Garante per la protezione dei dati personali: provvedimento n. 5 del 10 Gennaio 2019
Fatto
Il Garante per la protezione dei dati personali aveva avviato un’istruttoria nei confronti di una Società che gestisce in Italia un importante social network, a seguito di uno scandalo che aveva coinvolto la Società madre, e relativo ad un utilizzo illecito dei dati personali di 87 milioni di utenti. In particolare, l’utilizzo di tali dati era finalizzato ad effettuare una profilazione di carattere psicologico al fine di veicolare mediante il social network una campagna pubblicitaria personalizzata con il presunto obiettivo di influenzare il voto nelle elezioni presidenziali statunitensi.
Durante la fase istruttoria, il Garante, oltre ad aver chiesto informazioni circa l’eventuale utilizzo di dati personali di cittadini italiani, aveva chiesto chiarimenti rispetto ai trattamenti dei dati personali degli utenti italiani effettuati in occasione delle elezioni politiche, avvenute in Italia il 4 marzo 2018, in occasione dei quali il social network aveva messo a disposizione la funzione “Candidati”, con la quale gli utenti/elettori potevano acquisire informazioni specifiche sui candidati nella propria circoscrizione elettorale, e la funzione “messaggio”.
Riguardo a quest’ultima funzione la Società italiana aveva fornito al Garante tutti i dettagli necessari per comprendere il funzionamento del servizio messo a disposizione degli utenti nella giornata delle elezioni politiche. In particolare la Società aveva specificato che nella giornata del 4 marzo sulla pagina personale di ogni utente era visibile “un messaggio” che dava la possibilità di acquisire “informazioni sul voto” e di “condividere” con gli altri utenti il fatto di aver votato. La funzione messa a disposizione dal social network invitava per di più l’utente a far conoscere le proprie convinzioni sull’importanza del voto.
In riferimento alle finalità del trattamento dei dati personali acquisiti mediante tali funzioni la Società aveva chiarito che la finalità era quella di fornire agli utenti l’opportunità di accedere a informazioni sulle elezioni e di partecipare al dibattito pubblico, consentendo di seguire e connettersi con i candidati e i politici così da incoraggiare la partecipazione civica alle elezioni politiche.
La decisione del Garante
Il Garante, dopo aver valutato le dichiarazioni fornite dalla Società, si è espresso negativamente in ordine al trattamento dei dati personali che la Società aveva effettuato mediante la funzione “Candidati” e “messaggio”, ritenendo il trattamento illecito.
Come punto di partenza nella sua valutazione il Garante è partito dalla finalità del trattamento dei dati esplicitato nel “data policy” del Social network, rilevando che il trattamento dei dati raccolti mediante la funzione “Candidati” e “messaggio” eccedeva le finalità dello stesso. Le finalità per cui possono essere trattati i dati personali devono essere determinate, esplicite e legittime, e le finalità del trattamento svolto dal social network non appare conforme a tali requisiti. Il Garante ha, poi, evidenziato che i dati personali trattati mediante le due funzioni messe a disposizione dal social network potevano essere potenzialmente “idonei a rivelare le opinioni politiche” degli utenti, e quindi potevano essere definiti “dati sensibili” (secondo la legislazione vigente all’epoca dei fatti). Come tali le finalità del relativo trattamento dovevano essere descritte con la precisione necessaria a consentire agli interessati di esprimere il proprio consenso in modo libero e informato.
Alla luce di tali considerazioni, il Garante ha, appunto, ritenuto che il trattamento di dati personali, anche sensibili, realizzato dal social network durante la campagna elettorale per le elezioni politiche 2018 risulta illegittimo, in quanto avvenuto sulla base di un generico assenso reso dall’utente di fronte ad un’informativa del tutto inidonea a descrivere compiutamente le reali implicazioni del trattamento stesso. L’informativa che veniva fornita agli utenti era quella di carattere generale, relativa a tutti i servizi e prodotti messi a disposizione dal social network, che gli utenti dovevano confermare di aver visionato durante la fase di registrazione allo stesso.
Volume consigliato
Il nuovo codice della privacyIl 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina. Agile e completa, quest’opera fornisce a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novitàintrodotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, per consentire al Professionista di adempiere ai vari obblighi relativi alla protezione dei dati personali.Con un linguaggio semplice e chiaro, l’autore analizza i singoli articoli del decreto attuativo corredati da un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare.PIER PAOLO MUIÀ Dopo aver conseguito la maturità classica, si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di diritto di internet, pri- vacy e IP, nonché responsabilità medica. È autore di diverse monografie sulle materie di sua competenza nonché di numerose pubblicazioni sulle principali riviste giuridiche nazionali ed è referente di dette materie per il portale telematico giuridico Diritto.it. È stato relatore in diversi convegni. Pier Paolo Muià | 2019 Maggioli Editore 19.00 € 18.05 € |
Scrivi un commento
Accedi per poter inserire un commento