Data Protection

Cambridge Analytica e usi illeciti di dati social, che cambia con il GDPR

Per sperare di avere una tutela in più con il GDPR, bisogna estendere il concetto di data breach anche alle ipotesi in cui il titolare sia a conoscenza di un trattamento illecito dei dati personali che egli ha conferito a terzi. Che è quanto è successo ai danni di elettori utenti di Facebook

Pubblicato il 20 Mar 2018

Massimiliano Nicotra

avvocato Senior Partner Qubit Law Firm

privacy_531051373

E’ interessante scoprire che cosa succederebbe dopo il GDPR in caso di vicende simili allo scandalo Cambridge Analytica di questi giorni. Cioè l’utilizzo da parte di una società di analisi, Cambridge Analytica appunto, di dati delle informazioni relative ai profili Facebook di circa 50 milioni di utenti per condizionare l’esito sia dell’ultima campagna elettorale statunitense sia del referendum sulla Brexit.

Il GDPR protegge da simili casi di manipolazione, lesivi per la democrazia?

Applicabilità del GDPR all’abuso di dati social

Il primo punto da esaminare è quello relativo all’applicabilità delle previsioni del Regolamento europeo alla vicenda in esame. L’art. 3, 2° comma del GDPR, relativo all’ambito di applicazione territoriale, stabilisce l’applicabilità dello stesso ai trattamenti di dati personali di interessati che si trovano nell’Unione, anche effettuati da un titolare o un responsabile stabilito al di fuori del territorio europeo, nel caso in cui il trattamento consista nel “monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.

Avendo coinvolto anche i dati personali dei cittadini del Regno Unito, in relazione al referendum sulla Brexit, la vicenda sarebbe stata quindi assoggettata alle regole dettate dal GDPR.

Informative, consensi e modalità del trattamento

Dalla ricostruzione di quanto accaduto emerge che mentre le policy privacy di Facebook prevedono espressamente la possibilità che i dati registrati dal social network vengano utilizzati dagli sviluppatori delle applicazioni che vengono autorizzate espressamente dagli utenti, non è consentito da parte di tali sviluppatori la comunicazione a terzi dei dati così raccolti.

D’altra parte, oggi gran parte dei meccanismi di “social login” si limitano ad indicare unicamente a quali dati personali presenti sul social network l’applicazione avrà accesso, senza che venga data un’informativa completa sulle finalità del trattamento. Tali informative dovranno essere adeguate alle previsioni del Regolamento e contenere tutte le informazioni previste dall’art. 13.

Inoltre, la vicenda in esame ha implicato il trattamento di dati relativi anche alle opinioni politiche degli interessati, i quali rientrano nell’ambito delle particolari categorie di dati di cui all’art 9 del Regolamento e che, pertanto, possono essere trattati solo previo un espresso consenso da parte della persona fisica a cui si riferiscono (art. 9, 2° comma, lett. a)).

Infine, essendo i trattamenti volti alla profilazione degli utenti ed avendo oggetto particolari categorie di dati sia la società produttrice dell’applicazione “thisisyourdigitallife” sia Cambridge Analytica, in caso di applicazione del GDPR, avrebbero dovuto svolgere le valutazioni di impatto di cui all’art. 35 del GDPR.

Data breach e violazione della policy Facebook

In questa vicenda Facebook ha chiarito più volte che non si è trattato di una violazione dei dati personali intesa come data breach, ma di una violazione della policy privacy applicata agli sviluppatori dell’applicazione.

A parere di chi scrive questo è uno dei profili più interessanti della vicenda. Tale affermazione di Facebook muove dalla considerazione che i dati degli utenti non sono stati acquisiti violando la sicurezza dei profili, ma la loro raccolta sarebbe avvenuta legittimamente, costituendo la successiva comunicazione a terzi una mera violazione delle regole adottate dal social network e non una violazione di sicurezza.

Il corretto inquadramento di quanto accaduto è rilevante anche per comprendere cosa succederà in casi analoghi dopo il 25 maggio 2018.

Una delle principali novità del GDPR è proprio l’obbligo del Titolare di notificare all’autorità di controllo le eventuali violazioni dei dati personali.

In particolare, l’art. 33 del GDPR prevede appunto che il Titolare senza ingiustificato ritardo, e comunque entro 72 ore, notifichi l’avvenuta violazione dei dati, fornendo nel contempo informazioni circa: la natura della violazione, le categorie e il numero approssimativo di interessati, le categorie e il numero approssimativo di registrazioni, le probabili conseguenze della violazione, le misure adottate o di cui si propone l’adozione, fornendo altresì i riferimenti del proprio Responsabile della Protezione dei Dati o altro riferimento di contatto.

A tale obbligo si aggiunge quello di informare gli interessati, qualora la violazione possa comportare un “rischio elevato per i diritti e le libertà fondamentali delle persone” (art. 34).

Considerati gli obblighi di disclosure appena esaminati è evidente che la comunicazione di un data breach (alle autorità di controllo e, nei casi previsti, agli interessati) costituisce un forte strumento di tutela, perché consente a tali soggetti di avere evidenza di violazioni dei dati personali e di porre in essere le misure necessarie ad attenuarne le conseguenze.

Appare quindi fondamentale comprendere cosa si intenda per “violazione dei dati” (o data breach) per verificare anche se, in ipotesi analoghe a quella in esame, gli utenti e le autorità potrebbero venirne a conoscenza.

Secondo l’art. 4, comma 1, num. 12 del GDPR per violazione di dati personali deve intendersi “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Le Linee Guide sulle notificazioni in caso di data breach rilasciate il 3 ottobre 2017 dal Gruppo di Lavoro ex art. 29, chiariscono che per data breach deve intendersi un incidente di sicurezza, che può comportare:

  • “Violazione della confidenzialità” – in cui si verifica un accesso o una distribuzione accidentale e non autorizzata dei dati personali;
  • “Violazione della disponibilità” – in cui si verifica una perdita di accesso o una distruzione non autorizzata od accidentale dei dati;
  • “Violazione di integrità” – in cui si verifica una modifica non autorizzata od accidentale dei dati personali.

Sulla base delle sopra riportate definizioni, quindi, effettivamente i responsabili della sicurezza di Facebook sembrano avere ragione, in quanto i dati, come sopra già accennato, sono state raccolti legittimamente dal social network, senza alcuna violazione di sicurezza e quindi, anche in vigenza del GDPR, Facebook non avrebbe avuto alcun obbligo di notificare una violazione dei dati personali.

Vi è però chi veda anche in una fattispecie del genere un trattamento illecito da parte del soggetto che ha dapprima raccolto il dato tramite l’applicazione e successivamente comunicato tale dato ad una terza società in violazione delle privacy policy del social network (che costituiscono, oltretutto, l’unica esaustiva informativa che gli utenti hanno circa il trattamento dei loro dati).

Ancor più grave la circostanza, evidenziata da un dipendente della Cambridge Analytica, che Facebook era già a conoscenza da ben due anni della violazione della privacy policy e che in tutto questo periodo non abbia adottato alcuna misura nei confronti di detta società (né abbia informato i propri utenti).

Dal punto di vista strettamente giuridico, quindi, ciò significa che il Titolare, venuto a conoscenza della violazione dei diritti degli interessati da parte di un terzo a cui ha ceduto i dati, in violazione degli accordi intercorsi tra il medesimo Titolare ed il terzo, potrebbe decidere di non far nulla, nonostante tale violazione riguarda un ampio numero di interessati ed anche categorie particolari di dati.

Una possibile soluzione ad ipotesi del genere potrebbe essere quella di estendere il concetto di data breach in un’ottica che tenga maggiormente in considerazione gli obiettivi di protezione del dato personale del GDPR, riferendo il data breach non solo alle sole violazioni di sicurezza che riguardano i dati personali, ma anche alle ipotesi in cui il Titolare sia a conoscenza di un trattamento illecito dei dati personali che egli ha conferito a terzi, soprattutto quando tali violazioni riguardino un elevato numero di interessati e dati rientranti tra quelli disciplinati dall’art. 9 del GDPR.

D’altra parte, la comunicazione a terzi non autorizzata dei dati personali rappresenta sempre una violazione di confidenzialità degli stessi, pur non derivante da un incidente di sicurezza, e come tale potrebbe essere trattata in maniera analoga ad un incidente di sicurezza.

In ipotesi del genere, infatti, un tempestivo intervento dell’Autorità di controllo ed un’adeguata informativa verso gli interessati avrebbero sicuramente impedito il protrarsi dell’illecito trattamento da parte dei terzi ed avrebbero consentito agli interessati di agire in maniera rapida per l’esercizio dei diritti riconosciuti dal GDPR.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2