ius and bit

Con un comunicato stampa del 12 maggio l’Art. 29 Working Party, che è il gruppo delle Autority europee sulla privacy, ha scritto una lettera a Facebook esprimendo come inaccettabile il comportamento della società che ha cambiato le impostazioni standard a discapito dell’utente.

In realtà questa azione dell’Art. 29 WP è direttamente connessa all’impegno assunto dai social network provider che il 10 febbraio 2009 hanno sottoscritto a Lussemburgo i principi (n. 8) sui social network in Europa. Il WP ha sottolineato la necessità di una impostazione predefinita, in cui l’accesso alle informazioni sul profilo e le informazioni sulle connessioni di un utente sia limitato ai contatti selezionati. Ogni altro accesso, come ad esempio ai motori di ricerca, deve essere – si sottolinea – una scelta espressa dell’utente.

Il Gruppo art. 29 è già intervenuto sui social network con un ampio documento da me pubblicato in due post: uno qui e l’altro qui.

Cosa accadrà ancora sul fronte privacy e social network ?

Altro cambiamento della privacy policy di Facebook. Il nuovo testo in italiano è disponibile qui.

È estremamente interessante il contenuto del rapporto del 16/7/2009 (per il documento in pdf cliccare qui) redatto da Elizabeth  Denham, che è
”Assistant Privacy Commissioner of Canada”, presso l’Office of the Privacy Commissioner, a seguito di una denuncia presentata contro Facebook Inc. per presunta violazione della privacy.

La denuncia è stata proposta dal CIPPIC (Canadian Internet Policy and Public Interest Clinic) e si compone di 24 motivi di accusa articolati in 12 distinti argomenti. In sintesi con la denuncia si fa riferimento alle impostazioni privacy di default, alla raccolta e utilizzo di informazioni personali degli utenti per scopi pubblicitari, alla divulgazione delle informazioni personali degli utenti agli sviluppatori di applicazioni di terze parti, alla raccolta ed utilizzo di informazioni non-personali degli utenti.

Gli argomenti chiave della citata denuncia sono stati il mancato rispetto da parte di Facebook della conoscenza e del consenso per l’utente. L’ufficio canadese per la privacy ha condotto l’indagine al fine di verificare se Facebook fornisca agli utenti adeguate informazioni circa le finalità di raccolta, di uso, o di divulgazione di informazioni personali, e se in questo in modo fosse stata adottata una condotta trasparente.

Il rapporto in questione si conclude con tre soluzioni diverse:

1. motivi ed argomenti infondati: per quanto concerne le nuove utilizzazioni dei dati personali, la raccolta di informazioni personali da fonti diverse Facebook, Facebook Mobile e sicurezza, e frodi e false dichiarazioni;
2. motivi ed argomenti fondati e risolti mediante la proposta a Facebook di misure correttive (con un controllo dopo 30 giorni): con riferimento alla raccolta della data di nascita, alle impostazioni privacy predefinite, alla pubblicità e al monitoraggio per attività anomale;
3. motivi ed argomenti fondati e non risolti (con proposta di raccomandazioni): con riferimento alle applicazioni di terze parti, alla disattivazione e alla cancellazione dell’account, agli account degli utenti deceduti, e alle informazioni personali dei non utenti.

Con riguardo all’ultimo punto (il 3) circa gli argomenti fondati e non risolti, l’Ufficio canadese per la privacy ha rivolto a Facebook le seguenti raccomandazioni per mettere in atto misure:

(applicazioni di terze parti)

a) per limitare l’accesso agli sviluppatori di applicazioni alle informazioni degli utenti che non sono tenuti ad eseguire una specifica applicazione;

b) gli utenti dovrebbero essere informati in ogni caso delle informazioni specifiche che un’applicazione richiede e a quale scopo;

c) dovrebbe essere richiesto in ogni caso il consenso esplicito degli utenti circa l’accesso degli sviluppatori alle informazioni;

d) o vietare qualsiasi divulgazione di informazioni personali degli utenti che non sono esse stesse da aggiungere a un’applicazione.

(disattivazione e cancellazione dell’account)

Che Facebook sviluppi, Istituisca, e informi gli utenti di una policy di conservazione dei dati in cui le informazioni personali degli utenti che hanno disattivato il loro account verranno cancellate dai server di Facebook dopo un periodo di tempo ragionevole.

(account degli utenti deceduti)

Che Facebook includa nella sua policy sulla privacy, nel contesto di tutti gli usi previsti dei dati personali, una spiegazione della destinazione d’uso delle informazioni personali al fine di lasciare in memoria gli account degli utenti deceduti.

(informazioni personali dei non utenti)

a) che Facebook esamini e metta in atto misure volte a migliorare il suo utilizzo, posta la mancanza di conoscenza e di consenso da parte dei non utenti alla raccolta, all’utilizzo e alla conservazione dei loro indirizzi e-mail da parte di Facebook;

b) che Facebook imposti un limite di tempo ragionevole sulla conservazione degli indirizzi email dei non utenti allo scopo di tener traccia proposte di invito e del relativa accettazione.

Ciò posto, con un post del 27 agosto pubblicata nella Press Room e con ulteriore nota pubblicata sul blog, Facebook annunciava cambiamenti nella policy privacy proprio a seguito dell’intervento del “Canadian Privacy Commissioner“. In sostanza la denuncia ed il successivo provvedimento del garante canadese hanno avuto effetto per gli utenti.

Come si accennava all’inizio, questo rapporto si dimostra interessante con riguardo ai numerosi aspetti della privacy che possono essere presenti sulle piattaforme di social networking. In ambito europeo va sicuramente evidenziato l’importante documento dell’art. 29 WP di recente adozione che è stato illustrato in due distinti post e precisamente qui e qui.

Tuttavia, è sufficiente raggiungere la pagina di Facebook che riguarda la privacy per leggere, tra l’altro,

Partecipazione al programma EU Safe Harbor

Facebook aderisce al programma EU Safe Harbor Privacy Framework elaborato dal Ministero del Commercio degli Stati Uniti. In virtù di tale adesione, il sito Web fa riferimento a TRUSTe per la risoluzione delle controversie inerenti al rispetto, da parte nostra, del Safe Harbor Privacy Framework. Se hai lamentele da avanzare circa la nostra ottemperanza al Safe Harbor, visita il nostro Centro assistenza. Se tale segnalazione si rivelerà infruttuosa, potrai inoltrare la tua lamentela a TRUSTe all’indirizzo http://www.truste.org/users/users_watchdog_intro.html.

Ciò conferma che i server di Facebook sono in USA ove pure viene effettuato il trattamento dei dati personali.

Inoltre, con riguardo ai profili privacy del proprio account, nelle medesime condizioni generali si legge:

Modifica o rimozione delle informazioni

Gli strumenti di modifica del profilo consentono di accedere alla maggior parte delle informazioni personali su Facebook e modificarle in modo rapido. Ogni utente di Facebook può modificare o rimuovere tutte le informazioni del profilo in qualsiasi momento accedendo al proprio account. Le informazioni saranno aggiornate immediatamente. Chiunque desideri disattivare il proprio account Facebook, può farlo dalla pagina Il mio account. È possibile che le informazioni rimosse rimangano memorizzate in copie di riserva per un periodo di tempo, ma generalmente non saranno disponibili ai membri di Facebook.

Quando si utilizzano servizi di comunicazione per condividere informazioni con altri utenti su Facebook (ad esempio, quando si invia un messaggio personale ad un altro utente), tuttavia, non è possibile rimuovere questi tipi di comunicazione.

Con riguardo alla modifica delle informazioni, queste indicazioni “È possibile che le informazioni rimosse rimangano memorizzate in copie di riserva per un periodo di tempo, ma generalmente non saranno disponibili ai membri di Facebook.” si manifestano assolutamente generiche posto che non è precisata la durata del “periodo di tempo”.