I nuovi problemi di Facebook con la privacy degli utenti in Francia
Il garante locale per la privacy dice che i dati personali vengono usati per scopi poco chiari e senza informare adeguatamente gli utenti
La Commission nationale de l’informatique et des libertés – la CNIL, che corrisponde in Francia a quello che in Italia è il garante per la privacy – ha diffidato Facebook per violazione della legge nazionale sulla protezione dei dati personali. Il social network avrà ora tre mesi di tempo per sistemare le questioni contestate dalla CNIL o richiedere una proroga di questo termine. Dopodiché, se Facebook non avrà fatto gli interventi richiesti, potranno essere stabilite delle sanzioni.
Il documento della Commissione con le motivazioni della decisione è stato reso pubblico lunedì 8 febbraio e si basa su una premessa: pur essendo Facebook una società statunitense e pur avendo la propria sede principale europea in Irlanda, deve adeguarsi e rispettare la legge francese. Facebook in Francia conta oltre trenta milioni di utenti. L’indagine della CNIL era iniziata la scorsa primavera.
La CNIL ritiene che Facebook combini e incroci una serie di dati personali dei propri iscritti per fornire pubblicità mirata senza il consenso specifico e diretto da parte degli utenti, cosa richiesta dalla legge francese. La questione del trattamento di dati personali per la pubblicità è citata nelle condizioni d’uso del social network, ma secondo la CNIL l’avvertimento non sarebbe sufficiente. Molti di questi dati personali sono poi, secondo la CNIL, troppo sensibili: le informazioni relative all’orientamento sessuale, alle opinioni religiose e politiche degli iscritti, per esempio, sono utilizzabili da Facebook senza un ulteriore consenso. La commissione ritiene anche che, per rispettare la legge, Facebook dovrebbe indicare con precisioni il modo in cui vengono usati i dati e gli scopi per cui sono raccolti.
Secondo la commissione, inoltre, Facebook non informerebbe in modo adeguato i propri utenti sul fatto che i loro dati personali vengono trasferiti negli Stati Uniti. Il trasferimento di dati personali da paesi appartenenti all’UE negli Stati Uniti si basava sul cosiddetto accordo “Safe Harbour” (“approdo sicuro”) e sul fatto che gli Stati Uniti potessero garantire un livello di protezione “adeguato”. Lo scorso 6 ottobre una sentenza della Corte di Giustizia dell’Unione Europea ha tuttavia annullato l’accordo, ma il trasferimento di dati da parte di Facebook, dice la CNIL, prosegue come se il “Safe Harbour” fosse ancora valido. Un’altra contestazione riguarda le password: Facebook permette ai propri iscritti di scegliere una password di soli sei caratteri invece che una password di almeno otto come previsto e richiesto dalla legge francese.
C’è poi la questione dei cookie. Come fa la maggior parte dei siti, anche Facebook installa nel programma che si usa per navigare (browser) un “cookie”, un file in cui sono conservati dati utili per riconoscere l’utente alla sua visita successiva, senza dover chiedere ogni volta all’utente di identificarsi in qualche modo. I cookie sono anche usati per tracciare l’attività dell’utente, in modo da fornire servizi personalizzati o pubblicità consone ai suoi interessi, basate su ciò che guarda online. Facebook installa però cookie in tutti i browser che visitano una delle sue pagine su Facebook o su uno dei siti che usano il tasto “Mi piace” (sono ormai centinaia di milioni), anche se l’utente in questione non è iscritto al social network o in quel momento non ha fatto il login per farsi identificare da Facebook. Ciò che contesta la CNIL – e che aveva già contestato lo scorso anno un tribunale del Belgio – è dunque la raccolta di informazioni sulle attività degli utenti che non sono iscritti al suo social network. Agli utenti è comunque data la possibilità di non essere tracciati (“opt-out”), ma secondo la CNIL dovrebbe avvenire il contrario come stabilito dalle normative europee: agli utenti dovrebbe essere richiesto se vogliono o meno essere tracciati da subito, in modo che la loro scelta sia consapevole. Facebook, inoltre, conserverebbe gli indirizzi IP usati dagli utenti per creare il proprio account per troppo tempo.
Facebook ha risposto alle accuse della CNIL spiegando di ritenere tutte le sue misure in vigore per la tutela della privacy degli utenti adeguate alle normative francesi ed europee, spiegando comunque che la società collaborerà con la CNIL per risolvere i nuovi problemi. Una portavoce di Facebook ha detto a Le Monde che «La tutela della privacy è una priorità per Facebook» e che a Facebook «siamo sicuri che il nostro servizio è conforme alla normativa UE sulla protezione dei dati. Naturalmente, ci metteremo in contatto con la CNIL per discutere i punti sollevati».