Domani l’atteggiamento di Zuckerberg sarà probabilmente lo stesso già tenuto di fronte al Congresso statunitense, ma la vera incognita è cosa chiederanno gli europarlamentari.

L’ultima tappa del tour di scuse di Mark Zuckerberg per aver malgestito i dati privati di tutti i suoi utenti sarà una deposizione davanti al Parlamento europeo, prevista per domani alle 18:15 ora italiana.

Questa mattina il presidente del Parlamento europeo Antonio Tajani ha confermato che l’incontro sarà trasmesso in diretta streaming, esattamente come le deposizioni di Zuckerberg davanti a Camera dei rappresentanti e Senato del Congresso statunitense.

Possiamo aspettarci dal fondatore e ad di Facebook lo stesso atteggiamento che ha tenuto in patria: scuse presentate minimizzando il problema, scansando tutte le responsabilità personali al costo di dichiarare di essere molto poco aggiornato sui dettagli delle operazioni della propria azienda.

La vera incognita è cosa chiederà il Parlamento europeo. Il contesto non potrebbe essere piú diverso da quello statunitense: in patria Facebook è riuscito a fermare finora qualsiasi remoto tentativo di regolamentazione, l’Unione Europea invece ha già approvato una forte regolamentazione della privacy online, la General Data Protection Regulation (GDPR). Facebook ha già dovuto spendere ingenti somme per adeguarsi alle nuove regole, che entrano in vigore ufficialmente  venerdì 25 maggio, e che, dovessero funzionare come auspicato, terrebbero il gigante sotto scacco: le multe per infrazioni del GDPR non sono le solite carezze mascherate da sberle a cui ci ha abituato finora l’Unione Europea, e possono arrivare al 4% del ricavo annuale mondiale — nel caso di Facebook si parla di piú di un miliardo e mezzo di dollari.

image2

Quanto ha speso Facebook negli Stati Uniti per evitare regolamentazioni simili a quella europea anche in patria. Fonte: the Atlas

La GDPR non è una legge perfetta e ha implicazioni profonde in molte piú industrie oltre a quella pubblicitaria, ma è il primo testo in materia che, in linea di massima, dice le cose giuste:

  • Stringente limite di tempo per segnalare agli utenti se è avvenuta una “fuga di dati,” fino a un massimo di 72 ore dal momento in cui il servizio scopre il problema;
  • Ogni servizio deve richiedere accettazione esplicita dell’uso dei dati in maniera chiara, accessibile, concisa;
  • Ogni servizio deve permettere di trasportare i propri dati a servizi terzi, permettendo un download completo di tutti i dati personali;
  • Ogni servizio che ospiti informazioni su terzi deve garantire il diritto all’oblio.

Questo pone Zuckerberg in una posizione particolarmente scomoda, perché malgrado le ripetute promesse di badare alla privacy di tutti gli utenti, Zuckerberg si è pubblicamente impegnato a portare gli stessi strumenti che sono disponibili ai cittadini europei anche agli utenti del resto del mondo, ma non ci sono poi state azioni dell’azienda conseguenti.

La prima domanda che il Parlamento europeo dovrebbe fare a Zuckerberg, è inevitabilmente:

Qual è la posizione ufficiale di Zuckerberg riguardo la regolamentazione del proprio servizio?

Zuckerberg ha piú volte ripetuto in patria di non essere contrario a regolamentazioni di Facebook. Ma il comportamento della sua azienda dice il contrario: la minaccia di multe colossali ha garantito la sua sottomissione in Europa, ma il diritto alla sicurezza dei dati è un ambito inevitabilmente fumoso nel contesto delle piattaforme social, che non consentono una navigazione del “file system” del profilo che hanno creato dei propri utenti. Oggi Facebook rispetta le richieste della GDPR, ma cosa farà in futuro per garantire la prolungata efficacia delle funzionalità che l’Unione Europea pretende per i propri cittadini?

E in particolare—

Come Facebook pensa di implementare il diritto all’oblio?

Identificato nella GDPR come “diritto alla cancellazione,” il diritto all’oblio è una delle pieghe piú complesse della regolamentazione, perché confina con la libertà di espressione e il diritto di cronaca, materie su cui non esistono norme europee, già codificate in modo molto diverso dalle varie costituzioni europee. Ciononostante, Facebook deve rispettarla: tutto questo, senza poter garantire in nessun modo che i dati esportati attraverso gli strumenti per sviluppatori della Graph API v1.0 saranno mai completamente cancellati.

Facebook e privacy: spiegazioni per il comportamento passato

Dall’aprile 2010 all’aprile 2015, per cinque anni, attraverso gli strumenti per sviluppatori Graph API v1.0, gli sviluppatori di app su Facebook avevano accesso a un vastissimo set di dati su ogni utente e tutti i suoi amici. È attraverso queste API che Cambridge Analytica ha potuto raccogliere così tante informazioni personali su decine di milioni di persone.

image1

Symeonidis, Tsormpatzoudi & Preneel (2017)

Facebook ha annunciato che la versione 1.0 delle Graph API sarebbe stata disattivata con un anno di anticipo: nell’aprile 2014, per dare il tempo agli sviluppatori di aggiornare le proprie applicazioni.

Contemporaneamente, Facebook ha annunciato l’Audience Network, la piattaforma di targeting pubblicitario che ha fatto la fortuna del servizio, e che segue gli utenti anche fuori da Facebook.

Ma proprio mentre annunciava il cambiamento, Facebook scriveva:

Le persone prima di tutto: abbiamo sentito che molte persone sono preoccupate a condividere informazioni con le app, e che vogliono piú controllo sui propri dati. Daremo piú controllo alle persone su queste esperienze in modo che possano premere il tasto blu con fiducia.

(Sì, hanno scritto davvero così.)

Zuckerberg finora ha sottolineato più volte  che gli strumenti per ripetere una fuga di dati come quella di Cambridge Analytica  non esistono piú. Ma la vera domanda è: perché per quattro anni, dopo aver riconosciuto la legittimità del diritto alla privacy, l’azienda non ha fatto niente per verificare come le API fossero state usate per i quattro anni precedenti?

Oggi Zuckerberg dice che ci vorrà molto tempo, mesi, per completare la verifica di tutte le app che usavano la Graph API 1.0. Perché quei mesi non furono spesi nel 2014, quando quelle app erano ancora attive, e questo tipo di controllo sarebbe stato evidentemente molto piú agile, e francamente urgente?

A proposito! A che punto sono i lavori sulla verifica di altre fughe di dati come quella di Cambridge Analytica?

Durante le proprie deposizioni statunitensi Zuckerberg ha cercato quanto piú possibile di gestire le aspettative riguardo i tempi con cui l’azienda annuncerà la verifica di altre irregolarità nell’uso della Graph API. Dopo quell’ammissione di umanità, però, Facebook è entrato in modalità silenzio radio. Come vanno i lavori? E soprattutto: tecnicamente, in cosa consistono i lavori?

Crede di aver rispettato le promesse fatte agli utenti europei?

Durante l’annuncio delle Graph API, in una lettera al Washington Post, Zuckerberg ha promesso che l’azienda avrebbe protetto i dati dei suoi utenti. In particolare, Zuckerberg elencava i cinque principi fondamentali di Facebook. Due di questi suonano particolarmente amari visti dal 2018:

– Non condividiamo le tue informazioni personali con persone e servizi con cui non vuoi condividerle.

– Non diamo a pubblicitari accesso alle tue informazioni personali.

Zuckerberg, era stato informato dei tentativi di mettere a tacere il reportage dell’Observer attraverso minacce legali?

Nelle ore agitate prima della pubblicazione del reportage di Carole Cadwalladr, Facebook stava già cercando di calmare le acque. Sia pubblicamente, sia a porte chiuse, dove, tramite avvocati, ha minacciato di portare l’Observer in tribunale, in un’operazione di aggressione coordinata proprio con Cambridge Analytica, che ancora sperava di poter salvar la faccia.

L’azienda si è ripetutamente scusata per la reazione muscolare, sempre con il proprio tono modesto. Secondo la responsabile delle partnership con la stampa Campbell Brown minacciare i giornalisti “non è stata la mossa piú saggia.”

Di fronte a questa serie di fallimenti istituzionali e francamente personali, Zuckerberg, lei crede di essere la persona giusta per guidare Facebook?

Zuckerberg controlla il 59 percento delle azioni con diritto di voto di Facebook. Questo significa che non può essere licenziato. Neanche di fronte a una cordata di ogni investitore l’amministratore delegato sarebbe costretto a lasciare la propria azienda. In passato Zuckerberg ha dichiarato di ritenersi ancora la persona giusta per il suo lavoro, ma non l’ha ancora detto in faccia a nessun governo, perché il Congresso statunitense ha preferito trattarlo con i guanti.


In copertina: Mark Zuckerberg alla conferenza degli sviluppatori F8 dello scorso aprile, CC Anthony Quintano / Flickr.

Segui Alessandro su Twitter.

Per ricevere tutte le notizie da the Submarine, metti Mi piace su Facebook, e iscriviti al nostro gruppo.

— FIN —