venerdì, Marzo 29, 2024
Uncategorized

Facebook e lo scandalo Cambridge Analytica un anno dopo

Negli episodi precedenti

Nel 2018 si è parlato molto dei grandi flussi di dati, dei Big Data come sesto potere di questo secolo e di coloro che detengono e commerciano i dati personali ricavandone profitti e benefici spesso ignoti a molti. I rischi connessi allo sfruttamento eccessivo dei Big Data sono emersi chiaramente grazie al caso di Cambridge Analytica, la società di marketing online che ha fatto scandalo per aver raccolto e utilizzato dati al fine di condizionare il referendum sulla Brexit e la campagna presidenziale di Trump nel 2016. Nello scandalo è stato coinvolto anche e soprattutto il social network con sede a Menlo Park, che aveva consentito alla società statunitense di raccogliere i dati dei propri iscritti attraverso l’applicazione thisisyourdigitallife[1]. L’applicazione aveva ormai raccolto i dati di 50 milioni di utenti quando Facebook si è reso conto che la condivisione di tali dati con la Cambridge Analitica era avvenuta violando i termini d’uso del social network. Sostanzialmente il passaggio di informazioni dall’applicazione alla Cambridge Analytica era avvenuto tramite un consenso “non informato” degli utenti, i quali non erano stati adeguatamente informati sul reale utilizzo dei propri dati personali. A seguito dello scandalo, lo stesso CEO di Facebook Mark Zuckerberg ha dovuto ammettere l’insufficienza delle regole e dei controlli utilizzati davanti al Congresso degli Stati Uniti e scusarsi con gli utenti del social network.

Mark si è scusato, ma poi che è successo?

Come si è anticipato, la vicenda ha avuto il merito di aver portato al centro del dibattito un problema spesso sottovalutato, ovvero l’uso improprio dei Big Data e, di conseguenza, la necessità di normative restrittive sul loro utilizzo. Soprattutto in Europa e in Italia il caso ha avuto delle ripercussioni notevoli per Facebook. Il Garante per la privacy italiano, a seguito di un’apposita istruttoria avviata a seguito dello scandalo, aveva rilevato come due funzioni di Facebook, rivolte ai cittadini italiani in vista delle elezioni, non fossero previste tra le finalità indicate nella data policy della piattaforma e pertanto il trattamento dei dati raccolti tramite quelle funzioni è stato ritenuto illegittimo.  Il provvedimento, che ha vietato a Facebook il trattamento dei dati raccolti mediante tali funzioni, è stato trasmesso all’Autorità per la protezione dei dati dell’Irlanda (dove Facebook ha il proprio stabilimento principale in Europa) per le valutazioni di competenza. In ogni caso il Garante si è riservato la facoltà di contestare successivamente sanzioni amministrative per gli illeciti accertati ai danni dei cittadini italiani[2].

Quali sono quindi le reali ripercussioni per Facebook?

Al momento quindi il colosso di Menlo Park non ha subito reali ripercussioni sanzionatorie ed economiche, ma si è visto costretto (anche solo per il clamore mediatico) a prendere coscienza della sfiducia dilagante degli utenti nei confronti del social network, oltre che della necessità cogente di adeguare le proprie policy alle normative europee sulla tutela dei dati personali e dei consumatori. A tal fine la Commissione europea e le autorità di tutela dei consumatori hanno chiesto a Facebook di allineare le condizioni d’uso alla normative europea sulla tutela dei consumatori e soprattutto di rendere chiaro agli utilizzatori del social network le informazioni sulle modalità di utilizzo commerciale dei propri dati personali. Al chiaro scopo di riacquistare fiducia nei consumatori, i primi di aprile Facebook ha assunto l’impegno di rendere trasparenti le sue condizioni d’uso al fine di informare chiaramente i consumatori che i loro dati personali vengono usati per fini di marketing diretto. Facebook si è impegnato ad apportare le modifiche richieste entro la fine del giugno 2019, sotto il monitoraggio della rete di cooperazione per la tutela dei consumatori e della Commissione. Alla scadenza del termine previsto, se non dovesse adempiere ai propri impegni, Facebook potrebbe subire l’imposizione di sanzioni da parte delle singole autorità nazionali di tutela dei consumatori[3].

Cosa cambierà?

Tutto l’impegno di Facebook ruota attorno alla necessità primaria di rendere trasparente il fine per cui gli utenti prestano il consenso alla condivisione dei propri dati. Le modifiche previste inficeranno le condizioni d’uso, la politica di limitazione della responsabilità, la politica sulla cancellazione dei dati e i diritti degli utenti. Di seguito si riportano schematicamente i cambiamenti che Facebook ha accettato di apportare in accordo con la Commissione e le autorità di tutela dei consumatori[4].

Presentazione dei servizi di Facebook

– Facebook chiarirà che agli utenti verranno mostrati contenuti commerciali, in base al loro profilo e ai loro dati

– Facebook spiegherà il suo modello di business in modo più dettagliato, in particolare:

  • il modo in cui l’azienda guadagna fornendo servizi pubblicitari;
  • che l’azienda fornisce ai commercianti i dati degli utenti in forma aggregata
  • che non vende i dati personali dei consumatori agli inserzionisti e non condivide informazioni che identificano direttamente gli utenti (come nome, indirizzo e-mail o altro) con gli inserzionisti, a meno che gli utenti non diano un’autorizzazione specifica a Facebook.

– Facebook spiegherà in modo più dettagliato la natura delle attività condotte da Facebook stesso o con i partner commerciali.

Autorizzazioni concesse dagli utenti

Facebook chiarirà che la licenza che gli utenti danno a Facebook per quanto riguarda i contenuti condivisi è limitato nel tempo e al fine di migliorare i servizi forniti da Facebook.

Rimozione dei contenuti generati dagli utenti

– Facebook chiarirà in quali casi informerà i consumatori che il loro contenuto è stato rimosso;

–  i consumatori saranno informati in merito al loro diritto di fare ricorso avverso tale decisione.

Modifica unilaterale delle condizioni d’uso

– Facebook limiterà il suo diritto di modificare le proprie condizioni di servizio ai casi in cui le modifiche sono ragionevoli e prendono in considerazione gli interessi degli utenti;

– Facebook avviserà gli utenti in anticipo della decisione di modificare i termini del servizio, a meno che tali modifiche non siano state apportate per consentire a Facebook di conformarsi alle disposizioni di legge.

Sospensione o chiusura dell’account

– Facebook riconoscerà il suo obbligo di informare l’utente in caso di sospensione o cessazione di un account;

– Facebook chiarirà che gli utenti non saranno informati della chiusura dei loro account solo in casi specifici (per esempio quando ciò potrebbe compromettere un’indagine dell’autorità);

– Facebook ridurrà il numero di clausole che continuano ad essere applicate anche dopo la chiusura dell’account e ne informerà l’utente.

Conservazione dei contenuti rimossi

– Facebook chiarirà e giustificherà i casi specifici in cui i contenuti cancellati dagli utenti possono essere temporaneamente conservati (ad esempio per soddisfare una richiesta delle forze dell’ordine);

– il tempo massimo di conservazione dei contenuti cancellati per motivi tecnici sarà limitato a 90 giorni.

Limitazione della responsabilità

Facebook riconoscerà la propria responsabilità in caso di negligenza (come nel caso di utilizzo improprio dei dati da parte di terzi).

[1] Sul punto si rimanda all’analisi del caso pubblicata da G. Cavallari, disponibile qui: https://www.iusinitinere.it/facebook-e-cambridge-analytica-tra-preoccupazioni-e-promesse-10519

[2]Provvedimento su data breach – 10 gennaio 2019, Autorità Garante per la Protezione dei Dati Personali, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9082416

[3] Commissione europea – Comunicato stampa, http://europa.eu/rapid/press-release_IP-19-2048_it.htm

[4] https://ec.europa.eu/info/live-work-travel-eu/consumers/enforcement-consumer-protection/coordinated-actions_en

Ariella Fonsi

Laureata in Giurisprudenza nel 2017 presso l’Università LUISS “Guido Carli”, dal 2021 è abilitata all'esercizio della professione forense. Dopo aver conseguito il master in “Diritto e Impresa” erogato dalla 24ORE Business School di Milano, si occupa di contrattualista IT e di diritto dei dati.  

Lascia un commento