<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=150415092460129&amp;ev=PageView&amp;noscript=1">

Visione

Offerta

Scenari

Tecnologie di Frontiera

Ruoli

Tilt

Lo scandalo Facebook e Cambridge Analytica? Probabilmente non sarebbe successo se ci fossero state regole più severe come il GDPR

Lo scandalo Facebook e Cambridge Analytica? Probabilmente non sarebbe successo se ci fossero state regole più severe come il GDPR

La notizia ha sconquassato per qualche giorno i mercati finanziari legati ai titoli tecnologici, con le azioni di Facebook in picchiata e un danno di immagine che, indiscriminatamente, per tutti gli addetti ai lavori, continua a essere enorme. Ma la verità è che lo scandalo Cambridge Analytica, la società di profilazione che pare aver sfruttato in maniera indebita i dati di 50 milioni di iscritti alla piattaforma di Mark Zuckerberg (convocato a riferire sulla faccenda dal Congresso americano e dal governo britannico), non sembrerebbe aver destato, almeno in Italia, la giusta preoccupazione né tra gli utenti comuni né all'interno della comunità dei professionisti che fanno degli analytics uno strumento strategico di marketing. Il tema è, invece, estremamente delicato, perché si parla sia di privacy e riservatezza delle informazioni personali, sia di asset aziendali, patrimoni informativi sviluppati dalle imprese per le quali la conoscenza dei propri clienti, maturata attraverso anni di interazioni, costituisce e costituirà sempre di più un vantaggio competitivo cruciale. Il problema è che in entrambi i casi pare non ci sia sufficiente consapevolezza sull'importanza della data protection: capire cosa è successo può aiutare a fare luce su un incidente assai più grave di quanto sembri visto da questa porzione del mondo.

Il nodo del consenso

In alcuni casi è passato il messaggio che tutto sia dovuto a una falla nei sistemi di Facebook. Non è così. In realtà si è trattato di una cessione consenziente di dati, rispetto alla quale era stata predisposta anche un'informativa ad hoc per gli utenti. Peccato, però, che quei dati siano stati immagazzinati e passati a un soggetto terzo senza sottoporre di nuovo la questione al vaglio dei diretti interessati. Tra Facebook e Cambridge Analytica c'è, infatti, un terzo soggetto: Aleksandr Kogan, ricercatore dell'Università di Cambridge e sviluppatore dell'applicazione “thisisyourdigitallife”. Questa App permetteva di ricostruire i profili comportamentali delle persone in base alle attività svolte online. L'accesso alla piattaforma era garantito dal login di Facebook e non richiedeva, quindi, di dover impostare nuove credenziali. L'applicazione, gratuita, funzionava in cambio della disponibilità dell'utente a cedere informazioni personali già contenute nell'account del social network e quelle generate attraverso le interazioni con i contatti, rispettando le condizioni d'uso di Facebook dell’epoca (parliamo del 2014-2015). Condizioni d'uso in seguito modificate per diventare più restrittive proprio rispetto alla possibilità di trasmettere i dati relativi alle interazioni. Ma nel frattempo “thisisyourdigitallife” aveva raggranellato qualcosa come 270mila iscritti, coinvolgendo – secondo le stime dei quotidiani che hanno sollevato lo scandalo – 50 milioni di profili. Una mole incredibile di informazioni sensibili, con particolare riferimento a interessi, passioni, luoghi visitati, aggiornamenti di stato, che Kogan, violando le linee direttive di Facebook, ha poi ceduto a Cambridge Analytica, attività di consulenza e marketing online che pare averle utilizzate per sostenere la campagna elettorale di Donald Trump. Stando a quanto è emerso, la società di Zuckerberg era al corrente di questa infrazione, ma non è intervenuta subito come da disciplinare, sospendendo immediatamente l'accesso di Cambridge Analytica al proprio network. Ha tergiversato. E il risultato è ora sotto gli occhi di tutti.

Come cambia la tutela della privacy

La situazione è più complessa di quanto si possa immaginare e nasce, quindi, dall'incrocio di violazioni di codici di condotta e superficialità nella gestione del caso, oltre che da una normativa, quella americana, poco incisiva quando si tratta di privacy. Fosse stata più severa, come lo è per esempio l'impianto europeo, probabilmente l'intervento di Facebook sarebbe stato più tempestivo, se non immediato. Se il GDPR (General Data Protection Regulation, che diventerà esecutivo a partire dal prossimo 25 maggio) fosse stato introdotto prima del 2015, tutto questo non sarebbe nemmeno potuto accadere, almeno per quanto riguarda i cittadini dell'Unione Europea. Il nuovo regolamento istituisce, infatti, precise restrizioni, sanzioni e figure atte a verificare il rispetto della corretta conservazione e trattamento dei dati personali. Dati che in nessuno modo possono essere utilizzati e tantomeno ceduti senza l'esplicita autorizzazione del diretto interessato. Questo vale anche per le società extra UE, Facebook e Cambridge Analytica incluse.

Trasformare la data protection in cultura aziendale

L'incidente fa ben capire quanto sia importante l'introduzione di una normativa come il GDPR, anche a fronte di un regime comunque più restrittivo già previsto per le organizzazioni statunitensi che trattano i dati personali di cittadini residenti nell’UE. Il cosiddetto “Privacy Shield”, infatti, impone sin dalla sua entrata in vigore, nel luglio del 2016, una maggior tutela dei diritti individuali (privacy) nel trasferimento di dati personali da società, organizzazioni o enti dell’Unione a organizzazioni residenti negli USA. Lungi dall'essere un semplice corpus di vincoli per rispettare i quali è necessario rivedere controvoglia processi, tecnologie e fornitori in modo che siano compliant, il GDPR rappresenta l'occasione per trasformare la data protection in cultura aziendale, intesa sia come rispetto della riservatezza dei propri clienti, sia come presidio di uno degli asset più importanti dell'organizzazione: la conoscenza.

 

New Call-to-action

Topics: GDPR

Iscriviti al Blog