Le principali legislazioni internazionali prevedono l’obbligo di una privacy policy per qualsiasi tipo di attività online; in particolare, a partire dal maggio del 2018 il GDPR (Regolamento Generale sulla Protezione dei Dati) ha introdotto delle regole coese a livello europeo sulla privacy, il trattamento dei dati personali dei residenti dell’Unione Europea (anche se l’azienda opera al di fuori di essa) e la loro gestione, raccolta, conservazione, utilizzo e distruzioni. Qualsiasi azienda che tratti quindi dei dati personali si basa sia sulle attuali norme di protezione dei dati dell’Unione Europea che sul GDPR, che prevede un ambito di applicazione più ampio. Inoltre, quest’ultimo si occupa anche di introdurre multe salate nel caso di non rispetto di tali leggi, che possono arrivare anche al 4% dei ricavi annui.
Anche le aziende di Facebook (Facebook, Messenger, Whatsapp, Instagram e Oculus) quindi, come tutte le aziende che trattano dati personali, si impegnano nella protezione dei dati soprattutto grazie al loro team specializzato che opera a Dublino. Nel rispetto di tale conformità al GDPR e alle generiche norme europee sulla protezione dei dati, il team di Facebook garantisce ai suoi utenti trasparenza, controllo del modo in cui vengono trattati ed affidabilità, come possiamo leggere anche in questo documento che spiega il punto di vista di Facebook sulla privacy. Non solo Facebook in prima persona, ma anche le aziende che fanno pubblicità tramite le aziende di Facebook devono assumersi la responsabilità di lavorare su queste piattaforme in modo conforme al GDPR e alle leggi vigenti.
Ai sensi del GDPR, Facebook è infatti sia titolare del trattamento dei dati e responsabile del trattamento dei dati. Con la prima espressione si fa riferimento alla responsabilità di decidere perché e in che modo sono trattati i dati personali degli utenti, quindi le loro finalità e mezzi, e di assicurarsi che i responsabili del trattamento rispettino a loro volta i loro impegni contrattuali relativi al trattamento sicuro e legale dei dati. Con l’espressione “responsabile del trattamento dei dati” si fa invece riferimento all’elaborazione sicura e legale dei dati da parte del responsabile per conto di un titolare del trattamento dei dati.
Ad eccezione di quando collabora con aziende e terzi ed è quindi il responsabile di tale trattamento, Facebook ricopre nella maggior parte dei suoi servizi il ruolo di titolare del trattamento dei dati. In base al GDPR, esistono diverse basi giuridiche, ovvero diversi motivi, per cui Facebook può trattare in modo legittimo i dati di una persona. Tra i principali, troviamo la necessità contrattuale, ovvero il trattamento dei dati definito nel contratto azienda-utente e necessario per la fornitura del servizio stesso; il consenso, che deve essere libero, specifico, consapevole, non ambiguo e su basi inequivocabili; in caso di minore età, il consenso deve essere fornito da un genitore/tutore e nel caso di trattamenti speciali di dati personali, è necessario un consenso esplicito; in qualsiasi caso, l’utente ha il diritto di ritirare in qualsiasi momento tale consenso e deve essere informato di tale facoltà. Un ultimo motivo per cui il titolare può trattare i dati personali degli utenti è l’interesse legittimo, ovvero quello che sorge quando un’azienda o terzi dispongono di interessi che prevalgono sui diritti o gli interessi dei singoli utenti; anche questi devono essere sospesi in qualsiasi momento l’utente lo desideri.