garante-della-privacy-chiude-istruttoria-caso-facebook

Facebook: Soro chiude l’istruttoria sul caso Facebook

La missione di Facebook è di dare alle persone il potere di costruire una comunità e insieme di rendere il mondo più vicino” afferma Facebook, peccato che qualcosa sia andato storto e molto sia cambiato dopo lo scandalo di Cambridge Analytica che lo ha coinvolto nel marzo 2018.

Da quel momento in poi, il colosso Social è quotidianamente impegnato a difendersi dalle sempre più frequenti richieste di chiarimenti e trasparenza avanzate da numerosi Stati sovrani tra cui anche l’Italia.

Un po’ come per lo scandalo Weinstein, tutti lo sapevamo ma per pigrizia, interesse o incoscienza fingevamo di essere ciechi. Non solo per chi lavora nel marketing ma anche per chi è un semplice utente, la realtà è sempre stata davanti ai nostri occhi sotto forma di microscopici caratteri di una privacy policy, termini e condizioni d’uso troppo lunghi e scomodi da leggere realmente.

Sottoscriviamo quindi, quasi incosciamente, infiniti contratti che spesso violano non solo la nostra privacy, ma anche quella dei nostri “amici”.

A gennaio 2019 il Garante della privacy Soro ha chiuso l’istruttoria avviata sul caso Facebook: cerchiamo di capirne di più.

 

 

Cosa è successo nel 2018?

Marzo 2018 – Scandalo tra l’opinione pubblica

La stampa nazionale ed internazionale porta all’attenzione dell’opinione pubblica la notizia di Cambridge Analytica, società di ricerca inglese parte del gruppo SCL-Strategic Communication Laboratories. Nel 2016 la società avrebbe utilizzato, in modo inappropriato, i dati di 87 milioni di utenti Facebook con l’intento di fornire profilazioni accurate combinando il data mining, l’interpretazione dei dati e l’analisi dei dati con la comunicazione strategica per la campagna elettorale statunitense. Fondata nel 2013, già nel 2014 CA è stata coinvolta in 44 campagne elettorali politiche statunitensi. Dal 2015 ha lavorato prima per la campagna presidenziale del repubblicano Ted Cruz poi, nel 2016, per quella di Donald Trump e sulla campagna della Brexit.

16 marzo 2018 – Facebook rimbalza le responsabilità

Il social network rende nota la decisione di bloccare tutte le attività del gruppo SCL sulla sua piattaforma, incluse quelle riferibili alla società Cambridge Analytica, a seguito dell’utilizzo illecito di dati degli utenti Facebook. Veniva inoltre resa nota anche la sospensione delle attività del dr. Aleksandr Kogan, professore di Psicologia dell’Università di Cambridge, per aver dichiarato il falso a Facebook e violato le sue policy, trasferendo, tra gli altri, a Cambridge Analytica i dati di utenti della piattaforma acquisiti mediante la sua app “Thisisyourdigitallife”. L’app in questione comprendeva un quiz sulla personalità sviluppato dallo stesso Kogan e gestito dalla sua società “GSR-Global Science Research”.

2 maggio 2018– Cambridge Analytica dichiara fallimento

Cambridge Analytica dichiara fallimento a seguito dello scandalo che la vede coinvolta. Dopo la chiusura gran parte della società e dei personaggi chiave si spostano in Emerdata, nuova società avente compito simile a quella di Cambridge Analytica.

 

 

2018: Richieste formali tra Italia e Facebook

21 marzo 2018– L’ Autorità italiana avvia una formale istruttoria

L’ Autorità italiana avvia una formale istruttoria trasmettendo una prima richiesta di informazioni a Facebook Italy e a Facebook Ireland Limited richiedendo se vi fosse stato il medesimo illecito utilizzo di dati personali di cittadini italiani in relazione ad attività di profilazione a fini di carattere politico e/o elettorale.

A partire da questo momento, per tutto il 2018, inizia un vero botta e risposta tra il social network ed il Garante della Privacy italiano che chiede incessantemente a Facebook chiarimenti e documentazioni.

 

 

Il caso italiano: cosa emerge

Cambridge Analytica

In merito alla vicenda di Cambridge Analytica, dall’istruttoria non risulta comprovato che la Global Science Research, società di proprietà del dr. Kogan, abbia fornito a Cambridge Analytica dati personali di utenti italiani ma che sarebbero state cedute solo informazioni riferite a utenti residenti negli USA.

cambridge-analytica-dati-cittadini-americani-personal-data

 

Applicazione “Candidati”

Nel corso dell’istruttoria emerge invece uno specifico trattamento di dati personali dei cittadini italiani acquisiti in occasione delle elezioni politiche del 4 marzo 2018 mediante un prodotto, denominato “Candidati”, installato sulla piattaforma del social network. Tale prodotto consentiva agli elettori che fornivano il proprio indirizzo postale di avere informazioni sui candidati della propria circoscrizione elettorale e sui loro programmi. Inoltre, nel giorno delle elezioni appariva sul newsfeed degli utenti di Facebook un messaggio che sollecitava la condivisione dell’essersi o meno recati al voto e ad esprimere opinioni sull’importanza dello stesso. 

Attraverso i 57 utenti italiani che avrebbero scaricato la suddetta app, sarebbero stati comunicati al prodotto “Candidati” i dati di 214.077 utenti italiani

afferma il Garante della Privacy nell’Istruttoria

Facebook, pur affermando di non registrare informazioni su come gli utenti si fossero orientati su tali profili, conservava i file di log delle loro azioni per un periodo di 90 giorni per poi estrarne “matrici aggregate” non meglio definite.

SCHERMATA 1 – PRESENTAZIONE DEL PRODOTTO “CANDIDATI”
Schermate applicazione CANDIDATI caso Facebook

 

Acquisizione del consenso

La modalità di acquisizione del consenso, utilizzata da Facebook e da applicazioni e prodotti di terzi, è stata già più volte dichiarata illecita dal Garante della privacy italiano che nell’istruttoria rimarca:

Il trasferimento di dati in questione è avvenuto sulla base di un’informativa, fornita agli utenti al momento dell’iscrizione a Facebook, dal contenuto onnicomprensivo, generico e di difficile ricostruzione[…]Analoga considerazione vale, a maggior ragione, per gli “amici” dell’utente in questione, i quali non potevano immaginare, nel concedere la loro “amicizia” su Facebook, che, per effetto di questa azione, i loro dati avrebbero potuto essere ceduti da soggetti terzi a piattaforme, ed utilizzati per finalità diverse e ignote.

trasferimento-illecito-di-dati-con-modalità-di-consenso-non-chiare

 

L’Informativa sul trattamento dei dati

Un esame della funzione “Facebook Login” ha altresì evidenziato importanti carenze di informativa anche di altre numerose applicazioni, che, nella maggioranza dei casi, non forniscono un’adeguata indicazione sulle finalità e modalità del trattamento dei dati acquisiti, che risultano peraltro generalmente più numerosi di quelli necessari all’autenticazione di utilizzo, ossia dei propri dati identificativi.

carenze-di-informativa-per-termini-e-condizioni-di-facebook-login-e-di-molte-applicazioni

 

 

In conclusione

Il Garante della Privacy a conclusione dell’istruttoria del caso Facebook decide che:

  • Cambridge Analytica ed applicazione “Thisisyourdigitalife”: dati dei cittadini italiani acquisiti tramite l’App, anche se non trasmessi a Cambridge Analytica, sono stati comunque trattati in modo illecito, in assenza di idonea informativa e di uno specifico consenso. Per questo il Garante ne ha vietato l’ulteriore trattamento e si è riservato di avviare un separato procedimento sanzionatorio;

 

  • Applicazione “Candidati”: Il Garante ha rilevato che la conservazione dei file log e la successiva estrazione di “matrici aggregate”, specificamente concepite e rivolte ai cittadini italiani in prossimità delle elezioni, non sono previste tra le finalità indicate nella “data policy” della piattaforma;

 

  • Acquisizione del consenso e Trattamento dei dati personali: I dati personali possono essere raccolti per finalità determinate ed esplicite e successivamente trattati in modo compatibile con tali finalità. Le finalità del relativo trattamento devono essere descritte con estrema precisione quando vengono raccolti dati sensibili, come quelli potenzialmente idonei a rivelare opinioni politiche, in modo tale da consentire agli utenti di esprimere il proprio consenso libero e informato;

 

  • Divieto di utilizzo dei dati raccolti: Il Garante ha ritenuto illegittimo il trattamento di dati realizzato da Facebook in quanto basato su un generico consenso reso dall’utente al momento della registrazione alla piattaforma dopo la lettura di una informativa del tutto inidonea. Per questo, ha vietato a Facebook il trattamento di ogni eventuale dato raccolto mediante tali modalità. L’Autorità si è riservata la possibilità di applicare sanzioni amministrative per gli illeciti trattamenti di dati riscontrati.

 

Sul caso italiano rimangono aperti però dei dubbi:  Quali dei dati raccolti sono stati utilizzati a scopo elettorale? Chi li ha utilizzati? Hanno influenzato il voto degli elettori?

Sarebbe il caso di fare chiarezza.

 

 

SUITE GDPR SENTINEL

  • ✓ Inventario e discovery della rete aziendale
  • ✓ Analisi delle vulnerabilità e delle anomalie
  • ✓ Registrazione dei log di sistema
  • ✓ Monitoraggio intelligente degli accessi

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *