Da oggi siamo tutti Contitolari insieme a Facebook del trattamento dei dati statistici, perlomeno tutti coloro tra noi che gestiscono pagine Facebook aziendali.

Sei confuso, preoccupato, non sai cosa significa? Benvenuto nel club!
Se ti sei perso i nostri precedenti articoli ti facciamo un breve recap.

Si accendono i riflettori sulle responsbilità di coloro che gestiscono le fanpage di Facebook

Successivamente alla sentenza dello scorso giugno dei Giudici della Corte di Giustizia Europea gli amministratori delle fanpage sono stati considerati co-Titolari dei dati personali dei visitatori insieme a Facebook, e Zuckerberg ha deciso di evidenziarlo.

Se infatti rileggi il contratto che Facebook ti costringe ad accettare se desideri continuare a gestire la tua pagina, noterai che c’è scritto che “Facebook Ireland Limited (“Facebook Ireland”) e l’utente sono congiuntamente i titolari del trattamento dei Dati statistici”.

Quindi, gli amministratori di pagine non possono ignorare le loro responsabilità per il fatto di contribuire alla raccolta delle informazioni personali dei visitatori sui cui dispositivi vengono installati cookie e per il fatto di utilizzare tali dati per definire un gruppo di destinatari di annunci sponsorizzati. Tutto questo indipendentemente dal fatto che facciamo o meno pubblicità in Facebook o che i dati che trattiamo sono per noi aggregati o addirittura anonimi.

Che impatto ha su di noi tutto ciò, cosa rischiamo, cosa dobbiamo fare?

Ieri abbiamo cercato di fare un po’ di chiarezza e rispondere ad alcune domande.
Qui puoi trovare l’articolo completo. Continuiamo ad approfondire la questione. Giuseppe Ricci, Presidente di Active121, si è rivolto alla nostra esperta ed avvocatessa Claudia Ogriseg, giuslavorista esperta di privacy, DPO di enti pubblici, strutture sanitarie e società di servizi.

G. Fino a ieri gli amministratori delle pagine Facebook non si sono preoccupati di informare i propri utenti del fatto che i dati raccolti venivano trattati anche da Facebook, convinti che all’interno del recinto di Mark Zuckerberg la responsabilità fosse tutta sua. Ma stiamo vedendo che non è così.

C. Sì, di fatto chi gestisce una pagina Facebook o di un qualsiasi altro social network inevitabilmente contribuisce alla raccolta dei dati personali (che poi sono il business del social network stesso), anche grazie ai cookie installati da Facebook. Questa raccolta va mappata, analizzata e molto altro.

G. Va anche considerato che Facebook, come anche altri social network, mette a disposizione degli amministratori delle fanpage un sistema per gestire la pubblicità in maniera mirata, attraverso un sistema di filtri ed aggregazioni sugli utenti registrati.

C. Sì, i sistemi di targhettizzazione pubblicitaria come le Inserzioni di Facebook fanno trattamenti sui dati personali per fornirci una lista di destinatari in target a cui indirizzare i nostri annunci sponsorizzati. Poco cambia se non abbiamo mai fatto pubblicità, o se per noi la lista non è accessibile, ovvero non possiamo sapere nel dettaglio chi riceverà il nostro annuncio. Il punto è che abbiamo la facoltà di commissionare a Facebook dei trattamenti specifici su dati personali che, in molti casi, non abbiamo neppure raccolto noi.

G. C’è poi la questione del pixel di Facebook, ovvero di quel pezzettino di codice che possiamo inserire nel nostro sito in modo che Facebook possa piazzare un proprio cookie nel dispositivo del nostro utente. Il nostro vantaggio è che in questo modo Facebook può associare un visitatore del nostro sito al suo profilo in Facebook per poter fare azioni di marketing o remarketing ancora più mirate sui nostri utenti. Facebook ci dice che: “Il pixel di Facebook è uno strumento per la raccolta di dati statistici che ti consente di misurare l’efficacia della tua pubblicità comprendendo le azioni che le persone eseguono sul tuo sito Web”.
Siamo prossimi alla profilazione, con tutto quello che ne consegue?

C. La profilazione è un tema delicatissimo che è stato posto sotto la lente di ingrandimento dal Regolamento UE n.2016/679 (GDPR) che per la prima volta ci offre una definizione. Per il GDPR si ha profilazione quando i dati personali vengono trattati in maniera automatizzata per suddividere gli Interessati (ovvero gli utenti) in gruppi sulla base del loro comportamento o delle loro preferenze, con lo scopo di valutare gli aspetti personali della persona fisica.
Non implica un mero tracciamento della navigazione online, ma comporta precise analisi per prendere decisioni che riguardano l’utente oppure per analizzarne o prevederne le preferenze o i comportamenti.Di fatto, un utente che naviga in maniera anonima in un sito e che riceve il cookie di Facebook (grazie al pixel di Facebook) rischia di diventare noto con tanto di nome, cognome, email, telefono, interessi e lista di amici nel momento in cui accede a Facebook come utente registrato, permettendo a Facebook di associare il cookie anonimo raccolto dal sito con quello raccolto nella sua piattaforma.
Quindi Facebook di noi conosce molte più informazioni di quelle che gli forniamo volontariamente nella sua piattaforma, perché di fatto può conoscere in quali altri siti siamo stati, e quindi scoprire i nostri interessi e bisogni, purché naturalmente in questi siti sia stato inserito il pixel di Facebook.Nelle sue note legali Facebook si tutela dicendo che “Quando usi il pixel di Facebook devi rispettare il GDPR” fornendo poi il link alle loro condizioni, in cui spiegano come va informato l’utente del sito prima che il cookie di Facebook venga memorizzato nel suo dispositivo, ma stranamente non menziona il termine “profilazione”. Possiamo concludere che, pur non bastando il pixel di Facebook per essere in presenza di profilazione, in maniera cautelativa l’utente andrebbe quantomeno informato di questo trattamento. Ma le protezioni della persona che il GDPR prevede in caso di profilazione sono ulteriori e non possono essere sottovalutate.

G. Tornando alla contitolarità, quali sono i doveri che si hanno quando gestiamo una pagina Facebook?
C. I doveri sono quelli descritti dal GDPR, ovvero mappare, esaminare il dato e le implicazioni in caso di violazioni, adottare le protezioni e cautele adeguate e da ultimo informare correttamente l’Interessato prima di raccogliere i suoi dati nel caso in cui la raccolta venga fatta da noi, oppure informare gli Interessati prima di ogni altro trattamento nel caso in cui la raccolta venga fatta da altri, come Facebook. Nella pratica ciò significa che gli amministratori delle pagine aziendali non possono e non devono “dimenticarsi” di questi dati, devono attivarsi a 360° aggiornando i propri Registri del trattamento (sempre consigliatissimi al di là degli obblighi formali), valutando l’eventuale impatto sulla protezione dei dati in caso di violazioni (DPIA), predisponendo adeguate misure e riscontro della tipologia di trattamento in un’informativa indicando altresì la co-Titolarità con Facebook.

G. Questi aspetti riguardano solo le aziende o coinvolgono anche i privati che si limitano a dare l’accesso della loro pagina solamente alla loro stretta cerchia di amici?

C. L’intera disciplina a protezione del dato personale che l’Unione Europea ha introdotto interessa le aziende: chi tratta dati “nell’esercizio di attività a carattere esclusivamente personale o domestico” non dovrebbe rientrare nel campo di applicazione del GDPR (art.2 par.2 lett.c). Tuttavia è bene osservare che la linea di confine delle responsabilità è spesso molto sfumata, sicché pare che Facebook stia cambiando “rotta” prevedendo accordi di co-Titolarità per chiunque gestisca una pagina Facebook, indipendentemente dal fatto che si tratti della pagina di un’azienda.

G. Cosa cambia per le agenzie o i freelance che amministrato le pagine Facebook dei loro clienti?

C. Qui la questione si fa critica. Nelle pagine Facebook aziendali dovrebbe sempre essere indicato chi sia il Titolare del trattamento (l’azienda) e l’agenzia dovrebbe ricevere precise istruzioni scritte su come svolgere l’attività di gestione della Pagina (in qualità di Responsabile esterno del trattamento). In assenza di tali informazioni ci potremmo ritrovare nel paradosso per cui l’agenzia diventa co-Titolare con Facebook, anche se quella pagina è patrimonio del suo cliente. È evidente che questa situazione non sta in piedi. Questi scenari sono nuovi per tutti e vale la pena affrontarli in maniera specifica.

G. Quindi questa situazione sta coinvolgendo anche la relazione tra le aziende e le proprie agenzie di comunicazione e marketing.

C. Certamente sì. Va ricordato che uno dei capisaldi del GDPR, che è anche la grande novità rispetto alla legge precedente sulla Privacy, è proprio l’Accountability, ovvero la responsabilizzazione del Titolare del trattamento. L’onere della prova è passato all’azienda che deve dimostrare con prove e fatti di aver fatto il possibile in termini di tutela del dato, anche nella scelta dei propri fornitori.
Sono finiti i tempi in cui l’azienda poteva scegliere una web agency o un freelance per attività di solamente in base all’equazione offerta/costo. È fondamentale per tutti lavorare con fornitori qualificati, anche dal punto di vista del GDPR.

Nei prossimi giorni approfondiremo con l’avv. Claudia Ogriseg la relazione tra aziende ed agenzie esterne ed altri aspetti pratici riguardanti il GDPR & Digital Marketing.

Hai una richiesta o una domanda particolare da porre a noi o alla nostra esperta?
Inviacela!

Cercheremo di rispondere a tutte le richieste.