E’ interessante scoprire che cosa succederebbe dopo il GDPR in caso di vicende simili allo scandalo Cambridge Analytica di questi giorni. Cioè l’utilizzo da parte di una società di analisi, Cambridge Analytica appunto, di dati delle informazioni relative ai profili Facebook di circa 50 milioni di utenti per condizionare l’esito sia dell’ultima campagna elettorale statunitense sia del referendum sulla Brexit.
Il GDPR protegge da simili casi di manipolazione, lesivi per la democrazia?
Applicabilità del GDPR all’abuso di dati social
Il primo punto da esaminare è quello relativo all’applicabilità delle previsioni del Regolamento europeo alla vicenda in esame. L’art. 3, 2° comma del GDPR, relativo all’ambito di applicazione territoriale, stabilisce l’applicabilità dello stesso ai trattamenti di dati personali di interessati che si trovano nell’Unione, anche effettuati da un titolare o un responsabile stabilito al di fuori del territorio europeo, nel caso in cui il trattamento consista nel “monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione”.
Avendo coinvolto anche i dati personali dei cittadini del Regno Unito, in relazione al referendum sulla Brexit, la vicenda sarebbe stata quindi assoggettata alle regole dettate dal GDPR.
Informative, consensi e modalità del trattamento
Dalla ricostruzione di quanto accaduto emerge che mentre le policy privacy di Facebook prevedono espressamente la possibilità che i dati registrati dal social network vengano utilizzati dagli sviluppatori delle applicazioni che vengono autorizzate espressamente dagli utenti, non è consentito da parte di tali sviluppatori la comunicazione a terzi dei dati così raccolti.
D’altra parte, oggi gran parte dei meccanismi di “social login” si limitano ad indicare unicamente a quali dati personali presenti sul social network l’applicazione avrà accesso, senza che venga data un’informativa completa sulle finalità del trattamento. Tali informative dovranno essere adeguate alle previsioni del Regolamento e contenere tutte le informazioni previste dall’art. 13.
Inoltre, la vicenda in esame ha implicato il trattamento di dati relativi anche alle opinioni politiche degli interessati, i quali rientrano nell’ambito delle particolari categorie di dati di cui all’art 9 del Regolamento e che, pertanto, possono essere trattati solo previo un espresso consenso da parte della persona fisica a cui si riferiscono (art. 9, 2° comma, lett. a)).
Infine, essendo i trattamenti volti alla profilazione degli utenti ed avendo oggetto particolari categorie di dati sia la società produttrice dell’applicazione “thisisyourdigitallife” sia Cambridge Analytica, in caso di applicazione del GDPR, avrebbero dovuto svolgere le valutazioni di impatto di cui all’art. 35 del GDPR.
Data breach e violazione della policy Facebook
In questa vicenda Facebook ha chiarito più volte che non si è trattato di una violazione dei dati personali intesa come data breach, ma di una violazione della policy privacy applicata agli sviluppatori dell’applicazione.
A parere di chi scrive questo è uno dei profili più interessanti della vicenda. Tale affermazione di Facebook muove dalla considerazione che i dati degli utenti non sono stati acquisiti violando la sicurezza dei profili, ma la loro raccolta sarebbe avvenuta legittimamente, costituendo la successiva comunicazione a terzi una mera violazione delle regole adottate dal social network e non una violazione di sicurezza.
Il corretto inquadramento di quanto accaduto è rilevante anche per comprendere cosa succederà in casi analoghi dopo il 25 maggio 2018.
Una delle principali novità del GDPR è proprio l’obbligo del Titolare di notificare all’autorità di controllo le eventuali violazioni dei dati personali.
In particolare, l’art. 33 del GDPR prevede appunto che il Titolare senza ingiustificato ritardo, e comunque entro 72 ore, notifichi l’avvenuta violazione dei dati, fornendo nel contempo informazioni circa: la natura della violazione, le categorie e il numero approssimativo di interessati, le categorie e il numero approssimativo di registrazioni, le probabili conseguenze della violazione, le misure adottate o di cui si propone l’adozione, fornendo altresì i riferimenti del proprio Responsabile della Protezione dei Dati o altro riferimento di contatto.
A tale obbligo si aggiunge quello di informare gli interessati, qualora la violazione possa comportare un “rischio elevato per i diritti e le libertà fondamentali delle persone” (art. 34).
Considerati gli obblighi di disclosure appena esaminati è evidente che la comunicazione di un data breach (alle autorità di controllo e, nei casi previsti, agli interessati) costituisce un forte strumento di tutela, perché consente a tali soggetti di avere evidenza di violazioni dei dati personali e di porre in essere le misure necessarie ad attenuarne le conseguenze.
Appare quindi fondamentale comprendere cosa si intenda per “violazione dei dati” (o data breach) per verificare anche se, in ipotesi analoghe a quella in esame, gli utenti e le autorità potrebbero venirne a conoscenza.
Secondo l’art. 4, comma 1, num. 12 del GDPR per violazione di dati personali deve intendersi “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Le Linee Guide sulle notificazioni in caso di data breach rilasciate il 3 ottobre 2017 dal Gruppo di Lavoro ex art. 29, chiariscono che per data breach deve intendersi un incidente di sicurezza, che può comportare:
- “Violazione della confidenzialità” – in cui si verifica un accesso o una distribuzione accidentale e non autorizzata dei dati personali;
- “Violazione della disponibilità” – in cui si verifica una perdita di accesso o una distruzione non autorizzata od accidentale dei dati;
- “Violazione di integrità” – in cui si verifica una modifica non autorizzata od accidentale dei dati personali.
Sulla base delle sopra riportate definizioni, quindi, effettivamente i responsabili della sicurezza di Facebook sembrano avere ragione, in quanto i dati, come sopra già accennato, sono state raccolti legittimamente dal social network, senza alcuna violazione di sicurezza e quindi, anche in vigenza del GDPR, Facebook non avrebbe avuto alcun obbligo di notificare una violazione dei dati personali.
Vi è però chi veda anche in una fattispecie del genere un trattamento illecito da parte del soggetto che ha dapprima raccolto il dato tramite l’applicazione e successivamente comunicato tale dato ad una terza società in violazione delle privacy policy del social network (che costituiscono, oltretutto, l’unica esaustiva informativa che gli utenti hanno circa il trattamento dei loro dati).
Ancor più grave la circostanza, evidenziata da un dipendente della Cambridge Analytica, che Facebook era già a conoscenza da ben due anni della violazione della privacy policy e che in tutto questo periodo non abbia adottato alcuna misura nei confronti di detta società (né abbia informato i propri utenti).
Dal punto di vista strettamente giuridico, quindi, ciò significa che il Titolare, venuto a conoscenza della violazione dei diritti degli interessati da parte di un terzo a cui ha ceduto i dati, in violazione degli accordi intercorsi tra il medesimo Titolare ed il terzo, potrebbe decidere di non far nulla, nonostante tale violazione riguarda un ampio numero di interessati ed anche categorie particolari di dati.
Una possibile soluzione ad ipotesi del genere potrebbe essere quella di estendere il concetto di data breach in un’ottica che tenga maggiormente in considerazione gli obiettivi di protezione del dato personale del GDPR, riferendo il data breach non solo alle sole violazioni di sicurezza che riguardano i dati personali, ma anche alle ipotesi in cui il Titolare sia a conoscenza di un trattamento illecito dei dati personali che egli ha conferito a terzi, soprattutto quando tali violazioni riguardino un elevato numero di interessati e dati rientranti tra quelli disciplinati dall’art. 9 del GDPR.
D’altra parte, la comunicazione a terzi non autorizzata dei dati personali rappresenta sempre una violazione di confidenzialità degli stessi, pur non derivante da un incidente di sicurezza, e come tale potrebbe essere trattata in maniera analoga ad un incidente di sicurezza.
In ipotesi del genere, infatti, un tempestivo intervento dell’Autorità di controllo ed un’adeguata informativa verso gli interessati avrebbero sicuramente impedito il protrarsi dell’illecito trattamento da parte dei terzi ed avrebbero consentito agli interessati di agire in maniera rapida per l’esercizio dei diritti riconosciuti dal GDPR.