Social network per scopi di ricerca: requisiti etici e legali relativi alla protezione dei dati

Principali autori del documento: Jose Antonio Castillo Parrilla e Iñigo de Miguel Beriain (UPV/EHU)

Le versioni preliminari di questo documento sono state riviste da

Dr Denise Amram, ricercatrice affiliata al LIDER Lab – Istituto DIRPOLIS, Scuola Superiore Sant’Anna (Italia) e assistente della cattedra di diritto privato comparato alla Scuola Superiore Sant’Anna e il Prof. Giovanni Comandé, Dirpolis, Scuola Superiore Sant’Anna, Pisa, Italia.

Questa parte degli Orientamenti è stata convalidata da Iñaki Pariente, ex direttore dell’Agenzia Basca di Protezione dei Dati

I social media possono essere descritti come piattaforme online che consentono lo sviluppo di reti e comunità di utenti, tra i quali vengono condivise informazioni e contenuti. Altre funzioni dei social network sono la personalizzazione, l’analisi e la pubblicazione (principalmente attraverso servizi di targeting), che consentono sia iniziative freelance che offerte di servizi più ampie. I social media consentono agli individui di creare account personali per interagire con altri utenti e sviluppare e ampliare le connessioni e le reti. Gli utenti condividono dati con gli amministratori della rete e con altri utenti per scopi totalmente diversi. Il contenuto condiviso dalle persone può essere creato da loro stessi (contenuto generato dall’utente) o meno. ^[1]

D’altra parte, è importante ricordare che la finalità principale dei dati inseriti in una rete sociale è quella di consentire alle persone di interagire, di relazionarsi. Infatti, un utente stabilisce due tipi di relazioni: una relazione verticale con la società che possiede la rete, e una relazione orizzontale con altre persone con cui vuole interagire. Questa relazione può essere generale (profili aperti) o particolare (profili con accesso limitato). A seconda del tipo di interazione in gioco, lo status giuridico del trattamento dei dati sarà, probabilmente, diverso.

In generale, i social network sono ideali per le pratiche di estrazione massiva di dati. Infatti, esistono strumenti software disponibili in grado di raccogliere automaticamente i dati degli utenti web dagli spazi pubblici online. Inoltre, la maggior parte dei social network abilita le Application Programming Interfaces, o API ^[2], che semplificano lo sviluppo e l’innovazione del software e rendono possibile alle applicazioni lo scambio di dati e funzionalità in modo semplice e sicuro. Queste circostanze rendono i social network particolarmente interessanti per alcuni tipi di ricerca, ma creano anche sfide impegnative in termini di protezione dei dati.

Questa parte degli Orientamenti intende essere di ausilio ai ricercatori o agli innovatori delle TIC che utilizzano dati personali ottenuti dai social network. Vale la pena menzionare che non ci occuperemo qui dell’uso dei social network per raccogliere dati (come, ad esempio, utilizzando i sondaggi di Google per ottenere dati su una determinata serie di domande da persone reali). Ciò è dovuto a una semplice ragione: in questi casi, i dati stessi non provengono da un social network ma attraverso un social network. Infatti, i social network agiscono solo come uno strumento di raccolta di quei dati. Pertanto, questi dati non sono così diversi da qualsiasi altro dato raccolto in modo più tradizionale (come un sondaggio su carta) e, quindi, non meritano particolare attenzione qui.

Se gli sviluppatori delle TIC che consultano i presenti Orientamenti intendono utilizzare strumenti di intelligenza artificiale per elaborare i dati ottenuti da queste reti, dovrebbero consultare la parte degli Orientamenti dedicata all’intelligenza artificiale (IA). Se ne stanno pianificando l’uso per scopi legati alla biometria, all’Internet degli oggetti o alla localizzazione geospaziale, dovrebbero consultare le sezioni di questi Orientamenti a essi dedicate. Al fine di evitare inutili ripetizioni, lasciamo tali questioni fuori da questa analisi.

DISCLAIMER

Questa parte degli Orientamenti è stata scritta in un momento in cui il Regolamento in materia di ePrivacy non era stato approvato. È possibile che, al momento dell’uso di questo strumento, il Regolamento sia in vigore. In tal caso, sarà necessario prendere in considerazione i possibili cambiamenti che questo può aver prodotto nel quadro normativo. Fino a quando il Regolamento in materia di ePrivacy non entrerà in vigore, esisterà una situazione frammentata. Infatti, le autorità di controllo affrontano ora una situazione in cui coesiste interazione tra la Direttiva sull’ePrivacy e l’RGPD, e pone questioni relative alle competenze, ai compiti e ai poteri delle autorità di protezione dei dati in quei casi che implicano l’applicazione sia dell’RGPD che delle leggi nazionali di attuazione della Direttiva ePrivacy.

1. Linee guida CEPD 8/2020 sul targeting degli utenti di social media, pag. 3. ↑
2. Vedi, sulle API: Oscar Borgogno & Giuseppe Colangelo, Data Sharing and Interoperability Through APIs: Insights from European Regulatory Strategy, Stanford-Vienna European Union Law Working Paper No. 38, http://ttlf.stanford.edu; Russell, N. Cameron and Schaub, Florian and McDonald, Allison and Sierra-Pambley, William, APIs and Your Privacy (5 febbraio 2019). Disponibile su SSRN: https://ssrn.com/abstract=3328825 o  http://dx.doi.org/10.2139/ssrn.3328825 ↑