Il Garante Privacy boccia Facebook: informative e consensi inadeguati
A quasi un anno dalla vicenda Cambridge Analytica, il Garante Privacy italiano boccia Facebook sul modo in cui il consenso veniva ottenuto per l’uso di giochi e app sulla sua piattaforma
Il Garante della Privacy ha terminato l’indagine sul caso Cambridge Analytica (CA) e su Facebook per valutare le eventuali ripercussioni sui cittadini italiani. Il caso CA era scoppiato a marzo dell’anno scorso quando grazie al whistleblower Cristopher Wylie si era scoperto che Aleksandr Koganla aveva ceduto alla società CA i dati di profilazione psicologica di quegli utenti Facebook che avevano partecipato al gioco online Thisisyourdigitallife. Da quegli utenti aveva ottenuto i dati dei loro contatti su Facebook arrivando alla profilazione di oltre 80 milioni di utenti nel mondo. Questi dati erano stati usati da CA per creare campagne politiche con tecniche di micro-targeting per influenzare il voto delle elezioni del 2016 a favore di Trump. Facebook aveva quindi scoperto che i dati ottenuti dal gioco erano stati illecitamente condivisi con la società CA e solo allora aveva bloccato l’accesso a quei dati.
Thisisyourdigitallife e Facebook Login
Il Garante Italiano aveva avviato un’inchiesta sentendo i vertici di Facebook per chiarimenti. Facebook aveva rassicurato il Garante che non c’erano dati di cittadini italiani tra quelli venduti dal dr. Aleksandr Koganla a Cambridge Analytica. Tuttavia, anche se effettivamente tali dati non erano stati ceduti a CA, è bastato che solamente 57 utenti italiani avessero scaricato l’app Thisisyourdigitallife per ottenere, tramite l’uso del Facebook Login, i dati di ben 214.077 italiani. Facebook Login è quella funzione che permette di accedere ad un servizio evitando di creare un nome utente e password nuovi per ogni servizio che si usa online: il problema è che, in cambio di questa comodità, concedeva l’accesso a diversi dati del proprio profilo, dati che ai tempi dei fatti includevano in modo obbligatorio anche quelli dei propri amici. Nel tempo, comunque, Facebook Login è già stato rivisto e migliorato in termini di garanzie per gli utenti.
Secondo il Garante quei dati non potevano essere condivisi senza il consenso informato degli utenti: consenso che, anche secondo il vecchio Codice Privacy pre-GDPR, non era sufficiente nelle modalità individuate da Facebook. A quei tempi, infatti, o non si poteva scegliere quali dati fornire, oppure non erano chiare le finalità per cui quei dati sarebbero stati utilizzati. Questo era ancora più vero per quegli utenti che non avevano partecipato al gioco ma i cui dati erano stati ugualmente condivisi.
Facebook e le elezioni del 4 marzo
Durante l’inchiesta si erano palesate nuove problematiche relative proprio alle elezioni italiane del 4 marzo 2018, durante le quali il social in blu aveva creato la funzione “Candidati” ed esortava i suoi utenti a comunicare con un messaggio se si erano recati alle urne. A richiesta di delucidazioni da parte del Garante, Facebook rispondeva che lo scopo era unicamente quello di avvicinare i cittadini ai candidati per poter conoscere i programmi elettorali di tutti e che non c’era stato monitoraggio dei commenti e delle preferenze elettorali. Gli unici dati salvati erano quelli di log delle visite da parte degli utenti alle pagine dei candidati per avere dei dati in forma aggregata, per poter migliorare lo strumento per il futuro: tali dati sarebbero stati cancellati dopo 90 giorni. Purtroppo per Facebook le buone intenzioni non sono bastate perché per il Garante questi dati, sensibili trattandosi di indicazioni sull’orientamento politico, dovevano essere gestiti con maggior attenzioneinformando adeguatamente gli utenti e non essendo sufficiente la generica informativa del social.
A fronte delle indagini il Garante ha dunque intimato a Facebook di bloccare ogni ulteriore trattamento di tali dati riservandosi ulteriore tempo per la comminazione di eventuali sanzioni amministrative. Intanto le carte sono state trasmesse anche al Garante Irlandese, avendo Facebook la sua sede europea in Irlanda, per il futuro coordinamento dell’azione nei suoi confronti.
Originally published at startupitalia.eu on February 8, 2019.
