La privacy al tempo dei social network
Fino ad oggi sia il Garante italiano sia i Garanti europei, nell’ambito dell’European Data Protection Board (EDPB), hanno avuto un approccio estremamente protettivo nei confronti dell'utilizzo dei social network emanando diverse linee guida e diversi documenti (a partire dal Memorandum di Roma adottato il 3-4 marzo 2008, passando per il Parere 5/2009 sui social network on-line del 12 giugno 2009 e giungendo alle attuali Linee Guida n. 3 del 2022) che hanno avuto come scopo principale quello di sensibilizzare gli utenti su l’uso consapevole dei social network ma soprattutto quello di distogliere dall’uso gli utenti troppo giovani.
Naturalmente non si può che essere d'accordo su questa impostazione ma io qui vorrei invece evidenziare gli aspetti positivi e cioè il ruolo innovativo e straordinario dei social network. Il compito di noi esperti di privacy non è più solo quello di proteggere e di limitarne l’uso degli utenti, ma soprattutto di consigliare i Titolari dei social ad una gestione corretta.
Innanzitutto capiamo che l’utilizzo dei social network è strettamente correlato alla profilazione che mai come ora è diventata fondamentale per qualsiasi ragionamento in materia di privacy.
Ricordiamoci poi che con profilazione si intende l'attività di personalizzazione e quindi di conoscenza precisissima dell'individuo. Ricordo che la profilazione è una modalità e non una finalità del trattamento.
Più precisamente è la raccolta analitica e sistematica di una massa di dati personali mediante diversi strumenti e tecnologie mentre la finalità può essere ad esempio la promozione puntuale (perché si conoscono i comportamenti dell’utente) del prodotto o del servizio, ma non solo. Un'altra finalità ad esempio può essere quella di selezione del personale.
A proposito di social esaminiamo la Relazione 2021 del Garante italiano presentata a luglio 2022. Qui notiamo un’affermazione piuttosto importante: “in ambito social media similmente a quanto avviene in ambito giornalistico, non occorrerebbe il consenso dell'interessato oggetto del post, sempre che ci siano adeguate finalità di interesse pubblico”. Ciò costituisce una vera rivoluzione perché ritenere che sia pubblicabile una notizia concernente terzi senza consenso purché ci sia l'interesse pubblico è nuovo rispetto alla narrazione precedente. Naturalmente rimane la necessità di un bilanciamento tra libertà di manifestazione di pensiero da un parte e la tutela dei dati personali dall'altro. Si ipotizza quindi che i social media non abbiano bisogno di filtri come invece i giornali hanno.
Sempre in ambito social molto ci sarebbe da dire a proposito del targeting come schematizzato dalle linee guida del settembre 2021 poi successivamente aggiornate e che hanno fornito molti input interessanti per comprendere meglio l'utilizzo di tali strumenti per finalità promozionali e soprattutto l'utilizzo del pixel all'interno del proprio sito web. Da questi studi sono anche scaturite le nuove linee guida sui cookie.
(Nella foto: Monica Gobbato, presidente di Privacy Academy. Speaker al Privacy Day Forum 2023)
Connesso al discorso dei social media c’è anche quello della monetizzazione del dato, che è uno degli argomenti più gettonati degli ultimi tempi. Si ricordi che per monetizzazione del dato si intende la possibilità di commercializzare i dati personali. Nei diversi eventi a quali ho partecipato, negli ultimi mesi, ho rilevato come non ci sia stata una posizione netta su questo argomento e a vantaggio di questa tesi si sono tirate in ballo principalmente le attività svolte dai maggiori editori italiani e cioè quelle relative sostanzialmente ai cosiddetti Paywall.
In tutti questi dibattiti però non si è chiarito bene che non si tratta solo di commercializzare qualche dato personale ma che quello che i grandi media si prefiggono di ottenere è la libertà di profilazione, senza evidenziare poi che la profilazione ha diversi livelli di profondità.
Infatti la profilazione non ha solo il livello base, cioè quello più semplice costituito da qualche dato di abitudine e consumo (molti ancora prendono come esempio le carte Fidelity di cui al [vetusto] provvedimento del Garante del 2005) ma dei diversi livelli di approfondimento.
Ricordo che secondo uno studio di Stanford del 2015 è possibile un livello di approfondimento di profilazione effettuata mediante analisi dei social media che permette una conoscenza dell'individuo superiore a quello che ha la sua stessa madre. Si rammenta tra l’altro che Facebook è stata recentemente multata dall’Autorità Garante irlandese per aver usato come base giuridica quella contrattuale quando è evidente che l’attività principale di FB ma di tutto il gruppo Meta, sia la profilazione, per la quale come sappiamo occorre un consenso espresso. Cosa che invece in altro ambito sembrano aver capito (in parte) perché, sia in FB che in Instagram nei tre puntini in alto a destra del menù è possibile sapere perché si vede un determinato post (assumendo tra le altre opzioni che se si mette un mi piace o si segue un determinato soggetto è perché si accetta implicitamente la visualizzazione dello stesso).
In ultimo e per lo spazio che ho qui a disposizione voglio evidenziare che l’era dei social media è caratterizzata da una massa di dati che si muovono e che costituiscono una gran forma di business per gli operatori (ma anche per i governi). Il nostro lavoro come esperti di privacy è quello di permettere lo svolgimento del business senza lesioni dei diritti delle persone.
Nel video: lo speech di Monica Gobbato al Privacy Day Forum 2023. Sotto le slides dell'intervento)