Facebook è stata multata con una sanzione totale di 1,2 milioni di euro dal Garante per la privacy spagnolo (Agencia Española de Protección de Datos – AEPD) per violazione della legge sulla protezione dei dati personali: “L’Agenzia ritiene che Facebook tratti i dati per scopi pubblicitari senza ottenere il consenso degli utenti e inoltre quando gli iscritti effettuano la cancellazione dell’account continua a conservare i dati per più di 17 mesi ”: questa è la motivazione con cui il Garante spagnolo ha pronunciato il provvedimento. L’AEPD fa parte del pool composto dalle autorità del Belgio, della Francia, della Germania e dei Paesi Bassi, che hanno avviato le rispettive procedure d’indagine nei confronti della società fondata da Mark Zuckerberg, dopo le modifiche introdotte da Facebook nei termini e nelle condizioni di utilizzo nel gennaio 2015. Per gli stessi motivi a maggio scorso il Garante per la privacy francese ha multato il social network con 150mila euro.
La replica di Facebook: seguiamo la legge in vigore in Irlanda
Ecco come Facebook ha replicato: “Prendiamo atto della decisione dell’AEPD, con la quale non siamo d’accordo. Come abbiamo riferito al Garante spagnolo della privacy, gli utenti scelgono quali informazioni vogliono aggiungere al proprio profilo e condividere con gli altri, come la loro religione. Tuttavia, non utilizziamo queste informazioni per la profilazione degli annunci pubblicitari”. Il portavoce della società ha poi concluso: “Facebook osserva la legge sulla privacy in vigore in Irlanda, dove ha la sede europea”. Ora Facebook ha due mesi di tempo per contestare la multa e ha già annunciato di ricorrere in appello.
Nel dettaglio cosa ha violato Facebook?
Dall’istruttoria condotta dal Garante spagnolo sono emerse “due violazioni gravi (sanzionate con 600mila euro) e un’altra molto grave (sanzionata con 600mila euro)” della legge nazionale che proteggi i dati personali dei cittadini. Nello specifico ecco quali sono le infrazioni:
- I dati sull’ideologia, il sesso, le credenze religiose, i gusti personali o la navigazione vengono raccolti direttamente, attraverso l’interazione con i loro servizi o da pagine di terze parti senza informare chiaramente l’utente sull’uso e sulla finalità dei dati. La violazione è ritenuta come un reato molto grave secondo la legge nazionale sulla protezione dei dati personali.
- Facebook non ottiene un consenso inequivocabile, specifico e informato dagli utenti per trattare i propri dati, in quanto le informazioni che offre non sono adeguate.
In particolare, il Garante per la privacy spagnolo ha verificato che il social network tratta, tra gli altri, i dati per scopi pubblicitari, senza ottenere l’esplicito consenso degli utenti come richiesto dalle norme sulla protezione dei dati, un’infrazione tipica e molto grave della legge nazionale sulla privacy (LOPD).
Se cancelli il profilo Facebook conserva i dati per più di 17 mesi
L’Autorità spagnola ha anche verificato che quando un utente procede con la cancellazione dell’account, Facebook conserva le informazioni per più di 17 mesi. Questa è un’altra grave violazione perché “i dati degli utenti non sono cancellati integralmente o quando non siano più utili per lo scopo della raccolta o quando l’utente ne richiede esplicitamente la rimozione, come invece prevede la legge nazionale Ley Orgánica de Protección de Datos”.
I dati personali e l’uso di cookie
L’AEPD ha inoltre confermato che gli utenti non sono informati sul modo in cui i dati sono elaborati attraverso l’uso di cookie anche su pagine esterne a Facebook contenenti il pulsante ‘Like’. Questa situazione, ha scoperto il regolatore spagnolo, si verifica anche quando gli utenti non sono membri del social network. Pertanto, il Garante spagnolo ha ritenuto le informazioni fornite da Facebook agli utenti non conformi alle norme sulla protezione dei dati.
La policy sulla privacy è generica e poca chiara
Infine l’Authority ha anche notato che la policy sulla privacy di Facebook contiene “termini generici e poco chiari e richiede l’accesso a molti link esterni”. Il social network si riferisce in modo impreciso all’utilizzo che farà dei dati raccolti e un utente di Facebook, ha scritto il Garante spagnolo, con una conoscenza media delle nuove tecnologie non si rende conto della raccolta di dati, né della loro archiviazione e il successivo trattamento, né di quello che saranno utilizzati. Allo stesso tempo, dalla società non vi è nessuna informazione chiara per chi non è registrato alla piattaforma, perché Facebook raccoglie anche i loro dati quando visitano le pagine Facebook o i siti che contengono il pulsante ‘Like’.
Per approfondire: