Facebook sotto la lente della privacy: la competenza dei Garanti nazionali, la circolazione dei dati fra i contatti (“amici”) e la profilazione degli utenti.

Il più diffuso social network dei giorni nostri, Facebook (FB), è venuto in rilievo anche assai recentemente in quanto ha comunicato la disponibilità per i suoi utenti di una nuova funzionalità per i gruppi, ad esso iscritti, avente lo scopo di facilitare la comunicazione e la condivisione di informazioni, ma, al contempo, di cercare di garantire il più possibile il diritto alla privacy.

In tale ottica, si prevede che tutto ciò che venga pubblicato all’interno di un gruppo possa essere visualizzato solo dagli utenti membri.

Ora, però consideriamo brevemente il dettaglio di tale “auto-riconfigurazione” da parte di Facebook .

Tra le varie novità, emerge lo strumento della chat di gruppo, con la quale più membri di uno stesso gruppo avranno la possibilità di comunicare fra loro scambiandosi dati di varia natura e “qualità”.

Se tale novità va vista, almeno nel complesso, positivamente in quanto strumento di agevolazione della socializzazione sempre più diffusa degli utenti di FB, non può non notarsi come il medesimo comporti rischi non indifferenti per i dati personali, inevitabilmente più interrelati, molto comunque dipendendo dalla sua concreta applicazione e operatività.

Altra novità è costituita dall’introduzione di un meccanismo molto simile a una mailing list di gruppo, poiché sarà possibile impostare un indirizzo e-mail per il gruppo nel suo complesso, peraltro utilizzabile anche indipendentemente dal collegamento a Facebook, e con l’ulteriore precisazione che le e-mail dirette a questo indirizzo si trasformeranno automaticamente in post visibili per gli altri membri del medesimo gruppo.

Al riguardo, è evidente che l’utente che scriva a tale tipo di indirizzo di posta elettronica dovrà sempre ben considerare che i dati da lui inseriti - eventualmente anche sensibili o supersensibili (di carattere sanitario, sessuale, etc..) - nel messaggio inviato saranno visibili non da un unico soggetto, ma da una molteplicità di soggetti.

Appare un utile rimedio a favore del diritto alla privacy quello previsto da Facebook secondo cui i nomi dei nuovi gruppi e degli utenti che vi prendono parte possono essere visualizzati da tutti, ma non così le informazioni ivi pubblicate, che pertanto dovrebbero rimanere riservate.

Favorevolmente, in ottica privacy, va anche considerata la possibilità - per gli utenti che lo desiderino - di impedire la visualizzazione anche dell’elenco degli utenti facenti parte del gruppo.

A prescindere da tali recenti novità, Facebook pone una problematica di fondo, cioè se il Garante Privacy italiano, e più in generale, i Garanti operanti in territorio UE, siano giuridicamente competenti a intervenire rispetto ai trattamenti dati operati direttamente da o mediante FB.

Ebbene, può dirsi che quasi sempre, le Autorità Garanti hanno dapprima rinnegato la propria competenza, avendo la società americana sede legale all’estero, e quindi ritenendo Facebook estranea al campo applicativo della normativa comunitaria e delle normative nazionali derivate, per poi, potremmo dire timidamente, ritenere applicabile i rispettivi codici privacy, a seconda di tratti di profili “chiusi” (cioè ristretti ai soli contatti dell’utente, c.d. “amici”) o invece “aperti”, visibili quindi a chiunque anche qualora vi acceda tramite i comuni motori di ricerca.

In tal senso, l’argomento giuridico che, nell’ordinamento italiano, pare meglio fondare la competenza del Garante è l’art. 5 comma 3 del nostro Codice Privacy, secondo il quale “il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione”.

In tal caso se viene pubblicata la foto di un terzo soggetto senza il suo consenso, o come si usa dire nel linguaggio della rete, venga “taggata”, potremmo affermare una violazione dell’art. 23 del Codice, in base al quale il consenso è validamente prestato solo se, oltre ad essere informato e documentato per iscritto, è espresso “specificamente in riferimento ad un trattamento chiaramente individuato”.

Inoltre, se manca l’informativa, pur semplificata, data la natura dinamica e “friendly” del social network, potremmo affermare anche la violazione dell’obbligo informativo dell’art. 13 del Codice.

Se invece il profilo dell’utente FB è “chiuso”, nel senso che possono avervi accesso soltanto i contatti (c.d. “amici”) dell’utente, pare preferibile ritenere che sui trattamenti effettuati a meri fini personali non vi possa essere né applicazione del Codice, né competenza del Garante nazionale, dal momento che, pur dilatando il tenore letterale della norma, non pare né una diffusione né una comunicazione sistematica.

Quindi, in tal caso non ha neanche senso porsi il problema dell’applicazione dell’art. 23 e dell’art. 13 del Codice Privacy.

Concludendo, va evidenziato il rischio evidente quanto persistente – anche dopo le dette novelle - di circolazione indiscriminata dei dati personali immessi su profili “aperti”, anche in termini di possibile profilazione (intesa come analisi dei gusti e dei comportamenti della clientela, soprattutto per definire decisioni e strategie aziendali) non solo da parte di FB, ma anche da parte delle altre imprese di TLC.

Queste ultime, a loro volta, al fine di limitare i danni dovuti a tale indiscriminata diffusione dei dati, dovrebbero far si sì che i sistemi informatici dedicati alla profilazione, quale tipo di trattamento notevolmente invasivo, siano ben separati da quelli utilizzati per altre finalità (quali fatturazione o marketing) e adottare rigorose misure di sicurezza ai sensi degli artt. 33 ss. del Codice) per la salvaguardia e integrità dei dati trattati.

http://www.ipsoa.it/PrimoPiano/Diritto/facebook_attenzione_a_taggare_le_foto_altrui_id1008329_art.aspx