Risoluzione sulla tutela della privacy nei servizi di social network (*)

Autorità proponente: Autorità per la protezione dei dati e l'accesso alle informazioni dello Stato di Berlino – Germania

Co-sponsor:

Commission nationale de l'informatique et des libertés (CNIL) – Francia
Autorità federale per la protezione dei dati e l'accesso alle informazioni – Germania
Garante per la protezione dei dati personali – Italia
Autorità per la privacy – Nuova Zelanda
Autorità federale per la protezione dei dati e le informazioni – Svizzera

Risoluzione
I servizi di social network (1) sono divenuti estremamente popolari negli ultimi anni. Fra l'altro, si tratta di servizi che offrono agli abbonati la possibilità di interagire attraverso profili personali generati autonomamente, il che favorisce la comunicazione di dati personali relativi agli abbonati, ma anche a soggetti terzi, in una misura che non ha precedenti. I servizi di social network offrono una gamma del tutto nuova di opportunità comunicative e di interazione in tempo reale attraverso ogni possibile tipologia di informazioni, ma l'utilizzo di questi servizi può comportare rischi per la privacy sia degli utenti sia di terzi. I dati personali divengono infatti disponibili pubblicamente e in modo globale, secondo schemi qualitativi e quantitativi che non hanno precedenti, anche attraverso enormi quantità di foto e video digitali.

C'è il rischio di perdere il controllo dell'utilizzo dei propri dati una volta pubblicati in rete. Il fatto che si tratti di servizi operanti attraverso una "comunità" di utenti può far pensare che la situazione non sia molto diversa dal condividere informazioni con un gruppo di amici nel mondo reale; in realtà, le informazioni contenute nel proprio profilo possono raggiungere l'intera comunità degli abbonati al servizio – talora in numero di diversi milioni.

Attualmente non vi sono che scarse tutele rispetto alla riproduzione dei dati personali contenuti nei profili-utente; possono essere copiati da altri membri della rete, o da terzi non autorizzati esterni alla rete, e quindi venire utilizzati per costruire profili personali oppure essere ripubblicati altrove. Talora risulta assai difficile, o addirittura impossibile, ottenere la totale cancellazione dei propri dati da Internet una volta che essi siano stati pubblicati. Anche dopo la cancellazione dal sito originario (ad esempio, un servizio di social network), possono esisterne copie in mano a soggetti terzi o ai fornitori del servizio di social network. Inoltre, i dati personali contenuti nei profili possono "filtrare" dalla rete se sono indicizzati da un motore di ricerca, mentre alcuni fornitori di questi servizi consentono a terzi di accedere ai dati relativi agli utenti attraverso API (interfacce di programmazione applicazioni), cosicché tali soggetti terzi sono liberi di disporre dei dati in questione.

Fra gli esempi di utilizzo ulteriore dei dati, possiamo citare la prassi invalsa presso molti uffici del personale di varie aziende di ricercare i profili-utente relativi a candidati all'assunzione o singoli dipendenti. Secondo quanto riferito dalla stampa, un terzo dei responsabili delle risorse umane ammette di utilizzare informazioni tratte da servizi di social network, ad esempio per verificare o completare le informazioni fornite dai candidati all'assunzione.

Le informazioni contenute nei profili-utente e i dati di traffico sono utilizzati anche dai fornitori di servizi di social network per l'invio di messaggi mirati di marketing ai rispettivi utenti.

E' molto probabile che in futuro si manifestino altre modalità di utilizzo dei dati contenuti nei profili-utente.

Fra gli altri rischi specifici per la privacy e la sicurezza già oggi individuati, possiamo ricordare l'incremento del rischio di furti di identità favorito dalla diffusa disponibilità dei dati personali contenuti nei profili-utente e dalla "cattura" di tali profili ad opera di terzi non autorizzati. La 30ma Conferenza Internazionale delle autorità per la protezione dei dati e della privacy ricorda che tali rischi hanno già formato oggetto di analisi nel documento "Relazione e Linee-Guida sulla Privacy nei Servizi di Social Network ("Memorandum di Roma")" adottato durante la 43ma riunione dell'International Working Group on Data Protection in Telecommunications (3-4 marzo 2008), nonché nel Position Paper n. 1 dell'ENISA dedicato a "Security Issues and Recommendations for Online Social Networks" (ottobre 2007).

Le Autorità per la protezione dei dati e della privacy riunitesi in occasione della Conferenza Internazionale sono convinte, in primo luogo, della necessità di condurre un'approfondita campagna informativa che investa tutti i soggetti pubblici e privati: dalle autorità di governo alle istituzioni scolastiche, dai fornitori di servizi di social network alle associazioni di utenti e consumatori, nonché le stesse autorità, al fine di prevenire i molteplici rischi associati all'utilizzo dei servizi di social network.

Raccomandazioni
Tenuto conto della particolare natura dei servizi in oggetto, e dei rischi per la privacy delle persone nel breve e nel lungo periodo, la Conferenza sottopone le seguenti raccomandazioni agli utenti ed ai fornitori di servizi di social network:

Utenti dei servizi di social network
I soggetti interessati al benessere degli utenti dei servizi di social network, ivi compresi i fornitori di tali servizi, i governi, e le autorità per la protezione dei dati, dovrebbero contribuire ad educare gli utenti alla tutela dei dati personali che li riguardano, trasmettendo i messaggi di seguito indicati:

1. Pubblicazione delle informazioni
Gli utenti di servizi di social network dovrebbero valutare con attenzione se e in quale misura pubblicare dati personali in un profilo creato su tali servizi. Occorre tenere presente che le informazioni o le immagini pubblicate potrebbero riemergere in tempi successivi – ad esempio, in occasione della presentazione di una domanda d'impiego. Soprattutto, i minori dovrebbero evitare di fornire l'indirizzo o il numero telefonico di casa.
Sarebbe opportuno valutare se utilizzare nel profilo uno pseudonimo anziché il nome reale. Tuttavia, gli utenti devono ricordare che la tutela offerta dall'utilizzo di pseudonimi è piuttosto limitata, in quanto altri potrebbero individuare chi vi si cela dietro.

2. La privacy degli altri
Gli utenti devono rispettare la privacy altrui. Occorre particolare attenzione se si pubblicano dati personali relativi a soggetti terzi (comprese foto con o senza didascalie o etichette) senza il consenso di tali soggetti.

Fornitori dei servizi di social network
I fornitori dei servizi di social network sono tenuti ad operare nell'interesse delle persone che utilizzano i loro servizi. Oltre a rispettare la normativa in materia di protezione dei dati, dovrebbero mettere in pratica anche le raccomandazioni di seguito indicate:

1. Norme e standard in materia di privacy
I fornitori devono rispettare gli standard in materia di privacy vigenti nei Paesi ove operano. A tale scopo, dovrebbero consultarsi, se necessario, con le autorità per la protezione dei dati.

2. Informazioni relative agli utenti
I fornitori dei servizi di social network devono informare gli utenti in merito al trattamento dei dati personali che li riguardano, secondo modalità trasparenti e corrette. Inoltre, devono fornire informazioni veritiere e comprensibili sulle conseguenze derivanti dalla pubblicazione di dati personali in un profilo, nonché sugli altri rischi in materia di sicurezza e sulla possibilità che soggetti terzi (comprese, ad esempio, le forze dell'ordine) accedano legalmente a tali dati. L'informativa deve indicare anche le modalità per una corretta gestione dei dati personali relativi a terzi che siano contenuti nei singoli profili-utente.

3. Controllo da parte degli utenti sui dati che li riguardano
E' necessario che i fornitori potenzino ulteriormente la capacità degli utenti di decidere l'utilizzo dei dati contenuti nei rispettivi profili per quanto riguarda i membri della comunità. Devono consentire agli utenti di limitare la visibilità dell'intero profilo, nonché di singoli dati contenuti nel profilo o ottenuti attraverso funzioni di ricerca messe a disposizione della comunità.
Inoltre, i fornitori devono consentire agli utenti di decidere sugli utilizzi ulteriori dei dati di traffico e dei dati contenuti nei rispettivi profili – ad esempio, per quanto riguarda attività di marketing. Come minimo, devono offrire la possibilità di negare il consenso (opt-out) rispetto all'utilizzo dei dati non sensibili contenuti nel profilo, e prevedere un consenso previo (opt-in) rispetto all'utilizzo di dati di natura sensibile contenuti nel profilo (ad esempio, dati relativi ad opinioni politiche o all'orientamento sessuale) nonché rispetto ai dati di traffico.

4. Impostazioni di default orientate alla privacy
Inoltre, i fornitori devono prevedere impostazioni di default orientate a favorire la privacy degli utenti per quanto riguarda le informazioni contenute nei singoli profili. Le impostazioni di default sono essenziali ai fini della tutela della privacy; è noto come solo una minoranza degli utenti che aderiscono ad un determinato servizio si preoccupi di modificare tali impostazioni. Le impostazioni in oggetto devono essere particolarmente restrittive se il servizio di social network è destinato o rivolto a minori.

5. Sicurezza
I fornitori devono continuare a potenziare e garantire la sicurezza dei sistemi informativi, impedendo accessi abusivi ai profili-utente, utilizzando standard riconosciuti per quanto concerne la programmazione, lo sviluppo e la gestione delle rispettive applicazioni, e ricorrendo a verifiche e certificazioni indipendenti.

6. Diritti di accesso
I fornitori devono riconoscere alle persone (siano esse membri del servizio o meno) il diritto di accedere e, se necessario, apportare modifiche a tutti i dati personali detenuti dai fornitori stessi.

7. Cancellazione dei profili-utente
I fornitori devono permettere agli utenti di recedere facilmente dal servizio, cancellando il rispettivo profilo ed ogni contenuto o informazione da essi pubblicato attraverso il servizio di social network.

8. Utilizzo di pseudonimi
I fornitori devono consentire la creazione e l'utilizzo, in via opzionale, di profili basati su pseudonimi e promuovere il ricorso a tale modalità opzionale.

9. Accesso da parte di soggetti terzi
I fornitori devono prendere misure atte ad impedire che soggetti terzi possano raccogliere attraverso dispositivi di spidering e/o scaricare (o raccogliere) in massa i dati contenuti nei profili-utente.

10. Indicizzazione dei profili-utente
I fornitori devono garantire che i dati relativi agli utenti siano navigabili da parte dei motori di ricerca soltanto con il previo consenso espresso ed informato da parte del singolo utente. Deve essere prevista per default la non-indicizzazione dei profili-utente da parte dei motori di ricerca.

(*) Traduzione non ufficiale
(1) "Un servizio di rete sociale (social network) consiste in via primaria nella costruzione e nella verifica di reti sociali online rivolte a comunità di soggetti che condividono interessi e attività, o che sono interessati ad esplorare gli interessi e le attività altrui […]. Si tratta di servizi che, per la massima parte, sono gestiti attraverso il web ed offrono diverse modalità di interazione fra gli utenti […]." Tratto da Wikipedia: http://en.wikipedia.org/wiki/Social_network_service

Fonte Garante Privacy