La sanzione, comminata sulla base del vecchio Codice Privacy, fa seguito al provvedimento del Garante del Gennaio di quest’anno con il quale l’Autorità aveva vietato a Facebook di continuare a trattare i dati degli utenti italiani.
Il Garante aveva accertato che 57 italiani avevano scaricato l’app Thisisyourdigitallife attraverso la funzione Facebook login e che, in base alla possibilità consentita da questa funzione di condividere i dati degli “amici”, l’applicazione aveva poi acquisito i dati di ulteriori 214.077 utenti italiani, senza che questi l’avessero scaricata, fossero stati informati della cessione dei loro dati e avessero espresso il proprio consenso a questa cessione.
La comunicazione da parte di Facebook dei dati alla app Thisisyourdigitallife era dunque avvenuta in maniera non conforme alla normativa sulla privacy. I dati non erano comunque stati trasmessi a Cambridge Analytica.
A Facebook il Garante aveva già contestato nel Marzo di quest’anno le violazioni della mancata informativa, della mancata acquisizione del consenso e del mancato idoneo riscontro ad una richiesta di informazioni ed esibizione di documenti. Per queste violazioni Facebook si è avvalsa della possibilità di estinguere il procedimento sanzionatorio mediante il pagamento in misura ridotta di una somma pari a 52.000 euro.
Le violazioni su informativa e consenso erano state commesse però in riferimento ad una banca dati di particolare rilevanza e dimensioni - fattispecie questa per la quale non è ammesso il pagamento in misura ridotta - ed il Garante ha applicato anche una sanzione di 1 milione di euro.
L'importo tiene conto, oltre che della imponenza del database, delle condizioni economiche di Facebook e del numero di utenti mondiali ed italiani della società.