Turismo russo, come cambia
14 Maggio 2022
Calcio, Roma-Feyenoord match ad altissimo rischio
16 Maggio 2022
Turismo russo, come cambia
14 Maggio 2022
Calcio, Roma-Feyenoord match ad altissimo rischio
16 Maggio 2022

Protezione dati, GDPR e le sue violazioni: il caso di Facebook

“Non disponiamo di un livello adeguato di controllo e comprensione sul modo in cui i nostri sistemi utilizzano i dati”, dichiara l’azienda di Mark Zuckerberg

di Silvia Cegalin

Il 25 Maggio 2018 il GDPR, Regolamento generale sulla protezione dei dati, divenne pienamente applicabile agli Stati membri dell’Unione Europea, un provvedimento che ha permesso di monitorare che i dati degli utenti e il loro diritto alla privacy siano tutelati.

Purtroppo però l’approvazione di un regolamento non vuol dire necessariamente che esso venga rispettato, e per capire questo è sufficiente consultare la lista di tutte le aziende multate.

Gdpr e inadempimenti: chi è stato multato in Italia?

Non solo aziende. Scorrendo l’elenco dei sanzionati in Italia il dato che risalta, e che stupisce, è che oltre a compagnie come Enel Energia SpA, Clearview AI, Vodafone o Sky Italia Srl (quest’ultima con 3.296.326 euro di multa), tra i trasgressori del GDPR compaiono anche aziende sanitarie e comuni sparsi in tutta Italia. Non mancano neppure le alte istituzioni: nel 2021 il Ministero dello Sviluppo Economico viene sanzionato per linosservanza dei principi generali di trattamento dei dati, mentre Roma Capitale per ben tre volte dal 2020 al 2021.

Se poi si dà uno sguardo generale: tra le imprese sovvenzionate con cifre di un certo rilievo risultano Google e Amazon. Un quadro che potrebbe far pensare che, in qualche modo, il regolamento 2016/679 può essere bypassato da chi se lo può permettere, e pagare così le alte multe.

Il caso Facebook e la possibile violazione dellart.5 del GDPR

Un documento interno di Facebook stilato nel 2021 dagli ingegneri del team Ads and Business Products di Facebook rivela che l’azienda di Mark Zuckerberg non ha alcun controllo dei dati degli utenti.

Il documento, pur nella sua tecnicità, già nella sua primissima parte fa emergere carenze che appaiono eclatanti anche senza il bisogno di essere degli esperti, si legge infatti:

«Non disponiamo di un livello adeguato di controllo e comprensione sul modo in cui i nostri sistemi utilizzano i dati, pertanto non possiamo apportare con sicurezza modifiche alle politiche controllate o impegni esterni come ‘non utilizzeremo i dati X per lo scopo Y.’ Eppure, questo è esattamente ciò che le autorità di regolamentazione si aspettano che facciamo».

In pratica questa frase ci dice che il team tecnico di Facebook non è in grado di stabilire come usa i dati, né dove vadano a finire. Un problema non da poco.

Gli ingegneri di Facebook sono dunque incapaci di effettuare la cosiddetta derivazione dei dati, e questo vale per qualsiasi tipologia di dati (3PD – di terze parti, 1PD – dei proprietari, SCD – delle categorie sensibili); e per spiegare ciò gli ingegneri usano l’esempio della bottiglia di inchiostro: se si versa il suo contenuto come si fa poi a recuperarlo? Ecco proprio come l’inchiostro i dati dell’utente si smarriscono.

Dichiarazioni che, senza dubbio, si pongono in conflitto con quanto espresso nell’art.5 del GDPR che sancisce che: «i dati personali debbano essere raccolti per scopi determinati, espliciti e legittimi e non ulteriormente trattati in modo incompatibile con tali finalità». Nonostante questa “anomalia” a Facebook è concesso di continuare nell’elaborazione dei dati.

Le violazioni precedenti del GDPR di Facebook

Questa però non sarebbe la prima volta che Facebook avrebbe violato il GDPR.

Prima che venisse approvato il Regolamento Europeo, l’azienda di Zuckerberg, nell’Aprile del 2018, ha infatti modificato l’accordo sul Trattamento dei dati, mutando tale accordo da forma di “consenso” a forma di “contratto”, e questo non è un caso.

L’accettazione di un consenso si presenta molto più elaborata per l’utente, in quanto si deve acconsentire a ogni tipo di trattamento che può essere revocato in qualsiasi momento; i contratti, al contrario, si presentano con “termini e condizioni” che, per poter usufruire del servizio, si devono accettare senza possibilità di replica.

Un dettaglio che non è sfuggito a Max Schrems e all’associazione austriaca per diritti digitali Noyb, che ha visto nella mossa di Facebook, non solo un modo per aggirare il GDPR, ma anche l’occasione per inserire nel contratto un obbligo per ricevere pubblicità personalizzata. Motivo per cui Facebook è stata multata e attenzionata dalle autorità.

Violazioni, queste, che si affiancano ad una scarsa tutela della privacy da noi già esposta nell’inchiesta Insta-Stalker. .

A questo punto c’è da chiedersi se le sanzioni siano una misura sufficiente per interrompere pratiche scorrette e far rispettare il GDPR.