Dove sei: Home > Blog > Privacy e GDPR, le paure (non troppo infondate) degli utenti
Approfondimenti | 09-11-2021
Lo scandalo che nel 2018 ha coinvolto Facebook e la compagnia di data anylisis Cambridge Analytica ha portato all'attenzione del mondo le implicazioni relative alla violazione dei dati personali, rendendo più familiare all'utente il valore delle informazioni che lo riguardano, nonché i risvolti politici che possono derivare dalla loro diffusione incontrollata. A questo rinnovato interesse nei confronti della privacy si può affiancare, almeno temporalmente, la pubblicazione del GDPR (General data protection regulation), avvenuta a pochi mesi di distanza. In lavorazione già da alcuni anni, questo intervento non può certo essere considerato una conseguenza diretta dello scandalo, ma è lecito presumere che i due avvenimenti siano la manifestazione di alcune importanti lacune legislative che fino a pochi anni fa consentivano alle aziende di disporre in maniera piuttosto arbitraria dei dati personali in loro possesso.
Nella primavera del 2018 emerse sulle pagine del New York Times e del Guardian un'indagine riguardante la presunta acquisizione dei dati di circa 50 milioni di utenti iscritti al social network da parte della Cambridge Analytics, compagnia di consulenze e data analysis. Secondo quanto riportato, le informazioni oggetto dello scandalo non sarebbero state propriamente vendute, bensì acquisite legalmente sfruttando una falla all'interno del sistema.
Per comprendere come una tale fuga di notizie sia stata possibile bisogna tornare indietro al lontano 2010, quando Facebook decise di rilasciare Open Graph API, un'interfaccia di programmazione in grado di consentire a sviluppatori di terze parti di accedere ad alcune funzioni del social network per integrare nella piattaforma applicazioni esterne. Previo consenso degli utenti che intendevano utilizzare l'applicazione integrata, il protocollo forniva agli sviluppatori alcune delle informazioni contenute nei profili tramite cui questi effettuavano l'accesso al software.
L'API inserito all'interno del social network presentava però un inconveniente: nonostante Facebook stessa non ne fosse a conoscenza, a causa di un errore nello sviluppo del protocollo le informazioni che questo lasciava trapelare non riguardavano soltanto gli utenti che avevano fornito esplicito consenso, ma anche tutti coloro che comparivano come loro amici all'interno del social.
E' in questo contesto tecnologico che si inserisce un quiz psicologico sulla personalità elaborato dalla Cambridge University a partire da un progetto del professor Aleksandr Kogan, "This is your digital life". Offrendo agli utenti la possibilità di scoprire a quali deduzioni si sarebbe potuti arrivare utilizzando le informazioni da loro condivise all'interno del social network, il questionario permetteva agli sviluppatori di accedere ad una mole di dati inverosimile. Pagando all'incirca 270 mila persone perché sostenessero il test, il professor Kogan riuscì ad accedere alle informazioni relative a più di 87 milioni di perone.
In esplicito contrasto con le limitazioni imposte da Facebook in merito, il Professor Kogan ha stipulato un accordo con la compagnia di consulenza britannica Cambridge Analytica, procedendo alla vendita di tali dati. L'utilizzo fatto dall'azienda delle informazioni ricevute costituisce forse uno degli elementi che più hanno contribuito a destare scandalo: secondo quanto affermato da molti esponenti del Partito Democratico e varie testate giornalistiche infatti, in base ai dati riportati all'interno del rapporto sarebbe possibile individuare alcuni collegamenti con la rapida ascesa di Donald Trump nelle scorse presidenziali statunitensi
Come accennato poco sopra, al momento dei fatti non sembra che la compagnia capitanata da Mark Zuckerberg fosse a conoscenza della falla di sistema da cui ha avuto origine il data breach, è però un fatto accertato che in seguito all'individuazione del buco di sistema non siano stati presi provvedimenti adeguati. Secondo quanto emerso nell'indagine, un informatore interno alla compagnia britannica testimonia riguardo l'esistenza di una lettera ricevuta dall'azienda nel 2016, in cui Facebook richiedeva che tutte le informazioni acquisite impropriamente ancora in loro possesso venissero eliminate: inutile dire che questo non venne fatto, nonostante l'azienda non avesse mancato di inoltrare un certificato firmato che attestasse il buon esito della procedura.
A prescindere dalle ingannevoli rassicurazioni della Cambridge Analytica, questo blando tentativo portato avanti dalla compagnia americana con l'intenzione di arginare il problema non può essere considerato soddisfacente: consapevole della consistente fuga di notizie che in quegli anni aveva coinvolto il social network e tutti gli utenti iscritti, Facebook non ha ritenuto opportuno comunicare in alcun modo ai diretti interessati quel che stava succedendo, rendendo per questi estremamente difficoltoso poter recuperare i propri dati.
Le indagini condotte attorno alla fuga di informazioni che ha visto coinvolta Facebook hanno potuto appurare che l'azione dell'azienda britannica responsabile del furto non si era affatto limitata ai confini del mondo anglofono, ma era arrivata a coinvolgere aree ben più estese, tra cui anche l'Italia. Secondo le informazioni contenute all'interno del report, ben 214 mila degli utenti i cui dati sono stati sottratti erano italiani.
Un altro degli elementi che questo scandalo ha contribuito a lasciar emergere è relativo alla presenza di un intero settore di compagnie il cui business principale consiste nella raccolta dei dati personali degli utenti, allo scopo di profilarne il comportamento per finalità elettorali. Similarmente a quanto accade nel settore commerciale, applicare una strategia di profilazione all'interno di una campagna propagandistica può contribuire a rendere più efficace il messaggio che si desidera veicolare, facendo forza su credenze pregresse dell'utente e sulla sua disponibilità ad abbracciare un determinato pensiero.
Considerate le implicazioni derivate da una tale linea strategica, si può facilmente constatare il rischio che la profilazione a scopo elettorale comporta per il sistema democratico occidentale: esasperando l'analogia con le tecniche proprie dell'advertising, la propaganda potrebbe scegliere di utilizzare strategie finalizzate a massimizzare il rendimento delle campagne, associando biunivocamente alcuni tipi di messaggi ad un target specifico selezionato in base all'analisi dei dati comportamentali.
L'adozione di tali pratiche rischia di ledere i principi professati dall' art.10 della Dichiarazione Europea dei Diritti dell'Uomo (CEDU), secondo cui garantire la possibilità di accedere senza alcuna ingerenza esterna a tutte le informazioni disponibili costituisce un diritto fondamentale strettamente connesso alla libertà di opinione. Limitando la pluralità informativa auspicata dalla CEDU, il ricorso ad un marketing elettorale strettamente targettizzato potrebbe compromettere la capacità degli utenti di indirizzare le proprie scelte politiche in maniera informata e consapevole, accentuando la polarizzazione delle opinioni individuali e ostacolando il dibattito pubblico.
La prospettiva di tali rischi, capaci di compromettere irrevocabilmente la tenuta strutturale dei sistemi democratici occidentali, non ha mancato di suscitare timori, tanto nelle istituzioni preposte al controllo dell'utilizzo e della diffusione dei dati personali, quanto negli utenti stessi. Da qualche anno a questa parte i timori relativi alle possibili violazioni della privacy stanno assumendo una portata sempre più consistente, tanto da arrivare a pervadere anche i comportamenti quotidiani. Se in alcune circostanze queste paure possono dirsi giustificate ed indurre ad assumere comportamenti più funzionali alla tutela della propria riservatezza, altre volte possono risultare del tutto infondate, lasciando trasparire la mancata conoscenza della legislazione riguardante il trattamento dei dati personali.
Dall'esplosione dello scandalo Facebook - Cambridge Analytica, infatti, le autorità preposte hanno lavorato intensamente per adottare alcuni provvedimenti finalizzati a colmare quel vuoto normativo che aveva reso possibile il fatto, ribadendo come le compagnie che si trovano nella condizione di trattare questo genere di informazioni non debbano in alcun modo ritenersi superiori alla legge.
Con l'introduzione del GDPR avvenuta nel Maggio 2018, il Parlamento Europeo ha introdotto alcune importanti limitazioni nel trattamento dei dati personali riconducibili a cittadini europei, imponendo alle aziende di adeguare le proprie politiche in merito. In linea con i principi che hanno orientato la redazione del testo, sono stati enunciati anche alcuni diritti ascrivibili al soggetto a cui i dati si riferiscono: contenuti nel terzo capitolo del provvedimento, gli articoli 12-24 sanciscono alcuni concetti fondamentali come il diritto all'oblio, il diritto alla data portability, nonché il diritto ad accedere ai propri dati di cui l'azienda è in possesso. Tra gli obblighi introdotti compare invece il dovere da parte dell'azienda di comunicare alle autorità competenti e agli utenti interessati l'eventuale accesso a dati sensibili in loro possesso da parte di entità non autorizzate, entro e non oltre le 72 ore dall'occorrenza del fatto.
In breve, se il Regolamento Europeo per la tutela della privacy fosse stato in vigore al momento dello scandalo, in quanto possessore di dati sensibili Facebook sarebbe stato tenuto ad assicurarsi che gli accordi presi dal professor Kogan venissero rispettati e che le informazioni oggetto del contratto non venissero divulgate. Inoltre, una volta appurata la presenza di un data breach, avrebbe dovuto informare prontamente le autorità atte a garantire la privacy degli utenti, nonché i cittadini i cui dati erano stati violati.
Diventa anche tu nostro cliente! Studiamo le tue esigenze e costruiamo il software adatto a te.
