Con un post del 22 luglio scorso Kelly Stonelake, Product Manager Director di Facebook, ha annunciato sul blog dedicato ai developer del social network l’introduzione di nuovi requisiti privacy per lo sviluppo di applicativi che accedono ai dati contenuti su Facebook: in particolare, agli sviluppatori verrà chiesto di compilare un questionario, chiamato Data Protection Assessment, in cui indicare in che modo le loro app proteggono, condividono e utilizzano i dati ricavati dalla piattaforma Facebook.
Tutti gli sviluppatori che riceveranno il nuovo questionario privacy dovranno inviare la valutazione entro 60 giorni, pena la possibile perdita dell’accesso alla piattaforma.
La valutazione sarà distribuita in più fasi e inizierà in questi giorni.
Indice degli argomenti
Le app con autorizzazioni avanzate
L’obbligo di compilare il questionario è limitato a quegli sviluppatori le cui app accedono ad autorizzazioni avanzate.
Facebook, infatti, distingue gli accessi concessi agli sviluppatori nelle macrocategorie standard ed avanzata. Quest’ultimo livello, accessibile solo attraverso un processo di revisione (App Review), consente di accedere a più dati e di gestire ed effettuare operazioni anche su account di altri utenti, se questi lo consentono.
I “dati altamente sensibili” secondo Facebook
Inoltre, per le app che accedono a “dati altamente sensibili” (“particularly sensitive data”) degli utenti di Facebook, verrà chiesto di comprovare le risposte fornite al questionario con elementi documentali (contratti, certificazioni o altro).
La definizione di “dati altamente sensibili” è però incerta, in quanto le condizioni d’uso della piattaforma Facebook for developers definisce unicamente i “dati sensibili”, che ricomprendono l’elenco dei dati appartenenti a categorie particolari di cui all’art. 9 GDPR e i dati relativi a condanne penali e reati di cui all’art. 10 GDPR.
Al netto di queste incertezze, il nuovo Data Processing Assessment di Facebook riflette (quantomeno in parte) un contrasto fra il social network e le autorità europee sul trattamento dei dati personali appartenenti a categorie particolari da parte della piattaforma social.
Facebook ha inizialmente adottato una lettura della normativa particolarmente “comoda” per la quale innanzitutto Facebook è un semplice responsabile del trattamento rispetto a quanto fatto da utenti e sviluppatori sulla sua piattaforma e, in secondo luogo, non tratta praticamente mai dati appartenenti a categorie particolari in quanto, ad esempio, un like su una pagina (o una serie di pagine) che parlano di una determinata religione manifesta solo un “interesse” della persona per quelle pagine o per quella religione, ma non consente di definire l’orientamento religioso di una persona.
Queste due posizioni sono state però smentite, oltre che dal chiaro significato della normativa GDPR, anche dalle linee guida puntualmente emanate dall’European Data Protection Board (EDPB), che:
- nel settembre 2020 ha emanato delle linee guida in tema di targeting nei social media, chiarendo che anche i dati appartenenti a categorie particolari ricavabili in via indiretta o per combinazione (“inferred and combined special categories of data”) costituiscono dati appartenenti a categorie particolari a tutti gli effetti;
- sempre nel settembre 2020 ha emanato delle linee guida sul ruolo di responsabile e titolare del trattamento precisando vari scenari in cui il titolare di una piattaforma web riveste il ruolo di titolare e contitolare del trattamento.
Social media targeting, le linee guida EDPB baluardo di chiarezza per la data economy
Vista questa stretta interpretativa (peraltro perfettamente coerente con la norma e lo spirito del GDPR), Facebook si è quindi trovata a dover intervenire per risolvere lo scottante problema dei dati appartenenti a categorie particolari che vengono trattati (e condivisi con gli sviluppatori) sulla piattaforma e quello del Data Processing Assessment è un primo (anche se insufficiente) passo in questa direzione.
Le conseguenze del Facebook Data Processing Assessment
Il comunicato di Facebook sul Data Protection Assessment, con formulazione poco trasparente (peraltro ripresa dal modello di informativa che sarà resa agli sviluppatori all’interno della piattaforma di gestione delle rispettive app), evita inoltre di dire una cosa essenziale ovvero cosa succede se le risposte date dagli sviluppatori evidenziano carenze in termini di sicurezza del trattamento dati e/o illegittimità nel loro utilizzo/trasferimento a terzi.
Dalla formulazione del “suggerimento”, contenuto nel post, di “rivedere le Condizioni della Piattaforma dedicata agli sviluppatori in dettaglio” prima di rispondere al questionario, pare di capire che eventuali risposte “errate” potrebbero comportare una contestazione circa il rispetto delle condizioni d’uso della piattaforma.
Anche la formulazione delle domande depone in questo senso, con un quesito che ad esempio chiede agli sviluppatori di rispondere se i loro applicativi sono utilizzati per discriminare o incoraggiare la discriminazione (è evidente che una eventuale -benché improbabile- risposta positiva potrebbe far passare dei guai allo sviluppatore, anche perché è la prima delle pratiche sui dati elencate come vietate dalle condizioni d’uso).
Una chiara definizione delle conseguenze negative conseguenti ad una privacy “debole” da parte degli sviluppatori (connessa con una rigida procedura di verifica dell’implementazione delle soluzioni proposte -o imposte- per risolvere la situazione) dovrebbe completare la disciplina di questo nuovo strumento di protezione privacy.
In merito al Data Protection Assessment va anche detto che non si tratta comunque di uno strumento sufficiente per risolvere i problemi privacy delle app sviluppate sulla piattaforma di Facebook, essendo necessario prevedere audit tempo per tempo e controlli più incisivi (non solo documentali) rispetto alla semplice autocertificazione sul trattamento lecito dei dati.
Social media targeting: gli esempi dell’EDPB su ruoli, responsabilità e meccanismi
Il “metaverso” Facebook
Facebook in questo periodo sta cercando di scrollarsi finalmente di dosso i sospetti legati allo scandalo Cambridge Analytica e guarda al futuro nel tentativo di trascendere la realtà del social network per diventare, nelle parole di Zuckerberg, un “metaverso”.
Questo concetto è solitamente invocato dagli esperti di previsione sociale come un non-luogo che trascende la dimensione digitale per calarsi in quella reale (magari “aumentata”), il metaverso comprende poi una dimensione economica autonoma e sviluppata e soprattutto, non è controllato da un unico grande soggetto ma permette anzi agi utenti di trasferire asset e contenuti da un fornitore di servizi all’altro.
La “portabilità” come caratteristica cardine del metaverso è ovviamente attenuata nella rivisitazione che ne propone Zuckerberg, che mantiene i primi due punti (virtuale che trascende nel reale e dimensione economica) sacrificando il terzo.
Allo stesso tempo però il fondatore di Facebook ammette e anzi propone che il “metaverso” diventi una realtà decentrata e non controllata da un unico soggetto.
Un “internet personificato” (“embodied internet”) che Zuckerberg definisce un paradiso per i creatori di contenuti, “la cosa che più si avvicina a un dispositivo per il teletrasporto”.
Questa immaginifica evoluzione del social network porta con sé grandi prospettive ma anche grandi preoccupazioni, una di queste è appunto quella della tutela della nostra privacy quando il mondo virtuale e quello reale si incontreranno.
È evidente, perciò, che se il mondo tech si prepara ad una rivoluzione deve prima crearne le fondamenta e uno di questi “pilastri” deve essere una compiuta tutela del diritto alla riservatezza delle persone, “pilastro” che ad oggi sembra davvero fragile soprattutto se a guidare questa rivoluzione sarà Facebook.
Il complicato rapporto di Facebook con la privacy
La stretta privacy di Apple (con Google che, pur obtorto collo, la segue) sta infatti mettendo in luce la dipendenza di Facebook e dei suoi social da strumenti di profilazione degli utenti e se da un lato la società di Zuckerberg reagisce sul piano giudiziale (considerando di interessare l’Antitrust sulle politiche di Apple nel suo App Store) e mediatico (presentandosi come un difensore delle piccole realtà imprenditoriali che sarebbero danneggiate in misura più che proporzionale dall’aumento delle tutele privacy rivolte agli utenti), dall’altro sta cercando finalmente di scendere a patti con il suo grave problema con la tutela dei dati.
Apple, ancora più privacy e sicurezza con iOS 15 e iPadOS 15: ecco le novità
Facebook è infatti conscia del fatto che non appena gli utenti saranno liberi di scegliere se farsi tracciare o meno, a fare la differenza sarà la fiducia degli utenti nei confronti delle singole app, e Facebook ha un’immagine tutta da ricostruire sul punto.
Quindi ben venga il Facebook Data Protection Assessment, così come il Data Use Checkup, introdotto lo scorso settembre, e il procedimento di App Review per le app che richiedono accessi avanzati, ma non basta.
Facebook deve infatti mettere gli utenti di nuovo nel controllo delle proprie azioni e delle loro conseguenze sul social network, controllando le informazioni fornite a inserzionisti e sviluppatori affinché non siano in grado di effettuare ulteriori operazioni di profilazione sui dati per ricavare dati che gli utenti non hanno inteso condividere.
Solo in questo modo il social network potrà proporsi come soggetto di vertice per gli sviluppi futuri della rete, altrimenti verrà surclassato dai concorrenti che prima di lui hanno capito la centralità del tema della privacy nel mondo virtuale.
