Un provvedimento d’urgenza per fare chiarezza su come sono stati trattati i dati di migliaia di italiani raccolti da Meta (tramite Facebook e Instagram) in occasione delle ultime votazioni politiche del 25 settembre scorso. Il Garante Privacy attacca la piattaforma di Marc Zuckerberg e il Garante Privacy irlandese, reo di non essere intervenuto in maniera perentoria sulle modalità quanto meno opache di trattamento dei dati dei cittadini italiani, raccolti tramite la funzionalità EDI (Election day Information). Una funzione apparentemente informativa, che ha riacceso i timori di un nuovo caso “Cambridge Analytica” con la violazione dei dati degli elettori, in violazione del GDPR.
Chiarimenti già chiesti il 22 settembre
Di fatto, il Garante aveva già chiesto chiarimenti a Meta lo scorso 22 settembre, senza tuttavia ottenere risposta adeguata da parte dell’azienda. E per questo è arrivato il provvedimento dello scorso 21 dicembre 2022, che apre le porte ad un provvedimento d’urgenza per capire nel dettaglio cosa ci ha fatto Meta con i dati dei cittadini italiani raccolti in concomitanza delle ultime votazioni politiche del 22 settembre tramite il servizio EDI. Si legge nel provvedimento del Garante:
“Meta ha predisposto per Facebook promemoria elettorali volti a reindirizzare gli utenti al sito web del Ministero dell’interno dove gli stessi avrebbero potuto “trovare informazioni attendibili sulle elezioni”; i promemoria in questione erano asseritamente indirizzati ai cittadini italiani maggiorenni. Tali attività sono state veicolate da Meta in particolare sulla propria piattaforma Facebook attraverso la funzione denominata “Election Day Information” (EDI), ma il medesimo reindirizzamento era possibile anche cliccando su tre “adesivi” a disposizione sulla piattaforma Instagram”.
Questioni aperte
In che modo sono stati conservati questi dati degli Italiani? Dove (negli Stati Uniti?)? E’ stata data una informativa chiara e trasparente dell’uso dei dati raccolti in occasione delle politiche italiane, che reindirizzava gli utenti ad un link del Ministero degli interni?
Perché Facebook, compagnia privata che basa il suo business sulla raccolta dati e la loro profilazione a scopi commerciali, operava sua sponte per conto del Ministero dell’Interno, senza aver ricevuto alcun mandato in tal senso?
Questa una parte dei quesiti aperti che il Garante Privacy ha trasmesso a Meta e al Garante irlandese dopo la prima richiesta di chiarimenti avviata lo scorso 23 settembre ma rimasta inevasa in un provvedimento del 21 dicembre scorso passato finora sotto silenzio.
Troppi dubbi inevasi
Tanti, troppi, i dubbi che restano da chiarire e sui quali il Garante chiede chiarezza: “Si osserva una macroscopica contraddittorietà tra l’asserita finalità filantropico-sociale dichiarata da Meta e la raccolta dei dati di cittadini italiani nell’ambito di uno specifico contesto elettorale. Infatti, atteso che il trattamento dei dati raccolti è dichiaratamente protratto oltre il citato contesto delle elezioni (i dati verranno “aggregati entro 90 giorni” e peraltro non è chiaro se i 90 giorni decorrano dalla data di svolgimento delle elezioni o dalla loro raccolta), se ne deduce che la finalità perseguita da Meta non si esaurisce nel fornire il promemoria in occasione dell’avvicinarsi della data del voto per contribuire a fornire una corretta informazione ai cittadini, considerato che è prevista dapprima una raccolta dei dati originati da tali interazioni, poi una conservazione e poi ancora, entro 90 giorni, un ulteriore trattamento di aggregazione e di possibile comunicazione dei dati a terzi”.
Informazioni condivise con terze parti
In altre parole, dall’asserita finalità meramente informativa di carattere pubblicistico, si ricaverebbero delle informazioni che entrano, con modalità e termini non precisati, nell’attività imprenditoriale di Meta, la quale, addirittura dichiara l’intenzione di “condividere le informazioni aggregate solo con terze parti come partner di ricerca, accademici, partner governativi o comitati elettorali per sostenere il valore civico e democratico specifico di EDI”. Anche tale condivisione non appare sorretta né da una finalità legittima, né da base giuridica idonea.
A tal proposito è il caso di rilevare che Meta è una società di natura privata, con sede non all’interno della Repubblica italiana, che ha chiaramente finalità di natura commerciale e il cui business principale è quello di mettere a disposizione una piattaforma social e il cui funzionamento è finanziato attraverso la vendita di spazi pubblicitari, preferibilmente legati ad una profilazione degli utenti.
“Insomma, analizzando i riscontri forniti da Meta, emerge che gli interessati, utenti della piattaforma Facebook, cittadini italiani, nell’ambito delle consultazioni elettorali politiche del 25 settembre 2022, hanno potuto fruire di un servizio messo a disposizione dalla piattaforma medesima per fornire informazioni sulle elezioni: la fruizione di tale servizio ha comportato la raccolta, da parte di Meta, dei dati degli utenti relativi quantomeno alla posizione geografica, all’età, al dispositivo utilizzato, alle interazioni con la piattaforma, conservati per un tempo indefinito (“until it’s no longer necessary to provide our services and Facebook Products or until your account has been deleted”) e condivisi con numerosi soggetti, presumibilmente anche privati (“research partners, academics, government partners or election committees”), ed eventualmente collocati all’estero, considerato che nulla viene detto al riguardo, e senza che gli utenti abbiano ricevuto una specifica informativa su tali trattamenti e abbiano potuto fornire una chiara indicazione circa la loro volontà di sottoporre i propri dati a trattamenti destinati a fornire supporto a comitati elettorali o non meglio precisati soggetti istituzionali”, si legge.
“Infine, a completare il quadro appena delineato, vi è da segnalare anche l’ulteriore circostanza che non risulta agli atti alcun accordo, né incarico formale, con cui il Ministero dell’Interno abbia investito Meta del compito di informare i cittadini delle operazioni di voto del 25 settembre 2022 e che, pertanto, l’iniziativa in questione debba ritenersi avviata in autonomia da Meta, peraltro con sospetta pervicacia, considerato che si tratta del terzo tentativo in cinque anni e con un impegno di risorse umane e materiali che non può trovare giustificazione nella matrice imprenditoriale del titolare se non nei termini sopra delineati legati ad uno sfruttamento – con modalità e finalità non chiarite – dei dati personali degli utenti”, si legge ancora.
