Dagonews
Il 15 Giugno di un anno fa l’Agcom apriva un’istruttoria su Audiweb accedendo un faro particolare sul ruolo svolto da Facebook all’interno del nuovo sistema di misurazione.
Colta sul fatto Audiweb è stata costretta a smentire se stessa e ad ammettere non solo il passaggio di dati sensibili a Facebook ma anche il suo ruolo fondamentale nel determinare quantità e caratteristiche delle Audience degli editori misurati, fatto che avviene solo in Italia. Tale situazione – potenzialmente molto pericolosa per le implicazioni privacy e di mercato - è oggi pacificamente riconosciuta nelle cookie policy pubblicate sui siti di alcuni dei maggiori editori misurati da Audiweb e dal suo fornitore tecnico Nielsen http://www.mediaset.it/cookie_policy_mediaset_it.shtml :
The Nielsen Company/ Nielsen Audience Measurement per Audiweb S.r.l. (“Audiweb”)
Nielsen Audience Measurement è un servizio di analisi statistica fornito da The Nielsen Company. Questo servizio è utilizzato da Audiweb per la rilevazione, la misurazione e la diffusione dei dati di fruizione dei media online.
Nielsen utilizza Facebook, Inc. quale fornitore dati o “data provider”.
Elenco dei dati personali raccolti da Nielsen: Indirizzo IP dell’utente; User agent; Advertising ID (solo per applicazioni mobile); Content ID (inteso come insieme dei codici riferiti al contenuto rilevato, che non include l’url dei contenuti); Cookie di Nielsen SDK
Elenco dei dati personali raccolti da Facebook in chiaro attraverso il re-direct dal browser dell’utente: Indirizzo IP; User Agent; Metadati inclusi nel re-direct, come da lista disponibile qui
Elenco dei dati personali che Facebook riceve da Nielsen, in forma criptata: Content ID; Advertising ID
Il contributo Facebook a Nielsen è volto a:
mark zuckerberg vuole creare una moneta virtuale 4
- arricchire le informazioni censuarie rilevate, aggiungendo informazioni relative al genere e all’età degli utenti (trasmessi da Facebook in forma pseudo-anonima e aggregata) che perfezionano l’accuratezza delle misurazioni effettuate e
- eseguire la deduplicazione delle audience tra dispositivi (cioè eliminare la possibilità che dati doppi o ripetuti invalidino la correttezza della misurazione statistica).
La condivisione dei dati effettuata da Nielsen a Facebook viene effettuata in forma aggregata con l’uso di tecniche di criptazione.
Ciò che non viene detto è che Nielsen e Facebook condividono la chiave di criptazione.
Negli ultimi mesi l’istruttoria è stata portata avanti con grande scrupolo, praticamente tutti i soggetti coinvolti sono stati sentiti e una bozza di provvedimento è stata depositata già da diverse settimane.
Sul più bello e proprio quando tutte le Authority - non solo in Europa - ma anche in America stanno cercando di limitare lo strapotere di Facebook, la delibera finale è stata però ripetutamente rimandata, sembrerebbe dall’ufficio di presidenza, con forzature procedurali che fanno sorgere più di un sospetto.
Che c’entri la scadenza del mandato dei Commissari e la loro esigenza di ricollocarsi? O forse la capacità di pressione e la lobby di Facebook? AH saperlo….
Riceviamo e pubblichiamo da Audiweb:
“Audiweb contesta fermamente la falsa e suggestiva rappresentazione della realtà che emerge dall’articolo pubblicato in data 27 giugno 2019 (ore 13:43) su Dagospia.com. L’asserita condivisione tra Nielsen e Facebook della “chiave di criptazione” è infatti semplicemente falsa, in quanto Facebook in nessun caso riceve informazioni in chiaro sui contenuti editoriali visualizzati dagli utenti, anche quando gli utenti sono iscritti a Facebook e, pertanto, già presenti nei suoi database.
È altresì falsa (e idonea a ingenerare nei lettori un’infondata e suggestiva preoccupazione in merito alla lesione della loro privacy) l’asserita condivisione con Facebook di “dati sensibili”, in quanto nell’ambito della rilevazione “Audiweb 2.0” le uniche informazioni trasmesse a Facebook e che rientrano nella definizione legale di “dato personale” (principalmente, l’indirizzo IP) sono funzionali alla restituzione dei dati di età e genere, e non sono assolutamente in grado di fornire a Facebook né informazioni sui contenuti visualizzati dagli utenti, né tantomeno informazioni “sensibili”, né infine informazioni aggiuntive sugli utenti rispetto a quelle (eventualmente) già in possesso di Facebook”.
DAGOREPLICA:
La richiesta di rettifica di Audiweb si focalizza su aspetti tecnici specificando che Nielsen e Facebook non condividono una chiave di criptazione (siamo felici) e sull'errore fatto da noi nell'uso dell'espressione ''dati sensibili'' al posto di ''dati personali'' (ci scusiamo, tra i due c'è una differenza sostanziale e soprattutto legale). Però non smentisce il fatto più eclatante riportato nell’articolo ovvero che Nielsen - nell’ambito del progetto Audiweb 2.0 - passa a Facebook “in chiaro dati personali”.
Ma se il sistema di misurazione è veramente efficace in termini di tutela della Privacy, come mai la stessa Audiweb dopo i chiarimenti forniti da Nielsen a seguito dell’apertura dell’Istruttoria AGCOM e le successive sollecitazioni degli editori suoi associati ha sentito il bisogno lo scorso mese di febbraio di effettuare una segnalazione al Garante della Privacy?
In questa segnalazione, che Dagospia ha potuto vedere, Audiweb ammette:
''(…) taluni dati personali sono trattati ''in chiaro'' (i.e., senza l'adozione di tecniche di pseudonimizzazione / anonimizzazione) da Facebook, attraverso un re-indirizzamento del browser degli utenti sui server Facebook (c.d. re-direct).
Più in particolare, in base a quanto affermato da Nielsen, è emerso che il re-direct può avvenire, su un piano tecnico, esclusivamente in chiaro, senza cioè contestuali di interventi di hasging/masking o altre soluzioni tecniche idonee a mascherare porzioni significative del dato.
(…)
Ciò detto, permane l'impossibilità in capo agli editori – sottolineata anche dai soci di Audiweb – di svolgere verifiche dirette presso Facebook per accertare la conformità al GDPR delle attività di trattamento dei dati personali da essa effettuate (specie sotto il profilo delle misure di sicurezza tecniche ed organizzative).
A ben vedere, questa circostanza va al di là del caso concreto. Si tratta, infatti, di una costante nei rapporti tra editori online e i principali operatori Over-the-top fornitori di servizi di c.d. web analytics (quali, ad esempio, Google e, seppure mediata da Nielsen nel caso di specie, Facebook), che vede gli editori necessariamente tenuti a fare affidamento alle dichiarazioni rese da tali fornitori, senza vere accesso ai loro server né ai contratti in essere tra i diversi provider (come, nella fattispecie in discorso, quelli stipulati tra Nielsen e Facebook) e, dunque, avere una piena visibilità sulle misure di sicurezza tecniche ed organizzative da essi effettivamente adottate''.
Quindi Audiweb riconosce che Facebook non consente alcuna forma di verifica e controllo sui processi di trattamento dati e il rispetto della GDPR mentre i rischi connessi dovrebbero essere mitigati da accordi tra due società private e commerciali come Nielsen e Facebook che non rendono disponibili i loro contratti.
A questo punto sarebbe interessante conoscere la risposta del Garante della Privacy.
Cosi come quella che - aldilà delle questioni tecniche - rimane fondamentale:
come mai l’Agcom ad oltre un anno dall’apertura dell’istruttoria non ha ancora deliberato sulle sue risultanze che sono ormai depositate da molto tempo?