g-docweb-display Portlet

Facebook osservato speciale - Intervista a Ginevra Cerrina Feroni

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Facebook osservato speciale
Intervista a Ginevra Cerrina Feroni, Vice Presidente del Garante per la protezione dei dati personali
(di Donatella Coccoli, Left, 3 marzo 2023)

In occasione delle politiche italiane di settembre 2022 ci fu un uso improprio dei dati sensibili degli utenti, da parte del social di Zuckerberg? Se lo chiede il Garante per la privacy che ha attivato un intervento d'urgenza. Ne parliamo con la vice presidente, Cerrina Feroni: «Attenzione a toccare il diritto/dovere di voto. così decisivo per la democrazia»

C'è una notizia che getta una luce particolare sull'attività di Facebook. Riguarda l'intervento d'urgenza del Garante della privacy nei confronti della società del gruppo Meta. In ballo c'è un principio sancito dalla Costituzione: la libertà di pensiero dei cittadini. Tutto è iniziato quando il Garante per la privacy ha inviato a Facebook Italia una richiesta urgente di chiarimento - si legge nel comunicato del 22 settembre 2022 - «in relazione alle attività intraprese dal social network riguardo alle prossime elezioni per il rinnovo del Parlamento italiano». Che cosa è successo?

A partire dal 20 settembre le agenzie di stampa avevano annunciato una campagna su Facebook e Instagram (sempre della società Meta) indirizzata agli utenti maggiorenni per fornire informazioni sulle elezioni del 25 settembre, «contrastare le interferenze e rimuovere i contenuti che disincentivano al voto». Questo tramite la funzione Election day information (Edi). Non era la prima volta che il Garante si interessava a Facebook. Già una sanzione era stata comminata per il caso di Cambridge Analytica (214mila utente italiani coinvolti) e il progetto "Candidati" per le elezioni del 2018, sulla cui legittimità il Garante si era espresso con un provvedimento nel 2019 in cui ordinava a Facebook di pagare un milione di euro. A fine anno si è registrato un ulteriore sviluppo della vicenda. Un provvedimento del Garante della privacy del 21 dicembre 2022 contiene i risultati dell'istruttoria svolta nei confronti di Meta dopo la richiesta di chiarimenti. E' un documento interessante perché passa al vaglio gli elementi che destano «inquietanti interrogativi» sull'operazione Edi - per la quale in più punti si solleva l'esistenza di un «fumus di illiceità» -, le risposte (parziali) della società che, ricordiamo, ha sede in Irlanda, e i vari risvolti che derivano dal coinvolgimento, nella campagna, di soggetti terzi come le agenzie di fact-checking. Non solo. L'istruttoria avviata dal Garante dimostra anche i limiti nella cooperazione con l'Autorità analoga in Irlanda, la Datà protection commission che, tra l'altro, non ha valutato, come era stato richiesto, «urgenti misure di carattere correttivo». Gli interrogativi sono tanti: gli utenti erano a conoscenza dei trattamenti dei loro dati? Sono state prese misure per escludere i minori? Le risposte fornite da Meta acuiscono le perplessità «sulla correttezza e liceità» della campagna. Si è saputo, per esempio, che i dati vengono aggregati entro 90 giorni e potrebbero essere condivisi con «terzi come partner di ricerca, il mondo accademico, partner governativi o comitati elettorali». Inoltre, il Garante ha appurato che, contrariamente a quanto «dichiarato in essere» da Meta, «non risulta agli atti alcun accordo, ne incarico formale» con il ministero dell'Interno.

Per approfondire questa vicenda abbiamo posto alcune domande alla costituzionalista Ginevra Cerrina Feroni, vicepresidente del Garante per la privacy.

Innanzitutto cosa ci può dire dei difficili rapporti di cooperazione con la Data protection irlandese che pure il Regolamento europeo prevede?

Il meccanismo di coopcrazione e coerenza - così è chiamato dal Regolamento - è tra primi strumenti Ue che permettono di sperimentare una vera collaborazione fra istituzioni nazionali e che prevedono anche una certa dose di cessione dei propri poteri sovrani. A seconda di dove un'impresa decida di porre la propria sede gestionale principale, questa avrà come unica interlocutrice l'Autorità di protezione dati di quel Paese. Sarà quest'ultima a doversi interfacciare con tutte le altre Autorità europee interessate. È vero, non è un percorso semplicissimo, ne sempre pienamente soddisfacente, quanto a celerità e ai necessari approfondimenti del procedimento, tanto più se si considerano le diverse tradizioni giuridiche e amministrative degli Stati dell'Unione. Detto ciò, il poco tempo a disposizione - la campagna di Facebook e, dunque, l'interlocuzione è avvenuta a due giorni dallo svolgimento delle elezioni in Italia- e il fatto che le valutazioni condotte dall'Autorità irlandese fossero limitate solo ad alcuni profili, peraltro molto generali, hanno fatto ritenere all'Autorità irlandese di non imporre a Meta, come richiesto da quella italiana, la sospensione dell'iniziativa. A tali condizioni il Regolamento consente all'Autorità nazionale di procedere con un proprio intervento d'urgenza che è, appunto, quello che, dopo una serie di ulteriori verifiche istruttorie, abbiamo effettuato.

Quali sono i punti critici della campagna di Meta che potrebbero pregiudicare la libertà dei cittadini?

Nel caso di specie i profili principali di criticità erano di due specie: da un lato, profili relativi alla base giuridica applicabile e, dall'altro, relativi al rispetto dei principi di minimizzazione dei dati personali nel senso che il loro trattamento pareva sproporzionato e, persino, ingiustificato rispetto ai fini che Meta si proponeva di raggiungere. Per giunta, data anche restrema vicinanza del lancio dell'iniziativa con lo svolgimento delle consultazioni elettorali, non si aveva certezza in merito alle concrete modalità di svolgimento: sarebbero stati effettivamente raccolti i dati degli utenti italiani? In quale quantità? Si sarebbe proceduto poi alla divulgazione, ancorché in forma aggregata degli stessi? E a chi? Questioni rilevanti che, allo stato, impedivano una piena autoconsapevolezza informativa del cittadino. C'è poi di fondo - e direi per il costituzionalista è il tema cruciale - l'estrema delicatezza del trattamento. È ovvio che ogni intervento su un diritto-dovere così fondamentale come quello di voto, asse portante di ogni sistema democratico, con un impatto così decisivo e rilevante per la vita politica di un Paese, andrebbe sempre attentamente considerato. Tanto più se posto in essere da parte di un soggetto imprenditoriale privato multinazionale.

C'è il rìschio di manipolazione e di controllo dei dati per fini politici degli utenti Fb da parte di una società che ha fini commerciali?

Ricordo che riguardo a iniziative su elezioni italiane il Garante era già intervenuto criticamente in due precedenti occasioni. Ovvio che se l'attività fosse esclusivamente finalizzata ad un'informativa nei confronti della propria "community" in ordine ad un evento assai rilevante per il Paese, non vi sarebbe bisogno di dar luogo ad un trattamento dei dati dell'utenza. Cosa diversa se, oltre ad un trattamento, se ne preveda l'utilizzo mediante la loro messa a disposizione in forma aggregata a soggetti terzi, quali enti di ricerca, università, ma anche comitati elettorali e organizzazioni governative, per finalità non chiaramente definite. Insomma una indeterminatezza eccessiva su un tema estremamente sensibile.

A che punto è l'istruttoria nei confronti di Meta?

Sono in corso interlocuzioni con l'Autorità irlandese e con Meta e tra non molto, alla luce di queste, il Collegio del Garante prenderà le sue decisioni.

La tecnologia digitale va avanti velocemente, le leggi sono più lente. Gli strumenti del diritto potranno affinarsi per proteggere la libertà dei cittadini?

È una domanda complessa. Provando a semplificare molto la risposta, possiamo dire che il diritto nazionale è praticamente silente, anche in virtù del carattere transnazionale del fenomeno. II diritto dell'Unione europea, invece, avendo compreso il ruolo anche pubblicistico che le piattaforme stanno conquistando pare riconoscere loro un certo ruolo di carattere regolatorio. Si tratta di una vera e propria "terza via" prettamente europea che intende trovare nel bilanciamento tra la governance dello sviluppo tecnologico e le esigenze sociali, un modello alternativo a i modelli di gestione del mercato dei dati finora praticati. Ovvero quello autoregolativo di stampo americano, e quello statalista cinese, dove il governo della Rete è gestito dal Partito comunista cinese attraverso canali informali con le piattaforme. Questa via mediana, non senza ombre, consente una maggiore flessibilità ed efficienza nella tutela dei diritti fondamentali.