Facebook e dati: gestire la privacy sui social
Facebook è la più grande vetrina di dati privati. La peculiarità è che vengono resi pubblici direttamente dagli interessati. Così accade che tali dati, insieme a quelli provenienti da altri social network, vengano utilizzati impropriamente, a scapito degli utenti e senza il loro esplicito consenso.
Accade così spesso che numeri di telefono o indirizzi mail siano oggetto di operazioni marketing, suscitando il fastidio degli utenti. E sappiamo bene che un cliente insoddisfatto è un cliente perso. Senza considerare poi le possibili complicazioni derivanti da controversie giuridiche, con relative sanzioni.
L’attenzione alla privacy dei dati provenienti da Facebook e dagli altri social network è però materia relativamente recente. Per questo abbiamo deciso di rivolgerci a Kruzer: non una società multiservizio che si occupa anche di privacy, ma una società nata per occuparsi solo ed esclusivamente di privacy.
Dopo la conversazione riguardo alla gestione dei dati provenienti da siti web e e-commerce, siamo tornati da Daniele Umberto Spano, Amministratore di Kruzer, per comprendere meglio i nodi cruciali della questione.
Oggi ogni azienda ha almeno una pagina Facebook e spesso anche su altri social. Quali sono le principali accortezze da avere in tema privacy?
A prescindere dal mezzo di contatto utilizzato, vanno sempre applicate le regole imposte dal regolamento, a partire da finalità e modalità di utilizzo dei dati raccolti. Per esempio, non possiamo approfittare del contatto spontaneo dei clienti sulla pagina di Facebook, per giustificare successive azioni di marketing, come mail promozionali o altro, a meno di ottenere un consenso specifico.
Quando un dato personale pubblicato sui social può considerarsi pubblico?
Nel momento in cui pubblico un dato o un’informazione visibile a tutti, su Facebook o qualsiasi altro social, è di fatto pubblica. Dipende però anche dal profilo: può essere pubblico o ristretto a un gruppo determinato di persone “amiche”. Tuttavia, anche in questo caso, l’utilizzo a scopo di marketing, di una mail o di un numero di telefono, anche se pubblicato, deve essere legittimato da un consenso esplicito.
Nella nostra ultima chiacchierata parlavamo del classico link “mi piace” inserito sul sito web che determina il “like” sul social di riferimento, il quale genera un’automatica contitolarità con il gestore del social. Ci può spiegare meglio cosa comporta?
Due recenti sentenze hanno aperto la strada ad alcune considerazioni: la contitolarità tra i due gestori, ma la diversa responsabilità sul dato. In altre parole, da una parte Facebook diventa responsabile nel momento in cui entra in possesso del dato (il “like” per esempio); dall’altra il gestore del sito e della pagina Facebook deve predisporre un’informativa nella quale è specificato il destinatario dei dati e la finalità; il gestore inoltre deve chiedere il consenso, quando previsto. Si potrebbe, per esempio, far flaggare il consenso prima dell’invio del “like”. Il consenso può essere legato anche semplicemente al numero IP del soggetto interessato, se non sono stati raccolti altri dati identificativi. In teoria si potrebbe informare l’utente che cliccando sul “like” fornisce l’esplicito consenso a trasferire il dato al gestore del social. È però sempre importante tenere traccia dei consensi in caso di controversie.
Come gestire dati provenienti dai social per attività marketing, nel rispetto della privacy?
Come accennavo, è sempre necessario ottenere un consenso esplicito o agire a seguito di una richiesta specifica dei clienti. Fondamentale l’invito, alle persone interessate, a consultare l’informativa di riferimento.
È possibile la condivisione di dati personali provenienti dai social con terze parti? A quali condizioni?
La condivisione con terze parti deve essere dichiarata in modo trasparente nell’informativa, insieme alle finalità e alla categoria di appartenenza dei destinatari. È fondamentale specificare se i dati vengono comunicati a Paesi extra Ue. In questo caso bisogna specificare se i Paesi in questione godono di accordi bilaterali, se c’è il principio di “adeguatezza”, se ci sono norme vincolanti di contratto che stabiliscono l’esercizio dei diritti degli utenti o se vengono sempre garantite le misure di sicurezza. Il consenso è una delle basi giuridiche possibili. Dipende dalle finalità e dalle condizioni sopradescritte.
La normativa europea si sta facendo strada prevedendo informazioni chiare sulle modalità di trattamento dei dati posseduti dalle aziende. Cosa occorre specificare?
L’informativa di riferimento deve essere più completa possibile e riportare tutte le specifiche previste: i dati trattati, le finalità, i destinatari, i diritti dei soggetti interessati, etc. È fondamentale che tutte le modalità di trattamento dichiarate vengano rispettate e accettate dai soggetti interessati. Per esempio, se una società raccoglie i dati di contatto col fine di portare a termine una fornitura, non può utilizzare quei dati per il marketing, a meno di non avere il consenso e dichiararlo nell’informativa. Inoltre, il titolare/responsabile dei trattamenti deve implementare tutte le misure tecniche e organizzative idonee.
Può farci qualche esempio?
Dovrà applicare modalità di trattamento del dato sicure, utilizzando le misure suggerite per la mitigazione dei rischi fisici e informatici; rispettando i tempi di trattamento dichiarati e il successivo diritto all’oblio; minimizzando la diffusione e la comunicazione a terzi, etc. Se un soggetto desidera esercitare i diritti sui suoi dati (accesso, rettifica, cancellazione, opposizione, portabilità, etc.), il gestore deve garantire una pronta risposta nei tempi previsti, che in genere devono essere di massimo 30 giorni o di 90 nei casi più complessi. Rientrano per esempio in questa casistica la cancellazione da Facebook o la decisione di togliere il “like” dalla pagina.
Come si può spiegare il concetto di “atteggiamento proattivo nella salvaguardia del dato personale dell’utente” introdotto dal GDPR?
Chi tratta i dati personali deve applicare tutte le misure idonee. Ciò vuol dire adoperarsi affinché la propria organizzazione sia orientata in ogni processo aziendale verso la protezione e la tutela del dato personale; affinché il grado di aggiornamento, dei sistemi e delle persone, rappresenti lo stato dell’arte. Per esempio, da qualche anno, una delle minacce più diffuse è quella dei ransomware (azione malevola finalizzata a far pagare un riscatto alla vittima, pena la criptazione o la cancellazione dei dati): essere proattivi significa dotarsi di sistemi anti-ransomware e formare il personale rispetto alle tecniche di diffusione della minaccia per poterla evitare.
Cosa si intende per “diritto all’oblio” e cosa comporta nella gestione dei dati da parte del gestore della pagina social?
Il diritto all’oblio sancisce il dovere del titolare/responsabile del trattamento di eliminare dai propri sistemi i dati personali resi obsoleti dal loro mancato utilizzo o resi inutilizzabili da una specifica richiesta del soggetto interessato. Il diritto all’oblio comporta, quando deve essere esercitato, la cancellazione dei dati, quindi, sarà necessario, periodicamente, verificare i dati resi pubblici sulla propria pagina Facebook o di qualsiasi altro social e, in caso di presenza di dati rilevanti di contatto come telefoni, mail oppure informazioni sensibili, procedere alla cancellazione dei post. È buona norma, in questi casi, chiedere alla persona interessata se desidera la cancellazione. In alternativa, è possibile stabilire un regolamento della pagina che preveda la cancellazione automatica dei post contenenti dati personali dopo un determinato periodo di tempo.
Come inquadrare l’attività del Social Media Manager ai fini del GDPR? Cambia qualcosa se il ruolo è esterno all’azienda?
Dipende da come viene svolta l’attività: se il SMM si limita a pianificare la pubblicazione dei post e dell’advertising, non svolge, di fatto, alcun ruolo in termini di privacy; al contrario, se l’incarico prevede una gestione di profili, raccolta di dati e interazione con gli utenti con relativo invio di messaggi, si delinea un profilo di responsabilità esterna del trattamento, ruolo che deve essere formalizzato tramite apposito atto giuridico.
Anche Kruzer ha una pagina Facebook. Secondo la vostra esperienza, quali sono gli aspetti più delicati da gestire?
Quando si comunica al pubblico ci si espone. È quindi importante farlo al meglio, nel pieno rispetto delle regole dettate dalle normative vigenti e applicando sempre tutte quelle modalità che denotano l’approccio qualitativo anche nella comunicazione ai propri clienti e alle persone interessate. A volte gli utenti sono inconsapevoli delle potenziali conseguenze della gestione troppo “disinvolta” dei propri dati. In quei casi, è anche dovere del gestore informarli al meglio e tutelarli. Kruzer, quando comunica con gli utenti sui social, in alcune situazioni, predilige l’utilizzo della messaggistica personale o della mail, così da rendere fin da subito riservata la conversazione. Ciò non toglie che alcuni quesiti generici debbano trovare una risposta pubblica, anche a vantaggio degli altri utenti.
Qualche consiglio particolare?
Troviamo che sia fondamentale, in particolare su social come Linkedin, utilizzare la massima discrezione anche con i propri contatti, evitando lo “stalking” pubblicitario. Ricordiamolo sempre: rispettare la riservatezza e i dati dei propri clienti vuol dire rispettare le persone e questo non solo ripara da possibili sanzioni e controversie, ma consente di guadagnare in immagine e credibilità.
