L’art. 8 della CEDU e il caso Cambridge Analytica

L’art. 8 della Carta Europea dei Diritti dell’Uomo, dettata in materia di “Diritto al rispetto della vita privata e familiare” prevede che «Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica» fatti salvi motivi legati a sicurezza nazionale, pubblica sicurezza, benessere economico del paese, difesa dell’ordine e prevenzione dei reati, protezione della salute o della morale, protezione dei diritti e delle libertà altrui. Netta la distinzione tra il diritto individuale alla privacy, e la protezione dei dati personali, quest’ultima posta a tutela delle relazioni sociali, in primis quelle familiari. Come è noto l’art. 8 è stato spesso invocato su temi sensibilissimi della vita familiare quali, ad es., la procreazione.

Ma il recente provvedimento del 10 gennaio 2019 con il quale il Garante per la Privacy è intervenuto sul caso Cambridge Analytica rispetto ai suoi riflessi sugli utenti Facebook in Italia, offre la possibilità di un’analisi più originale della norma, in quanto, ove Facebook si adegui ad esso, quale interpretazione autentica della legge, potrebbe essere scongiurata la chiamata in giudizio del Governo Italiano.

Tutto prende inizio dalle notizie apparse, nel marzo 2018, sulla stampa nazionale ed internazionale, secondo le quali la società di ricerca Cambridge Analytica, parte del gruppo SCL–Strategic Communication Laboratories, con sede nel Regno Unito, aveva utilizzato «i dati di 87 milioni di utenti Facebook allo scopo di delineare la loro personalità mediante una profilazione di carattere psicologico». In un proprio comunicato, del 16 marzo 2018, Facebook faceva sapere di aver sospeso il dr. Aleksandr Kogan, professore di psicologia dell’Università di Cambridge, reo di aver violato le Policy della Piattaforma Facebook, avendone trasferito i dati degli utenti a Cambridge Analytica dopo che li aveva acquisiti mediante la sua app, “Thisisyourdigitallife”.

Sono stati raccolti dati determinanti a ricostruire il profilo personale e relazionale dell’utente: la data di nascita, la città di residenza, le pagine a cui l’utente aveva messo “mi piace”, la lista di amici. Inoltre, controllando proprio la fonte (il testo ella Policy in https://www.facebook.com/policy.php) Facebook dichiara: «Le informazioni che raccogliamo da questi dispositivi comprendono» tra le altre «Identificatori: identificatori univoci, ID del dispositivo e altri identificatori, come quelli provenienti da giochi, app, account usati e Family Device ID (o altri identificatori univoci per i prodotti offerti dalla aziende di Facebook associati allo stesso dispositivo o account)». Tra i prodotti offerti da Facebook c’è, ad es., WhatsApp (https://www.facebook.com/help/195227921252400?ref=dp) ove singoli e famiglie inseriscono enormi quantità i dati inerenti alla propria vita privata.

Tutto origina, anche per il Garante, dalla funzione “Facebook Login”, ove gli utenti si autenticano rispetto a servizi di terzi e trasmettono i propri dati ai fornitori dei medesimi servizi. L’attivazione dell’app, sostiene Facebook, era preceduta dal consenso alla raccolta e, nella prima fase di registrazione alla piattaforma, agli utenti veniva richiesto di confermare la presa visione dell’informativa sul trattamento dei dati personali, ricordando che le informazioni potevano essere visualizzate da chiunque. Ma le cose stavano diversamente: «il consenso suddetto avveniva in modo diverso a seconda della versione della funzione “Facebook login” utilizzata. Nella “Versione.1” (…) si chiedeva all’utente di acconsentire, con un’unica spunta, alla raccolta di tutti i dati sopra indicati, senza consentirgli di scegliere singolarmente quali informazioni condividere e quali, invece, mantenere private». Nella “Versione.2” «implementata a partire» solo da «aprile 2014» si consentiva invece agli utenti «rinunciare (con modalità, dunque, opt–out) alla trasmissione di singole tipologie di dati e di scegliere (modificando un’opzione di consenso pre–flaggata) quali specifiche categorie di dati condividere con le app, così potendo accedervi senza dover necessariamente fornire tutti i dati personali di cui sopra».

Per tal motivi il Garante ha imposto il divieto a Facebook di «ulteriore trattamento, ivi compresa la conservazione, dei dati acquisiti (….) ed informazioni espresse dagli utenti, anche mediante l’azione di “condivisione”» ed ha ingiunto a «Facebook di fornire (...) adeguato riscontro, entro 30 giorni dalla ricezione del (….) provvedimento, in ordine alle misure adottate al fine di consentire il rispetto dei divieti».

Se Facebook si atterrà al divieto e darà adeguato riscontro al Garante, questa volta sarà esclusa la possibilità di un coinvolgimento dello Stato Italiano stante una legge di piene tutela degli utenti e l’applicazione ad essa data dal Garante per la Privacy.