La Federal Trade Commission ha intrapreso un’azione nei confronti della piattaforma social Twitter Inc. per aver utilizzato in modo ingannevole i dati di sicurezza dell’account allo scopo di favorire attività di pubblicità mirata, senza che ciò fosse indicato chiaramente nell’informativa agli interessati. Per tale ragione, Twitter dovrà pagare una multa di 150 milioni di dollari. Il caso in esame rappresenta un vero e proprio leading case per la definizione di nuovi standard di sicurezza e protezione dei dati personali che le piattaforme social sono tenute ad osservare.
Si è conclusa lo scorso maggio, con un accordo da 150 milioni di dollari, l’azione intrapresa dalla Federal Trade Commission nei confronti della piattaforma social Twitter Inc. per aver utilizzato in modo ingannevole i dati di sicurezza dell’account per favorire attività di pubblicità mirata.
La controversia prende le mosse da un accordo siglato tra la Federal Trade Commission e Twitter nel 2011 per responsabilizzare la piattaforma sulla chiarezza e completezza delle condizioni d’uso del suo servizio circa la sicurezza dei dati. Già nel 2009, le accuse mosse alla società dalla Federal Trade Commission riguardavano la carenza di trasparenza nei confronti dei consumatori e l’assenza di adeguate misure di salvaguardia per la tutela dei dati personali degli utenti.
Secondo quanto articolato nella denuncia presentata dal Dipartimento di Giustizia statunitense per conto della Federal Trade Commission, dal 2013 la piattaforma di microblogging avrebbe iniziato a chiedere agli utenti di fornire una serie di dati – in particolare, un numero di telefono ovvero un indirizzo e-mail – per migliorare la sicurezza dell’account: in particolare, il trattamento di tali dati veniva ritenuto necessario per (i) reimpostare le password degli utenti, (ii) sbloccare gli account bloccati a causa di presunte attività sospette, nonché per (iii) abilitare l’autenticazione a due fattori.
Tuttavia, la piattaforma ha omesso di precisare agli utenti del social network che i dati raccolti sarebbero stati utilizzati per finalità ulteriori di pubblicità mirata (targeted advertising), dalle quali il social provider ricava oltre il 90% delle proprie entrate.
In dettaglio, come precisato dalla FTC in un Comunicato stampa, Twitter avrebbe raccolto i dati di oltre 140 milioni di utenti, per finalità avulse dalle esigenze di sicurezza e pertanto manchevoli sotto il profilo degli obblighi di trasparenza e correttezza delle informazioni fornite agli utenti.
La piattaforma avrebbe ceduto i dati raccolti agli inserzionisti, per indirizzare annunci più mirati a precise categorie di utenti – consumatori (targeted advertising), individuate attraverso l’incrocio di tali informazioni con i dati già posseduti o acquistati da altri data brokers.
Peraltro, secondo le accuse avanzate dal Dipartimento della Giustizia, Twitter avrebbe ulteriormente affermato falsamente di essere conforme al framework europeo in materia di protezione dei dati personali, che impedisce il trattamento dei dati non esplicitamente autorizzato dai consumatori.
In sintesi, l’uso ingannevole dei dati raccolti rappresenta una condotta plurioffensiva, lesiva:
- dell’accordo siglato tra la Federal Trade Commissione e Twitter nel 2011;
- degli accordi siglati tra l’Unione europea e gli Stati Uniti, nonché tra questi e la Svizzera in materia di protezione e trasferimento dei dati personali;
- della legge federale.
Per tali ragioni, oltre alla condanna al pagamento, da parte di Twitter, di una sanzione di 150 milioni di dollari, il provvedimento propone ulteriori misure tecniche ed organizzative, necessarie per assicurare la protezione dei dati personali degli utenti, nonché la liceità e trasparenza delle attività di trattamento.
In particolare, il provvedimento ingiunge alla piattaforma di:
- dismettere ogni profitto dai dati raccolti in modo ingannevole;
- informare prontamente gli utenti dell’uso improprio di numeri di telefono e indirizzi e-mail, chiarendo i passaggi per disattivare gli annunci personalizzati;
- riformulare le impostazioni di autenticazione a più fattori, evitando la raccolta di dati non necessari e l’obbligo di fornire un numero di telefono;
- implementare un programma rafforzato per garantire la protezione e la sicurezza dei dati, predisponendo adeguate modalità organizzative – tra cui, ad esempio, garantire la limitazione dell’accesso da parte dei dipendenti ai dati personali degli utenti – e controlli da parte di un auditor indipendente.
In conclusione, l’accordo di Twitter si inscrive nel solco delle molteplici violazioni commesse dai più famosi social providers: si rammenta, a mero titolo esemplificativo, l’accordo da 5 miliardi di dollari concluso con la FTC nel 2019 dalla piattaforma social Facebook, per illeciti trattamenti dei dati commessi nel 20 Inoltre, nondimeno, il caso in esame può rappresentare un vero e proprio leading case per la definizione di nuovi standard di sicurezza e protezione dei dati personali che incombono sulle piattaforme social.
Esso risulta particolarmente rilevante anche in ambito europeo, ove la maggior parte delle piattaforme social opera. In effetti, le condizioni rassegnate dall’Autorità statunitense ben si allineano ai principi delineati, in ambito europeo, dal Regolamento 2016/679/Ue (cd. “GDPR”): questi, infatti, postula il principio dell’accountability del titolare del trattamento dei dati personali. In particolare, gli obblighi previsti per Twitter contribuiscono a perimetrare i profili contenutistici del concetto di accountability, definendo nuovi standard che ben possono ritenersi applicabili anche per tutti gli altri social media providers.
Infine, l’obbligo di non fornire dichiarazioni contraddittorie o rappresentazioni ingannevoli ai propri utenti fortifica gli obblighi di liceità, trasparenza e correttezza del trattamento dei dati personali.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale