Quando Facebook ci guarda anche se non siamo su Facebook

paolo fiore

Facebook ci guarda anche se non siamo iscritti a Facebook. Ad esempio quando navighiamo sui siti che hanno il tasto “Mi piace”. Adesso, però, una sentenza della Corte di giustizia dell'Unione europea potrebbe (almeno un po') cambiare le cose: ha riconosciuto i siti che adottano il pulsante con il pollice all'insù corresponsabili del trattamento dei dati. Salta così una piccola zona franca che aveva retto acquattandosi nelle pieghe del Gdpr.

Non sottovalutare un “Mi piace”

I plugin sono piccoli programmi che si attaccano ad altri software per aggiungere una nuova funzione. È il caso dei tasti azzurri “Mi piace” o “Condividi” che si trovano in centinaia di migliaia di siti: blog, piattaforme di e-commerce, giornali online. Ovunque. Bastano poche righe di codice per aprire una porta di servizio verso Menlo Park. Chi decide di inserirle lo fa per questioni di visibilità: con un solo clic gli utenti esprimono il loro gradimento e lo diffondono sul social network.

In cambio, Facebook raccoglie dati: indirizzo IP (cioè la “targa” del nostro dispositivo), quale browser e sistema operativo sta usando l'utente, l'indirizzo del sito visitato o l'app utilizzata. Tutte queste informazioni vengono spedite ogni volta che si atterra sul sito che ha installato il tasto “Mi piace”. Anche se l'utente non lo schiaccia, anche se il suo profilo social non è attivo in quel momento, anche se non è iscritto Facebook. Il gruppo guidato da Mark Zuckerberg ha più volte ripetuto che con i plugin raccoglie dati: non è un mistero. Il problema è che gli utenti non lo sanno e non vengono avvertiti come invece richiedono le norme europee sul trattamento dei dati entrate in vigore nel maggio 2018.

I siti sono “corresponsabili”

La sentenza arriva al termine di una causa mossa da Verbraucherzentrale NRW, un'associazione tedesca per la tutela dei consumatori, contro il sito di e-commerce Fashion ID. L'accusa: usare il tasto “Mi piace” di Facebook senza avvertire gli utenti sarebbe una violazione del Gdpr. Un tribunale tedesco ha rimandato il caso alla Corte di giustizia dell'Unione europea per dirimere la questione, che ha potenziali implicazioni su chiunque installi il plugin.

La questione centrale riguarda il ruolo dei siti che piazzano i tasti di Facebook: Fashion ID (come chiunque altro decida di farlo) è quello che il Gdpr definisce “controller”? È, in altre parole, responsabile del trattamento dei dati? Sì, secondo la Corte. Anche se i siti non raccolgono né gestiscono i dati (perché a farlo è solo Facebook), traggono vantaggio commerciale (le condivisioni social) da uno strumento (il plugin) che convoglia informazioni verso il social network.

È un po' come se i siti aprissero una “galleria” per il trasporto dei dati: Facebook li raccoglie e li lavoro, ma la Corte riconosce un pezzo di responsabilità anche a chi ha aperto il tunnel. Si tratta, però di una responsabilità “limitata” alla fase di raccolta, che non coinvolge il modo in cui i dati vengono gestiti (da Facebook). In altre parole: i siti che installano il tasto “Mi piace” devono segnalare che c'è una galleria, ma non sono tenuti a sapere quello che succede al suo interno o all'altro capo.

Cosa cambia adesso

L'associazione dei consumatori tedesca gioisce: “Le aziende che traggono profitto dai dati degli utenti devono ora assumersi le proprie responsabilità”, ha affermato in una nota. Per Facebook, che sta spingendo sulla privacy in quella che Zuckerberg ha definito il più grande cambiamento nella storia della compagnia, non è tempo di polemiche.

Jack Gilbert, membro del team legale di Menlo Park, ha definito la sentenza “benvenuta”, perché “fa chiarezza sui siti, sull'uso dei plugin e su altri strumenti simili”. “Stiamo esaminando attentamente la decisione della Corte e lavoreremo a stretto contatto con i nostri partner per garantire che possano continuare a beneficiare dei nostri plugin nel pieno rispetto della legge”.

Al di là dei toni concilianti, le parole di Gilbert dimostrano come il quadro sia in divenire. Non sono ancora chiare le conseguenze della sentenza, che riguarda centinaia di migliaia di siti, dal minuscolo blog a piattaforme di grandi dimensioni. Non si tratta, infatti, dei soli pulsanti di Facebook (che già sarebbe tanto) ma di qualsiasi plugin che trasmette dati di cittadini europei verso terze parti. Le strade sembrano due: rinunciare ai “Like” oppure ottenere l'autorizzazione esplicita degli utenti, come Gdpr vuole.