Com’è ormai noto i dati di 533 milioni di utenti sono stati estratti da Facebook e resi pubblici on line. Di questi, almeno 36 milioni di record riguardano utenti italiani.
Ciò che non è noto è cosa succede ora, anche in punta di diritto.
Tutto è partito dallo scraping su Facebook
Cominciamo da cosa è successo. Facebook ha comunicato qualche ora fa che non si è trattato di una violazione di reti o sistemi ma di scraping di dati pubblici presenti su Facebook, nel 2019. Una pratica che ha da allora bloccato visti gli usi malevoli.
Lo scraping è una tattica comune che spesso si serve di software basato su intelligenza artificiale per estrarre informazioni già pubbliche dai diversi siti internet Internet al fine di creare database di dimensioni rilevanti da utilizzare, distribuire o da vendere. Non si tratta quindi di un vero e proprio furto di dati, quanto più che altro di una raccolta non autorizzata di dati già pubblici, circostanza questa che, tuttavia, non deve portare a sottovalutare la gravità dell’accaduto.
Perché lo scraping è illecito
A tal riguardo, dal punto di vista strettamente giuridico, è utile ricordare che il dato pubblico non è liberamente utilizzabile. Ogni trattamento necessita difatti di una idonea base giuridica, compreso il trattamento di dati già rinvenibili in banche dati pubbliche. Una azienda, ad esempio, non può prendere i dati pubblicati sul sito di un ordine professionale per creare un proprio database di soggetti a cui proporre offerte commerciali, salvo presenza di idonea base giuridica (che, nel caso in esempio, potrebbe essere il legittimo interesse).
Non solo: chi raccoglie informazioni, seppur pubbliche, deve necessariamente rilasciare informativa sul trattamento ai sensi dell’art. 14 GDPR il quale, tra l’altro, al punto f), prevede che il titolare indichi “la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico“ .
Per questo l’attività di scraping, seppur meno violenta di un attacco informatico vero e proprio, non può in alcun modo ritenersi legittima.
Illecito anche il riuso: Garante Privacy
Non solo, è opportuno evidenziare come anche l’eventuale riuso da parte di soggetti terzi, di queste banche dati create mediante scraping e rese poi pubbliche, deve ritenersi illegittimo, anche qualora il riutilizzo sia mosso dalle migliori intenzioni.
E’ ad esempio il caso del sito “haveibeenfacebooked.com” creato da italiani proprio per consentire alle persone di sapere se i loro dati fossero stati oggetto di divulgazione.
Come funzionava il servizio? L’utente poteva inserire il proprio nome e cognome e, in pochi istanti il sistema confermava o meno se il profilo in questione fosse stato interessato dalla fuga di dati in questione.
L’intento, come visto, è nobile ma comporta comunque un utilizzo di datti raccolti illegittimamente (da altri) e, per questo, il rischio di esporsi a sanzioni è elevato. Tanto più che proprio Garante è intervenuto con un comunicato ad hoc precisando:
“Il Garante avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione, che il loro eventuale utilizzo, anche per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito”.
Il riferimento è chiaramente diretto al citato sito, motivo per cui, visitandolo in data odierna, ci si troverà davanti alla seguente comunicazione: “A seguito del comunicato stampa del garante privacy del 6 aprile 2021 […] il servizio è stato sospeso fino a data da definirsi in attesa di ulteriori chiarimenti sulla legalità di esso. Ringraziamo tutte le persone che ci hanno supportato”.
Si noti che invece https://haveibeenpwned.com è ancora attivo. Un servizio analogo a quello chiuso, anche se non specializzato su quest’ultimo leak.
Le conseguenze della diffusione dei dati.
Ciò premesso, posta l’illegittimità di questa attività di scraping, cosa dobbiamo aspettarci ora?
Le conseguenze di questa diffusione di dati possono essere esaminate sotto due differenti punti di vista: quello degli utenti e quello dei provvedimenti delle autorità di controllo a protezione dei dati personali.
Per gli utenti il rischio principale riguarda il furto di identità e l’utilizzo dei dati del telefono mobile (all’epoca condivisi con Facebook) per attività criminali come, ad esempio attività di SIM Swaping. Il numero di telefono, come ricorda il garante Privacy nel citato comunicato, potrebbe difatti essere utilizzato per una serie di condotte illecite, che vanno da chiamate e messaggi indesiderati sino a serie minacce come il cosiddetto “SIM swapping”, una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione.
Il suggerimento quindi è quello di fare molta attenzione ai messaggi che si riceveranno risultando comunque opportuno per sicurezza, procedere altresì alla modifica delle credenziali di accesso di Facebook e di tutti gli altri applicativi ad esso collegati.
Ma gli utenti non saranno gli unici ad avere problemi a seguito di questa fuga di dati.
Responsabilità di Facebook
Anche Facebook potrebbe trovarsi a fronteggiare nuovamente le autorità di controllo le quali hanno già chiesto spiegazioni.
L’hanno fatto il nostro Garante, che pure ha chiesto a Facebook di attivare uno strumento con cui gli utenti possono verificare se si è tra le vittime, e il Garante irlandese che ha aperto una indagine a quanto comunicato ieri sera.
Certo, Facebook (mettendo le mani avanti) nel citato comunicato precisa già di aver da tempo denunciato questa crescita dell’utilizzo dei sistemi di scarping, modificando il proprio social network al fine di rendere più complicata la raccolta delle informazioni ivi pubblicate.
Molto però, secondo il colosso social, deve essere fatto dalle persone le quali sono tenute ad agire in modo consapevole, pubblicando solo le informazioni che davvero vogliono condividere con il mondo.
Difesa quanto mai traballante se si consideri che, per molto tempo, Facebook consigliava ai propri utenti di inserire il numero di telefono per rendere più agevole il recupero delle password. Non si tratta quindi di una pubblicazione fatta a cuor leggero dagli utenti, come vorrebbero far credere da Facebook, ma una richiesta attiva proveniente (peraltro a volte con insistenza) proprio dal social network. Non è quindi condivisibile questa strategia volta, quasi, a scaricare il problema sugli utenti, rei di aver usato il servizio in modo troppo disinvolto, dovendo anche Facebook farsi carico delle sue responsabilità.
Aperto il nodo Schrems II
Già, le responsabilità, anche questo è un punto interessante, perché come ricorderanno in molti, esiste una sentenza (Schrems II) che afferma nero su bianco che l’invio di dati verso i server negli stati uniti da parte di Facebook non è legittimo.
Tuttavia, salvo una lettera di messa in mora inviata a settembre dall’Authority irlandese, a questa sentenza non è seguito alcun provvedimento concreto. Circostanza questa capace di creare non poco imbarazzo in uno scenario come quello attuale dove i dati di milioni di europei sono stati trafugati in modo illecito da un social network che, con molta probabilità ora sarà messo sotto indagine da parte di un’autorità che per mesi non ha mosso un dito per far rispettare una sentenza della Corte di Giustizia UE. Insomma… quei dati non avrebbero dovuto nemmeno essere in USA, con che spirito il Garante Irlandese potrà ora avviare indagini relative ad una situazione che non avrebbe nemmeno dovuto esistere?
Questo, a parere di chi scrive è il nodo più interessante dal punto di vista meramente giuridico o, quantomeno, l’aspetto che, nei prossimi mesi, potrebbe fornire i maggiori spunti di riflessione.
I riflettori sono dunque sull’autorità irlandese, in attesa di una sua mossa, sperando che, almeno questa volta, non si tratti di una mera messa in mora ma di qualcosa di davvero incisivo, nel rispetto di quanto disposto dalla CJEU il 16 luglio 2020.
