facebook-privacyWe are focused on privacy. We care the most about privacy. We’re the light”. Con queste parole Mark Zuckerberg, il Ceo di Facebook, ha paragonato la sua creatura a Luke Skywalker, mentre i concorrenti, Google, Microsoft e Yahoo, sarebbero invece “The Dark”, praticamente Darth Vader. Insomma, una sorta di Star Wars della privacy. Secondo Zuckerberg, infatti, i motori di ricerca che si spartiscono la torta in rete collezionano dati degli internauti senza rendere conto a nessuno o quasi, e sono molto meno trasparenti del gioiellino di Mark.
Sarà, ma per il momento la Federal Trade Commission (FTC) americana, come avevamo già detto, ha aperto una indagine proprio su Facebook in materia di privacy, ed è di qualche giorno fa l’annuncio di un probabile accordo al fine di chiudere la vicenda.

Il motivo del contendere, che ha portato alla denuncia da parte di associazioni locali, riguarda il trattamento dei dati personali degli utenti, dati come il sesso e la residenza. Questi dati, in conseguenza delle recenti modifiche apportate al noto social ed applicate a tutti gli utenti senza richiedere loro alcun consenso, risultavano visibili a tutti di default, salvo la possibilità per i singoli utenti di impostare manualmente le varie opzioni per la privacy nei loro profili. Nel tempo necessario agli utenti per comprendere quale fosse la nuova policy applicata ai loro profili, dopo la modifica, semmai se ne fossero accorti data la generica tendenza degli utenti a disinteressarsi dei disclaimer e termini di servizio, molti dati personali diventavano pubblici, compreso dati sensibili.
Secondo l’accordo, proposto ma non ancora accettato dall’FTC, Facebook dovrà richiedere il consenso per la pubblicazione delle informazioni personali, con effetto retroattivo (ovviamente con un comportamento concludente). In sostanza si passerà da una policy con dati pubblici e possibilità di renderli privati (opt out), ad una policy con dati, quelli personali, privati a meno che l’utente non decida di renderli visibili a terzi (opt in).

Purtroppo, nonostante le belle parole di Zuckerberg, si deve notare che Facebook nel tempo ha progressivamente eroso la tutela dei dati personali degli utenti, partendo nel 2005 con una policy che non prevedeva condivisione di dati personali, passando nel settembre del 2006 a rendere pubblici dati relativi ai coniugi senza alcun consenso degli utenti, poi nel 2007 vennero resi pubblici gli acquisti di film, e così via nel tempo, come si può osservare in un istruttivo grafico dell’esperto Matt McKeon che evidenzia l’escalation (basta cliccare sul grafico).

È ovvio che lo scopo di un’azienda privata, come è quella che gestisce il social network più usato nel mondo, è di realizzare profitti, e ciò si ottiene massimizzando lo sfruttamento marketing e pubblicitario dei dati degli utenti. Ma proprio per questo motivo occorre che i governi e gli enti pubblici che si occupano della sicurezza dei dati dei cittadini, debbano poter controllare la politica in materia di privacy di Facebook e, se del caso, intervenire.
E questo è l’aspetto più problematico dell’intera vicenda, perché se l’FTC può intervenire su Facebook è dovuto al fatto che i server del sito sono negli Usa, per cui il trattamento avviene lì. Mentre per quanto riguarda i governi europei i margini di controllo e di intervento sono decisamente risicati, tanto che il Garante per la privacy del lander tedesco di Schleswig-Holstein ha preferito imporre alle istituzioni statali di chiudere le pagine fan e i profili Facebook e di rimuovere il pulsante Like dai loro siti web, in tal modo impedendo la trasmissione dei dati degli utenti ai server di Facebook negli Usa, fissando nel contempo una multa per i siti locali che non si adeguano alle prescrizioni e promuovendo una campagna di informazione sul problema della privacy.
In ultima analisi, quindi, il problema è che i dati sono trasferiti negli Usa sfuggendo così al controllo dei Garanti europei. Ma anche sotto questo profilo ci sono novità.
Infatti, il commissario europeo Viviane Reding ha annunciato un progetto di legge che mira ad imporre ai servizi online che risiedono in paesi non membri della UE di rispettare comunque le leggi europee, indipendentemente dal paese dove i dati dei cittadini europei vengono archiviati e trattati. La Reding cita espressamente anche i social network (“The rules will extend to social networks based outside the EU but with users within the EU”) come soggetti alla direttiva in preparazione, che avrà lo scopo di rafforzare la protezione dei dati dei cittadini europei all’interno del mercato  europeo. In caso di mancato rispetto delle norme dell’Unione europea sulla privacy, le aziende extraeuropee non dovrebbero, precisa la Reding, fare affari nel mercato europeo (“Otherwise, they should not be able to do business on our internal market”).

E non finisce qui. In merito alla vicenda dei Like che nei lander tedeschi vengono visti come strumento di profilazione degli utenti, è in dirittura d’arrivo un accordo particolare negoziato dal social network direttamente con i lander, in base al quale gli utenti tedeschi sarebbero trattati diversamente dagli altri utenti. In sintesi nel momento in cui gli script di Facebook riconoscono un utente tedesco, non inviano i dati negli Usa, e così non si avrebbe più la temuta schedatura virtuale.
Sembra l’uovo di Colombo, se non fosse per il piccolo particolare che a seguito di un accordo del genere si muoverebbero quasi sicuramente anche gli altri Garanti europei per ottenere condizioni similari. Si aspettano battaglie agguerrite in materia di privacy nel futuro di Facebook.

Ma, probabilmente, la più pericolosa potrebbe essere la vicenda della quale si parla di meno. Tutta nasce dalla denuncia dello studente austriaco Max Schrems, vicenda alla quale avevamo comunque accennato. Il giovane aveva chiesto, sulla base della normativa sulla privacy, di ricevere copia dei dati detenuti negli archivi di Facebook sul suo conto. Sarà rimasto decisamente scioccato nel ricevere 1200 pagine in formato A3 (su dvd) per soli 3 anni di uso del social network.
Ripresosi dallo shock, Max ha denunciato il fatto all’Irish Data Protection Commissioner, il Garante per la privacy irlandese, dove risiede la sede per l’Europa del social di Zuckerberg, il quale ha aperto un’inchiesta ipotizzando la raccolta non autorizzata di dati, compreso quelli di persone mai iscritte al social network.
Ovviamente i portavoce di Facebook negano con decisione di aver creato i cosiddetti profili-ombra e di raccogliere dati non autorizzati, limitandosi a sostenere di aver conservato gli indirizzi email delle persone invitate da utenti già attivi, al fine di avvisare gli utenti della eventuale registrazione degli amici invitati.

In conclusione, pare proprio che per il più usato social network del mondo si stiano moltiplicando le accuse di infrazione delle normative sulla privacy, non solo in Europa, ma addirittura negli Usa dove, è notorio, la normativa è meno severa: in Mississippi, in Louisiana, Kansas and Kentucky, tanto per citare i luoghi dove sono sorte procedure di infrazione.
E tutto questo proprio quando si avvicina lo sbarco in borsa di Facebook (previsto nel corso del 2012).