Il Garante della Privacy ha terminato l’indagine sul caso Cambridge Analytica (CA) e su Facebook per valutare le eventuali ripercussioni sui cittadini italiani. Il caso CA era scoppiato a marzo dell’anno scorso quando grazie al whistleblower Cristopher Wylie si era scoperto che Aleksandr Koganla aveva ceduto alla società CA i dati di profilazione psicologica di quegli utenti Facebook che avevano partecipato al gioco online Thisisyourdigitallife. Da quegli utenti aveva ottenuto i dati dei loro contatti su Facebook arrivando alla profilazione di oltre 80 milioni di utenti nel mondo. Questi dati erano stati usati da CA per creare campagne politiche con tecniche di micro-targeting per influenzare il voto delle elezioni del 2016 a favore di Trump. Facebook aveva quindi scoperto che i dati ottenuti dal gioco erano stati illecitamente condivisi con la società CA e solo allora aveva bloccato l’accesso a quei dati.

Thisisyourdigitallife e Facebook Login

Il Garante Italiano aveva avviato un’inchiesta sentendo i vertici di Facebook per chiarimenti. Facebook aveva rassicurato il Garante che non c’erano dati di cittadini italiani tra quelli venduti dal dr. Aleksandr Koganla a Cambridge Analytica. Tuttavia, anche se effettivamente tali dati non erano stati ceduti a CA, è bastato che solamente 57 utenti italiani avessero scaricato l’app Thisisyourdigitallife per ottenere, tramite l’uso del Facebook Login, i dati di ben 214.077 italiani. Facebook Login è quella funzione che permette di accedere ad un servizio evitando di creare un nome utente e password nuovi per ogni servizio che si usa online: il problema è che, in cambio di questa comodità, concedeva l’accesso a diversi dati del proprio profilo, dati che ai tempi dei fatti includevano in modo obbligatorio anche quelli dei propri amici. Nel tempo, comunque, Facebook Login è già stato rivisto e migliorato in termini di garanzie per gli utenti.

Secondo il Garante quei dati non potevano essere condivisi senza il consenso informato degli utenti: consenso che, anche secondo il vecchio Codice Privacy pre-GDPR, non era sufficiente nelle modalità individuate da Facebook. A quei tempi, infatti, o non si poteva scegliere quali dati fornire, oppure non erano chiare le finalità per cui quei dati sarebbero stati utilizzati. Questo era ancora più vero per quegli utenti che non avevano partecipato al gioco ma i cui dati erano stati ugualmente condivisi.

Facebook e le elezioni del 4 marzo