LA TRUFFA TRAMITE “PHISHING”: COME RICONOSCERLA E COME REAGIRE.

Il phishing.

 

Il c.d. “phishing” è un particolare tipo di truffa in cui il truffatore finge di essere un interlocutore affidabile (spesso una banca o un istituto finanziario) per farsi consegnare dati sensibili, finanziari o password. Solitamente essa avviene attraverso comunicazioni email, ma possono anche essere sfruttati post sui social media, banner pubblicitari, sms, messaggi whatsapp o telefonate.

Il meccanismo su cui si basa questo tipo di truffa è però sempre lo stesso:

 

  • la vittima si trova davanti a comunicazioni che – a prima vista – sembrano provenire da un soggetto conosciuto, fidato o comunque affidabile;
  • spesso, tale soggetto finge una situazione di emergenza (ad esempio: “il tuo account sta per essere chiuso” o “il tuo conto bancario è oggetto di un attacco informatico”);
  • viene richiesto alla vittima di rivelare dati che verranno poi utilizzati a suo danno.

 

Come riconoscerlo.

 

Nel mondo moderno riceviamo ogni giorno tantissime comunicazioni. Tra esse, possono nascondersi dei tentativi di truffa. Come possiamo riconoscerli?

Innanzitutto, sviluppando un po’ di sana diffidenza. Allo stesso modo in cui non ci fideremmo di un soggetto che, fermatici per strada, si presentasse come il direttore della nostra banca e ci chiedesse una firma su un documento bancario – dobbiamo imparare a dubitare di comunicazioni NON RICHIESTE da parte di enti che ci invitano a fornire password o dati sensibili (in particolare se finanziari).

Ogni qualvolta si ricevono comunicazioni di questo tipo, è importante fare attenzione ai particolari. E’ bene allertarsi in presenza di alcuni indicatori di rischio, ad esempio:

 

  • la comunicazione contiene degli errori grammaticali o ortografici;

 

  • la grafica è diversa da quella che solitamente contraddistingue le comunicazioni di quell’ente;

 

  • l’indirizzo del mittente (controlliamolo sempre!) non è riconoscibile o non è quello tipico dell’ente (ad esempio, contiene errori o formulazioni diverse da quelle originali).

 

In ogni caso, non clicchiamo su link o non apriamo allegati alle mail in presenza di elementi di sospetto e, più in generale, non forniamo mai nostri dati se la richiesta non deriva da una comunicazione che abbiamo stimolato noi. In caso di dubbio, possiamo sempre chiamare l’ente e controllare che sia stato proprio lui a contattarci.

 

Come reagire.

 

Nel caso fossimo caduti vittima di phishing, rechiamoci subito dalle forze di polizia o in uno studio legale specializzato che sappia assisterci nella predisposizione della querela e, nel caso ci fossero stati rubati dei soldi, nella richiesta di risarcimento. Ricordiamoci che questo tipo di truffa coinvolge sovente di due aspetti, tra loro strettamente correlati.

Il primo, di carattere penale, attiene al reato commesso nei nostri confronti e riguardo al quale si deve presentare denuncia-querela alla Procura della Repubblica.

Il secondo, di carattere civile, attiene invece ai danni patrimoniali da noi subiti. Questo aspetto spesso coinvolge una richiesta di risarcimento all’ente finanziario e si basa sostanzialmente sull’assenza di gravi colpe da parte della vittima. E’ quindi importante mettere in atto tutti gli accorgimenti che sono stati esposti sopra, al fine di non agire incautamente.

Ad ogni modo, ricordiamoci sempre che in caso di truffa è bene muoversi velocemente, al fine di mitigarne le conseguenze dannose.

 

 

nicolo' bussolati  Autore Avv. Nicolò Bussolati

Marketing e Comunicazione: come rispettare la privacy?

Il nuovo evento in diretta Facebook tratterà il mondo del marketing e della comunicazione.
Parleremo del marketing e la compliance al GDPR: principi giuridici, casi pratici, i punti di contatto trai due ambiti e le sanzioni.

 

Un confronto al quale potrete partecipare con domande via chat.

Mercoledì 18 novembre 2020 alle ore 18.00 in diretta sulla pagina Facebook di Lexchance

Introduzione ai lavori il presidente di CDVM Antonio De Carolis.

Relatori del webinar:

In collaborazione con Fweb Group.

Condividi sui social!

 

marketing e comunicazione

Il caso “Booking.com” approda davanti alla Corte Suprema degli Stati Uniti.

Con la sentenza n. 19-46 del 30 Giugno 2020 la Corte Suprema degli Stati Uniti ha risolto il caso che vedeva coinvolto il colosso olandese “Booking.com” e l’ufficio marchi e brevetti statunitense (United States Patent and Trademark Office, di seguito USPTO), decidendo nel senso di consentire all’azienda la registrazione del marchio negli Usa.

 

La disciplina giuridica: il “Lanham Act” ed il requisito del “secondary meaning

 

La disciplina statunitense in merito al deposito di marchi e brevetti è contenuta nel “Lanham Act”, denominato anche “Trademark Act”, emanato nel 1946, in particolare nel Titolo 15, capitolo 22 §§1051-1127.
La legge federale prevede l’istituzione di due registri, un Principal Register e un Supplemental Register.
Nel primo sono registrati tutti i marchi dotati di forte carattere distintivo (a loro volta suddivisibili nelle tre categorie di marchi suggestivi, arbitrari e fantasiosi), cioè quelli di cui i consumatori possono individuare la fonte di provenienza di prodotti e servizi e distinguerli da quelli di altre aziende; tale categoria di marchio gode della massima tutela.
Nel secondo, l’USPTO colloca quei marchi meramente descrittivi, che, pertanto, sono dotati di una minore protezione, ma suscettibili di essere iscritti nel Principal Register nel momento in cui acquisiscano un “secondary meaning”.
All’ultimo posto nella scala di valutazione prevista dalla normativa citata, sono poi collocati i marchi generici che, in quanto tali, sono considerati non registrabili.
Con riferimento ai marchi descrittivi, risulta, pertanto, essenziale stabilire di volta in volta se ad essi possa essere ascritto o meno un secondary meaning.
Con questo termine si intende, secondo la Suprema Corte, che il marchio deve possedere un significato per i consumatori, i quali nell’immediato devono identificare i servizi ed i beni che quell’impresa offre e produce.

 

“Booking.com”: marchio generico o descrittivo?

 

Tenendo a mente la disciplina sopra riepilogata, la questione sottoposta alla Suprema Corte è nata dal rifiuto da parte dell’USPTO di registrare il marchio “Booking.com”, considerato dall’ufficio un marchio meramente generico, che non consente ai consumatori di aver chiaro che i servizi offerti provengano effettivamente da quell’impresa, anche se accompagnato dal top-level domain “.com”.
Rigettando l’interpretazione proposta dall’USPTO, invece, la Corte Suprema ha stabilito che il marchio in questione è da considerarsi descrittivo e dotato del requisito del secondary meaning, necessario per ottenere la registrazione nel Principal Register (l’unica dissenting opinion è stata quella del giudice Breyer, che ha invece sostenuto la tesi del ricorrente USPTO).
Con riferimento a Booking.com, la Corte Suprema ha, pertanto, affermato che non sussiste alcun dubbio che un consumatore, data la notorietà del marchio in questione, sia in grado di individuare che i servizi sono offerti dall’azienda olandese e difficilmente accadrà che questo termine venga inteso in modo generico, disorientando il pubblico che ricerca quei beni e servizi.
In particolare, la Suprema Corte ha precisato che i marchi composti da due o più termini, come nel caso di Booking.com, debbano essere analizzati nel loro complesso, essendo fondamentale la forza di significato che il termine composto ha presso il pubblico.
Muovendo da tale presupposto interpretativo, la Corte ha chiarito che il nome “Booking.com”, accompagnato quindi dal dominio, rende il marchio unico e conferisce ad esso una sufficiente distinzione rispetto ad altri, in quanto rimanda ad un preciso sito web che offre servizi differenziabili da quelli di altre imprese.
La decisione della Corte Suprema si colloca, peraltro, nella stessa direzione di quanto stabilito dall’Ufficio dell’Unione Europea per la proprietà intellettuale (EUIPO), il quale, in occasione della richiesta di deposito del marchio della medesima azienda, aveva concluso, in applicazione dell’articolo 4 del Regolamento sul marchio dell’Unione Europea all’epoca vigente, che il marchio in commento è sufficientemente noto e non crea confusione rispetto alla fonte dei servizi.

 

Conclusioni

 

Confermando l’orientamento europeo, anche negli Stati Uniti si afferma che per la registrazione di un marchio sono certamente necessari gli elementi che la legge richiede, primo tra tutti un forte valore distintivo, ma non meno importante è la riconoscibilità dello stesso presso i consumatori.

 

Autrice Luna Ambrosino

 

Autrice Giulia Ponte

Il Contact Tracing

Il Presidente del Garante italiano per la protezione dei dati personali, Antonello Soro, nel corso di un’intervista informale dello scorso 8 aprile in merito all’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica del Coronavirus, ha espresso innanzitutto la necessità che lo scopo principale di tali strumenti sia il perseguimento della componente solidaristica del diritto alla salute quale interesse collettivo e non già repressivo.
Uno degli strumenti di cui si discute molto negli ultimi tempi è il cd contact tracing, ovvero la mappatura a ritroso dei contatti tenuti, nel periodo di incubazione, da soggetti risultati contagiati; nello specifico, si tratta di un sistema di tracciamento delle persone che potrebbero essere venute a contatto con una persona infetta, con lo scopo di interrompere la catena del contagio.
Il concetto si discosta dalla più invasiva geolocalizzazione che, anche la Commissione Europea ha espressamente dichiarato di voler evitare, in quanto i dati sulla posizione dei cittadini non sono necessari rispetto allo scopo perseguito e risulterebbero, pertanto, superflui rispetto all’esigenza principale di tracciamento del contagio, nonché in contrasto con i principi di necessità e minimizzazione sanciti dal GDPR.

 

L’APP IMMUNI

Tale raccolta di dati dovrebbe dunque avvenire attraverso un’app per smartphone (strumento già utilizzato in alcuni stati dell’Asia) la quale, sfruttando la tecnologia Bluetooth, sarebbe in grado di tracciare, in modo pseudonimizzato, gli spostamenti delle persone.
Il Governo italiano sta valutando l’app IMMUNI la quale, tracciando la vicinanza e non la posizione tramite, appunto, la connessione Bluetooth, registrerebbe se due persone (entrambe con l’app e il Bluetooth attivato) sono state abbastanza vicine tra loro per essere a rischio contagio.
Al momento, non vi sono ancora documenti ufficiali da parte del Governo sull’adozione di tale app ma pare che le funzionalità di IMMUNI siano rispondenti ai requisiti indicati a livello europeo ovvero: gratuità, volontarietà, raccolta di informazioni su un “diario clinico” in locale, utilizzo del Bluetooth, trasmissione cifrata dei dati ad un server, registrazione dei contatti sullo smartphone.
Dal punto di vista dell’impatto sulla privacy, sottolinea ancora Soro, “l’Autorità partecipa ai lavori della Commissione, in una posizione del tutto distinta da quella degli esperti di nomina ministeriale, per esprimere le esigenze di protezione dati sin dalla fase di scelta della soluzione da adottare; abbiamo in particolare indicato come preferibili le misure basate sulla volontaria adesione del singolo, sulla conservazione “in locale” del diario dei contatti, sui dati Bluetooth (pseudonimizzati), in quanto maggiormente selettivi e, dunque, di minore impatto sulla privacy” (intervista 8 aprile 2020).
Uno degli aspetti di maggior interesse concerne la volontarietà o meno dell’installazione della predetta app da parte degli utilizzatori sul telefono cellulare.
In merito, sia il Garante italiano sia l’EDPB (Comitato Europeo per la protezione dei dati) propendono per la non obbligatorietà auspicando, invece, la libera scelta delle persone in merito all’installazione o alla disinstallazione dell’app stessa (comunicato stampa 15.04.2020 EDPB).
Tale libera scelta determina delle inevitabili conseguenze dal punto di vista dell’efficacia dello strumento: infatti, può esserne garantita la massima efficacia solo se utilizzato dalla quota più ampia possibile della popolazione, in uno sforzo collettivo di contrasto del virus.
Al contrario, il minore utilizzo dell’app determina lo scarso impatto in tema di contenimento del contagio e di tutela della salute pubblica e, conseguentemente, il mancato raggiungimento dello scopo cui mira l’utilizzo della sopra descritta tecnologia che risulterebbe, pertanto, sproporzionata e non giustificherebbe l’utilizzo e la raccolta di dati personalissimi.
Rimangono, pertanto, molti aspetti che dovranno essere chiariti e sviscerati nel caso di adozione di un’app anti-covid: ad esempio occorrerà chiarire i ruoli (titolare, responsabile), chi avrà accesso ai dati, il periodo di conservazione degli stessi, oltre che garantire il diritto di accesso, di modifica, di aggiornamento e di oblio agli interessati.

 

LE LIMITAZIONI ALLA TUTELA DEL DATO PERSONALE

Un’ultima riflessione, che prende le mosse dai diritti sopra elencati, concerne la clausola prevista dal Considerando 73 del Regolamento, che stabilisce una espressa riserva in favore del diritto dell’Unione Europea o degli Stai membri “di imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati […], ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, […] incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica […]”.
La portata di tale norma, di natura eccezionale, non deve però comportare un totale sacrificio della protezione e tutela dei dati personali riconosciuti dal GDPR; ciò anche in forza dei principi che costituiscono il cardine di una società democratica.
Sul punto, il Prof. Pizzetti, nella conferenza del 21 aprile 2020 organizzata da “Club AFGE” ha ribadito che il diritto alla tutela dei dati personali, quale diritto fondamentale, nell’attuale momento storico, può essere bilanciato con altri diritti fondamentali (in deroga al GDPR e alla direttiva E-privacy), purché tale limitazione sia prevista da norme di rango primario e proporzionata rispetto all’emergenza in corso.
In altre parole, si deve trattare di una compressione del diritto alla tutela del dato personale e non di una soppressione.

CONCLUSIONI

In conclusione, tenendo presente che la tecnologia non sarà mai in grado di sostituire le scoperte scientifiche e gli effetti delle stesse sulla pandemia in corso, ciò che appare imprescindibile nello studio dell’utilizzo e dello sviluppo delle nuove tecnologie è il contemperamento tra tutela della salute, sicurezza pubblica e privacy.
Tali diritti fondamentali, devono essere garantiti e tutelati nei confronti dei cittadini, in maniera il più possibile uniforme a livello europeo, anche in una situazione di emergenza come quella attuale.

 

 

elena ferraris Autrice Avv. Elena Ferraris

 

ODV e DPO: possibile unione o necessaria separazione?

Premessa

L’entrata in vigore del regolamento in materia di protezione dei dati personali ha introdotto la nuova figura professionale del DPO, il quale è tenuto a vigilare sulla osservanza del Regolamento (ex art. 39 GDPR).

In passato, coloro che avevano già provveduto all’adeguamento in materia di responsabilità degli enti, ex. D.lgs. 231/2001, avevano avuto modo di approcciare con la figura dell’organismo di Vigilanza, previsto dall’art. 6.

Oggi, evidentemente, la domanda è se queste due figure possano concentrarsi in uno stesso organismo o in una sola persona e/o quali possano essere le modalità di collaborazione e cooperazione tra loro; problemi di non poco conto sorgono, in particolare, in relazione ai requisiti richiesti in capo tanto all’Organismo di Vigilanza, quanto al DPO.

Ad oggi, anche in virtù del breve lasso temporale intercorso tra l’entrata in vigore della normativa ultima di riferimento, si staglia prepotentemente l’assenza di pronunce giurisprudenziali e l’assordante silenzio dell’Autorità Garante in merito alla relazione che intercorre tra la figura del DPO e quella dell’organismo di vigilanza.

 

L’Organismo di Vigilanza (OdV)

L’Organismo di Vigilanza, meglio noto come OdV, è disciplinato dall’art. 6 del d.lgs. 231/2001 come quell’organismo preposto al controllo relativo all’adeguatezza ed alla efficace attuazione dei Modelli di Organizzazione e Gestione adottati dagli Enti (Modelli idonei a prevenire, laddove efficacemente attuati, la commissione dei reati presupposto e, conseguentemente, evitare il rischio di condanne in capo all’Ente stesso).

Tale articolo, tuttavia, non ne descrive i requisiti ad eccezione di quello dell’autonomia.

E’ stata, quindi, la prassi a dettare e consolidare i requisiti propri di tale Organismo. Requisiti poi recepiti anche dalle linee guida di categoria: autonomia; indipendenza; professionalità ed onorabilità.

L’art. 6 del decreto prevede che l’OdV sia dotato di poteri di iniziativa e controllo: ciò, evidentemente, impone che questo si collochi in una posizione tale per cui si abbia la garanzia di ogni forma di dipendenza o condizionamento gerarchico.

L’indipendenza, evidentemente, garantisce l’assenza di conflitti di interessi. Ciò implica che deve essere evitato qualsivoglia legame che possa minare la terzietà del controllore rispetto all’oggetto del controllo.

Quanto alla professionalità, è inevitabile che il ruolo richieda competenze nelle tecniche ispettive e di audit, unitamente ad una preparazione giuridica, in particolare penalistica-criminologica.

Nulla quaestio circa il requisito dell’onorabilità.

Con riferimento ai compiti dell’Organismo di Vigilanza, va ricordato, invece, che l’organismo di vigilanza è preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo (art. 6 del Decreto Legislativo 231/2001) e, come per il DPO, deve “essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento, come previsto dall’art. 6, lettera b)” in quanto “deve essere dotato di autonomi poteri di iniziativa e controllo” e “deve sempre essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento” (Sezioni Unite Penali, con sentenza n.38343 del 18 settembre 2014).

 

 

Il Data Protection Officer (DPO)

 

Il DPO, lungi dal rivestire un ruolo puramente formale, è tenuto a possedere una serie di “conoscenze specialistiche” in materia di trattamento dei dati personali, deve aver acquisito dei titoli attestanti la propria formazione in tale materia ed inoltre è bene che possa vantare una certa esperienza in tale campo.

In altre parole il DPO deve essere un buon manager, si potrebbe definire “il manager del trattamento dei dati personali”, in quanto profondo conoscitore della realtà aziendale; partendo infatti dalla struttura organizzativa dell’azienda e dall’organigramma, è tenuto a dare consigli e informazioni dal punto di vista del corretto trattamento dei dati personali.

Il DPO può essere un dipendente dell’azienda (interno) o un libero professionista o una persona giuridica (esterno) ma è fondamentale che venga coinvolto in tutte le scelte che hanno a che fare con l’azienda nella materia di sua competenza; deve avere ampia autonomia e indipendenza rispetto ai vertici dell’azienda, non ricevere istruzioni sui suoi compiti (art. 36) ma coadiuvare il titolare sotto tutti gli aspetti relativi all’osservanza del Regolamento, ad esempio valutando la necessità dello svolgimento di una valutazione d’impatto e fornendo, se richiesto, un parere (ex art 35 GDPR) oppure fungendo da punto di contatto per l’autorità di controllo per questioni connesse al trattamento dei dati, tra cui la consultazione preventiva di cui all’articolo 36.

In base all’art. 39, comma 2, il DPO deve poi -nell’esecuzione dei suoi compiti- considerare “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Ciò che si richiede al DPO sono, in sostanza, valutazioni specifiche e concrete effettuate per ciascuna realtà di trattamento sotto il profilo dei maggiori o minori rischi in termini di protezione dei dati.

Le figure interne ipoteticamente preordinate a ricoprire tale incarico potrebbero essere un funzionario di alta professionalità o un dirigente, in quanto, è bene ricordare, il DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Del suo operato riferisce al CDA, all’amministratore unico o ai massimi vertici.

Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).

Nella scelta del DPO occorre tener conto dei titoli acquisiti, dell’esperienza maturata sul campo, delle capacità di negoziazione.

 

Conclusioni

Terminata tale premessa, in assenza di uno specifico divieto normativo e alla luce della possibilità per il DPO di svolgere altri compiti e funzioni, ci si chiede se quest’ultimo possa ricoprire anche l’incarico di organismo di vigilanza presso la stessa realtà, in presenza delle qualità professionali e della conoscenza specialistica richieste.

Innanzitutto, corre l’obbligo di sottolineare che la normativa nazionale tace sul punto.

Prendendo le mosse dalle linee guida pubblicate dal Working Party 29 e dalle prescrizioni enunciate dalla Autorità Garante Italiana e, in particolare dalle caratteristiche precipue delle due figure, emergono, infatti, alcune possibili situazioni di conflitto.

L’OdV potrebbe trovarsi nella situazione di controllare il DPO: cosa accadrebbe in questa ipotesi?

Le due figure non possono concretizzarsi in un unicum operativo, in quanto il DPO ha, tra l’altro, il compito di monitorare e verificare il corretto trattamento dei dati posto in essere dall’ODV, nonché il flusso degli stessi all’interno dell’OdV e quest’ultimo ha, a sua volta, lo specifico compito di verificare il corretto adempimento, da parte del DPO, delle prescrizioni impartite dal Modello.

Infatti, il DPO potrebbe trovarsi nella posizione di richiedere una valutazione d’impatto in merito a determinati trattamenti, al fine di valutarne il rischio ovvero di consigliare la minimizzazione dei medesimi ed a verificare l’adozione di adeguate misure tecnico-organizzative.

In conclusione, appare evidente che le due figure non possano essere ricondotte ad unicum ma che, anzi, debbano cooperare al fine di garantire il rispetto delle prescrizioni tanto in materia di protezione dei dati personali quanto in materia di responsabilità degli Enti.

 

 

 

Autrice Avv. Valentina Dicorato
elena ferraris Autrice Avv. Elena Ferraris

IL CASO CAMBRIDGE ANALYTICA E LA SANZIONE A FACEBOOK

Facebook ha recentemente patteggiato con la Sec e con la Federal Trade Commission per risolvere la questione sulla violazione di privacy legata a Cambridge Analytica: dovrà pagare due sanzioni, rispettivamente di cento milioni e cinque miliardi di dollari agli enti federali e impegnarsi a sottostare a normative molto più rigide riguardanti la protezione della privacy degli utenti, che saranno regolate da un comitato salva-privacy indipendente, con un funzionario nominato direttamente dalla FTC.

Ma qual è stata esattamente la situazione che ha portato Facebook a dover pagare la sanzione da record?

Nel 2014 un ricercatore di Cambridge di nome Aleksandr Kogan ha creato un app: “thisisyourdigitallife”. Tale app consisteva nella creazione di diversi profili psicologici in base alle preferenze degli utenti sul web e, per poterla utilizzare, ci si poteva registrare con la propria mail oppure effettuare il Facebook login. Questo servizio, apparentemente gratuito, in realtà era pagato con dei dati dell’utenza, che registrandosi all’app condivideva indirizzi mail, età, sesso ed altre tipologie di dati del proprio profilo Facebook. Questa è una pratica comune e molto utilizzata, ma all’epoca Facebook dava accesso anche ai dati della rete di amici dell’utente che si registrava all’app, il che significa che per ogni user che consapevolmente ha condiviso l’accesso ai propri dati, anche quelli delle persone a lui vicine sono stati condivisi con i gestori dell’app senza alcun preavviso o autorizzazione. Così Facebook passava al gestore di Thisisyourdigitallife dati relativi a circa 50 milioni di profili, in modo completamente legale. Se non fosse che Kogan ha poi condiviso questi dati raccolti con la Cambridge Analytica, un’azienda di raccolta e analisi dati specializzata in strategie di microtargeting comportamentale, ovvero tecniche di pubblicità e comunicazione estremamente precise basate sulla profilazione psicometrica dell’utenza e, così facendo, ha violato il regolamento di Facebook sulla privacy, per il quale non si possono cedere a terzi i dati raccolti, pena la sospensione dell’account.

Christopher Wylie, un ex dipendente di Cambridge Analytica, sostiene che Facebook sapesse dell’illecito da tempo, ma che abbia atteso marzo di quest’anno per sospendere l’account in questione, quando alcune testate giornalistiche hanno iniziato un’inchiesta sul rapporto tra le due aziende e hanno accusato Facebook di essere responsabile della diffusione dei dati, nonché di aver sottovalutato o insabbiato la questione.

A prescindere dalla responsabilità penale di Facebook, il problema è chiaramente nella sua infrastruttura: alcune delle politiche del social network rischiano di essere ingannevoli o perlomeno fumose ed è sempre più complesso per il gigante della tecnologia proteggere i dati di tutti i suoi utenti. La multa da 5 miliardi di dollari non sarà certo un problema concreto per un’azienda che ne fattura più di 50 l’anno, ma sarà una pietra miliare nel percorso di rigida regolamentazione che ne deriverà in materia di privacy negli Usa.

Powered by: Fweb Group