Tra il 2018 e il 2019 è avvenuta una lunga serie su scala mondiale di perdite (o meglio di sottrazione da parte di terzi) di dati personali presenti sui social network. Il caso è finito anche davanti alla magistratura sammarinese, che potrebbe decidere di sanzionare Facebook per 4 milioni di euro, creando un precedente giurisprudenziale non di poco conto.
L’antica Repubblica del monte Titano potrebbe determinare entro pochi giorni un curioso precedente giurisprudenziale: potrebbe confermare o meno una maxi sanzione contro Facebook.
San Marino, infatti, notoriamente paese extra Cee, dalla fine del 2018 si è dotato di una propria legge sulla data protection che, per buona parte, risulta essere del tutto simile al fratello maggiore e ben più titolato Gdpr (Regolamento Ue 2016/679) entrato in vigore qualche mese prima.
Per l’esattezza il 21 dicembre 2018 il Consiglio Grande e Generale – il Parlamento monocamerale di San Marino - approvò la Legge n.171 e così il piccolo enclave si dotò anche di una propria struttura per la tutela dei dati personali istituendo l’Autorità Garante.
Beffa del destino, ha voluto che una dei primi trattamenti dati non autorizzati da parte di un rilevante numero di interessati si sia verificato di lì a poco proprio a San Marino.
I fatti
Le cronache riportano tra il gennaio 2018 e settembre 2019 una lunga serie su scala mondiale di perdite (o meglio di sottrazione da parte di terzi) di dati personali presenti sui social network. A quanto pare, ben 530 mila utenti dei social sarebbero stati vittima della sottrazione.
Il fenomeno descritto è stato classificato tecnicamente come “scraping”: l’ estrazione di dati da parte di terzi attingendo da un sito web attraverso l’utilizzo di sofisticati software.
Tra i malcapitati dello “scraping”, perpetrato proprio a danno dei profili presenti sui social, vi sono stati anche circa 12.700 sammarinesi (un numero rilevantissimo considerato che i cittadini della repubblica sono 34 mila).
Le cronache locali (fonte Corriere Romagna) hanno raccontato che tra le vittime vi sarebbero stati anche Segretari di Stato (omologhi dei Ministri italiani) che avrebbero registrato il divulgare non autorizzato sul web dei loro numeri di telefono cellulare.
Il caso finì presto sui banchi dell’Autority per la tutela della privacy che prese a proposito posizione con un provvedimento.
La sanzione
Con il provvedimento N. 19 del 6 luglio 2021, il Garante definì la condotta verificatasi come violazione dell’art. 33 della Legge 171/2018 che recita: (Sicurezza del trattamento) “Il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.
Determinato il mancato rispetto della sicurezza del trattamento che ha portato al cosiddetto “scraping”, il Garante ha ingiunto alle Società “Facebook Ireland Ltd.”e “Facebook Inc.” “il pagamento – con vincolo solidale tra loro – dell’importo di EURO 4.000.000 a titolo di sanzione amministrativa pecuniaria” .
Una sanzione davvero elevatissima che, sempre come raccontato dalle cronache locali, a quanto parte è stata prontamente impugnata dalle società contraddistinte dal marchio di Zuckerberg.
Ma non è tutto.
Sempre le fonti giornalistiche locali (Corriere Romagna), riferiscono che in contemporanea partì una seconda istruttoria dell'Autorità (ben più delicata), interessata a capire quali strumenti usassero i principali social per accertare l’età degli utenti, dato che sul Titano ai minori di 16 anni serve acquisire il consenso dei genitori per iscriversi.
La vicenda giudiziaria
A tirare le somme sull’intera questione sarà ora la magistratura sammarinese. Per il prossimo 14 dicembre è prevista l’udienza nel quale si farà integralmente luce sulla questione e si giungerà ad una sentenza.
La decisione, ad ogni buon conto, potrà creare un precedente giurisprudenziale non di poco conto.
Se da una parte è vero che la Repubblica di San Marino è uno stato extra Cee non soggetto al regolamento europeo sulla data protection, occorre sottolineare che il piccolo Stato risulta nel concreto essere completamente allineato ai fondamenti del Gdpr.
Leggendo la Legge n.171/2018 risulterà agevole trovare evidentissime analogie (nella sostanza l’art. 33 su cui si fonda il rilievo è l’omologo dell’art. 32 del Gdpr).
Un decisione che potrà mettere in discussione gli standard di sicurezza informatica e le misure di mitigazione del rischio per la perdita dei dati messe sino ad ora in campo un po’ da tutti i colossi del web.
© Riproduzione riservata
