Google, Facebook e la privacy: un rapporto impossibile?

di Marco Maglio

Nei giorni della quotazione in borsa di Facebook, vale la pena riflettere sul rapporto, apparentemente conflittuale, che esiste tra gli strumenti del web 2.0 e le norme a tutela dei dati personali. Questo conterà sempre di più nel futuro e un' impresa che voglia creare valore dovrà confrontarsi anche con la sua capacità di gestire questi aspetti in modo affidabile. E se vogliamo analizzare questo tema i punti di riferimento oggi sono essenzialmente due: da una parte Google con la sua capacità di catalogare, archiviare, ritrovare documenti e fotografie, annullando il diritto all’oblio delle persone. Dall’altra Facebook con la sua spinta a condividere opinioni e pezzi di vita. Tra questi due poli si muove la vita di molti e la privacy è sempre più sfumata.

Il catalogo universale

Se Google riporta, tra i primi risultati di ricerca collegati ad un nome, i riferimenti ad un articolo di molti anni prima in cui si raccontano le disavventure giudiziarie di questa persona, la quale poi risulterà invece assolta e dichiarata estranea ai fatti, si sta indubbiamente creando un danno potenziale a carico di questo individuo Si sta violando in particolare quello che si chiama diritto all’oblio, cioè il diritto a veder dimenticati fatti e situazioni della vita che non si desidera vengano ricordati. E questo è un problema che ha a che fare con la privacy, il diritto ad essere lasciati soli, liberi dall’invadenza del prossimo.

La smania per la condivisione

Se poi Facebook, permette a perfetti estranei di entrare in contatto e di accedere ad informazioni private, vedendo i commenti, leggendo gli aggiornamenti, commentando le fotografie personali, i rischi per la privacy aumentano. Condividere è il verbo essenziale per i social network ed è il concetto che più di ogni altro è la negazione della privacy che consiste appunto nell’evitare che ciò che riguarda un individuo possa essere conosciuto dagli altri.

Può sembrare paradossale che, in tempi di social media, di motori di ricerca e di web generation ci si debba porre il problema di limitare la diffusione incontrollata delle informazioni ed il loro utilizzo abusivo. Ma questa è diventata una necessità se vogliamo prevenire abusi e rischi profondi per la libertà individuale.

I rischi

Eppure i rischi sono abbastanza semplici da cogliere: la foto di una vecchia bravata adolescenziale che spunta fuori dopo parecchi anni. Qualche commento poco opportuno scritto ai tempi del liceo che, a distanza di tempo, finisce sotto gli occhi del nostro datore di lavoro. Un video non molto lusinghiero che torna a galla dal Web dopo essere stato dimenticato. Basta pensare a questi esempi per capire per quale motivo il dibattito sui rischi per la privacy legati all'utilizzo dei social network è aperto da tempo.

I rimedi

Come fare, allora, per utilizzare questi strumenti riuscendo ad evitare pericoli e spiacevoli conseguenze? Non è facile ma occorre rispettare alcune cautele ed essere in un certo senso “Garanti di se stessi”. Per chi vuole approfondire questo tema può essere utile consultare un opuscolo pubblicato dal Garante per la protezione dei dati personali. Le cautele sono facili da applicare: basta porsi poche domande prima di condividere qualcosa in Rete. Uno: se sapessi che il vicino di casa o il tuo professore potrebbero leggere quello che hai inserito on line, scriveresti le stesse cose e nella stessa forma? Due: sei sicuro che le foto e le informazioni che pubblichi ti piaceranno anche tra qualche anno? Tre: prima di caricare/postare la "foto ridicola" di un amico, ti sei chiesto se a te farebbe piacere trovarti nella stessa situazione? Quattro: i membri dei gruppi ai quali sei iscritto possono leggere le tue informazioni personali? Cinque: sei sicuro che mostreresti "quella" foto anche al tuo nuovo ragazzo/a? In fondo, bastano pochi accorgimenti per evitare guai. Sempre meglio che un cambio di identità.

E per il diritto all’oblio? Bisogna essere consapevoli che registrare ogni cosa e renderla disponibile per tutti in qualunque momento è proprio la missione di Google. Ma occorre anche sapere che esistono strumenti legali per esercitare il diritto di chiedere che notizie e fatti ormai lontani vengano dimenticati se non esiste un diritto di cronaca che ne giustifichi la pubblicazione.

In definitiva gli strumenti per proteggersi esistono. Basta essere cauti e consapevoli. E pensare sempre alle conseguenze di quello che si fa.

Il Registro delle opposizioni, il Titolare del trattamento e l'Apprendista stregone

Fornire una lista non significa decidere per quale finalità utilizzarla

di Marco Maglio

L'Apprendista Stregone 

Da quando è stato introdotto il registro delle opposizioni chi intende effettuare campagne di telemarketing utilizzando numeri di telefono estratti dall' elenco telefonico (il cosiddetto DBU) sa che le cose da fare sono essenzialmente queste:

1. procurarsi la licenza d'uso di un DBU aggiornato ed estrarre la questo data base la lista che si vuole utilizzare
2. iscriversi come operatore al registro delle opposizioni
3. inviare al gestore del registro la lista che si vuole utilizzare
4. farsi restituire la lista depurata dei numeri di telefono iscritti nel registro delle opposizioni
5. usare la lista così ottenuta entro 15 giorni decorsi i quali la lista va distrutta-

Sembra tutto semplice e lineare ma non è proprio così.

Osservando quello che è successo in questo primo periodo di esistenza del registro (che è diventato operativo il 31 gennaio 2011) si sono registrati diverse problematiche che hanno contribuito a far prevalere una valutazione di un certo scetticismo rispetto all'efficacia reale di questo strumento.

Moltissime sono le segnalazioni al Garante per la protezione dei dati personali che evidenziano quanto sia poco rispettata la nuova normativa e come in realtà chi si iscrive in questo registro non veda rispettata totalmente la sua volontà di non ricevere chiamate di disturbo.

Molti si sono già cimentati con questa analisi per valutare quali siano i limiti strutturali di queste forme di regolamentazione delle chiamate non sollecitate e perchè sia così evidente la delusione dei consumatori che continuano a ricevere telefonate indesiderate.

La previsione che è facile formulare, guardando alla bozza di regolamento sulla data prtoection che la Commisssione Europea ha approvato il 25 gennaio 2012 e che ora è all'esame del Parlamento Europeo, è che il registro delle opposizioni non avrà vita facile nel futuro e che nelle norme di nuova generazione non ci sarà spazio per forme di utilizzo di dati personali a fini promozionali che non siano accompagnati dal consenso espresso degli interessati.

Ma a parte queste previsioni che comunque vanno fatte anche per definire le realistiche prospettive di sviluppo del telemarketing nel nostro Paese, vorrei qui porre all'attenzione generale una questione che riguarda la stretta attualità ed in particolare il modo corretto di usare il registro delle opposizioni.

Mi riferisco alla prassi che alcune società hanno adottato per evitare di essere parte direttamente coinvolta nell'uso del registro delle opposizioni. In pratica accade che alcuni soggetti (i cosiddetti list brokers) che legittimamente detengono il DBU per commercializzarlo a favore di aziende che lo vogliono utilizzare, preferiscono qualificarsi come operatori iscrivendosi al registro delle opposizioni, evitando di comunicare a terzi la loro lista ma limitandosi ad usarla, dopo il matching con il registro, nell'interesse di n terzo agendo come titolare del trattamento nella gestione delle telefonate commerciali fatte per promuovere la vendita di prodotti e servizi di un terzo committente.

In pratica questi soggetti si qualificano come titolari del trattamento ed effettuano le telefonate nell'interesse del loro cliente che risulta il mero committente dell'attività. Nella telefonata questi fornitori di lista dovrebbero quindi qualificarsi come titolari e dire esplicitamente all'interlocutore che sono loro (e non l'impresa cui si riferisce l'offerta) coloro che effettuano la chiamata, magari avvalendosi di un call center, nominato responsabile del trattamento.

Indubbiamente questa soluzione ha il pregio di evitare la comunicazione della lista ad un terzo e facilita l'esercizio dei diritti di opposizione agli interessati, ponendo fine al fenomeno della moltiplicazione delle liste che avviene ogni volta che una lista viene creata e venduta ad un terzo che la utilizza per proprio conto.

Inoltre questa soluzione è solitamente valutata positivamente dal committente di una campagna di telemarketing perchè in questo modo può evitare di gestire direttamente il rapporto con il gestore del registro delle opposizioni delegando tutta questa attività al soggetto che detiene il DBU.

Tuttavia c'è un limite che non va superato e riguarda la qualifica di Titolare del trattamento che non può essere attribuita formalmente ad un soggetto che in realtà non riveste realmente questo ruolo.

Il titolare del trattamento, che è il soggetto che stabilisce le finalità di utilizzo dei dati personali, deve essere effettivamente il soggetto che riveste questo ruolo. Va evitato ogni meccanismo per il quale il titolare ha solo un ruolo formale mentre il soggetto che ha definito le finalità per le quali effettuare una campagna di telemarketing è un altro.

Lo ha chiarito in più occasioni lo stesso Garante per la protezione dei dati personali, ribadendo sempre che i ruoli nel trattamento devono essere frutto di una ricostruzione coerente di funzioni e di azioni nella gestione dei dati stessi, bandendo ogni attribuzioni di ruoli di comodo o non coerente con la realtà.

Basterebbe ad esempio rileggere il provvedimento del Garante del 15 giugno 2011 per rendersi conto che dichiarare di essere titolari del trattamento non è una cosa banale e comporta rilevanti conseguenze.

In particolare il Garante ricorda che gli artt. 4, comma 1, lett. f) e 28 del Codice definiscono, rispettivamente, il titolare come il soggetto "cui competono … le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati" e che esercita "un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza", deve essere, allora, ribadito che le agenzie in outsourcing che effettuano il trattamento di dati personali nei termini indicati nel presente provvedimento non possono essere considerate quali titolari autonomi, dal momento che all'asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l'esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:

- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;

- impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;

- svolgere funzioni di controllo rispetto all'operato degli outsourcer medesimi.

In pratica se si vuole che un fornitore di una lista che si vuole usare per una compagna di telemarketing si qualifichi come titolare del trattamento occorre affidargli in piena autonomia la gestione di tutta la campagna e sostanzialmente disinteressarsi del modo in cui questo soggetto userà i dati.

Non basta quindi verificare che il fornitore della lista usi uno script con il quale si presenti alle persone che contatta come titolare del trattamento, ma si deve verificare che effettivamente il fornitore della lista gestisca in piena autonomia la campagna.

Non mi sembra francamente verosimile che un committente si disinteressi rispetto a questi elementi e che non voglia, come invece succede nella realtà dei fatti, indicare come effettuare la chiamata, definendone i contenuti e le modalità di esecuzione.

Peraltro poi in questo caso va anche gestita correttamente la successiva comunicazione all'azienda cui si riferisce l'offerta di dati di coloro che rispondono positivamente alla campagna e aderiscono alla proposta ricevuta al telefono da parte del titolare.

Trovo che tutte queste valutazioni portino a ritenere che la prassi diffusa tra i list brokers di qualificarsi come titolari del trattamento, nell'esecuzione delle campagne di telemarketing basate sul registro delle opposizioni siano poco coerenti con le regole generali che definiscono la titolarità del trattamento. Fornire una lista non significa decidere per quale finalità verrà utilizzata.

Ritengo che sia invece coerente con il sistema, che peraltro discutibilmente, è stato introdotto con il registro delle opposizioni una soluzione diversa che attribuisca correttamente ad ogni soggetto il suo ruolo effettivo: al fornitore della lista va attribuito il ruolo di che gli compete come fonte dei dati mentre il titolare del trattamento deve essere il soggetto cui si riferisce l'offerta oggetto della campagna di telemarketing. Semmai il fornitore della lista, se vuole gestire l'attività di verifica della lista presso il registro delle opposizioni per conto del titolare, potrebbe ben farlo assumendo il ruolo di responsabile del trattamento nominato a tal fine dal suo committente.

Sarebbe davvero auspicabile che cessi questa strana recita a soggetto per cui un fornitore di liste si ritrova a rivestire gli improbabili panni di titolare di un trattamento che non rientra minimamente né tra le sue competenze né tanto meno tra le attività previste dal suo oggetto sociale. Prima che debba essere l'Autorità a richiamare ognuno a recitare la parte che gli spetta nel trattamento dei dati personali, sarebbe quindi opportuno che si ponesse fine all'utilizzo di queste formule che sembrano francamente alchimie poco verificate, messe in atto senza considerare gli effetti finali che possono produrre. Tutto questo mi ricorda la vecchia storia dell'Apprendista Stregone che era convinto di aver appreso la formula magica per evitare ogni fatica e disturbo, e si ritrovò invece a constatare che quello che aveva realizzato non era affatto una magia ma solo un disastro.


E la morale della favola, alla fine, è semplice: ognuno deve fare il suo mestiere.


Chi fornisce le liste deve essere un bravo list broker, senza assumere ruoli che non gli competono. E chi vuole usare queste liste deve farsi carico di gestire bene le campagne di marketing, assumendo la titolarità del trattamento dei dati e  tenere direttamente il rapporto con i potenziali consumatori. Anche perchè parlare - senza mediazioni - ai prospect per trasformarli in clienti è l'essenza del marketing diretto.