Dopo lo scoop, è arrivata la prevedibile smentita che ha creato però ancora più dubbi. E almeno quattro interrogativi da chiarire. Il 4 dicembre Marco Canestrari, ex braccio destro di Gianroberto Casaleggio, ha rivelato a Linkiesta che dal 2013, la Casaleggio Associati avrebbe avuto accesso ai dati di molti utenti di Facebook tramite un’app scaricabile dal blog di Beppe Grillo creata per sostenere la campagna del Movimento Cinque Stelle e vincere una cena con il fondatore. Per guadagnare punti bisognava aggiungere il logo ufficiale del Movimento nella foto profilo, chiedere ai propri amici di supportare economicamente il M5S e pubblicare i manifesti del partito sulla propria bacheca di Facebook. «Legittimamente un sito chiedeva individualmente alle singole persone di poter utilizzare alcuni dati per verificare la propria classifica di attivismo», si è difesa la Casaleggio Associati – «I dati raccolti nel 2013 non sono stati utilizzati dalla Casaleggio Associati per altre finalità e sono poi stati cancellati alla fine dell’iniziativa in piena sintonia con la legge, con le politiche di Facebook e con la normativa sulla privacy».
Ma è proprio la smentita che fa sorgere almeno quattro domande a cui la Casaleggio Associati dovrebbe rispondere. Primo, può fornire una prova che i dati ceduti dagli utenti iscritti all’app sono stati cancellati alla fine dell’iniziativa e non alcuni mesi dopo? E soprattutto che non sono stati mai usati dati dei loro amici su Facebbok? Secondo, può assicurare che quei dati non sono mai stati ceduti a terze parti? Terzo, perché sono stati richiesti così tanti permessi per accedere ai dati che non riguardano l’attività politica (come la residenza o l’orientamento religioso? Quarto, perché nell’informativa c’era scritto che l’utente che aveva scaricato la app si doveva far garante al posto di Beppe Grillo per ottenere il consenso di terze persone all’utilizzo dei loro dati?
Queste informazioni può fornirle solo la Casaleggio Associati ma Linkiesta per cercare di far capire almeno il contesto di cui stiamo parlando, ha contattato numerosi esperti di privacy digitale. «Purtroppo non c’è mai la certezza che i dati vengano cancellati quando un’azienda promette di farlo. Mancano dei meccanismi “ex post” di verifica che incentivino le aziende a rispettare le regole del gioco. Un po’ come le licenze edilizie o il limite di velocità. Se un automobilista corresse a 200km orari sull’Aurelia, senza autovelox nessuno se ne accorgerebbe». spiega Isabella De Michelis fondatrice di ErnieApp, l’app che permette all’utente di gestire i suoi consensi privacy e comprendere come vengono utilizzati i suoi dati nell’economia di Internet.
Se nel 2017 l’Associazione Rousseau di cui fa parte Casaleggionon aveva ancora chiarito chi erano quei soggetti terzi, e per questo è stato ripreso dal Garante, come possiamo essere sicuri che abbia fornito un’informativa chiara, completa e trasparente a chi ha scaricato l’app dal sito di Beppe Grillo nel 2013?
Un altro nodo centrale dello scoop de Linkiesta riguarda l’informativa che si accompagna all’app. «Non intendo entrare nel merito della questione politica – precisa Emilio Tosi professore associato di Diritto Privato nell’Università di Milano Bicocca e direttore esecutivo del Centro Studi Diritto Nuove Tecnologie® – mi limito solo all’analisi giuridica. Bisogna chiarire un punto essenziale quando l’utente scarica una app deve avere sempre un’informativa trasparente, intellegibile e completa. La normativa UE approvata a maggio 2018 dall’Unione europea (Gdpr) non ha cambiato molto rispetto al Codice Privacy vigente nel 2013 riguardo i dati sensibili. Ora come allora possono essere trattati i dati particolari solo se il soggetto interessato dà espressamente il consenso specifico ed esplicito».
Già l’informativa trasparente e completa. Lo stesso dubbio che ha posto il Garante italiano per la privacy nel provvedimento del 21 dicembre 2017 sui rischi di data breach riferito ai siti «galassia» del Movimento 5 Stelle, tra cui beppegrillo.it. Nel provvedimento il Garante ha denunciato la mancanza di trasparenza nel segnalare quali “soggetti terzi” (tra cui una famosa azienda di telefonia) potevano avere accesso ai dati concessi dagli utenti. Il Garante ha imposto d’indicare nell’informativa in modo specifico i soggetti terzi ai quali i dati sono comunicati. Ma se nel 2017 l’Associazione Rousseau di cui fa parte il fondatore della Casaleggio Associati non aveva ancora chiarito chi erano quei soggetti terzi, come possiamo essere sicuri che abbia fornito un’informativa chiara, completa e trasparente a chi ha scaricato l’app dal sito di Beppe Grillo nel 2013? Infatti in quell’informativa di sei anni fa c’era scritto in modo generico che i dati «Potranno essere, inoltre, comunicati a soggetti terzi incaricati di fornire servizi connessi alle attività del Sito ed alla esecuzione delle obbligazioni contrattuali assunte attraverso di esse». Ma chi erano, le stesse due compagnie scoperte dal garante? E come possiamo essere certi che non hanno utilizzato i dati degli utenti per scopi commerciali?
«Nel caso in cui un’app sia collegata a una piattaforma politica bisogna fare ancora più attenzione quando si chiede l’orientamento politico e religioso. Si deve garantire che questi dati particolari siano trattati con modalità e finalità trasparenti oltre che fornendo garanzie rafforzate di sicurezza dei dati e di non condivisione con terzi soggetti per altre finalità. Particolarmente significative sono infatti le finalità del trattamento, perché vengono raccolti questi dati, la sicurezza rispetto a utilizzi illeciti e l’ambito di divulgazione dei dati stessi», spiega Tosi.