L’Autorità Garante Privacy si è pronunciata nei confronti della società Facebook, a seguito di un ricorso da parte un utente che non aveva ricevuto dal servizio di assistenza della società Facebook, una risposta soddisfacente alla sua istanza presentata ai sensi degli artt. 7 e 8 del Codice in materia di protezione dati personali.

Nel caso in questione, l’utente, titolare di un account Facebook, è stato vittima di attività configuarbili come minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione in sistema informatico da parte di una persona, anch’essa utente Facebook, che dopo aver chiesto ed ottenuto la propria “amicizia”, avrebbe intrattenuto con lo stesso “una corrispondenza telematica inizialmente di carattere confidenziale ma successivamente concludente nei tentativi di reato“.

Infatti, dopo essersi insinuato fra i suoi contatti in modo amichevole e confidenziale, aveva iniziato a ricattarlo richiedendogli con insistenza delle somme di denaro.

Non avendo accettato le richieste di denaro, la persona “amica” avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul profilo dell’interessato, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotografie e video artefatti con fotomontaggio (che lo ritraevano “intento in attività sessuali anche con minori“) gravemente lesivi dell’onore e del decoro oltre che dell’immagine pubblica e privata del ricorrente, noto professionista e titolare di una carica istituzionale in ambito locale.

L’interessato aveva immediatamente chiesto a Facebook, tramite il previsto servizio on-line, la rimozione delle false foto/video montaggi a contenuto diffamatorio ricevendo “notizia da terzi che il falso profilo “Facebook” era stato eliminato e che le conversazioni presenti sull’account” di sua effettiva titolarità “erano state oscurate con dicitura di indisponibilità“.

Inoltre, l’interessato aveva provveduto anche ad inviare a Facebook Ireland Ltd. una raccomandata in cui chiedeva:

  1. la conferma dell’esistenza e la comunicazione in forma intelligibile di tutti i dati che lo riguardano (informazioni e fotografie) detenuti in relazione ai profili Facebook aperti a suo nome;
  2. di conoscere l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, nonché i soggetti o le categorie di soggetti cui i dati sono stati comunicati o che possono venirne a conoscenza;
  3. la cancellazione e il blocco del falso account e dei dati, fotografia inclusa, illecitamente inseriti dallo stesso falso account e condivisi nel social nework, oltre all’attestazione che tale operazione è stata portata a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi;
  4. e  si è opposto al trattamento dei dati in questione.

Facebook Ireland Ltd. invia in risposta le istruzioni per accedere ai propri dati tramite il servizio “download tool”, una serie di dati non intelligibili perchè indicati con codici, numeri e sigle, e comunque parziali in quanto limitati ai dati relativi all’account Facebook valido del ricorrente e non anche i dati trattati dal falso account e condivisi nel social network. Tramite questo servizio l’interessato ha avuto anche modo di riscontrare come tutte le conversazioni con l’autore del falso account (sia quelle colloquiali che quelle integranti gli asseriti illeciti) non erano state cancellate, nonostante dopo la segnalazione del ricorrente fossero risultate, secondo informazioni ricevute da terzi, indisponibili nel proprio account.

A questo punto, l’interessato si rivolge al Garante Privacy, il quale ai fini della valutazione del caso, si sofferma ad accertare il diritto ad esso applicabile, partendo da un’analisi delle attività rispettivamente svolte da Facebook Italy S.r.l. e da Facebook Ireland Ltd.

Facebook Italy s.r.l., è una società che ha per oggetto “la fornitura di servizi internet e di servizi di vendita, la vendita di spazi pubblicitari on-line, il marketing ed ogni attività connessa“, pur non risultando il trattamento dei dati personali in questione effettuato direttamente dal predetto stabilimento italiano, lo stesso viene comunque svolto “nel contesto delle attività” di Facebook Italy s.r.l. e considerato altresì che le attività delle due società sono “inestricabilmente connesse” poiché l’attività svolta da Facebook Italy s.r.l. è volta a rendere economicamente redditizio il servizio reso da Facebook Ireland Ltd.

Sulla base di questo, il Garante afferma l’applicabilità della legge italiana, e quindi del Codice Privacy e accoglie il ricorso, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015.

Pertanto, ordina alla società Facebook di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione ai profili Facebook aperti a suo nome, nonché di fornire all’interessato indicazioni circa le richieste di cui all’art. 7, comma 2, del Codice.

Inoltre, ordina ai gestori di non effettuare, con effetto immediato dalla data di ricezione del presente provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account, con conservazione di quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria.

(Fonte Garante Privacy)