Il social profiling è morto (per mano del GDPR): lunga vita al social profiling!

Nelle ultime settimane, tutti ci siamo ritrovati la casella di posta elettronica intasata di mail relative a cambi delle privacy policy di svariati servizi online, richieste di confermare i nostri dati personali, spesso accompagnate da titoli come “La tua privacy è importante per noi” (ma per davvero ??) ecc. Il “colpevole” di tutto ciò è l’entrata in vigore (il 25 maggio 2018) del nuovo regolamento UE sulla raccolta e gestione dei dati personali (formalmente General Data Protection Regulation  2016/679 o, in breve, GDPR, se non sapete di cosa si tratta date un occhio a questa ottimo sito). Tutto questo naturalmente esacerbato anche dall’affaire Cambridge Analytica, che ha spinto tutti a una sorta di “corsa alla privacy”.
Ora che l’onda è passata, è un buon momento per approfondire le reali conseguenze di tale regolamentazione. In particolare, ci concentriamo qui sul tema del ‘social profiling‘, vale a dire la pratica di profilare gli utenti in base alle loro attività sui social media. Spesso (purtroppo) senza che gli utenti ne siano a conoscenza oppure lo notino. E sebbene questa pratica sia sempre stata in una zona grigia dal punto di vista legale, molte aziende stanno continuando a farlo come se nulla fosse. Quando diciamo “zona grigia” intendiamo sia dal punto di vista delle normative (pre-GDPR) sulla privacy che da quella dei termini di utilizzo delle piattaforme di social networking.

Profilo del nostro AD, Daniele Miorandi, creato da Tapoi sulla base delle sue attività social.

 

Giusto per chiarire le cose attraverso un esempio: non è mai stato legale profilare una persona in base a quello che scrive su Twitter. Molte persone sono portate a pensare che, dato che i tweet sono accessibili a tutti, ci si possa fare quanto si vuole ma, in realtà, non è così. Dal punto di vista formale infatti quei dati, quei tweet, sono proprietà dell’utente che li ha scritti. Pubblicandoli su Twitter, l’utente fornisce a Twitter stesso (ma non a noi!) una “licenza mondiale, non esclusiva, priva di royalty (con diritto di sub-licenziare), di usare, copiare, riprodurre, trattare, adattare, modificare, pubblicare, trasmettere, visualizzare e distribuire tali Contenuti in qualsiasi tipo di supporto o sistemi di distribuzione ” (vedi i termini di servizio qui). Il fatto che chiunque possa leggere i miei tweet in pratica non dà ad essi alcun diritto ad usarli, tanto meno per profilarmi. Il GDPR ha soltanto chiarito che (almeno per i cittadini dell’UE), questa pratica non è consentita in assenza di un consenso esplicito da parte dell’utente.

Possiamo quindi dare per morta la pratica del social profiling?

In realtà no. E il social login è il grimaldello da usare per fare social profiling nel modo corretto.

Il social login è il processo attraverso il quale gli utenti possono iscriversi a un servizio online utilizzando il proprio account su una piattaforma di social networking (Facebook, Twitter, ma anche Google), senza la necessità di creare l’ennesima password. La piattaforma di social networking opera in questo caso da ‘notaio’,  certificando l’identità dell’utente al fornitore di servizi,  e andando quindi a sostituire le credenziali di accesso tradizionali. Questo processo porta benefici per entrambe le parti coinvolte. Dal punto di vista dell’utente, non c’è bisogno di ricordare ancora un’altra password. E opera anche come un modo pratico per controllare quali servizi hanno accesso ai propri dati, vedi la schermata sottostante attraverso la quale il nostro AD può controllare quali servizi abbiano accesso ai suoi dati personali via Facebook.

Dal punto di vista del fornitore di servizi, un beneficio ovvio è quello legato al risparmio dei costi (e del tempo) relativi alla gestione dell’identità digitale dei propri utenti. Ma c’è di più: il social login rappresenta un modo pratico per chiedere esplicitamente il consenso dell’utente ad accedere ai propri dati personali, aiutando così le aziende a rispettare il GDPR (con particolare riferimento agli Art. 12 e Art. 13 dello stesso). Ovviamente non è sufficiente chiedere agli utenti l’accesso ai loro post/like/etc. attraverso il processo di social login; per essere in regola con il GDPR è necessario:

  1. spiegare agli utenti quali dati si stanno raccogliendo, per quale scopo, e informarli sul potenziale trasferimento di tali dati verso paesi terzi;
  2. spiegare agli utenti per quanto tempo i dati verranno conservati, e ricordare i loro diritti in materia di accesso/modifica/cancellazione dei dati raccolti (compresa una descrizione della procedura per il ritiro del consenso, il cosiddetto ‘diritto all’oblio’);
  3. informarli di eventuali decisioni automatizzate effettuate in base ai loro dati personali o ad altre attività di profilazione;
  4. chiedere esplicitamente di fornire il consenso.

Dal punto di vista tecnico, è possibile utilizzare l’URL di reindirizzamento fornito dai provider di social login (qui un esempio per Facebook) per portare gli utenti su di una pagina web che contenga i dettagli di cui ai punti 1-3 sopra, e chiedere agli utenti di confermare esplicitamente il  consenso (punto 4). Mentre è sempre saggio rivolgersi al proprio dipartimento o consulente legale per assicurarsi che il tuo modulo di consenso informato e la politica sulla privacy siano conformi al GDPR (qui alcune ottime linee guida), il social login fornisce il meccanismo per implementare un processo di social profiling che rispetti il GDPR (e quindi eviti pesanti multe).

Se vuoi approfondire la tematica, capire come implementare social login e social profiling per il tuo servizio online, scrivici a info@u-hopper.com