Come se rivelare i dati personali dei propri utenti alle autorità russe non fosse abbastanza, VKontakte potrebbe ora essere in guai seri in Europa // Martinsson Serg [1], CC2.0
Sono stati mesi difficili questi ultimi per il social network russo VKontakte. Numerosi suoi utenti sono stati perseguiti per i loro post [2] [en], e l'azienda è stata aspramente criticata per la sua mancanza di trasparenza [3] [it] nella condivisione con le forze dell'ordine dei dati dei suoi utenti.
Oggi, VKontakte (VK) affronta una nuova sfida, ancora una volta sulla privacy: Kristian Shinkevich, un attivista bielorusso che vive in Polonia, esige che VK gli consegni tutti i suoi dati personali. L'azienda non ha ancora assecondato la richiesta. Nel frattempo, ha bloccato l'accesso di Kristian al suo account.
Shinkevich ha iniziato a nutrire dubbi sui metodi di raccolta dati di VK dopo aver dovuto affrontare minacce di azioni legali per aver partecipato a una manifestazione in Bielorussia. È stato successivamente espulso dall'università, dove, afferma [4] [ru, come i link seguenti, salvo diversa indicazione], un dipendente facente parte del personale amministrativo gli aveva confidato che la scuola ha accesso a tutti i dati di VKontakte dei propri studenti, incluso a quali post avevano messo un ‘Mi piace’. Nel suo caso, questo accesso avrebbe rivelato il suo coinvolgimento nelle manifestazioni.
Con l'aggiunta del fatto che altri attivisti bielorussi erano stati arrestati a causa di post su VKontakte che sostenevano le proteste [5] (indice questo, che anche le autorità bielorusse monitorano l'attività sul social network), Shinkevich ha deciso di scoprire di più sui metodi di raccolta dei dati di VK.
Ha quindi studiato il nuovo regolamento generale sulla protezione dei dati dell'Unione Europea [6] [it], il GDPR, un'unica serie di norme [7] [en] che tenta di uniformare la gestione dei dati personali da parte di aziende ed organizzazioni. Il GDPR richiede a tutte le aziende che raccolgono dati personali sui cittadini dell'UE di adottare determinate misure per la protezione e il trasferimento di tali dati.
Un'altra disposizione stabilisce che i cittadini dell'UE hanno diritto ad accedere ai propri dati personali conservati dalle aziende, e a conoscere come tali dati vengono usati.
Nonostante Shinkevich sia cittadino di uno stato non aderente all'Unione europea, la Bielorussia, ha diritto a richiedere le suddette informazioni secondo il GDPR, in quanto residente (o, come definito nel testo del GDPR, “interessato”) di un paese dell'UE, la Polonia. Inoltre, nonostante la VKontakte sia un'azienda russa, deve in ogni caso rispettare il regolamento dato che offre il proprio servizio a cittadini dell'UE residenti all'estero e che gestisce i loro dati.
Qualsiasi inadempienza darebbe alle autorità dell'UE il diritto di imporre una sanzione dell'ammontare di 20 milioni di euro o equivalente al 4% del fatturato lordo globale dell'azienda, a seconda di quale delle due cifre sia maggiore.
Dopo aver richiesto all'assistenza clienti di VKontakte l'accesso ad ogni dato che l'azienda aveva su di lui, Shinkevich ha ricevuto il file richiesto e ne ha descritto il contesuto su Facebook [8] [en]:
Today I have received the file, and that's freaking serious.
They store:
1. the whole name and surname changes history
2. groups and public pages I've managed
3. name of files uploaded, from which IP address, city, links to the deleted files, moreover, even simple voice messages from deleted conversations are there
4. complete list of files I've removed from my page, their exact address, name, date added, direct link – no matter that they all have been removed – voice messages, PDF documents etc.
5. adresses [sic] of pictures from Saved Photos album (protected). Direct links can be opened without being logged in
6. complete history of conversations, including removed, up to 27.06.2018 20:43:51 (the first message is dated 01.09.2016 21:40:30), with all the attachments including removed ones.
7. complete history of phone number ever linked to the account
8. history of password retrieval requests
9. all the comments and posts from my page timeline, including ones removed about 1-2 years ago (the section is titled “Messages posted on the user's wall”)This file is about 1,5 Mbytes but it has al [sic] the history of my activity on VK since 2016 (when my page was created).
Oggi ho ricevuto il file e la faccenda è dannatamente seria.
La piattaforma VKontakte memorizza:
1. Tutti i cambiamenti fatti a nome e cognome
2. Gruppi e pagine pubbliche di cui sono stato amministratore
3. Nome dei file che ho caricato, indirizzo IP e città da cui li ho caricati, link ai file cancellati; oltretutto, ci sono anche semplici messaggi vocali di conversazioni cancellate
4. Una lista completa di tutti i file rimossi dalla mia pagina, il loro esatto indirizzo, nome, data in cui li ho caricati, link al file – nonostante siano stati tutti rimossi – messaggi vocali, documenti PDF ecc.
5. Indirizzi di foto dall'album ‘Foto salvate’ (protetto). Link diretti che possono essere aperti senza fare il login.
6. Tutte le conversazioni, incluse quelle rimosse, fino al 27/06/2018 alle 20:43:51 (il primo messaggio è datato 01/09/2016, ore 21:40:30), con tutti gli allegati inclusi quelli rimossi.
7. Tutti i numeri di telefono che ho mai associato all'account
8. Tutte le richieste di recupero password
9. Tutti i commenti e i post presi dalla cronologia della mia pagina, inclusi quelli rimossi circa 1 o 2 anni fa (la sezione è intitolata “Messaggi pubblicati sulla bacheca dell'utente”)
Il file è di circa 1,5 MB ma vi sono registrate tutte le mie attività su VK dal 2016 (l'anno in cui ho creato la mia pagina).
Shinkevich non è rimasto sorpreso dal contenuto del file, ma da quello che mancava. “Sono sicuro che quelle che mi hanno mandato non sono informazioni complete, in realtà hanno molto di più,” ha scritto su Facebook.
In effetti, l’informativa sulla privacy [9] [en] di VKontakte indica (sezione 4.2.1) che la compagnia elabora una vasta gamma di informazioni degli utenti e delle loro attività, incluse, ma non solo, informazioni su “sistema operativo dell'utente, tipo di browser usato, posizione geografica, internet provider, contatti, dati ottenuti dall'accesso alla telecamera, al microfono e altri dispositivi.” L'informativa non definisce a chiare lettere il trattamento di questi dati dopo la loro elaborazione. Le condizioni d'uso [10] [en] di VK (sezione 7.2.5) indicano che “gli amministratori del sito hanno il diritto di mantenere copie del contenuto dell'utente in archivio per un periodo indefinito.”
Queste e altri tipi di informazioni possono essere considerate “dati personali”? Dipende da chi chiedi. Mentre la Legge Federale russa n. 152 [11] definisce informazione personale qualsiasi informazione direttamente o indirettamente connessa a un individuo specifico, il GDPR fa invece un'analisi dettagliata di questa vaga interpretazione. Ma, dato che i termini del GDPR si applicano a tutte le aziende che offrono i propri servizi a cittadini dell'UE, VKontakte è obbligata dalla legge a sottostare a questi termini nella gestione dei suoi clienti nell'UE.
Quando Shinkevich ha richiesto il resto delle informazioni a VKontakte, l'azienda ha eluso la richiesta, bloccando poi l'accesso al suo account alla fine di luglio. La sua pagina è ancora online, ma Shinkevich non può né accedervi né cambiare la password.
Quando l'aggregatore di feed russo TJournal si è messo in contatto con VKontakte [12], l'azienda ha affermato:
Страницу пользователя мы не блокировали. Доступ к ней был ограничен после того, как пользователь изменил несколько ключевых параметров, в том числе имя, фамилию, пол и другие. Такие действия считаются подозрительными и могут свидетельствовать, например, о продаже аккаунта или передаче другому лицу.
Ограничение доступа к странице никак не связано с запросом пользователем информации по GDPR.
Non abbiamo bloccato la pagina dell'utente. L'accesso è stato limitato dopo il cambiamento da parte dell'utente di numerosi parametri chiave, inclusi nome, cognome, sesso ecc. Attività di questo tipo è considerata sospetta e può essere il risultato della vendita o trasferimento ad altri dell'account.
Limitare l'accesso alla pagina non ha niente a che vedere con la richiesta di informazioni dell'utente secondo il GDPR.
Shinkevich ha successivamente sporto reclamo all'agenzia per la sicurezza dei dati privati polacca, e ha preso la quanto controversa decisione di sostenere l'interruzione del servizio di VKontakte in Polonia. Si è così unito al crescente numero di voci [13] che incoraggiano gli utenti di VKontakte a smettere di usare il social network [14] e cancellare le loro pagine.
L'anno scorso, il fatturato di VKontakte risultava essere oltre 200.000.000 di dollari [15]. Se venisse constatata una violazione del GDPR, la multa ammonterebbe al 10% di tale cifra. Con oltre 2 milioni di utenti cittadini di paesi dell'UE [16], il social network potrebbe pagare a caro prezzo la mancanza di una risposta adeguata alle preoccupazioni in materia di privacy.