Facebook e privacy non sono affatto sinonimi, più che mai in questi ultimi anni.

Il primo grande scandalo è stato Cambridge Analytica. Grazie a un app quiz presente sul social network, utilizzata da 270 mila persone, è stato possibile collezionare i dati di circa 70 milioni di persone.

I numeri sono davvero incredibili e per la prima volta il grande pubblico ha realizzato che Facebook non è solamente il luogo dove vengono pubblicati meme, foto in abiti succinti con didascalie degne del miglior Dante Alighieri o si postano le foto dell’ultima grigliata: il social network di Zuckerberg può e viene usato per influenzare le opinioni politiche delle persone.

E’ innegabile che questo scandalo abbia inciso sulle elezioni USA 2016, visto il lieve scarto di voti tra Hillary Clinton e Donald Trump, sebbene determinare l’impatto preciso sia pressoché impossibile.

Cos’è il GDPR

Nonostante l’Unione Europea venga spesso criticata, a partire dall’anno scorso ha dimostrato al mondo intero la necessità di proteggere al meglio i dati degli utenti, ritenuti da molti il nuovo petrolio del 21° secolo. La normativa GDPR ha reso molto più stringenti le leggi relative alla privacy e al trattamento dei dati in tutta l’UE.

Esattamente un anno fa avrai sicuramente ricevuto milioni di email riguardanti l’entrata in vigore del GDPR. Il motivo? Le sanzioni in caso di inadempimento a una delle norme possono arrivare fino a 20 milioni di euro o il 4% del fatturato mondiale totale nei casi più gravi (10 milioni e 2% negli scenari meno gravi). In caso di violazione vale la cifra più alta.

Anche le aziende più ricche al mondo farebbero fatica a riprendersi da una sanzione del genere, pertanto qualsiasi impresa che ha almeno un cliente/utente europeo è corsa ai ripari.

Il GDPR è stato visto soprattutto come un provvedimento per aumentare la responsabilità dei giganti del web. Nello specifico riguarda Google e Facebook, il cui business si basa sulla profilazione degli utenti al fine di mostrare loro i banner pubblicitari più rilevanti.

Facebook rispetta il GDPR?

Ovviamente anche Facebook ha dovuto adeguarsi alla nuova normativa europea. L’azienda ha creato un’apposita pagina in cui descrive come sta rispettando la normativa. Il celebre social network, insieme ad Apple, è soddisfatto dell’introduzione del GDPR in Europa e spera nell’adozione di una normativa molto simile anche negli Stati Uniti.

E’ davvero così? In base all’esperienza riportata da Ruben Verborgh, un professore dell’Università di Ghent (Belgio), la risposta è un netto e chiaro no. Nello specifico i punti che l’azienda non rispetterebbe sono:

Invio di tutte le informazioni riguardanti gli utenti.

Cancellazione di tutti i dati riguardante gli utenti in seguito alla cancellazione del loro account e richiesta nei termini descritti dal GDPR.

Cosa è successo nello specifico? Ecco un riassunto dell’intera vicenda.

A Gennaio 2019 il professor Verborgh decide di cancellare il proprio account Facebook. Il perchè è semplice: non ha più alcun motivo professionale per utilizzare il proprio account.

Vista l’esistenza del GDPR decide di non limitarsi a cancellare il proprio account. Il suo obiettivo è quello di ottenere tutti i dati che il social network ha su di lui e ottenere la cancellazione di questi da parte dei database di Facebook. Questo è il modo migliore per garantire la propria privacy.

Per rispettare il GDPR, nello specifico la gestione delle richieste “Subject Access Requests“, Facebook ha realizzato uno strumento che permette di scaricare i propri dati. Grazie a “Download your Information Tool” in pochi click è possibile inviare questa richiesta: nel giro di qualche ora si potrà scaricare un file zip con tutte le informazioni richieste.

Fin qui tutto bene. Il problema si ha quando si scompatta il file zip e si guardano i vari file presenti. Come potrai notare tu stesso le informazioni presenti sono solamente quelle inserite dagli utenti: informazioni anagrafiche, foto, video e poco altro.

A prescindere dalle conoscenze tecniche di ognuno di noi, è evidente che Facebook non possiede unicamente queste informazioni su di noi. Quello che ha reso grande l’azienda è l’abilità di capire stati d’animo e preferenze su molti aspetti in base alle nostre interazioni su siti esterni, pagine, gruppi e contatti.

Cronologia mail delle comunicazioni tra Ruben Verborgh e Facebook

Nel corso delle settimane successive avvengono i seguenti fatti (per la cronologia completa ti invito a guardare il post sul blog ufficiale di Verborgh):

I dati ottenuti mediante il tool non vengono reputati sufficienti e il professore decide di inviare una richiesta ufficiale a Facebook , in data 14 Gennaio 2019, al fine di ottenere una risposta maggiormente dettagliata.

, in data 14 Gennaio 2019, al fine di ottenere una risposta maggiormente dettagliata. Il 15 Febbraio 2019 Facebook invia l’elenco delle informazioni che hanno su ogni singolo utente, non allegando però alcun dato relativo al professore. Lui risponde il giorno stesso, modificando il listato ricevuto in modo da elencare in maniera dettagliata le informazioni che si aspetta di ottenere.

invia l’elenco delle informazioni che hanno su ogni singolo utente, non allegando però alcun dato relativo al professore. Lui risponde il giorno stesso, modificando il listato ricevuto in modo da elencare in maniera dettagliata le informazioni che si aspetta di ottenere. Dopo diverse sollecitazioni, tra cui l’invio di mail al Data Protection Officer , Stephen Deadman , il social network risponde in data 1 Aprile 2019. La risposta utilizza un linguaggio molto verboso e burocratico ma contiene una chiave interpretativa parecchio furba e innovativa del GDPR .

Secondo l’azienda il GDPR richiede che i dati vengano inviati in un “linguaggio chiaro”. Ciò significa che deve essere comprensibile dalle persone comuni. Il problema? I loro dati sono troppo complessi per le persone comuni: di conseguenza non sono obbligati a fornire alcun dato .

, , il social network risponde in data 1 Aprile 2019. La risposta utilizza un linguaggio molto verboso e burocratico ma contiene una chiave interpretativa parecchio furba e innovativa del . Secondo l’azienda il richiede che i dati vengano inviati in un “linguaggio chiaro”. Ciò significa che deve essere comprensibile dalle persone comuni. Il problema? . Nella sua risposta Ruben fa notare come la legge preveda che i dati devono essere in realtà trasparenti, concisi e in un formato facilmente accessibile (“ a concise , transparent, intelligible and easily accessible form, using clear and plain language”), molto diversa dall’interpretazione da Facebook (“At its most basic, this means that the information Facebook provides in response to a request should be capable of being understood by the average person .”).

fa notare come la legge preveda che (“ , transparent, intelligible and easily accessible form, using clear and plain language”), molto diversa dall’interpretazione da Facebook (“At its most basic, this means that the information Facebook provides in response to should be capable of being understood by the .”). A distanza di un mese (2 Maggio 2019) Facebook si dichiara soddisfatta della propria risposta, in quanto completamente in linea con le regole relative a privacy e trattamento dati del GDPR.

si dichiara soddisfatta della propria risposta, in quanto completamente in linea con le regole relative a privacy e trattamento dati del GDPR. 2 giorni dopo Ruben risponde dichiarandosi non soddisfatto e decide di cambiare approccio.

Per il momento vuole concentrarsi su un aspetto in particolare, in modo da evitare ulteriori risposte fumose. Chiede esplicitamente i dati riguardanti “Network and connections”, ovvero i contatti che aveva come amici durante la sua permanenza su Facebook. Inoltre afferma che questi dati risultano comprensibili alle persone comuni, pertanto si aspetta di ottenerli.

Conclusioni

La vicenda non è affatto vicina alla conclusione. Ruben Verborgh si dimostra intenzionato a continuare la lotta per la sua casa con ogni mezzo possibile. Facebook nell’arco di 4 mesi non ha cambiato atteggiamento relativamente alla sua interpretazione del GDPR.

Come finirà la vicenda? E’ assolutamente difficile fare previsioni. Visto il crescere della sensibilità nei confronti della privacy e dei dati raccolti su di noi è evidente che il professore non sarà l’unico a chiedere il rispetto dei propri diritti.

Ovviamente nel corso delle settimane aggiorneremo questo articolo al fine di comunicarvi tutti i nuovi fatti di questa vicenda.

Anche tu sei pronto a lottare per il rispetto della tua privacy su Internet? Faccelo sapere attraverso i commenti!