La vicenda di Cambdridge Analytica circa l’utilizzo delle informazioni relative ai profili Facebook di circa 50 milioni di utenti per condizionare l’esito sia dell’ultima campagna elettorale statunitense sia del referendum sulla Brexit ha occupato le prime pagine di tutti i giornali, online ed offline.
La vicenda è questa: fino al 2015 effettuando un social login su un’applicazione si autorizzava il gestore della stessa a raccogliere i dati del nostro profilo, ma anche quelli relativi ai nostri “amici” su Facebook (funzionalità poi disabilitata da Facebook).
In quel periodo un’app, denominata “thisisyourdigitallife”, la quale, secondo i suoi sviluppatori, era destinata ad attività di ricerca scientifica, fu utilizzata da circa 270.000 utenti di Facebook. Comprendendo anche i profili presenti nelle liste di amici di tali utenti la società riuscì ad ottenere i dati personali di circa 50 milioni di persone iscritte a Facebook.
Fin qui nulla di vietato, dato che al momento del social login si autorizzava espressamente l’applicazione a raccogliere tali tipologie di dati.
Questi dati, però, in violazione delle “policy privacy” di Facebook, sono stati successivamente ceduti dalla società sviluppatrice dell’applicazione a Cambridge Analytica. Le policy del social network, però, vietano ai gestori delle applicazioni di condividere con terze parti i dati raccolti sugli utenti e prevedono espressamente delle sanzioni per i trasgressori.
Entra in gioco, quindi, Cambridge Analytica, la cui attività è quella di prevenire i comportamenti (anzi i micro-comportamenti) delle persone attraverso l’analisi delle loro caratteristiche ed azioni sui social network (la società dichiara di poter prevenire non solo le azioni delle persone, ma anche le loro emozioni).
I dati così acquisiti da Cambridge Analytica sarebbero stati utilizzati da questa per influire le scelte di voto nelle campagne elettorali, ma, soprattutto, sembrerebbe che la società a sua volta li avrebbe ceduti a società russe al medesimo scopo (ma di questo ancora non risulta evidenza).
La vicenda è venuta alla luce perché lo scorso 16 marzo 2018, prima della pubblicazione di un articolo su “The Guardian”, Facebook ha improvvisamente sospeso gli account di Cambridge Analytica impedendo l’accesso al social network. Dalle dichiarazioni di un dipendente di quest’ultima società sembra però che Facebook fosse a conoscenza della vicenda già da due anni e che, inspiegabilmente, avrebbe ritardato di adottare delle misure nei confronti di Cambridge Analytica, la quale, d’altra parte, è tuttora oggetto di due inchieste dell’Autorità di controllo britannica, la ICO (Information Commissioner’s Office) che ha avviato una nuova inchiesta su quanto accaduto.
La vicenda ha causato indignazione da parte della commissaria alla Giustizia dell’Unione Europea Vera Jourova che in questi giorni sarà negli Stati Uniti per discutere, tra l’altro, proprio delle implementazioni alle regole privacy statunitensi che saranno necessarie in seguito all’entrata in vigore del GDPR in Europa.
Questa la sintesi di quanto accaduto fino ad oggi. Come sappiamo il Regolamento Europeo n. 2016/679 (GDPR) avrà efficacia dal 25 maggio 2018, ma è interessante comprendere cosa sarebbe accaduto di questa vicenda se si fosse verificata successivamente dopo tale data.
Applicabilità del GDPR. Il primo punto da esaminare è quello relativo all’applicabilità delle previsioni del Regolamento europeo alla vicenda in esame. L’art. 3, 2° comma del GDPR, relativo all’ambito di applicazione territoriale, stabilisce l’applicabilità dello stesso ai trattamenti di dati personali di interessati che si trovano nell’Unione, anche effettuati da un titolare o un responsabile stabilito al di fuori del territorio europeo, nel caso in cui il trattamento consista nel “monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
Avendo coinvolto anche i dati personali dei cittadini del Regno Unito, in relazione al referendum sulla Brexit, la vicenda sarebbe stata quindi assoggettata alle regole dettate dal GDPR.
Informative, consensi e modalità del trattamento. Dalla ricostruzione di quanto accaduto emerge che mentre le policy privacy di Facebook prevedono espressamente la possibilità che i dati registrati dal social network vengano utilizzati dagli sviluppatori delle applicazioni che vengono autorizzate espressamente dagli utenti, non è consentito da parte di tali sviluppatori la comunicazione a terzi dei dati così raccolti.
D’altra parte, oggi gran parte dei meccanismi di “social login” si limitano ad indicare unicamente a quali dati personali presenti sul social network l’applicazione avrà accesso, senza che venga data un’informativa completa sulle finalità del trattamento. Tali informative dovranno essere adeguate alle previsioni del Regolamento e contenere tutte le informazioni previste dall’art. 13.
Inoltre, la vicenda in esame ha implicato il trattamento di dati relativi anche alle opinioni politiche degli interessati, i quali rientrano nell’ambito delle particolari categorie di dati di cui all’art 9 del Regolamento e che, pertanto, possono essere trattati solo previo un espresso consenso da parte della persona fisica a cui si riferiscono (art. 9, 2° comma, lett. a)).
Infine, essendo i trattamenti volti alla profilazione degli utenti ed avendo oggetto particolari categorie di dati sia la società produttrice dell’applicazione “thisisyourdigitallife” sia Cambridge Analytica, in caso di applicazione del GDPR, avrebbero dovuto svolgere le valutazioni di impatto di cui all’art. 35 del GDPR.
Data breach e violazione della policy Facebook. In questa vicenda Facebook ha chiarito più volte che non si è trattato di una violazione dei dati personali intesa come data breach, ma di una violazione della policy privacy applicata agli sviluppatori dell’applicazione.
A parere di chi scrive questo è uno dei profili più interessanti della vicenda. Tale affermazione di Facebook muove dalla considerazione che i dati degli utenti non sono stati acquisiti violando la sicurezza dei profili, ma la loro raccolta sarebbe avvenuta legittimamente, costituendo la successiva comunicazione a terzi una mera violazione delle regole adottate dal social network e non una violazione di sicurezza.
Il corretto inquadramento di quanto accaduto è rilevante anche per comprendere cosa succederà in casi analoghi dopo il 25 maggio 2018.
Una delle principali novità del GDPR è proprio l’obbligo del Titolare di notificare all’autorità di controllo le eventuali violazioni dei dati personali.
In particolare, l’art. 33 del GDPR prevede appunto che il Titolare senza ingiustificato ritardo, e comunque entro 72 ore, notifichi l’avvenuta violazione dei dati, fornendo nel contempo informazioni circa: la natura della violazione, le categorie e il numero approssimativo di interessati, le categorie e il numero approssimativo di registrazioni, le probabili conseguenze della violazione, le misure adottate o di cui si propone l’adozione, fornendo altresì i riferimenti del proprio Responsabile della Protezione dei Dati o altro riferimento di contatto.
A tale obbligo si aggiunge quello di informare gli interessati, qualora la violazione possa comportare un “rischio elevato per i diritti e le libertà fondamentali delle persone” (art. 34).
Considerati gli obblighi di disclosure appena esaminati è evidente che la comunicazione di un data breach (alle autorità di controllo e, nei casi previsti, agli interessati) costituisce un forte strumento di tutela, perché consente a tali soggetti di avere evidenza di violazioni dei dati personali e di porre in essere le misure necessarie ad attenuarne le conseguenze.
Appare quindi fondamentale comprendere cosa si intenda per “violazione dei dati” (o data breach) per verificare anche se, in ipotesi analoghe a quella in esame, gli utenti e le autorità potrebbero venirne a conoscenza.
Secondo l’art. 4, comma 1, num. 12 del GDPR per violazione di dati personali deve intendersi “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Le Linee Guide sulle notificazioni in caso di data breach rilasciate il 3 ottobre 2017 dal Gruppo di Lavoro ex art. 29, chiariscono che per data breach deve intendersi un incidente di sicurezza, che può comportare:
- “Violazione della confidenzialità” – in cui si verifica un accesso o una distribuzione accidentale e non autorizzata dei dati personali;
- “Violazione della disponibilità” – in cui si verifica una perdita di accesso o una distruzione non autorizzata od accidentale dei dati;
- “Violazione di integrità” – in cui si verifica una modifica non autorizzata od accidentale dei dati personali.
Sulla base delle sopra riportate definizioni, quindi, effettivamente i responsabili della sicurezza di Facebook sembrano avere ragione, in quanto i dati, come sopra già accennato, sono state raccolti legittimamente dal social network, senza alcuna violazione di sicurezza e quindi, anche in vigenza del GDPR, Facebook non avrebbe avuto alcun obbligo di notificare una violazione dei dati personali.
Non vi è chi non veda però, che anche in una fattispecie del genere, si configura un trattamento illecito da parte del soggetto che ha dapprima raccolto il dato tramite l’applicazione e successivamente comunicato tale dato ad una terza società in violazione delle privacy policy del social network (che costituiscono, oltretutto, l’unica esaustiva informativa che gli utenti hanno circa il trattamento dei loro dati).
Ancor più grave la circostanza, evidenziata da un dipendente della Cambridge Analytica, che Facebook era già a conoscenza da ben due anni della violazione della privacy policy e che in tutto questo periodo non abbia adottato alcuna misura nei confronti di detta società (né abbia informato i propri utenti).
Dal punto di vista strettamente giuridico, quindi, ciò significa che il Titolare, venuto a conoscenza della violazione dei diritti degli interessati da parte di un terzo a cui ha ceduto i dati, in violazione degli accordi intercorsi tra il medesimo Titolare ed il terzo, potrebbe decidere di non far nulla, nonostante tale violazione riguarda un ampio numero di interessati ed anche categorie particolari di dati.
Una possibile soluzione ad ipotesi del genere potrebbe essere quella di estendere il concetto di data breach in un’ottica che tenga maggiormente in considerazione gli obiettivi di protezione del dato personale del GDPR, riferendo il data breach non solo alle sole violazioni di sicurezza che riguardano i dati personali, ma anche alle ipotesi in cui il Titolare sia a conoscenza di un trattamento illecito dei dati personali che egli ha conferito a terzi, soprattutto quando tali violazioni riguardino un elevato numero di interessati e dati rientranti tra quelli disciplinati dall’art. 9 del GDPR.
D’altra parte, la comunicazione a terzi non autorizzata dei dati personali rappresenta sempre una violazione di confidenzialità degli stessi, pur non derivante da un incidente di sicurezza, e come tale potrebbe essere trattata in maniera analoga ad un incidente di sicurezza.
In ipotesi del genere, infatti, un tempestivo intervento dell’Autorità di controllo ed un’adeguata informativa verso gli interessati avrebbero sicuramente impedito il protrarsi dell’illecito trattamento da parte dei terzi ed avrebbero consentito agli interessati di agire in maniera rapida per l’esercizio dei diritti riconosciuti dal GDPR.
