I social network si adeguino alle norme europee sulla tutela della privacy


Questo è il contenuto del messaggio, neanche tanto subliminale, che emerge da un documento del gruppo dei garanti europei, di cui all'art. 29 della direttiva 95/46 sulla protezione dei dati personali, con lo scopo di fornire una chiara indicazione delle misure che i social network possono attuare per garantire la conformità delle loro piattaforme alle norme europee a tutela della privacy.

Vediamo alcuni punti salienti di questo intervento che prende in considerazione molti aspetti di un fenomeno ormai consolidato.

Applicabilità delle direttive europee

Partendo dall'art. 4 della direttiva 95/46, di cui il gruppo ha fornito più volte una intepretazione, anche con riferimento ad una analoga questione, si ritiene che nella maggior parte dei casi le disposizioni trovino applicazione nei confronti dei social network, anche quando questi ultimi abbiano il loro quartier generale in un paese situato al di fuori dello spazio economico europeo.

Titolarità dei dati

Nessun dubbio esiste sulla qualifica dei fornitori di SN come titolari dei dati (data controller) e destinatari dei conseguenti oneri, dal momento che essi possono determinare autonomamente gli strumenti, le modalità e le finalità dei trattamenti.

Ovviamente questa titolarità può essere assunta anche dai fornitori di applicazioni esterne, quando queste ultime siano incorporate ed utilizzate all'interno delle reti sociali.

Per gli utenti finali, invece, l'applicazione della normativa è, di regola, esclusa dal fatto che il trattamento dei dati avviene nell'ambito di attività di carattere prevalentemente personale o domestico.

Tuttavia questa eccezione non opera quando gli utenti agiscono per conto di associazioni od organizzazioni di qualsiasi tipo o quando l'utilizzo della piattaforma è finalizzato a soddisfare obiettivi di carattere commerciale, politico od anche caritatevole, con la conseguente assunzione delle responsabilità tipiche dei titolari di dati ai quali, dunque, gli utenti stessi vanno equiparati.

Curiosamente nel documento si ritiene plausibile che un elevato numero di contatti possa essere indizio del fatto che un utente non stia trattando dati nell'ambito di attività personali e sia, quindi, da considerare come titolare.

Misure di sicurezza

In questo ambito è importante il richiamo che il gruppo di lavoro fa sulla necessità di adottare, sia in fase di progettazione che di funzionamento del sistema o dei sistemi di trattamento, le misure di sicurezza, tecniche ed organizzative, effettivamente richieste sulla base dell'analisi dei rischi e della natura dei dati trattati.

Quindi non il solito riferimento alle misure minime che, spesso, lasciano il tempo che trovano, ma a misure realmente proporzionate all'entità misurata del rischio, in relazione al quale non va dimenticato il contesto generale in cui gli SN operano, cioè Internet.

Informazioni e dati sensibili degli utenti

Oltre a ricevere l'informativa prevista dall'art. 10 della direttiva, gli utenti andrebbero avvertiti dei rischi che corrono rendendo noti dati ed informazioni di natura personale, così come del fatto che il caricamento di immagini relative ad altri individui non può avvenire senza il consenso di questi ultimi.

Maggior rigore va invece dimostrato nel trattamento di dati sensibili, possibile soltanto con il consenso esplicito degli interessati.

A questo proposito si reputa opportuno che, nel caso in cui la form del profilo contenga campi relativi ad informazioni sensibili (razza, religione, orientamento politico, ecc...), il fornitore chiarisca esplicitamente che il riempimento di questi campi non è in alcun modo sollecitato ma completamente facoltativo.

Trattamento dei dati di terzi

Molte piattaforme consentono di inserire in vario modo dati relativi ad altre persone, non iscritte al network, in contrasto con la norma generale secondo cui il trattamento può avvenire soltanto in presenza di uno dei requisiti di cui all'art. 7 della direttiva 95/46 (consenso, esecuzione di un contratto o di un obbligo di legge, ecc...).

Ancora peggio appare la creazione automatizzata di profili sulla base della aggregazione dei dati, conferiti indipendentemente da altri utenti, inclusi quelli concernenti le relazioni sociali dedotti, tramite inferenza, da rubriche personali.

Marketing

Il marketing diretto è una delle principali attività sulle quali si basa attualmente il modello di business delle reti sociali.

Se per tali attività si utilizzano dati personali degli utenti e servizi che rientrano nell'ambito del concetto delle comunicazioni elettroniche (es. email), andranno conseguentemente applicate le prescrizioni delle direttive 95/46 e 2002/58 (e-privacy).

Conservazione dei dati

In generale nessuna politica di conservazione può essere applicata nel caso in cui sia richiesta la cancellazione di un account.

I dati relativi agli utenti bannati, ma solo quelli identificativi, possono essere conservati, previa informativa, per un periodo massimo di 1 anno.

L'inutilizzo del servizio per un determinato periodo di tempo deve comportare la disattivazione dell'account ed, eventualmente, la sua successiva cancellazione.

Diritti degli interessati e tutela dei minori

Vanno riconosciuti a tutti coloro i cui dati vengono trattati, a prescidere dal fatto che si tratti di utenti o meno della piattaforma.

Gli interessati dovrebbero essere messi in condizione di esercitare il diritto di accesso, rettifica e cancellazione attraverso l'adozione di misure efficaci come, ad esempio, l'indicazione in home page dell'ufficio al quale sottoporre tutte le richieste e le questioni concernenti la privacy.

Ulteriori misure vanno inquadrate nell'ambito di una strategia di protezione dei dati dei minori: si parla a tale proposito di iniziative di accrescimento della consapevolezza, del divieto di raccogliere dati sensibili e di svolgere attività di marketing diretto, della separazione logica tra le comunità di adulti e minori e dell'adozione di tecnologie che migliorano la privacy (impostazioni amichevoli, popup di avvertimento, software di verifica dell'età).

Sarà ora interessante vedere quale atteggiamento vorranno assumere i fornitori di SN di fronte a questo parere che, pur non avendo forza di legge, rappresenta pur sempre un opinione autorevole e testimonia la posizione che l'Europa intende assumere nella protezione dei diritti fondamentali dell'individuo, come quello alla privacy ed alla protezione dei suoi dati.

Personalmente ritengo che la futura leadership si giocherà anche sul terreno della credibilità e dell'immagine alle quali contribuiranno, in maniera significativa, l'atteggiamento di apertura verso le problematiche citate e gli sforzi da compiere in direzione della compliance.

Photo courtesy: spekulator

Link ad approfondimenti

0 commenti: