Guerra per la privacy

Negli ultimi anni abbiamo assistito ad una vera e propria guerra il cui campo di battaglia è dato dai diritti dei cittadini in merito alla privacy e alla protezione dei dati personali. Da un lato le aziende del web che fanno lauti affari raccogliendo e utilizzando a vari fini i dati dei cittadini, dall'altro i cittadini e le associazioni per i diritti civili che cercano disperatamente di recuperare i diritti persi nel passaggio dal mondo fisico a quello digitale. Nel mezzo i governi che sono costretti, per motivi di consenso elettorale, ad apparire al fianco dei cittadini, ma che talvolta in realtà sono più o meno apertamente al fianco delle aziende, favorendole in un modo o nell'altro con il fine di sedersi alla sempre più ricca tavola dei Big Data.

Una delle battaglie che si è combattuta nell'ambito della guerra della privacy si è concentrata sui cosiddetti cookie. Uno dei problemi principali ha riguardato il tracciamento degli utenti.
La normativa europea prevede un consenso preventivo per raccogliere dati degli utenti. Se questo consenso fino ad ora può, in alcun specifici e limitati casi, essere anche implicito (es. raccogliendo i dati e poi avvertendo l'utente che può modificare le impostazioni dei cookie tramite controlli del browser), la nuova normativa sulla Data Protection non riconosce alcun consenso implicito.

Ma in particolare ha fatto discutere un segmento della nuova normativa, la Cookie Law, che ha un ambito differente rispetto alla Data Protection (molti errori di valutazione dipendo dalla mancata considerazione di questa differenza).

Infatti, la Data Protection ha lo scopo di tutelare la sfera privata dell'utente, compreso il dispositivo col quale l'utente si connette online, mentre la Cookie Law si occupa esclusivamente delle azioni consistenti nella registrazione di informazioni (cookie) sul dispositivo di un utente oppure nell'accesso ad informazioni già registrate su quel dispositivo. Tutte le azioni precedenti o successive alla registrazione o all'accesso a tali informazioni non ricadono nella regolamentazione della Cookie Law, bensì nell'ambito della normativa generale (Data Protection).
È evidente che la Cookie Law fornisce una protezione decisamente superiore rispetto alla Data Protection, non distinguendo affatto tra dati personali e non, e pretendendo sempre il consenso.

In questo quadro si è posta una problematica di non poco conto, cioè il tracciamento dei cittadini europei in assenza di consenso, e sul banco degli accusati si è trovato il social network Facebook.

Facebook e Datr Cookie

In realtà il problema è conosciuto da tempo. Già nel 2010 il Garante italiano per la protezione dei dati personali, nella relazione annuale stigmatizzava questa pratica occulta.

Poi nel 2011 il ricercatore Nik Cubrilovic documentava la pratica del tracciamento occulto da parte di Facebook e della realizzazione dei cosiddetti profili shadow. Ulteriori analisi si sono susseguite negli anni, senza che Facebook modificasse il proprio modo di operare. E nel 2015 tutto ciò è sfociato in uno studio commissionato dal Garante del Belgio.

Secondo lo studio condotto dal centro interdisciplinare di diritto e ICT (ICRI) del dipartimento di sicurezza informatica e crittografia dell'Università di Leuven e dal dipartimento dedicato alle telecomunicazioni, ai media e all'informatica (Smit) della Vrije Universiteit di Bruxelles, Facebook imposta dei cookie anche per i visitatori non iscritti al social network (non-users), che vengono inviati al dispositivo del “non utente” quando visitano una pagina Facebook ma anche altri specifici siti (es. myspace, mtv, ecc...).

Una volta impostato il cookie (long-life and unique identifier), tutte le ulteriori visite vengono tracciate anche se il “non utente” naviga su un sito non appartenente a Facebook ma che incorpora i social plugin, e anche se detti plugin non vengono cliccati (quindi non vengono usati per condividere contenuti su Facebook).
Inoltre i cookie di Facebook vengano impostati anche se si visita il sito europeo della Digital Advertising Alliance, uno specifico programma di autoregolamentazione delle aziende del web, e che fornisce un servizio per bloccare (opt-out) praticamente tutti i tracker di profilazione.

Ebbene, visitando il sito europeo della DAA, Facebook imposta un nuovo cookie (della durata di 2 anni, nonostante la UE preveda un massimo di 12 mesi per i cookie di profilazione), cosa che però, stranamente, non accade sull'equivalente sito americano o canadese.

Detto in breve Facebook, attraverso i social plugin imposta dei cookie senza preoccuparsi minimamente se il visitatore è iscritto o meno al social network o è loggato in quel momento nel social network. E questo tracciamento non è interrotto nemmeno se l'utente si disiscrive da Facebook, oppure effettua l'opt-out (log out) dal sito che sta visitando.

Questa attività ovviamente viene posta in essere per vendere spazi pubblicitari a terze parti, le quali potranno sfruttare i dati in possesso del social, quindi informazioni su età, sesso, stato sociale, relazioni, amicizie, contatti, educazione, lavoro, ecc...
Secondo il Garante del Belgio si tratta a tutti gli effetti di una violazione massiva delle norme europee in materia di protezione dei dati personali e della Cookie Law.

Facebook ha risposto alle accuse sostenendo che la ricerca contiene inesattezze, in quanto l'impostazione del cookie per i “non user” (cosa che non viene negata da Facebook) è in realtà necessaria per impedire il furto di identità digitali (i profili Facebook), che il cookie (datr) identifica solo i browser e non le persone fisiche, e che comunque Facebook rispetta la regolamentazione del Garante irlandese, dove l'azienda ha sede in Europa.

Facebook a processo

Nel giugno del 2015 il Garante belga ha quindi portato la questione dinanzi ad un tribunale. Il 9 novembre il tribunale ha ordinato a Facebook di smettere di tracciare i non user (persone non iscritte o non loggate durante la navigazione) dando all'azienda 48 per ottemperare all'ordine, imponendo una multa di 250mila euro per giorno in mancanza di ottemperamento.

Il tribunale belga ha innanzitutto respinto la difesa di Facebook in base alla quale essendo l'azienda stanziata in Irlanda deve rispettare sole le regolamentazioni del Garante irlandese. Infatti ai sensi della direttiva europea l'impresa è soggetta alle leggi dello Stato nel quale è “stabilita”. La regola dello stabilimento è stata sempre interpretata nel senso che le aziende rispettano le norme di quello Stato (one stop shop, principio che si vuole introdurre direttamente nelle norme della riforma sulla Data Protection), e anche per tale motivo le aziende americane si sono stabilite in Irlanda dove le norme in materia di Data Protection sono interpretate dal Garante locale in maniera elastica.

Questo approccio è stato rivisto di recente dalla sentenza della Corte di Giustizia europea (Weltimmo, C-230/14), nella quale si stabilisce che la forma giuridica dello stabilimento (il rappresentante in Irlanda) non è il fattore predominante, ma anzi occorre valutare altri fattori, tra i quali la lingua nel quale è redatto il sito e quindi gli utenti ai quali si rivolge.
Il tribunale ha, quindi, statuito che le attività di Facebook essendo riferibili ad utenti del Belgio deve essere rispettosa delle norme del Belgio.

Il tribunale belga ha deciso con giudizio sommario per l'urgenza dovuta all'implicazione sui diritti fondamentali e le libertà dei cittadini. Ha stabilito che:

• l'indirizzo IP e l'identificativo univoco contenuto nel cookie Datr è un dato personale;
• la raccolta da parte di Facebook costituisce trattamento di dati personali.

Così ha respinto l'eccezione di Facebook in base alla quale il cookie Datr in realtà identifica solo il browser o il dispositivo. In conclusione Facebook non ha alcuna giustificazione legale per il trattamento di soggetti non iscritti o non loggati a Facebook (non user), e quindi viola la normativa perché tratta dati personali in assenza di qualsiasi preventiva informazione relativa al trattamento e quindi di consenso preventivo ed informato.

Infine respinge le ulteriori difese di Facebook ritenendo che nessun interesse relativo alla sicurezza può in alcun modo determinare la violazione del fondamentale diritto alla privacy. Facebook aveva addirittura portato dei dati in base ai quali l'utilizzo del cookie Datr avrebbe impedito il furto di identità digitali in 33mila casi nel solo mese di ottobre 2015 in Belgio.

In realtà l'argomento “sicurezza” come giustificazione della raccolta di dati personali è fin troppo abusato dagli sviluppatori di siti. Anche accettando che l'unico sistema per bloccare i tentativi di sottrarre i profili ad utenti di Facebook o altri servizi sia tramite l'utilizzo di un cookie identificativo, il problema riguarda l'uso del cookie. Molti siti utilizzano cookie al solo fine di sicurezza, ma se poi quel cookie viene incrociato con altri dati provenienti da altre fonti, si tratta a tutti gli effetti di profilazione.

Ovviamente Facebook ha comunicato che presenterà appello alla sentenza, ma il 2 dicembre ha annunciato che avrebbe smesso di tracciare i “non user” in Belgio.
Le conseguenze immediate sono che alcune pagine di Facebook non saranno visibili se non ci si iscrive al social network.

Ma dal punto di vista della tutela degli utenti è fondamentale tenere presente come funziona il sistema di Facebook. L'invio di un cookie datr sul computer dell'utente che naviga un sito che contiene social plugin (eccetto i nuovi plugin che funzionano senza inviare cookie finché non ci si clicca sopra) consente a Facebook di identificare il browser e quindi il dispositivo sul quale è installato, come affermato dallo stesso Facebok.

Ciò vuol dire che se poi quell'utente con quel dispositivo, navigando in rete, si trova su altro sito nel quale vi sono plugin di Facebook, l'azienda è in grado di identificare l'utente e quindi connettere le pagine visitate, tracciandolo durante la sua navigazione in rete (stabilendo così i suoi interessi e verificando le sue scelte ed acquisti), anche se l'utente in questione non è iscritto a Facebook (e quindi non esiste alcun accordo con Facebook) o non è loggato in Facebook durante la navigazione. Tali dati vengono raccolti e poi utilizzati a fini di invio di pubblicità personalizzati, eventualmente anche forniti a terzi partner di Facebook per le medesime finalità.

Ovviamente un tale utente non ha mai dato alcun consenso a Facebook per il tracciamento della sua navigazione né per la raccolta dei suoi dati. Quindi Facebook in tal modo raccoglie dati praticamente da tutti gli utenti, in assenza di consenso e ciò è palesemente in violazione delle norma europee sulla Data Protection.

Come previsto dalla nuova normativa europea sulla Data Protection attualmente in discussione, i Garanti dei paesi europei cominciano a coordinare azioni riguardanti problematiche di ampio respiro e che toccano tutti i paesi. L'iniziativa del garante belga è seguita da vicino dai garanti tedeschi. Ci aspettiamo analoghe iniziative da parte degli altri Garanti nazionali.
È questa la strada giusta per proteggere la privacy dei cittadini, piuttosto che imporre defatiganti oneri burocratici in materia di cookie ai piccoli siti.