⚖️ Privacy social network ai tempi del GDPR

Privacy social network, dalle parole del Garante Privacy:

Quando inserisci i tuoi dati personali su un sito di social network, ne perdi il controllo. I dati possono essere registrati da tutti i tuoi contatti e dai componenti dei gruppi cui hai aderito, rielaborati, diffusi, anche a distanza di anni. A volte, accettando di entrare in un social network, concedi al fornitore del servizio la licenza di usare senza limiti di tempo il materiale che inserisci on-line… le tue foto, le tue chat, i tuoi scritti, le tue opinioni […]

Quando metti on-line la foto di un tuo amico o di un familiare, quando lo “tagghi” (inserisci, ad esempio, il suo nome e cognome su quella foto), domandati se stai violando la sua privacy. Nel dubbio chiedigli il consenso […].

I social network ci danno tanti vantaggi: la creazione di una community virtuale, lo sfruttamento di piattaforme che hanno una visibilità mondiale per promuovere i nostri prodotti, l’accesso a notizie in tempo reale.

La creazione dell’account, attraverso cui si stipula un contratto con il social network, è gratuita, e abbiamo l’accesso a un’infinità di risorse.

Ma è davvero un servizio gratuito…?

Ricordiamoci che in cambio del servizio diamo i nostri dati. 

Privacy social network: le normative nel tempo

Privacy e social network è un tema che fa discutere, soprattutto dallo scandalo di Cambridge Analytica, momento in cui forse ci si è resi davvero consapevoli della mancanza di controllo sui nostri dati, una volta “ceduti” ai social.

Ma cosa s’intende per social network?

I social network sono le piattaforme web dove utenti condividono contenuti, che possono raggiungere un’utenza più o meno ampia. La caratteristica di queste piattaforme è che costituiscono un network:

• per accedervi bisogna creare un account; 
• all’interno della propria rete c’è un network di persone a cui ci siamo volutamente collegati;
• gli utenti comunicano in modo interattivo fra loro;
• ciò che viene condiviso e comunicato raggiunge una rete più o meno ampia di persone a seconda di come viene settata la privacy nello specifico social. 

Il fatto che i social siano nati per condividere contenuti non significa che su queste piattaforme si possa fare tabula rasa di tutte le regole che riguardano la privacy. 

Esistono regole social network privacy sia rivolte alla piattaforma social che acquisisce le nostre informazioni nel momento in cui apriamo l’account, sia rivolte agli utenti che alle imprese.

Per queste ultime è bene anticipare subito che il fatto che determinate informazioni siano presenti in chiaro nelle info del nostro account, non li autorizza a farne ciò che vogliono.

La normativa di riferimento attuale è il GDPR.

Il GDPR ha rafforzato moltissimo il principio per cui gli utenti hanno diritto di controllare e di decidere sull’uso che viene fatto dei loro dati personali.

A differenza delle normative precedenti, oggi gli utenti vengono dotati di strumenti effettivi che permettono loro di decidere in qualunque momento sul trattamento dei loro dati personali da parte delle imprese.

Queste novità hanno notevolmente inciso sulle policy adottate dai social network che, come ogni impresa, si sono dovuti adeguare alla normativa europea. Alcuni social erano già gdpr compliant prima dell’entrata in vigore del Regolamento Europeo, altri fanno fatica ancora oggi a rispettarne i principi.

Privacy social network: Codice della Privacy

Prima del GDPR il codice della privacy già stabiliva il principio della protezione dei dati personali che si concretizzava nel diritto per gli iscritti a:

• ricevere l’informativa su come il social trattava i dati acquisiti;
• controllare l’uso dei propri dati;
• e in certi casi far cancellare i propri dati, il c.d diritto all’oblio che dal campo off-line viene portato on-line.

Tuttavia il Codice Privacy è entrato in vigore molto prima della nascita dei social e di conseguenza i suoi principi difficilmente si sono ben applicati agli stessi.

Infatti da un lato c’era e c’è la scarsa possibilità per gli utenti di controllare quale uso viene fatto dei suoi dati, sia da parte del social a cui è iscritto, sia da parte di terzi. D’altro lato quando viene fatto un uso illecito del dato difficilmente ci può essere ristoro, a causa della viralità delle notizie.

Privacy social network: intervento dei Garanti della Privacy nel 2009

La privacy nei social network diventa un argomento impellente nel 2008, quando Facebook fa il suo ingresso sul web e in pochissimo tempo riceve migliaia di adesioni.

Questo social, per quanto alcuni dicano che sia morto, ha rivoluzionato il mondo delle relazioni. Viene velocemente concepito come un “diario” personale, è la piattaforma in cui si condivide la vita privata. Ed è per questo che è il social che è maggiormente nell’occhio del ciclone dal punto di vista del pericolo per la privacy. 

In occasione della Conferenza internazionale delle Autorità di protezione dei dati i Garanti della Privacy dei vari Paesi vengono pubblicate le linee guida per i fornitori di servizi dei social. 

Si ribadisce la necessità che i social network diano alcune garanzie:

• maggior trasparenza nelle informazioni,
• richiesta di consenso dell’utente per l’indicizzazione dei propri dati,
• impostazioni di default orientate alla privacy,
• facilità di disiscrizione dal social.

Si fanno sempre più strada 2 principi:

1. Il diritto all’oblio: che da sempre si contrappone con il diritto all’informazione. Il diritto all’oblio è il diritto dell’utente di essere dimenticato. Si pensi a tutto ciò che pubblichiamo quando siamo giovani, adolescenti. La giurisprudenza ha ribadito più volte che chiunque ha diritto alla cancellazione delle informazioni, per  tutelare la propria immagine pubblica. In ogni caso, anche qualora prevalga il diritto di cronaca, l’utente ha diritto all’aggiornamento delle informazioni. E devono essere mantenute negli archivi della rete solo se ce n’è necessita. Però rispettare questo diritto nel contesto dei social network è praticamente impossibile, vista la loro struttura.
2. Consenso informato: è l’espressione del diritto degli utenti ad avere il controllo sui propri dati, attraverso due metodi:
   1. gli utenti hanno diritto a sapere quali dati sono in possesso delle imprese, come li utilizzaranno e per quanto tempo
   2. gli utenti devono avere la possibilità di richiedere la cancellazione e l’aggiornamento dei dati.

Privacy social network ai nostri tempi: il GDPR e il regolamento e-privacy

Arriviamo alla legislazione attualmente in vigore: il GDPR.

Come anticipato, il Regolamento Europeo dà una forte spinta al principio del controllo dei dati da parte dell’utente/interessato, dotandolo di reale effettività. La legislazione europea è talmente rivoluzionaria da imporre a qualunque impresa che tratta i dati sul web  di cambiare totalmente le impostazioni privacy, social network compresi. 

In base al GDPR nel momento in cui creiamo l’account, quindi accettiamo i termini e condizioni della piattaforma, diamo il consenso a rendere pubblici i nostri dati. Quindi rendere pubblici volotariamente i dati equivale a consenso.

Però quello che è fondamentale capire e che molti ancora non capiscono, è che un dato reso pubblico sui social non può essere trattato da chiunque per qualunque finalità. Ma il dato può essere trattato per le finalità specifiche del social. 

In tal senso si era già espresso il Garante prima dell’entrata in vigore del GDPR: aveva dichiarato illegittimo l’invio di comunicazioni promozionali ad indirizzi e-mail che erano stati presi da LinkedIn e Facebook.

La disponibilità dei dati on-line non ne legittima il trattamento per qualsiasi finalità. 

Con il GDPR si aggiunge il fatto che il consenso deve essere sempre esplicito e specifico per ogni finalità di trattamento. 

Ad esempio: se una persona rilascia una recensione sulla pagina di un’attività su Facebook, questo non dà l’autorizzazione a sfruttare questa recensione, magari salvata con screenshot, per fare advertising perché l’interessato non ha dato il consenso esplicito a utilizzare i suoi dati per finalità di marketing. Quindi se si vuole usare quella recensione va anonimizzata.

Privacy social network: cosa dice il Garante della Privacy oggi

Il Garante della Privacy, prima dell’entrata in vigore del GDPR ha emanato le linee guida dedicate all’argomento social network e privacy. Più che linee guida sono raccomandazioni e la messa in guardia in determinate situazioni. 

Questo documento rimane attuale anche dopo l’entrata in vigore del Regolamento Europeo. 

Il tone of voice del vademecum è volto a coinvolgere gli utenti/naviganti, e l’introduzione rispecchia esattamente l’approccio con cui si vivono i social: 

IL RICORDO DEL FAR WEST: Il web è spesso raccontato come un luogo senza regole dove ogni utente può dire o fare quello che vuole. In realtà, le stesse regole di civile convivenza, così come le norme che tutelano, ad esempio, dalla diffamazione, dalla violazione della tua dignità, valgono nella vita reale come sui social network, in chat o sui blog. Non esistono zone franche dalle leggi e dal buon senso.

L’obiettivo di questo documento è rendere gli utenti consapevoli di ciò che implica stare sui social, portando ad esempio varie situazioni in cui ci si può rispecchiare.

È rivolto a tutti:

• utenti giovani che si costrusiscono una community di amicizie virtuali,
• professionisti che sfruttano il web per promuovere il brand,
• chi cerca lavoro,
• chi utilizza i social per lavoro.

Le funzioni a cui adempiono i social sono aumentate negli anni, diventando un mondo parallelo. Per contro c’è una divulgazione esponenziale dei dati, cosa che non avviene nella vita off-line.

Quindi, in concreto, cosa raccomanda il Garante? 

1. Pensarci prima di pubblicare dati personali, perché dopo è troppo tardi. Come già detto la cancellazione delle info dai social è pressoché impossibile vista la loro struttura. Quindi il diritto all’oblio è molto attenuato nella sua attuazione;
2. Anche ciò che si invia in privato tramite chat può essere reso pubblico (e abbiamo molti esempi di video partiti da Whatsapp e diventati di dominio pubblico);
3. Utilizzare le accortezze per evitare virus e hackers;
4. Prima di pubblicare foto di amici, taggarli, va chiesto loro il consenso;
5. Controllare la privacy policy del social network. Verifica se puoi cancellare i dati e non solo disiscriverti dal servizio;
6. Utilizzare accortezze come utilizzare uno pseudonimo per tutelare la propria identità, bloccare la geolocalizzazione da app, scegliere con accortezza gli “amici”;
7. Segnalare gli abusi e rivolgersi alle autorità competenti in caso di cyberbullismo o reati simili.

Privacy social network: Facebook

Vero è che quando ci iscriviamo ad un social ne accettiamo termini e condizioni. Ma è anche vero che i social consentono di modificare le impostazioni privacy.

La privacy Facebook inizialmente aveva due impostazioni rilevanti ai fini privacy:

• il profilo veniva immediatamente indicizzato sui motori di ricerca;
• era difficoltosa la cancellazione del profilo perché non ci si poteva accedere in maniera diretta.

Oggi è possibile bloccare l’indicizzazione del profilo sui motori di ricerca, e Facebook oltre a fornire tantissimi strumenti per gestire la nostra privacy, va sempre più nella direzione di agevolare la possibilità di avere controllo sui dati che il social condivide con soggetti terzi, che è ciò che ha contrassegnato Facebook come social poco affidabile.

Zuckerberg recentemente ha introdotto uno strumento, per il momento in versione beta, che troviamo all’interno delle impostazioni privacy con il nome di “attività fuori da Facebook”. Il riferimento è a quei siti web o app a cui ci siamo collegati attraverso l’account Facebook. Ovviamente quando si accede ad un app esterna a Facebook ma si è loggati al social, i dati vengono condivisi.

Adesso, in forza del principio di controllo dei dati in capo all’interessato, si hanno più scelte:

• cancellare completamente la cronologia;
• selezionare le aziende che possono condividere i dati con facebook;
• vedere quali dati sono stati condivisi e gestirli per le attività future.

Per quanto riguarda le pagine aziendali, i dati presenti negli Insight di Facebook, il social e il titolare della pagina aziendale sono contitolari del trattamento dati. Quindi se l’utente/interessato vuole comunque che i suoi dati vengano cancellati o siano rettificati, può rivolgersi indistintamente a Facebook o al titolare della pagina.

Gli strumenti per avere il controllo sui nostri dati ci sono. Ci sono sia per quanto riguarda la possibilità di gestire chi può vedere il nostro profilo e i nostri post, sia per quanto riguarda il controllo dell’uso dei  nostri dati a fini marketing.

Basta averne consapevolezza e dare noi stessi la giusta rilevanza alla nostra privacy.

Privacy social network: Instagram

Purtroppo verifichiamo a nostre spese che questo è il social degli account fake. E il nostro studio legale stesso riceve spesso segnalazioni iper cui in nostri clienti si trovano taggati in post poco leciti.

Se siamo dei semplici utenti e non stiamo sul social per fare personal branding, possiamo utilizzare delle accortezze che ci permettono di avere il controllo dei nostri dati pur riducendo la visibilità del nostro profilo.

Quindi come impostare la privacy Instagram:

1. mettere l’account privato affinché si possano filtrare le richieste di essere seguiti;
2. scollegare il social dai contatti;
3. cambiare l’impostazione di default che permette agli altri di vedere se si è on-line in quel momento;
4. bloccare gli utenti indisiderati
5. gestire manualmente i tag

Sono operazioni che limitano l’interazione fra utenti, ma bisogna vedere caso per caso se è meglio tutelare la privacy Instagram o incentivare il network dei contatti.

Privacy social network: Twitter

Cosa si può settare nella privacy Twitter:

• Di default Google può indicizzare sia il profilo che i tweet. Si può settare la privacy per impedirlo ma ciò che è stato indicizzato prima del blocco rimane
• I tweet possono essere pubblici o protetti. Se settiamo la protezione dei tweet potremo filtrare
  • gli utenti che desiderano seguirci attraverso una richiesta
  • i commenti ai tweet
  • chi può vedere i tweet
  • i follower non possono fare retweet

Privacy social network: LinkedIn

LinkedIn è un social particolare: è la piattaforma per eccellenza dei recruiter. Quindi interesse degli utenti è essere trovati. Settare la privacy LinkedIn in maniera restrittiva può comportare la riduzione delle possibilità di essere trovati per lavoro. 

Vediamo quali sono gli aspetti più rilevanti:

• si può disattivare la funzione per cui gli altri utenti vedono i nostri collegamenti;
• si può scegliere di navigare in anonimo. Ma in questo modo neppure noi vediamo chi ha visitato il nostro profilo;
• si può scegliere se mostrare quando siamo on-line e a chi: a tutti o solo ai nostri collegamenti;
• puoi decidere se ricevere annunci di adv personalizzati oppure non personalizzati.

La piattaforma protegge fortemente i profili impedendo la possibilità di chattare se non si è collegati, e questa è già una bella tutela che su Facebook è arrivata molto tardi. 

I toni di questo social si prestano molto meno a pericoli di diffamazione o offesa. Tuttavia non è raro che venga utilizzata la chat per fare advertising senza passare attraverso la piattaforma a pagamento. 

E questa pratica non è consentita né dai termini e condizioni della piattaforma social, né dal GDPR. 

Privacy social network: Tik Tok 

L’ultimo aggiornamento della privacy Tik Tok è molto recente, infatti è del luglio 2020. L’informativa breve è molto chiara e facilmente accessibile. 

Come per Instagram c’è la possibilità di mettere l’account privato, filtrare i commenti e segnalare gli account. In più ci sono accortezze nel caso di minori che necessitano di un controllo da parte dei genitori.

Quello che preoccupa è il fatto che la piattaforma sia cinese, quindi non ci sono accordi “bilaterali” come con gli altri Paesi extraeuropei che permettono di controllare l’uso che viene fatto dei dati raccolti.

Privacy social network: Pinterest

Le impostazioni privacy Pinterest sono quelle che hanno subito meno cambiamenti con il GDPR, perché, era già GDPR compliant prima.

Infatti

• è un social che non ha mai richiesto molti dati personali
• non è un social dove si condividono i propri status e c’è poca interazione fra gli utenti.

Questo non significa che Pinterest non faccia lo stesso uso dei dati che fanno tutti i social. 

Tuttavia è la struttura che non si presta a rischi di violazione dei dati da parte degli altri utenti perché non si condivide la propria vita privata. 

Per quanto riguarda il settaggio della privacy:

si può impostare la deindicizzazione dai motori di ricerca;

si può impedire che i contenuti presenti sul nostro sito web vengano pinnati, per tutelare il copyright;

si possono bloccare i profili che si ritiene che violino le norme e segnalarli a Pinterest

si possono creare bacheche private.

Privacy social network conclusioni: consigli pratici per tutelare la propria privacy e non violare quella degli altri

Gli interessati al trattamento dati sono gli utenti che si iscrivono al social. 

I titolari del trattamento sono i social stessi. E per quanto in certe circostanze i social dichiarano di essere esonerati dalle responsabilità, di fatto la legislazione prevale. Quindi sono sempre titolari o responsabili del trattamento.

Quindi i social devono innanzi tutto fornire un’informativa privacy completa e devono consentire agli utenti di impostare la privacy. Sicuramente negli ultimi due anni abbiamo visto migliorare le impostazioni che permettono di settare la privacy, la profilazione ai fini marketing, e soprattutto c’è molta più trasparenza.

Ma poi sta a noi utenti essere più attenti e consapevoli:

• leggere termini e condizioni;
• settare la privacy o perlomeno controllare se le impostazioni che sono di default ci tutelano a sufficienza;
• condividere solo contenuti che non danneggiano noi e gli altri;
• far valere i nostri diritti quando altri utenti utilizzano in maniera non legittima i nostri dati: non si possono mandare messaggi di marketing in chat ai propri contatti;
• in caso di tag diffamatorio ci si può rivolgere alle autorità competenti. Se il tag è “solo” sgradito si può richiedere al social che venga rimosso il contenuto;
• ricordiamoci che dai social non si può essere cancellati: se disattiviamo il profilo i dati raccolti precedentemente rimangono comunque sui server e negli archivi del social. Se guardiamo i termini e condizioni del servizio, infatti questo è scritto (e deve essere scritto);
• ricordiamoci che sui social condividiamo anche dati particolari: orientamento politico, religione, salute. Siamo noi i primi a doverli proteggere evitando di divulgarli con tanta facilità.
• scolleghiamo i social l’uno dall’altro affinché non condividano le nostre informazioni, ampliandone in maniera esponenziale la visibilità.

Poi quando è coinvolta anche la brand reputation di un’azienda le conseguenze della violazione della privacy possono essere ancora più gravi.

Rivolgiti al nostro studio Legal for Digital, specializzato nel diritto di Internet, per avere una consulenza su come è corretto comunicare sui social e proteggere la brand reputation. Che tu sia un social media manager o un’azienda che comunica attraverso i social, questo argomento riguarda anche te!

Brunella Martino

Avvocato specializzato in privacy e proprietà intellettuale con 15 anni di esperienza, DPO, arbitro in materia societaria, autrice Flaccovio Editore, formatrice aziendale, socia FederPrivacy, segretario dell'Aiga sezione Lucca e componente Aiga nazionale Dipartimento Diritto delle nuove tecnologie

Altri articoli in gdpr che potrebbero interessarti

Visualizza tutti gli articoli

Data breach: tutela i dati, proteggi il tuo business

16 Settembre 2023

Data breach è uno di quei termini che, nell’attuale contesto legale digitale (legal tech, come diciamo spesso) incute timore, spaventa e provoca tachicardia a imprenditori, CEO e AD.

Vediamo insieme cosa si intende per data breach, chi sono i soggetti coinvolti, come comunicarlo al garante e in che modo difendersi dalla violazione dei dati.

Leggi altro

⚖️ L’Autorità Garante Privacy contro TikTok: no alla pubblicità personalizzata senza il consenso dell’utente

22 Settembre 2022

Con l’intenzione di obiettare alla modifica della privacy policy da pate di Tik Tok il Garante per la protezione dei dati personali stabilisce l’illiceità della condotta del social network con un provvedimento d’urgenza

Leggi altro

SMM e GDPR, strumenti per la gestione dei social a norma di legge

6 Marzo 2024

La figura del social media manager ha un ruolo fondamentale nella strategia di marketing di quasi ogni azienda. Questa professione, attiva da tempo, si è dovuta adattare e trasformare con l’entrata in vigore del GDPR.

Leggi altro