Cambridge Analytica: il ruolo di Facebook
Sulla base di quanto riportato, la domanda sorge spontanea: l'azienda di Menlo Park è parte o vittima dell'operazione Cambridge Analytica?
Forti perplessità sulla sua innocenza sono sollevate da Jonathan Albright, direttore di ricerca presso il Tow Center for Digital Journalism, che denuncia un legame datato e forte tra Facebook e Alexander Kogan, matematico ideatore dell'app 'mydigitallife', che sostiene: "questo problema è parte di Facebook e non può essere scisso come un caso sfortunato di abuso: era una pratica standard e incoraggiata. Facebook sta letteralmente correndo verso la costruzione di strumenti che hanno aperto i dati dei propri utenti ai partner di marketing e ai nuovi business verticali" (2).
Stando alle dichiarazioni rilasciate al giornale La stampa, nutre gli stessi dubbi Steven Livingston, professore alla School of Media and Public Affairs e alla Elliott School of International Affairs della George Washington University, che afferma: «Bisogna tener conto che Facebook registra tutti i dettagli della nostra attività sulla piattaforma: quello che facciamo, ma anche quello che non facciamo, dove siamo e con chi siamo. Il social network è costruito così, quindi è difficile sostenere che siano vittime, il loro modello di business è vendere informazioni agli inserzionisti, e più sono precise più valgono (3)». La questione non è nuova e già da diversi anni si discute di come i servizi forniti dal web, apparentemente gratuiti, richiedano come corrispettivo informazioni sull'identità di chi ne usufruisce. La "scoperta" del potere dei dati risale al 2007, quando due ricercatori dell'Università di Cambridge, David Stillwell e Michal Kosinski hanno messo a punto una applicazione per Facebook, chiamata myPersonality, in grado di tracciare la personalità degli utenti.
In sostanza, si tratta di un modo nuovo, originale, di usare la psicometria, ossia di studiare la personalità di qualcuno quantificandola e rintracciando anche le più velate sfumature della sua persona e delle sue abitudini.
La psicometria applicata ai social
Una vera e proprio miniera d'oro per il marketing, e non solo. La psicometria applicata ai social media ha cambiato tutto", afferma Paul-Olivier Dehaye, matematico belga, esperto di big data, fondatore della startup svizzera PersonalIData.IO che assiste gratuitamente chi vuole riavere il controllo dei propri dati sul web. «Guardate dove sta andando la società: verso un capitalismo digitale, che offre sempre più servizi online, e verso la personalizzazione estrema di tali servizi. La psicometria ha messo insieme queste due tendenze. E adesso viene usata non solo per vendere telefonini o aspirapolveri ma anche per scatenare reazioni, per forgiare dibattiti e manipolare opinioni."
Facendo riferimento a casi concreti, il ricorso alla psicometria da parte di aziende come Cambridge Analytica, secondo alcuni
esperti del mondo della politica, ha portato all'elezione del Presidente statunitense Trump e, ancora, all'uscita del Regno Unito dall'Unione Europea (4).
Privacy: quale tutela per i cittadini europei
Alla luce di quanto detto e del Regolamento Ue in materia di protezione dei dati personali (GDPR) che entrrà in vigore il prossimo 25 maggio, preme chiedersi se i cittadini europei possono considerarsi tutelati da casi di manipolazione lesivi per la democrazia, come quelli poc'anzi citati.
In relazione alla vicenda Brexit e ai sensi dell'art 3 paragrafo 2 del Regolamento (5) relativo all'ambito di applicazione territoriale del Regolamento, la nuova disciplina trova applicazione.
Più in generale, il Gdpr è applicabile ogni qual volta siano utilizzati dati personali di individui che is trovano nella UE, prescindendo dalla sede del titolare ovvero dalla ubicazione dei dati o dei server.
Con riferimento all'art 13 (6) ed in particolare alla possibilità per gli sviluppatori di comunicare i dati raccolti a terzi, è richiesto che vi sia un consenso espresso che non solo manca nelle vicende di cui si discute, ma che la gran parte dei social login (7) attualmente presenti nel web neanche contempla, limitandosi unicamente ad indicare a quali dati presenti sul social network l'app. ha accesso, senza che venga data un'informativa completa sulle finalità di trattamento.
Si consideri, inoltre, che la vicenda riguarda dati appartenenti ad una particolare categoria, vale a dire quelli relativi alle opinioni politiche degli interessati, per i quali, ai sensi rispettivamente degli artt. 9[8]e 35[9]del Regolamento, sono richiesti: l'acquisizione del consenso preventivamente espresso da parte della persona a cui si riferiscono ed una valutazione d'impatto da parte della società produttrice.
Data breach o violazione della privacy
In sua difesa Facebook ha sostenuto che non si è trattato di un data breach, ma di una "mera" violazione della policy privacy (ossia delle regole adottate dal social network).
Comprendere se nella nozione di data breach possa o meno rientrare l'uso illecito dei dati così come poc'anzi raccontato appare fondamentale ai fini dell'applicazione della disciplina.
Infatti, se configurato come una "violazione dei dati personali" ai sensi dell'art 33 GDPR, grava sul titolare l'onere di notificare, entro 72 ore dal momento in cui ne è venuto a conoscenza, la suddetta violazione all'autorità di controllo competente,nonché agli interessati, qualora la violazione, come in questo caso, possa comportare un"rischio elevato per i diritti e le libertà fondamentali delle persone" (art.34).
In definitiva, la comunicazione di un data breach si configura come un importante strumento di tutela fornito dalla nuova disciplina che consente ai destinatari di avere contezza delle violazioni dei dati e di porre in essere le misure necessarie ad attenuare le conseguenze derivanti dal protrarsi del trattamento illecito. Pertanto, dal punto di vista giuridico, per smentire la difesa di Facebook e di ogni futuro soggetto analogo, sarebbe auspicabile estendere la nozione di data breach anche alle ipotesi in cui il Titolare sia a conoscenza di un trattamento illecito dei dati personali che egli ha conferito a terzi.
Una soluzione in tal senso potrebbe essere sviluppata sulla base delle linee guida del 3.10.2017 del Gruppo ex.art 29 relative alla notifica delle violazioni dei dati personali[10]che chiariscono che per data breach debba intendersi un incidente di sicurezza che può comportare "violazione di confidenzialità" in cui si verifica un accesso o una distribuzione accidentale e non autorizzata di dati personali.
A ciò si aggiunga che, ai sensi del Regolamento, in caso di un data breach e del mancato rispetto dell'obbligo di notifica, l'autorità di controllo può applicare sanzioni amministrative ex articolo 83. In particolare, multe fino a 10 milioni di euro o pari al 2% del fatturato, ovvero fino a 20 milioni di euro o al 4% del fatturato.
È evidente che le sanzioni costituiscono un importante deterrente e che, in generale, il nuovo Regolamento rappresenti un'importante conquista per la riservatezza dei dati dei cittadini europei.
Al momento il patron del colosso Usa invitato dalla commissione britannica cultura digitale e media per rispondere a domande sullo scandalo ha declinato l'invito, offrendo di mandare al suo posto il chief technology officer di Facebook, Mike Schroepfer, e il chief product officer, Chris Cox.
Lo stesso invito è stato inoltrato dal Presidente dell'Europarlamento, Tajani.
Le prospettive
Si rimane quindi in attesa degli esiti giuridici della vicenda e, riprendendo le parole del Garante europeo Giovanni Buttarelli, si invita a riflettere sulla "crescente" pervasività degli algoritmi basati sui nostri dati personali nelle nostre vite e sull'impatto che questi hanno nei nostri processi decisionali democratici. Il Garante europeo, inoltre, aggiunge che "il rischio di manipolazione dei consensi elettorali potrebbe estendersi alle prossime tornate elettorali: le elezioni europee dell'anno prossimo sono un importante test per tutti noi. Non siamo qui per allarmarvi, ma il problema è reale e urgente".
Ad alimentare le preoccupazioni in ordine alla manipolazione degli utenti attraverso l'utilizzo improprio dei loro dati, si riporta il quesito formulato, nel 2016, durante la conferenza annuale di Facebook: "e se poteste scrivere direttamente dal vostro cervello?"
Si tratterebbe di una vera e propria rivoluzione tecnologica messa in atto attraverso la realizzazione di un sistema collegato alla mente umana capace di tradurre i nostri pensieri in messaggi digitando più di 100 parole al minuto. L'obiettivo sarebbe quello di codificare gli input del cervello umano, bypassando la tastiera e facendoli arrivare direttamente sugli schermi dei dispositivi connessi.
Regina Dugan, capo dipartimento Hardware Facebook, specifica che non si tratterebbe di una decodificazione universale, ma dei soli pensieri che si sceglie di condividere.
Ad ogni modo, si pensa che nel giro di pochi anni questo sistema possa essere reso operativo e che leggere nel pensiero potrà non essere più fantascienza.
Un dato preoccupante se si considera che in molti hanno visto nel discorso di fine anno di Zuckemberg, diretto ai Millenial di Harward, la sua discesa in campo da politico.
Ipotesi fattasi poi più concreta all'inizio del 2018 quando ha invitato i propri seguaci a chiedere al Congresso americano di lottare contro i cambiamenti alle politiche di immigrazione degli Stati Uniti introdotti lo scorso anno da Donald Trump o, ancora, quando si è espresso in merito al reddito di cittadinanza, individuato come unica soluzione in un futuro dominato da una tecnologia automatizzata che eliminerà migliaia di posti di lavoro[11].
Per concludere ed evidenziare la dimensione di un fenomeno dirompente come quello della profilazione degli utenti e del ruolo dei Big del web nella società odierna, si riportano le dichiarazioni rilasciate dal Garante italiano, Antonello Soro: ""Stiamo vivendo un cambiamento epocale per le nostre democrazie, che ci porta verso una feudalizzazione della società. Il rischio è che il potere di induzione, sociale prima che politico, dei colossi della rete sia tale da superare il potere degli Stati nell'orientamento e nella raccolta del consenso. Se così fosse, potrebbero esercitare un grande potere persuasivo nei confronti di tutto il mondo". "Con il potere informativo che converge verso un solo destinatario", cioè le media company come Facebook, "si sta creando una nuova geografia dei poteri, che tende a cambiare la natura delle democrazie moderne". Secondo il Garante della Privacy, l'affaire Facebook-Cambridge Analytica, è parte di "un processo ineluttabile: attraverso la sempre maggiore conoscenza delle nostre propensioni, questi soggetti sono in grado di consigliarci sia il prodotto da comprare sia il partito da votare. Nel gioco democratico il voto dei cittadini traduce in una scelta elettorale lo stato di consapevolezza, che si ha in quel momento, del mondo in cui vive. E se questa scelta è figlia di una lettura quotidiana e completa della realtà, allora possiamo parlare di libertà. Se invece è figlia di un meccanismo di conoscenza passiva, parziale, settoriale, con una spinta a farci sapere solo quello che è più vicino alle nostre aspettative, allora il percorso elettorale è diverso da quello che dovrebbe esprimere una democrazia compiuta"[12].
Leggi anche Facebook: bucati 214mila profili italiani
(1) L'app consisteva in un gioco a cui l'utente partecipava rispondendo a delle domande che hanno poi consentito la creazione di un identikit digitale. Si trattava di un mezzo per accumulare dati ufficialmente per fini scientifici. Dei 50 milioni di utenti profilati solo 270 mila avevano dato il consenso per l'utilizzo dei propri dati da parte dell'app.
(2) https://it.businessinsider.com/tutto-quello-che-non-torna-nelle-scuse-di-mark-zuckerberg-a-partire-dal-numero-di-volte-che-gli-e-toccato-scusarsi/
(3) http://www.lastampa.it/2018/03/25/tecnologia/news/il-caso-facebook-cambridge-analytica-pu-diventare-un-problema-anche-per-la-ricerca-scientifica-bisUklorlOndGeNYH0NDwN/pagina.html
(4) https://it.businessinsider.com/facebook-gate-la-politica-e-la-pubblicita-al-tempo-dei-big-data/
(5) Art. 3.2"Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:
a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato."
(6) Articolo 13 Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato: 1.In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del tratta- mento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
(7) Si tratta di uno strumento che consente di accedere ad un servizio offerto da un'applicazione di terze parti attraverso il proprio account social. L'autenticazione presso la piattaforma di terze parti avviene attraverso i dettagli relativi all'utente conservati e forniti dalla piattaforma social scelta per il login.
(8) Art. 9 Trattamento di categorie particolari di dati personali
1. È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1.
(9)
Art. 35 Valutazione d'impatto sulla protezione dei datiQuando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del tratta- mento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'artico- lo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
(10) http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8050516
(11) https://tech.fanpage.it/mark-zuckerberg-a-favore-del-reddito-di-cittadinanza-l-unica-soluzione-nel-mondo-dei-robot/
(12) http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8053813
• Foto: 123rf.com