g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Prescrizioni del Garante
  4. Provvedimento del 20 giugno 2024 [10112606]

Provvedimento del 20 giugno 2024 [10112606]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10112606]

Provvedimento del 20 giugno 2024*
*In pendenza del giudizio di opposizione contro il provvedimento non è applicata la sanzione accessoria della pubblicazione dell’ordinanza ingiunzione

Registro dei provvedimenti
n. 609 del 20 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la “Dichiarazione 2/2019 sull'uso di dati personali nel corso di campagne politiche” (Dichiarazione 2/2019) adottata il 13 marzo 2019 dal Comitato europeo per la protezione dei dati (di seguito EDPB), che richiede alle Autorità per la protezione dei dati di “monitorare e, se necessario, [di] far rispettare l’applicazione dei principi di protezione dei dati, quali la trasparenza, la limitazione delle finalità, la proporzionalità e la sicurezza, nonché l'esercizio dei diritti dell'interessato, nel contesto delle elezioni e delle campagne politiche. Le autorità per la protezione dei dati intendono utilizzare tutti i poteri di cui dispongono ai sensi del regolamento generale sulla protezione dei dati, garantendo un approccio cooperativo e coerente nel quadro del comitato europeo per la protezione dei dati”;

VISTO il Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 148137/23 del 31 ottobre 2023, notificato in pari data, che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Meta Platforms Ireland Limited (di seguito anche “Meta” o “la Società” o “il titolare”) in persona del legale rappresentante pro-tempore presso la sede legale della società in Merrion Road, Dublino 4, D04 X2K5, Irlanda.

Il procedimento trae origine da una istruttoria disposta dall’Autorità, a seguito della pubblicazione, da parte di diverse agenzie giornalistiche, a partire dal 20 settembre 2022 e quindi a soli cinque giorni dallo svolgimento delle elezioni per il rinnovo della Camera dei deputati e del Senato della Repubblica italiana, della notizia che Meta aveva avviato sui propri social network Facebook e Instagram una campagna volta a fornire informazioni sulla tornata elettorale, a contrastare le interferenze e a rimuovere i contenuti falsi volti a disincentivare la partecipazione al voto.  Secondo quanto pubblicato, Meta aveva attivato, per raggiungere tale obiettivo, una specifica funzionalità denominata Election Day Information (di seguito “EDI”).

In particolare, Meta aveva predisposto dei “promemoria elettorali”, destinati agli utenti maggiorenni della piattaforma Facebook, volti a reindirizzare gli stessi al sito web del Ministero dell’interno, dove erano reperibili “informazioni attendibili sulle elezioni”. Il medesimo reindirizzamento era possibile anche cliccando su tre “adesivi” (stickers), disponibili per gli utenti della piattaforma Instagram.

L’Autorità, in considerazione dei precedenti specifici di Meta in relazione ad analoghe iniziative intraprese in Italia in occasione delle precedenti elezioni politiche del 2018 e delle elezioni europee del 2019 (provvedimento correttivo n. 5 del 10 gennaio 2019, in www.gpdp.it, doc. web n. 9080914; provvedimento sanzionatorio n. 134 del 14 giugno 2019, doc. web n. 9121486; informativa alla Data Protection Commission irlandese – DPC -   e relativa istruttoria circa il prodotto “E’ tempo di votare!”) e anche tenuto contro degli esiti dell’istruttoria della DPC sull’analogo prodotto EDR (“Election Day Reminder”), introdotto e poi ritirato in occasione delle elezioni generali irlandesi del 2020, decideva di avviare un’istruttoria sul caso, richiedendo a Meta ogni elemento utile per una compiuta valutazione del caso.

1.2. Le richieste di informazioni formulate dall’Autorità

L’Ufficio, con nota prot. n. 50245/22 del 21 settembre 2022, inoltrava una richiesta urgente a Meta, in particolare invitando la Società a fornire informazioni su: a) la natura e la modalità dei trattamenti di dati connessi alla pubblicazione dei promemoria e degli adesivi, compresa l’eventuale loro condivisione e i tempi di conservazione dei dati raccolti; b) l’eventuale accordo in essere con il Ministero dell’interno per l’avvio dell’iniziativa; c) l’inquadramento della funzione EDI nell’ambito delle “Condizioni d’Uso”; d) gli accordi con le organizzazioni indipendenti di fact-checking; e) la base giuridica dei trattamenti; e f) le misure a garanzia del fatto che l’iniziativa fosse portata a conoscenza esclusivamente dei cittadini maggiorenni.

Con la nota di riscontro, pervenuta il giorno successivo, Meta, dopo aver inteso sottolineare che le risposte venivano fornite “su base volontaria”, rivendicando che la DPC irlandese era “l'unico interlocutore di Meta Ireland in qualità di responsabile del trattamento dei Prodotti Meta (inclusi il Servizio Facebook e il Servizio Instagram) nella regione europea”, con riferimento alle funzionalità EDI rappresentava che:

- “le caratteristiche previste per le elezioni del 25 settembre sono sostanzialmente diverse da quelle che sono state oggetto dei precedenti provvedimenti del Garante” poiché la funzione di EDI sarebbe stata puramente informativa e supportata da maggiore trasparenza;

- tale maggiore trasparenza sarebbe stata introdotta, a seguito di specifica interlocuzione con la DPC, e sarebbe consistita, in buona sostanza, nel posizionamento di un link all’interno dei promemoria elettorali, che rimandava agli help center delle piattaforme di Meta, che a loro volta rimandavano al testo dell’informativa per gli utenti. Nell’informativa sarebbero state illustrate le modalità di utilizzo dei dati raccolti nel corso delle interazioni degli utenti con le funzionalità EDI (nome, posizione geografica, età, sesso, dispositivo e interazioni stesse con EDI), chiarendo che il motivo della raccolta e dell’utilizzo di tali dati risiederebbe nell’identificazione delle persone effettivamente coinvolte nella tornata elettorale (italiani e maggiorenni) e specificando che i trattamenti non sarebbero stati destinati all’invio di comunicazioni promozionali o alla condivisione con terzi. Tuttavia, Meta rappresentava che “possiamo condividere informazioni aggregate con terze parti, come ad esempio partner di ricerca, accademici, partner governativi o comitati elettorali”;

-  Meta avrebbe effettuato controlli e rimosso i contenuti su Facebook e Instagram che scoraggiano il voto o interferiscono con il voto, non solo in prossimità delle elezioni ma costantemente, in conformità con gli standard della Community. Per fare ciò Meta Ireland collaborava anche con organizzazioni indipendenti di fact-checking;

- per illustrare le finalità dei trattamenti come sopra indicati, Meta rimandava all’informativa presente nelle proprie piattaforme, con specifico riferimento alla sezione relativa alla “Fornitura e miglioramento dei nostri Prodotti Meta”.

Atteso che la nota di riscontro era priva di gran parte degli elementi richiesti, a partire dall’indicazione della base giuridica del trattamento, e che tali carenze non consentivano all’Autorità di superare le perplessità sulla correttezza e sulla liceità del trattamento di dati dei cittadini italiani, con nota prot. n. 50924/22 del 23 settembre 2022, Meta veniva invitata a sospendere momentaneamente il trattamento dei dati operato attraverso la funzione EDI.

Nella tarda serata del 23 settembre 2022, la Società inviava un’ulteriore nota con la quale, rappresentando di non voler bloccare le preannunciate iniziative, forniva alcune ulteriori informazioni che tuttavia risultavano ancora non esaustive, non idonee a superare le rappresentate perplessità e, anzi, per certi aspetti, maggiormente allarmanti. Da tale nota emergeva, infatti, che successivamente alla raccolta dei dati gli stessi sarebbero stati “aggregati entro 90 giorni” con la possibilità di condivisione “con terzi come partner di ricerca, il mondo accademico, partner governativi o comitati elettorali”.

In tale scenario che presentava ancora la carenza di elementi chiarificatori o risolutivi, l’Autorità ha preso atto della volontà di Meta di non aderire alle richieste del Garante relative alla sospensione prudenziale del trattamento e ha pertanto proseguito le proprie indagini sugli elementi a disposizione (informative sul trattamento dei dati disponibili nei siti Meta, informazioni reperibili nelle pagine di Help Center di Meta), provvedendo anche a verificare il ruolo svolto dai fact-checkers con apposite richieste di informazioni.

Vale la pena di sottolineare che, negli approfondimenti svolti presso le agenzie di fact-checking è emerso, fra l’altro, che per esplicita indicazione di Meta, sono esclusi dalle operazioni di fact-checking post e inserzioni di politici o candidati. Tale circostanza sembra prevedere, ab origine, peraltro con parametri non indicati da Meta né dalle agenzie, una selezione delle figure da sottoporre a “verifica”, probabilmente anche attraverso un’attività di individuazione preliminare dei profili e, dunque, degli account.

Al completamento delle attività istruttorie e all’esito dell’esperimento della procedura di mutua assistenza volontaria (ex art. 61 del Regolamento) rivolta all’autorità irlandese, l’Autorità ha ritenuto di dover formulare un avvertimento nei confronti di Meta in via d’urgenza sui possibili rischi per le libertà personali dei descritti trattamenti, ai sensi dell’art. 66, par. 1 del Regolamento (provvedimento n. 448 del 21 dicembre 2022, in www.gpdp.it, doc. web n. 9853406), anche in considerazione dell’imminente spirare del termine di 90 giorni (in scadenza il 23 dicembre 2022), entro cui la stessa Meta aveva dichiarato che avrebbe proceduto all’aggregazione dei dati personali raccolti e alla loro possibile condivisione con soggetti terzi solo genericamente identificati.

In tale provvedimento, che qui deve intendersi integralmente richiamato e riprodotto, si evidenziava che “il trattamento posto in essere da Meta, già a partire dai suoi aspetti principali quali quelli legati alle finalità, alla base giuridica applicabile, al rispetto dei principi di minimizzazione e di conservazione limitata dei dati, oltre alla possibile comunicazione a soggetti non meglio identificati, sollevano inquietanti interrogativi circa l’uso di dati (che possono avere anche natura particolare) di cittadini italiani” e si precisava che la precedente interlocuzione di Meta con la DPC irlandese non aveva preso in esame gli aspetti critici sollevati dal Garante ma “solo ad alcuni profili, peraltro molto generali, del carattere di trasparenza dell’informativa”.

Si rappresentava quindi che “Meta è una società di natura privata, con sede non all’interno della Repubblica italiana, che ha chiaramente finalità di natura commerciale e il cui business principale è quello di mettere a disposizione una piattaforma social e il cui funzionamento è finanziato attraverso la vendita di spazi pubblicitari, preferibilmente legati ad una profilazione degli utenti […]. Su queste premesse e all’interno di tale sistema, la finalità di tutela di un interesse pubblico primario (come lo svolgimento di elezioni democratiche e il libero esercizio del diritto di voto) appare fuoriuscire dal perimetro proprio definito dagli obiettivi imprenditoriali di Meta e appare altresì incompatibile con la stessa natura commerciale della società […]. Inoltre, si osserva una macroscopica contraddittorietà tra l’asserita finalità filantropico-sociale dichiarata da Meta e la raccolta dei dati di cittadini italiani nell’ambito di uno specifico contesto elettorale. Infatti […] la finalità perseguita da Meta non si esaurisce nel fornire il promemoria in occasione dell’avvicinarsi della data del voto per contribuire a fornire una corretta informazione ai cittadini, considerato che è prevista dapprima una raccolta dei dati originati da tali interazioni, poi una conservazione e poi ancora, entro 90 giorni, un ulteriore trattamento di aggregazione e di possibile comunicazione dei dati a terzi”.

Quanto alle attività demandate alle agenzie di fact-checking, attività per le quali Meta conserva il ruolo di titolare del trattamento, il richiamato provvedimento evidenziava che “devono essere ricompresi nel novero degli interessati sia gli utenti che, attraverso i social network interagiscono con le agenzie, sia coloro (ad esclusione di politici e candidati) che inseriscono post pubblici contenenti notizie e informazioni, post che possono essere inclusi nel tool di verifica, unitamente al nome e cognome dell’autore della pubblicazione, tutti dati che, in ragione della finalità di indagine su attività ritenute sospette, individuazione, prevenzione e repressione di comportamenti ritenuti dannosi, possono formare oggetto, da parte di Meta di raccolta, archiviazione, condivisione, profilazione, elaborazione automatizzata e revisione manuale. Il tutto senza il consenso esplicito e consapevole dell’interessato, con ampie perplessità circa la riconducibilità dei trattamenti alla base contrattuale e, soprattutto, con un’indicazione talmente generale e vaga in ordine alle motivazioni sottostanti e alle finalità dei possibili accertamenti (“indagine su attività ritenute sospette, individuazione, prevenzione e repressione di comportamenti ritenuti dannosi”) tale da rendere indecifrabile, e perciò come non data, l’informativa resa al riguardo, in un ambito – si ripete – quale quello della libertà di espressione che meriterebbe le più alte ed attente garanzie”.

Il 12 gennaio 2023 (iscritta al protocollo n. 5606/23) Meta inviava una comunicazione interlocutoria al Garante nella quale assicurava che avrebbe tenuto in debita considerazione il provvedimento di avvertimento n. 448/2022, riservandosi sia di fornire un puntuale e più preciso riscontro, sia il diritto di proporre opposizione. Quest’ultima, in effetti, non è stata poi presentata.

L’8 febbraio 2023 la Società ha inviato una comunicazione (iscritta al protocollo n. 0023186/23) con la quale, nel manifestare il proprio intendimento di non condividere con terzi i dati dei cittadini italiani raccolti (e medio tempore aggregati) in occasione della citata tornata elettorale, nella sostanza confermava di aver effettuato operazioni di raccolta e conservazione di tali informazioni. Meta, infatti, testualmente affermava che: “i Dati Aggregati relativi alle Elezioni di Settembre non sono stati condivisi con terze parti, né vi è intenzione alcuna da parte di Meta Ireland di procedere in tal senso”. Inoltre, la Società informava che la funzione EDI non sarebbe stata disponibile per le successive elezioni in Italia.

Successivamente, il Garante, nell’ambito di una procedura ex art. 56, par. 2, del Regolamento, veniva riconosciuto dall’Autorità di controllo irlandese quale autorità competente a trattare il caso, in base alla considerazione che in ragione delle norme costituzionali ed elettorali italiane, potevano individuarsi elementi di trattamento dei dati personali nel contesto dell’EDI con impatti specifici per gli interessati residenti in Italia.

A seguito di tale significativo passaggio procedurale, il Garante ha adottato, in via d’urgenza e al fine di dare continuità temporale alle garanzie previste nel provvedimento del dicembre 2022, l’ulteriore misura cautelare della limitazione provvisoria (provvedimento n. 77 del 22 marzo 2023, in www.gpdp.it, doc. web n. 9879700) “considerato il persistere di seri rischi per i diritti e le libertà degli interessati, di rango costituzionale, in ragione di trattamenti svolti da un soggetto privato, in occasione del momento politico più delicato ed espressivo della sovranità popolare, quale quello delle elezioni per i componenti del Parlamento nazionale”.

A seguito di tale ultimo provvedimento, Meta ha inviato un ulteriore riscontro (prot. 60559/23 del 12 aprile 2023) con il quale ha indicato le misure correttive, sia a carattere generale, sia “aggiuntive”, adottate per dare attuazione alla limitazione provvisoria imposta dal Garante. Tra quest’ultime anche l’archiviazione dei dati in questione in un unico luogo ad accesso controllato.

Nella medesima comunicazione Meta ha confermato di “aver iniziato a offrire la funzione EDI il 20 settembre 2022 e di averla interrotta subito dopo il termine delle Elezioni di settembre, il 25 settembre 2022 (“Periodo elettorale di settembre”)”.

1.3. Contestazione delle presunte violazioni

L’Ufficio, all’esito dell’istruttoria, esaminate le evidenze raccolte, ai sensi dell’art. 166, comma 5, del Codice, ha inviato il richiamato atto di avvio del procedimento n. 148137/23 del 31 ottobre 2023, con il quale ha contestato alla Società le presunte violazioni delle seguenti disposizioni:

• artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, in quanto i trattamenti dei dati personali degli utenti italiani non sono sorretti da idonea base giuridica, anche in considerazione del fatto che i relativi dati possono rientrare nell’ambito di applicazione dell’art. 9 del Regolamento; tali carenze, inoltre, hanno portato anche alla contestazione della violazione dell’art. 5, par. 1, lett. a del Regolamento per assenza dei presupposti generali che presidiano la liceità del trattamento dei dati personali;

• art. 5, par. 1, lett. a) e b) del Regolamento, in quanto i trattamenti successivi alla fornitura delle informazioni circa le elezioni eccedono rispetto alla finalità così delimitata e, in ogni caso, risultano al di fuori da una ragionevole aspettativa degli interessati circa i trattamenti ulteriori effettuabili dalla piattaforma. Collegato a tali contestazioni, il Garante ha rilevato che le ulteriori finalità non possono essere considerate tra quelle proprie della “community”, come invece sostenuto da Meta in sede di riscontro alle specifiche richieste dell’Autorità, con ciò inducendo quest’ultima a considerare il comportamento tenuto in tale sede dalla Società in contrasto con i doveri di collaborazione di cui all’art. 31 del Regolamento;

• artt. 5, par. 1, lett. a), 12 e 13 del Regolamento, in quanto tra le informazioni fornite agli interessati manca qualsiasi indicazione chiara della base giuridica del trattamento, non essendo idonea a tal fine il generico rinvio alla Privacy Policy di Meta;

• artt. 5, par. 1 lett. c) e 25, par. 2 del Regolamento, in quanto l’utilizzo di dati (genere, localizzazione e informazioni sul dispositivo) ulteriori rispetto al reindirizzamento al sito del Ministero dell’Interno e il tracciamento delle interazioni dell’utente con il messaggio informativo risultano attività non necessarie;

• artt. 5, par. 1, lett. e), 12 e 13, par. 2, lett. a) del Regolamento, in quanto le indicazioni relative alla conservazione dei dati personali appaiono contrastanti e mancanti della necessaria chiarezza informativa, anche in relazione all’aggregazione successiva dei dati in vista della possibile condivisione con terzi degli stessi.

2. ACCESSO AGLI ATTI, AUDIZIONE E OSSERVAZIONI DIFENSIVE DI META.

A seguito della ricezione delle contestazioni, il 21 novembre 2023 Meta ha fatto pervenire all’Autorità un’istanza di accesso con contestuale richiesta di proroga del termine per la presentazione delle memorie difensive (iscritta al protocollo n. 156033/23).

Evasa positivamente l’istanza di accesso e concessa la proroga richiesta, la Società ha depositato un’ampia ed articolata memoria ai sensi dell’art. 166, comma 6, del Codice (protocolli nn. 94-96-98-100-104/24) con contestuale richiesta di audizione svoltasi il 9 gennaio 2024.

La memoria di Meta, che qui deve intendersi integralmente richiamata e riprodotta, anche a garanzia della parte, è articolata nei seguenti punti principali:

a) la Società respinge la tesi secondo cui la stessa non avrebbe collaborato con il Garante e/o non avrebbe fornito informazioni veritiere nelle dichiarazioni rese nel procedimento (in violazione dell’articolo 31 del GDPR), richiamando la pregressa corrispondenza intercorsa tra Meta Ireland e la stessa Autorità;

b) la Società sostiene che alla base delle conclusioni a cui giunge l’Autorità nell’atto di avvio del procedimento vi sarebbe un’erronea considerazione secondo cui Meta avrebbe condiviso con terze parti gli insight aggregati derivanti dai dati personali trattati nel contesto della funzione EDI. In particolare, il nodo più problematico della contestazione dell’Autorità sarebbe rappresentato, a detta della Società, dalla circostanza che Meta non avrebbe condiviso con terze parti alcun dato aggregato (o non aggregato) in relazione all’utilizzo della funzione EDI, ad eccezione delle informazioni relative all’utilizzo degli Stickers di Instagram fornite alla Commissione irlandese per la protezione dei dati (di seguito anche solo "DPC") in risposta a una richiesta specifica della stessa autorità irlandese. Sostiene Meta che non può essere ritenuta responsabile e soggetta a sanzioni per un’attività di trattamento dei dati personali che non è stata posta in essere;

c) Meta avrebbe trattato limitate categorie di dati personali dei propri utenti nel contesto della messa a disposizione della funzione EDI, nessuna delle quali costituisce un dato particolare ai sensi dell’art. 9, par. 1, del Regolamento in quanto non idonee a rivelare opinioni politiche. Infatti, la funzione EDI si sarebbe limitata a reindirizzare gli utenti maggiorenni - che sceglievano di utilizzarla - al sito web del Ministero dell’Interno in cui erano presenti informazioni affidabili sulle elezioni italiane; gli Stickers di Instagram, invece, si limitavano a mettere a disposizione un "adesivo" generico su temi di attualità che gli utenti potevano a propria scelta pubblicare nelle storie di Instagram e che, in modo analogo alla funzione EDI, rimandava gli utenti al sito web del Ministero dell’Interno. Inoltre, sempre secondo Meta, l’errata ricostruzione circa la natura particolare dei dati trattati impatterebbe anche sulla competenza dell’Autorità e sull’applicabilità della deroga di competenza dell’art. 56, par. 1, del Regolamento, asserendo una carenza di informazioni sul punto nell’atto di avvio del procedimento;

d) Meta sostiene che l’introduzione della funzione EDI in occasione delle elezioni italiane sarebbe avvenuta a seguito di importanti impegni assunti nei confronti della DPC, nel tentativo di garantire che il trattamento dei dati personali fosse coerente con le previsioni del Regolamento. La Società sostiene di aver agito in modo trasparente e corretto nei confronti degli utenti con riguardo al trattamento dei loro dati personali nell’ambito della funzione EDI, trattando, in tale contesto, un numero limitato di dati personali in modo conforme alle disposizioni del Regolamento. Inoltre, secondo Meta l’atto di avvio del procedimento non terrebbe conto degli obblighi a cui la stessa Meta è soggetta al fine di mitigare i rischi sistemici, come la diffusione della disinformazione nel dibattito pubblico e nei processi elettorali - anche alla luce dell’adozione del Digital Services Act dell'Unione Europea ["DSA" – entrato in vigore il 16 novembre 2022, n.d.r.] -, nonché degli obblighi nei confronti dei propri utenti in conformità alle Condizioni d’Uso di Facebook e delle Condizioni d’Uso di Instagram e per soddisfare le aspettative dei cittadini e dei governi in tutta Europa;

e) Meta contesta la competenza del Garante con riferimento alla presente vicenda, in quanto non risulterebbero soddisfatte le condizioni di cui all’art. 56, par. 2, del Regolamento poiché (i) l’attività di trattamento in questione coinvolge uno stabilimento in Irlanda, e non in Italia; (ii) la funzione EDI comporta un trattamento transfrontaliero che non inciderebbe in modo sostanziale su persone fisiche solamente in Italia; (iii) le contestazioni principali contenute nell’atto di avvio del procedimento si riferirebbero a disposizioni generali del Regolamento e non a questioni che attengono specificamente l’Italia o il diritto italiano; e (iv) il “diritto costituzionale italiano non sarebbe rilevante” ai fini della valutazione della deroga citata.

Da ultimo, Meta, nella memoria difensiva (pag. 53) riporta i dati relativi alle interazioni degli utenti italiani con le funzionalità EDI, evidenziando in particolare che “circa 6.693.300 utenti di Facebook in Italia (su 35.178.632 utenti mensili attivi) ha cliccato sulla Funzione EDI e circa 56.500 utenti di Instagram in Italia (su 38.091.380 utenti mensili attivi), hanno utilizzato gli IG Stickers”.

3. VALUTAZIONI DELL’AUTORITÀ

3.1. Competenza del Garante, normativa di riferimento e ruolo complessivo di Meta

Le argomentazioni di Meta svolte nei citati documenti difensivi e sintetizzate nel paragrafo n. 2 del presente provvedimento non consentono di ritenere superate tutte le ragioni che hanno condotto l’Autorità a contestare le violazioni sopra enunciate.

3.1.1. Competenza

Tuttavia, prima di esporre le ragioni che portano ad affermare la responsabilità di Meta in relazione alle richiamate contestazioni, appare opportuno tornare a descrivere il contesto normativo nazionale in materia elettorale, già compiutamente rappresentato nel richiamato provvedimento di avvertimento n. 448 del 21 dicembre 2022, non senza aver evidenziato che, proprio in ragione del peculiare contesto, l’Autorità irlandese per la protezione dei dati personali ha riconosciuto al Garante la competenza sulla vicenda oggi in esame.

Questa Autorità, infatti, dopo aver richiesto, senza successo, l’intervento della DPC, ha attivato le procedure predisposte dal Regolamento (parr. 3-5 dell’art. 56) al fine di richiedere a quest’ultima, autorità capofila ex art. 56 del Regolamento, il riconoscimento della propria competenza ai sensi della deroga espressamente prevista dal par. 2 del medesimo art. 56.

All’esito delle valutazioni di competenza, la DPC ha riconosciuto la competenza del Garante nei termini seguenti:

“While we have duly considered the position put forward by the Garante in considering whether the case in question has elements of personal data processing with local impact only, the DPC is not in a position to interpret or undertake a detailed legal assessment of Italian constitutional and election law and any consequences such may have on the lawfulness of processing of personal data by Meta in the context of the EDI feature. Accordingly, while it is our view that the DPC remains the competent authority for the EDI feature in general, we acknowledge that by reason of Italian constitutional and election law, there may be elements of the processing of personal data in the context of the EDI with impacts limited to data subjects residing in Italy. On that basis, we are agreeable to recognizing the Garante as the competent authority to make determinations on any element of the EDI feature involving the processing of personal data which are exclusively local in impact” [enfasi aggiunta].

In particolare, in assenza di specifici riferimenti al riguardo, si deve ritenere che la DPC abbia riconosciuto, nel caso di specie, la sussistenza della competenza del Garante sulla base dell’inciso del Considerando 131 del Regolamento che comprende, tra le casistiche di local case, anche “il trattamento che deve essere oggetto di valutazione tenuto conto dei pertinenti obblighi giuridici ai sensi della legislazione degli Stati membri”, ovvero, come chiarito dalla DPC, ai sensi della Costituzione italiana e della normativa interna in materia elettorale.

La valutazione operata in qualità di autorità capofila dalla DPC, nel riconoscere la competenza del Garante è peraltro sottratta alle censure nel merito da parte del titolare tanto che le relative linee guida sono documenti interni allo stesso European Data Protection Board (Internal EDPB Document 1/2019 on handling cases with only local impacts under Article 56.2 GDPR) e che solo nel 2022, e solo per una questione di maggiore trasparenza, sono state rese pubbliche. In altri termini, la questione attiene alla cooperazione tra autorità di controllo e alla valutazione circa l’applicabilità della normativa italiana alla funzione EDI, applicabilità che, a tacer d’altro, non avrebbe potuto essere attribuita ad una autorità straniera.

Appare pertanto sorprendente che Meta dedichi una consistente parte delle memorie difensive (ben 7 pagine su 59) per contestare la competenza del Garante a decidere sulla presente vicenda. Si tratta di argomentazioni, come detto, del tutto inconferenti e che non sembrano tenere conto del fatto che le autorità di controllo dell’UE sono chiamate ad interpretare le norme del Regolamento e a decidere conseguentemente in forma sempre più coordinata, attraverso le procedure di cooperazione previste e continuamente implementate. Sotto questo profilo la costante invocazione di un indiscriminato accentramento di competenze verso l’Autorità capofila, nonostante il diverso parere della medesima, si configura come un’indebita interferenza nella regolare distribuzione dei compiti che all’interno dell’Unione Europea assicura l’omogenea applicazione della normativa in materia di protezione dei dati personali.

Tale posizione è tanto meno comprensibile quanto più dovrebbe essere di interesse per una Società che si prefigge compiti di utilità sociale ottenere un vaglio (possibilmente favorevole) da parte delle autorità dei Paesi dove intende operare, soprattutto in campi così delicati come quelli legati all’espressione della volontà popolare.

Nel caso in argomento il Garante, dopo aver effettuato, con le già accennate difficoltà di interlocuzione con Meta, un’istruttoria preliminare finalizzata a comprendere se il trattamento di dati svolto dalla Società incidesse esclusivamente sui diritti degli interessati italiani, ha attivato le previste procedure che sono state integralmente vagliate, nel senso richiamato, dall’Autorità irlandese. Solo a seguito del riconoscimento della propria competenza, il Garante ha trattato il caso come “nazionale” esercitando pienamente i poteri e i compiti previsti dagli artt. 57 e 58 del Regolamento.

Il Garante è, dunque, sulla scorta della sopra richiamata decisione della DPC, adottata in conformità alle norme dell’art. 56 del Regolamento, l’Autorità competente per decidere la questione del trattamento dei dati effettuato da Meta attraverso la funzione EDI nel contesto delle elezioni italiane del 25 settembre 2022.

3.1.2. Contesto normativo

Con riferimento al generale contesto normativo, deve premettersi che non è qui in discussione il complessivo impegno delle piattaforme social nel combattere la disinformazione e ogni effetto negativo sul dibattito civico e sui processi elettorali, in linea con le indicazioni che sin dal 2019 sono state fornite in materia elettorale dalle istituzioni europee, nonché dei recenti interventi legislativi formalizzati con il DSA (successivo ai fatti in argomento e quindi da considerarsi inconferente rispetto ai medesimi), ma il fatto che, nel caso in esame, l’attività di Meta sia stata effettuata nel rispetto della normativa in materia di trattamento dei dati personali(1)  e della più ampia cornice ordinamentale.

In particolare, l’articolo 48 della Costituzione, al comma 1, individua la cittadinanza come requisito per l’attribuzione del diritto di elettorato attivo e qualifica il voto, tra le altre cose, come libero. Tale libertà è tutelata sia nella fase dell’espressione del voto sia in quella, antecedente, della formazione della volontà dell’elettore. A tutela della libertà del voto il legislatore ordinario ha poi previsto anche norme penali. Infatti, è punito “il pubblico ufficiale, l'incaricato di un pubblico servizio, l'esercente di un servizio di pubblica necessità, il ministro di qualsiasi culto, chiunque investito di un pubblico potere o funzione civile o militare, abusando delle proprie attribuzioni e nell'esercizio di esse, si adopera […] ad indurli all'astensione” (art. 98 del d.P.R. 30 marzo 1957, n. 361, T.U. delle leggi elettorali). Da questo, tuttavia, non discende a contrario un obbligo a sollecitare la partecipazione elettorale e, in ogni caso, la valutazione sulle norme penali appare materia delicata, meritevole di attenzione da parte delle istituzioni nazionali.

Deve inoltre considerarsi che la legislazione italiana prevede un regime di particolare attenzione e rigore nella divulgazione di notizie e nello svolgimento di iniziative riconducibili alla materia elettorale, in particolare a ridosso e nelle giornate di apertura dei seggi, al fine di consentire agli elettori di non subire, in tali contesti, indebiti condizionamenti (cd. “silenzio elettorale”).

Le attività di informazione e di comunicazione delle pubbliche amministrazioni sono dettagliatamente disciplinate dalla legge n. 150/2000 (art. 3, commi 1 e 3) , così come norme specifiche per la comunicazione istituzionale in periodo elettorale sono previste dalla legge n. 28/2000 in tema di par condicio.

In particolare, l’articolo 9, comma 2, della legge n. 28/2000 stabilisce il divieto nel periodo elettorale per le amministrazioni pubbliche di svolgere attività di comunicazione (ad eccezione di quelle effettuate in forma impersonale ed indispensabili per le proprie funzioni). Quanto alle informazioni sul voto la medesima disposizione precisa che le (sole) emittenti radiotelevisive pubbliche e private, su indicazione delle istituzioni competenti, debbano informare i cittadini ma solo sulle modalità di voto e gli orari di apertura di chiusura dei seggi elettorali.

A ciò si aggiunga che su tutti questi profili vi sono organismi parlamentari ed istituzioni nazionali chiamati a vigilare quali la Commissione parlamentare per l'indirizzo generale e la vigilanza dei servizi radiotelevisivi e l’Autorità per le Garanzie nelle Comunicazioni (AGCOM, in particolare la Del. n. 299/22/CONS).

Va inoltre evidenziato, sempre con riferimento al già richiamato art. 48 della Costituzione italiana che il voto è individuato come “diritto/dovere civico”, ossia diritto individuale e funzione da esercitarsi in quanto parte di una comunità politica.

Tale duplice e specifica connotazione non è affatto neutra E l’ordinamento italiano, a differenza di altri, ha sempre dibattuto sulla qualificazione funzionale del voto e dunque sulla sua obbligatorietà o doverosità.

In tale scenario , al fine di dare attuazione alle garanzie costituzionali previste a tutela del corretto esercizio del diritto di voto e del pluralismo, le informazioni sulle modalità di voto possono essere veicolate dalle emittenti radiotelevisive pubbliche e private, solo previa espressa autorizzazione, mentre per ciò che riguarda le piattaforme social, esse sono espressamente chiamate a far rispettare le disposizioni indicate dalla Delibera AGCOM citata (ad esempio evitando che circolino sul social network sondaggi politici o elettorali nel periodo indicato) senza alcun ruolo attivo, dunque, in merito alla diffusione di propri messaggi quandanche questi fossero di mero rinvio alle informazioni istituzionali.

D’altronde non rappresenta elemento irrilevante il fatto che, nel caso in argomento, la cooperazione con il Ministero dell’interno, come confermato da Meta in risposta alla richiesta di informazioni del Garante, sia consistita in una mera presa d’atto del Ministero medesimo sull’iniziativa EDI, senza alcun formale accordo o incarico che ne disciplinasse lo svolgimento.

La questione oggetto di valutazione da parte del Garante è, pertanto, la compatibilità tra l’attività di una impresa privata estera che fonda il proprio business sul trattamento dei dati personali e che, in un momento così importante come quello delle consultazioni elettorali, svolge, con determinate modalità, trattamenti di dati di interessati italiani, e l’assetto normativo e di garanzie predisposto dall’ordinamento italiano.

3.1.3. Attività posta in essere da Meta

Nel contesto sopra delineato, si inserisce per l’appunto l’iniziativa di Meta, sviluppata nel corso del tempo, di far interagire gli utenti italiani con le proprie piattaforme social in relazione allo svolgimento delle consultazioni elettorali di questo Paese. Infatti, Meta non ha semplicemente indicato agli utenti di Facebook e Instagram i siti istituzionali presso i quali attingere informazioni affidabili sulla data e sulle modalità di svolgimento delle elezioni ma ha predisposto link per consentire a ciascuno di raggiungere tali siti proprio partendo dalle piattaforme social, operazione idonea quindi a raccogliere i dati sulle relative “interazioni”. Addirittura, nel caso di Instagram, tale operazione è stata resa più accattivante e appetibile mediante la creazione di appositi “sticker” elaborati da un’affermata artista italiana.

Come emerge dalla ricostruzione di cui al paragrafo 1 del presente provvedimento, la Società già in passato ha promosso iniziative simili a quelle oggi in esame che, hanno determinato trattamenti di dati ultronei rispetto ad una qualunque attività meramente informativa e di sensibilizzazione.

L’interesse costante da parte di un soggetto come Meta per il trattamento di dati personali dei suoi utenti in occasione di eventi collegati alla vita democratica delle istituzioni nazionali ed europee amplifica ancor più le preoccupazioni sin qui rappresentate. Tale insistenza, considerato che il caso in esame rappresenta il terzo episodio in soli cinque anni, portato avanti con un immaginabile impegno di risorse umane e materiali considerevole, non può trovare giustificazione in presunte mission informative delle piattaforme social ma, molto più realisticamente, sembra potersi radicare nel massivo utilizzo – con modalità e finalità non chiare – dei dati personali degli utenti.

Nonostante i precedenti interventi del Garante e le preoccupazioni dallo stesso chiaramente e più volte manifestate riguardo all’utilizzo di dati degli utenti in connessione con le consultazioni elettorali di un Paese, Meta ha nuovamente progettato e posto in essere iniziative dai contorni non chiari in concomitanza con le elezioni politiche italiane, utilizzando set significativamente rilevanti di dati destinati al trattamento (nel caso di specie, nome, geolocalizzazione, età, sesso e interazione degli utenti con il messaggio proposto).

In tale contesto, l’attività svolta da un soggetto multinazionale privato come Meta, che adotta un business model basato sui dati, non è un elemento che può essere ignorato e affrancato da una stretta verifica di conformità del trattamento dei dati, soprattutto alla luce di esperienze pregresse, su tutte quella legata alla vicenda ampiamente trattata dai mezzi di comunicazione e nota come “caso Cambridge Analytica”.

Alle considerazioni di cui sopra deve aggiungersi che l’iniziativa in esame è stata pubblicizzata (e non portata all’attenzione del Garante) solo pochi giorni prima delle elezioni del 25 settembre 2022, rendendo di fatto impossibile una compiuta valutazione sulla materia e costringendo l’Autorità ad affannose interlocuzioni, che hanno infine reso necessario l’utilizzo di poteri straordinari, dapprima con l’adozione di un provvedimento d’urgenza ai sensi dell’art. 66, par 1, del Regolamento e poi con l’ulteriore misura cautelare della limitazione provvisoria.

L’utilizzo di tali misure non ordinarie si è reso necessario soprattutto perché l’interlocuzione di Meta con l’Autorità, nonostante sia stata costantemente sollecitata, è risultata, specialmente nella fase dell’istruttoria preliminare, generica e superficiale, culminata con il rifiuto di sospendere il trattamento dei dati attraverso la funzione EDI, circostanza che – lungi dal ledere rilevanti interessi della piattaforma, soprattutto considerata la natura sistematica con cui l’iniziativa era stata presentata (e che quindi si sarebbe potuta avviare nella successiva occasione utile) – avrebbe consentito un esame approfondito e, soprattutto, evitato l’improvvida raccolta di dati particolarmente delicati dei cittadini italiani.

3.2. Contestata violazione degli artt. 5, par. 1, lett. a) e 9 del Regolamento per trattamento di dati particolari in assenza di idonea base giuridica

Venendo alle singole contestazioni, l’Autorità ha indagato la natura dei dati personali trattati da Meta e il contesto del trattamento in relazione alla messa in opera in Italia della funzione EDI e ciò nell’ambito dell’ordinamento italiano.

Tale verifica è stata effettuata anche alla luce della sentenza della Corte di Giustizia (Grande sezione) del 4 luglio 2023, nella causa C-252/21, laddove stabilisce che: l’articolo 9, paragrafo 1, del RGPD deve essere interpretato nel senso che, nel caso in cui un utente di un social network online consulti siti Internet oppure applicazioni correlati a una o più delle categorie menzionate da tale disposizione e, se del caso, inserisca in essi dati, iscrivendosi oppure effettuando ordini online, il trattamento di dati personali da parte dell’operatore di tale social network online – consistente nel raccogliere, tramite interfacce integrate, cookie o simili tecnologie di registrazione, dati risultanti dalla consultazione di tali siti e di tali applicazioni nonché i dati inseriti dall’utente, nel mettere in relazione l’insieme di tali dati con l’account del social network di quest’ultimo e nell’utilizzare detti dati – deve essere considerato un «trattamento di categorie particolari di dati personali».

Al fine di una compiuta valutazione, occorre tenere in conto la circostanza che il trattamento da parte di Meta ha determinato la raccolta di dati quali l’età, il genere, la dislocazione geografica e la tipologia di device utilizzato per interagire con la piattaforma, oltre che il contenuto delle interazioni medesime, che, deve essere ricordato, riguardano la scelta di ciascun utente di ricevere informazioni sulla data e le modalità di svolgimento delle elezioni politiche  italiane. Deve, quindi, considerarsi che il trattamento preso in esame, nell’ambito di un social network, possa connotarsi di valore politico.

È necessario a tale riguardo tenere a mente che i dati trattati tramite la funzione EDI sono collegati ad account attraverso cui i singoli utenti manifestano pensieri e opinioni e che, come ha affermato Meta nella sua memoria, l’oggetto dei trattamenti per le finalità elencate a pag. 14 lett. D) delle memorie è sempre l’ID utente che è collegato anche “all’utilizzo da parte di quest’ultimo delle Funzioni Elettorali”.

Quanto sopra, unito al fatto che i dati aggregati raccolti con la funzione EDI, in base a quanto dichiarato da Meta, potevano essere condivisi anche con “comitati elettorali” e “partner governativi”, in fase di contestazione delle violazioni ha portato a ritenere che tali dati, in unione con altre informazioni, quali quelle relative all’interazione con il sito del Ministero dell’interno e con il complessivo profilo social dell’utente, potessero  configurarsi come idonei a rivelare orientamenti politici degli interessati, rientrando così nel novero dei dati di cui all’art. 9 del Regolamento.

L’Autorità ha, pertanto, dovuto verificare se siffatto contesto in cui è avvenuto il trattamento di Meta abbia, in concreto, determinato rischi significativi per i diritti e le libertà personali degli utenti (cfr. considerando 51 del Regolamento), anche alla luce dell’asserita condivisione dei relativi dati con “comitati elettorali” e “partner governativi”.

Le evidenze emerse nel corso dell’istruttoria, e circoscritte con maggior rilievo nella fase difensiva, non hanno reso possibile, nel caso di specie, determinare che si sia concretizzato, in virtù di un peculiare contesto in cui il trattamento sarebbe avvenuto, un livello di rischio maggiore per i diritti e le libertà fondamentali tale da esigere l’applicazione delle più stringenti garanzie di cui all’art. 9 del Regolamento, in relazione al trattamento di quei dati che, in astratto, possono pur caratterizzarsi per una certa “sensibilità”. Pertanto, il Garante, per le circoscritte ragioni di cui sopra, ritiene di non procedere in merito a tale profilo, archiviando la relativa contestazione.

3.3. Violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento per trattamento di dati in assenza di idonea base giuridica e violazione degli artt. 5, par. 1, lett. a) e b) del Regolamento per trattamenti ulteriori rispetto alle finalità informative di EDI, svolti in assenza di idonea base giuridica e in violazione del principio di correttezza e limitazione delle finalità

3.3.1. Liceità

Come sintetizzato al precedente par. 3.1.2, l’ordinamento italiano ha predisposto una serie di norme a garanzia della correttezza delle attività legate all’esercizio del diritto di voto e allo svolgimento di elezioni democratiche, individuando soggetti incaricati e contenuti informativi che possono essere veicolati nel periodo precedente allo svolgimento delle stesse.

In tale contesto, si innesta il trattamento di Meta la quale, attraverso la funzionalità EDI, si prefigge di fornire – in periodo elettorale - informazioni di carattere civico ai cittadini italiani. Tale finalità dovrebbe trovare naturale ancoraggio in una disposizione normativa in grado di investire Meta di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ai sensi dell’art. 6, par. 1, lett. e) del Regolamento e, conseguentemente, dell’art. 2-ter del Codice. Ancoraggio che, nel caso della funzionalità oggetto dell’istruttoria, non risulta sussistere. Tantomeno il trattamento appare giustificato alla luce di quanto previsto dalla richiamata Delibera AGCOM, la quale piuttosto prescrive ai social network di astenersi da tutta una serie di comportamenti. Né, infine, il trattamento appare diversamente giustificato dal ricorrere delle altre condizioni di liceità di cui al richiamato art. 6 del Regolamento. Nelle interlocuzioni avute con Meta, quest’ultima ha individuato l’articolo 6, par. 1. lett. b) come base giuridica dei trattamenti in questione.

In primo luogo, va ricordato che, in base a quanto stabilito dalle Decisioni vincolanti nn. 3/2022 e 4/2022 ex art. 65 del Regolamento adottate dall’European Data Protection Board nei confronti di Meta, l’oggetto del contratto relativo ai servizi Facebook e Instagram risiede essenzialmente nel comunicare e condividere contenuti (così par. 117 della decisione 3/2022 e par. 120 della decisione 4/2022) da considerarsi interni alla community. Da ciò ne consegue con evidenza che fornire promemoria sulle modalità di voto in Italia non possa essere considerato oggettivamente necessario per l’esecuzione del contratto in essere con gli utenti, e al riguardo, deve ricordarsi quanto indicato nelle Linee Guida 2/2019 dell’EDPB circa la necessità che la base giuridica contrattuale “deve essere interpretata rigorosamente e non contempla le situazioni in cui il trattamento non è effettivamente necessario all’esecuzione di un contratto, bensì imposto unilateralmente all’interessato dal [titolare] del trattamento. Inoltre, il fatto che alcuni trattamenti di dati siano coperti da un contratto non significa automaticamente che tali trattamenti siano necessari alla sua esecuzione. […]”.

Tantomeno può ricondursi alla medesima base contrattuale la raccolta, l’aggregazione, la condivisione e la conservazione delle interazioni degli utenti con le funzionalità EDI. Anche in questo caso si deve prendere in considerazione quanto riportato nelle sopra citate Linee Guida in ordine alla circostanza che “spesso i servizi online raccolgono informazioni dettagliate sulle modalità di interazione degli utenti con il loro servizio. Nella maggior parte dei casi, la raccolta di dati relativi a parametri organizzativi concernenti un servizio o di dettagli relativi al coinvolgimento degli utenti non può essere considerata necessaria per la prestazione del servizio, in quanto il servizio può essere fornito in assenza del trattamento di tali dati personali”.

In secondo luogo, va rappresentato che la funzione EDI non è indirizzata a tutti gli utenti, sia sotto il profilo della destinazione delle informazioni, sia dal punto di vista della correzione o eliminazione dei post e delle ulteriori notizie ritenute false o fuorvianti: sul primo versante, sono esclusi dalle informazioni in materia elettorale tutti gli utenti minorenni; sul secondo, sono esclusi dal controllo della veridicità dei post e delle informazioni diffuse tutti i candidati e gli esponenti politici. Da questo punto di vista, non si comprende come possa essere assicurata una corretta esecuzione del medesimo contratto utilizzando modalità differenziate in base alle caratteristiche soggettive degli utenti medesimi e anche in considerazione di una condizione soggettiva di natura, in genere, non permanente quale quella di candidato o di esponente politico. Anche in questo caso, le stesse Linee Guida 2/2019 sopra richiamate forniscono un’indicazione dirimente: “Se il contratto è costituito da più servizi distinti o da più elementi di un servizio distinti che di fatto possono ragionevolmente essere svolti indipendentemente l’uno dall’altro, si pone la questione circa la misura in cui l’articolo 6, paragrafo 1, lettera b), possa fungere da base giuridica. L’applicabilità dell’articolo 6, paragrafo 1, lettera b), dovrebbe essere valutata nel contesto di ciascuno di tali servizi separatamente, considerando ciò che è oggettivamente necessario per ciascuno dei singoli servizi che l’interessato ha attivamente richiesto o sottoscritto”.

Infine, anche volendo per assurdo ricondurre i trattamenti svolti da Meta alla dichiarata ulteriore finalità del miglioramento del servizio, vanno ancora una volta richiamate le Linee Guida di cui sopra nelle quali non si ritiene “che l’articolo 6, paragrafo 1, lettera b), costituisca in via generale una base giuridica appropriata per un trattamento svolto ai fini del miglioramento di un servizio o dello sviluppo di nuove funzioni nel contesto di un servizio esistente. Nella maggior parte dei casi, un utente stipula un contratto per avvalersi di un servizio esistente. Sebbene la possibilità di apportare miglioramenti e modifiche a un servizio sia spesso sistematicamente inclusa nei termini contrattuali, tale trattamento non può essere considerato oggettivamente necessario, in via generale, all’esecuzione del contratto stipulato con l’utente”.

Anche le considerazioni espresse da Meta relative ad un asserito obbligo di conformarsi alle disposizioni del DSA “per, inter alia, implementare misure di mitigazione ragionevoli, proporzionate ed efficaci al fine di affrontare i rischi sistemici identificati, riguardanti temi, tra i quali, il senso civico e il processo elettorale” appaiono del tutto inconferenti nel caso in esame, in primis, visto che l’adozione della normativa richiamata è successiva alle elezioni italiane del 2022 e all’utilizzo della funzione EDI in tale periodo (il DSA è applicabile a tutte le piattaforme solo dal 17 febbraio 2024).

Ma a tutto voler concedere, il richiamo risulta comunque inconferente in quanto la normativa richiamata non richiede a Meta di porre in essere i trattamenti adottati nel caso specifico e con quelle modalità.

Infatti, per identificare gli obblighi in questione, Meta richiama agli articoli 34, lett. c) e 35, lett. i) del DSA, in relazione ai quali riporta: “Le VLOP [Very Large Online Platforms, n.d.r.] devono mettere in atto misure di attenuazione ragionevoli, proporzionate ed efficaci ai rischi sistemici specificati, anche mediante “l’adozione di misure di sensibilizzazione e adattamento della loro interfaccia online al fine di dare ai destinatari del servizio maggiori informazioni"” (pag. 11 della memoria e note n. 23 e 24).   

L’inconferenza del richiamo è legata al fatto che le misure indicate, per stessa indicazione del DSA all’art. 2, non devono pregiudicare la normativa in materia di protezione dei dati personali. Ne discende che, se Meta avesse realmente voluto dare attuazione alla disposizione richiamata (ma non ancora in vigore all’epoca) si sarebbe dovuta limitare a eliminare dalla propria piattaforma contenuti falsi e non veritieri in merito alle elezioni italiane del settembre 2022, utilizzando le ordinarie funzioni di fact-checking e accompagnando, nei limiti previsti dalla normativa interna, un’attività meramente informativa per finalità esclusivamente di interesse pubblico e di sensibilizzazione e comunque nel rispetto dei principi del Regolamento, compreso quello della minimizzazione dei trattamenti.

Ciò avrebbe, da un lato, impedito a Meta di effettuare trattamenti per finalità sue proprie (es. miglioramento del servizio), dall’altro avrebbe richiesto la verifica della possibilità di fornire le stesse informazioni con il minimo utilizzo dei dati personali. A parere di questa Autorità, trattamenti alternativi che impegnassero meno dati personali erano sicuramente possibili. A mero titolo esemplificativo si rappresenta che un trattamento alternativo avrebbe potuto prevedere l’invio di comunicazioni massive (cioè non segmentate in base alla geolocalizzazione) verso destinatari di lingua italiana, mostrando quindi il relativo messaggio a tutti gli utenti e senza raccolta di dati ulteriori (dunque senza trattamento delle informazioni sul nome, sesso ed età degli interessati, né raccolta di dati sulle interazioni con il messaggio).

Le argomentazioni sopra riportate evidenziano che i trattamenti svolti da Meta mediante l’utilizzo delle funzionalità EDI, sia quelli finalizzati a fornire informazioni circa le elezioni del settembre 2022, sia quelli ulteriori (la raccolta, l’aggregazione e la conservazione delle interazioni degli utenti con le funzionalità EDI), sono stati effettuati in assenza di una base giuridica idonea a sorreggere la cornice di legittimità dei trattamenti medesimi. I trattamenti, infatti, esondano dall’argine delimitato dall’EDPB con le decisioni vincolanti 3 e 4/2022 e si sono estesi verso altre finalità non più riconducibili alla base giuridica contrattuale. Tale circostanza fa sì che siano del tutto carenti i presupposti generali che presidiano la liceità del trattamento dei dati personali nel caso di specie e nel contesto italiano, integrando la violazione di cui agli artt.  5, par. 1, lett. a) e 6 del Regolamento.

È necessario dare atto che l’Autorità, tra le finalità ulteriori oggetto di contestate violazioni, aveva indicato anche la comunicazione dei dati a terzi; ebbene, in base a quanto dichiarato da Meta, tale trattamento non è stato realizzato in osservanza al relativo divieto imposto dal Garante sin dal Provvedimento n. 448/2022. Ne consegue che la specifica contestazione circa la comunicazione dei dati a terzi deve essere archiviata.

3.3.2. Limitazione delle finalità

I trattamenti ulteriori di dati personali posti in essere da Meta, che comprendono anche le interazioni degli utenti con le funzionalità EDI e i successivi reindirizzamenti al sito istituzionale del Ministero dell’Interno, presentano criticità, come evidenziato nell’atto di contestazione, anche con riferimento al principio di limitazione delle finalità, espresso all’art. 5, par. 1, lett. b), del Regolamento.

Come richiamato in precedenza dalle Linee Guida 2/2019 adottate dall’EDPB, la valutazione sulla idoneità della base giuridica, e dunque sulla legittimità del trattamento, è strettamente connessa sia alla correttezza del trattamento, che allo scopo, alla finalità o all’obiettivo specifico/a del servizio.

Sotto questo profilo, Meta ha dichiarato di aver trattato dati relativi ad età, genere e posizione geografica degli utenti, oltre che informazioni sulle interazioni degli stessi con le funzionalità EDI, e di aver proceduto alla loro conservazione per 90 giorni, prima di destinarle alla condivisione (poi non avvenuta in conformità al divieto imposto dal Garante) con i soggetti terzi genericamente individuati.

Se la finalità è quella squisitamente informativa come rappresentato dalla Società ogni trattamento ulteriore non può ricondursi a tale finalità: così quindi, oltre ai trattamenti per finalità volte a realizzare un miglioramento del servizio, come sopra già argomentato, anche i trattamenti volti all’individuazione su base anagrafica e geografica dei soggetti da raggiungere e i successivi trattamenti di conservazione e aggregazione. Tali trattamenti vanno ben oltre il mero reindirizzamento ai siti istituzionali, attività che, in ogni caso, era l’unica indicata nella pagina web del Ministero dell’Interno e sono chiaramente finalizzati al perseguimento di finalità proprie della Società e comunque non rientranti nei compiti meramente informativi che Meta dichiara di perseguire con la funzione EDI.

Inoltre, sul punto occorre precisare che, la circostanza che la Società non abbia effettivamente condiviso alcun dato, come ottemperanza ad un provvedimento dell’Autorità, non fa venir meno le eventuali violazioni con riferimento ai trattamenti propedeutici alla relativa finalità. Né rileva, sotto tale profilo, sostenere che i trattamenti eccedenti contestati con l’atto di avvio del procedimento non sussisterebbero, nel caso di specie, solo perché la condivisione con i terzi non è avvenuta giacché, vale la pena sottolineare, detta condivisione era bloccata da un provvedimento del Garante.

Sul punto Meta afferma che “anziché menzionare un’unica finalità di trattamento (quale la messa a disposizione delle informazioni sulle elezioni), Meta Ireland riporta, invece, un elenco di diverse finalità di trattamento specifiche correlate alla messa a disposizione delle Funzioni Elettorali. La successiva archiviazione e aggregazione, da parte di Meta Ireland, di dati personali nel contesto delle Funzioni Elettorali è chiaramente compatibile e coerente con queste finalità specifiche, e quindi non può essere considerata come un ampliamento progressivo o commistione delle finalità per le quali i dati personali in questione sono trattati”. Tuttavia, Meta non chiarisce dove risieda l’asserita compatibilità delle attività di conservazione e aggregazione rispetto al trattamento principale, svolto, secondo Meta, per finalità informative che si sono certamente esaurite nel momento della conclusione delle consultazioni elettorali.

Per altro verso, in merito alla questione della successiva aggregazione di dati è utile osservare che i riscontri forniti dalla Società restituiscono un quadro controverso quanto alla stessa funzione di aggregazione. Partendo dal dato letterale, nel riscontro del 22 settembre 2022 il riferimento è ad “aggregated insights” (analisi aggregate), nella pagina dedicata all’Help Desk in lingua italiana il riferimento è a “dati statistici aggregati”, a pag. 15 delle memorie a “dati aggregati a partire dai dati personali trattati con riguardo alle Funzioni Elettorali (i “Dati Aggregati”). Per generare i Dati Aggregati (vale a dire, solo valori numerici generici), Meta Ireland può trattare i dati personali raccolti attraverso l’interazione da parte degli utenti con le Funzioni Elettorali e adoperarli per fornire informazioni rispetto alle iniziative di impegno civico”. Queste informazioni, inoltre, dovrebbero essere coerenti con la Privacy Policy di Meta in cui si fa riferimento ai dati aggregati in questi termini: “To use less information that's connected to individual users, in some cases we de-identify or aggregate information. We might also anonymise it so that it no longer identifies you” (cfr. pag. 4 Allegato 41 alla memoria), chiarendo che le informazioni aggregate non sono anche anonime.

Le informazioni fornite da Meta in merito all’aggregazione dei dati non sono, dunque, univoche nell’indicare la riferibilità o meno dei dati a specifici interessati e l’unico chiarimento sulla modalità di aggregazione è quella relativa ai “valori numerici” che la Società ha indicato solo nella propria memoria difensiva, elemento che non fornisce alcuna indicazione in ordine alla profondità delle analisi effettuate con i dati delle interazioni degli utenti con le funzionalità EDI e della stessa aggregazione, che qualora avvenisse per aree limitate del territorio, difficilmente potrebbe essere equiparata ad una effettiva anonimizzazione.  

Sotto altro profilo, Meta afferma che “nella Comunicazione si confonda la logica generale delle Funzioni Elettorali con il trattamento specifico dei dati personali per le Finalità delle Funzioni Elettorali. Come già detto, Meta Ireland non si basa esclusivamente sull’unica macro finalità di sensibilizzazione per trattare i dati personali nel contesto della messa a disposizione delle Funzioni Elettorali. Meta Ireland menziona, invece, un elenco di varie finalità specifiche del trattamento, tra cui il miglioramento dell’esperienza del prodotto e la potenziale condivisione dei Dati Aggregati con terze parti (sebbene nel caso di specie non si sia verificata alcuna condivisione)” (cfr. pag. 38 della memoria e, in modo simile, anche pag. 43).

Le argomentazioni offerte da Meta sono state già prese in esame nel paragrafo precedente, evidenziando come non sia consentita una sistematica riconducibilità di operazioni di trattamento alla finalità del miglioramento del servizio per inserire le medesime in una cornice di legittimità che prescinda da un’espressione di volontà dell’interessato e comunque tali argomentazioni non sono idonee a superare la semplice constatazione che Meta affianca proprie finalità (es. miglioramento del servizio, necessità di dimostrare l’utilità della funzione EDI ecc.) con quella propria della funzione informativa perseguita da EDI e che le finalità di miglioramento dei servizi e di aggregazione dei dati per dimostrare l’utilità di EDI si pongono, evidentemente, in contrasto con la base giuridica contrattuale indicata da Meta. Si concretizza, dunque, la violazione dell’art. 5, par. 1, lett. b) con riferimento al principio di limitazione delle finalità.

Al contrario e in coerenza con quanto sopra rilevato, limitatamente alla prospettata comunicazione a terzi, le violazioni appena indicate devono essere archiviate.

3.3.3. Correttezza

Quanto al principio di correttezza, preliminare a qualsiasi trattamento di dati, questo avrebbe imposto al titolare, al di là dell’adozione di un’adeguata informativa, quantomeno di creare in capo agli interessati la ragionevole aspettativa e la consapevolezza di un trattamento di dati in un contesto dove l’interessato esprime un generale interesse per la materia elettorale.

Meta sostiene che la ricostruzione dell’Autorità “non considera gli elementi principali del contratto che Meta Ireland ha sottoscritto con i propri utenti in merito alla natura del servizio che essi hanno il diritto di aspettarsi di ricevere (sulla base delle Condizioni di Servizio per Facebook e delle Condizioni d’Uso per Instagram (collettivamente, le “Condizioni”) e di come le Funzioni Elettorali costituiscano una parte fondamentale dei servizi contrattuali concordati” (pag. 33 della memoria).

Inoltre, Meta afferma che “lo sviluppo della Funzione EDI è avvenuto all’esito di un’ampia collaborazione di Meta Ireland con l’IDPC nel tentativo di garantire che il trattamento dei dati personali associati a prodotti, quali le Funzioni Elettorali, fosse in linea con le previsioni del GDPR. Meta Ireland ha implementato una serie di modifiche alla Funzione EDI per garantire la conformità del prodotto in risposta alle raccomandazioni dell’IDPC, che a sua volta ha fornito informazioni a Meta Ireland nello sviluppo degli IG Stickers, quale parte delle Funzioni Elettorali. L’IDPC ha commentato che il trattamento dei dati personali da parte di Meta Ireland nell’ambito della Funzione EDI sembra essere in linea con i requisiti del GDPR. Pertanto, lo stato di conformità di Meta Ireland nella presente questione è già stato esaminato in dettaglio e approvato dall’IDPC, autorità di controllo capofila” (cfr. pagg. 36 e 37 della memoria).

Quanto riportato da Meta non è idoneo, nel caso di specie, a superare le criticità rilevate.

Infatti, sotto un primo profilo, deve escludersi che generici riferimenti presenti nella Privacy Policy (“fornitura e miglioramento dei nostri Prodotti Meta”, “utilizziamo le informazioni in nostro possesso anche per sviluppare, ricercare e testare miglioramenti ai nostri prodotti” e simili) siano idonei a far comprendere agli interessati che il loro nome, sesso, posizione e interazione con una certa funzione saranno utilizzati per fini di sensibilizzazione e saranno poi forniti, anche se in forma aggregata, a enti governativi (non necessariamente del proprio Paese) e comitati elettorali.

Dall’altro, le peculiarità e le caratteristiche dell’ordinamento nazionale italiano - e dunque della relativa conformità allo stesso da parte della funzione EDI - fuoriescono dalla possibile valutazione da parte della DPC che, infatti, ha confermato la propria impossibilità a valutare profili attinenti alla legislazione italiana. Ne consegue che eventuali valutazioni posti in essere dalla DPC sono relativi a profili diversi da quelli oggetto del presente provvedimento.

Va inoltre rappresentato che, nelle interlocuzioni con l’Autorità italiana, la DPC irlandese ha chiarito(2) che le valutazioni effettuate in merito alla funzione EDI erano state focalizzate sui profili di trasparenza, fermo restando le obbligazioni di conformità al Regolamento persistenti in capo a Meta.

Tale affermazione sembra conforme a quanto dichiarato nel Rapporto annuale 2021 (pag. 92) dalla stessa DPC e citato da Meta a pag. 42 della memoria. In particolare, si legge che “Nel 2021, Facebook ha illustrato al DPC una serie di modifiche apportate alla funzione, ribattezzata “Election Day Information”, per tener conto delle raccomandazioni del DPC. Le modifiche includevano la messa in evidenza del link “Per saperne di più” collegato all’articolo specifico sulla funzione presente nel Centro assistenza, così come una maggiore trasparenza all’interno del prodotto, chiarendo che Facebook non utilizza i dati personali raccolti attraverso le interazioni con EDI per scopi pubblicitari e che Facebook non condivide tali dati con terze parti”.

L’inciso citato conferma che le modifiche apportate erano tese a migliorare la trasparenza della funzione, senza alcuno specifico riferimento agli aspetti legati alla base giuridica e alla finalità del trattamento. Anzi, a leggere bene la parte finale del testo riportato (“non condivide tali dati con terze parti”), si fa riferimento anche alla non condivisione dei dati con terze parti e tale circostanza contrasta con l’informativa fornita agli utenti che, invece, conteneva l’indicazione opposta, come confermato da Meta (cfr. pag. 42 della memoria).

Pertanto, alla luce di quanto sopra l’Autorità ritiene sussistente la violazione dell’art. 5, par. 1 lett. a), anche sotto il profilo del principio di correttezza del Regolamento.

3.4. Violazione dell’art. 31 del Regolamento, relativo ai doveri di collaborazione con il Garante

Alla luce delle considerazioni di cui sopra, appare confermato quanto osservato dall’Ufficio in sede di contestazione, e cioè che Meta ha trattato i dati in questione non già per le asserite finalità informative della propria “community”, giacché, in tal caso, non avrebbe avuto bisogno di procedere ad ulteriori elaborazioni e raccolte di dati, né tanto meno alla loro aggregazione, conservazione e prospettata cessione a soggetti terzi.

Da tale valutazione non può che discendere che le dichiarazioni di Meta all’Autorità siano state fornite senza la necessaria attenzione ai doveri di collaborazione stabiliti dall’art. 31 del Regolamento.

A tale riguardo è anche il caso di osservare che appaiono non conformi al generale principio di collaborazione, sia i riscontri alle richieste di informazioni forniti il 22 e il 23 settembre per la evidente genericità delle risposte sulla base giuridica dei trattamenti, aggregazione, condivisione e conservazione dei dati, sia il diniego opposto, con il riscontro del 23 settembre 2022, alla richiesta dell’Autorità di sospendere l’iniziativa in ragione delle ipotizzate criticità.

Come già osservato nei pertinenti paragrafi, le dichiarazioni di Meta sono risultate in più parti contraddittorie o comunque non coerenti con affermazioni precedenti (come in relazione all’aggregazione dei dati) e in alcuni casi volutamente ermetiche, per il costante utilizzo della tecnica dei richiami ad altri documenti nel loro complesso, evidentemente utilizzata per fornire indicazioni generiche e idonee a contrastare ogni eventuale contestazione (come nel caso dell’individuazione della base giuridica contrattuale). Tale atteggiamento risente di una impostazione, che si riflette anche nell’interlocuzione con gli utenti, tesa a prendere in esame le criticità non nella loro specificità ma in un’ottica di generale riconducibilità a supposti intenti della Community e ciò, come è fin troppo evidente, non consente di svolgere istruttorie e analisi approfondite relative ai singoli specifici argomenti e, soprattutto, non agevola un’interlocuzione costruttiva con l’Autorità.

A ciò si aggiunge il già richiamato atteggiamento di Meta, teso evidentemente a minimizzare l’interazione con le Autorità diverse dall’Autorità capofila, in una fuorviata interpretazione delle norme sulla cooperazione, intese non come ordinato sistema di distribuzione delle competenze ma come pretesa di non esplicitate guarentigie che non può trovare sponde o sostegni in uno Stato di diritto.  

Se anche Meta può individuare nell’Autorità irlandese, in base alle disposizioni del Regolamento e al principio di stabilimento, l’interlocutore naturale in materia di protezione dei dati personali, tale facoltà non può consentire alla Società di sottrarsi ai doveri di collaborazione, di riscontro alle richieste di informazioni e di interlocuzione responsabile con altre Autorità, in particolare nelle circostanze, come nel caso in argomento, nelle quali è necessario verificare se il caso trattato incida in modo sostanziale unicamente sugli interessati di uno Stato membro dell’Unione.

Alla luce delle considerazioni di cui sopra, deve ritenersi confermata la violazione dell’art. 31 del Regolamento.

3.5. Ulteriori possibili violazioni: comunicazione all’Autorità per la protezione dei dati irlandese.

3.5.1. Premessa

Nel riconoscere le caratteristiche di “caso nazionale”, demandandone la trattazione al Garante, l’Autorità irlandese ha inteso specificare che “the DPC remains the competent authority for any aspects of GDPR compliance which are not exclusively local in nature”.

Nel corso dell’istruttoria, il Garante ha rilevato alcune possibili violazioni idonee a corrispondere alla riferita distinzione operata dalla DPC, in quanto, nel caso di specie, riferibili agli interessati italiani ma che coinvolgono aspetti trasversali e comuni ai trattamenti anche di altri potenziali interessati europei.  Si tratta, in particolare, della possibile violazione dei princìpi di trasparenza, necessità e limitazione della conservazione (art. 5, par. 1, lett. c) e e)), anche con riferimento all’inidoneità delle informazioni rese ex artt. 12 e 13 del Regolamento, e alle disposizioni in materia di minimizzazione di cui all’art. 25, par. 2 del Regolamento.

A tale riguardo questa Autorità ritiene di non poter condividere l’impostazione data dalla DPC e ciò per diversi ordini di motivi.

In primo luogo, l’art. 56, che individua le condizioni per il riconoscimento della competenza di un’Autorità nazionale nei trattamenti che incidono in modo sostanziale sugli interessati di tale Stato membro, non prevede ipotesi di ripartizione e suddivisione del singolo “caso”, considerando lo stesso unitariamente.

Tale lettura è perfettamente coerente con il canone di unitarietà dei trattamenti, oggetto di ulteriori espresse disposizioni presenti nel Regolamento, quale ad esempio l’art. 83, par. 3, che, nell’applicazione di una sanzione, impone di tenere in considerazione non solo il complessivo trattamento preso in esame ma anche gli eventuali trattamenti collegati.

Da un punto di vista squisitamente procedurale, poi, la sopra richiamata parcellizzazione solleva dubbi sia per l’esigenza di ripetere accertamenti o valutazioni agevolmente condotte o conducibili dalla singola autorità procedente, sia per le ricadute sulle parti coinvolte.

Da un lato, infatti, il titolare del trattamento potrebbe lamentare la duplicazione delle procedure in relazione alla medesima fattispecie; dall’altro si potrebbe verificare un grave vulnus sotto il profilo della salvaguardia dei diritti delle persone fisiche, soprattutto qualora l’Autorità capofila non coltivasse le tematiche che ha ritenuto di attrarre alla propria competenza, risolvendo quindi la procedura di cooperazione in una irragionevole disparità di trattamento nei confronti dei titolari che effettuano trattamenti transfrontalieri, a danno di interessati irragionevolmente esclusi dal sistema di tutele previsto dal Regolamento.

Tali riflessioni saranno portate all’attenzione delle altre autorità di controllo nelle sedi opportune. In questa circostanza, il Garante, per ragioni di correttezza nei confronti della DPC e, più in generale al fine di preservare la cooperazione in sede europea in materie che attengono alla salvaguardia dei diritti delle persone fisiche, decide – senza che ciò possa essere in alcun modo considerato come accettazione della richiamata lettura data dall’Autorità irlandese – di autolimitare i propri poteri di accertamento e di correzione, trasmettendo gli atti alla DPC affinché possa proseguire l’indagine sugli aspetti di più generale portata, esplicitati nei seguenti paragrafi ed effettuare le conseguenti valutazioni.

3.5.2. Trasparenza

Come dichiarato da Meta nella comunicazione del 23 settembre, le informazioni agli utenti sono state fornite attraverso un link all’ “Help Center” presente nel messaggio veicolato sulla piattaforma; a sua volta, all’interno dell’Help Center è presente un diverso e ulteriore link che rimanda alla generale Privacy Policy di Meta.

Analizzando i riscontri forniti da Meta, emerge che gli interessati, utenti della piattaforma Facebook, cittadini italiani, nell’ambito delle consultazioni elettorali politiche del 25 settembre 2022, hanno potuto fruire del sopra descritto servizio che ha comportato, come detto, il trattamento dei dati degli utenti relativi quantomeno alla posizione geografica, all'età, al sesso, nonché la raccolta dei dati relativi al dispositivo utilizzato, alle interazioni con la piattaforma, conservati per un tempo non ben definito (“until it's no longer necessary to provide our services and Facebook Products or until your account has been deleted”) e oggetto di possibile condivisione con numerosi soggetti, presumibilmente anche privati (“research partners, academics, government partners or election committees”), non necessariamente collocati nel territorio italiano, senza che gli utenti abbiano ricevuto una chiara ed esaustiva informativa su tali trattamenti, né abbiano potuto esprimere il proprio consenso o opposizione  al relativo trattamento.

Come già richiamato, tra le informazioni fornite manca qualsiasi indicazione chiara della base giuridica del trattamento né, d’altra parte, a tal fine appare idoneo un generico rinvio alla Privacy Policy di Meta che, per esperienza diretta dello stesso Garante, non è di facile lettura, in generale, e comunque non permette di individuare con esattezza l’informazione indicazione.

Alla luce di quanto sopra, potrebbe individuarsi un ulteriore profilo di illiceità dei trattamenti di dati personali dei cittadini italiani, con riferimento alla violazione del principio di trasparenza di cui all’art. 5, par. 1, lett. a) del Regolamento e all’inidoneità delle informazioni rese ex artt. 12 e 13 del Regolamento. Per le considerazioni di cui sopra, anche tali riflessioni saranno portate all’attenzione dell’Autorità irlandese, in qualità di Autorità capofila con riguardo a tali specifici profili del trattamento.

3.5.3. Minimizzazione

Inoltre, come già argomentato sopra, secondo il generale principio di minimizzazione dei dati personali, questi ultimi devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento). Una lettura di necessità e minimizzazione del trattamento del dato pervade la struttura dello stesso Regolamento fino a concretizzarsi nella disposizione dell’art. 25, par. 2.

Ciò richiamato, la dichiarata finalità della funzione EDI è quella di fornire “agli utenti un promemoria informativo sul fatto che nel loro Paese si stiano svolgendo le elezioni”, e i dati utilizzati da Meta per implementare tale funzione informativa appaiono eccessivi.

Al tal fine è opportuno sottolineare che, rispetto al reindirizzamento verso il sito web del Ministero dell’interno, appare ampiamente eccedente l’utilizzo di dati (come genere, localizzazione e informazioni sul dispositivo) e il tracciamento delle interazioni dell’utente con il messaggio.

Quanto sopra potrebbe prospettare possibili violazioni degli artt. 5, par. 1 lett. c) e 25, par. 2 del Regolamento.

3.5.4. Limitazione della conservazione

Sotto ulteriore profilo, nella prima comunicazione del 22 settembre 2022 Meta dichiarava che “le informazioni vengono conservate in conformità alle nostre Normative sull'eliminazione e sulla conservazione dei dati e comunque fino a quando risultino necessarie per fornire i nostri servizi e Prodotti Facebook oppure fino a quando l'account non viene disattivato, a seconda dell'evento che si verificherà per primo”.

Nel secondo riscontro del 23 settembre 2022, invece, è emerso che “i relativi dati di coinvolgimento (ovvero, se l'utente è stato mostrato, visualizzato e/o ha fatto clic sui link offerti dalla funzione EDI) vengono aggregati entro 90 giorni”.

Le due indicazioni appaiono contrastanti e mancanti della necessaria chiarezza informativa. In tale contesto, infatti, dall’indicazione principale, che suggerisce una conservazione delle informazioni raccolte “fino a quando risultino necessarie per fornire i nostri servizi e Prodotti Facebook” dovrebbe ricavarsi che, ricevuto il messaggio informativo e, comunque, sino al 25 settembre 2022 (giorno delle elezioni politiche italiane), Meta avrebbe potuto trattare i dati ma che, spirato tale termine, la stessa li avrebbe cancellati dal sistema, come dichiarato.

E, invece, in base a quanto specificato dalla stessa Società nel secondo riscontro, i dati generati nel contesto del promemoria elettorale sono conservati e aggregati entro 90 giorni (con possibilità di condivisione) - come successivamente confermato dalla stessa Società -, palesando, così, una finalità ulteriore e non correttamente chiarita del relativo trattamento e, di fatto, chiarito solo con la memoria (cfr. pag. 34, riferimento a “Finalità di Aggregazione”).

Anche dopo tale aggregazione, la conservazione di dati personali non appare in alcun modo definita né giustificata.

Alla luce di quanto sopra potrebbero pertanto rilevarsi possibili violazioni degli artt. 5, par. 1, lett. e) e 13, par. 2, lett. a) del Regolamento.

3.6. Cooperazione con le altre Autorità nazionali

Come sopra rappresentato, la materia elettorale vede il coinvolgimento di diverse istituzioni nazionali al fine di garantire la corretta applicazione di tutte le tutele previste dall’ordinamento nazionale.

Pertanto, per ogni valutazione di competenza, il Garante trasmette gli atti al Ministero dell’Interno e all’Autorità per le garanzie nelle comunicazioni, ai sensi dell’art. 154, comma 4, del Codice.

4. CONCLUSIONI

La funzione EDI rilasciata da Meta in vista delle elezioni politiche italiane svoltesi il 25 settembre 2022, ha determinato un trattamento di dati personali che è risultato non supportato da idonea base giuridica e quindi illecito sia in relazione ai trattamenti finalizzati all’invio di messaggi informativi riguardanti le elezioni, sia per la raccolta e la conservazione di dati personali degli utenti e delle loro interazioni con le funzionalità EDI. Con riferimento agli ulteriori trattamenti, Meta ha altresì violato i principi di correttezza e di limitazione delle finalità. Ha inoltre fornito, nel corso dell’istruttoria, una cooperazione gravemente insufficiente con l’Autorità italiana, in particolare non procedendo alla sospensione provvisoria dei trattamenti, aggravando gli effetti delle condotte illecite e serbando nel corso del procedimento un comportamento non collaborativo.

Per quanto sopra esposto, si ritiene quindi accertata la responsabilità di Meta in ordine alle seguenti violazioni:

- artt. 5, par. 1 lett. a), in riferimento al principio di liceità, e 6 del Regolamento, per le motivazioni descritte al punto 3.3.1. del presente provvedimento;

- art. 5, par. 1 lett. a), in riferimento al principio di correttezza, e lett. b) del Regolamento (limitazione delle finalità), per le motivazioni descritte ai punti 3.3.2. e 3.3.3.;

- art. 31 del Regolamento, per aver fornito riscontri generici e fuorvianti alle richieste del Garante, senza la necessaria attenzione ai doveri di collaborazione con l’Autorità e quindi in contrasto con l’art. 31 del Regolamento, per le motivazioni descritte al punto 3.4.

Da tale accertamento di illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, nella misura in cui tali trattamenti sono posti in essere all’interno del territorio italiano ovvero coinvolgono in vario modo persone che si trovino nel territorio italiano, si rende necessario, nei confronti di Meta Platforms Ireland Limited:

a) rivolgere un ammonimento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alla circostanza per cui fornire una rappresentazione ed una documentazione probatoria incompleta, inidonea, generica e fuorviante circa elementi di valutazione da parte dell’Autorità procedente, integra la violazione di quei doveri di collaborazione nei confronti dell’Autorità di controllo cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento;

b) imporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, il divieto di qualsiasi trattamento, ivi compresa la conservazione, di dati personali di interessati italiani raccolti nell’ambito delle funzionalità EDI in occasione delle elezioni politiche del 25 settembre 2022;

c) rivolgere un avvertimento, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, in merito alla circostanza che l’utilizzo della funzione EDI nell’ambito di future elezioni richiede la necessità di conformare qualsiasi trattamento di dati personali di cittadini italiani al principio di liceità nei termini sopra esplicitati individuando una idonea base giuridica;

d) ingiungere, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di comunicare all’Autorità, le iniziative previste al fine di dare attuazione alle misure di cui alla precedente lettera b), nel termine di sessanta giorni dalla notifica del presente provvedimento nonché, per l’ipotesi di cui alla lettera c), almeno 30 giorni prima dello svolgimento delle consultazioni elettorali in relazione alle quali Meta decidesse di porre in essere iniziative analoghe e/o affini a quelle oggetto di istruttoria;

e) [OMISSIS]

f) [OMISSIS]

g) disporre la trasmissione del presente provvedimento alla Data Protection Commission irlandese, in relazione agli aspetti evidenziati al paragrafo 3.5;

h) disporre la trasmissione del presente provvedimento al Ministero dell’interno e all’Autorità per le garanzie nelle comunicazioni, per quanto di eventuale competenza.

[OMISSIS]

TUTTO CIO’ PREMESSO IL GARANTE

a) rivolge a Meta un ammonimento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alla circostanza per cui fornire una rappresentazione ed una documentazione probatoria incompleta, inidonea, generica e fuorviante circa elementi di valutazione da parte dell’Autorità, integra la violazione di quei doveri di collaborazione nei confronti dell’Autorità di controllo cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento;

b) impone a Meta, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, il divieto di qualsiasi trattamento, ivi compresa la conservazione, di dati personali di interessati italiani raccolti nell’ambito delle funzionalità EDI in occasione delle elezioni politiche del 25 settembre 2022;

c) rivolge a Meta un avvertimento, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, in merito alla circostanza che l’utilizzo della funzione EDI nell’ambito di future elezioni, richiede la necessità di conformare qualsiasi trattamento di dati personali di cittadini italiani al principio di liceità;

d) ingiunge a Meta, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di comunicare all’Autorità, le iniziative previste al fine di dare attuazione alle misure di cui alla precedente lettera b), nel termine di sessanta giorni dalla notifica del presente provvedimento nonché, per l’ipotesi di cui alla lettera c), almeno 30 giorni prima dello svolgimento delle consultazioni elettorali in relazione alle quali Meta decidesse di porre in essere iniziative analoghe e/o affini a quelle oggetto di istruttoria.

L’eventuale mancato adempimento alle suddette prescrizioni può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

[OMISSIS]

DISPONE

[OMISSIS]

la trasmissione del presente provvedimento alla Data Protection Commission irlandese, in relazione alle violazioni di cui al paragrafo 3.5  nonché al Ministero dell’interno e all’Autorità per le garanzie nelle comunicazioni, per quanto di eventuale competenza.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, entro il termine di 60 giorni dalla data di comunicazione del provvedimento stesso.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

 

_________

1) V., in tal senso, la Dichiarazione 2/2019 in cui l’EDPB afferma che “Il rispetto delle norme in materia di protezione dei dati, anche nel contesto delle attività elettorali e delle campagne politiche, è essenziale per proteggere la democrazia e rappresenta uno strumento utile a mantenere la fiducia dei cittadini e l'integrità delle elezioni”.
  

2) “It should be noted that the DPC’s assessment of the EDI feature is in relation to transparency issues specifically in the context of a user’s engagement with the feature only. Wider and systemic issues relating to FB’s transparency obligations and lawful bases for the processing of personal data are being examined in the context of a number of ongoing inquiries. For the avoidance of doubt, both the high-level review and the high-level recommendations issued by the DPC are without prejudice to Facebooks obligation to ensure that this feature complies with the GDPR” (enfasi aggiunta) (comunicazione al Garante del 19 marzo 2021).

Scheda

Doc-Web
10112606
Data
20/06/24

Argomenti

Internet e social media

Tipologie

Prescrizioni del Garante

Vedi anche (10)