g-docweb-display Portlet

Provvedimento del 21 dicembre 2022 [9853406]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF


- English version

 

VEDI ANCHE

- Provvedimento del 22 marzo 2023

 

[doc. web n. 9853406]

Provvedimento del 21 dicembre 2022

Registro dei provvedimenti
n. 448 del 21 dicembre 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Regolamento generale sulla protezione dei dati” - di seguito, “Regolamento”), con particolare riguardo agli artt. 4, 5, 6, 9, 12, 13, 25, 58 e 66;

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTA la “Dichiarazione 2/2019 sull'uso di dati personali nel corso di campagne politiche” adottata il 13 marzo 2019 dal Comitato europeo per la protezione dei dati (di seguito: EDPB), che richiede alle Autorità per la protezione dei dati di “monitorare e, se necessario, [di] far rispettare l’applicazione dei principi di protezione dei dati, quali la trasparenza, la limitazione delle finalità, la proporzionalità e la sicurezza, nonché l'esercizio dei diritti dell'interessato, nel contesto delle elezioni e delle campagne politiche. Le autorità per la protezione dei dati intendono utilizzare tutti i poteri di cui dispongono ai sensi del regolamento generale sulla protezione dei dati, garantendo un approccio cooperativo e coerente nel quadro del comitato europeo per la protezione dei dati”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. La campagna di Meta

Agenzie di stampa nazionali, a partire dal 20 settembre 2022 (cinque giorni prima dello svolgimento delle elezioni politiche per il rinnovo del Parlamento italiano) hanno riportato che Meta Platforms Ireland Limited (da qui in avanti “Meta” o “la Società”) avrebbe avviato sui propri social network Facebook ed Instagram una campagna, indirizzata espressamente agli utenti maggiorenni italiani, volta a fornire informazioni e a contrastare le interferenze e rimuovere i contenuti che disincentivano al voto in relazione alle imminenti elezioni per il rinnovo delle due Camere del Parlamento.

In particolare, Meta ha predisposto per Facebook promemoria elettorali volti a reindirizzare gli utenti al sito web del Ministero dell’interno dove gli stessi avrebbero potuto “trovare informazioni attendibili sulle elezioni”; i promemoria in questione erano asseritamente indirizzati ai cittadini italiani maggiorenni. Tali attività sono state veicolate da Meta in particolare sulla propria piattaforma Facebook attraverso la funzione denominata “Election Day Information” (EDI), ma il medesimo reindirizzamento era possibile anche cliccando su tre “adesivi” a disposizione sulla piattaforma Instagram.

1.2. La richiesta di informazioni e i riscontri della Società

L’Autorità, con nota prot. n. 50245/22 del 21 settembre 2022, ha ritenuto necessario rivolgere specifiche richieste di informazioni a Meta, con particolare riguardo:

- alla natura e modalità dei trattamenti di dati connessi alla pubblicazione dei promemoria e degli adesivi ed alla eventuale loro condivisione, nonché ai tempi di conservazione dei dati raccolti;

- all’accordo dichiaratamente in essere con il Ministero dell’interno per l’invio dei predetti promemoria e la pubblicazione degli “adesivi”;

- alle policy aziendali e della Comunità social, nonché eventuali riferimenti nelle “Condizioni d’Uso”, rilevanti rispetto alla cennata iniziativa;

- agli accordi realizzati con le organizzazioni indipendenti di fact-checking e flussi di dati scambiati con le medesime, con specifico riferimento ad eventuali nomine a responsabili del trattamento;

- alle modalità con le quali i trattamenti di cui sopra, in particolare quelli idonei a rivelare le opinioni politiche degli interessati, sarebbero stati portati a conoscenza dei medesimi e base giuridica che legittimasse i trattamenti stessi;

- alle misure poste in essere per garantire che l’iniziativa, come dichiarato, fosse portata a conoscenza esclusivamente dei maggiori di anni 18.

La Società, in data 22 settembre, ha trasmesso una nota di riscontro che, tuttavia, priva di gran parte degli elementi richiesti, non consentiva all’Autorità di superare alcune perplessità sulla correttezza e liceità del preannunciato trattamento di dati dei cittadini italiani. Proprio in ragione di tali perplessità, con nota prot. n. 50924/22 del 23 settembre 2022, Meta è stata invitata a sospendere momentaneamente il preannunciato trattamento.

Nella tarda serata del 23 settembre la Società ha inviato un’ulteriore nota con la quale, palesando la propria volontà di non bloccare le preannunciate iniziative, forniva – sempre in maniera non esaustiva – alcune ulteriori informazioni, che tuttavia non consentivano ancora una volta di superare le rappresentate perplessità e, anzi, per certi aspetti, finivano per acuirle. Da tale nota emergeva, infatti, tra l’altro, che il trattamento dei dati raccolti nell’ambito dell’iniziativa in questione “vengono aggregati entro 90 giorni” e che gli stessi potrebbero essere condivisi “con terzi come partner di ricerca, il mondo accademico, partner governativi o comitati elettorali”.

1.3. La nuova funzionalità “EDI”, i precedenti analoghi e il ruolo dell’Autorità irlandese

Non è la prima volta che Meta (in precedenza Facebook) lancia funzionalità relative all’interazione dei propri utenti in contemporanea e in collegamento con lo svolgimento di importanti momenti elettorali di interesse per i cittadini italiani:

- in relazione alle elezioni politiche nazionali del 4 marzo 2018, il social network aveva proposto il prodotto “Candidati”, sulla cui legittimità il Garante si era espresso, ritenendo doveroso intervenire dapprima con un divieto di trattamento e poi ordinando a Facebook di corrispondere un milione di euro a titolo di sanzione amministrativo-pecuniaria,   (provvedimenti del 10 gennaio 2019, in www.gpdp.it, doc. web n. 9080914 e del 14 giugno 2019, doc. web n. 9121486);

- in occasione delle elezioni per il rinnovo del Parlamento europeo, il 26 maggio 2019, quando nella “sezione notizie” di Facebook è stato pubblicato un messaggio dal titolo “E’ tempo di votare!” (Election Day Reminder - EDR) con il quale si invitavano gli utenti a condividere il fatto di aver votato; anche in quel caso il Garante aveva formalmente richiamato, l’attenzione dell’Autorità irlandese su tale prodotto, condividendo vari dubbi circa la sua conformità alla disciplina in materia di protezione dati. A seguito di una interlocuzione con Facebook, la DPC aveva poi riferito che, non essendo stato possibile per il titolare del trattamento superare tutti i dubbi avanzati in quella sede , la stessa aveva deciso di non lanciare la nuova funzionalità proprio in occasione delle elezioni politiche irlandesi, momentaneamente sospendendone, dunque, l’applicazione(1).

Successivamente, Meta ha sviluppato un ulteriore prodotto, per l’appunto l’”Election Day Information” (EDI), oggetto del presente esame. Sotto un profilo generale, nei vari menzionati riscontri citati nel par. 1.2, Meta riferisce che “l’EDI è stata lanciata nell'UE nel 2021 solo dopo aver preso in considerazione le raccomandazioni dell'IDPC a seguito di un'ampia consultazione sulle caratteristiche del prodotto e sulle relative garanzie di trasparenza, in qualità di autorità di controllo capofila di Meta Ireland”; inoltre, viene precisato che “la consultazione di Meta Ireland con l’Irish Data Protection Commission ("IDPC") riguardava precisamente la funzione EDI, ora oggetto della Richiesta (ovvero la funzione EDI del Servizio Facebook e le relative informazioni di trasparenza)”.

In merito a tale prospettazione, si deve rilevare che le criticità riscontrate da questa Autorità e più ampiamente sviluppate di seguito (par. 2) sono legate a profili di natura sostanziale (base giuridica del trattamento, principio di finalità, natura dei dati trattati, condivisione dei dati, tempi di conservazione e data retention) e non sono riconducibili al solo, pur fondamentale, aspetto della trasparenza, oggetto, quest’ultimo, specificamente al centro della richiamata interlocuzione tra Meta e l’Autorità irlandese.

Inoltre, a ben vedere, anche la consultazione condotta dalla Autorità irlandese aveva, per espressa indicazione di quest’ultima, un taglio generale, tanto da indurla a specificare, in una comunicazione inviata a tutte le Autorità interessate nel marzo 2021, che “la valutazione della funzione EDI da parte del DPC è in relazione a questioni di trasparenza specificamente nel contesto dell’interazione di un utente con la funzione. Questioni più ampie e sistemiche relative agli obblighi di trasparenza di FB e alle basi giuridiche per il trattamento dei dati personali sono al vaglio nel contesto di una serie di indagini in corso”, precisando ulteriormente che “a scanso di equivoci, sia la revisione di alto livello che le raccomandazioni di alto livello emesse dalla DPC non pregiudicano l'obbligo di Facebook di garantire che questa funzionalità sia conforme al GDPR”. V’è di più; nella stessa comunicazione, la DPC informava che “questioni più ampie e sistemiche relative agli obblighi di trasparenza di FB e alle basi legali per il trattamento dei dati personali sono all'esame nel contesto di una serie di indagini in corso” e che, in ogni caso, “la DPC si riserva inoltre il diritto di condurre un'indagine per stabilire, in relazione a qualsiasi delle preoccupazioni che ha [il Garante] delineato fino ad oggi o successive, se una qualsiasi delle disposizioni del GDPR e del Data Protection Act 2018 sia stata, sia o possa essere violata in futuro o svolgere un'indagine al fine di garantire la conformità con il GDPR e il Data Protection Act 2018 e identificare eventuali violazioni”(2).

In merito a tali iniziative, non risultano allo stato aggiornamenti da parte della DPC, né gli esiti di tale istruttoria sono stati condivisi nell’ambito della più recente procedura avviata dal Garante ex art. 61 del Regolamento.

Anche la citazione dalla relazione annuale della DPC, effettuata da Meta, appare inconferente, visto che in essa, viene solo dato atto dell’adozione di misure finalizzate ad adottare le raccomandazioni espresse dalla stessa Autorità. Del resto tali raccomandazioni erano limitate ad un miglior posizionamento del link relativo all’informativa e al chiarimento circa l’assenza di finalità pubblicitarie.

Pertanto, dai chiarimenti ricevuti direttamente dalla DPC nella procedura di cooperazione avviata sul tema, ma anche dalla stessa lettura della relazione annuale richiamata da Meta, emerge chiaramente che la natura delle valutazioni condotte dall’Autorità irlandese erano limitate solo ad alcuni profili, peraltro molto generali, del carattere di trasparenza dell’informativa e non hanno affrontato gli ulteriori e più specifici aspetti di merito, oggetto delle perplessità e delle richieste del Garante.

Contestualmente allo svolgimento dell’istruttoria preliminare e in considerazione del fatto che Meta Platform Ireland ha fissato il proprio stabilimento all’interno dell’Unione Europea in Irlanda e che, dunque, la Data protection Commission irlandese (da qui in avanti DPC) è da considerarsi Autorità capofila (ai sensi dell’art. 56, par. 1 del Regolamento), il Garante ha prontamente attivato le previste procedure di cooperazione e coerenza, ai sensi degli artt. 60 e ss. del Regolamento. L’attivazione di tali procedure, peraltro, si è resa ulteriormente necessaria proprio a fronte delle richiamate dichiarazioni di Meta circa un’asserita valutazione positiva da parte della DPC sul prodotto EDI.

Tramite una procedura di mutua assistenza volontaria, inviata ai sensi dell’art. 61 del Regolamento, l’Autorità ha richiesto alla DPC, nell’ordine: a) di condividere con la massima urgenza consentita le informazioni circa la nuova funzionalità EDI e di chiarire se, come affermato dal titolare, tale funzionalità avesse ricevuto una qualche forma di approvazione da parte della DPC; b) di valutare, con la massima urgenza consentita, l’adozione di misure correttive, ivi compresa una limitazione provvisoria del trattamento prima dello svolgimento delle elezioni in Italia.

Come sopra accennato, la DPC ha fornito le informazioni richieste ed ha contattato Meta affinché fornisse un riscontro più esaustivo al Garante (quello del 23 settembre), ma non ha ritenuto di adottare alcuna misura correttiva nei confronti della Società.

2. PRINCIPI APPLICABILI E BASE GIURIDICA DEL TRATTAMENTO

2.1. Premessa

Questa Autorità deve preliminarmente e nuovamente rilevare che i trattamenti dei dati personali dei cittadini italiani operati da piattaforme social tanto ampiamente diffuse quale Facebook e Instagram assumono una particolare rilevanza in concomitanza con un così delicato momento per la vita istituzionale e politica del Paese, quale quello del rinnovo del Parlamento nazionale.

Questo a maggior ragione se si considera che l’art. 48 della Costituzione italiana nel suo complesso definisce il voto come “diritto/dovere civico”, qualificandolo così come un diritto individuale ma anche come una funzione da esercitarsi in quanto membri di una comunità politica.

Tale duplice connotazione, infatti, rappresenta, come ampiamente riportato dalla dottrina costituzionalistica, una soluzione di equilibrio e di compromesso, in grado di soddisfare entrambe le posizioni presenti in Assemblea costituente in riferimento al dibattito sul rendere o meno il voto come obbligatorio. Le due diverse concezioni che si contrapponevano all’epoca, infatti, furono, da un lato, quella volta a ritenere prevalente la natura di diritto di libertà del voto e, dall’altro, quella tesa ad evidenziarne la natura funzionale in correlazione alla funzione pubblica elettiva.

In tale prospettiva, la non partecipazione al voto, a partire dal 1993, non è più sanzionata, a riprova del fatto che nel contesto specifico dell’ordinamento italiano le informazioni inerenti all’esercizio (o il non esercizio) di un diritto o il compimento (o il non compimento) di una funzione sono idonee a rivelare opinioni ed orientamenti politici e a porsi, quindi, come particolare forma di espressione della volontà popolare.

Difatti, se è vero che solo nel caso del referendum abrogativo ex art. 75 Cost., la non partecipazione al voto può comportare conseguenze di carattere espressamente giuridico, è altrettanto vero che la non partecipazione al voto, in particolare nel contesto istituzionale e sociale italiano, può rappresentare una espressione “politica” in senso ampio dei convincimenti dell’avente diritto al voto, tanto da venire anche costantemente misurata e monitorata in termini statistici, spesso quale indice di disaffezione se non proprio di generale malcontento nei confronti delle istituzioni latamente intese o dei partiti. In questo senso, le informazioni idonee a rivelare tali opinioni politiche debbono essere assistite dalla tutela rafforzata di cui all’art. 9 del RGPD.

L’Autorità, pertanto, in premessa rimarca che ogni intervento, soprattutto laddove posto in essere da parte di un soggetto imprenditoriale privato multinazionale, in merito all’esplicarsi  dell’esercizio di un diritto fondamentale, quale quello di voto, con un impatto così decisivo e rilevante per la vita politica di un Paese, andrebbe attentamente considerato e presentato con modalità ben diverse da quelle utilizzate nel caso di specie.

E invece il trattamento posto in essere da Meta, già a partire dai suoi aspetti principali quali quelli legati alle finalità, alla base giuridica applicabile, al rispetto dei principi di minimizzazione e di conservazione limitata dei dati, oltre alla possibile comunicazione a soggetti non meglio identificati, sollevano inquietanti interrogativi circa l’uso di dati (che possono avere anche natura particolare) di cittadini italiani.

Tali preoccupazioni e l’urgenza causata da alcune affermazioni di Meta, impongono al Garante, nelle more del completamento dell’analisi incardinata presso l’Autorità irlandese, di analizzare con attenzione gli elementi a disposizione al fine di verificare quanto meno l’esistenza di un fumus di illiceità nei trattamenti in atto e l’esistenza o meno di un concreto pericolo per i diritti e le libertà dei cittadini italiani, anche al fine della messa in atto dei meccanismi di tutela previsti dall’ordinamento.

2.2. Finalità e base giuridica del trattamento

2.2.1 Funzionalità EDI

Dai riscontri forniti da Meta non emerge alcuna indicazione chiara in merito alla base giuridica del trattamento dei dati mediante la funzione EDI, nonostante l’espressa richiesta in tal senso formulata da questa Autorità con la citata nota prot. n. 50245/22 del 21 settembre 2022. Infatti, le informazioni riportate nei due riscontri sono limitate alla modalità di trattamento, ai tempi di conservazione e alla condivisione dei dati, nonché, quanto all’individuazione della base giuridica, all’elencazione di finalità già genericamente richiamate nella più ampia Privacy Policy.

In primo luogo, va quindi censurata la scarsa puntualità mostrata sotto tale profilo da parte di Meta; questo atteggiamento ha costretto l’Autorità ad una attività molto dispendiosa al fine di ricercare le informazioni richieste all’interno di un’informativa, qual è quella di Meta, complessa, probabilmente tradotta da un testo scritto in altra lingua, frutto di stratificazioni successive e di continui rinvii ad altri documenti che richiedono al lettore una attività di coordinamento di non facile esercizio. La stessa informativa, inoltre, riferendosi al complesso delle attività, delle interazioni e dei trattamenti correlati all’utilizzo della piattaforma, non consente di enucleare con facilità le singole fattispecie, obbligando quindi ad una defaticante opera di lettura combinata e comparata delle diverse voci, dovendo muoversi tra l’informativa generale predisposta da Facebook, quella particolare predisposta per la singola funzione o per il singolo prodotto Meta e i chiarimenti forniti nella pagina Help Center dedicata al supporto agli utenti”.

Quanto appresso riportato in relazione alla base giuridica del trattamento, pertanto, è frutto dell’esame documentale e di una complessa ricostruzione a cui è stato costretto l’Ufficio attraverso una attività di sintesi tra le (poche) informazioni condivise da Meta nei propri riscontri e quanto riportato nei siti della stessa società.

In linea generale, deve quindi rilevarsi che i trattamenti di cui sopra non appaiono sorretti da specifico consenso nelle forme di cui all’art. 7 del Regolamento e risultano indistintamente ricondotti alle molteplici e variegate finalità del complessivo trattamento svolto mediante la piattaforma Facebook, per lo più sorrette da riferimenti alle basi giuridiche di cui all’art. 6, par. 1, lett. b) e f) (esecuzione di un contratto o legittimo interesse del titolare): tali trattamenti risultano pertanto, di fatto, per una causa o per l’altra, sottratti ad uno specifico controllo da parte dell’interessato e ad una valutazione del medesimo in ordine alla portata delle proprie interazioni con la piattaforma nell’ambito della funzione EDI.

Sempre con riferimento alle finalità, va osservato inoltre che, come indicato da Meta, quella ancorata allo spirito generale dell’iniziativa “è semplice, in quanto fornisce agli utenti un promemoria informativo sul fatto che nel loro Paese si stiano svolgendo le elezioni e li indirizza a un sito web governativo (in questo caso il sito del Ministero dell’Interno), dove potranno trovare informazioni affidabili sulle elezioni”.

Tale finalità, sembra fare riferimento genericamente, quindi, al perseguimento di un interesse pubblico o, quanto meno, di pubblica utilità.

A tal proposito è il caso di rilevare che Meta è una società di natura privata, con sede non all’interno della Repubblica italiana, che ha chiaramente finalità di natura commerciale e il cui business principale è quello di mettere a disposizione una piattaforma social e il cui funzionamento è finanziato attraverso la vendita di spazi pubblicitari, preferibilmente legati ad una profilazione degli utenti.

Su queste premesse e all’interno di tale sistema, la finalità di tutela di un interesse pubblico primario (come lo svolgimento di elezioni democratiche e il libero esercizio del diritto di voto) appare fuoriuscire dal perimetro proprio definito dagli obiettivi imprenditoriali di Meta e appare altresì incompatibile con la stessa natura commerciale della società. Parimenti non si comprende come finalità genericamente richiamanti interessi di carattere pubblicistico possano rientrare nei termini di un vincolo contrattuale istauratosi o da instaurarsi tra Meta e i propri utenti.

Inoltre, si osserva una macroscopica contraddittorietà tra l’asserita finalità filantropico-sociale dichiarata da Meta e la raccolta dei dati di cittadini italiani nell’ambito di uno specifico contesto elettorale. Infatti, atteso che il trattamento dei dati raccolti è dichiaratamente protratto oltre il citato contesto delle elezioni (i dati verranno “aggregati entro 90 giorni” e peraltro non è chiaro se i 90 giorni decorrano dalla data di svolgimento delle elezioni o dalla loro raccolta), se ne deduce che la finalità perseguita da Meta non si esaurisce nel  fornire il promemoria in occasione dell’avvicinarsi della data del voto per contribuire a fornire una corretta informazione ai cittadini, considerato che è prevista dapprima una raccolta dei dati originati da tali interazioni, poi una conservazione e poi ancora, entro 90 giorni, un ulteriore trattamento di aggregazione e di possibile comunicazione dei dati a terzi.

In altre parole, dall’asserita finalità meramente informativa di carattere pubblicistico, si ricaverebbero delle informazioni che entrano, con modalità e termini non precisati, nell’attività imprenditoriale di Meta, la quale, addirittura dichiara l’intenzione di “condividere le informazioni aggregate solo con terze parti come partner di ricerca, accademici, partner governativi o comitati elettorali per sostenere il valore civico e democratico specifico di EDI”. Anche tale condivisione non appare sorretta né da una finalità legittima, né da base giuridica idonea.

Insomma, analizzando i riscontri forniti da Meta, emerge che gli interessati, utenti della piattaforma Facebook, cittadini italiani, nell’ambito delle consultazioni elettorali politiche del 25 settembre 2022, hanno potuto fruire di un servizio messo a disposizione dalla piattaforma medesima per fornire informazioni sulle elezioni: la fruizione di tale servizio ha comportato la raccolta, da parte di Meta, dei dati degli utenti relativi quantomeno alla posizione geografica, all'età, al dispositivo utilizzato, alle interazioni con la piattaforma, conservati per un tempo indefinito (“until it's no longer necessary to provide our services and Facebook Products or until your account has been deleted”) e condivisi con numerosi soggetti, presumibilmente anche privati (“research partners, academics, government partners or election committees”), ed eventualmente collocati all’estero, considerato che nulla viene detto al riguardo, e senza che gli utenti abbiano ricevuto una specifica informativa su tali trattamenti e abbiano potuto fornire una chiara indicazione circa la loro volontà di sottoporre i propri dati a trattamenti destinati a fornire supporto a comitati elettorali o non meglio precisati soggetti istituzionali.

Infine, a completare il quadro appena delineato, vi è da segnalare anche l’ulteriore circostanza che non risulta agli atti alcun accordo, né incarico formale, con cui il Ministero dell’Interno abbia investito Meta del compito di informare i cittadini delle operazioni di voto del 25 settembre 2022 e che, pertanto, l’iniziativa in questione debba ritenersi avviata in autonomia da Meta, peraltro con sospetta pervicacia, considerato che si tratta del terzo tentativo in cinque anni e con un impegno di risorse umane e materiali che non può trovare giustificazione nella matrice imprenditoriale del titolare se non nei termini sopra delineati legati ad uno sfruttamento – con modalità e finalità non chiarite – dei dati personali degli utenti.

Alla luce di quanto sopra, deve ritenersi, allo stato degli atti, che gli elementi sopra rappresentati consentono di individuare un fumus di illiceità dei trattamenti di dati personali dei cittadini italiani, con riferimento alla violazione dei principi di liceità, correttezza, trasparenza e limitazione di finalità di cui all’art. 5, par. 1, lett. a) e b) del Regolamento e in carenza dell’individuazione di una chiara base giuridica ai sensi del successivo art. 6, carenza che determinerebbe anche l’inidoneità delle informazioni rese ex artt. 12 e 13 del Regolamento.

2.2.2. Il trattamento da parte dei fact checker

Nei menzionati riscontri Meta ha rappresentato all’Autorità che, non solo in occasione delle elezioni, ma nell’ordinario svolgersi delle funzioni della piattaforma e, dunque, a latere rispetto alla specifica funzionalità EDI, la Società rimuove i contenuti su Facebook e Instagram che scoraggiano il voto o interferiscono con esso e per far ciò collabora con organizzazioni indipendenti di fact-checking che verificano la veridicità di post che, pur non violando gli standard della comunità, siano segnalati per disinformazione. A seguito della verifica da parte delle agenzie di fact-checking, il post ritenuto “falso”, viene parzialmente oscurato da Meta che ne riduce la visibilità sulla piattaforma e appone un’etichetta contenente un link che rimanda a ulteriori contenuti del fact-checker sulla materia.

Con riferimento a tale attività, che le notizie stampa e le interviste rilasciate dai responsabili di Meta hanno rappresentato come in diretta connessione con la funzione EDI, i correlati trattamenti di dati personali sembrerebbero riconducibili, quanto a finalità, alle previsioni inserite nella sezione 12 della Privacy Policy di Meta Ireland, con riferimento alla fornitura e al miglioramento dei prodotti Meta che include, fra l’altro la raccolta, l'archiviazione, la condivisione, la profilazione, la revisione, l'elaborazione automatizzata e la revisione manuale dei dati degli account e dei profili-utente, al fine, fra l’altro di indagare su attività ritenute sospette, individuare, prevenire e combattere comportamenti ritenuti dannosi, esaminare e, in alcuni casi, rimuovere i contenuti segnalati.

Peraltro si evidenzia che le carenze sul versante informativo e della trasparenza riscontrate nel caso della funzionalità EDI, sembrano riproporsi per il trattamento effettuato dai fact-checker, dal momento che il reperimento delle informazioni circa questo tipo di trattamento non risulta immediata e agile ma piuttosto difficoltosa e complicata anche dalla presenza di notizie frammentate che l’utente dovrebbe autonomamente reperire tra più documenti e fonti di informazione (Privacy policy, già nella sua forma di informativa stratificata, Terms of services e Help center).

Anche per questi motivi, al riguardo, è stato ritenuto opportuno svolgere un approfondimento istruttorio, con richieste di informazioni rivolte alle agenzie di fact-checking italiane con le quali Meta, nei suoi riscontri relativi a EDI, aveva dichiarato di collaborare.

Tali agenzie hanno fornito riscontro evidenziando, in primo luogo, che con riferimento alle descritte attività svolte nell’ambito dei social network gestiti da Meta, le stesse operano in qualità di responsabili del trattamento per conto della Società. In uno dei riscontri è stato descritto nel dettaglio il processo di verifica dei contenuti, che viene svolto da giornalisti delle agenzie accedendo ad un tool messo a disposizione da Meta, nel quale è presente una lista di “contenuti/notizie che possono essere oggetto di revisione” (post pubblici) e che le agenzie possono, a propria discrezione, decidere o meno di sottoporre a verifica. L’agenzia può altresì inserire nel tool contenuti che non sono stati presi in considerazione da Meta ma che l’agenzia medesima ritiene meritevoli di valutazione. Nel tool è presente, oltre al contenuto da verificare, anche l’account professionale, oppure, nel caso di persona fisica, il nome e cognome di colui o colei che ha pubblicato la notizia, il numero di visualizzazioni e di condivisioni recenti e il numero delle segnalazioni del post da parte degli utenti. Gli esiti delle verifiche operate dai giornalisti delle agenzie (che possono classificare le notizie come “false”, “alterate”, “parzialmente false”, “con contenuto mancante”, “vere” o “satiriche”) vengono comunicati esclusivamente a Meta, la quale, quindi, opera successivamente sulle piattaforme con gli interventi ritenuti opportuni.

Nel riscontro fornito da un’altra agenzia, quest’ultima ha evidenziato che, per esplicita indicazione di Meta, sono esclusi dalle operazioni di fact-checking post e inserzioni di politici o candidati. Tale circostanza sembra prevedere, ab origine, peraltro con parametri non indicati da Meta né dalle agenzie, una selezione delle figure da sottoporre a “verifica”, probabilmente anche attraverso un’attività di individuazione preliminare dei profili e, dunque, degli account. Inoltre, tale differenziazione solleva più di una perplessità perché trattasi di una delimitazione soggettiva dei destinatari di un intervento di tipo correttivo ed integrativo che produce effetti su ambiti connessi alla libera manifestazione del pensiero, tutelata dall’art. 21 della Costituzione italiana.

Proprio tale circostanza, sul fronte della protezione dei dati personali, conferma i dubbi circa l’applicabilità della base giuridica contrattuale a questa tipologia di trattamenti, considerato che tutti gli utenti, in quanto tali e senza distinzione soggettiva alcuna, sottoscrivono con Meta il medesimo contratto di servizi e non contratti differenziati a seconda del grado di impegno politico o di esposizione rispetto all’opinione pubblica.

Le informazioni acquisite dalle agenzie di fact-checking completano il quadro di informazioni già fornito da Meta, che non fa che confermare come i trattamenti svolti nell’ambito della funzione EDI, ai quali la Società riconduce, in base alle interviste rilasciate agli organi di stampa e all’impostazione complessiva del servizio, anche i trattamenti realizzati mediante la partnership con le predette agenzie, non siano sorretti da specifico consenso degli interessati e siano di fatto, sottratti ad uno specifico controllo da parte dei medesimi e ad una valutazione in ordine alla portata delle proprie interazioni con la piattaforma nell’ambito della funzione EDI.

Inoltre, quanto ai trattamenti connessi alle attività di fact-checking, va sottolineato che devono essere ricompresi nel novero degli interessati sia gli utenti che, attraverso i social network interagiscono con le agenzie, sia coloro (ad esclusione di politici e candidati) che inseriscono post pubblici contenenti notizie e informazioni, post che possono essere inclusi nel tool di verifica, unitamente al nome e cognome dell’autore della pubblicazione, tutti dati che, in ragione della finalità di indagine su attività ritenute sospette, individuazione, prevenzione e repressione di comportamenti ritenuti dannosi, possono formare oggetto, da parte di Meta di raccolta, archiviazione, condivisione, profilazione, elaborazione automatizzata e revisione manuale. Il tutto senza il consenso esplicito e consapevole dell’interessato, con ampie perplessità circa la riconducibilità dei trattamenti alla base contrattuale e, soprattutto, con un’indicazione talmente generale e vaga in ordine alle motivazioni sottostanti e alle finalità dei possibili accertamenti (“indagine su attività ritenute sospette, individuazione, prevenzione e repressione di comportamenti ritenuti dannosi”) tale da rendere indecifrabile, e perciò come non data, l’informativa resa al riguardo, in un ambito – si ripete – quale quello della libertà di espressione che meriterebbe le più alte ed attente garanzie.

L’insieme di tali criticità rilevate nell’attività di fact checking, amplifica i timori legati al trattamento dei dati effettuato in rapporto alle consultazioni elettorali e, per le sue implicazioni più generali, appare meritevole di più specifici approfondimenti.

2.3. Natura particolare dei dati trattati

Meta ha dichiarato di non trattare dati che rientrano nelle categorie particolari. Inoltre, dai riscontri ricevuti, emerge che i dati relativi alle interazioni nell’ambito del prodotto EDI verrebberoaggregati prima di essere condivisi con soggetti terzi.

In particolare Meta afferma che “per gli utenti che vengono mostrati, visualizzati o interagiscono (ad esempio, facendo clic su un link) con la funzione EDI, i relativi dati di coinvolgimento (ovvero, se l'utente è stato mostrato, visualizzato e/o ha fatto clic sui link offerti dalla funzione EDI) vengono aggregati entro 90 giorni” e, ancora, che potranno “condividere alcuni dati statistici aggregati [nella versione inglese si parla di “aggregated insights”] con terzi come partner di ricerca, il mondo accademico, partner governativi o comitati elettorali”.

A ciò si aggiunga che la funzione EDI si basa sul trattamento di informazioni relative a età, posizione, genere e dispositivo degli utenti.

In primo luogo si evidenzia che Meta non ha fornito indicazioni circa gli strumenti che consentano di ritenere accertata la maggiore età delle persone raggiunte da EDI; essendo notorio che le attuali politiche di age verification si basano quasi esclusivamente sulle dichiarazioni degli interessati ed altrettanto notorio che in molti casi queste non corrispondono a realtà, la mancata indicazione di specifici accorgimenti di verifica porta a ritenere che in tale attività (e pertanto anche nella connessa raccolta di dati) siano coinvolti persone minori di età.

Inoltre, occorre evidenziare che i dati oggetto di trattamento non sono anonimi in quanto consentono l’individuazione dell’interessato sia all’origine che ad esito del processo di aggregazione quando gli stessi potranno essere condivisi genericamente anche con enti governativi e con comitati elettorali, non meglio identificati (italiani? esteri?).

Che tali dati non siano anonimi emerge anche dalla lettura della Privacy Policy di Facebook che “per utilizzare meno informazioni collegate a singoli utenti, in alcuni casi eliminiamo gli elementi di identificazione personale dalle informazioni o le aggreghiamo. Possiamo anche anonimizzare tali informazioni in modo che non consentano più di identificarti” [enfasi aggiunta].

Da tale informazione si trova dunque conferma che anche per Meta, correttamente, l’anonimizzazione e l’aggregazione dei dati rappresentano attività distinte e alternative, e che pertanto i dati in argomento non possano essere considerati anonimi, né prima, né successivamente alla loro “aggregazione”.

Tenendo presente il contesto elettorale in cui le informazioni vengono raccolte, la circostanza indicata (elezioni politiche nazionali), la riconducibilità dei dati all’interessat0, la tipologia di dati trattati, è assai fondato il timore che tali dati possano risultare idonei a rivelare gli orientamenti politici degli stessi interessati.

Infatti, oltre a quanto rappresentato al punto 2.1., sul valore “politico” della partecipazione o meno al voto, per lo meno nel contesto italiano, il trattamento di dati quali l’età, il genere e la dislocazione geografica, appare idoneo a costituire, seppur con dati già in possesso di Meta ma “incrociati” per una nuova finalità, - come detto, non collegabile alle generali finalità di un soggetto imprenditoriale privato - una profilazione dell’utenza utilizzabile a livello politico, tanto che si prevede la loro possibile comunicazione in forma aggregata anche a “comitati elettorali”. Pertanto, contrariamente all’apodittica affermazione di Meta, non può in alcun modo escludersi che, in unione con altre informazioni o in specifiche circostanze, i dati raccolti possano configurarsi come idonei a rivelare le convinzioni politiche degli interessati, rientrando così nel novero dei dati di cui all’art. 9 del Regolamento.

E non tranquillizza certo apprendere sempre dalla Privacy Policy di Facebook che la società collabora “con ricercatori indipendenti per comprendere meglio l'impatto che i social media potrebbero avere su elezioni e processi democratici”.

Pertanto, in considerazione delle concrete circostanze emerse che portano a ritenere che il tipo di trattamento posto in essere mediante la funzione EDI possa essere riconducibile anche a categorie particolari di dati, si ritiene sussistente un fumus di illiceità anche con riferimento alla possibile violazione dall’art. 9 del Regolamento.

2.4. Principio di minimizzazione

Secondo il generale principio di minimizzazione dei dati personali, questi ultimi devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1 lett. c) del Regolamento). Una lettura di necessità e minimizzazione del trattamento del dato pervade la struttura dello stesso Regolamento fino a concretizzarsi nella disposizione dell’art. 25, par. 2.

Ciò richiamato, posto che la dichiarata finalità della funzione EDI è quella di fornire “agli utenti un promemoria informativo sul fatto che nel loro Paese si stiano svolgendo le elezioni”, appaiono eccessivi e non necessari i dati utilizzati da Meta per implementare tale funzione informativa.

Infatti, pur ammettendo che al fine di fornire un promemoria elettorale sia necessario conoscere l’età e la nazionalità di un individuo (considerazione peraltro in contrasto con il disclaimer pubblicato da Meta nel quale si rappresenta che “le informazioni sulle elezioni sono accessibili a tutti gli utenti Facebook che hanno l'età per essere elettori nei Paesi in cui i promemoria delle elezioni sono disponibili. Poiché non decidiamo chi può votare, potresti vedere i promemoria sulle elezioni anche se non puoi votare. Stati e Paesi hanno regole diverse sull'idoneità al voto che possono dipendere da età, nazionalità, precedenti penali e altri fattori”), appare quantomai dubbio, sotto il profilo della necessità, utilizzare ulteriori dati (genere, localizzazione e informazioni sul dispositivo) e tracciare le interazioni dell’utente con il messaggio informativo.

Pertanto, alla luce di quanto sopra e, è possibile rilevare un fumus di illiceità del trattamento posto in essere da Meta, in relazione allaviolazione degli artt. art. 5, par. 1 lett. c) e 25, par. 2 del RGPD.

2.5. Principio di limitazione della conservazione 

Nella prima comunicazione Meta dichiarava che “le informazioni vengono conservate in conformità alle nostre Normative sull'eliminazione e sulla conservazione dei dati e comunque fino a quando risultino necessarie per fornire i nostri servizi e Prodotti Facebook oppure fino a quando l'account non viene disattivato, a seconda dell'evento che si verificherà per primo”.

Nel secondo riscontro, invece, è emerso che “i relativi dati di coinvolgimento (ovvero, se l'utente è stato mostrato, visualizzato e/o ha fatto clic sui link offerti dalla funzione EDI) vengono aggregati entro 90 giorni”.

Le due indicazioni appaiono contrastanti e mancanti della necessaria chiarezza informativa. In tale contesto, infatti, dall’indicazione principale, che suggerisce una conservazione delle informazioni raccolte “fino a quando risultino necessarie per fornire i nostri servizi e Prodotti Facebook” dovrebbe ricavarsi che, ricevuto il messaggio informativo e, comunque, sino al 25 settembre 2022 (giorno delle elezioni politiche italiane), Meta avrebbe potuto trattare i dati ma che, spirato tale termine, la stessa li avrebbe cancellati dal sistema, come dichiarato.

E, invece, in base a quanto specificato dalla stessa Società nel secondo riscontro, i dati generati nel contesto del promemoria elettorale sono conservati e aggregati entro 90 giorni (con possibilità di condivisione), palesando, così, una finalità ulteriore e non dichiarata del relativo trattamento.

Anche dopo tale aggregazione, la conservazione di dati personali non appare in alcun modo definita né giustificata.

Pertanto, tale circostanza, consente di individuare un fumus di illiceità del trattamento posto in essere da Meta, con riferimento allaviolazione degli artt. 5, par. 1, lett. a) e 13, par. 2, lett. a) del Regolamento.

3. LA DEROGA AL MECCANISMO DI COOPERAZIONE E COERENZA E LE RAGIONI DEL PROVVEDIMENTO DI URGENZA

Come già richiamato, il titolare del trattamento ha dichiarato il proprio stabilimento principale nell’Unione Europea, ai sensi dell’art. 4, par. 16, lett. a) del Regolamento, nella Repubblica d’Irlanda e in ragione di tale scelta l’Autorità Capofila, ai sensi dell’art. 56, par. 1 del Regolamento, è da individuarsi nella Data Protection Commission irlandese.

A seguito delle richieste che il Garante ha rivolto alla DPC tramite la summenzionata procedura di mutua assistenza volontaria, quest’ultima ha contattato l’Ufficio e si è resa disponibile verbalmente a fornire delle delucidazioni circa gli eventi rappresentati, nonché a sollecitare il titolare affinché fornisse una risposta alle domande del Garante; tuttavia, pur dovendo dare pienamente atto di tali attività, non risulta pervenuta né in prossimità della scadenza elettorale, né nelle settimane successive, alcun riscontro o valutazione di merito da parte dell’Autorità capofila tramite la piattaforma IMI rispetto all’esplicita richiesta di valutare urgenti misure di carattere correttivo,.

Pertanto, una volta chiarito   il quadro complessivo anche a fronte dei riscontri da parte delle agenzie di fact-checking pervenuti successivamente e delle verifiche effettuate sulle pagine informative di Meta, il Garante ritiene non ulteriormente procrastinabile, alla luce delle considerazioni qui riportate, un intervento di carattere correttivo urgente nei confronti di Meta. Questo a tutela dei diritti e delle libertà dei cittadini italiani che hanno utilizzato il prodotto EDI e le analoghe funzionalità di Instagram in quanto assimilabili e compatibili con quelle di EDI in occasione delle recenti elezioni politiche italiane.

Tale urgenza si impone non soltanto in ragione di un profilo di carattere soggettivo, quale lo specifico e mirato coinvolgimento dei cittadini di un unico e ben specifico Stato membro in occasione di un evento di tale rilevanza politica e istituzionale, ma anche per una motivazione di carattere temporale. Ci si riferisce al termine di 90 giorni (in scadenza il 23 dicembre 2022) entro cui Meta ha dichiarato di procedere all’aggregazione dei dati personali degli utenti e alla loro possibile condivisione con soggetti terzi non meglio identificati.

Meta, infatti, in apparente violazione delle disposizioni sopra richiamate, non solo ha raccolto i dati personali degli utenti italiani in occasione della citata tornata elettorale, ma li sta tuttora conservando e si appresta a sottoporli ad un ulteriore trattamento di aggregazione al fine di renderli comunicabili a soggetti terzi entro il termine del 23 dicembre. È evidente che i tempi necessari al completamento dell’istruttoria della DPC, a quanto è dato conoscere, non consentirebbero di tutelare in maniera efficacie i diritti dei cittadini italiani.

Così come l’imminente scadenza del termine dei 90 gg indicato dal titolare del trattamento per la comunicazione dei dati a terzi risulta incompatibile con le tempistiche delle regolari procedure di cooperazione e coerenza, ricorrendo in tal modo quelle circostanze eccezionali che giustificano l’adozione del presente provvedimento (criterio delle circostanze eccezionali). 

Tale circostanza, se considerata alla luce delle violazioni sopra richiamate, pone dei seri rischi per i diritti e le libertà degli interessati in ragione della natura (dati potenzialmente idonei a rivelare orientamento politico) e gravità (violazione dei principi generali del regolamento), anche sotto il profilo della prospettata conservazione dei dati senza un termine specifico, nonché del numero di utenti potenzialmente coinvolti.

Il Garante ritiene, dunque, soddisfatto anche il criterio dell’urgenza, essendo indispensabile intervenire immediatamente per proteggere i diritti e le libertà degli interessati.

Pertanto proprio per tali impellenti motivazioni e a fronte di una mancata risposta dell’Autorità capofila circa l’esplicita richiesta italiana di valutare urgenti misure di carattere correttivo nei confronti di Meta, il Garante ritiene che debba applicarsi nel caso di specie una deroga motivata al meccanismo di cooperazione di cui all’art. 60 del Regolamento, applicando la procedura d’urgenza prevista dall’art. 66, par. 1 del Regolamento, per proteggere i diritti e le libertà degli interessati cittadini italiani i cui dati sono oggetto del trattamento in questione.

In attesa della eventuale conclusione delle attività istruttorie  che la DPC ha comunicato, la necessità di disporre ai sensi dell’art. 58, par. 2, lett. a), nei confronti di Meta Platforms Ireland Limited, in qualità di titolare del trattamento, un avvertimento con validità pari a tre mesi che tutti i trattamenti connessi alla funzionalità EDI in connessione alle elezioni italiane del 25 settembre 2022 e, in particolare, la prevista elaborazione e comunicazione dei dati di cittadini italiani a terzi possono  verosimilmente configurare una violazione della disciplina vigente con le connesse responsabilità e irrimediabili pregiudizi ai diritti e alle libertà delle persone fisiche di un trattamento che appare in violazione di numerose disposizioni del Regolamento e, dunque, non lecito.

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 57, par. 1, lett. a) e 66, par. 1 del Regolamento, rileva che il trattamento così come descritto in premessa e previsto da Meta Platforms Ireland Limited può verosimilmente configurare una violazione della disciplina vigente per violazione delle disposizioni nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. a) e 66, par. 1 del Regolamento rivolge un avvertimento, con validità pari a tre mesi, a Meta Platforms Ireland Limited che eventuali trattamenti dei dati personali oggetto delle condotte descritte in premessa si porrebbero in violazione delle disposizioni sopra richiamate, con riserva di attivare le consentite procedure per l’adozione di misure definitive, ai sensi dell’art. 66, par. 2 del Regolamento

Ai sensi dell’art. 66, par 1, del Regolamento, del presente provvedimento è data tempestiva informazione alle autorità di controllo interessate, al Comitato ed alla Commissione.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 21 dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

(1) https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-facebook-election-day-reminder

(2) “It should be noted that the DPC’s assessment of the EDI feature is in relation to transparency issues specifically in the context of a user’s engagement with the feature only. Wider and systemic issues relating to FB’s transparency obligations and lawful bases for the processing of personal data are being examined in the context of a number of ongoing inquiries. For the avoidance of doubt, both the high-level review and the high-level recommendations issued by the DPC are without prejudice to Facebooks obligation to ensure that this feature complies with the GDPR. The DPC also reserves its statutory right to conduct an inquiry to establish, with regard to any of the concerns it has outlined to date or otherwise, if any of the provisions of the GDPR and the Data Protection Act 2018 have been, are being, or are likely to be, contravened in the future, or to carry out an inquiry in order to ensure compliance with the GDPR and the Data Protection Act 2018 and identify any contraventions thereof.” (comunicazione della DPC alle Autorità interessate datata 19 marzo 2021, in occasione della consultazione avviata dalla stessa Autorità irlandese al momento delle prima presentazione della funzionalità EDI da parte di Facebook, nonché a seguito dei rilievi avanzati in precedenza proprio dal Garante).

 

___________

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

At today’s meeting, with the participation of Prof. Pasquale Stanzione, President, Prof. Ginevra Cerrina Feroni, Vice-President, Dr Agostino Ghiglia and Avv. Guido Scorza, members, and Cons. Fabio Mattei, Secretary-General;

Having regard to Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (‘General Data Protection Regulation’, hereinafter the ‘Regulation’), with particular regard to Articles 4, 5, 6, 9, 12, 13, 25, 58 and 66 thereof;

Having regard to the Personal Data Protection Code, laying down provisions for the adaptation of national law to Regulation (EU) 2016/679 (Legislative Decree No 196 of 30 June 2003, as amended by Legislative Decree No 101 of 10 August 2018, hereinafter ‘the Code’);

Having regard to the ‘Declaration 2/2019 on the use of personal data in the course of political campaigns’ adopted on 13 March 2019 by the European Data Protection Board (hereinafter ‘EDPB’), which requires the supervisory authorities to ‘monitor and, if necessary, enforce the application of data protection principles in the context of elections and political campaigns, such as transparency, purpose limitation, proportionality and security, as well as the exercise of data subject rights. Data protection authorities will make full use of their powers, as provided by the GDPR, and ensure cooperation and consistency in their actions within the framework of the EDPB’;

Having regard to the documentation on file;

Having regard to the considerations submitted by the Secretary General in accordance with Section 15 of the Garante’s Regulation No 1/2000;

Acting on the report submitted by;

WHEREAS

1. THE INVESTIGATION CARRIED OUT

1.1. Meta’s campaign

Starting from 20 September 2022 (five days before the general elections for the renewal of the Italian Parliament), national news agencies reported that Meta Platforms Ireland Limited (hereinafter ‘Meta’ or ‘the Company’) would launch a campaign specifically aimed at Italian adults on its Facebook and Instagram social networks in order to provide information and combat interference and remove contents that discouraged voting in relation to the upcoming elections for the renewal of the two Chambers of Parliament.

In particular, Meta prepared electoral reminders for Facebook to redirect users to the website of the Ministry of the Interior where they could ‘find reliable information about the elections’; the reminders in question were allegedly addressed to Italian citizens of full age. These activities were conveyed by Meta in particular on its Facebook platform via the ‘Election Day Information’ (EDI) function, although the same redirection was also possible by clicking on three ‘stickers’ available on the Instagram platform.

1.2. The request for information and the Company’s response

By way of a letter under ref. 50245/22 of 21 September 2022, this Authority considered it necessary to address specific requests for information to Meta, in particular with regard to the following:

- the nature and modalities of data processing related to the publication of reminders and stickers and their possible sharing, as well as the storage periods of the data collected in this manner;

- the agreement allegedly in place with the Ministry of the Interior to send the above-mentioned reminders and to publish the ‘stickers’;

- the corporate and community policies as well as any elements in the ‘Terms and Conditions’ that might be relevant to the above initiative;

- any agreements with independent fact-checking organisations and the data flows exchanged with them, in particular regarding their appointment as processors;

- the manner in which the processing operations referred to above, in particular those capable of revealing the data subjects’ political opinions, had been brought to the data subjects’ attention and the legal basis underpinning such processing;

- the measures put in place to ensure that the initiative, as stated, would only be brought to the attention of individuals aged above 18 years.

On 22 September, the Company replied via a letter, which however did not contain much of the information requested and accordingly did not allow this Authority to overcome a number of concerns as to the fairness and lawfulness of the processing of data concerning Italian citizens.

Precisely because of these concerns, Meta was called upon to temporarily suspend the forthcoming processing activity by letter ref. 50924/22 of 23 September 2022.

Late in the evening of the 23rd of September, the Company sent a further letter in which it stated its intention not to pause the initiatives in question and provided – again in a non-exhaustive manner – some additional information, which however did not allow this Authority once again to overcome its concerns; in fact, those concerns were in some respects compounded further. It was apparent from that letter, inter alia, that the data collected in the context of the initiative in question ‘would be aggregated within 90 days’ and that the data could be shared ‘with third parties such as research partners, academia, governmental partners or electoral committees’.

1.3. The new ‘EDI’ functionality, similar precedents and the role of the Irish Data Protection Commission

This is not the first time that Meta (formerly Facebook) has launched user interaction features at the time of and in connection with the holding of important electoral events concerning Italian citizens:

- on the occasion of the national general elections of 4 March 2018, the social network had proposed the ‘Candidati’ [Candidates] product, and the Italian SA had assessed the lawfulness of that product and found it necessary to step in first by issuing a prohibition on processing and then by ordering Facebook to pay an EUR 1 million administrative fine (decisions of 10 January 2019, in www.gpdp.it, web doc. No 9080914, and of 14 June 2019, web doc. No 9121486);

- on the occasion of the elections for the renewal of the European Parliament, a message entitled ‘E’ tempo di votare!’ [Time to vote!] (‘Election Day Reminder’, EDR) was published on 26 May 2019 in Facebook’s news section inviting users to share the fact that they had voted; once again, the Italian SA had formally drawn the attention of the Irish DPC to this product, sharing various doubts as to its compliance with data protection law. Following an exchange with Facebook, the DPC had subsequently informed this Authority that the controller had decided not to launch the new functionality exactly at the time of the Irish parliamentary elections, thereby temporarily suspending its application(1), since it had been unable to overcome all the doubts raised on that occasion.

Subsequently, Meta developed an additional product, namely the Election Day Information (EDI) which is the subject of this assessment. In general terms, Meta states in the various replies mentioned in paragraph 1.2 that ‘EDI was launched in the EU in 2021 only after taking into account the recommendations made by the IDPC as the lead supervisory authority of Meta Ireland following a broad consultation on the product characteristics and the relevant transparency safeguards’; in addition, it is stated that ‘the consultation of Meta Ireland with the Irish Data Protection Commission (‘IDPC’) concerned precisely the EDI function, which is now the subject of the request (i.e. the EDI function of the Facebook Service and the related transparency information)’.

With regard to this argument, it should be noted that the criticalities identified by this Authority and further detailed below (paragraph 2) are linked to substantive issues (legal basis of the processing, purpose limitation, nature of the data processed, data sharing, storage period and data retention); as such, they are not related exclusively to the unquestionably fundamental element of transparency of processing which has been specifically at the heart of the aforementioned exchanges between Meta and the Irish Authority.

Moreover, the consultation conducted by the Irish Authority was actually high-level in nature as explicitly indicated by the latter – so much so that the Irish SA found it appropriate to specify, in a communication sent to all the authorities concerned in March 2021, that ‘It should be noted that the DPC’s assessment of the EDI feature is in relation to transparency issues specifically in the context of a user’s engagement with the feature only. Wider and systemic issues relating to FB’s transparency obligations and lawful bases for the processing of personal data are being examined in the context of a number of ongoing inquiries.’ It was specified additionally that ‘For the avoidance of doubt, both the high-level review and the high-level recommendations issued by the DPC are without prejudice to Facebook’s obligation to ensure that this feature complies with the GDPR.’ The DPC additionally pointed out that ‘wider and systemic issues relating to Facebook’s transparency obligations and lawful bases for the processing of personal data are being examined in the context of a number of ongoing inquiries’, whilst the DPC ‘also reserves its statutory right to conduct an inquiry to establish, with regard to any of the concerns [the Garante] has outlined to date or otherwise, if any of the provisions of the GDPR and the Data Protection Act 2018 have been, are being, or are likely to be, contravened in the future, or to carry out an inquiry in order to ensure compliance with the GDPR and the Data Protection Act 2018 and identify any contraventions thereof’‘(2).

With regard to these initiatives, no updates have been made by the DPC, nor have the findings of that investigation been shared within the framework of the Article 61 GDPR procedure the Italian SA initiated some time ago.

The quotation from the DPC’s annual report as made by Meta also appears to be irrelevant, given that it merely takes note of the adoption of measures to adopt the recommendations made by the DPC. Moreover, those recommendations were limited to better positioning the link relating to the privacy policy and to clarifying the absence of advertising purposes.

Therefore, it appears both from the clarifications received directly from the DPC in the cooperation procedure launched on this subject matter and from reading the annual report referred to by Meta, that the assessment carried out by the Irish Authority was limited to only a few very general aspects concerning transparency of the information provided and it did not address the additional, more specific substantive issues that were the subject of the concerns and requests submitted by the Italian SA.

Jointly with the preliminary investigation and in view of the fact that Meta Platform Ireland set its main EU establishment in Ireland and that, therefore, the Irish Data Protection Commission (hereinafter ‘DPC’) is to be regarded as the lead supervisory authority within the meaning of Article 56 (1) of the Regulation, the Garante promptly launched the required cooperation and consistency procedures in accordance with Article 60 et seq. of the Regulation. Moreover, the launching of these procedures was made all the more necessary precisely on account of the aforementioned statements by Meta concerning an allegedly favourable assessment by the DPC in respect of the EDI product.

By means of a voluntary mutual assistance procedure pursuant to Article 61 of the Regulation, the Garante asked the DPC (a) to share information on the new EDI functionality as a matter of urgency and to clarify whether, as stated by the controller, that functionality had received any form of approval by the DPC; (b) to consider, as a matter of the utmost urgency, the adoption of corrective measures, including a temporary limitation on the processing prior to the holding of the elections in Italy.

As mentioned above, the DPC provided the requested information and contacted Meta in order for the latter to provide a more exhaustive reply to the Garante (i.e., the one of 23 September), however it did not take any corrective measures against the company.

2. APPLICABLE PRINCIPLES AND LEGAL BASIS FOR PROCESSING

2.1. Preliminary remarks

This Authority would like in the first place to point out, once again, that the processing of the personal data of Italian citizens carried out by social platforms that are as widely used as Facebook and Instagram is of particular importance at such a delicate moment for a country’s public institutions and political life, i.e., on the occasion of the renewal of the national parliament.

This is all the more so if one considers that Article 48 of the Italian Constitution defines voting as a ‘civic right/duty’, describing it as an individual right but also as a function to be exercised as a member of a political community.

This twofold dimension represents, as is amply stated in the jurisprudence regarding constitutional law, a balanced compromise solution between the two stances that existed within the Constituent Assembly as to whether or not voting should be made compulsory. The two opposing views at the time were focused on considering voting under the lens of a freedom right, on the one hand, and on highlighting its functional nature in relation to the possibility of being elected to a public office on the other hand. 

From this perspective, failure to vote has not been punished since 1993, which shows that, in the specific context of the Italian legal system, information relating to the exercise (or non-exercise) of a right or the performance (or non-performance) of a function is likely to reveal political opinions and beliefs and accordingly to be a particular form of expression of the will of the people.

While it is true that it is only in the case of the referendum under Article 75 of the Constitution – which is called to repeal legislation –  that one’s failure to vote may have consequences of an expressly legal nature, it is equally true that the failure to participate in voting, especially in the Italian institutional and social context, may be the ‘political’ expression in a broad sense of the beliefs held by the persons entitled to vote, so much so that it is also continuously measured and monitored in statistical terms – indeed, it is often regarded as an indication of the disaffection, if not of the general discontent, with political institutions or parties. Accordingly, information capable of revealing such political opinions must be afforded the enhanced protection that is set out in Article 9 of the GDPR.

This Authority therefore stresses, at the outset, that any action concerning the exercise of a fundamental right such as the right to vote, which can produce a decisive and significant impact on the political life of a country, should be considered carefully and presented in a manner that is very different from that used in the case at hand - especially where it is carried out by a multinational business entity.

Conversely, the processing carried out by Meta is a source of concern regarding the use of data (including special category data) related to Italian citizens already by considering its main features such as those relating to its purposes, the applicable legal basis, compliance with the principles of data minimisation and storage limitation as well as the possible disclosure to unidentified entities.

These concerns and the urgency caused by some of Meta’s assertions require the Garante, pending completion of the analysis carried out by the Irish Authority, to carefully analyse the available elements in order to verify at least whether there is a prima facie case of unlawfulness in the processing under way and whether or not there is a real danger to the rights and freedoms of Italian citizens - also with a view to putting in place the safeguards provided for by the legal system.

2.2. The purposes and legal basis of the processing

2.2.1 EDI functionalities

On the basis of the information provided by Meta, there is no clear indication of the legal basis for the processing of data through the EDI function, despite our express request to that effect as made in the letter ref. 50245/22 of 21 September 2022. The information contained in the two replies is limited to the method of processing, the storage period and the sharing of the data, and - as regards the identification of the legal basis – to the list of purposes already generally referred to in the broader Privacy Policy.

In the first place, the lack of timeliness shown by Meta in this respect must be stigmatized. This approach has forced the Garante to carry out a very time-consuming exercise in order to search for the relevant information in a complex privacy policy, such as that of Meta, which is probably translated from a text written in another language, is the final outcome of the stratification of several layers of information, and includes manifold references to other documents which require the reader to carry out a coordination activity that is far from easy. Moreover, the privacy policy relates to all the activities, interactions and processing operations linked to the use of the platform: as such, it does not make it easy to pinpoint the individual activities and actually requires one to perform a fatiguing exercise by reading all the various items in a combined and comparative manner - which entails going from the high-level notice provided by Facebook to the specific information applying to the individual function or the individual Meta product and up to the clarifications provided on the user support page of the Help Center.

Thus, the considerations below concerning the legal basis for the processing are the result of the analysis performed on the available documents as well as of the complex reconstruction exercise which this Authority was forced to carry out by integrating the (little) information shared by Meta in its own replies with the information provided on the said Company’s websites. 

In general terms, it should be noted that the above processing operations do not appear to be grounded in a specific consent statement within the meaning of Article 7 of the Regulation and they are generally traced back to the multiple and varied purposes of the processing activities  carried out through the Facebook platform – which are mostly underpinned by way of the legal bases referred to in Article 6 (1) (b) and (f) GDPR (performance of a contract or legitimate interest vested in the controller). Therefore, those processing operations ultimately fall outside the data subject’s specific control and the data subject is unable to assess the extent of their interactions with the platform in the context of the EDI function.

Again with regard to the purposes of the processing, it should also be noted that - as stated by Meta – the general rationale of the initiative ‘is simple, as it provides users with an informative reminder that elections are being held in their country and directs them to a government website (in this case the Ministry of the Interior’s website), where they will be able to find reliable information on the elections’.

Thus, the above purpose appears to relate generally to the pursuit of a public interest or, at the very least, of an interest for the public good.

In that regard, it should be noted that Meta is a private company which is not established in the Italian Republic, that it clearly pursues commercial objectives and that its main business consists in providing a social media platform the operation of which is financed by the sale of advertising space, preferably linked to profiling of users.

Against this background, the objective of protecting a primary public interest such as the holding of democratic elections and the free exercise of the right to vote appears to fall outside the scope defined by Meta’s business objectives; indeed, it also appears incompatible with the very nature of a business corporation. Nor can one understand how purposes related to the public interest from a very high-level perspective may fall within the terms of a contractual relationship that has been or is about to be established between Meta and its users.

In addition, there is a major inconsistency between Meta’s alleged philanthropic and social purpose and the collection of data from Italian citizens in a specific electoral context. Indeed, given that the processing of the data collected as above continues well beyond the aforementioned electoral context (since the data will be ‘aggregated within 90 days’, whilst it is unclear whether the 90 days begin to run from the date on which the elections were held or from the date when the data are collected), it follows that Meta’s purpose is not limited to providing the reminder when the voting date approaches in order to help provide citizens with correct information – indeed, the data generated by those interactions are first collected, then stored and then again, within 90 days, processed further by way of their aggregation and possible communication to third parties.

In other words, on the basis of the purportedly public interest-related informational purpose, information is derived that becomes part of Meta’s business activities according to unspecified mechanisms and terms; indeed, Meta states its intention to ‘share aggregated information only with third parties such as research partners, academia, governmental partners or electoral committees to support EDI’s specific civic and democratic value’. However, that sharing does not appear to be underpinned either by a legitimate purpose or by an appropriate legal basis.

In short, based on the feedback provided by Meta, it appears that the data subjects who were users of the Facebook platform as well as Italian citizens could use a service made available by the platform in the context of the political elections held on 25 September 2022 to provide information on the elections. The use of this service entailed the collection by Meta of user data concerning at least geographical location, age, device used, and interactions with the platform; those data were stored indefinitely (‘until it’s no longer necessary to provide our services and Facebook Products or until your account has been deleted’) and shared with entities, including private bodies (‘research partners, academics, government partners or election committees’), and possibly posted abroad - given that nothing is said in this regard -  and without the users’ having received specific information on those processing operations and having been able to give a clear indication of their willingness to have their data processed in order to support electoral committees or unspecified public institutions.

Finally, to complete the picture outlined above, it should also be pointed out that there appears to be no agreement or formal mandate by which the Ministry of the Interior entrusted Meta with the task of informing citizens of the voting operations of 25 September 2022; accordingly, the initiative in question must be considered to have been launched independently by Meta, which has proved suspiciously stubborn in this respect. Indeed, this is the third attempt over five years and the required commitment of human and material resources cannot be justified by having regard to the controller’s business rationale other than in the terms set out above relating to the exploitation of users’ personal data according to methods and for purposes that have yet to be clarified. 

In the light of the above, it must be considered that the above elements allow identifying a prima facie case of unlawfulness of the processing of personal data of Italian citizens, with reference to the infringement of the principles of lawfulness, fairness, transparency and purpose limitation as per Article 5 (1) (a) and (b) of the Regulation and in the absence of a clear legal basis within the meaning of Article 6 GDPR - which would also entail finding the  information provided under Articles 12 and 13 of the Regulation as inadequate.

2.2.2. Processing activities by fact checkers

In the abovementioned responses, Meta informed this Authority that the Company removes contents on Facebook and Instagram that discourage or interfere with voting not only during the elections, but in the ordinary course of the platform’s functions – i.e., irrespective of the specific EDI functionality. To that end, the Company cooperates with independent fact-checking organisations verifying the truthfulness of posts that are flagged for disinformation  although they are not violating community standards. Following verification by the fact-checking agencies, a post deemed ‘false’ is partially redacted by Meta, which reduces its visibility on the platform and affixes a label containing a link to further contents made available by the fact-checker on the given subject.

With regard to this activity, which the press reports and interviews issued by Meta managers have indicated to be directly linked to the EDI function, the processing of personal data would appear to be related, as regards the relevant purposes, to the information included in Section 12 of Meta Ireland’s Privacy Policy concerning the provision and improvement of Meta products. The latter includes the collection, storage, sharing, profiling, revision, automated processing and manual revision of user accounts and profiles in order, inter alia, to investigate activities deemed to be suspicious, to detect, prevent and combat behaviour deemed harmful, to examine and, in some cases, remove reported contents.

Moreover, it should be pointed out that the shortcomings affecting the information and transparency aspects encountered in the case of the EDI functionality would appear to also apply to the processing carried out by fact-checkers, since finding information about this type of processing is not straightforward, in fact it is rather difficult and complicated - not least because of the availability of piecemeal information the users are expected to retrieve on their own by collating several documents and sources of information (layered privacy policy, Terms of service and Help center).

Partly on account of the above circumstances, it was considered appropriate to carry out more in-depth inquiries and requests for information were addressed to the Italian fact-checking agencies with which Meta had stated it was cooperating in its replies concerning EDI.

In their responses, these agencies pointed out, in the first place, that they acted as processors on the Company’s behalf as for the aforementioned activities within the framework of the social networks managed by Meta. One of the responses described in detail the content verification process, which is carried out by journalists employed by the agency who access a tool made available by Meta containing a list of ‘contents/news that can be reviewed’ (public posts) and which the agencies may, at their own discretion, decide whether or not to audit. The Agency may also include, in the tool, contents that have not been taken into account by Meta but which the agency itself considers worthy of assessment. In addition to the contents to be checked, the tool also contains the professional account or, in the case of a natural person, the first and last name of the person(s) who posted the news, the number of recent views and shares and the number of post alerts from users. The results of the checks carried out by the agencies’ journalists (who may classify the news as ‘false’, ‘altered’, ‘partially false’, ‘missing content’, ‘genuine’ or ‘satirical’) are communicated exclusively to Meta, which subsequently takes the steps it deems appropriate on the platforms.

In the feedback provided by another agency, the latter pointed out that, based on Meta’s explicit indication, posts and ads by politicians or candidates are excluded from fact-checking. This would point to an ex-ante selection of the persons to be ‘checked’ – according to parameters that were not specified either by Meta or by the agencies – which is probably also based on the preliminary identification of profiles and, therefore, of accounts. Moreover, this differential treatment raises several doubts because it is intended to identify the addressees of rectification and supplementary measures which may impact areas related to freedom of expression as protected by Article 21 of the Italian Constitution.

From a data protection perspective, the above circumstance confirms this SA’s concerns regarding the applicability of contractual performance as a legal basis for this type of processing; indeed, all users as such and without any distinction enter into the same service agreement with Meta, and there is no differentiation according to the degree of political commitment or exposure towards public opinion.

The information obtained from the fact-checking agencies complements the information already provided by Meta, and goes to confirm that the processing operations carried out in the context of the EDI function - which allegedly include the processing operations carried out through the partnership with those agencies as per the interviews given to the press and the overall approach to the service - are not underpinned by the data subjects’ specific consent and fall factually outside the specific control by those data subjects, who are unable to assess the extent of their interactions with the platform in the context of the EDI function.

Furthermore, as regards the processing operations related to fact checking, it should be stressed that the data subjects at issue include both the users who interact with the fact-checking agencies through the social networks and any individual (excluding politicians and candidates) who publishes posts containing news and information, which posts may be included in the verification tool along with the poster’s first and last name. All the above data may be the subject of Meta’s collection, storage, sharing, profiling, automated processing and manual revision operations on account of the underlying purpose of investigating activities deemed to be suspicious, and detecting, preventing and punishing conduct deemed harmful. All of this takes place without the data subject’s explicit and informed consent, whilst the applicability of contractual performance as a legal basis for such processing is highly questionable and, above all, the underlying reasons and the purpose of the possible investigations (‘investigation into activities deemed to be suspicious, detection, prevention and punishment of conduct deemed harmful’) are referred to in so high-level and vague terms that the information provided in this respect is ultimately obscure and therefore can be considered factually as missing. Once again, the backdrop to all of this is related to freedom of expression, and this is an area to be safeguarded most carefully and effectively.

The above criticalities as found in connection with fact-checking activities compound further the concerns raised by the processing of data in connection with election events and deserve more in-depth analysis in the light of their wider implications.

2.3. Processing of special category data

Meta has stated that no special category data is processed. Moreover, the feedback received shows that data on interactions within EDI are allegedly aggregated before being shared with third parties.

In particular, Meta states that ‘concerning users who are shown, displayed or interact (e.g. by clicking on a link) with the EDI function, their engagement data (i.e. data on whether the user has been shown, displayed and/or has clicked on the links offered by the EDI function) are aggregated within 90 days’ and that Meta may ‘share some aggregated insights with third parties such as research partners, academia, governmental partners or electoral committees’.

In addition, the EDI function is based on the processing of information relating to the users’ age, position, gender and device.

Firstly, one should point out that Meta has not provided any indications as to the means by which it can be concluded that EDI has reached individuals of full age. It is widely known that the current age verification policies are based almost exclusively on data subjects’ statements and it is equally well known that those statements do not correspond to reality in many cases; accordingly, the failure to indicate specific verification measures leads one to conclude that minors are likely to be involved in this activity (and therefore also in the associated data collection).

Furthermore, it should be pointed out that the data undergoing processing are not anonymous, since they allow the data subject to be identified both at the origin and at the end of the aggregation process when the data may also be shared with unspecified governmental bodies and electoral committees (in Italy and/or abroad?).

That these data are not anonymous also emerges from Facebook’s Privacy Policy reading that ‘in order to use less information linked to individual users, in some cases we remove personal identification elements from the information or aggregate the information. We may also anonymise this information so that it no longer allows you to be identified’ [emphasis added].

This information confirms that the anonymisation and aggregation of data are correctly considered by Meta to be separate, alternative activities and that the data in question cannot therefore be regarded as anonymous either before or after their ‘aggregation’.

Bearing in mind the electoral context in which the information is collected, the specific circumstances (national parliamentary elections), the possibility to trace the data  back to the data subject, and the type of data processed, one can quite reasonably surmise that such data might be capable of revealing the data subjects’ political orientation.

On top of the analysis contained in paragraph 2.1. regarding the ‘political’ value of participation or non-participation in voting, at least in the Italian context, one should consider that the processing of data such as age, gender and geographical location is capable of giving rise to the profiling of users, albeit with the help of data already in the possession of Meta which are however ‘matched’ for a new purpose which cannot be traced back to the general objectives pursued by private entrepreneurs, and that such profiling is liable to be used at political level – so much so that it is envisaged that the data may also be communicated in aggregate form to ‘electoral committees’. Therefore, and contrary to Meta’s apodictic assertion, it cannot in any way be ruled out that the collected data may be capable of revealing the data subjects’ political beliefs either in association with other pieces of information or under specific circumstances, so that such data would fall within the special categories referred to in Article 9 of the Regulation.

Nor are the above concerns in any way assuaged by reading in Facebook’s Privacy Policy that the Company collaborates ‘with independent researchers to better understand the impact that social media could have on democratic elections and processes’.

Therefore, the specific circumstances that have emerged allow concluding that the  processing carried out through the EDI function may also involve special category data, and that there is a prima facie case of unlawfulness also with regard to the possible infringement of Article 9 of the Regulation.

2.4. The principle of data minimisation

According to the general principle of data minimisation, personal data must be limited to what is necessary in relation to the purposes for which they are processed (Article 5 (1) (c) of the Regulation). Necessity and minimisation of the processing of data underpin the whole framework of the Regulation and are enshrined ultimately in Article 25(2) thereof.

Having said that, and considering that the purpose allegedly sought via the EDI function consists in providing ‘users with an information reminder that elections are being held in their country’, one cannot but find that the data relied upon by Meta to implement this information function appear both excessive and unnecessary.

Indeed, even assuming that it is necessary to know the age and nationality of an individual in order to provide an election reminder – which would appear to be in conflict with Meta’s disclaimer whereby ‘information on elections is accessible to all Facebook users who are age-eligible to vote in countries where the election reminders are available. As we do not decide who may vote, you may see the election reminders even if you are not eligible to vote. States and countries have different rules on eligibility for voting, which may depend on age, nationality, criminal record and other factors’ - using additional data (gender, location and information on the device) and tracking the user’s interactions with the reminder message would appear to be highly questionable in terms of necessity.

In the light of the above considerations, it is accordingly possible to establish a prima facie case of unlawfulness of the processing carried out by Meta on account of the infringement of Article 5 (1) (c) and Article 25 (2) of the GDPR.

2.5. Storage limitation principle 

In its first response, Meta stated that ‘the information is kept in accordance with our rules on data deletion and retention and in any case until it is necessary in order to provide our Facebook services and products or until the account is disabled, whichever comes first”.

In Meta’s second response, however, it was stated that ‘the relevant engagement data (i.e. data on whether the user has been shown, displayed and/or has clicked on the links offered by the EDI function) are aggregated within 90 days’.

The two statements appear to be mutually inconsistent and lack the required clarity. Indeed, one could infer from the former indication, whereby the collected information is kept ‘until it is necessary in order to provide our Facebook services and products’, that Meta could have processed the data, after receipt of the information message, until 25 September 2022 (i.e., the day of the Italian general elections) and would have deleted the data thereafter.

However, on the basis of the information provided by the company in its second response, the data generated in the context of the election reminder are stored and aggregated within 90 days (and possibly shared with third parties), which shows the processing to pursue a further purpose of which no mention has been made.

The retention of personal data does not appear to be in any way defined or accounted for even after such aggregation.

The above circumstances allow identifying a prima facie case of unlawfulness of the processing carried out by Meta on account of the infringement of Articles 5 (1) (a) and 13 (2) (a) of the Regulation.

3. THE DEROGATION FROM THE COOPERATION AND CONSISTENCY MECHANISM AND THE REASONS FOR THE URGENCY MEASURE

As already recalled, the controller has declared its main establishment in the European Union to be in the Republic of Ireland pursuant to Article 4 (16) (a) of the Regulation; as a result, the lead supervisory authority within the meaning of Article 56 (1) of the Regulation is the Irish Data Protection Commission.

Following the requests made by the Garante to the DPC through the abovementioned voluntary mutual assistance procedure, the DPC contacted the Garante’s Office and was available to provide verbal clarifications as to the events described above and to urge the controller to reply to the questions asked by the Garante; however, though taking full note of these activities, this Authority has not received any substantive feedback or assessment from the lead authority via the IMI platform, either close to the election day or in the following weeks, with regard to the explicit request to consider taking urgent corrective measures. 

Therefore, having clarified the overall picture also through the feedback provided subsequently by the fact-checking agencies and in view of the assessment carried out on Meta’s privacy policy pages, the Garante finds that the taking of urgent corrective measures regarding Meta should be delayed no longer in the light of the foregoing considerations. This is intended to protect the rights and freedoms of Italian citizens who have used the EDI product and similar Instagram features - insofar as the latter are comparable and compatible with those of EDI - in connection with the recent Italian parliamentary elections.

Resorting, to an urgency procedure is necessary not only because of the specific and targeted involvement of the citizens of a single, specific Member State on the occasion of an event of such political and institutional significance, but also time-wise. Reference is made in this respect to the 90-day period (expiring on 23 December 2022) within which Meta stated that it would aggregate users’ personal data and share them with unspecified third parties.

Not only has Meta collected the personal data relating to Italian users during the aforementioned election round in breach of the provisions referred to above, it is also still retaining such data and is about to subject them to a further processing operation consisting in their aggregation in order to make them available to third parties by the 23 December deadline. It is clear that the time needed to complete the investigation by the DPC, as far as it is known, would not allow effectively protecting the rights of Italian citizens.

Similarly, the imminent expiry of the 90-day deadline as indicated by the controller for the disclosure of the data to third parties is incompatible with the timescale of the regular cooperation and consistency procedures; accordingly, the exceptional circumstances can be considered to exist that justify the adoption of this measure (‘exceptional circumstances’ test). 

When considered in the light of the infringements referred to above, the above circumstance is posing serious risks to the rights and freedoms of data subjects due to the nature of the data (data suitable for revealing one’s political orientation) and the gravity of the infringements (which impact general principles of the Regulation), also by having regard to the envisaged retention of data without a specific deadline as well as to the number of users that are potentially affected.

Accordingly, the Italian SA considers that the urgency criterion is met as well since there is an urgent need to act in order to protect the rights and freedoms of data subjects.

In the light of these pressing reasons and given the failure by the lead supervisory authority to reply to the Italian SA’s express request to consider urgent corrective measures against Meta, the Garante considers that a reasoned derogation from the cooperation mechanism under Article 60 of the Regulation should apply in this case, and that the urgency procedure provided for in Article 66 (1) of the Regulation should be implemented in order to protect the rights and freedoms of data subjects who are Italian citizens and whose data are the subject of the processing in question.

Pending completion of the investigations communicated by the DPC, this SA finds it necessary to issue a warning pursuant to Article 58 (2) (a) against Meta Platforms Ireland Limited in its capacity as controller, with a validity of three months, to the effect that all the processing operations related to the EDI functionality in connection with the 25 September 2022 Italian elections,  in particular the planned processing and communication to third parties of the data relating to Italian citizens, are likely to infringe the legislation in force and give rise to the related liability as well as to irreparable damage to the rights and freedoms of natural persons that are concerned by a processing activity which is manifestly in breach of numerous provisions of the Regulation and, therefore, unlawful.

BASED ON THE FOREGOING PREMISES, THE GARANTE

a) pursuant to Article 57 (1) (a) and Article 66 (1) of the Regulation, finds that the processing as described in the preamble hereof and envisaged by Meta Platforms Ireland Limited is likely to infringe the legislation in force on account of the infringement of the provisions set out in the preamble hereof;

b) pursuant to Article 58 (2) (a) and Article 66 (1) of the Regulation, issues a warning to Meta Platforms Ireland Limited, with a validity of three months, to the effect that any processing of personal data under the terms described in the preamble hereof would be in breach of the provisions referred to above, and reserves the right to initiate the relevant procedures with a view to the adoption of final measures in accordance with Article 66 (2) of the Regulation.

Pursuant to Article 66 (1) of the Regulation, the supervisory authorities concerned, the Board and the Commission shall be informed without delay of this decision.

In accordance with Article 78 of the Regulation, Section 152 of the Code and Section 10 of Legislative Decree No 150 of 1 September 2011, this decision may be challenged before a judicial authority by lodging an appeal with the court of the controller’s place of residence within thirty days of the date of notification of the decision, or else within sixty days if the appellant resides abroad.

Rome, 21 december 2022

THE PRESIDENT
Stanzione

THE RAPPORTEUR
Cerrina Feroni

THE SECRETARY GENERAL
Mattei

 

(1) https://www.dataprotection.ie/en/news-media/press-releases/dpc-statement-facebook-election-day-reminder

(2) Communication from the Irish DPC to the concerned SAs on 19 March 2021, on the occasion of the consultation launched by the Irish Authority when the EDI functionality was first introduced by Facebook as well as following the observations made previously exactly by the Italian SA.