La vicenda nasce dalla denuncia di un utente vittima di minacce, tentativo di estorsione, sostituzione di persona e indebita intrusione nel proprio account che, vedendosi ritratto in situazioni gravemente lesive del proprio onore e decoro, chiedeva a Facebook Ireland di avere accesso a tutti i dati relativi al proprio profilo compresi quelli contenuti nel fake, e di cancellare tutte le informazioni presenti nel falso account.

Il social network rispondeva comunicando – per e-mail ed in formato poco comprensibile perché composto da codici, numeri e sigle – le istruzioni per accedere ai dati personali attraverso il servizio self-service.

Una volta chiamata in causa l’Autorità, questa ha dovuto innanzitutto risolvere il problema di giurisdizione essendo Facebook un’azienda statunitense ed essendo la sede operativa europea in Irlanda. Tuttavia, poiché la società è presente anche in Italia con un organizzazione stabile, il Garante, invocando il Codice della privacy secondo cui il ricorrente ha diritto di conoscere tutti i dati che lo riguardano contenuti nei profili Facebook aperti a suo nome compresi gli account falsi, ha ordinato all’azienda di mettere a disposizione degli utenti tutti i dati che li riguardano in forma intelligibile e di inibire qualsiasi trattamento dei dati “incriminati”, ma di non cancellarli, perché potrebbero risultare utili in sede di accertamento di possibili reati.