Il Centro indipendente per la Protezione della privacy (ULD) dello stato tedesco di Schleswig-Holstein qualche giorno fa ha dichiarato illegale il pulsante “Like” (mi piace) di Facebook.
Secondo il Garante del lander tedesco, Facebook, tramite il tasto in questione, ha la possibilità di carpire dati personali degli utenti e quindi di realizzarne una profilazione (il pulsante consente di seguire la navigazione degli utenti), aiutata anche dal fatto che l’azienda americana richiede l’uso di nomi reali. Tale profilazione, però, è vietata dalle norme in materia di protezione dei dati personali (Federal Data Protection Act). Il Garante tedesco ha specificato che, secondo le sue analisi, chi utilizza un plugin su Facebook o comunque lo visiti, può essere monitorato dalla società americana per due anni.
Ovviamente il Garante non ha potere di imporre oneri all’azienda americana, essendo soggetta alle leggi del suo paese visto che il trattamento avviene negli Stati Uniti, però ha imposto alle istituzioni statali del lander di chiudere le pagine fan e i profili Facebook e di rimuovere il pulsante Like dai loro siti web, in tal modo impedendo la trasmissione dei dati degli utenti ai server di Facebook negli Usa.
L’autorità ha anche fissato una multa, di 50.000 euro, per i siti locali che non si adegueranno entro fine settembre alle prescrizioni, promuovendo nel contempo una campagna di informazione sul problema di privacy, nella quale si chiede espressamente agli utenti di non usare il Like e di non creare pagine su Facebook, per evitare una “schedatura” virtuale.
Il responsabile dell’ULD ha spiegato che la diffusione dei pulsanti Like è favorita dalla semplicità di impostazione e dalla gratuità, ma nel contempo il servizio reso viene comunque pagato con i dati degli utenti, dati che vengono monetizzati e grazie ai quali Facebook ha raggiunto il valore di oltre 50 miliardi di dollari.
Secondo le analisi dell’ULD l’inserimento di pulsanti Like all’interno di siti web determina il trasferimento di dati personali dal sito a Facebook e anche a terzi, in assenza però di un consenso al trattamento dei dati. Lo stesso fenomeno accade nelle pagine fan di Facebook.
Quindi gli utenti non sono sufficientemente informati sul trattamento dei loro dati, in particolare il trasferimento verso l’estero (i server di Facebook), e la formulazione delle condizioni d'uso di Facebook non soddisfa i requisiti di legge.
Un portavoce di Facebook ha respinto le accuse sostenendo che l’azienda non viola le norme in materia, però ha ammesso che è possibile monitorare informazioni come l’indirizzo Ip degli utenti che visitano un sito tramite il pulsante Like. Il portavoce ha però precisato che i dati in questione vengono eliminati dopo 90 giorni, sulla base degli standard del settore.
Si tratta dell’ennesima battaglia degli enti per la protezione dei dati personali che operano in Germania, decisamente rigorosi nelle questioni di privacy, e che più volte si sono scontrati, spesso con successo, con i giganti del web. È ancora recente, infatti, la battaglia contro il sistema di riconoscimento facciale introdotto proprio dal social network di Mark Zuckerberg.
In tale ottica è apparso quanto meno opportuno, come scelta di tempi, l’annuncio da parte di Facebook dell’implementazione di nuove caratteristiche nel sito, tra le quali spiccano modifiche alle impostazioni sulla privacy, annuncio che potrebbe essere visto come una conseguenza di questo scontro in atto in Germania, oppure semplicemente una risposta al recente lancio di Google +, il social targato Google con caratteristiche più stringenti in materia di protezione dei dati degli utenti.
Comunque appare ancora lontana l’idea di un social improntato ad una protezione totale degli utenti, come ad esempio si avrebbe sposando il principio dell’opt in, cioè impostando di default l’assenza di condivisione di informazioni, lasciando al singolo utente decidere caso per caso cosa diffondere dei suoi dati (quindi opt in perché il dato viene diffuso solo dopo il consenso dell’utente). In genere, invece, il principio è di lasciare aperta la condivisione a meno che l’utente non decida di bloccare alcuni dei suoi dati, così applicando il meno protettivo principio dell’opt out (cioè il consenso si presume fino a manifestazione contraria dell’utente).
Il problema è che le nuove implementazioni di Facebook consentirebbero un maggior controllo sulla condivisione delle immagini e delle informazioni dai profili degli utenti, fino a giungere al controllo del livello di privacy desiderato di ogni singolo aggiornamento dello stato, ma non sembra risolvano le problematiche evidenziate dal Garante del lander tedesco.
Quindi, nonostante le sdegnate proteste del portavoce di Facebook il problema sembra serio, in quanto effettivamente gli utenti che utilizzano i pulsanti Like e le pagine fan, non vengono informati della circostanza che i loro dati sono raccolti e trattati, ma soprattutto del fatto che tali dati sono trasferiti negli Usa sfuggendo così al controllo delle autorità di garanzia europee. E non c’è alcuna possibilità di utilizzare il Like senza tale profilazione.
Per quanto riguarda l’attività del Garante italiano, già in passato si è occupato delle problematiche in merito alla privacy sui social network, e in merito a Facebook, nella Relazione per il 2010 pubblicata a giugno del 2011 (capitolo 9.3), ha analizzato vari comportamenti, come ad esempio l’invio di mail di richiesta iscrizione a soggetti non ancora iscritti, e “ha rilevato che si verifica in tal modo non soltanto un’attività di spam da parte del social network, ma anche un’attività di profilazione dell’utente non iscritto, cui sono infatti associati periodicamente una serie di “potenziali amici” tra gli utenti della piattaforma”.
È vero che in genere gli utenti non si pongono il problema in quanto vedono questi pulsanti come un mezzo per semplificare la comunicazione con altre persone, ma la normativa europea prevede che l’utente abbia il diritto di ottenere compiute informazioni in merito al trattamento dei propri dati personali, dei soggetti terzi che ne entrano in possesso, ed eventualmente di vietarne la pubblicazione e di chiederne la rimozione anche ai soggetti terzi che tramite il sito hanno ottenuto quei dati. Inoltre la policy in materia di privacy è generalmente troppo complessa al punto che non sempre consente agli utenti di valutare correttamente le conseguenze delle loro azioni sul social.
Forse è il caso che le autorità europee comincino a porsi il problema e aprano una dialogo con i gestori del social network, in modo da trovare una soluzione condivisa che sia più rispettosa dei diritti degli utenti.