Documento senza titolo
FTC: il settlement da 5 miliardi $ impone a Facebook un nuovo assetto privacy
Il governo dei dati in possesso del social network sarà soggetto a più stringenti controlli interni ed esterni

25/07/2019

La Federal Trade Commission statunitense ha annunciato di aver raggiunto un accordo con Facebook per le violazioni compiute dal social network nei confronti della privacy dei suoi utenti. Il settlement, che prevede una sanzione da 5 miliardi di dollari (la più alta di sempre in relazione alla data protection), arriva ad esito dell’indagine avviata dall’agenzia USA per i fatti legati al caso Cambridge Analytica, apripista per una più ampia valutazione delle privacy practices dell’azienda.  

Ciò che si contesta al social network, in particolare, è l’utilizzo illecito, opportunistico e poco trasparente dei dati personali condivisi dai consumatori sulla sua piattaforma web. In altre parole, ogni giorno miliardi di persone pubblicano informazioni personali su Facebook, e ogni giorno Facebook estrapola da quei dati un valore economico, profilando gli utenti e potendo così vendere ai suoi partner commerciali spazi pubblicitari digitali ‘targetizzati’ sul singolo utente. Il problema, almeno nella ricostruzione della FTC, sorge nel momento in cui Facebook, al fine di incentivare la condivisione di dati personali, fornisce agli utenti informazioni ed impostazioni privacy ingannevoli, capaci di minare le loro determinazioni in relazione alle scelte di riservatezza.  



La studiata inadeguatezza della struttura privacy di Facebook è infatti quel che ha consentito alla società di consulenza Cambridge Analytica, ma non solo, di sfruttare le falle di sistema per collezionare indirettamente (e contro la volontà degli utenti) milioni di profili personali, attraverso la raccolta di informazioni non solo degli utenti che avevano utilizzato la sua app, ma anche delle loro liste amici. A ciò si aggiunge, poi, un certo lassismo da parte del social network nel prendere provvedimenti nei confronti delle app che avessero, appunto, violato le sue platform policies.     

Quella sanzionata dall’agenzia federale non è dunque una violazione sporadica. Si tratta, invece, di un sistema complessivo di raccolta e gestione dei dati personali illecito, e che tuttavia rappresenta la vera e propria bussola del business model di Facebook, lo strumento che consente alla società di monetizzare a ritmi elevati le informazioni degli utenti. 



Non a caso, il Chairman della FTC chiarisce che l’obiettivo primario del settlement appena raggiunto è «to change Facebook’s entire privacy culture to decrease the likelihood of continued violations».

A questo proposito, accanto alla sanzione ‘record-breaking’ da cinque miliardi, nell’accordo ha trovato posto anche una serie di «unprecedented new restrictions […]» volte ad incentivare una nuova e più efficiente struttura privacy interna a Facebook, basata su responsabilità, trasparenza e controllo.      

Sotto questo profilo, l’order della FTC impone al social network una ristrutturazione verticale dell’approccio alla gestione delle informazioni personali, che parta cioè dall’organo amministrativo della società e raggiunga la sua base operativa. L’obiettivo è raggiunto imponendo una sovrapposizione tra due differenti canali decisori in materia di privacy, uno interno e l’altro esterno.            

Per quanto riguarda il canale interno, la FTC è intervenuta incrementando l’accountability del board. Accanto a ciò, si è voluto ridurre il raggio d’azione del CEO Zuckerberg sul tema privacy, istituendo in seno al C.d.A. un comitato indipendente privacy, i cui membri, di nomina esterna, potranno essere rimossi solo da una ‘super-maggioranza’ dello stesso C.d.A. Il comitato avrà, tra l’altro, il compito di approvare la nomina di una nuova figura aziendale imposta dalla FTC, i ‘compliance officers’, che saranno responsabili del nuovo privacy program di Facebook e che potranno essere rimossi dall’incarico esclusivamente con una decisione del comitato indipendente. Zuckerberg e i compliant officers saranno inoltre chiamati a certificare alla FTC, trimestralmente e annualmente, la compliance aziendale con le nuove regole privacy. 

Per quanto riguarda il canale decisorio esterno, invece, la FTC ha previsto che le privacy practices di Facebook siano sottoposte alla supervisione di un perito esterno, che sarà chiamato a valutarne l’effettività e a identificarne le problematiche, riportando direttamente su base trimestrale al comitato indipendente.

Oltre alle disposizioni che vanno a modificare l’assetto dei poteri interni alla società sul tema privacy, la FTC ha poi imposto a Facebook tutta una serie di nuovi requisiti da rispettare, che vanno a correggere alcune tra le violazioni più frequenti accadute in passato. Tra questi è utile riportare, per le potenziali ripercussioni sul modello commerciale del social network, gli obblighi di supervisionare le app di terze parti che interagiscano con la piattaforma social, di fornire una informativa chiara e completa sull’utilizzo di tecnologie di riconoscimento facciale, di implementare un efficace data security program, di migliorare il sistema di crittazione delle password degli utenti. Ancora, a Facebook sarà vietato utilizzare a fini pubblicitari i numeri di telefono ottenuti per l’autenticazione in due passaggi e acquisire le password dell’utente relative ad altri servizi che interagiscano con la sua piattaforma.      

Complessivamente, quindi, si tratta di disposizioni che vanno a limitare, quando non ad ‘espropriare’, almeno in parte, il governo privacy della compagnia, inteso come la possibilità di assumere autonomamente le decisioni aziendali in materia di trattamento dei dati personali degli utenti. Il doppio controllo, interno, mediante il comitato, ed esterno, mediante il perito, aiuterà probabilmente Facebook a evitare in futuro ulteriori sanzioni economiche, o provvedimenti come il famigerato break-up da WhatsApp e Instagram, argomento oggetto di animato dibattito negli ultimi tempi.       

L’obiettivo, del resto, non è strozzare il core business della società, ma aprirlo al dialogo con le contrapposte esigenze di privacy. Perseguire cioè gli obiettivi di mercato, chiedendo però meno sacrifici all’utente, rispetto al passato, in termini di riservatezza dei propri dati. Un cambio di mentalità auspicabile che, tuttavia, potrebbe incontrare un importante ostacolo nelle ragioni economiche sottese alle cattive abitudini del web advertising.


© Graziadei Studio Legale

Ulteriori informazioni: link al provvedimento FTC.

Disclaimer & Privacy
P.IVA 07340781009