Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”. Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web, nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani. Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche sulle finalità, le modalità e la logica del trattamento dei dati, i soggetti cui sono stati comunicati o che possano venirne a conoscenza.
Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente. L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato.
Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata. L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.
Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2015 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale. La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd che ha effettuato il trattamento di dati contestato.
Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account. Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso. L’Autorità non ha invece ritenuto opportuno ordinare alla società la cancellazione delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria.