Facebook e il caso Cambridge Analytica
Il garante italiano per la protezione dei dati personali ha condannato il popolare social network a pagare una sanzione di un milione di euro in seguito agli illeciti compiuti nell’ambito dello scandalo dell’uso fraudolento dei dati personali. Ecco com’è andata
27/08/2019
Il caso era iniziato quando, nella primavera dello scorso anno, i due autorevoli quotidiani Guardian e New York Times avevano pubblicato una serie di articoli che dimostravano l’uso scorretto di una grande quantità di dati, arrivati a Cambridge Analytica da Facebook. La vicenda dimostrava quanto sia difficile per un social network tenere sotto controllo i dati da esso trattati, e adombrava un uso illegittimo delle informazioni di oltre 50 milioni di utenti, che sarebbero servite per influenzare i risultati della campagna presidenziale statunitense del 2016 e del referendum sulla Brexit nel Regno Unito.
Cambridge Analytica, fondata nel 2013 dal miliardario statunitense Robert Mercer, era specializzata nel raccogliere dai social network una grande quantità di dati sui loro utenti. Si trattava di quanti Mi piace essi esprimevano e su quali post, dove lasciavano il maggior numero di commenti, il luogo da cui condividevano i loro contenuti e così via. Queste informazioni venivano poi elaborate da modelli e algoritmi per creare profili di ogni singolo utente, con un approccio simile a quello della psicometria, il campo della psicologia che si occupa di misurare abilità, comportamenti e caratteristiche della personalità umana. Maggiore è la quantità di like, commenti e altri contenuti, più è preciso il profilo psicometrico di ciascun utente analizzato.
I piccoli segni nel web
Oltre ai profili psicometrici, Cambridge Analytica aveva poi acquisito altre informazioni dai cosiddetti broker di dati, ovvero quelle società che raccolgono dati sulle abitudini e i consumi delle persone. Basti pensare a un utente che visita il sito web di un popolare venditore, cerca un prodotto per vederne il prezzo e poi passa a fare altro: all’improvviso questo utente si troverà su un altro sito proprio la pubblicità di quel prodotto che era andato a cercare.
Se moltiplichiamo tutto questo per milioni di utenti e pensiamo a qualsiasi altra condizione in cui la nostra navigazione possa essere tracciata, ci rendiamo conto di quanti piccoli segni lasciamo nel web, che possono essere aggregati e valutati. Si tratta di informazioni per lo più anonime e fornite in forma cumulativa per non essere riconducibili a una singola persona, ma, considerata la loro quantità, algoritmi come quelli di Cambridge Analytica erano in grado di creare profili molto accurati sui gusti degli utenti e su come la pensavano.
Una raccolta di "mi piace"
Questa società si vantava di avere sviluppato un sistema di microtargeting comportamentale, ovvero una forma di pubblicità altamente personalizzata su ogni soggetto, facendo leva non solo sui gusti, come fanno già altri sistemi analoghi per il marketing, ma sulle sue stesse emozioni.
Il modello era studiato per prevedere e anticipare le risposte degli individui e pare che fossero sufficienti informazioni su 70 Mi piace dichiarati su Facebook per sapere più cose sulla personalità di un soggetto rispetto a qualunque suo amico, 150 per saperne di più dei genitori e 300 per superare le conoscenze del suo partner. In pratica, questo sistema teorizzava che, con una quantità ancora maggiore di Mi piace, sarebbe stato possibile conoscere più cose sulla personalità di un soggetto di quante non ne sapesse lui stesso.
L’applicazione Aleksandr Kogan
Per capire il ruolo di Facebook in tutta questa vicenda, dobbiamo fare riferimento a un’applicazione ideata da un ricercatore dell’Università di Cambridge, Aleksandr Kogan, denominata Thisisyourdigitallife (letteralmente Questa è la tua vita digitale). Questa app si riprometteva di produrre profili psicologici e di previsione del comportamento, basandosi sulle attività online svolte dai soggetti analizzati. Per utilizzarla, gli utenti dovevano collegarsi utilizzando il login di Facebook. Il servizio era gratuito ma, come spesso avviene, era in realtà pagato con i dati degli utenti: l’applicazione che lo utilizzava otteneva l’accesso a indirizzo email, età, sesso e altre informazioni contenute nel profilo personale Facebook e si badi bene che l’operazione era comunque trasparente, dal momento che Facebook mostrava sempre una schermata di riepilogo con le informazioni che sarebbero diventate accessibili. Pare che all’incirca 270mila persone si siano iscritte all’applicazione di Kogan, utilizzando Facebook e accettando di condividere alcune delle loro informazioni personali.
All’epoca il social network permetteva ai gestori delle applicazioni di raccogliere anche alcuni dati sulla rete di amici della persona iscritta. In pratica, chi si iscriveva prestava il consenso a condividere alcuni dati e l’applicazione aveva il diritto di raccogliere altre informazioni che riguardassero i suoi amici, senza che questi fossero avvisati (il che era comunque spiegato nelle infinite pagine delle condizioni d’uso di Facebook che pochissimi leggono). In seguito Facebook si rese conto della pericolosità di questo sistema e modificò le proprie regole, evitando che le reti di amici fossero ancora accessibili alle applicazioni, ma nel frattempo Thisisyourdigitallife aveva fatto in tempo a raccogliere informazioni di vario tipo su circa 50 milioni di profili Facebook.
Si trattava di dati sul luogo in cui vivevano gli utenti, i loro interessi, fotografie, aggiornamenti di stato civile e posti che avevano segnalato di aver visitato.
La violazione dei termini
Al tempo raccogliere dati sulle reti social degli utenti era consentito. Purtroppo, però, a un dato momento Kogan decise di condividere tutte queste informazioni con Cambridge Analytica, violando i termini d’uso di Facebook, che vietano ai proprietari di app di condividere con società terze i dati raccolti. In pratica, la sua applicazione non ottenne i dati sfruttando una falla nel codice che fa funzionare il network ma sfruttò un sistema che all’epoca era lecito e contemplato nelle condizioni d’uso. L’integrità informatica di Facebook non fu violata in alcun modo, ma non si può negare che le sue condizioni d’uso fossero in grado di permettere una raccolta di informazioni sproporzionata, senza che le persone coinvolte fossero avvisate e concedessero il loro assenso.
Successivamente, Cambridge Analytica fu accusata di aver influenzato le intenzioni di voto di milioni di persone, proprio grazie all’uso sapiente di questi dati personali acquisiti illecitamente e all’insaputa degli elettori stessi. La società americana dovette quindi dichiarare fallimento per lo scandalo originato, ma anche il valore delle azioni di Facebook crollo del 6,8%, costando a Mark Zuckerberg oltre nove miliardi di dollari del suo patrimonio personale.
La sanzione italiana
E non è finita qui, perché arriviamo alla sanzione comminata in questi giorni dal garante sulla base del vecchio Codice della privacy (il che fa pensare che la stessa avrebbe potuto essere assai più cospicua se basata su quello in corso, che ha inasprito l’ammontare delle penalità). Essa fa seguito al provvedimento pubblicato dallo stesso garante nel gennaio di quest’anno, nel quale era stato vietato a Facebook di continuare a trattare i dati appartenenti agli utenti italiani.
È stato appurato che almeno 57 cittadini italiani avevano scaricato Thisisyourdigitallife attraverso Facebook e che, grazie ai meccanismi qui sopra evidenziati, ciò avrebbe determinato l’acquisizione dei dati di ulteriori 214.077 utenti italiani, senza che questi ultimi avessero scaricato l’app o fossero stati informati delle modalità di gestione dei loro dati personali. Poiché nessuna di queste persone aveva espresso il proprio consenso al loro trattamento, l’uso dei loro dati era stata effettuata in modo non conforme alla normativa vigente, il che ha fatto scattare la sanzione ai danni del famoso social network.
Il garante aveva già contestato la violazione per mancata informativa e acquisizione del consenso e Facebook aveva provato ad avvalersi della possibilità di estinguere il procedimento sanzionatorio, ricorrendo al pagamento di una sanzione ridotta, pari a soli 52mila euro. Tuttavia, le violazioni si riferivano a una banca dati di particolare rilevanza e dimensioni, il che non prevede la possibilità di usufruire di una riduzione. Da qui l’applicazione della sanzione di un milione, tenendo conto dell’imponenza del numero dei dati violati, oltre che delle condizioni economiche di Facebook.
Non basta il "mi dispiace"
Andrea Jelinek, la presidente del WP29 (il gruppo di lavoro istituito a Bruxelles per sostenere le indagini avviate dalle autorità nazionali per la privacy su dati raccolti e utilizzati dai social media), ha affermato: “Molto semplicemente, una piattaforma che fattura miliardi di dollari non può cavarsela con un mi dispiace. (…) Quello cui stiamo assistendo in questi giorni probabilmente è soltanto uno dei molti esempi di pratiche assai più diffuse che prevedono lo sfruttamento dei social media come bacino ove raccogliere dati personali per finalità commerciali o politiche. Ma il WP29 sa bene che si tratta di una problematica più ampia in cui sono coinvolti anche altri soggetti, come gli sviluppatori di app e i cosiddetti data broker”.
Si tratta cioè di un fronte economicamente rilevante ed in grado di impattare su un numero enorme di dati personali e di utilizzarli in modo difficilmente controllabile.
Polizze cyber e percezione del rischio
Vale la pena sottolineare come l’ammontare di certe sanzioni che l’autorità per la protezione dei dati personali sta comminando ai danni di diversi soggetti in tutta Europa, possa indurre le aziende a ritenere che proteggersi con coperture assicurative cyber sia per lo più inutile, dal momento che quasi tutti gli ordinamenti non consentono il risarcimento delle multe e pertanto queste polizze contribuirebbero in maniera del tutto irrisoria al recupero dei costi temuti o sostenuti in quest’ambito. In realtà, invece, oltre a ricoprire un ruolo di tipo inibitorio, questi casi dovrebbero contribuire a riportare il focus sull’importanza della prevenzione e gestione del rischio.
Ciò che più conta nell’ambito della nuova normativa per la protezione della privacy sono la coscienza e l’impegno con le quali ciascuna azienda, in base alle caratteristiche (spesso irripetibili) della sua attività, affronta la gestione dei dati trattati. Le cosiddette polizze cyber consentono di recuperare costi non certo indifferenti, ma è l’accurata percezione del rischio corso e la conoscenza approfondita della normativa che impatta le diverse tipologie di dati trattati a determinare il vero risparmio per gli assicurati. Questo è il motivo per cui la nuova normativa non impone soluzioni e regole, ma obbliga ciascun soggetto ad analizzare il proprio rischio e a comportarsi conseguentemente.
© RIPRODUZIONE RISERVATA
👥