PRIVACY

FB is watching you! – Analisi della Privacy Policy di Facebook

Schermata-2015-02-18-alle-21.54.52
Scritto da Alberto Nicolai
Facebook e Privacy: due parole che, poste una accanto all’altra, fanno sorridere i più. Cerchiamo di capire assieme come il colosso americano tratti il suo più grande patrimonio – i nostri dati personali – o almeno come dichiari pubblicamente di farlo.

Premessa

Per prima cosa è bene domandarsi se il Social Network americano più famoso al mondo, che è Titolare dei nostri dati personali (abbiamo già trattato la definizione di Titolare dei dati personali QUI), possa concretamente trattare, come in effetti fa, le tante informazioni che ogni giorno forniamo su di noi e sulle nostre attività, informazioni che rappresentano il suo più grande patrimonio.

Partiamo quindi dal dato normativo, ovvero dall’art. 5 del d.lgs. 196/2003 (il nostro Codice della Privacy) che così recita:

  1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
  2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.

In base al secondo comma, il trattamento dei dati può essere eseguito tranquillamente anche al di fuori dell’Unione Europea, tuttavia impiegando strumenti situati nel territorio italiano, e purchè avvenga al fine del transito dei dati nell’ambito dell’Unione Europea stessa; occorre poi che il Titolare nomini un rappresentante all’uopo stabilito nel territorio dello Stato.

E Facebook agisce nell’ambito dell’Unione Europea? Rispetta questo dettato normativo?

US-EU Safe Harbor Progam

Facebook, così come molte altre società americane, ha aderito dal 2007 all’US-EU Safe Harbor Program.

Con questo accordo, le aziende americane aderenti dichiarano di accettare tutta una serie di obblighi circa la tutela dei dati dei cittadini europei, sostanzialmente accettando la generale normativa europea in tema privacy di cui alla direttiva 95/46/CE e 2002/58/CE.

In particolare:

  1. Le aziende partecipanti (al programma) saranno automaticamente ritenute “adeguate” alla tutela della privacy;
  2. Per il trasferimento di dati dagli Stati Membri si rinuncerà a chiedere l’approvazione preventiva o essa verrà automaticamente garantita;
  3. I reclami promossi dai cittadini UE contro le aziende USA saranno esaminati direttamente negli USA;
  4. I requisiti per la partecipazione saranno ridotti al minimo per non precludere la partecipazione a piccole e medie imprese USA.

Senza questo accordo, molte realtà oltre oceano sarebbero impossibilitate a trattare i nostri dati nel rispetto delle diverse normative nazionali oggi vigenti in Europa.

Avremo comunque modo di trattare più a fondo dell’US-EU Safe Harbor Progam, al quale dedicheremo un apposito articolo.

La Privacy Policy di Facebook

Preso atto che Mark Zuckerberg ha aderito alla normativa Privacy di matrice Europea, possiamo ora analizzare più nello specifico la Privacy Policy che siamo tenuti ad accettare se vogliamo utilizzare il noto social network.

L’ultima revisione della PP risale al 30.1.2015, quindi stiamo parlando di recentissimi adeguamenti.

Intanto possiamo subito notare come i grafici di Facebook abbiano voluto presentare una PP esteticamente accattivante, probabilmente per trasmettere una sensazione di sicurezza fin dal primo impatto visivo.

Ma non ci fermiamo di certo alle apparenze.

Dati Personali trattati da FB

Vediamo di analizzare e commentare brevemente quali sono le informazioni che vengono trattate da FB, senza riportare il testo presente sul sito che potrete leggere direttamente qui:

1. Attività che esegui e informazioni che fornisci.

Sono tutte le informazioni che direttamente inviamo a FB: stati, foto, video, like, commenti…e anche i messaggi privati. Facebook registra tutto. E qualsiasi nostra attività può essere “salvata” nei loro database.

2. Attività eseguite e informazioni fornite dalle altre persone.

Non solo le informazioni che forniamo noi direttamente, ma anche quelle fornite dai nostri amici, tramite i famosi tag.

3. Le tue reti e connessioni.

FB dichiara apertamente che ci “studia”. Infatti analizza i contatti che visualizziamo più spesso, i gruppi con cui interagiamo maggiormente, e il modo con cui lo facciamo. Può inoltre avere libero accesso alla nostra rubrica telefonica se acconsentiamo alla sincronizzazione sul nostro smartphone.

4. Informazioni sui pagamenti.

Se compriamo qualcosa su FB verranno registrate le informazioni di pagamento, di contatto, di spedizione e di fatturazione.
E’ un modo alternativo per dirci che sanno benissimo dove teniamo i nostri soldi…

5. Informazioni sul dispositivo.

FB raccoglie le informazioni sui device che utilizziamo per connetterci al suo servizio.
Alcuni esempi di dati che quotidianamente trasmettiamo sono: sistema operativo, hardware, programmi installati, potenza del segnale, batteria residua, posizione GPS, operatore telefonico, lingua, numero di cellulare, etc.

6. Informazioni di siti Web e applicazioni che usano i nostri Servizi.

FB tratta e raccoglie anche tutte le informazioni che gli forniamo utilizzando i plugin sociali: per esempio quando ci registriamo in un sito usando i dati presenti su FB, quando commentiamo previo login via FB, quando clicchiamo mi piace da un sito terzo etc.
Così facendo FB non solo studia e archivia la nostra costante attività sul social network, ma anche quella svolta al di fuori dal Sito.

7. Informazioni di partner terzi.

Qui ce lo comunicano ancor più candidamente: “Riceviamo le informazioni su di te e sulle tue attività all’interno e all’esterno di Facebook da partner terzi”.
E ci vengono forniti anche due esempi: quando un partner offre servizi congiunti, o quando un inserzionista comunica ad FB la sua esperienza o le sue interazione con te.

8. Aziende di Facebook.

Dulcis in fundo, non solo inviamo informazioni alla Facebook Inc. tramite la piattaforma social, ma anche per mezzo delle altre aziende di proprietà di Zuckerberg, per citarne giusto due: Instagram e WhatsApp. Ovviamente le stesse hanno specifiche Privacy Policy, a cui bisognerà far riferimento.

Finalità del trattamento

Il capitolo dedicato alle finalità del trattamento, denominato da FB “Come usiamo queste informazioni?” esordisce con “la creazione di esperienze personalizzate e interessanti per le persone è la nostra passione”. Una passione da circa 3 Mld di dollari annui di fatturato.

1. Forniamo, miglioriamo e sviluppiamo i Servizi.

“Siamo in grado di fornire i nostri Servizi, personalizzare i contenuti e offrirti suggerimenti mirati usando queste informazioni per capire come usi e interagisci con i nostri Servizi e le persone o i contenuti a cui ti connetti e che ti interessano all’interno e all’esterno dei nostri Servizi.”
Con queste poche parole FB afferma che ci profila, apparentemente per offrirci un servizio maggiormente rispondente alle nostre necessità e ai nostri interessi (abbiamo appena parlato della “Profilazione dei Clienti” QUI).
In concreto tale attività si sostanzia in collegamenti rapidi e suggerimenti personalizzati, anche in base alla geolocalizzazione.

2. Comunichiamo con te.

FB usa i nostri dati per rispondere alle nostre richieste, per finalità di marketing diretto, per informarci sui servizi e sull’aggiornamento delle Policy o delle Condizioni d’Uso.

3. Mostriamo e misuriamo inserzioni e servizi.

FB dedica alla pubblicità (ADS) una specifica pagina, per illustrare il funzionamento delle inserzioni di terzi, e come le stesse vengono adattate e modellate in base alle informazioni acquisite dagli utenti.
FB utilizza svariati cookies proprietari, tag pixel, e dati memorizzati in locale per orientare gli annunci pubblicitari, che però l’utente può scegliere di non ricevere tramite il meccanismo dell’Opt-Out.

4. Promuoviamo sicurezza e protezione

In ultimo, FB ci comunica che utilizzerà tutte le informazioni carpite ANCHE per verificare e proteggere gli account, e per la sicurezza all’interno e all’esterno del social network.

Diffusione dei dati

“Come usiamo queste informazioni” : questo paragrafo informa l’interessato delle modalità con cui i dati personali “raccolti” in precedenza vengono di fatto condivisi con gli altri utenti iscritti al social network, con le società che sviluppano il loro business su FB, ovvero con siti e/o società terze al di fuori della piattaforma di FB.

1. Persone con cui condividi contenuti e comunichi.

Qui viene spiegato il meccanismo di condivisione dei contenuti, con il quale l’utente sceglie di condividere un determinato post o una foto, per esempio, limitatamente ai propri amici o ad una cerchia da lui predeterminata, ovvero sceglie se rendere il contenuto pubblico, e così indicizzabile da motori di ricerca e visibile da chiunque disponga di una connessione ad Internet, diventando patrimonio della Rete. Facebook informa poi gli utenti che i contenuti caricati possono a loro volta essere condivisi da altri utenti iscritti, che potrebbero anche diffondere quello stesso contenuto oltre i limiti prescelti dall’utente originario.

Facciamo un rapido esempio: Marco condivide una sta foto in montagna, impostando come “filtro privacy” di destinazione solamente i suoi 50 amici. Se Filippo, suo amico su FB, decide di scaricare questa foto, e successivamente di caricarla sul sito www.amantidellamontagna.it (sito di fantasia), la foto che Marco credeva di aver condiviso solo con 50 amici diventerà improvvisamente pubblica. Ora non entreremo nel merito della liceità della condotta di Filippo, ma sottolineiamo come FB consenta tale operazione, manlevandosi da qualsivoglia responsabilità (al tema della proprietà intellettuale di Facebook verrà dedicato un apposito articolo).

2. Persone che vedono i contenuti che altre persone condividono su di te.

FB ci informa che potrebbero essere caricati dati/informazioni che ci riguardano da parte di terzi, tramite tag, menzioni, condivisioni etc. In caso di contestazioni sui contenuti caricati da terzi, si veda questa pagina dove viene spiegato come funziona il meccanismo del “Social Reporting”.

3. Applicazioni, siti Web e integrazioni di terzi sui nostri Servizi o che ne fanno uso.

Come già detto anche prima, dobbiamo essere consapevoli che le App che si appoggiano a FB, o i Siti che utilizzano widget o plugin sociali riconducibili ad FB, possono – anche se il verbo potere risulta assolutamente retorico – trasmettere i nostri dati personali ai terzi titolari dei siti o delle App in questione. Nel momento in cui utilizziamo una App o un servizio che si interfaccia con FB verremo avvertiti con una schermata del tipo:

Bisogna ricordare che le immagini del profilo, le immagini di copertina, sesso, reti, nome utente e ID utente sono sempre pubblici e disponibili a tutte le applicazioni, oltre agli ulteriori dati che abbiamo impostato come pubblici nelle impostazioni privacy del nostro profilo.

Prestiamo molta attenzione alle informazioni che condividiamo con le varie applicazioni che sfruttano FB come login, perchè in molti casi acquisiscono molti più dati di quelli effettivamente necessari per il loro regolare funzionamento.

Vi consigliamo di verificare QUI tutte le applicazioni che in questo momento sono connesse con il vostro profilo, e di eliminare quelle che non usate o che vi sembrano richiedere un quantitativo eccessivo di informazioni. Rimarrete stupiti dal numero di applicazioni avete inconsciamente associato al vostro account, e di quante informazioni riservate e preziose state regalando a terzi.

4. Condivisione dei contenuti con le aziende di Facebook.

I dati raccolti non vengono archiviati e trattati per compartimenti stagni, ma sono patrimonio comune di tutte le aziende possedute e gestite da Facebook Inc., e vengono pertanto inseriti in un unico calderone comprendente Facebook, Instagram, WhatsApp, Oculus etc.

5. Nuovo titolare.

FB, come se non bastasse, si riserva anche la possibilità di trasferire in futuro tutto il suo immenso patrimonio in dati ad un nuovo e diverso Titolare. Operazione perfettamente lecita e consentita anche dal nostro Codice Privacy all’art. 16:

In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono
a) distrutti;
b) ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell’articolo 12.

6. Condivisione dei contenuti con clienti e partner terzi

In questo ultimo paragrafo ritorna il tema della pubblicità targettizzata, e FB ci tiene a precisare che di default non fornirà informazioni personali ai partner pubblicitari, questo a meno che l’utente non acconsenta esplicitamente. L’inserzionista dovrà a sua volta rispettare le Linee Guida imposte da FB per la pubblicità, che eviterò di analizzare ora per non appesantire la già lunga trattazione.

Per finire FB ci informa che potranno accedere ai nostri dati personali anche fornitori vari ed eventuali (per esempio infrastrutture tecniche, analisti, assistenza, etc.) che dovranno rispettare la normativa Privacy e gli accordi stipulati.
Questo è probabilmente uno dei punti meno chiari dell’intera Privacy Policy, in quanto, secondo il nostro Codice della Privacy, i Responsabili al Trattamento devono essere nominati per iscritto e chiaramente individuati anche in informativa, mentre per quanto riguarda gli Incaricati, anch’essi nominati per iscritto dal Titolare, possano essere indicati in informativa anche per categorie di appartenenza (dipendenti del settore commerciale, amministrativo, contabile ecc.), purché venga garantita agli utenti la possibilità accedere, a semplice richiesta, all’elenco completo di tutti i soggetti che potrebbero astrattamente trattare i loro dati.

E se elimino il mio profilo?

Facebook ci tiene a precisare che:

Memorizziamo i dati per il tempo necessario a fornire a te e alle altre persone i prodotti e servizi, compresi quelli descritti sopra. Le informazioni associate al tuo account resteranno memorizzate fino all’eliminazione dell’account, a meno che non ne avremo più bisogno per fornire prodotti e servizi.

La frase evidenziata in grassetto è senza dubbio sibillina, poco chiara, scritta in un italiano discutibile, e per nulla ispirata ai principi regolatori del nostro Codice della Privacy, che impone sono solo un trattamento effettuato secondo liceità e correttezza (art. 11 lett. a) d.lgs 196/2003) ma anche una conservazione dei dati che non superi gli scopi per i quali sono stati raccolti e successivamente trattati (art. 11 lett.e) d.lgs. 196/2003).

Puoi eliminare l’account in qualsiasi momento. Con l’eliminazione dell’account, verranno rimossi i contenuti pubblicati, ad esempio le foto e gli aggiornamenti di stato. Se non desideri eliminare l’account, ma vuoi smettere temporaneamente di usare Facebook, puoi scegliere di disattivare il tuo account. Per maggiori informazioni sulla disattivazione o sull’eliminazione dell’account, clicca qui. Tieni presente che le informazioni che le altre persone hanno condiviso su di te non fanno parte del tuo account e non verranno rimosse quando lo elimini.

Quindi, se cancelliamo il nostro account non verranno eliminati tutti i contenuti che sono stati condivisi dai nostri contatti. E se pensiamo che lo scopo di un “Social Network” è proprio quello della “Condivisione”, capiamo bene come l’eliminazione definitiva di un account non rappresenti una scelta radicale e liberatoria, soprattutto se alle spalle vi è un’attività di anni e anni di contenuti pubblicati e resi parte integrante del circuito sociale facebookiano. D’altra parte foto e video potrebbero già essere stati visti, salvati, scaricati, utilizzati…fuoriuscendo dalla nostra sfera di controllo fin dal prima immissione online (fermi gli eventuali illeciti commessi da chi compie tali azioni senza aver avuto il nostro preventivo consenso).

Dati personali ed azioni legali

Per finire, FB ci informa che in seguito ad azioni legali (mandati di perquisizione, decreti ingiuntivi, mandati di comparizione), qualora ritenga in buona fede che sia imposto dalla legge, potrà accedere al tutti i nostri dati personali, nonché conservarli e condividerli in risposta a una richiesta legale, per:

  • individuare, prevenire e gestire frodi e altre attività illegali;
  • tutelare noi stessi, l’utente e altre persone, anche nell’ambito delle indagini;
  • prevenire eventi che possano determinare danni fisici imminenti o decesso.

Inoltre, FB può conservare le informazioni presenti negli account disabilitati che non rispettano le nostre condizioni per almeno un anno al fine di evitare il ripetersi di usi impropri o altre violazioni delle nostre condizioni.

Concludendo

Probabilmente, arrivati alla fine di questa lunga trattazione, vi domanderete:

  • ma quindi, quali sono le informazioni che NON vengono “raccolte” e “archiviate” da Facebook?
  • c’è un modo per non trasmettere tutta questa mole impressionante di dati personali a Facebook e ai suoi Partner?
  • come posso tutelarmi e proteggere i miei dati personali?

Non spetta di certo a noi sottolineare come i dati personali che ogni giorno trasmettiamo, volenti o nolenti, a Facebook rappresentino il vero patrimonio della società amministrata da Mark Zuckerberg. I nostri dati sono la moneta di scambio preferita del colosso americano, e ogni giorno noi rimpinguiamo le casse di Facebook con nuova attività, nuove foto, nuovi post, nuovi interessi, nuovi trend, che rappresentano vera e propria moneta sonante.

La prima forma di tutela individuale è rappresentata dall’informazione stessa: sapere cosa viene raccolto, come viene trattato e per quali scopi, non può che aiutare ognuno di noi a trarre le dovute conclusioni sulla propria personale esperienza sociale online, e sul proprio personale apporto quotidiano di informazioni offerte gratuitamente a Facebook, che ricordiamo essere ben lontana dagli ideali delle associazioni no-profit.

Certamente si potrebbe, anzi si dovrebbe, usare la piattaforma offerta da FB con raziocinio, verificando i livelli di privacy del nostro profilo, consentendo l’accesso a poche APP attentamente scelte, bilanciando a dovere i contenuti pubblicati etc.

Così facendo, però, si rischia di snaturare il principio stesso che è alla base del servizio, ovvero la condivisione massiva di informazioni, e si rischia di vivere l’esperienza del social network con il “freno a mano tirato”.

Ognuno dovrebbe fare una personale comparazione dei PRO e dei CONTRO, per poi scegliere in assoluta autonomia se accettare i rischi connessi all’uso di un servizio così invasivo e totalizzante, che entra nella nostra vita privata impossessandosi di tutte le nostre più intime e private informazioni.

Nessuno è costretto ad iscriversi a Facebook, è una scelta che ognuno di noi deve fare in totale libertà, ma nella piena consapevolezza dei rischi connessi ad un uso improprio e superficiale della piattaforma.

Il diritto dovrebbe sempre ispirarsi – in primis – al buon senso, che deve anche accompagnare le scelte di ognuno di noi in qualsiasi ambito della propria esistenza. E’ per questo motivo che l’unica misura di sicurezza efficace per contrastare Facebook resta il buon vecchio consiglio della nonna, riadattato ai tempi moderni: “Non accettare le caramelle dagli sconosciuti…e non diffondere i tuoi dati personali su Facebook”.

Info sull'Autore

Alberto Nicolai

Avvocato. Appassionato di informatica dai tempi del 286 con MS-Dos e Windows 3.1, mi occupo prevalentemente di Diritto Informatico, ICT, Privacy e Website Legal Compliance. Il mio sito personale è albertonicolai.it

Leggi articolo precedente:
L’analisi delle abitudini e la profilazione degli utenti. La notifica al Garante Privacy
Newsletter n. 3 del 2015
La diffamazione a mezzo internet. La responsabilità del gestore del sito
Chiudi