Quali sono i rischi per la privacy associati alla comunicazione tramite una Pagina su Facebook? E che tipo di responsabilità per il trattamento dei dati personali possiamo avere in qualità di titolare di una Pagina? Il Garante Privacy norvegese effettuato una valutazione dei rischi e una DPIA di Facebook, sulla base degli obblighi che derivano dalla normativa sulla protezione dei dati.
Scarica il report in PDF del Garante norvegese sulla valutazione dei rischi nell’uso di Facebook
Tutte le parti che trattano dati personali hanno il dovere di garantire il rispetto del Regolamento generale sulla protezione dei dati (GDPR). Gli obblighi imposti dal Regolamento si applicano quando un’organizzazione utilizza i social media, ad es. una Pagina su Facebook.
Per garantire che la privacy degli utenti registrati in una soluzione sia protetta, una valutazione dell’impatto sulla protezione dei dati (DPIA) è uno strumento importante. È questo strumento che ora è stato utilizzato dal Garante norvegese nella valutazione di Facebook e che ha portato a un rapporto.
Non utilizzerà Facebook nel proprio lavoro di comunicazione
– Il punto di partenza per la valutazione del Garante norvegese è stato l’uso di Facebook nelle sue attività di comunicazione e l’obiettivo era creare una Pagina Facebook. Lo scopo originale e principale del rapporto era di prendere una decisione informata. “Tuttavia, riteniamo che questa valutazione sarebbe di grande interesse anche per molte altre imprese”, afferma il direttore generale dell’Autorità per la protezione dei dati, Bjørn Erik Thon.
La conclusione è stata che il Garante per la protezione dei dati personali non dovrebbe utilizzare Facebook nelle sue attività di comunicazione. I rischi per i diritti e le libertà degli utenti associati al trattamento dei dati personali attraverso una Pagina su Facebook sono troppo elevati. L’Autorità per la protezione dei dati non sarebbe sufficientemente conforme all’articolo 26 sulla co-titolarità: l’accordo standard con Facebook è inadeguato.
“Riteniamo che coloro che hanno visitato la nostra Pagina Facebook abbiano l’aspettativa che abbiamo il controllo di ciò che accade se, ad esempio, fanno clic su “mi piace” sulla nostra Pagina, o che tipo di informazioni sono state registrate semplicemente visitando la nostra Pagina. Semplicemente non possiamo rispondere a questo”, dice Thon.
Valutazioni impegnative
“Per quanto ne sappiamo, siamo l’unica organizzazione ad effettuare una valutazione approfondita delle Pagine Facebook sulla base degli obblighi del GDPR. La valutazione è stata impegnativa e completa e ha portato a un’ampia gamma di considerazioni difficili che coinvolgono la tecnologia, la legge e l’etica. Riteniamo che molte organizzazioni trarrebbero vantaggio dall’avere un caso di studio DPIA”, afferma Bjørn Erik Thon, che sottolinea che le valutazioni si applicano solo all’uso di Facebook da parte dell’Autorità per la protezione dei dati. Si precisa che il Garante, in tale contesto, non si pronuncia sulla liceità generale delle organizzazioni che utilizzano le Pagine Facebook o i social media in generale nelle loro attività di comunicazione.
Il ruolo del Garante per la protezione dei dati in questa valutazione non è né quello di un’autorità di controllo né quello di un difensore civico, bensì quello di un titolare del trattamento, con gli obblighi che ne conseguono ai sensi del GDPR. Abbiamo basato la valutazione sulle linee guida dell’Autorità per la protezione dei dati e sulla lista di controllo per le valutazioni dei rischi e le valutazioni dell’impatto sulla protezione dei dati (in norvegese).
L’autorità norvegese per la protezione dei dati non ha coinvolto Facebook nella valutazione dei rischi. Questo perché non rischieremmo di mischiare i nostri ruoli di supervisori e responsabili del trattamento. La valutazione del rischio si basa quindi sulla stessa base della fonte e sugli stessi termini di tutte le altre società che utilizzano o stanno valutando di creare una pagina sulla piattaforma.
Responsabilità speciale per gli enti pubblici
“Il nostro approccio è solo un modo per affrontare questo problema. Tutte le valutazioni ei contributi in questo ambito sono ben accetti e la normativa di riferimento consente una notevole flessibilità in termini di metodo, esecuzione e risorse. Vogliamo costruire un discorso sull’uso dei social media da parte delle autorità pubbliche”, afferma Bjørn Erik Thon.
Utilizzando gli strumenti più diffusi disponibili, gratuitamente, dalle grandi aziende tecnologiche, le agenzie pubbliche invitano gli attori commerciali a raccogliere e utilizzare dati sui cittadini norvegesi. Allo stesso tempo, si crea un rapporto di dipendenza da cui può essere difficile liberarsi poiché ci sono pochi fornitori di servizi alternativi.
Scarica il report in PDF del Garante norvegese sulla valutazione dei rischi nell’uso di Facebook
