Facebook e la privacy, ancora non ci siamo?

Facebook e la privacyCome abbiamo già avuto modo di raccontare, Facebook in passato ha avuto non pochi problemi in materia di privacy, al punto che la Federal Trade Commission (FTC) americana ha aperto un inchiesta sul social network, e a fine 2011 si è giunti ad un accordo.
In vista dello sbarco in borsa è evidente che l'azienda ha l'intenzione di presentarsi al meglio, cercando quindi di risolvere i sospesi con le varie autorità. In tal senso il problema più pressante deriva dall'indagine dell'autorità irlandese per la protezione dei dati personali, essendo la sede di Facebook in Europa localizzata appunto un Irlanda.

La vicenda nasce dalla denuncia dello studente austriaco Max Schrems, il quale avendo richiesto a Facebook i suoi dati personali detenuti dal social, si è visto recapitare l'equivalente di 1200 pagine in formato A4 su cd, tra le quali anche dati che Max sostiene di aver già cancellato. La denuncia all'Irish Data Protection Commissioner (DPC) ha portato quindi ad una indagine a seguito della quale il Garante irlandese ha presentato delle raccomandazioni alle quali Facebook è tenuto ad attenersi per essere in regola con la legislazione europea.
Per comprendere quanto tale vicenda possa essere destabilizzante per la creatura di Mark Zuckerberg, basta evidenziare che è citata nella documentazione ufficiale della Commissione Europea, in materia di riforma della protezione dei dati personali. La Commissione prospetta infatti una riforma che dovrebbe vedere la luce entro giugno 2012, e che dovrebbe garantire maggiore protezione ai cittadini europei, attuando il principio "privacy by default", cioè i dati raccolti devono essere privati per impostazione predefinita, a meno che gli utenti non scelgano di condividerli (principio dell'opt in). Questa normativa si estenderà anche alle aziende che raccolgono dati dei cittadini europei ma li trattano negli USA, come la maggior parte delle multinazionali americane del web, imponendo loro delle garanzie ulteriori rispetto alla meno garantista normativa americana.

In risposta alle indagini della FTC e del DPC irlandese, proprio in questi giorni Facebook ha annunciato una proposta di modifica della policy in materia di privacy, con un articolo dal titolo "Migliorare la trasparenza nell'uso dei dati". Nel contempo, per assicurarsi che la nuova policy fosse compresa dagli utenti, viene pubblicato un altro articolo che evidenzia in maniera chiara le modifiche che sono state attuate. Come sembra dire lo stesso articolo, in realtà la nuova policy più che modifiche sostanziali tende ad introdurre spiegazioni più approfondite su cosa effettivamente fa Facebook con i dati personali raccolti.

Ad esempio, sia il sesso che la foto di copertina sono informazioni pubbliche per default, cioè condivise fin dall'inizio con tutti senza necessità che l'utente operi qualche scelta. E Facebook sta aggiornando la policy in modo da spiegare che la foto di copertina è pubblica ("and we're updating the Data Use Policy to let you know that, just like your profile pictures, your cover photos are public"). Come dire, prima era un dato pubblico pubblico, lo è anche adesso, quello che cambia è che prima non ve lo dicevamo e adesso invece ve lo stiamo dicendo. Però, chiariscono che è possibile nascondere alcune informazioni, come il sesso dell'utente, informazione anche questa condivisa di default ("You will still be able to hide your gender on your timeline").
Insomma, a leggere il documento in questione le modifiche alla policy appaiono più che altro di facciata. È comunque un miglioramento rispetto a prima, ma probabilmente sia l'FTC che il DPC irlandese si aspettavano qualcosa di più. Secondo ZDNet, infatti, il portavoce del DPC ha riconosciuto che gli aggiornamenti sono senz'altro meritori, tuttavia molte questioni sulle quali erano state espresse delle raccomandazioni rimangono irrisolte, in particolare relativamente ai periodi di conservazioni dei dati.

L'Autorità irlandese, infatti, si è soffermata su alcuni punti che non appaiono toccati in senso sostanziale dalle "modifiche"di Facebook. Come ad esempio la richiesta di restringere l'uso dei social plugin, specialmente dei bottoni Like che non devono più essere usati per il tracciamento della navigazione degli utenti; ancora, il DPC ha chiesto che non siano usate immagini degli utenti ai fini di promozione di prodotti in assenza di consenso dell'utente; che le ricerche degli utenti devono essere cancellate dopo 6 mesi; che i dati relativi ai click sugli annunci devono essere cancellati dopo 2 anni; che i dati degli utenti che non hanno completato la registrazione sul sito devono essere cancellati; che l'attivazione del riconoscimento facciale deve essere subordinata al consenso degli utenti. Si tratta di questioni che non appaiono regolate nel senso richiesto dal DPC.

Analizzando attentamente il PDF che evidenzia i cambiamenti della policy in rosso, si possono notare alcuni punti di rilievo.
Ad esempio: "We store data for as long as it is necessary to provide products and services to you and others, including those described above. Typically, information associated with your account will be kept until your account is deleted. For certain categories of data, we may also tell you about specific data retention practices" (pagina 3), cioè alcuni dei tuoi dati sono memorizzati per tutto il tempo necessario per fornire prodotti o servizi, cioè fino alla cancellazione dell'account!
Ancora: "Some data isn't stored in your account, like Group posts or messages you've sent, so it's not deleted, even after you delete your account", cioè alcuni dati non sono conservati nel profilo dell'account, quindi non vengono cancellati quando viene cancellato l'account.
Poi, "Apps you visit receive your age so they can provide you with age appropriate content", che vuol dire che le applicazioni usate ricevono comunque il dato dell'età, anche se detto dato non è messo in condivisione dall'utente.
Infine, "All of the things you do and share on Facebook may be used to target you with ads", cioè tutto ciò che viene condiviso su Facebook può essere usato per inviare informazioni commerciali, compreso i messaggi personali.

C'è comunque da aggiungere che le modifiche sono solo delle proposte per il momento. L'intenzione è quella di essere il più possibile trasparenti verso gli utenti, come richiesto dall'FTC e il DPC, al punto che tutti gli utenti saranno avvertiti di tali modifiche in modo che possano eventualmente commentare i documenti predisposti ed eventualmente opporsi all'adozione di tali modifiche.

Il punto essenziale, però, è che comunque non tutte le questioni poste dal DPC appaiono risolte e soprattutto non appare in alcun modo intrapresa la strada dell'opt in come dovrebbe prevedere la riforma della privacy in preparazione in Europa. La "nuova" policy appare sempre incentrata sull'opt out, cioè sulla condivisione dei dati di default a meno che l'utente non decida diversamente, cioè praticamente quasi tutto quello che viene immesso in Facebook, oppure a mezzo dei social button di Facebook, diventa pubblico e visibile automaticamente, a meno di non agire espressamente per renderlo privato.
Nel caso specifico Facebook pare voler aggirare la questione con un Opt in una volta per tutte, cioè dando la possibilità agli utenti di opporsi alle modifiche della policy, mentre invece l'opt in si deve intendere incentrato sul singolo dato, volta per volta.
Si tratta, ovviamente, di una politica decisamente più appetibile per le multinazionali del web, che in tal modo possono sfruttare economicamente i dati degli utenti, anche forse basandosi su una certa inerzia o disinteresse degli utenti medesimi. Infatti, secondo una ricerca di Consumer Report, su 150 milioni di utenti americani circa 13 milioni non hanno mai usato alcuna funzione sulla privacy in Facebook.
Non dimentichiamo che Facebook è ormai alla vigilia dello sbarco in borsa, ed una volta pubblica l'azienda si troverà di fronte alla pressione degli azionisti di dover generare più entrate. Dato il particolare tipo di business dell'azienda (l'85% degli introiti viene dalla pubblicità), l'obiettivo può essere raggiunto probabilmente solo utilizzando in modo massiccio i dati personali degli utenti.
Insomma, il rischio concreto è che la protezione dei dati degli utenti e la crescita in borsa divengano sempre più incompatibili tra loro!

abine facebook infographic


Infografica by Abine.com: storia della privacy in Facebook