g-docweb-display Portlet

Provvedimento del 22 marzo 2023 [9879700]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9879700]

Provvedimento del 22 marzo 2023

Registro dei provvedimenti
n. 77 del 22 marzo 2023
 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

RICHIAMATI gli artt. 1, 48, 67 e 75 della Costituzione della Repubblica italiana;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”); 

VISTO altresì il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito, “Codice”);

VISTA la “Dichiarazione 2/2019 sull'uso di dati personali nel corso di campagne politiche” adottata il 13 marzo 2019 dal Comitato europeo per la protezione dei dati (di seguito: EDPB), che richiede alle Autorità per la protezione dei dati di “monitorare e, se necessario, [di] far rispettare l’applicazione dei principi di protezione dei dati, quali la trasparenza, la limitazione delle finalità, la proporzionalità e la sicurezza, nonché l'esercizio dei diritti dell'interessato, nel contesto delle elezioni e delle campagne politiche. Le autorità per la protezione dei dati intendono utilizzare tutti i poteri di cui dispongono ai sensi del regolamento generale sulla protezione dei dati, garantendo un approccio cooperativo e coerente nel quadro del comitato europeo per la protezione dei dati”;

CONSIDERATO che domenica 25 settembre 2022 si sono svolte le elezioni per il rinnovo della Camera dei deputati e del Senato della Repubblica;

PRESO ATTO di quanto riportato da  agenzie di stampa nazionali, a partire dal 20 settembre 2022 (cinque giorni prima dello svolgimento delle elezioni politiche) e cioè che Meta Platforms Ireland Limited (da qui in avanti “Meta” o “la Società”) avrebbe avviato sui propri social network Facebook ed Instagram una campagna - attuata attraverso una apposita funzionalità denominata EDI (Election Day Information) ed indirizzata espressamente agli utenti maggiorenni italiani - volta a fornire informazioni e a contrastare le interferenze e rimuovere i contenuti che disincentivavano al voto in relazione alle imminenti elezioni per il rinnovo delle due Camere del Parlamento;

CONSIDERATA la particolare rilevanza che assumono iniziative di tal genere in concomitanza con un così delicato momento per la vita istituzionale e politica del Paese, quale quello del rinnovo del Parlamento nazionale, anche in ragione delle garanzie costituzionali che l’ordinamento italiano prevede per assicurare la correttezza e la regolarità delle relative operazioni;

PRESO ATTO di quanto emerso nel corso della preliminare attività istruttoria svolta dall’Autorità in relazione a detti trattamenti;

VISTO il provvedimento di avvertimento n. 448/2022, adottato dal Garante in data 21 dicembre 2022, in via d’urgenza ai sensi dell’art. 66, par. 1, del Regolamento, da intendersi qui integralmente richiamato e riprodotto, in particolar modo per quanto riguarda la ricostruzione degli avvenimenti, i profili di illiceità rilevati e le motivazioni giuridiche poste a fondamento dello stesso;

CONSIDERATO che l’Autorità ha esperito, a più riprese, tutte le necessarie procedure di cooperazione con la Data Protection Commission irlandese (di seguito “DPC”), quale autorità capofila in ragione dello stabilimento principale di Meta in Unione europea, anche al fine di evitare il ricorso alla procedura di coerenza, di cui all’art. 66, par. 2 del Regolamento;  

PRESO ATTO della comunicazione che Meta ha inviato al Garante, in data 8 febbraio 2023 (Prot n. 0023186/23 del 9 febbraio 2023), con la quale la Società, nel manifestare il proprio intendimento a non condividere i dati, medio tempore aggregati, dei cittadini italiani raccolti tramite la funzionalità EDI in occasione della citata tornata elettorale, ha sostanzialmente confermato di aver effettuato operazioni di raccolta e conservazione di tali informazioni, con ciò superando l’alea a fondamento del citato provvedimento di avvertimento;

CONSIDERATO che, su richiesta dell’Autorità, la DPC, in data 16 marzo 2023, ha riconosciuto, nell’ambito di una procedura di cooperazione europea ex art. 56, par. 2, del Regolamento, la competenza del Garante a trattare il caso nella misura in cui i trattamenti posti in essere da Meta mediante la funzionalità EDI incidono in modo sostanziale unicamente sugli interessati italiani; 

CONSIDERATO che, in conformità al dettato dell’art. 66, par. 1 del Regolamento, gli effetti giuridici del richiamato provvedimento sono provvisori e, nel caso di specie, hanno un periodo di validità limitato a tre mesi con scadenza il 22 marzo 2023;

CONSIDERATO il persistere di seri rischi per i diritti e le libertà degli interessati, di rango costituzionale, in ragione di trattamenti svolti da un soggetto privato, in occasione del momento politico più delicato ed espressivo della sovranità popolare, quale quello delle elezioni per i componenti del Parlamento nazionale; rischi che verrebbero amplificati dalla decadenza automatica delle misure imposte dal Garante nel provvedimento n. 448/2022;

RAVVISATA, pertanto, la necessità di disporre nei confronti di Meta – ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, in via d’urgenza ed in continuità con lo spirare dei termini del citato provvedimento di avvertimento – l’ulteriore misura cautelare della limitazione provvisoria del trattamento dei dati personali degli utenti stabiliti nel territorio italiano raccolti, in occasione delle elezioni politiche 2022 attraverso la funzionalità EDI e nel periodo di operatività della stessa;

RITENUTO necessario disporre la predetta limitazione a decorrere dalla data di ricezione del presente provvedimento e senza soluzione di continuità rispetto all’avvertimento adottato con il richiamato provvedimento n. 448/2022, riservandosi ogni altra determinazione all’esito della definizione dell’istruttoria sul caso avviata in veste di Autorità competente, ai sensi dell’art. 56, par. 2, del Regolamento;

EVIDENZIATO che, in caso di inosservanza della misura disposta dal Garante, trova applicazione la sanzione penale di cui all’art. 170 del Codice e le sanzioni amministrative previste dall’art. 83, par. 5, lette e), del Regolamento; 

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione; 

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento dispone, in via d’urgenza, nei confronti di Meta Platforms Limited Ireland, in qualità di titolare del trattamento dei dati personali, la misura della limitazione provvisoria del trattamento dei dati personali dei cittadini italiani effettuato attraverso la funzionalità EDI;

b) la predetta limitazione ha effetto immediato a decorrere dalla data di ricezione del presente provvedimento e comunque in continuità con il provvedimento di avvertimento n. 448/2022, con riserva di ogni altra determinazione all’esito della definizione dell’istruttoria avviata sul caso.

Il Garante, ai sensi dell’art. 58, par. 1, del Regolamento (UE) 2016/679 e dell’art. 157 del Codice, invita il titolare del trattamento destinatario del provvedimento, altresì, entro 20 giorni dalla data di ricezione del presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi delle richiamate disposizioni è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento (UE) 2016/679.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 marzo 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei