Mentre l’Europa è in attesa di celebrare due eventi epocali per la Data Protection che avranno un notevole impatto sulla nuova era digitale dei cittadini dell’Unione e non solo per loro, il nuovo GDPR (General Data Protection Regulation) e il recentissimo Privacy Shield (nuovo accordo per il trasferimento dei dati personali UE verso gli USA) entrambi previsti per questa primavera, il CNIL – Garante Privacy Francese – tutt’altro che in attesa, proprio in questi giorni “colpisce” il social network più famoso, Facebook.
Al termine di un’attività di indagine su più fronti, Il CNIL diffida Facebook per violazioni del diritto privacy nazionale e intima al social di adeguarsi entro tre mesi.
Cosa sta succedendo
Tutto ebbe inizio a marzo dello scorso anno, quando un aggiornamento della Privacy Policy del Social di Menlo Park cattura l’attenzione di alcune DPA (Data Protecion Autorithy europee) tra cui, oltre alla Francia, anche Spagna, Germania, Olanda e Belgio. Proprio quest’ultima è la prima ad agire contro Facebook nel novembre dello scorso anno: un tribunale belga lo condannò ad una sanzione pari a 250.000 euro al giorno se entro 48 ore non si fosse conformato alla propria normativa in materia di Data Protection.
Ma cosa è accaduto e cosa sta accadendo ora? Il problema è sempre lo stesso: non usi Facebook, ma visiti contenuti pubblicati sul social più famoso al mondo? Sei comunque tracciato e inseguito sulla rete.
L’accusa francese è che in sostanza Menlo Park monitori i dati e le preferenze di navigazione sulla propria piattaforma di utenti non iscritti al social network che si limitano a leggerne i contenuti, consultare il profilo di un amico, visitare pagine aziendali e/o di associazioni, condividere contenuti ritenuti interessanti e così via. E tutto questo tramite dei Cookie e all’insaputa di questi ignari visitatori.
Nello specifico il CNIL contesta ben cinque presunte violazioni: la raccolta di dati personali di non utenti; trattamento dati anche di tipo sensibile (credo religioso, opinioni politiche e orientamento sessuale, ad esempio) senza consenso preventivo; utilizzo di cookie senza preavviso e consenso preventivo; assenza di strumenti per la navigazione non profilata ad esempio per fini promozionali; trasferimento dati verso gli USA anche dopo l’invalidazione di Safe Harbor senza aver ricorso ad altri strumenti giuridici quali le Model Contract Clauses (Clausole Contrattuali Tipo) o le BCR (Binding Corporate Rules).
La diffida ha colpito non solo Facebook Ireland, paese di ubicazione del data center europeo, ma anche la sede centrale negli USA, e vista la gravità delle violazioni e il numero di soggetti interessati che ammontano a oltre 30 milioni, tanti sono gli utenti francesi di Facebook, il CNIL sta anche considerando seriamente l’ipotesi di una sanzione importante.
Ovviamente la risposta da Menlo Park non si è fatta attendere: “La Privacy di coloro che utilizzano Facebook è una nostra priorità. Siamo certi di rispettare le norme UE in materia. Massima disponibilità nei confronti del CNIL”. Nessuno si sarebbe aspettato risposta diversa, anche se non è chiaro se si riferiscano alla privacy dei non utenti o degli utenti del social. E anche in questo ultimo caso ci sarebbe da stare tranquilli?
Sembrerebbe quasi un’anticipazione di quello che potrebbe accadere in un futuro, poi neanche così lontano, con l’entrata in vigore del nuovo GDPR, quasi ormai certa nella primavera del 2018. Questo ennesimo caso Facebook ha in sé un fatto rilevante, forse passato inosservato alla stragrande maggioranza dei cittadini UE, ma agli occhi degli esperti del settore di sicuro no, e cioè una cooperazione transnazionale che vede forse per la prima volta unite in uno sforzo di tutela e protezione della privacy diverse Autorità Garanti nazionali. Si tratta di un nuovo approccio, spinti forse dall’entusiasmo di questo nuovo GDPR tanto atteso, oltre tre anni, e le imprese, soprattutto le multinazionali USA dei big data, devono tenere in seria considerazione tale nuovo modus operandi e prestare le dovute attenzioni.
Tutto in tre mesi
Il termine dei tre mesi imposto dal CNIL non sembra del tutto casuale: tre mesi dovrebbe anche essere il termine per giungere alla sottoscrizione definitiva del Privacy Shield, e in un certo senso sembrerebbe anche una mano tesa a favore nei confronti del “non amico” Facebook. Questa opportunità consentirebbe a Menlo Park quanto meno di gestire in maniera “indolore” l’ultima contestazione fatta dall’Autorità transalpina e decidere a quale strumento giuridico ricorrere.
E sempre in questi tre mesi, Facebook di lavoro da fare ne avrà davvero molto per recepire tutte le prescrizioni impartite dal CNIL: requisiti specifici per le password account (misure minime di sicurezza); caselle di controllo aggiuntive per le autorizzazioni da parte dell’utente (consensi privacy); processo chiaro per l’eliminazione dell’account utente (diritto all’oblio?). Queste alcune delle ulteriori richieste presenti nella diffida francese.
L’impatto di questa diffida sul mondo della rete sarà forte, soprattutto per quella che si avvale dei c.d. cookie di profilazione, poiché ribadisce con forza quelle che sono le misure minime obbligatorie da adottare qualora ci si avvalga di tali strumenti e/o di tecnologie ad essi equiparabili: blocco preventivo dei cookie, banner di consenso, cookie policy, switch on/off dei cookie, e così via.
Dall’altra parte Facebook in merito all’utilizzo di tali cookie, risponde esattamente come già fatto all’Autorità Belga: la principale finalità di utilizzo di tali tecnologie di monitoraggio è la sicurezza, si rendono necessarie azioni di monitoraggio di comportamenti non corretti quali ad esempio l’uso di profili fake, il furto di identità digitale e copia non autorizzata di contenuti. Peccato però che questi stessi non utenti del Social da lì a breve sono stati raggiunti da messaggi mirati a contenuto promozionale. Sarà solo un caso?
La domanda che si pone Facebook riguarda l’implementazione della c.d. robustezza delle password e la possibilità di cancellazione degli account, tra i quali anche quelli potenzialmente utilizzati per scopi non leciti, ponendo una questione di inopportunità soprattutto a seguito dei gravi attentati di Parigi e in ottica antiterrorismo: “ne vale la pena?”. Doverosa la domanda, ma forse Facebook dovrebbe anche porsene un’altra: “tutelare la privacy, è altrettanto doveroso?”.
Il futuro
Attualmente e fino alla primavera del 2018 ci sono e ci saranno ben 28 norme privacy, quanti sono i paesi UE, e questo mosaico variegato e a volte composto da tasselli anche diversi tra loro ha sempre “consentito” per alcuni aspetti di prendere con poca considerazione l’applicazione di tali norme nella loro pienezza e su questo scenario le multinazionali dei big data “ci hanno sempre un po’ giocato”. Ma a quanto pare la “festa” sembra volgere inesorabilmente alla fine.
E a casa nostra cosa potrebbe accadere? Il Garante Nazionale nel suo Provvedimento in materia di Cookie fissa un obbligo ben preciso: utente italiano uguale norma italiana. Chissà, sarà magari proprio la nostra Autorità Garante ad abbattere il prossimo colpo di scure su Facebook?
La questione rimane comunque sempre la stessa. Non si vieta l’uso dei Cookie. Si chiede solo che gli utenti vengano avvisati e messi in condizione di accettare consapevolmente la navigazione con o senza i c.d. Cookie di Profilazione: la trasparenza consente anche di fidelizzare i propri clienti. E’ un pilastro di ogni strategia di marketing, possibile che sia sfuggito al Social, con la esse maiuscola, di tutti i tempi?
Infine, secondo alcuni rumor, tali indagini non riguarderebbero solo Facebook, bensì anche altri Social Network. Non ci rimane che attendere, ma nel frattempo, si accettano suggerimenti. Chi sarà il prossimo?
Facebook Comments