Tu e Facebook siete sotto attacco?

01/10/2018
Nel video della scorsa settimana ci chiedevamo cosa sarebbe successo a noi co-Titolari se Facebook avesse avuto un data breach, et voilà!
Mai un momento di noia per noi marketer!

Venerdì scorso Facebook ha annunciato di aver subito il data breach peggiore di sempre: fino a 90 milioni di nominativi violati oltre al coinvolgimento di altri siti che utilizzano Facebook per la registrazione, come Airbnb, Tinder, Spotify e molti altri.
Mark Zuckerberg è “dispiaciuto”. Ancora.

Lasciando alla stampa tutti i dettagli, esaminiamo questa vicenda dal nostro punto di vista: 
cioè quello del Digital Marketing e del GDPR.

Doveri
Intanto, senza il GDPR Facebook non sarebbe stata obbligata rivelare questo episodio, allora ci chiediamo quante altre volte ha perso il controllo dei nostri dati personali senza dirci nulla.
 
Privacy by Design
L’attacco a Facebook si è basato su una falla nella sua piattaforma (tre in realtà, ma semplifichiamo).
Non sono stati violati i server o il sistema informatico “dal basso” ma è stato sfruttato uno strumento dedicato agli utenti (in particolare la funzione “view as” di Facebook) e perfettamente funzionante dal punto di vista dell’utilizzo ma debole dal punto di vista della privacy.
Facendo consulenza in azienda, molto spesso vediamo che chi gestisce siti, e-commerce, piattaforme software si senta al sicuro con “un buon hosting” o un buon firewall, ma non è sufficiente. Il modo più semplice per violare un sistema infatti è sfruttare una sua debolezza che non necessariamente appare come bug. A volte, come nel caso di Facebook si tratta di funzioni utili, documentate e perfettamente funzionanti dal punto di vista dell’utilizzatore ma deboli dal punto di vista della sicurezza. Facebook è un tipico caso di progettazione non Privacy by Design.
 
Costi
Sempre Mark annuncia di voler raddoppiare il personale addetto alla sicurezza ed alla privacy, da 10.000 a 20.000 persone e questo ci fa comprendere che proteggere la Privacy non è né semplice e né economico, come non lo è da molto tempo l’investimento sulla sicurezza informatica.
 
Perdite
Altro aspetto interessante è quanto costa un data breach in termini di immagine sul mercato.
A Facebook è costato il 3% del proprio valore.
Certamente la sicurezza costa molto, ma quanto costa non averla?
 
Rischi
Da venerdì scorso tutti i gestori di pagine aziendali di Facebook diventano d’ufficio co-Titolari e sempre venerdì Facebook ha annunciato di aver subito il peggiore data breach di sempre.
Sempre venerdì nel nostro video ci chiedevamo cosa sarebbe successo in questo caso.

In pratica, quanto rischiamo noi co-Titolari per il data breach di Facebook?
Giuseppe Ricci, Presidente di Active121, lo chiede alla nostra giuslavorista esperta di Privacy l’avvocatessa Claudia Ogriseg.
Se ti sei perso gli articoli precedenti in cui raccontiamo cosa cambia con il nuovo contratto di Facebook e di cosa devi preoccuparti, li trovi qui il primo e qui il secondo.

Se invece sei tra quelli che si stanno chiedendo se denunciare o meno il gestore della pagina di Facebook alla quale sono registrati, in fondo a questo articolo trovi pane per i tuoi denti.

G. Considerando che nessuno di noi può influire sulle politiche e sulle logiche di sicurezza di Facebook, cosa può succedere ai co-Titolari che si sono trovati coinvolti nella recente vicenda del data breach di Facebook?

C. I co-Titolari potrebbero essere chiamati a risarcire il danno, ma è chiaro che ciascun Titolare può essere esonerato se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Viste le disparità di posizione e ruolo che ci sono tra un “normale” amministratore di pagina e Facebook, il buon senso ci dice che tutto ciò potrebbe essere complicato.

G. Un utente che ha subito un danno potrebbe davvero fare causa agli amministratori delle pagine nelle quali è registrato?

C. Beh questo non è possibile escluderlo. Un Utente potrebbe chiedere il risarcimento del danno a ciascun Titolare coinvolto nel trattamento. Poi come la vicenda giudiziale vada a finire dipende dalla capacità di dimostrare che l’evento dannoso non è in alcun modo imputabile al proprio comportamento. Si tratta delle regole sul diritto al risarcimento e responsabilità previste nell’art.82 del GDPR.

G. Quindi essere co-Titolari di Facebook, e presto di qualsiasi social network, ci espone ad un rischio reale.

C. Assolutamente sì. Di fatto un utente di una pagina aziendale, se ne ha reale motivo, ha facoltà di agire non solo nei confronti di Facebook ma anche dell’amministratore della pagina stessa, in quanto coinvolto insieme a Facebook nel trattamento dei suoi dati personali. Non dimentichiamo poi che l’amministratore potrebbe anche essere sanzionato per aver violato i dettami del GDPR.

G. Per lungo tempo abbiamo ritenuto che Facebook fosse l’unico a rispondere del trattamento dei dati personali dei visitatori delle fanpage, adesso invece la Corte di Giustizia chiarisce che anche gli amministratori potrebbero avere un ruolo importante.

C. È proprio così. In passato, erroneamente molti amministratori di pagine Facebook hanno escluso di rivestire ruoli di responsabilità nei confronti dei dati dei visitatori delle proprie pagine fintanto che tutto si svolgeva all’interno del social network stesso. La Corte di Giustizia invece ha opportunamente evidenziato come gli amministratori di fatto consentono a Facebook di posizionare cookie sui dispositivi dei visitatori della propria pagina (ad esempio grazie a Facebook Insights) e ricevono dati demografici relativi ai visitatori (sesso, età, situazione sentimentale e professionale, stile di vita e interessi, abitudini sugli acquisti etc.), dati che poi utilizzano.

Gestendo una pagina di un social network alla fine si individuano i mezzi attraverso i quali si trattano i dati dei visitatori e ciò potrebbe comportare responsabilità che non possono essere trascurate e/o escluse a priori solo perché tutto ciò viene facilitato da FB tramite impostazioni non modificabili.

G. La Corte di Giustizia ha attribuito il ruolo di co-Titolare del trattamento dei dati all’amministratore di una fanpage che ottiene dati statistici sugli utenti raccolti grazie a cookie di monitoraggio sul collegamento alla pagina. Un’interpretazione importante. In parole semplici, in modo che possa comprenderle anche mia figlia, cosa significa essere co-Titolare del trattamento, qual è la differenza rispetto a essere Titolare?

C. Senza citare le norme della direttiva UE n.95/46 sulla privacy che hanno consentito alla Corte di valorizzare le novità previste nel GDPR il Regolamento UE n.2016/679 …

G. Sì meglio, grazie!

C. Essere Titolare del trattamento (Data Controller) significa essere colui che compie una qualunque operazione su un dato personale (un’informazione riferibile a una persona fisica identificata o identificabile). Il Titolare del trattamento è chi utilizza un dato personale poiché lo raccoglie, organizza, conserva, copia, comunica, diffonde etc. e decide mezzi e finalità di tale utilizzo.

Chi partecipa insieme al Titolare all’utilizzo dei dati personali contribuendo a determinare mezzi e finalità del trattamento dei dati è il co-Titolare del trattamento (Joint Controller). Titolare e co-Titolare (o Contitolare) hanno analoghe responsabilità nei confronti delle persone di cui trattano i dati, ma definiscono nell’accordo di co-titolarità i rispettivi ambiti di competenza per poter poi rispondere solo di quelli.

Aggiungo che chi si limita a “processare” i dati su istruzione documentata del Titolare riveste invece il ben diverso ruolo del Responsabile del trattamento (Data Processor) e se va oltre l’incarico che gli è stato affidato diventa co-Titolare.

Questa in sintesi la disciplina del nuovo Regolamento sulla protezione del dato personale (GDPR) che però non trova applicazione quando i dati vengono raccolti e utilizzati per motivi esclusivamente personali e in ambito domestico.

G. Quindi, tornando a Facebook e all’amministratore della fanpage…

C. I Giudici della Corte di Giustizia chiamati ad interpretare la direttiva sulla privacy, per garantire alle persone che visitano una fanpage una più completa tutela, hanno valorizzato il fatto che gli amministratori di una fanpage aziendale condividono con Facebook mezzi e finalità del trattamento dei dati degli utenti, riconoscendo loro il ruolo di co-Titolare, previsto espressamente solo nel GDPR.

G. Una sentenza storica!

C. Sì una pronuncia che ha saputo interpretare la vecchia normativa valorizzando l’esigenza di protezione delle persone anche richiamandosi a quanto è stato introdotto in maniera esplicita nel nuovo Regolamento.

Lo scenario è davvero nuovo e molto dipende dai contenuti dell'accordo di co-Titolarità.
Di fatto da venerdì scorso, per esempio, un utente di Facebook iscritto a una pagina aziendale potrebbe esercitare un proprio diritto, come l’accesso ai propri dati o la limitazione dei trattamenti o la cancellazione del proprio profilo, indistintamente a Facebook o all’amministratore della fanpage. Chiaramente solo Facebook potrà materialmente soddisfare la richiesta, ma nel ricevere una richiesta del genere si ha l’obbligo legale di avvisare Facebook tempestivamente. Inoltre, essendo co-Titolari si ha anche la responsabilità di “vegliare” sul buon esito dell’operazione e, nel caso, sollecitare Facebook o segnalarlo alle Autorità.

Ancora, è responsabilità dell’amministratore della pagina garantire agli Interessati (amici o follower su Facebook, per intendersi) un ambiente protetto e sicuro. Chiaramente non è possibile influire sulle misure di sicurezza e sulle politiche di Facebook, la responsabilità si limita alla scelta consapevolmente degli strumenti con cui decide di trattare i dati personali dei suoi amici e naturalmente all’utilizzo responsabile che ne fa.

Estremizzando con le ipotesi, in caso di data breach, come quello annunciato venerdì scorso da Facebook, potrebbe esporre entrambi i co-Titolari a risarcire la persona i cui dati sono stati violati, salvo poi potersi rivalere per la quota di responsabilità con l’altro co-Titolare.

In sintesi, il rapporto di co-Titolarità che può svilupparsi nella gestione dei social network e i contenuti degli accordi che si dovranno definire per iscritto sono questioni che andranno approfondite con attenzione.

 

G. L’accordo di co-titolarità sarà lo strumento indispensabile per limitare le proprie responsabilità e quindi rivestirà estrema importanza quando si gestisce una pagina nel mondo del business.

C. Certo assolutamente. L’accordo è importantissimo proprio perché la co-Titolarità è fonte di responsabilità che potrebbe implicare anche un’azione diretta dell’utente/visitatore: se si dovesse scoprire una falla su Facebook che in qualche modo impatta anche sulla pagina aziendale o sui suoi follower.

G. Quali sono gli adempimenti a cui non ci si può sottrarre per gestire correttamente una pagina di un social network?

C. Tutto parte sempre dalla mappatura dei dati personali e dalla conseguente informativa che deve essere accessibile senz’altro dalle pagine dei social network che si gestiscono.

Facebook ha messo a disposizione delle pagine un campo “Normativa sulla privacy” nella sezione Informazioni della Pagina, dove si può inserire il link alla propria informativa privacy, in cui vanno precisati in particolare:
  • quali siano i dati raccolti;
  • la base giuridica del trattamento ossia la norma che legittima l’utilizzo del dato;
  • i dati di contatto del Titolare e del co-Titolare del trattamento dei dati (l’azienda e, ad esempio, Facebook)
  • se è stato nominato, i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer - DPO);
  • il luogo di conservazione dei dati e le eventuali garanzie in caso di trasferimento;
  • il periodo di conservazione dei dati;
  • tutti i diritti dell’utente/visitatore incluso quello di presentare reclamo all’autorità di controllo;
  • l’eventuale indicazione della logica in caso di processi decisionali automatizzati impiegati e le conseguenze per l’interessato.
Chiaramente molte informazioni dipendono dal social network ma vanno comunque raccolti nell’informativa. Nel sito aziendale sarà poi opportuno integrare l’informativa già presente con quelle dei vari social network, in modo da garantire a tutti gli Interessati una visione completa di come l’azienda raccoglie e tratta i loro dati.

Lo stesso registro dei trattamenti dovrà essere aggiornato e prevedere tutti i trattamenti ai dati personali che l’azienda effettua anche attraverso i social network.

Volendo essere scrupolosi sarebbe poi da valutare se fare una valutazione di impatto sulla protezione dei dati per ogni singolo social network (Data Privacy Impact Assessment), chiarendo  le misure che saranno attivate in caso di data breach.

G. E per le agenzie che gestiscono le pagine sui social per i loro clienti?

C. A seconda del contratto stipulato con le aziende Clienti le agenzie potrebbero essere co-Titolari (Joint Controller) o “semplici” Responsabili del trattamento (Data Processor). È evidente che in questo caso sarà di centrale importanza analizzare il contenuto dell’incarico e l’eventuale presenza di istruzioni specifiche sul trattamento dei dati.

G. In un articolo precedente (qui) parlavamo di come la relazione tra agenzia ed azienda potrebbe cambiare. 

C. Il nodo da sciogliere è il contenuto del mandato che ciascuna Azienda sottoscrive con l’agenzia che gestisce la pagina Facebook.

G. Questa è una rivoluzione per tutte le agenzie ed i freelance che operano per conto dei propri clienti. Se così sarà c’è da capire per quanti di loro varrà ancora la pena di accollarsi la co-titolarità con i propri clienti e conseguentemente con il social network.

C. Sì, questa decisione andrà presa alla luce degli sviluppi che questa situazione avrà e naturalmente alla luce dei contenuti degli accordi di co-Titolarità che i social network finiranno per "imporre".

G. Con il GDPR i social network sono solo l’ultima di una serie di responsabilità che le agenzie si sono trovate a dover assorbire (a costo zero) per continuare a lavorare con i propri clienti. Dalle newsletter ai siti web dalla gestione di campagne per la lead generation al remarketing ed alla profilazione abbiamo l’imbarazzo della scelta. È fondamentale lavorare in un perimetro di sicurezza all’interno del quale tutte le parti siano tutelate.

C. Assolutamente sì. Tra operatori di digital marketing ed aziende va garantita una piattaforma Privacy by Design a partire dalla definizione dei processi a tutti gli aspetti di governance, fino alla gestione della quotidianità che poi è dove le criticità si manifestano.
Questo è realizzabile con la consulenza specialistica per gli aspetti legali ed i processi di marketing, con la formazione degli operatori interni ed esterni all’azienda e con un software specializzato nel trattamento dei dati personali capace di automatizzare i processi e tutelare tutti, dagli Interessati al Titolare.


Sei un utente di Facebook che ha subito una violazione?
Ti stai chiedendo quali sono i tuoi diritti nei confronti dell’amministratore della pagina alla quale sei registrato?
Rappresenti un’azienda che potrebbe essere l’obiettivo di richieste di risarcimento da parte dei suoi utenti Facebook?

Anche questa volta abbiamo posto queste domande alla nostra esperta Claudia Ogriseg per aiutare tutti noi a districarci nelle questioni di diritto che potrebbero essere sollevate da questo colossale  data breach.

Trovi tutto nel prossimo articolo!
Registrati qui alla nostra newsletter gratuita e non perderti nulla!

Newsletter