Indice 
 Precedente 
 Seguente 
 Testo integrale 
Procedura : 2018/2855(RSP)
Ciclo di vita in Aula
Ciclo del documento : B8-0480/2018

Testi presentati :

B8-0480/2018

Discussioni :

PV 23/10/2018 - 3
CRE 23/10/2018 - 3

Votazioni :

PV 25/10/2018 - 13.17
CRE 25/10/2018 - 13.17
Dichiarazioni di voto

Testi approvati :

P8_TA(2018)0433

Testi approvati
PDF 159kWORD 63k
Giovedì 25 ottobre 2018 - Strasburgo Edizione definitiva
Utilizzo dei dati degli utenti di Facebook da parte di Cambridge Analytica e conseguenze sulla protezione dei dati
P8_TA(2018)0433B8-0480/2018

Risoluzione del Parlamento europeo del 25 ottobre 2018 sull'utilizzo dei dati degli utenti Facebook da parte di Cambridge Analytica e l'impatto sulla protezione dei dati (2018/2855(RSP))

Il Parlamento europeo,

–  visti il trattato sull'Unione europea (TUE), il trattato sul funzionamento dell'Unione europea (TFUE), la Carta dei diritti fondamentali dell'Unione europea, in particolare gli articoli 7, 8, 11, 12, 39, 40, 47 e 52, la Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, in particolare gli articoli 8, 9, 10, 11, 13, 16 e 17, e il protocollo della Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali, in particolare l'articolo 3,

–  visto il patto internazionale sui diritti civili e politici, in particolare gli articoli 2, 17, 19, 20 e 25,

–  visti il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)(1), e la direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio(2),

–  visti la Convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale e il relativo protocollo addizionale,

–  viste l'inchiesta della Camera dei comuni sulle notizie false e la 5a relazione intermedia della sua commissione per il digitale, la cultura, i media e lo sport sulla disinformazione e le notizie false,

–  viste le audizioni tenute presso la commissione per l'energia e il commercio della Camera dei rappresentanti degli Stati Uniti,

–  vista la decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy(3),

–  vista la sua risoluzione del 5 luglio 2018 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy(4),

–  vista la sentenza della Corte di giustizia dell'Unione europea (CGUE) del 6 ottobre 2015 nella causa C-362/14 Maximillian Schrems/Data Protection Commissioner(5),

–  vista la sentenza della CGUE del 25 gennaio 2018 nella causa C-498/16 Maximillian Schrems/Facebook Ireland Limited(6),

–  vista la sentenza della CGUE del 5 giugno 2018 nella causa C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH(7),

–  vista la richiesta formale presentata da David Caroll, nella quale si chiede che Cambridge Analytica recuperi le sue informazioni personali e ne riveli la fonte,

–  visto il parere 3/2018 del Garante europeo della protezione dei dati (GEPD), del 19 marzo 2018, in merito alla manipolazione online e ai dati personali(8),

–  visti gli orientamenti del 3 ottobre 2017 del gruppo di lavoro "Articolo 29" in materia di processi decisionali automatizzati e profilazione ai fini del regolamento (UE) 2016/679(9),

–  viste le due serie di risposte fornite per iscritto alle domande rimaste in sospeso durante la riunione tra i leader dei gruppi del Parlamento europeo e Mark Zuckerberg, amministratore delegato di Facebook, pubblicate da Facebook rispettivamente il 23 maggio 2018(10) e il 4 giugno 2018(11),

–  viste la raccomandazione (UE) 2018/234 della Commissione, del 14 febbraio 2018, sul rafforzare la natura europea e l'efficienza nello svolgimento delle elezioni del Parlamento europeo del 2019(12), la raccomandazione della Commissione del 12 settembre 2018 relativa alle reti di cooperazione in materia elettorale, alla trasparenza online, alla protezione dagli incidenti di cibersicurezza e alla lotta contro le campagne di disinformazione nel contesto delle elezioni del Parlamento europeo (C(2018)5949), e la comunicazione della Commissione del 12 settembre 2018, dal titolo "Assicurare elezioni europee libere e corrette" (COM(2018)0637),

–  vista la proposta di regolamento del Parlamento europeo e del Consiglio, del 12 settembre 2018, che modifica il regolamento (UE, Euratom) n. 1141/2014 per quanto riguarda la procedura di verifica relativa alle violazioni delle norme in materia di protezione dei dati personali nel contesto delle elezioni del Parlamento europeo (COM(2018)0636), presentata dalla Commissione,

–  visti gli orientamenti della Commissione del 12 settembre 2018 sull'applicazione del diritto dell'Unione in materia di protezione dei dati nel contesto elettorale (COM(2018)0638),

–  viste le audizioni approfondite svolte dalla commissione per le libertà civili, la giustizia e gli affari interni, su richiesta del Parlamento europeo, sull'utilizzo dei dati degli utenti Facebook da parte di Cambridge Analytica e l'impatto sulla protezione dei dati,

–  viste le relazioni dell'Ufficio del commissario all'informazione del Regno Unito relative all'indagine sull'uso dell'analisi dei dati e delle campagne politiche, nonché la relazione intitolata "Democracy disrupted"(13),

–  vista la testimonianza presentata il 25 giugno 2018 dall'Ufficio europeo delle Unioni dei consumatori (BEUC)(14),

–  vista la dichiarazione rilasciata dalla Commissione il 23 ottobre 2018,

–  vista la proposta di risoluzione della commissione per le libertà civili, la giustizia e gli affari interni,

–  visto l'articolo 123, paragrafo 2, del suo regolamento,

A.  considerando che il giornalismo investigativo ha rivelato e reso pubbliche le massicce fughe di dati degli utenti Facebook in relazione all'accesso concesso da Facebook ad applicazioni terze e il conseguente abuso di tali dati a fini di campagna elettorale nonché altre violazioni dei dati personali detenuti e raccolti dalle principali imprese nel settore dei media sociali che sono venute alla luce successivamente;

B.  considerando che tali violazioni dei dati personali hanno interessato cittadini di tutto il mondo, compresi i cittadini europei e non-europei che risiedono nel territorio dell'Unione europea, e che vari parlamenti nazionali hanno svolto audizioni e inchieste e pubblicato conclusioni su tale questione;

C.  considerando che tali violazioni dei dati personali hanno avuto luogo per un periodo di tempo prolungato; che le imprese interessate hanno violato la legislazione dell'UE in materia di protezione dei dati allora applicabile, in particolare le direttive 95/46/CE e 2002/58/CE;

D.  considerando che l'abuso dei dati portato alla luce nel contesto dello scandalo di Cambridge Analytica è avvenuto prima dell'applicazione del regolamento generale sulla protezione dei dati (GDPR);

E.  considerando che Facebook ha affermato di non aver condiviso con Cambridge Analytica alcuna informazione relativa ai conti bancari, alle carte di credito o all'identità nazionale;

F.  considerando che Cambridge Analytica ha affermato che il trattamento dei dati è stato ufficialmente eseguito a scopi di ricerca, ma che successivamente ha ceduto i dati raccolti a fini politici e commerciali;

G.  considerando che la reazione iniziale delle imprese interessate non ha soddisfatto gli standard attesi e non ha consentito lo svolgimento di un'indagine completa e indipendente e di un audit da parte delle autorità interessate né a livello nazionale né a livello europeo;

H.  considerando che il 22 maggio 2018 i presidenti dei gruppi politici del Parlamento europeo hanno tenuto un primo scambio di opinioni a porte chiuse con Mark Zuckerberg, amministratore delegato e fondatore di Facebook, e che tale riunione è sfociata nella richiesta della Conferenza dei presidenti alla commissione per le libertà civili, la giustizia e gli affari interni, in associazione con le commissioni per gli affari costituzionali, giuridica e per l'industria, la ricerca e l'energia, di organizzare approfondite audizioni di seguito;

I.  considerando che si sono tenute tre audizioni sull'impatto del caso Facebook/Cambridge Analytica su questioni connesse alla protezione dei dati, ai processi elettorali, alle notizie false e alla posizione di mercato dei media sociali, in data 4 e 25 giugno e 2 luglio 2018, alle quali hanno partecipato i commissari europei interessati, il direttore esecutivo dell'Agenzia dell'Unione europea per la sicurezza delle reti e dell'informazione (ENISA), il GEPD, il presidente del comitato europeo per la protezione dei dati (EDPB), l'Ufficio del commissario all'informazione del Regno Unito, il direttore esecutivo della commissione elettorale del Regno Unito, i cittadini interessati e Facebook;

J.  considerando che Facebook si è rifiutata di delegare i membri del personale con l'adeguato livello di responsabilità e aventi le necessarie competenze e conoscenze tecniche richieste dai presidenti di commissione, inviando invece a tutte e tre le audizioni membri del gruppo responsabile della politica verso il pubblico; che le informazioni fornite dai rappresentanti di Facebook durante le audizioni non erano precise riguardo alle misure concrete e specifiche adottate per garantire la piena conformità con le norme dell'UE in materia di protezione dei dati ed erano di natura più generale;

K.  considerando che, nel suo parere 3/2018, il GEPD ha manifestato numerose preoccupazioni in merito alle questioni della manipolazione online e dei dati personali; che il GEPD sostiene inoltre che il diritto in materia di concorrenza svolge un ruolo fondamentale nel garantire l'assunzione di responsabilità da parte degli attori dominanti sul mercato e nel proteggere la democrazia da un potere di mercato eccessivo; che gli interessi dei singoli dovrebbero essere meglio rispecchiati nella valutazione del potenziale abuso di dominio o delle fusioni delle società, che possono aver accumulato un considerevole potere informativo;

L.  considerando che, nel suo parere del 3 ottobre 2017, il gruppo di lavoro "Articolo 29" ha affermato che la profilazione e il processo decisionale automatizzato possono comportare rischi significativi per i diritti e le libertà dei singoli, che richiedono adeguate misure di salvaguardia;

M.  considerando che il presidente del comitato europeo per la protezione dei dati ha sottolineato che il caso Facebook/Cambridge Analytica si è verificato prima dell'entrata in vigore del regolamento generale sulla protezione dei dati e che, pertanto, il sistema dell'autorità di controllo capofila ai sensi di tale regolamento non è applicabile; che le indagini sono state condotte dal commissario all'informazione del Regno Unito;

N.  considerando che Facebook ha ammesso di aver stipulato un contratto con uno sviluppatore di applicazioni senza prima effettuare un controllo dei termini e delle condizioni di quest'ultimo, che si riservava il diritto di divulgare i dati personali a terzi; che tale mancanza ha avuto gravi conseguenze e che tale pratica era già illegale a norma della legislazione in materia di protezione dei dati allora applicabile;

O.  considerando che attualmente sono in corso i negoziati sul regolamento e-privacy;

P.  considerando che il comitato europeo per la protezione dei dati ha indicato che sono già in corso di trattamento circa 100 casi transfrontalieri nel quadro del meccanismo di coerenza del regolamento generale sulla protezione dei dati; che tale meccanismo coordina le azioni delle autorità nazionali per la protezione dei dati al fine di garantire un approccio comune all'applicazione delle norme dell'UE in materia di protezione dei dati;

Q.  considerando che Facebook, uno dei firmatari dello scudo per la privacy, ha confermato che i dati personali di milioni di cittadini dell'UE (fino a 2,7 milioni) facevano parte di quelli indebitamente utilizzati dai consulenti politici di Cambridge Analytica;

R.  considerando che il 28 settembre 2018 Facebook ha reso noto che un soggetto esterno ha attaccato i suoi sistemi e sfruttato una vulnerabilità che ha esposto i token di accesso a Facebook di 50 milioni di account, e che la Commissione irlandese per la protezione dei dati e altre autorità competenti in materia hanno avviato indagini sui fatti al fine di valutare la conformità alla legislazione dell'UE in materia di protezione dei dati;

S.  considerando che la Commissione federale del Commercio (FTC) degli Stati Uniti sta attualmente indagando per verificare se Facebook ha omesso di onorare le sue promesse sulla privacy, tra cui il rispetto dello scudo per la privacy, o se ha compiuto atti sleali che hanno causato un pregiudizio sostanziale ai consumatori in violazione della legge sull'FTC e della precedente composizione tra l'FTC e Facebook raggiunta nel 2011;

T.  considerando che quattro organizzazioni dei consumatori di Belgio, Italia, Spagna e Portogallo hanno avviato un'azione di ricorso collettivo contro Facebook, chiedendo il risarcimento economico per gli utenti Facebook interessati nei rispettivi paesi;

U.  considerando che il BEUC ha affermato, nella sua testimonianza presentata il 25 giugno 2018, che è necessario garantire la responsabilità della piattaforma per l'accesso di terzi ai dati personali; che il BEUC sostiene inoltre nella stessa testimonianza che le imprese dovrebbero fare di più per garantire solide strutture di responsabilità per l'accesso dei partner ai dati personali e per l'ulteriore sfruttamento di tali dati;

V.  considerando che l'indagine dell'Ufficio del commissario all'informazione del Regno Unito riguarda anche il legame tra Cambridge Analytica, la sua società madre SCL Elections Limited e Aggregate IQ e concerne accuse secondo cui i dati personali ottenuti da Facebook sarebbero stati usati impropriamente da entrambe le parti nel referendum del Regno Unito sull'adesione all'UE e sfruttati per rivolgersi agli elettori durante le elezioni presidenziali statunitensi del 2016; che l'indagine dell'Ufficio del commissario all'informazione del Regno Unito si è principalmente svolta in base alla legge sulla protezione dei dati del 1998 e dei regolamenti sulla privacy e le comunicazioni elettroniche del 2003, pur facendo già riferimento, ove opportuno, anche al regolamento generale sulla protezione dei dati;

W.  considerando che la commissione ristretta per la cultura, i media e lo sport della Camera dei comuni del Regno Unito ha sentito delle testimonianze relative a una presunta interferenza russa nei processi elettorali nell'UE e ha esortato le autorità nazionali competenti a indagare su tali accuse; che nel maggio 2017 negli Stati Uniti è stato nominato un legale speciale per indagare sull'interferenza russa nelle elezioni presidenziali del 2016 e sulle questioni connesse e che tale indagine è tuttora in corso;

X.  considerando che l'Ufficio del commissario all'informazione del Regno Unito ha indirizzato a Facebook un avviso dell'intenzione di emettere una sanzione pecuniaria dell'importo di 500 000 sterline per la mancanza di trasparenza e le questioni di sicurezza connesse alla raccolta di dati avvenuta in violazione del primo e del settimo principio di protezione dei dati a norma della legge sulla protezione dei dati del 1998;

Y.  considerando che l'Ufficio del commissario all'informazione del Regno Unito ha già emesso 23 avvisi informativi destinati a 17 organizzazioni diverse e singoli individui, compreso Facebook il 23 febbraio 2018, recanti la richiesta di fornire dati in modo strutturato; che il 18 maggio 2018 Facebook ha confermato che Aggregate IQ ha creato e, in taluni casi, divulgato messaggi pubblicitari per conto di campagne a favore del recesso del Regno Unito, ossia "Vote to leave" del Partito unionista unionista (DUP), Vote Leave, BeLeave e Veterans for Britain;

Z.  considerando che l'Ufficio del commissario all'informazione del Regno Unito ha espresso preoccupazioni in merito ai termini delle informazioni a disposizione degli utenti sulle fonti dei dati, nonché alla disponibilità e alla trasparenza dei controlli offerti a questi ultimi; che l'Ufficio del commissario all'informazione del Regno Unito ha inoltre affermato che le informazioni e i controlli complessivi sulla privacy messi a disposizione da Facebook non informavano efficacemente gli utenti circa i probabili impieghi delle loro informazioni personali; che l'Ufficio del commissario all'informazione del Regno Unito ha manifestato preoccupazioni circa i casi di accesso ai dati tramite la piattaforma Facebook, dati poi utilizzati a scopi che non erano previsti o che l'interessato non avrebbe ragionevolmente previsto;

AA.  considerando che i dati della commissione elettorale del Regno Unito hanno dimostrato che i partiti politici nel paese hanno speso 3,2 milioni di sterline in pubblicità diretta su Facebook nel corso delle elezioni politiche del 2017;

AB.  considerando che le reti sociali rappresentano un'importante piattaforma per i partiti politici e le istituzioni pubbliche, in quanto consentono loro di entrare in contatto con i cittadini;

AC.  considerando che le piattaforme online a livello mondiale incontrano difficoltà nel lottare efficacemente contro le notizie false, alla luce delle diverse minacce e dei diversi panorami mediatici nei vari paesi e regioni;

AD.  considerando che l'analisi dei dati e gli algoritmi incidono sempre di più sulle informazioni rese accessibili ai cittadini; che tali tecniche, se utilizzate impropriamente, possono mettere in pericolo i diritti fondamentali all'informazione, nonché la libertà e il pluralismo dei mezzi di comunicazione;

AE.  considerando che la responsabilità e la trasparenza a livello degli algoritmi sono essenziali per garantire una corretta informazione e una chiara comprensione, da parte dei cittadini, quanto al trattamento dei loro dati personali; che ciò dovrebbe comportare l'attuazione di misure tecniche e operative atte a garantire la trasparenza e la non discriminazione attraverso un processo decisionale automatizzato e che vietino il calcolo delle probabilità di comportamento individuale; che la trasparenza dovrebbe offrire alle persone informazioni significative sulla logica utilizzata, l'importanza e le conseguenze previste; che ciò dovrebbe includere informazioni sui dati utilizzati per la preparazione dell'analisi dei big data e permettere alle persone di comprendere e monitorare le decisioni che le riguardano;

AF.  considerando che, in occasione della riunione con i commissari europei del 2 luglio 2018, Facebook ha promesso di cooperare e concedere a ricercatori accademici indipendenti l'accesso ai dati sulla presunta manipolazione dei voti;

1.  si attende che tutte le piattaforme online assicurino il pieno rispetto della normativa dell'Unione in materia di protezione dei dati, in particolare del regolamento generale sulla protezione dei dati e della direttiva 2002/58/CE (e-privacy), e aiutino gli utenti a capire in che modo i loro dati personali vengono trattati nel modello di pubblicità mirata e che sono disponibili controlli efficaci, anche garantendo che siano previsti consensi diversi per diverse finalità di trattamento, e che via sia una maggiore trasparenza in relazione alle impostazioni della privacy e alla concezione e alla visibilità delle informative sulla privacy;

2.  sottolinea che la deroga per finalità di ricerca prevista nel diritto dell'UE in materia di protezione dei dati non può in nessun caso essere utilizzata come scappatoia per utilizzare illecitamente i dati;

3.  prende atto del fatto che Facebook dichiara di utilizzare i dati degli utenti non iscritti esclusivamente per creare serie di dati aggregati da cui trarre conclusioni sulle modalità di utilizzo del servizio;

4.  pone enfasi sulla necessità di una responsabilità e una trasparenza ancora maggiori a livello di algoritmo per quanto concerne il trattamento e l'analisi dei dati da parte del settore pubblico, di quello privato e di qualsiasi altro attore che ricorre all'analisi dei dati, quale strumento essenziale per garantire che gli interessati siano debitamente informati del trattamento dei propri dati personali;

5.  ritiene che l'era digitale imponga un adeguamento delle leggi elettorali alla nuova realtà digitale e suggerisce che le misure convenzionali di salvaguardia elettorale ("offline"), quali le norme in materia di comunicazione politica in periodo elettorale, trasparenza e limiti delle spese elettorali, rispetto dei periodi di silenzio elettorale e parità di trattamento dei candidati, debbano essere applicate anche online; è del parere che gli Stati membri debbano introdurre un sistema obbligatorio di impronte digitali per le campagne e la pubblicità elettroniche e porre in atto la raccomandazione della Commissione volta a rafforzare la trasparenza della comunicazione e delle pubblicità politiche a pagamento online; evidenzia che qualsiasi forma di propaganda politica dovrebbe includere informazioni facilmente accessibili e comprensibili sull'organizzazione che effettua la pubblicazione e sui soggetti giuridicamente responsabili della spesa, in modo che sia chiaro chi sponsorizza le campagne, sulla falsariga dei requisiti attualmente vigenti in vari Stati membri sul materiale stampato usato nelle campagne; sottolinea che i cittadini dell'Unione devono poter riconoscere facilmente la pubblicità e la comunicazione online di carattere politico e a pagamento, nonché il partito, la fondazione o l'organizzazione che le promuove; insiste sul fatto che la trasparenza dovrebbe comprendere anche informazioni esaustive riguardo ai criteri di scelta del gruppo di destinatari di specifici messaggi pubblicitari politici e alle dimensioni previste di tale gruppo;

6.  constata che Facebook ha aggiornato le proprie impostazioni relative alla privacy per consentire agli utenti di sottrarsi alla targetizzazione, ivi inclusi la pubblicazione di messaggi pubblicitari sulla base di informazioni ottenute da terzi e l'uso delle loro informazioni personali raccolte da Facebook per pubblicare messaggi pubblicitari su altri siti o piattaforme;

7.  raccomanda che tutte le piattaforme online operino una distinzione tra l'utilizzo politico dei loro prodotti pubblicitari online e il loro uso commerciale; rammenta che per il trattamento dei dati personali ai fini della propaganda politica è necessaria una base giuridica distinta da quella richiesta per la pubblicità commerciale;

8.  ritiene che l'obbligo di verificare l'identità, l'ubicazione e lo sponsor dei messaggi di propaganda politica, introdotto di recente da Facebook negli Stati Uniti, sia una buona iniziativa che aumenterà la trasparenza e contribuirà alla lotta contro l'ingerenza elettorale da parte di attori stranieri; esorta Facebook a introdurre gli stessi requisiti per la propaganda politica in Europa; invita gli Stati membri ad adeguare le rispettive leggi elettorali a tal fine;

9.  reputa opportuno vietare la profilazione a fini politici ed elettorali e la profilazione basata su comportamenti online che possano rivelare preferenze politiche, come l'interazione con i contenuti politici, nella misura in cui, conformemente alla legislazione dell'UE in materia di protezione dei dati, tali profilazioni si riferiscono a opinioni politiche o filosofiche, e ritiene che le piattaforme dei media sociali dovrebbero monitorare e informare attivamente le autorità circa eventuali comportamenti di questo tipo; ritiene opportuno vietare, inoltre, la profilazione basata su altri dati, ad esempio di natura socioeconomica o demografica, a fini politici ed elettorali; invita i partiti politici e gli altri attori coinvolti nelle elezioni ad astenersi dall'utilizzare la profilazione a fini politici ed elettorali; invita i partiti politici a essere trasparenti in merito al loro utilizzo dei dati e delle piattaforme online;

10.  rammenta le misure proposte dalla Commissione per garantire che le elezioni europee siano libere e regolari, in particolare la modifica legislativa intesa a rafforzare le norme sui finanziamenti dei partiti politici europei prevedendo la possibilità di imporre sanzioni finanziarie in caso di violazione delle norme sulla protezione dei dati con l'intento di influire sull'esito delle elezioni europee; ricorda che il trattamento dei dati personali da parte dei partiti politici nell'UE è disciplinato dal regolamento generale sulla protezione dei dati e che la violazione dei principi, dei diritti e degli obblighi previsti da tale normativa comporterebbe ammende e sanzioni supplementari;

11.  ritiene l'interferenza elettorale un rischio enorme per la democrazia, da affrontare mediante uno sforzo congiunto che veda associati i fornitori di servizi, le autorità di regolamentazione nonché gli attori e i partiti politici;

12.  accoglie con favore il pacchetto presentato dalla Commissione il 12 settembre 2018 in merito alla preparazione delle elezioni europee;

13.  ricorda la promessa di Facebook sulla questione di concedere a docenti universitari indipendenti l'accesso ai dati sulla presunta manipolazione dei voti e si attende di essere informato entro la fine del 2018 sui principali risultati e sui rimedi proposti;

14.  prende atto delle azioni intraprese da Facebook per contrastare l'uso illecito dei dati, tra cui la disattivazione o il divieto di applicazioni sospettate di utilizzare impropriamente i dati degli utenti; si attende che Facebook intervenga rapidamente in caso di segnalazioni riguardanti applicazioni sospette o abusive e impedisca la presenza di tali applicazioni sulla piattaforma;

15.  sottolinea che le piattaforme dei media sociali non sono soltanto piattaforme passive che raggruppano semplicemente contenuti generati dagli utenti, ma evidenzia che gli sviluppi tecnologici hanno ampliato la portata e il ruolo di tali società grazie all'introduzione della pubblicità e dei contenuti basati su algoritmi; conclude che tale nuovo ruolo dovrebbe trovare riscontro nel campo normativo;

16.  osserva con rammarico che Facebook non ha voluto inviare alle audizioni personale con le competenze tecniche adeguate e il livello opportuno di responsabilità nell'impresa e sottolinea che tale approccio è dannoso per la fiducia che i cittadini europei ripongono nelle piattaforme sociali; si rammarica che Mark Zuckerberg non abbia voluto partecipare ad un'audizione pubblica con i deputati;

17.  ritiene che Facebook non soltanto abbia tradito la fiducia dei cittadini dell'UE, ma abbia anche violato il diritto dell'UE, e rammenta che nel corso delle audizioni un rappresentante di Facebook ha confermato che Facebook era al corrente del fatto che i termini e le condizioni dell'applicazione "This is your digital life" prevedevano la possibilità di inviare a terzi i dati raccolti dall'applicazione; conclude che Facebook ha consapevolmente stipulato un contratto con uno sviluppatore di applicazioni che aveva apertamente annunciato di riservarsi il diritto di divulgare i dati personali a terzi; conclude inoltre che Facebook è il titolare del trattamento dei dati personali ed è quindi giuridicamente responsabile quando stipula un contratto con un responsabile del trattamento che viola il diritto dell'UE in materia di protezione dei dati;

18.  prende atto dei miglioramenti in termini di privacy apportati da Facebook dopo lo scandalo Facebook/Cambridge Analytica, ma ricorda che Facebook ha promesso di svolgere un audit interno completo di cui il Parlamento europeo non è ancora stato informato; raccomanda a Facebook di apportare modifiche sostanziali alla sua piattaforma in modo tale da garantirne la conformità al diritto dell'UE in materia di protezione dei dati;

19.  esorta Facebook ad autorizzare e permettere all'ENISA e al comitato europeo per la protezione dei dati, entro i limiti dei rispettivi mandati, di effettuare un audit completo e indipendente della sua piattaforma e a presentare i risultati di tale audit alla Commissione, al Parlamento europeo e ai parlamenti nazionali; ritiene che un audit di questo tipo debba essere effettuato anche su altre piattaforme importanti;

20.  sottolinea l'urgenza di contrastare qualsiasi tentativo di manipolazione delle elezioni dell'UE e di rafforzare le norme applicabili alle piattaforme online per quanto riguarda la perturbazione degli introiti pubblicitari dei conti e dei siti web che diffondono disinformazione; accoglie con favore le singole tabelle di marcia che stabiliscono azioni concrete per combattere la disinformazione in tutti gli Stati membri dell’UE che le piattaforme online e l’industria pubblicitaria hanno presentato alla Commissione il 16 ottobre 2018; esorta le piattaforme online a contrassegnare i contenuti condivisi da sistemi automatici (bot) applicando norme trasparenti, ad accelerare l'eliminazione degli account falsi, a conformarsi alle ordinanze dei tribunali, che impongono la fornitura di informazioni su coloro che creano contenuti illegali, nonché a lavorare con verificatori di fatti e università indipendenti per informare gli utenti in merito alla disinformazione di portata significativa e per offrire correzioni ogniqualvolta siano disponibili;

21.  chiede a tutte le piattaforme online che forniscono servizi pubblicitari per partiti politici e campagne elettorali di inserire nel gruppo di sostegno alle vendite esperti in grado di fornire ai partiti e alle campagne consulenza specifica in materia di trasparenza e responsabilità in relazione alle modalità per prevenire l'utilizzo dei dati personali ai fini della targetizzazione degli utenti; invita tutte le piattaforme online a consentire agli acquirenti della pubblicità di operare determinate selezioni per fornire consulenza giuridica sulle responsabilità di detti acquirenti in qualità di contitolari del trattamento dei dati, sulla scia della sentenza della CGUE nella causa C-210/16;

22.  invita tutte le piattaforme online a introdurre con urgenza le funzionalità di trasparenza previste in relazione alla propaganda politica, che dovrebbero prevedere la consultazione e la valutazione di tali strumenti da parte delle autorità nazionali responsabili dell'osservazione e del controllo elettorali; ribadisce che tale propaganda politica ed elettorale non dovrebbe essere effettuata sulla base dei profili dei singoli utenti;

23.  invita gli Stati membri ad adattare le norme elettorali sulle campagne online, anche quelle relative alla trasparenza dei finanziamenti, i periodi di silenzio elettorale, il ruolo dei media e la disinformazione;

24.  raccomanda di prescrivere lo svolgimento di audit, a cura di soggetti terzi, al termine delle campagne referendarie nell'ottica di garantire che i dati personali conservati nell'ambito della campagna vengano eliminati o, qualora siano stati condivisi, che sia stato dato l'adeguato consenso;

25.  chiede a Facebook di migliorare la sua trasparenza per consentire agli utenti di capire come e perché un partito politico o una campagna potrebbero targetizzarli;

26.  ritiene che le autorità preposte alla protezione dei dati debbano disporre di finanziamenti adeguati per conseguire le medesime conoscenze tecniche specialistiche di cui dispongono le organizzazioni sottoposte al loro controllo; invita gli Stati membri a garantire che le autorità preposte alla protezione dei dati siano dotate delle risorse umane, tecniche e finanziarie necessarie all'efficace svolgimento dei loro compiti e all'esercizio dei loro poteri, come previsto dall'articolo 52 del regolamento generale sulla protezione dei dati; esorta la Commissione a monitorare con attenzione gli Stati membri relativamente al loro obbligo di mettere a disposizione tali risorse e, se del caso, ad avviare procedure di infrazione;

27.  ricorda che Facebook è un organismo autocertificato in virtù dello scudo UE-USA per la privacy e, in quanto tale, ha beneficiato della decisione sull'adeguatezza come base legale per il trasferimento e il successivo trattamento di dati personali dall'Unione europea agli Stati Uniti;

28.  rammenta la sua risoluzione del 5 luglio 2018 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy e, alla luce del riconoscimento da parte di Facebook delle avvenute gravi violazioni della privacy, invita le autorità statunitensi responsabili dell'applicazione dello scudo per la privacy a dar seguito senza indugio a tali rivelazioni nel pieno rispetto delle garanzie e degli impegni assunti per mantenere l'attuale accordo sullo scudo per la privacy e, se necessario, a rimuovere tali società dall'elenco dello scudo per la privacy; si compiace, in tale contesto, del depennamento di Cambridge Analytica dallo scudo per la privacy nel giugno 2018; invita inoltre le autorità competenti dell'UE in materia di protezione dei dati a indagare su tali rivelazioni e, se del caso, a sospendere o proibire i trasferimenti di dati nell'ambito dello scudo per la privacy; si attende che l'FTC, l'autorità competente degli Stati Uniti, fornisca alla Commissione una sintesi dettagliata delle sue conclusioni una volta terminata l'indagine sulla violazione dei dati riguardante Facebook e Cambridge Analytica e adotti le opportune misure di contrasto nei confronti delle società interessate, ai fini di un'efficace azione deterrente;

29.  si rammarica che il termine del 1° settembre 2018 per la piena conformità allo scudo per la privacy da parte degli Stati Uniti non sia stato rispettato; ritiene pertanto che la Commissione non abbia agito in conformità dell'articolo 45, paragrafo 5, del regolamento generale sulla protezione dei dati; esorta quindi la Commissione, in linea con la risoluzione del Parlamento del 5 luglio 2018 sull'adeguatezza della protezione offerta dallo scudo UE-USA per la privacy, a sospendere lo scudo per la privacy fino a quando le autorità statunitensi non ne avranno rispettato i termini;

30.  osserva che l'utilizzo improprio dei dati personali incide sui diritti fondamentali di miliardi di persone in tutto il mondo; ritiene che il regolamento generale sulla protezione dei dati e la direttiva e-privacy prevedano i più elevati standard di protezione; deplora la decisione di Facebook di escludere 1,5 miliardi di utenti di paesi terzi dall'ambito di protezione del regolamento generale sulla protezione dei dati e della direttiva e-privacy; mette in discussione la legalità di tale provvedimento; esorta tutte le piattaforme online ad applicare le norme del regolamento generale sulla protezione dei dati (e della direttiva e-privacy) a tutti i loro servizi, indipendentemente dal luogo in cui sono offerti, poiché un livello elevato di protezione dei dati personali viene sempre più spesso considerato un importante vantaggio competitivo;

31.  invita la Commissione a migliorare le norme di concorrenza per tenere conto della realtà digitale, a esaminare il modello aziendale delle piattaforme dei media sociali e la loro eventuale situazione di monopolio, tenendo in debito conto il fatto che tale monopolio potrebbe essere dovuto alla specificità del marchio e alla quantità di dati personali conservati piuttosto che a una situazione di monopolio tradizionale, nonché ad adottare le misure necessarie per porvi rimedio; invita la Commissione a proporre emendamenti al codice europeo delle comunicazioni elettroniche che impongano anche ai prestatori di servizi di comunicazione "over the top" di interconnettersi ad altri, al fine di superare l'effetto "lock-in" per i loro utenti;

32.  chiede al Parlamento europeo, alla Commissione, al Consiglio e a tutti gli altri organismi, istituzioni e agenzie dell'Unione europea di verificare che le pagine dei media sociali e gli strumenti analitici e di marketing utilizzati nei rispettivi siti web non mettano in alcun modo a rischio i dati personali dei cittadini; suggerisce loro di valutare in quest'ottica le proprie politiche di comunicazione attuali, il che potrebbe implicare la possibilità di chiudere i loro account Facebook quale condizione necessaria per proteggere i dati personali di ogni singolo individuo che li contatta; incarica il proprio dipartimento per le comunicazioni ad attenersi rigorosamente agli orientamenti del regolamento generale sulla protezione dei dati relativi alla protezione dei dati personali trattati mediante i servizi web prestati dalle istituzioni dell'UE(15);

33.  ritiene che la prossima Commissione europea dovrebbe assegnare a uno dei suoi membri un portafoglio specifico sulla privacy e la protezione dei dati, al fine di coinvolgere in modo proattivo i partner all'interno e all'esterno dell'UE e garantire che tutte le proposte legislative siano pienamente conformi all'acquis giuridico dell'Unione in materia di privacy e protezione dei dati;

34.  esorta il Consiglio a porre fine allo stallo sul regolamento e-privacy e a raggiungere infine un accordo con il Parlamento senza ridurre il livello di protezione attualmente previsto dalla direttiva e-privacy, al fine di garantire che i diritti dei cittadini, in particolare quelli concernenti la protezione degli utenti contro la targetizzazione, siano tutelati;

35.  chiede alla Commissione di controllare le attività del settore pubblicitario sui media sociali e di proporre una legislazione nel caso in cui il settore e le parti interessate non riescano a trovare un accordo sui codici di condotta volontari con misure dissuasive;

36.  invita le autorità nazionali ed europee responsabili della protezione dei dati ad avviare un'indagine approfondita su Facebook e le sue attuali pratiche, in modo da sfruttare il nuovo meccanismo di coerenza del regolamento generale sulla protezione dei dati per assicurare una risposta europea adeguata ed efficace di contrasto;

37.  invita gli Stati membri ad adottare misure per rispondere ai rischi per la sicurezza della rete e dei sistemi di informazione utilizzati per organizzare le elezioni;

38.  è del parere che gli Stati membri debbano collaborare con terzi, tra cui i media, le piattaforme online e i fornitori di tecnologie dell'informazione, nell'organizzazione di attività di sensibilizzazione volte ad aumentare la trasparenza delle elezioni e la fiducia nel processo elettorale;

39.  è del parere che gli Stati membri debbano effettuare urgentemente, con il sostegno di Eurojust, se necessario, indagini sul presunto utilizzo improprio dello spazio politico online da parte di potenze straniere;

40.  incarica il suo Presidente di trasmettere la presente risoluzione al Consiglio, alla Commissione, ai governi e ai parlamenti degli Stati membri nonché agli Stati Uniti d'America, al Consiglio d'Europa e all'amministratore delegato di Facebook.

(1) GU L 119 del 4.5.2016, pag. 1.
(2) GU L 119 del 4.5.2016, pag. 89.
(3) GU L 207 dell'1.8.2016, pag. 1.
(4) Testi approvati, P8_TA(2018)0315.
(5) ECLI:EU:C:2015:650.
(6) ECLI:EU:C:2018:37.
(7) ECLI:EU:C:2018:388.
(8) https://edps.europa.eu/sites/edp/files/publication/18-03-19_online_manipulation_en.pdf
(9) http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053
(10) http://www.europarl.europa.eu/the-president/it/newsroom/answers-from-facebook-to-questions-asked-during-mark-zuckerberg-meeting
(11) http://www.europarl.europa.eu/resources/library/media/20180604RES04911/20180604RES04911.pdf
(12) GU L 45 del 17.2.2018, pag. 40.
(13) https://ico.org.uk/media/action-weve-taken/2259369/democracy-disrupted-110718.pdf https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/07/findings-recommendations-and-actions-from-ico-investigation-into-data-analytics-in-political-campaigns/
(14) http://www.beuc.eu/publications/beuc-x-2018-067_ep_hearing_facebook-cambridge_analytica.pdfhttp
(15) https://edps.europa.eu/sites/edp/files/publication/16-11-07_guidelines_web_services_en.pdf

Ultimo aggiornamento: 10 dicembre 2019Avviso legale