Blog : social network

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

L’ARGOMENTO

In un mondo oramai intensamente globalizzato e tecnologico, l’utilizzo di social network è all’ordine del giorno. Verso la fine del 2015, solo nell’Unione Europea, gli utenti con un account Facebook si aggiravano attorno ai 237 milioni1, ciò ad indicare l’ormai imponente diffusione di social network fra la numerosa popolazione europea. Quasi ognuno di noi è in possesso almeno di un social network (Facebook, Twitter e Instagram fra i più popolari) e vi accede con regolarità ogni giorno da dispositivi fissi e mobili in un contesto prettamente personale o domestico (e quindi non per scopi commerciali o professionali).

LE REGOLE

Ora, l’approvazione e la conseguente pubblicazione, il 4 Maggio scorso, del nuovo Regolamento Privacy 2016/679 ha apportato diverse e interessanti novità circa la protezione dei dati personali. Tenendo in considerazione il fatto che il Regolamento va ad abrogare la precedente Direttiva sulla Protezione dei Dati Personali del 1995, periodo in cui i social network erano solo un’idea lontana, è bene valutare quali sono le particolari disposizioni adottate in relazione all’utilizzo quotidiano di social network da parte degli utenti Europei. In base ad una prima e superficiale lettura della normativa, si comprende che il Regolamento non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di un’attività a carattere esclusivamente personale o domestico2 e che fra tali attività potrebbero essere comprese la corrispondenza e gli indirizzari o l’utilizzo di social network e attività online3. Sembrerebbe, dunque, che tale Regolamento non si applichi all’utilizzo di social network e attività online da parte di un qualsiasi utente che vi accede più volte durante la giornata. Una più attenta lettura, invece, evidenzia una specifica disposizione in materia nella quale viene sottolineato che “tuttavia il presente Regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”4. In sostanza, dunque, la contraddizione risulta essere solo apparente: il Regolamento non è destinato a due ipotetici utenti nell’ambito di una loro attività privata, ma si applica comunque al soggetto terzo (Facebook o qualsiasi piattaforma social) che fornisce i mezzi per comunicare fra loro e che quindi svolge il ruolo di titolare del trattamento.

Dato l’elevato rischio di erronea interpretazione circa la validità del Regolamento, è bene sottolineare come, anche e soprattutto a livello nazionale, vi siano già precise disposizioni in materia. Infatti, l’Articolo 5 comma 3 del Codice della Privacy prevede che il trattamento effettuato da persone fisiche per fini personali è soggetto all’applicazione del Codice stesso nel caso in cui i dati siano destinati ad una comunicazione sistematica (condizione evidentemente applicabile al funzionamento dei social network).

D’altra parte, invece, il Regolamento introduce un’importante novità che va considerata in modo da comprendere cosa comporti la chiusura di un account social e dunque la terminazione di un trattamento di dati personali concessi ad una qualsiasi piattaforma: il diritto alla portabilità dei dati personali. In sostanza, tale diritto prevede che l’interessato riceva i dati personali che lo riguardano forniti al titolare di un certo trattamento e li possa trasmettere, senza alcun impedimento, ad un altro titolare, solamente nel caso in cui il trattamento sia stato effettuato sulla base di un consenso esplicito e con mezzi automatizzati. Il Regolamento precisa anche che, qualora sia tecnicamente fattibile, l’interessato potrebbe anche avere il diritto di ottenere che i dati personali vengano trasmessi direttamente da un titolare di trattamento ad un altro. Nel caso dei social network i dati forniti dall’utente al momento dell’iscrizione necessitano forzatamente di un consenso esplicito e vengono trattati con mezzi automatizzati dal provider del servizio social. È chiaro, dunque, che le condizioni di consenso esplicito e trattamento automatizzato di dati siano applicabili ai social network e che possa essere fatto valere il diritto alla portabilità dei dati. Conseguentemente, in base a tale disposizione, nel momento in cui un qualsiasi utente iscritto ad uno specifico social network decida di cancellare il proprio account, potrà richiedere che i propri dati vengano ricevuti e trasferiti ad un altro titolare e che non vengano conservati ‘a vita’ da un social provider.

Dunque, nell’ottica di una maggiore tutela della privacy degli utenti iscritti, cosa prevede la policy dei vari social network circa i diritti alla portabilità ed alla cancellazione dei dati?

Effettuare un breve excursus specificamente su Facebook, il social network più diffuso a livello europeo e mondiale, è utile per comprendere quale sia la sua specifica policy in materia di privacy e come il diritto Europeo influenzi il suo operato ai fini della tutela dei dati personali forniti da un qualsiasi utente iscritto.

Facebook prevede una precisa policy riguardo il trattamento dei dati5, in cui sono specificate le tipologie di informazioni raccolte, le modalità di utilizzo e condivisione, nonché di gestione ed eliminazione dei dati. Facebook raccoglie varie informazioni sull’utente iscritto, fra cui le attività eseguite e le informazioni fornite alla piattaforma, le reti utilizzate e le connessioni effettuate, i dati riguardo i dispositivi dai quali avviene l’accesso (comprese posizioni geografiche, bluetooth, wifi, indirizzi IP, numero di cellulare ecc.), nonché notizie provenienti da partner terzi, siti web e applicazioni che utilizzano i servizi Facebook. Tali informazioni raccolte vengono utilizzate per fornire e migliorare le proprie prestazioni, proporre all’utente servizi e inserzioni pubblicitarie, nonché per implementare la sicurezza dei servizi offerti.

Le informazioni fornite dall’utente possono essere condivise con le persone abilitate a visualizzare i contenuti postati dall’utente, con applicazioni, con le aziende di Facebook, con clienti e partner terzi e in maniera particolare con fornitori di servizi e altri partner cosi come con aziende specializzate in servizi pubblicitari, di misurazione e analisi. Rispetto a questi ultimi, Facebook comunica alcune informazioni dell’utente in modo che gli vengano offerte pubblicità efficaci in base ai propri gusti personali.

I propri dati personali possono essere eliminati in maniera definitiva dal social network?

Vi sono due opzioni previste da Facebook in relazione alla disattivazione e all’eliminazionedefinitiva di un account6. Nel primo caso l’utente disattiva temporaneamente l’account e le informazioni le quali, nonostante per la maggior parte non siano visibili agli altri utenti ‘amici’, restano comunque ancora trattenute dalla piattaforma. Nel secondo caso, invece, l’utente può richiedere una cancellazione totale dei propri dati tale per cui non potrà più accedere al proprio account.

IL CASO ED IL PROVVEDIMENTO DEL GARANTE

Nonostante quanto previsto dalle disposizioni in materia di diritto alla cancellazione dei propri dati personali finora analizzate, non sono mancate dispute circa la protezione dei dati personali. Uno dei casi più recenti in Italia risale all’ 11 Febbraio scorso, giorno in cui il Garante per la privacy ha emanato un provvedimento nei confronti di Facebook in seguito alla segnalazione da parte di un utente il quale lamentava di aver subito forme di ricatto economico da parte di un soggetto ignoto, il quale, di fronte al rifiuto di corrispondergli la somma ingiustamente richiesta, ha creato un falso profilo dell’utente utilizzando foto e dati personali per interagire con altri contatti mediante messaggi con carattere diffamatorio (alcuni di questi contenenti fotomontaggi pedopornografici). A parte gli illeciti penali interessati dal caso, l’utente ha tentato di ottenere la rimozione delle false foto tramite il servizio offerto dal social network e la loro comunicazione in forma leggibile, il blocco dei dati trattati e l’opposizione ad un ulteriore trattamento. Facebook ha risposto in modo insufficiente all’utente richiedendogli di scaricare una copia del proprio account registrato dal servizio ‘download tool’. Proprio per tale assenza di rispetto per la privacy, il Garante ha emanato un provvedimento a riguardo in cui ha ordinato a Facebook di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione a entrambi i profili Facebook aperti a suo nome, di fornire all’interessato informazioni  circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, cosi come i soggetti o le categorie di soggetti che possono venirne a conoscenza; di non effettuare, con effetto immediato dalla data di ricezione del provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account.

LA TUTELA DELLA PRIVACY

È comunque doveroso sottolineare la crescente tutela offerta in materia di privacy da parte del diritto europeo; esso prevede che le piattaforme con sede ufficiale in un paese terzo rispettino comunque la legislazione Europea, vista la presenza di titolari del trattamento sul territorio comunitario. Con riferimento ai social, in maniera particolare a Facebook, una sentenza di un tribunale USA ha stabilito che la funzione del riconoscimento facciale proposta dal social network viola la privacy. Nell’ambito dell’Unione Europea, invece, già dal 2012,Facebook si è visto costretto a disabilitare il contenuto facciale in seguito alle riserve della Commissione irlandese per la protezione dei dati personali. Ciò a dimostrare come i social network siano costretti a rapportarsi non solo con il sistema privacy della propria sede legale estera, ma anche e soprattutto con altri sistemi legalmente autonomi in materia (di cui l’Unione Europea risulta essere l’esempio emblematico).

Proprio per tale motivo è necessario che le piattaforme social si adattino alle varie normative Europee promuovendo il rispetto delle stesse cosi come una ferma collaborazione con le istituzioni e le autorità di controllo dei vari Stati membri. D’altra parte, è altresì essenziale che l’Unione Europea si adoperi per una maggiore tutela nei confronti degli utenti socialadottando specifici provvedimenti nei confronti del trattamento di dati personali di milioni di utenti attivi in tutta Europa e facilitando una minore contraddizione normativa in riferimento alla protezione dei dati e alla loro portabilità e/o cancellazione al momento della chiusura di un account.

1 Internet Usage in the European Union, http://www.internetworldstats.com

2 Articolo 2, Regolamento 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

3 ‘Considerando’ 18, Regolamento 2016/679

4 ‘Considerando’ 18, Regolamento 2016/679

5 Facebook, Data Policy: https://www.facebook.com/privacy/explanation

6 Facebook Help Center, “ What’s the difference between deactivating and deleting my account? “