamento dei dati mediante la funzione EDI, nonostante l’espressa richiesta in tal senso formulata da questa Autorità con la citata nota prot. n. 50245/22 del 21 settembre 2022. Infatti, le informazioni riportate nei due riscontri sono limitate alla modalità di trattamento, ai tempi di conservazione e alla condivisione dei dati, nonché, quanto all’individuazione della base giuridica, all’elencazione di finalità già genericamente richiamate nella più ampia privacy Policy.

In primo luogo, va quindi censurata la scarsa puntualità mostrata sotto tale profilo da parte di Meta; questo atteggiamento ha costretto l’Autorità ad una attività molto dispendiosa al fine di ricercare le informazioni richieste all’interno di un’informativa, qual è quella di Meta, complessa, probabilmente tradotta da un testo scritto in altra lingua, frutto di stratificazioni successive e di continui rinvii ad altri documenti che richiedono al lettore una attività di coordinamento di non facile esercizio. La stessa informativa, inoltre, riferendosi al complesso delle attività, delle interazioni e dei trattamenti correlati all’utilizzo della piattaforma, non consente di enucleare con facilità le singole fattispecie, obbligando quindi ad una defaticante opera di lettura combinata e comparata delle diverse voci, dovendo muoversi tra l’informativa generale predisposta da Facebook, quella particolare predisposta per la singola funzione o per il singolo prodotto Meta e i chiarimenti forniti nella pagina Help Center dedicata al supporto agli utenti”.

Quanto appresso riportato in relazione alla base giuridica del trattamento, pertanto, è frutto dell’esame documentale e di una complessa ricostruzione a cui è stato costretto l’Ufficio attraverso una attività di sintesi tra le (poche) informazioni condivise da Meta nei propri riscontri e quanto riportato nei siti della stessa società.

In linea generale, deve quindi rilevarsi che i trattamenti di cui sopra non appaiono sorretti da specifico Consenso nelle forme di cui all’art. 7 del Regolamento e risultano indistintamente ricondotti alle molteplici e variegate finalità del complessivo Trattamento svolto mediante la piattaforma Facebook, per lo più sorrette da riferimenti alle basi giuridiche di cui all’art. 6, par. 1, lett. b) e f) (esecuzione di un contratto o Legittimo interesse del titolare): tali trattamenti risultano pertanto, di fatto, per una causa o per l’altra, sottratti ad uno specifico controllo da parte dell’interessato e ad una valutazione del medesimo in ordine alla portata delle proprie interazioni con la piattaforma nell’ambito della funzione EDI.

Sempre con riferimento alle finalità, va osservato inoltre che, come indicato da Meta, quella ancorata allo spirito generale dell’iniziativa “è semplice, in quanto fornisce agli utenti un promemoria informativo sul fatto che nel loro Paese si stiano svolgendo le elezioni e li indirizza a un sito web governativo (in questo caso il sito del Ministero dell’Interno), dove potranno trovare informazioni affidabili sulle elezioni”.

Tale finalità, sembra fare riferimento genericamente, quindi, al perseguimento di un interesse pubblico o, quanto meno, di pubblica utilità.

A tal proposito è il caso di rilevare che Meta è una società di natura privata, con sede non all’interno della Repubblica italiana, che ha chiaramente finalità di natura commerciale e il cui business principale è quello di mettere a disposizione una piattaforma social e il cui funzionamento è finanziato attraverso la vendita di spazi pubblicitari, preferibilmente legati ad una Profilazione degli utenti.

Su queste premesse e all’interno di tale sistema, la finalità di tutela di un interesse pubblico primario (come lo svolgimento di elezioni democratiche e il libero esercizio del diritto di voto) appare fuoriuscire dal perimetro proprio definito dagli obiettivi imprenditoriali di Meta e appare altresì incompatibile con la stessa natura commerciale della società. Parimenti non si comprende come finalità genericamente richiamanti interessi di carattere pubblicistico possano rientrare nei termini di un vincolo contrattuale istauratosi o da instaurarsi tra Meta e i propri utenti.

Inoltre, si osserva una macroscopica contraddittorietà tra l’asserita finalità filantropico-sociale dichiarata da Meta e la raccolta dei dati di cittadini italiani nell’ambito di uno specifico contesto elettorale. Infatti, atteso che il Trattamento dei dati raccolti è dichiaratamente protratto oltre il citato contesto delle elezioni (i dati verranno “aggregati entro 90 giorni” e peraltro non è chiaro se i 90 giorni decorrano dalla data di svolgimento delle elezioni o dalla loro raccolta), se ne deduce che la finalità perseguita da Meta non si esaurisce nel  fornire il promemoria in occasione dell’avvicinarsi della data del voto per contribuire a fornire una corretta informazione ai cittadini, considerato che è prevista dapprima una raccolta dei dati originati da tali interazioni, poi una conservazione e poi ancora, entro 90 giorni, un ulteriore Trattamento di aggregazione e di possibile comunicazione dei dati a terzi.

In altre parole, dall’asserita finalità meramente informativa di carattere pubblicistico, si ricaverebbero delle informazioni che entrano, con modalità e termini non precisati, nell’attività imprenditoriale di Meta, la quale, addirittura dichiara l’intenzione di “condividere le informazioni aggregate solo con terze parti come partner di ricerca, accademici, partner governativi o comitati elettorali per sostenere il valore civico e democratico specifico di EDI”. Anche tale condivisione non appare sorretta né da una finalità legittima, né da base giuridica idonea.

Insomma, analizzando i riscontri forniti da Meta, emerge che gli interessati, utenti della piattaforma Facebook, cittadini italiani, nell’ambito delle consultazioni elettorali politiche del 25 settembre 2022, hanno potuto fruire di un servizio messo a disposizione dalla piattaforma medesima per fornire informazioni sulle elezioni: la fruizione di tale servizio ha comportato la raccolta, da parte di Meta, dei dati degli utenti relativi quantomeno alla posizione geografica, all'età, al dispositivo utilizzato, alle interazioni con la piattaforma, conservati per un tempo indefinito (“until it's no longer necessary to provide our services and Facebook Products or until your account has been deleted”) e condivisi con numerosi soggetti, presumibilmente anche privati (“research partners, academics, government partners or election committees”), ed eventualmente collocati all’estero, considerato che nulla viene detto al riguardo, e senza che gli utenti abbiano ricevuto una specifica informativa su tali trattamenti e abbiano potuto fornire una chiara indicazione circa la loro volontà di sottoporre i propri dati a trattamenti destinati a fornire supporto a comitati elettorali o non meglio precisati soggetti istituzionali.

Infine, a completare il quadro appena delineato, vi è da segnalare anche l’ulteriore circostanza che non risulta agli atti alcun accordo, né incarico formale, con cui il Ministero dell’Interno abbia investito Meta del compito di informare i cittadini delle operazioni di voto del 25 settembre 2022 e che, pertanto, l’iniziativa in questione debba ritenersi avviata in autonomia da Meta, peraltro con sospetta pervicacia, considerato che si tratta del Terzo tentativo in cinque anni e con un impegno di risorse umane e materiali che non può trovare giustificazione nella matrice imprenditoriale del Titolare se non nei termini sopra delineati legati ad uno sfruttamento – con modalità e finalità non chiarite – dei Dati personali degli utenti.

Alla luce di quanto sopra, deve ritenersi, allo stato degli atti, che gli elementi sopra rappresentati consentono di individuare un fumus di illiceità dei trattamenti di Dati personali dei cittadini italiani, con riferimento alla violazione dei principi di liceità, correttezza, trasparenza e limitazione di finalità di cui all’art. 5, par. 1, lett. a) e b) del Regolamento e in carenza dell’individuazione di una chiara base giuridica ai sensi del successivo art. 6, carenza che determinerebbe anche l’inidoneità delle informazioni rese ex artt. 12 e 13 del Regolamento.

2.2.2. Il Trattamento da parte dei fact checker

Nei menzionati riscontri Meta ha rappresentato all’Autorità che, non solo in occasione delle elezioni, ma nell’ordinario svolgersi delle funzioni della piattaforma e, dunque, a latere rispetto alla specifica funzionalità EDI, la Società rimuove i contenuti su Facebook e Instagram che scoraggiano il voto o interferiscono con esso e per far ciò collabora con organizzazioni indipendenti di fact-checking che verificano la veridicità di post che, pur non violando gli standard della comunità, siano segnalati per disinformazione. A seguito della verifica da parte delle agenzie di fact-checking, il post ritenuto “falso”, viene parzialmente oscurato da Meta che ne riduce la visibilità sulla piattaforma e appone un’etichetta contenente un link che rimanda a ulteriori contenuti del fact-checker sulla materia.

Con riferimento a tale attività, che le notizie stampa e le interviste rilasciate dai responsabili di Meta hanno rappresentato come in diretta connessione con la funzione EDI, i correlati trattamenti di Dati personali sembrerebbero riconducibili, quanto a finalità, alle previsioni inserite nella sezione 12 della privacy Policy di Meta Ireland, con riferimento alla fornitura e al miglioramento dei prodotti Meta che include, fra l’altro la raccolta, l'archiviazione, la condivisione, la profilazione, la revisione, l'elaborazione automatizzata e la revisione manuale dei dati degli account e dei profili-utente, al fine, fra l’altro di indagare su attività ritenute sospette, individuare, prevenire e combattere comportamenti ritenuti dannosi, esaminare e, in alcuni casi, rimuovere i contenuti segnalati.

Peraltro si evidenzia che le carenze sul versante informativo e della trasparenza riscontrate nel caso della funzionalità EDI, sembrano riproporsi per il Trattamento effettuato dai fact-checker, dal momento che il reperimento delle informazioni circa questo tipo di Trattamento non risulta immediata e agile ma piuttosto difficoltosa e complicata anche dalla presenza di notizie frammentate che l’utente dovrebbe autonomamente reperire tra più documenti e fonti di informazione (Privacy policy, già nella sua forma di informativa stratificata, Terms of services e Help center).

Anche per questi motivi, al riguardo, è stato ritenuto opportuno svolgere un approfondimento istruttorio, con richieste di informazioni rivolte alle agenzie di fact-checking italiane con le quali Meta, nei suoi riscontri relativi a EDI, aveva dichiarato di collaborare.

Tali agenzie hanno fornito riscontro evidenziando, in primo luogo, che con riferimento alle descritte attività svolte nell’ambito dei social network gestiti da Meta, le stesse operano in qualità di responsabili del Trattamento per conto della Società. In uno dei riscontri è stato descritto nel dettaglio il processo di verifica dei contenuti, che viene svolto da giornalisti delle agenzie accedendo ad un tool messo a disposizione da Meta, nel quale è presente una lista di “contenuti/notizie che possono essere oggetto di revisione” (post pubblici) e che le agenzie possono, a propria discrezione, decidere o meno di sottoporre a verifica. L’agenzia può altresì inserire nel tool contenuti che non sono stati presi in considerazione da Meta ma che l’agenzia medesima ritiene meritevoli di valutazione. Nel tool è presente, oltre al contenuto da verificare, anche l’account professionale, oppure, nel caso di persona fisica, il nome e cognome di colui o colei che ha pubblicato la notizia, il numero di visualizzazioni e di condivisioni recenti e il numero delle segnalazioni del post da parte degli utenti. Gli esiti delle verifiche operate dai giornalisti delle agenzie (che possono classificare le notizie come “false”, “alterate”, “parzialmente false”, “con contenuto mancante”, “vere” o “satiriche”) vengono comunicati esclusivamente a Meta, la quale, quindi, opera successivamente sulle piattaforme con gli interventi ritenuti opportuni.

Nel riscontro fornito da un’altra agenzia, quest’ultima ha evidenziato che, per esplicita indicazione di Meta, sono esclusi dalle operazioni di fact-checking post e inserzioni di politici o candidati. Tale circostanza sembra prevedere, ab origine, peraltro con parametri non indicati da Meta né dalle agenzie, una selezione delle figure da sottoporre a “verifica”, probabilmente anche attraverso un’attività di individuazione preliminare dei profili e, dunque, degli account. Inoltre, tale differenziazione solleva più di una perplessità perché trattasi di una delimitazione soggettiva dei destinatari di un intervento di tipo correttivo ed integrativo che produce effetti su ambiti connessi alla libera manifestazione del pensiero, tutelata dall’art. 21 della Costituzione italiana.

Proprio tale circostanza, sul fronte della protezione dei dati personali, conferma i dubbi circa l’applicabilità della base giuridica contrattuale a questa tipologia di trattamenti, considerato che tutti gli utenti, in quanto tali e senza distinzione soggettiva alcuna, sottoscrivono con Meta il medesimo contratto di servizi e non contratti differenziati a seconda del grado di impegno politico o di esposizione rispetto all’opinione pubblica.

Le informazioni acquisite dalle agenzie di fact-checking completano il quadro di informazioni già fornito da Meta, che non fa che confermare come i trattamenti svolti nell’ambito della funzione EDI, ai quali la Società riconduce, in base alle interviste rilasciate agli organi di stampa e all’impostazione complessiva del servizio, anche i trattamenti realizzati mediante la partnership con le predette agenzie, non siano sorretti da specifico Consenso degli interessati e siano di fatto, sottratti ad uno specifico controllo da parte dei medesimi e ad una valutazione in ordine alla portata delle proprie interazioni con la piattaforma nell’ambito della funzione EDI.

Inoltre, quanto ai trattamenti connessi alle attività di fact-checking, va sottolineato che devono essere ricompresi nel novero degli interessati sia gli utenti che, attraverso i social network interagiscono con le agenzie, sia coloro (ad esclusione di politici e candidati) che inseriscono post pubblici contenenti notizie e informazioni, post che possono essere inclusi nel tool di verifica, unitamente al nome e cognome dell’autore della pubblicazione, tutti dati che, in ragione della finalità di indagine su attività ritenute sospette, individuazione, prevenzione e repressione di comportamenti ritenuti dannosi, possono formare oggetto, da parte di Meta di raccolta, archiviazione, condivisione, profilazione, elaborazione automatizzata e revisione manuale. Il tutto senza il Consenso esplicito e consapevole dell’interessato, con ampie perplessità circa la riconducibilità dei trattamenti alla base contrattuale e, soprattutto, con un’indicazione talmente generale e vaga in ordine alle motivazioni sottostanti e alle finalità dei possibili accertamenti (“indagine su attività ritenute sospette, individuazione, prevenzione e repressione di comportamenti ritenuti dannosi”) tale da rendere indecifrabile, e perciò come non data, l’informativa resa al riguardo, in un ambito – si ripete – quale quello della libertà di espressione che meriterebbe le più alte ed attente garanzie.

L’insieme di tali criticità rilevate nell’attività di fact checking, amplifica i timori legati al Trattamento dei dati effettuato in rapporto alle consultazioni elettorali e, per le sue implicazioni più generali, appare meritevole di più specifici approfondimenti.

2.3. Natura particolare dei dati trattati

Meta ha dichiarato di non trattare dati che rientrano nelle categorie particolari. Inoltre, dai riscontri ricevuti, emerge che i dati relativi alle interazioni nell’ambito del prodotto EDI verrebberoaggregati prima di essere condivisi con soggetti terzi.

In particolare Meta afferma che “per gli utenti che vengono mostrati, visualizzati o interagiscono (ad esempio, facendo clic su un link) con la funzione EDI, i relativi dati di coinvolgimento (ovvero, se l'utente è stato mostrato, visualizzato e/o ha fatto clic sui link offerti dalla funzione EDI) vengono aggregati entro 90 giorni” e, ancora, che potranno “condividere alcuni dati statistici aggregati [nella versione inglese si parla di “aggregated insights”] con terzi come partner di ricerca, il mondo accademico, partner governativi o comitati elettorali”.

A ciò si aggiunga che la funzione EDI si basa sul Trattamento di informazioni relative a età, posizione, genere e dispositivo degli utenti.

In primo luogo si evidenzia che Meta non ha fornito indicazioni circa gli strumenti che consentano di ritenere accertata la maggiore età delle persone raggiunte da EDI; essendo notorio che le attuali politiche di age verification si basano quasi esclusivamente sulle dichiarazioni degli interessati ed altrettanto notorio che in molti casi queste non corrispondono a realtà, la mancata indicazione di specifici accorgimenti di verifica porta a ritenere che in tale attività (e pertanto anche nella connessa raccolta di dati) siano coinvolti persone min ori di età.

Inoltre, occorre evidenziare che i dati oggetto di Trattamento non sono anonimi in quanto consentono l’individuazione dell’interessato sia all’origine che ad esito del processo di aggregazione quando gli stessi potranno essere condivisi genericamente anche con enti governativi e con comitati elettorali, non meglio identificati (italiani? esteri?).

Che tali dati non siano anonimi emerge anche dalla lettura della privacy Policy di Facebook che “per utilizzare meno informazioni collegate a singoli utenti, in alcuni casi eliminiamo gli elementi di identificazione personale dalle informazioni o le aggreghiamo. Possiamo anche anonimizzare tali informazioni in modo che non consentano più di identificarti” [enfasi aggiunta].

Da tale informazione si trova dunque conferma che anche per Meta, correttamente, l’anonimizzazione e l’aggregazione dei dati rappresentano attività distinte e alternative, e che pertanto i dati in argomento non possano essere considerati anonimi, né prima, né successivamente alla loro “aggregazione”.

Tenendo presente il contesto elettorale in cui le informazioni vengono raccolte, la circostanza indicata (elezioni politiche nazionali), la riconducibilità dei dati all’interessat0, la tipologia di dati trattati, è assai fondato il timore che tali dati possano risultare idonei a rivelare gli orientamenti politici degli stessi interessati.

Infatti, oltre a quanto rappresentato al punto 2.1., sul valore “politico” della partecipazione o meno al voto, per lo meno nel contesto italiano, il Trattamento di dati quali l’età, il genere e la dislocazione geografica, appare idoneo a costituire, seppur con dati già in possesso di Meta ma “incrociati” per una nuova finalità, - come detto, non collegabile alle generali finalità di un soggetto imprenditoriale privato - una Profilazione dell’utenza utilizzabile a livello politico, tanto che si prevede la loro possibile comunicazione in forma aggregata anche a “comitati elettorali”. Pertanto, contrariamente all’apodittica affermazione di Meta, non può in alcun modo escludersi che, in unione con altre informazioni o in specifiche circostanze, i dati raccolti possano configurarsi come idonei a rivelare le convinzioni politiche degli interessati, rientrando così nel novero dei dati di cui all’art. 9 del Regolamento.

E non tranquillizza certo apprendere sempre dalla privacy Policy di Facebook che la società collabora “con ricercatori indipendenti per comprendere meglio l'impatto che i social media potrebbero avere su elezioni e processi democratici”.

Pertanto, in considerazione delle concrete circostanze emerse che portano a ritenere che il tipo di Trattamento posto in essere mediante la funzione EDI possa essere riconducibile anche a categorie particolari di dati, si ritiene sussistente un fumus di illiceità anche con riferimento alla possibile violazione dall’art. 9 del Regolamento.

2.4. Principio di min imizzazione

Secondo il generale principio di min imizzazione dei dati personali, questi ultimi devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento). Una lettura di necessità e min imizzazione del Trattamento del dato pervade la struttura dello stesso Regolamento fino a concretizzarsi nella disposizione dell’art. 25, par. 2.

Ciò richiamato, posto che la dichiarata finalità della funzione EDI è quella di fornire “agli utenti un promemoria informativo sul fatto che nel loro Paese si stiano svolgendo le elezioni”, appaiono eccessivi e non necessari i dati utilizzati da Meta per implementare tale funzione informativa.

Infatti, pur ammettendo che al fine di fornire un promemoria elettorale sia necessario conoscere l’età e la nazionalità di un individuo (considerazione peraltro in contrasto con il disclaimer pubblicato da Meta nel quale si rappresenta che “le informazioni sulle elezioni sono accessibili a tutti gli utenti Facebook che hanno l'età per essere elettori nei Paesi in cui i promemoria delle elezioni sono disponibili. Poiché non decidiamo chi può votare, potresti vedere i promemoria sulle elezioni anche se non puoi votare. Stati e Paesi hanno regole diverse sull'idoneità al voto che possono dipendere da età, nazionalità, precedenti penali e altri fattori”), appare quantomai dubbio, sotto il profilo della necessità, utilizzare ulteriori dati (genere, localizzazione e informazioni sul dispositivo) e tracciare le interazioni dell’utente con il messaggio informativo.

Pertanto, alla luce di quanto sopra e, è possibile rilevare un fumus di illiceità del Trattamento posto in essere da Meta, in relazione allaviolazione degli artt. art. 5, par. 1 lett. c) e 25, par. 2 del RGPD.

2.5. Principio di limitazione della conservazione 

Nella prima comunicazione Meta dichiarava che “le informazioni vengono conservate in conformità alle nostre Normative sull'eliminazione e sulla conservazione dei dati e comunque fino a quando risultino necessarie per fornire i nostri servizi e Prodotti Facebook oppure fino a quando l'account non viene disattivato, a seconda dell'evento che si verificherà per primo”.

Nel secondo riscontro, invece, è emerso che “i relativi dati di coinvolgimento (ovvero, se l'utente è stato mostrato, visualizzato e/o ha fatto clic sui link offerti dalla funzione EDI) vengono aggregati entro 90 giorni”.

Le due indicazioni appaiono contrastanti e mancanti della necessaria chiarezza informativa. In tale contesto, infatti, dall’indicazione principale, che suggerisce una conservazione delle informazioni raccolte “fino a quando risultino necessarie per fornire i nostri servizi e Prodotti Facebook” dovrebbe ricavarsi che, ricevuto il messaggio informativo e, comunque, sino al 25 settembre 2022 (giorno delle elezioni politiche italiane), Meta avrebbe potuto trattare i dati ma che, spirato tale termine, la stessa li avrebbe cancellati dal sistema, come dichiarato.

E, invece, in base a quanto specificato dalla stessa Società nel secondo riscontro, i dati generati nel contesto del promemoria elettorale sono conservati e aggregati entro 90 giorni (con possibilità di condivisione), palesando, così, una finalità ulteriore e non dichiarata del relativo trattamento.

Anche dopo tale aggregazione, la conservazione di Dati personali non appare in alcun modo definita né giustificata.

Pertanto, tale circostanza, consente di individuare un fumus di illiceità del Trattamento posto in essere da Meta, con riferimento allaviolazione degli artt. 5, par. 1, lett. a) e 13, par. 2, lett. a) del Regolamento.

3. LA DEROGA AL MECCANISMO DI COOPERAZIONE E COERENZA E LE RAGIONI DEL PROVVEDIMENTO DI URGENZA

Come già richiamato, il Titolare del Trattamento ha dichiarato il proprio stabilimento principale nell’Unione Europea, ai sensi dell’art. 4, par. 16, lett. a) del Regolamento, nella Repubblica d’Irlanda e in ragione di tale scelta l’Autorità Capofila, ai sensi dell’art. 56, par. 1 del Regolamento, è da individuarsi nella Data Protection Commission irlandese.

A seguito delle richieste che il Garante ha rivolto alla DPC tramite la summenzionata procedura di mutua assistenza volontaria, quest’ultima ha contattato l’Ufficio e si è resa disponibile verbalmente a fornire delle delucidazioni circa gli eventi rappresentati, nonché a sollecitare il Titolare affinché fornisse una risposta alle domande del Garante; tuttavia, pur dovendo dare pienamente atto di tali attività, non risulta pervenuta né in prossimità della scadenza elettorale, né nelle settimane successive, alcun riscontro o valutazione di merito da parte dell’Autorità capofila tramite la piattaforma IMI rispetto all’esplicita richiesta di valutare urgenti misure di carattere correttivo,.

Pertanto, una volta chiarito   il quadro complessivo anche a fronte dei riscontri da parte delle agenzie di fact-checking pervenuti successivamente e delle verifiche effettuate sulle pagine informative di Meta, il Garante ritiene non ulteriormente procrastinabile, alla luce delle considerazioni qui riportate, un intervento di carattere correttivo urgente nei confronti di Meta. Questo a tutela dei diritti e delle libertà dei cittadini italiani che hanno utilizzato il prodotto EDI e le analoghe funzionalità di Instagram in quanto assimilabili e compatibili con quelle di EDI in occasione delle recenti elezioni politiche italiane.

Tale urgenza si impone non soltanto in ragione di un profilo di carattere soggettivo, quale lo specifico e mirato coinvolgimento dei cittadini di un unico e ben specifico Stato membro in occasione di un evento di tale rilevanza politica e istituzionale, ma anche per una motivazione di carattere temporale. Ci si riferisce al termine di 90 giorni (in scadenza il 23 dicembre 2022) entro cui Meta ha dichiarato di procedere all’aggregazione dei Dati personali degli utenti e alla loro possibile condivisione con soggetti terzi non meglio identificati.

Meta, infatti, in apparente violazione delle disposizioni sopra richiamate, non solo ha raccolto i Dati personali degli utenti italiani in occasione della citata tornata elettorale, ma li sta tuttora conservando e si appresta a sottoporli ad un ulteriore Trattamento di aggregazione al fine di renderli comunicabili a soggetti terzi entro il termine del 23 dicembre. È evidente che i tempi necessari al completamento dell’istruttoria della DPC, a quanto è dato conoscere, non consentirebbero di tutelare in maniera efficacie i diritti dei cittadini italiani.

Così come l’imminente scadenza del termine dei 90 gg indicato dal Titolare del Trattamento per la comunicazione dei dati a terzi risulta incompatibile con le tempistiche delle regolari procedure di cooperazione e coerenza, ricorrendo in tal modo quelle circostanze eccezionali che giustificano l’adozione del presente provvedimento (criterio delle circostanze eccezionali). 

Tale circostanza, se considerata alla luce delle violazioni sopra richiamate, pone dei seri rischi per i diritti e le libertà degli interessati in ragione della natura (dati potenzialmente idonei a rivelare orientamento politico) e gravità (violazione dei principi generali del regolamento), anche sotto il profilo della prospettata conservazione dei dati senza un termine specifico, nonché del numero di utenti potenzialmente coinvolti.

Il Garante ritiene, dunque, soddisfatto anche il criterio dell’urgenza, essendo indispensabile intervenire immediatamente per proteggere i diritti e le libertà degli interessati.

Pertanto proprio per tali impellenti motivazioni e a fronte di una mancata risposta dell’Autorità capofila circa l’esplicita richiesta italiana di valutare urgenti misure di carattere correttivo nei confronti di Meta, il Garante ritiene che debba applicarsi nel caso di specie una deroga motivata al meccanismo di cooperazione di cui all’art. 60 del Regolamento, applicando la procedura d’urgenza prevista dall’art. 66, par. 1 del Regolamento, per proteggere i diritti e le libertà degli interessati cittadini italiani i cui dati sono oggetto del Trattamento in questione.

In attesa della eventuale conclusione delle attività istruttorie  che la DPC ha comunicato, la necessità di disporre ai sensi dell’art. 58, par. 2, lett. a), nei confronti di Meta Platforms Ireland Limited, in qualità di Titolare del trattamento, un avvertimento con validità pari a tre mesi che tutti i trattamenti connessi alla funzionalità EDI in connessione alle elezioni italiane del 25 settembre 2022 e, in particolare, la prevista elaborazione e comunicazione dei dati di cittadini italiani a terzi possono  verosimilmente configurare una violazione della disciplina vigente con le connesse responsabilità e irrimediabili pregiudizi ai diritti e alle libertà delle persone fisiche di un Trattamento che appare in violazione di numerose disposizioni del Regolamento e, dunque, non lecito.

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 57, par. 1, lett. a) e 66, par. 1 del Regolamento, rileva che il Trattamento così come descritto in premessa e previsto da Meta Platforms Ireland Limited può verosimilmente configurare una violazione della disciplina vigente per violazione delle disposizioni nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. a) e 66, par. 1 del Regolamento rivolge un avvertimento, con validità pari a tre mesi, a Meta Platforms Ireland Limited che eventuali trattamenti dei Dati personali oggetto delle condotte descritte in premessa si porrebbero in violazione delle disposizioni sopra richiamate, con riserva di attivare le consentite procedure per l’adozione di misure definitive, ai sensi dell’art. 66, par. 2 del Regolamento

Ai sensi dell’art. 66, par 1, del Regolamento, del presente provvedimento è data tempestiva informazione alle autorità di controllo interessate, al Comitato ed alla Commissione.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il Titolare del Trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 dicembre 2022

IL PRESIDENTEStanzione

IL RELATORECerrina Feroni

IL SEGRETARIO GENERALEMattei

(1) https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-facebook-election-day-reminder

(2) “It should be noted that the DPC’s Assessment of the EDI feature is in relation to transparency issues specifically in the context of a user’s engagement with the feature only. Wider and systemic issues relating to FB’s transparency obligations and lawful bases for the processing of personal data are being examined in the context of a number of ongoing inquiries. For the avoidance of doubt, both the high-level review and the high-level recommendations issued by the DPC are without prejudice to Facebooks obligation to ensure that this feature complies with the GDPR. The DPC also reserves its statutory right to conduct an inquiry to establish, with regard to any of the concerns it has outlined to date or otherwise, if any of the provisions of the GDPR and the Data Protection Act 2018 have been, are being, or are likely to be, contravened in the future, or to carry out an inquiry in order to ensure compliance with the GDPR and the Data Protection Act 2018 and identify any contraventions thereof.” (comunicazione della DPC alle Autorità interessate datata 19 marzo 2021, in occasione della consultazione avviata dalla stessa Autorità irlandese al momento delle prima presentazione della funzionalità EDI da parte di Facebook, nonché a seguito dei rilievi avanzati in precedenza proprio dal Garante).