Sul fronte della privacy, il 2019 potrebbe essere anche peggio del 2018 per Facebook, soprattutto se le politiche di settore in Usa ed Europa dovessero convergere.
Ecco gli elementi che si stanno allineando all’orizzonte.
Tutti gli scivoloni di Facebook sul versante privacy
Le ultime vicende, del resto, ormai lo denunciano: Facebook, il più grande social network della rete, gestisce ormai da anni i dati dei propri utenti in maniera quasi indiscriminata. Dopo lo scandalo del secolo di Cambridge Analytica, come definito dal garante Ue per la privacy Giovanni Buttarelli, Mark Zuckerberg ha avuto molti grattacapi che si sono concretizzati nell’audizione del 10 aprile 2018 dinanzi al Congresso degli Stati Uniti. Ma ripercorriamo gli scivoloni più grandi del gigante dei social nel 2018.
- A marzo 2018 un informatore ha rivelato al The Guardian come Cambridge Analytica – società di proprietà del miliardario Robert Mercer e guidata all’epoca dal consulente chiave di Trump Steve Bannon – dal 2014 abbia raccolto e utilizzato le informazioni personali prese da Facebook senza che ci fosse stata una richiesta specifica per creare un algoritmo che riuscisse a profilare i singoli elettori americani, al fine di raggiungerli più facilmente con annunci politici personalizzati. Parliamo dei dati di circa 50 milioni di utenti che sono stati raccolti attraverso un’app chiamata this is your digital life, costruita dall’accademico Aleksandr Kogan. Centinaia di migliaia di utenti hanno sostenuto un test ed hanno accettato di consegnare i loro dati per uso accademico. Tuttavia, l’applicazione ha anche raccolto i dati dei loro amici di Facebook, portando all’accumulo di informazioni di decine di milioni di persone. Sempre nel marzo 2018 è stato inoltre rivelato che Facebook ha tenuto un registro delle chiamate e dei testi degli utenti Android, cosi come rilevato da molti utenti;
- Ad aprile 2018 è stato rivelato che Facebook era in trattativa con diverse aziende ospedaliere per convincerle a condividere i dati medici privati dei pazienti. “Questo lavoro non ha superato la fase di pianificazione e non abbiamo ricevuto, condiviso o analizzato i dati di nessuno”, ha detto a CNBC un portavoce di Facebook;
- A giugno, la società ha dichiarato che un bug del software ha reso pubblici i post di circa 14 milioni di utenti che avevano pubblicato in modalità privata i propri post;
- A settembre degli hacker hanno ottenuto l’accesso a circa 30 milioni di account Facebook. Ma sul sito ufficiale la piattaforma non ha rilasciato ulteriori info;
- A novembre, Facebook tramite Alex Warofka, Product Policy Manager ha riconosciuto di non aver fatto abbastanza per impedire che la sua piattaforma fosse utilizzata come strumento per incitare alla violenza nel genocidio di Myanmar contro la minoranza musulmana dei Rohingya; infine
- A dicembre ha ammesso di aver dato accesso a foto private di 68 milioni di utenti ad app che non erano autorizzate a visualizzarle.
In buona sostanza la tutela della privacy da parte di FB viene continuamente violata. Tuttavia, il CEO fino ad ora non ha fatto altro che continuare con un mea culpa al congresso USA, affermando: “It was my mistake”. Un po’ troppo poco per l’uomo che gestisce la community social più grande al mondo.
Facebook ha ricevuto diverse denunce, ma al momento la sfida maggiore sembra essere il Federal Trade Commission (FTC), l’agenzia indipendente del governo degli Stati Uniti istituita nel 1914 con la missione di promuovere la protezione dei consumatori. In particolare, i richiami denunciavano che Facebook consentiva alle app di terzi che gli utenti avevano installato di accedere a quasi tutti i loro dati personali, anche se Facebook aveva dichiarato che le app potevano ottenere solo le informazioni personali di cui avevano bisogno per operare.
La policy Usa sulla data protection
Ma qual è la policy relativa alla data protection?
Diversamente dal vecchio continente, dove le società che trattano dati personali hanno dovuto adattarsi a una regolamentazione più dura, gli Usa non hanno una legge generale e unica sulla privacy, lasciando così le aziende tecnologiche libere di sfruttare al massimo la maggior parte dei dati a loro disposizione a condizione di non ingannare gli utenti. Non esistendo un’unica legge federale (nazionale) che disciplini la raccolta e l’uso dei dati personali, gli Usa hanno un quadro normativo a patchwork (a mosaico) composto da leggi e regolamenti federali e statali che spesso si sovrappongono, incastrano e si contraddicono a vicenda.
Inoltre, ci sono molte guideline, sviluppate da agenzie governative e gruppi industriali che non hanno forza di legge, ma fanno parte quadri di autoregolamentazione considerati come best practice. Ci sono già una serie di leggi federali sulla privacy che regolano la raccolta e l’uso dei dati personali. Alcuni si applicano a particolari categorie di informazioni, quali informazioni finanziarie o sanitarie o comunicazioni elettroniche. Altri si applicano alle attività che utilizzano informazioni personali, come il telemarketing e l’e-mail commerciale. Inoltre, ci sono ampie leggi sulla tutela dei consumatori che non sono leggi sulla privacy in quanto tali, ma sono state utilizzate per proibire pratiche sleali o ingannevoli che implicano la divulgazione di informazioni personali e procedure di sicurezza per la protezione.
Di particolare interesse è la Federal Trade Commission Act (15 USC §§41-58) (FTC Act), ovvero la legge federale sulla protezione dei consumatori che vieta pratiche sleali o ingannevoli, che negli ultimi anni è stata applicata alle politiche di privacy e sicurezza dei dati offline che online. Il sistema Usa si regge su di un‘autonomia dei privati creando così un approccio di tipo autoregolamentante ed utilitaristico (dati sono di proprietà di chi li usa) e settoriale (come il settore medico etc..), infatti la privacy è tutelata e regolamentata solo nell’ambito delle pratiche commerciali. Per questo motivo in America la tutela della privacy è attribuita principalmente alla FTC per la quale tale tutela della privacy, non è altro che un’estensione della tutela del consumatore e della legittimità del fair trade. Normative principali:
- Federal Trade Commission Act (15 USC §§41-58) (FTC Act)
- The Financial Services Modernization Act (Gramm-Leach-Bliley Act (GLB)) (15 USC §§6801-6827) regulates the collection, use and disclosure of financial information
- The Health Insurance Portability and Accountability Act (HIPAA) (42 USC §1301 et seq.) regulates medical information.
- The HIPAA Omnibus Rule also revised the Security Breach Notification Rule (45 CFR Part 164)
- The Fair Credit Reporting Act (15 USC §1681) (and the Fair and Accurate Credit Transactions Act (Pub.L. No. 108-159)
- The Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM Act) (15 U.S.C. §§7701-7713 and 18 U.S.C. §1037) and the Telephone Consumer Protection Act (47 U.S.C.§227 et seq.) regulate the collection and use of e-mail addresses and telephone numbers respectively.
- The Electronic Communications Privacy Act (18 USC §2510) and the Computer Fraud and Abuse Act (18 USC §1030) regulate the interception of electronic communications and computer tampering, respectively.
Solo la California sembra essere sostanzialmente al passo, poiché nel luglio 2018, ha approvato la più ampia di tutte le leggi sulla privacy negli Stati Uniti, la California Consumer Privacy Act (valida dal primo gennaio 2020). La legge offre ai consumatori numerosi nuovi diritti, tra cui il diritto di:
- Richiedere la cancellazione dei propri dati;
- Richiedi divulgazioni di informazioni su come le informazioni vengono raccolte e condivise; e
- Istruire una società a non vendere i propri dati.
La policy Ue sulla data protection
L’Europa ha, invece, un approccio generalista (indipendentemente dal settore di applicazione) e centralizzato dove la privacy è vista come un diritto fondamentale dell’individuo.
Lo stato dell’arte in Europa è rappresentato dal GDPR (General Data Protection Regulation), ovvero il Regolamento (UE) 2016/679 che ha abrogato la direttiva 95/46/CE. Queste norme garantiscono la protezione dei dati personali ogni volta che vengono utilizzati e si applicano ad aziende ed organizzazioni (pubbliche e private) nell’Ue e a quelle fuori che offrono beni o servizi nell’Ue. Inoltre, ci sono una serie di diritti riconosciuti all’utente, come:
- Diritto alla Cancellazione dei propri dati (diritto all’oblio);
- Diritto al trasferimento dei dati personali (diritto alla portabilità dei dati);
- Diritto alla Correzione dei dati personali; ed il
- Diritto d’accesso ai propri dati
La policy sulla data protection in Italia
Il 25 maggio scorso è entrato definitivamente a regime il GDPR che, in quanto direttamente applicabile, non necessita di un’ulteriore normativa di recepimento ad hoc. Il Codice della Privacy italiano del 2004 non è pertanto più efficace per quanto riguarda tutte le norme in contrasto con il nuovo regolamento generale UE. Successivamente a settembre è entrato in vigore il d.lgs. 10 agosto 2018, n. 101, che ha modificato il Codice della Privacy per adeguarlo ulteriormente alle previsioni normative del Regolamento UE 2016/679 (GDPR), con tutte le previsioni legislative come il data breach, DPO e tutti i diritti previsti dall’articolo 18 GDPR.
Per ultimo, nel comunicato stampa del 14 dicembre 2018 il Garante della Privacy ha verificato la conformità dei Codici deontologici, di particolare importanza per quanto riguarda il consenso al trattamento ai minori di 14 anni, previsione che presuppone limiti e difficoltà tecniche non ancora meglio specificate.
Limiti e criticità dell’approccio Ue
I limiti del mercato americano sono abbastanza chiari, poiché non esiste una normativa generale applicabile uniformemente a tutti gli Stati e che abbia ad oggetto principale i soli dati personali. Per quanto riguarda l’Ue, la possibilità per ogni stato di legiferare ognuno a modo suo, per definire nel dettaglio le norme previste dal GDPR, rema contro il principio ispiratore della norma ovvero l’armonizzazione legislativa nell’Unione. Non di poco conto è la difficoltà a comprendere come molte aziende che trattano i nostri dati in Ue, ma che fanno capo a big del mercato sparse nel mondo (vedi FB, Netflix, Wechat, Amazon e Alibaba), possano essere obbligate ad applicare norme dell’Unione anche all’esterno del Mercato unico. Tutte le future policies potrebbero prevedere un’ulteriore specificazione unica a livello europeo, evitando così la frammentazione applicativa nazionale.
In altre parole, un’esigenza di policy si avverte in relazioni a due ambiti particolari:
- Il primo riguarda lo stesso GDPR che, essendo una direttiva, lascia ampio spazio agli Stati membri riguardo la scelta dei mezzi necessari per raggiungere il risultato delineato nel provvedimento. Pertanto, potrebbe capitare che ci siano 28, ormai 27, diverse versioni nazionali del GDPR che variano in base alla discrezionalità dello Stato di attuazione. A complicare la situazione sono le singole leggi nazionali di settore esistenti e che ora sono state accorpate al GDPR, e che dovranno essere interpretate in maniera armoniosa con la direttiva Ue. Di facile intuizione sono i rischi che ne deriverebbero, in primo luogo una società potrebbe scegliere di avere sede in uno Stato membro più “permissivo” in materia di protezione dei dati, e in secondo luogo in caso di contenzioso ci sarebbero più leggi nazionali sovrapposte in pieno contrasto con lo spirito del diritto dell’UE.
- Il secondo riguarda la protezione offerta dai Paesi terzi ai dati personali. Le più grandi multinazionali che trattano i dati personali operano in Ue, ma non sono made in Europe e per la maggior si trovano nel paese a stelle e strisce. La stessa FB, tramite le dichiarazioni di Mark Zuckerberg, ha fatto capire che trasferirà milioni di utenti fuori dalla portata della nuova legge europea sulla privacy verso un porto “meno severo” ovvero quello americano. In pratica si richiama il Capo V del GDPR rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali”, che troppo poco ed in maniera troppo vaga lascia aperto il trasferimento verso paesi terzi che “rispettino le condizioni del presente capo […]”. Intuibile capire come sia arduo per l’Ue etichettare gli USA come non rispettosi della normativa di punto in bianco ed ancor di più sia sanzionare una loro azienda, ed affermare come non basti un semplice sistema di autocertificazioni in materia di privacy, cosi come si evince dal preambolo 16 della decisione di esecuzione 2016/1250 della Commissione Europea sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy che recita cosi:
“La protezione dei dati personali offerta dallo scudo si applica a tutti gli interessati dell’UE (17) i cui dati personali sono trasferiti dall’Unione a organizzazioni degli USA che si sono autocertificate come aderenti ai principi presso il Dipartimento del Commercio”
Si potrebbe auspicare un regolamento europeo anziché una direttiva, che sia direttamente applicabile e che non necessiti di una legislazione di attuazione negli Stati membri. Con la consapevolezza del diverso iter e consenso richiesto per la sua adozione ma allo stesso tempo della sua migliore efficacia. Circa la questione Usa siamo alle prese con il solito problema europeo: la mancata armonizzazione legislativa crea problemi anche nel far fronte unico a colossi come gli Stati Uniti. Si potrebbe prevedere un divieto di trasferimento dei dati Ue al di fuori dei confini del Mercato Unico senza un accordo ad hoc con l’Unione, sulla falsa riga degli accordi commerciali e che preveda sanzioni per i comportamenti in violazione alle norme GDPR e che non si basi su semplici autocertificazioni.
Per ultimo, ma non meno importante, sarebbe giusto chiedersi quando la gestione della privacy e la protezione dei dati personali diventerà ufficialmente un’asse portante nella valutazione dell’affidabilità di un’azienda sul mercato?
