Un gruppo di nazioni, tra cui Australia, Regno Unito e Canada, afferma che le piattaforme di social media e i siti web che detengono dati personali sono tenuti a proteggere i propri utenti dallo scraping illegale di dati.
Un gruppo di 12 nazioni ha rilasciato una dichiarazione congiunta che mette in guardia dall’uso di tecnologie di data scraping per raccogliere dati personali dalle piattaforme di social media e da altri siti online, che sono tenuti, in base alle leggi locali, a salvaguardare le informazioni dei loro utenti.
I Paesi hanno osservato che il data scraping è sempre più utilizzato per raccogliere ed elaborare grandi quantità di informazioni personali da Internet, sollevando notevoli preoccupazioni per la privacy, poiché queste tecnologie possono essere sfruttate per vari scopi. Tra questi, la monetizzazione attraverso la rivendita dei dati a siti web di terzi, la frode d’identità e la raccolta di informazioni sulle minacce per facilitare attacchi informatici dannosi, secondo la dichiarazione.
Le 12 nazioni includono Australia, Canada, Regno Unito, Hong Kong e Svizzera, le cui rispettive agenzie per la privacy dei dati sono state citate nella dichiarazione.
L’Ufficio del Commissario australiano per l’informazione (OAIC) ha dichiarato di aver osservato negli ultimi anni un aumento delle segnalazioni di scraping massivo di dati da applicazioni di social media e altri siti web che ospitano informazioni personali accessibili al pubblico. Ha citato un caso del 2020 che ha coinvolto la piattaforma statunitense di riconoscimento facciale Clearview AI, che secondo l’OAIC e l’Information Commissioner’s Office del Regno Unito ha violato le leggi australiane sulla privacy.
In base al Privacy Act del 1988, le organizzazioni devono adottare “misure ragionevoli” per proteggere i dati personali in loro possesso da usi impropri, interferenze, perdite, accessi non autorizzati e modifiche. L’OAIC ha dichiarato che tali misure includono le azioni conseguenti allo scraping illegale dei dati, aggiungendo che gli individui interessati devono essere avvisati quando una violazione dei dati che coinvolge informazioni raccolte attraverso tecnologie di scraping dei dati è suscettibile di provocare un grave danno all’individuo.
Nella maggior parte delle giurisdizioni, i dati personali accessibili pubblicamente sono ancora soggetti alle norme sulla protezione dei dati e sulla privacy, si legge nella dichiarazione.
“Le società di social media e gli operatori di siti web che ospitano dati personali accessibili al pubblico hanno l’obbligo, ai sensi delle leggi sulla protezione dei dati e sulla privacy, di proteggere le informazioni personali presenti sulle loro piattaforme dallo scraping illegale dei dati”. “Gli incidenti di data scraping di massa che raccolgono informazioni personali possono costituire violazioni dei dati segnalabili in molte giurisdizioni”.
Le 12 nazioni hanno dichiarato che si aspettano di raccogliere feedback dalle aziende che gestiscono piattaforme di social media, “nelle prossime settimane”, su come si stanno conformando o stanno pianificando di conformarsi alle “aspettative e ai principi” delineati nella loro dichiarazione congiunta.
La dichiarazione comprendeva pratiche comuni di protezione dei dati a livello mondiale, volte a salvaguardare i dati personali dal data scraping e a mitigarne l’impatto sulla privacy. Pur trattandosi di raccomandazioni, le 12 nazioni hanno sottolineato che molte di queste pratiche sono “esplicitamente richieste dalla legge” in specifiche giurisdizioni.
Hanno aggiunto che la loro dichiarazione congiunta è stata inviata direttamente a molti di questi siti web, tra cui YouTube di Alphabet, TikTok di ByteDance, piattaforme di proprietà di Meta tra cui Facebook e Threads, Weibo di Sina, X (precedentemente chiamato Twitter) e LinkedIn di Microsoft.
L’elenco delle misure che le 12 nazioni si aspettano che questi siti adottino include la “limitazione del numero di visite all’ora o al giorno da parte di un singolo account ad altri profili di account e la designazione di un team specifico o di ruoli all’interno dell’organizzazione per identificare e implementare controlli in risposta alle attività di scraping.
Anche i social media e i siti web che possiedono dati personali dovrebbero adottare misure per individuare gli scrapers identificando gli schemi delle attività dei bot e intraprendere azioni legali appropriate, come l’invio di lettere di “cessazione e desistenza” e la richiesta di rimozione dei dati scrapati, quando vengono identificate attività illegali di scraping di dati.
I 12 Paesi hanno dichiarato che questi siti dovrebbero implementare “controlli tecnici e procedurali a più livelli per mitigare i rischi”.
“Data la natura dinamica delle minacce di scraping dei dati, le piattaforme di social media e altri siti web dovrebbero monitorare costantemente e rispondere con agilità ai nuovi rischi per la sicurezza e alle minacce provenienti da soggetti malintenzionati o non autorizzati alla loro piattaforma”, hanno aggiunto. “I controlli dovrebbero essere sottoposti a stress-test e aggiornati regolarmente per garantire che rimangano efficaci e al passo con l’evoluzione delle tecnologie”.
I siti web dovrebbero inoltre raccogliere e analizzare le metriche relative agli incidenti di scraping per identificare le aree di miglioramento del loro approccio ai controlli di sicurezza.
