Facebook e privacy: quanto eravamo e siamo monitorati?

Sono milioni i messaggi privati scambiati quotidianamente da ogni punto del globo, messaggi in gli utenti esprimono opinioni, interessi, relazioni, emozioni e nei quali, in fin dei conti, è condensata la quotidianità di ciascuno. Sono proprio questi i messaggi che, secondo l’accusa mossa nel 2013 da due utenti, Matthew Campbell e Michael Hurley, sarebbero costantemente controllati e monitorati da Facebook per scopi pubblicitari e di marketing.

La vicenda: link condivisi equiparati ai like

Per questa ragione, i due utenti avevano promosso una class action, accusando il colosso dei social network  Facebook di utilizzare ed analizzare i link inviati tramite messaggi privati e considerarli come un “mi piace” ove corrispondessero a contenuti condivisi anche pubblicamente sulla sua piattaforma. Ciò avrebbe integrato, secondo gli attori-ricorrenti, una palese violazione della legge federale in materia di intercettazioni.

Al colosso di Menlo Park, quindi, erano stati richiesti dei punitive damages superiori a cento dollari per ogni giorno di violazione, ovverosia delle somme da corrispondere ai ricorrenti fino a quanto non fosse cessata la condotta antigiuridica.

Cosa prevedeva la policy di Facebook sul punto?

Occorre infatti sempre tenere a mente che, al momento dell’iscrizione alla piattaforma, l’utente stipula ad ogni effetto di legge un contratto relativo alla “sorte” delle informazioni che andrà a veicolare sulla piattaforma offerta da Facebook Inc, contratto i cui termini sono contenuti e disseminati in link e documenti informatici troppo spesso saltati a piè pari.

Ebbene, con riferimento all’impiego delle informazioni scambiate dagli utenti durante l’utilizzo del servizio, si prevedeva che «Facebook utilizza le informazioni ricevute in relazione ai servizi e alle funzionalità offerte a te e ad altri utenti come i tuoi amici, i nostri partner, gli inserzionisti che acquistano inserzioni sul sito e gli sviluppatori che creano giochi, applicazioni e siti web da te utilizzati. Ad esempio, oltre ad aiutare le persone a vedere e a trovare le cose che fai e condividi, potremmo usare le informazioni che riceviamo su di te per misurare o comprendere l’efficacia delle inserzioni visualizzate da te o da altri e mostrare inserzioni pertinenti. Fornendo l’autorizzazione a utilizzare le tue informazioni, (di registrazione e che decidi di condividere) non solo ci consenti di offrire Facebook così com’è oggi, ma anche di sviluppare funzioni e servizi innovativi futuri che utilizzeranno le informazioni ricevute su di te in nuovi modi. Sebbene tu consenta l’utilizzo delle informazioni ricevute su di te da parte di Facebook, il proprietario di tali informazioni sarai sempre tu. La tua fiducia è molto importante, ecco perché Facebook non condivide con altri le informazioni ricevute su di te, se non nel caso in cui:

• abbia ricevuto la tua autorizzazione;

• ti abbia avvisato, ad esempio nelle normative del sito; oppure

• abbia rimosso il tuo nome e qualsiasi altra informazione personale dal sito». 

Una disciplina piuttosto “fumosa”

Ebbene, certo non poteva dirsi che questo punto del contratto stipulato con Facebook brillasse per chiarezza: il riferimento alla “titolarità” delle informazioni, che secondo l’estratto riportato rimane in capo all’utente, rappresenta infatti ben poca cosa e questo perché è ovvio che al soggetto non interessa la tutela della titolarità dei dati, bensì il loro utilizzo.

Si consideri, peraltro, che molto spesso si tratta di situazioni giuridiche soggettive che il diritto (italiano) considera come diritti della personalità e, come tali, non suscettibili di divenire oggetto di “trasferimento”: è chiaro, ad esempio, che nessuno potrebbe “vendere” il proprio nome, ma tutt’al più consentire (o non consentire) all’utilizzo che dello stesso intenda fare un terzo; dunque ribadire che la titolarità di una situazione inalienabile rimane in capo al titolare rappresenta poco più di un’ovvietà.

Non è un caso, del resto, che la normativa italiana in materia di protezione dei dati personali, ovverosia il codice privacy (D. Lgs. 196/2003) nonché il recentissimo Regolamento Europeo in materia di protezione dei dati personali (cd. GDPR – n° 679/2016) si preoccupa, più che di ribadire la titolarità dei dati, di disciplinare nel dettaglio le modalità di utilizzo degli stessi da parte dei responsabili del trattamento, nonché le facoltà degli interessati ed i rimedi azionabili, come ad esempio in materia di cd. diritto all’oblio o di dati trattati dalle intelligenze artificiali.

Nel caso di specie, quindi, era del tutto evidente che gli utenti avevano interesse a conoscere nel dettaglio proprio l’utilizzo che Facebook faceva delle informazioni ricevute attraverso questa sorta di condivisione forzosa, profilo sul quale la policy, come detto, rimaneva piuttosto evanescente: con precisione, cosa significava, ad esempio, “usare le informazioni […] per misurare o comprendere l’efficacia delle inserzioni visualizzate da te o da altri e mostrare inserzioni pertinenti”? Significava effettivamente che i messaggi scambiati dagli utenti sul social network erano (magari in via automatizzata) “scansionati” alla ricerca di informazioni utili ai fini pubblicitari oppure no?

L’epilogo della vicenda giudiziaria: un accordo per evitare guai maggiori?

Esplicitamente, non lo sapremo mai. Infatti la class action avviata non giungerà a sentenza, ma i rappresentati di Facebook e degli utenti sembrano essere oramai giunti ad un accordo transattivo mediante il quale “chiudere” la controversia.

Nel dettaglio, l’accordo sottoposto al giudice del tribunale distrettuale della California Phyllis Hamilton, stando a quel che si ricava dai documenti depositati dalle parti nel mese di marzo 2017, dovrebbe prevedere che la società di Mark Zuckerberg si impegni a pagare fino a 3,3 milioni di dollari per gli avvocati che hanno patrocinato il caso per conto degli utenti intervenuti, mentre non sarebbero previsti risarcimenti per gli utenti stessi.

Rispetto alle condotte “incriminate”, comunque, vi sono poco più che mezze ammissioni: nell’accordo, infatti, si dà atto che Facebook ha cambiato le sue procedure e che quindi il computo dei link condivisi attraverso messaggi privati non refluisce più in quello concernente i like. Le parti, tuttavia, hanno concordato che la piattaforma si impegnerà a pubblicare una frase esplicita in ordine al monitoraggio dei messaggi, impiegando un avvertimento che dovrebbe assumere il seguente tenore: “Usiamo strumenti per identificare e archiviare i link condivisi nei messaggi, incluso un conteggio del numero di volte in cui i collegamenti vengono condivisi“.

Durante le fasi processuali precedenti all’accordo richiamato, tuttavia, non erano mancati colpi di scena a vantaggio dell’una e dell’altra parte. Ad esempio, sicuramente Facebook aveva segnato un punto considerevole a suo favore allorché era stato escluso dalla Corte che i consumatori-attori potessero ottenere un risarcimento danno in quanto “classe”, essendo invece necessarie valutazioni risarcitorie ponderate caso per caso (con l’ovvio aggravio, per ciascuno, dell’onere della prova, rispetto al pregiudizio subito). Diversamente, il giudice Hamilton aveva statuito con riguardo alla tutela inibitoria: nel caso in cui fossero state provate le doglianze dei ricorrenti, questi avrebbero potuto pretendere collettivamente un’ordinanza (testualmente “injunction”) per imporre alla società di rivedere le proprie pratiche o le informazioni condivise con terzi.

Significativo, poi (anche per capire le ragioni per le quali Facebook ha conclusivamente ritenuto di accedere alla soluzione transattiva), è il dato processuale per il quale la Corte aveva ritenuto di disattendere le richieste della piattaforma social di definizione in via preliminare, ovviamente con il rigetto delle censure formulate dai ricorrenti.

In particolare, Facebook aveva sostenuto che quel che faceva con i messaggi non potesse definirsi – come prospettato dagli utenti – una “intercettazione“. In via subordinata, poi, la piattaforma si appellava ad una eccezione alla normativa federale in materia di intercettazioni, assumendo che le informazioni erano state acquisite – per così dire – in via solo “incidentale”, ovverosia nell’ambito del “corso ordinario” dell’attività d’impresa.

Il giudice Hamilton, tuttavia, aveva rifiutato entrambe le tesi, ritenendo per un verso che la società proponesse una decodifica del concetto di  “intercettazione” troppo ristretta e, per altro verso, che non fosse stata fornita alcuna prova che la captazione era avvenuta nel normale corso delle attività svolte dalla piattaforma.

Tali considerazioni, sicuramente significative per comprendere – seppure indirettamente – la fondatezza delle doglianze dei ricorrenti, avevano fatto sì che il giudizio proseguisse fino a giungere però, nei primi mesi del 2017, all’esito transattivo di cui si è detto.

La situazione attuale

Se la controversia in questione, comunque, si riferisce alle politiche-privacy adottate da Facebook fino al 2012 (cioè prima della instaurazione del giudizio su iniziativa di Campbell e Hurley, risalente al 2013), cosa avviene nel 2017?

In effetti nelle pagine informative della piattaforma – relative alla normativa sui dati – troviamo molte (forse troppe, rispetto ad una effettiva intellegibilità?) indicazioni.

Ebbene, le informazioni raccolte riguardano:

• attività eseguite dall’utente e informazioni fornite dall’utente o da altri soggetti sull’utente;
• reti e connessioni di cui l’utente fa parte;
• informazioni sui pagamenti;
• informazioni tratte da siti Web e app che usano i servizidi Facebook;
• informazioni fornite da partner terzi;
• informazioni detenute da altre aziende di proprietà o sotto il controllo di Facebook.

Con riferimento specifico alla condivisione dei contenuti con clienti e partner terzi, poi, anzitutto Facebook fornisce un’indicazione esemplificativa dei soggetti con cui condivide i dati (servizi pubblicitari, di misurazione e analisi), precisando di non divulgare o cedere – senza espressa autorizzazione – informazioni personali dell’utente (nome o indirizzo email).

Ai partner vengono quindi inoltrate informazioni sulla copertura e sull’efficacia delle pubblicità senza condividere informazioni personali o condividendole solo dopo averle aggregate in modo che non sia possibile identificarne i titolari.

Nel dettaglio, vengono fornite agli inserzionisti (sempre che questi si siano impegnati a rispettare la politica aziendale in materia di pubblicità), informazioni sulle prestazioni delle inserzioni pubblicate o sul numero di persone raggiunte o che hanno installato un’app ovvero informazioni demografiche non personali.

Nessun riferimento, quindi, al monitoraggio dei contenuti (anche multimediali o ipertestuali) delle conversazioni scambiate dagli utenti tra loro, anche se il riferimento alle tecniche di aggregazione per rendere anonime informazioni (che viceversa sarebbero individualizzanti) non sembra escludere del tutto l’eventualità.