Ci si domanda spesso se Facebook sia titolare o responsabile del trattamento dati dei suoi utenti, soprattutto quando questi ultimi sono aziende. Un quesito al quale non è sempre facile rispondere.
Intanto la società di Mark Zuckerberg, dopo il caso Cambridge Analytica e dopo le multe salatissime ricevute, ha quindi deciso di iniziare una sorta di “operazione trasparenza” per riconquistare la fiducia del proprio pubblico.
In tal senso non è un caso il rebranding di tutti i servizi del Gruppo Facebook (Instagram e WhatsApp in primis) seguito dall’introduzione di un nuovo pacchetto di opzioni privacy per i servizi dedicati ai privati e la pubblicazione di nuove privacy policy indirizzate appositamente alle aziende.
Proprio per queste ultime – società che si servono dei prodotti Facebook per vendere e pubblicizzare i propri prodotti/servizi – nei giorni scorsi è stata pubblicata la pagina Facebook for Business con cui la società di Menlo Park ha voluto chiarire definitivamente il suo ruolo nella gestione dei dati delle aziende terze che si servono della piattaforma Facebook per fare business.
Indice degli argomenti
Facebook è principalmente titolare del trattamento
A pensarci bene, non potrebbe essere diversamente. Del resto, tutti gli utenti, aziende e non, che interagiscono sul social network più famoso del mondo, lo fanno a seguito della creazione di un account, vale a dire a seguito della sottoscrizione dei termini e condizioni di Facebook nonché della relativa privacy policy.
Non sbaglia quindi Facebook quando, nella pagina sopra citata, afferma “Facebook ricopre il ruolo di titolare del trattamento dei dati per la maggior parte dei suoi servizi”. Così difatti è, ad esempio, nel caso in cui il privato o l’azienda scrivano sulla bachehca della pagina aziendale ufficiale. Questa azione avviene evidentemente sotto la titolarità di Facebook da parte di due utenti della piattaforma social.
È difatti senza ombra di dubbio Facebook a stabilire modi e finalità del trattamento in questo caso.
La situazione però cambia quando l’azienda amministratrice di una pagina su FB decida di dirottare l’utente/cliente verso altri servizi.
Quando Facebook è responsabile del trattamento
Facciamo un esempio: se la società “Alpha” intrattenesse un primo contatto sulla pagina pubblica di Facebook e, in un secondo momento chiedesse al cliente di scrivere una mail, chi sarebbe il titolare del trattamento per questo ulteriore passaggio?
La risposta è: il titolare per questo ulteriore flusso di dati sarebbe Alpha, non più Facebook. Stessa cosa avverrebbe nel caso in cui Alpha chiedesse al cliente incontrato su FB di inviargli una serie di documenti utilizzando un servizio in cloud. Anche qui, Alpha sarebbe titolare, il cliente sarebbe interessato e il servizio cloud sarebbe responsabile del trattamento.
Al medesimo risultato deve giungersi anche con riferimento ai prodotti Facebook. Chiaramente poi le situazioni devono essere viste nel dettaglio per poter essere valutate ma, in linea generale, possiamo dire che quando la società Alpha utilizza i servizi Facebook per interfacciarsi in modo riservato con il proprio Cliente, Facebook diventa un mero hosting, un fornitore di servizi che ospita le conversazioni e i dati della società e del proprio cliente, al pari di un servizio mail e/o di un servizio cloud.
In tal senso, sempre sulla pagina Facebook for Business, vengono proposti alcuni esempi di scenari in cui Facebook agisce in qualità di responsabile del trattamento dei dati, tra i quali, per rifarci all’esempio di poc’anzi, si cita il servizio Workplace.
Con riferimento a quello che, di fatto è un servizio di archiviazione da remoto/cloud, la società di Menlo Park afferma:“operiamo sia come responsabili del trattamento dei dati per i clienti che usano la versione Premium del prodotto sia come titolari del trattamento dei dati per i clienti della versione Standard. I clienti di Workplace Premium agiscono in qualità di titolari del trattamento dei dati e nominano Facebook responsabile del trattamento dei dati ai sensi del contratto con Workplace”.
Tali trattamenti, come previsto dall’art. 28 GDPR vengono effettuati a fronte di un contratto di nomina a responsabile del trattamento il quale può essere rinvenuto (non senza alcune difficoltà) sull’apposita pagina web dedicta.
Tale prassi delle Big Tech di pubblicare un contratto di nomina a responsabile del trattamento, a cui di fatto si aderisce accettando i termini e condizioni, è del resto ormai molto in voga e permette ai colossi di internet di non ricevere milioni e milioni di lettere di nomina a responsabile del trattamento.
La grande criticità di questa prassi risiede però nel fatto che, stando allo spirito della norma, questa “nomina” dovrebbe concretizzarsi in un atto giuridico tra due soggetti alla pari, dovendo quindi essere possibile, per entrambe le parti, chiedere rettifiche e variazioni nel contratto.
In una situazione come quella esaminata ciò non è invece possibile dovendo il titolare piegarsi allo strapotere della Big di turno (in questo caso Facebook) sottoscrivendo un contratto per adesione.
Ma non è questa l’unica criticità del rapporto titolare/responabile con Facebook. Come osservabile dalla lettura della già indicata pagina Facebook for Business, pur essendo individuato a grandi linee quando Facebook è da ritenersi titolare e quando invece deve ritenersi responsabile, è necessario evidenziare come non esista un elenco dettagliato di attività che Facebook svolge in qualità di processor o in qualità di controller.
Questo approccio genera quindi tutta una serie di zone grige che non vengono in alcun modo agevolate dalla presenza di indicazioni quantomeno non condivisibili.
Facciamo un esempio concreto: Facebook Messenger.
Per questo servizio la società di Zuckerberg si limita ad affermare: “Sulla Piattaforma Messenger, Facebook agisce generalmente come titolare del trattamento dei dati in quanto le conversazioni tra le persone e le aziende sono considerate attività che hanno luogo sulla piattaforma. In qualità di titolare del trattamento dei dati, Facebook gestisce i dati personali come descritto nella nostra normativa sui dati. Tieni presente che, anche nei casi in cui Facebook è il titolare del trattamento dei dati, la tua azienda può essere comunque considerata titolare del trattamento dei dati ai sensi del GDPR”.
In sostanza Facebook afferma che le conversazioni private tra una azienda e i suoi clienti che si verificano su Messenger sono di sua titolarità. Che è un po’ come se Google reclamasse la titolarità di tutte le conversazioni che avvengono su Gmail.
Una presa di posizione non condivisibile in quanto, in questo caso, è l’azienda “Apha” a determinare le finalità e i mezzi del trattamento risultando Facebook un soggetto delegato a gestire la fase di spedizione e di archiviazione delle comunicazioni, compiti questi che, come noto, spettano generalmente a soggetti responsabili del trattamento.
Facebook quale contitolare del trattamento
Come se non bastasse, anche a seguito della sentenza emanata dalla Corte di Giustizia Europea il 5 giugno 2018 (causa C-210/16), per alcuni trattamenti Facebook deve essere ritenuta contitolare assieme al propietario della Pagina.
In particolare, il riferimento va ai cosiddetti “Insights della Pagina” vale a dire una serie di statistiche aggregate create da determinati eventi registrati dai server di Facebook quando le persone interagiscono con le Pagine e i contenuti a esse associati.
A tal riguardo è proprio Facebook su una pagina apposita ad elencare (in questo caso molto dettagliatamente) le casistiche riconducibili a questo ambito.
In particolare, i dati che generano gli Insight provengono da:
- un’azione: vi rientrano azioni come le seguenti (è possibile vedere le azioni disponibili per la propria Pagina nella sezione Insights della Pagina);
- visualizzare una Pagina, un post, un video, una storia o altri contenuti associati a una Pagina;
- interagire con una storia;
- seguire o smettere di seguire una Pagina;
- mettere o rimuovere il “Mi piace” a una Pagina o un post;
- consigliare una Pagina in un post o un commento;
- commentare, condividere o aggiungere una reazione al post di una Pagina (compreso il tipo di reazione);
- nascondere il post di una Pagina o segnalarlo come spam;
- posizionare il cursore sul link a una Pagina o al nome o all’immagine del profilo di una Pagina per visualizzare un’anteprima dei contenuti della Pagina;
- cliccare sul sito web, sul numero di telefono o sul pulsante Indicazioni stradali o su un altro pulsante di una Pagina;
- visualizzare l’evento di una Pagina, rispondere a un evento compreso il tipo di reazione, cliccare su un link per i biglietti dell’evento;
- avviare una comunicazione su Messenger con la Pagina;
- visualizzare articoli o cliccare su di essi nella vetrina della Pagina;
- informazioni sull’azione, sulla persona che esegue l’azione e sui browser/sulle app usati per essa, ad esempio:
- data e ora dell’azione;
- paese/città (stimati dall’indirizzo IP o importati dal profilo dell’utente per gli utenti che hanno effettuato l’accesso);
- codice della lingua (dall’intestazione http del browser e/o dall’impostazione della lingua);
- gruppo di età/genere (dal profilo dell’utente solo per gli utenti che hanno effettuato l’accesso)
- sito web visitato in precedenza (dall’intestazione http del browser);
- se l’azione è stata eseguita su un computer o un dispositivo mobile (dall’agente utilizzatore del browser o dagli attributi dell’app);
- ID utente di Facebook (solo per gli utenti che hanno effettuato l’accesso).
In tutti questi casi si crea difatti un fascio di statistiche che ricomprende dati personali per il cui trattamento l’amministratore della Pagina determina i mezzi e le finalità del trattamento congiuntamente a Facebook Ireland Limited.
In sostanza, ad ogni evento corrispondono (almeno) due trattamenti governati rispettivamente da Facebook e dal titolare della pagina.
In tal senso, Facebook è scrupolosa nel prevedere che le sue responsabilità e quelle dell’amministratore della Pagina siano ben distinte, dovendosi individuare come segue:
“Facebook Ireland: Facebook Ireland garantirà di avere una base giuridica per il trattamento dei Dati di Insights, definita nella Normativa sui dati di Facebook Ireland (v. “Quali sono le nostre basi giuridiche per il trattamento dei dati?”). Salvo diversamente specificato nella presente Appendice per Insights della Pagina tra l’amministratore della Pagina e Facebook Ireland, sarà Facebook Ireland ad assumersi la responsabilità del rispetto degli obblighi applicabili ai sensi del GDPR per il trattamento dei Dati di Insights (compresi, a titolo esemplificativo, gli articoli 12 e 13 del GDPR, gli articoli da 15 a 21 del GDPR e gli articoli 33 e 34 del GDPR). Facebook Ireland implementerà le misure tecniche e organizzative adeguate per garantire la sicurezza del trattamento in conformità con l’articolo 32 del GDPR. Ciò comprende le misure indicate nell’Allegato di seguito (e gli aggiornamenti periodici, ad esempio per riflettere gli sviluppi tecnologici). Tutti i dipendenti di Facebook Ireland coinvolti nel trattamento dei Dati di Insights sono vincolati da obblighi adeguati di mantenere la riservatezza dei Dati di Insights.
Amministratori della Pagina: Gli amministratori delle Pagine dovranno garantire di avere una base giuridica per il trattamento dei Dati di Insights. Oltre alle informazioni fornite agli interessati da Facebook Ireland tramite la sezione Informazioni su Insights della Pagina, l’amministratore della Pagina deve individuare la propria base giuridica, compresi gli interessi legittimi che persegue, se applicabili, il/i titolare/i del trattamento dei dati comprese le relative informazioni di contatto, nonché le informazioni di contatto dei responsabili della protezione dei dati (articolo 13(1)(a-d) del GDPR), se presenti”.
In ogni caso, è utile evidenziarlo, è da supporre che anche tale previsione, con cui il colosso di Internet si suddivide le responsabilità con i propri utenti, possa subire variazioni nel brevissimo termine essendo, come si diceva, in atto una sorta di rivoluzione in Facebook.
Ad ogni modo, ad oggi, chiunque volesse creare una Pagina dovrebbe attenersi alle predette indicazioni, conscio delle responsabilità che derivano dall’esistenza di un rapporto che, a qualunque titolo, potrebbe legare la propria azienda al grande colosso di Menlo Park.