Eppur si muove…lo scrivevamo giusto un paio di giorni di fa documentando la sanzione che il Garante della privacy ha emanato nei confronti dell’associazione Rousseau per il caso di Data Breach che li ha visti coinvolti. Un episodio di violazione della privacy che a nostro avviso è destinato a non far più di tanto “rumore” in confronto a un’altra notizia analoga che sta circolando nelle ultime ore, ma dalla portata decisamente più ampia. Stiamo parlando del caso Facebook, il più popolare dei social network, i cui utenti -ben 50 milioni- sono finiti nel mirino della società di analisi britannica Cambridge Analytica.
Secondo quanto spifferato alle maggiori testate americane da tale Chris Wylie, ex dipendente di Cambridge Analytica, la società britannica avrebbe ingannato una così ampia mole di utenti aggirando le politiche di Facebook tramite un’applicazione conosciuta come thisisyourdigitallife. Lo scopo di questa app è stato quello di raccogliere i dati degli utenti, nello specifico americani, al fine di attuare una strategia volta a innescare un cambiamento nel loro atteggiamento politico in previsione delle elezioni presidenziali del 2016. Thisisyourdigitallife ha agito promettendo -e mantenendo- agli utenti coinvolti un compenso per sottoporsi a un test della personalità per il quale era necessario rispondere a una serie di domande, firmando anche una liberatoria affinché i loro dati venissero utilizzati ai fini di studi scientifici: generalità, interessi, orientamenti sessuali e religiosi, pagine e personaggi seguiti, in poche parole tutto quello che normalmente viene dichiarato quando si crea un account su Facebook. Grazie a questi dati, Cambridge Analytica ha potuto creare e diffondere delle campagne di advertising ad-hoc.
Già si capisce che un’attività di questo tipo altro non è che una violazione della privacy, ma oltre il danno anche la beffa! L’aggravante di questa attività è stata che l’intento di Cambridge Analytica non era tanto quello di studiare le tendenze di voto degli utenti coinvolti, quanto più orientarli verso una preferenza su tutte: Donald Trump. Lo ha ammesso lo stesso Wylie, ma se si guarda ai vertici di Cambridge Analytica ci si imbatte nel nome di Steve Bannon, gran consigliere di Trump e, in particolare, capo della strategia della sua campagna elettorale. Tirando un po’ le somme, l’organizzazione nata nel 2013 è stata utilizzata quasi esclusivamente per targetizzare i messaggi social pro-voto a seconda di categorie particolari di persone, ottenute dalle informazioni derivata dall’app sia dei singoli utenti che dei loro amici…quindi anche utenti che non avevano nemmeno usato l’app incriminata.
In questo marasma, non poteva non essere nell’occhio del ciclone Facebook in qualità di piattaforma sulla quale gli utenti e i malintenzionati hanno agito. La responsabilità del social network sarebbe quella di non aver tutelato sufficientemente i propri utenti, soprattutto in funzione del fatto che la violazione dei dati era già stata segnalata due anni fa e nessuna misura è stata presa al riguardo. Con la bomba scoppiata in questi giorni, la prima contromossa di Facebook è stata di sospendere gli account di Cambridge Analytica, dei suoi dipendenti e anche quello del testimone Chris Wylie, annunciando altresì la realizzazione di ulteriori indagini per fare luce sulla questione. Facebook, tramite il proprio CEO Mark Zuckerberg, si è comunque assunta le proprie responsabilità ammettendo che in passato non tutto era funzionato per il verso giusto nel social dal punto della gestione del trattamento dei dati. La promessa di Zuckerberg per il futuro è di migliorare ulteriormente la trasparenza di Facebook, in particolare attraverso alcuni miglioramenti che dovrebbero rendere più visibili agli utenti il funzionamento e l’impatto delle app delle terze parti, limitando anche l’utilizzo dei dati.
Una riflessione viene spontanea: se i Data Breach capitano anche ai colossi come Facebook, che ci si aspetta siano adeguatamente “attrezzati” circa la protezione dei dati, a maggior ragione saranno facili prede le piccole medie imprese. Non si tratta tuttavia di scaricare in toto la responsabilità sull’azienda, la quale, in previsione dell’entrata in vigore in modo esecutivo del GDPR dovrà ovviamente mettersi in pari con quanto richiesto dal regolamento stesso (compresa la formazione dei dipendenti al riguardo): è fondamentale che anche le persone che rilasciano i propri dati personali siano consapevoli di cosa questa procedura comporta.
Sara Avanzi