Quando qualcuno si trova nella spiacevole situazione di essere clonato in un falso account di Facebook, l’azienda deve comunicare a questo utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – compresi quelli inseriti e condivisi dal fake, e non solo: Menlo Park dovrà bloccarlo, se ci sono gli estremi, ai fini di un’eventuale intervento da parte della magistratura. La prima pronuncia sui fake dell’autorità italiana per il trattamento di dati personali è un passo storico nei confronti del social network perché sostiene un concetto quasi controcorrente: i sistemi automatici, non umani, non bastano.
Il provvedimento pubblicato dall’authority va letto con attenzione. Al centro c’è il caso di un utente, una persona con un ruolo sociale locale, in vista nella sua comunità, che ha vissuto un incubo fatto di minacce, tentativi di estorsione e furto di identità. Come nella sceneggiatura di un film, tutto è nato con una semplice “amicizia” sfociata poi in comportamenti gravissimi, fino a quando – con la creazione di un account falso utilizzando i suoi dati personali e la fotografia postata sul suo profilo – quest’altra persona ha pubblicato post e immagini con l’intento di screditarlo, arrivando ad inviare a tutti i contatti dell’interessato fotografie e video montati ad arte che lo ritraevano intento in attività neppure raccontabili.
Qui comincia la difficoltà dell’uomo a difendersi, iniziando col bloccare questo fake. Le risposte ottenute dal social, infatti, non erano soddisfacenti e soprattutto era complicato capire cosa fare. La richiesta di cancellazione o del blocco del falso account, nonché la comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake, non sembravano un percorso fattibile. Il social, si sa, preferisce gestire il tutto coi propri algoritmi e le segnalazioni, ed opera un caso alla volta.
Privacy, il Garante a #Facebook: "Stop ai fake e trasparenza sui dati" https://t.co/aSvb7TYlgX pic.twitter.com/U4qHd058bY
— Adnkronos (@Adnkronos) April 27, 2016
Così è nato il ricorso al Garante della privacy, nel novembre scorso, da cui è scaturita una pronuncia che ha un doppio valore: non solo l’autorità stabilisce che ha competenza su questo ambito, ma stabilisce anche due doveri della casa madre europa, in Irlanda: Facebook dovrà, entro un certo termine di tempo – non ancora trascorso – comunicare tutte le informazioni, e l’autorità ha imposto di non trattarle in altro modo e di non cancellarle, perché potrebbero essere delle prove in sede di un processo. Non è ancora noto se Facebook abbia già ottemperato a questi ordini, né esistono al momento commenti ufficiali.
Il significato dell’ordinanza
Questa vicenda è interessante sotto molti punti di vista. Facebook non ha mai evitato di rispondere all’utente, ed è qui il problema: quando la persona colpita dal fake e dalle minacce ha provato a impossessarsi di tutto quanto era stato prodotto, comprese le conversazioni, la Facebook Ireland Ltd ha, correttamente, invitato l’utente ad utilizzare il tool di download dei propri dati e ad usare lo strumento di reporting per il falso profilo. Peccato però che i dati suoi fossero poco comprensibili, mentre le conversazioni erano ancora presenti; inoltre sull’account falso, che non era di sua proprietà – nel frattempo reso invisibile – il suggerimento dell’azienda era quello di rivolgersi alle forze dell’ordine.
Il fatto significativo è che la pronuncia del Garante ha ritenuto di poter intervenire alla luce del diritto nazionale, tenuto conto che nel territorio nazionale opera un’organizzazione stabile, Facebook Italy s.r.l. che è collegata alla casa madre europea (da sentenza della Corte europea sul caso Google Spain), quindi ha riconosciuto specifici diritti all’utente che superano di molto l’ampiezza degli strumenti self-help del sito. Se si considera che la silicon valley ha già mostrato l’intenzione di sviluppare questi ambienti con l’intelligenza artificiale, emerge un possibile scontro legale dei prossimi anni: un utente può ritenersi soddisfatto da istruzioni fredde, algoritmiche? Oppure azioni come la disponibilità a fornire dati e a cancellare account falsi va velocizzata ed umanizzata? Probabilmente la tecnologia non è di ostacolo anzi di aiuto quando si tratta di gestire più di un miliardo di clienti, ma la questione è aperta. Si accettano scommesse su prossime sentenze europee a proposito di cittadini delusi dai bot.