Privacy Social

Piattaforme di social media federate: il TechDispatch 1/2022 del #GarantePrivacy europeo

Il 26 luglio 2022, l’Unità Tecnologia e Privacy dell’EDPS ha pubblicato la sua prima edizione TechDispatch dell’anno 2022 sul tema Fediverso e Piattaforme Social Media Federate.

Dalla sua fondazione nel 2019, ogni edizione di TechDispatch mira a fornire una descrizione fattuale di una tecnologia emergente, nonché un’analisi del suo impatto sulla protezione dei dati e sulla privacy delle persone.

Nel suo TechDispatch, il Garante Europeo analizza alcuni dei vantaggi, delle opportunità e delle sfide che le piattaforme di social media federate presentano nel contesto della protezione dei dati e come queste si confrontano con le tradizionali piattaforme di social media centralizzate e non interoperabili.

Ad esempio, le caratteristiche decentralizzate e indipendenti delle piattaforme di social media federate portano alcuni aspetti positivi. Se una delle piattaforme di social media federate subisce una violazione dei dati, i rischi per i dati personali delle persone sono contenuti e limitati a una piattaforma anziché a migliaia di persone di una piattaforma altrimenti centralizzata a rischio. Di conseguenza, potrebbe esserci anche un incentivo inferiore per gli attacchi informatici dannosi. Inoltre, essendo indipendenti, le piattaforme di social media federate possono scegliere ciascuna come raccogliere fondi per sostenerne lo sviluppo, limitando quindi la propria dipendenza dalla grande pubblicità che spesso prevede la profilazione degli utenti per le pubblicità comportamentali, un canale di entrate spesso utilizzato dalle piattaforme centralizzate.

Ciò che si può osservare attualmente è che le piattaforme di social media federate hanno un approccio pratico alla conformità alla protezione dei dati, alla gestione delle richieste individuali, come ad esempio le richieste di cancellazione dei dati personali. Tuttavia, per alcune piattaforme di social media federate più piccole, potrebbe essere difficile procurarsi le competenze, le conoscenze e il supporto tecnico necessari per essere conformi alla privacy.

TechDispatch #1/2022 – Piattaforme di social media federate

Il Fediverso è costituito da molte piattaforme di social media indipendenti e interoperabili che consentono ai propri utenti di interagire tra loro su tali piattaforme. In assenza di vendor lock-in, gli utenti possono scegliere una piattaforma con termini e posizione dei dati corrispondenti alle loro preferenze.

I. Cosa sono le piattaforme di social media federate?

Il Fediverso è un insieme di piattaforme di social media federate e relativi server di supporto, indipendenti l’uno dall’altro, che sono interoperabili e in quanto tali consentono ai propri utenti di interagire su piattaforme diverse (vedere la Figura 1). Per questo, il Fediverso fa affidamento su protocolli aperti che forniscono piattaforme con un linguaggio comune per scambiare informazioni sul profilo, messaggi privati, contributi di timeline pubblici, ecc. con altre piattaforme. Di conseguenza, le persone possono scegliere di registrarsi su qualsiasi piattaforma Fediverso e continuare a connettersi con gli utenti registrati su qualsiasi altra piattaforma interoperabile. Ad esempio, il W3C ActivityPub è un protocollo così aperto per l’interoperabilità dei social media.

Il Fediverso offre un’alternativa alle piattaforme di social media centralizzate e non interoperabili. A causa della posizione dominante dei social media mainstream centralizzati esistenti, spesso le persone non hanno altra scelta che registrarsi su quelle piattaforme per connettersi con gli altri utenti registrati e non sono in grado di interagire con gli utenti di altri social media ( effetto rete ). Inoltre, le piattaforme Fediverso possono scegliere indipendentemente i termini di utilizzo, le politiche di moderazione, la posizione del server e le interfacce utente grafiche, offrendo alle persone una scelta più ampia. Alcune comunità di interesse speciale gestiscono la propria piattaforma Fediverso e possono fare affidamento su donazioni o piani a pagamento per il finanziamento.

Figura 1: ogni istanza ospita un numero di account utente. 
Gli utenti della stessa istanza (qui Utente 2 e 3) possono comunicare senza che i dati lascino la loro istanza. 
Gli utenti di diverse istanze (qui Utente 3 e 4) possono comunicare, perché le loro istanze sono connesse e interoperabili. 
Se questo non è il caso a causa di problemi di rilevamento della rete o restrizioni dei criteri, gli utenti non possono comunicare (qui Utente 1 e Utente 4 o 5). Quali sono i problemi di protezione dei dati?

II.1 Conformità alle diverse giurisdizioni

Le piattaforme di social media centralizzate che si rivolgono agli utenti di molte regioni possono incontrare problemi di conformità a causa di normative contraddittorie nelle giurisdizioni di residenza degli utenti.

Una piattaforma di social media federata che si rivolge agli utenti di una regione specifica può in linea di principio offrire agli utenti di quella regione un livello più elevato di conformità. Tuttavia, le piattaforme con pochi utenti potrebbero avere difficoltà a permettersi un programma di conformità professionale.

Lo scambio con piattaforme non conformi può essere limitato sulla base di un’analisi caso per caso. 

Le comunità di interesse speciale o i singoli utenti possono decidere di utilizzare una piattaforma federata con una posizione del server nella loro regione. In questo modo, possono impegnarsi in comunicazioni riservate con altri utenti della stessa piattaforma senza coinvolgere i trasferimenti internazionali di dati e i rischi che presentano.

Tuttavia, come con la posta elettronica, gli utenti potrebbero interagire con utenti su altre piattaforme con poca trasparenza sui potenziali trasferimenti di dati. Per aumentare l’efficienza e la robustezza, molte piattaforme federate condividono e memorizzano nella cache i contenuti pubblici generati dagli utenti in modo ampio e indipendentemente dai requisiti legali sui trasferimenti internazionali di dati.

II.2 Diritti dell’interessato

Le comunità di interesse speciale che gestiscono la propria piattaforma federata su piccola scala potrebbero essere in una posizione migliore per offrire ai propri utenti una risposta migliore e significativa alle richieste degli interessati, come richieste di contenuto o cancellazione dell’account, a fronte di account falsi o caricamenti non richiesti di dati personali. I moderatori della piattaforma appartenenti alla comunità di interesse speciale possono parlare la stessa lingua e comprendere il contesto delle richieste. Naturalmente, ciò richiede un livello adeguato di responsabilità e governance della piattaforma.

II.3 Algoritmi di profilazione e tutela della privacy

Molte piattaforme centralizzate si basano sulla profilazione per la pubblicità comportamentale. Per questo, queste piattaforme cercano di misurare l’interazione dell’utente con i contenuti, ad esempio attraverso il tempo trascorso a guardare, condividere o apprezzare. Questi indizi servono a dedurre le preferenze personali dell’utente e ad arricchire i profili utente. Sulla base di questi profili, la piattaforma seleziona gli annunci pubblicitari corrispondenti e classifica determinati argomenti nel feed delle notizie degli utenti.

Le piattaforme federate possono scegliere individualmente come raccogliere fondi per il loro funzionamento. Sebbene tecnicamente possano anche utilizzare la profilazione, la maggior parte di loro opera senza di essa e sono indipendenti dalla pubblicità e dagli inserzionisti. Di conseguenza, tali piattaforme offrono un’alternativa per la tutela della privacy: non raccolgono dati personali non necessari, non condividono i dati degli utenti con gli inserzionisti e si basano su tecniche più semplici ma più trasparenti per classificare i contenuti, come la classifica cronologica.

II.4 Protezione dei dati fin dalla progettazione e per impostazione predefinita

La maggior parte delle piattaforme federate sono sviluppate e gestite come alternativa ai social media tradizionali invasivi per la privacy e tenendo conto della protezione dei dati fin dalla progettazione e per impostazione predefinita. Spesso le piattaforme offrono agli utenti la possibilità di ottimizzare la visibilità dei propri contenuti, ad esempio agli utenti della stessa piattaforma. Le impressioni sui contenuti degli utenti, come le visualizzazioni per post, di solito non sono registrate e, in generale, le statistiche sui contenuti sono limitate alle interazioni esplicite come la condivisione e il gradimento.

Gli utenti Fediverso sono distribuiti su molte piattaforme. Se una di queste piattaforme subisce una violazione dei dati, sono in gioco i dati di un numero inferiore di utenti rispetto ai social media centralizzati. Ciò riduce anche l’incentivo per gli attacchi dannosi. L’uso di software open source consente controlli pubblici e un dibattito aperto sul modo in cui tali piattaforme elaborano i dati.

Anche il protocollo aperto sottostante delle piattaforme federate, ad esempio W3C ActivityPub, dovrà implementare la protezione dei dati in base alla progettazione e per impostazione predefinita, come risultato di uno sforzo comune. In quanto componente centrale condiviso delle piattaforme federate, il protocollo aiuta a raggruppare gli sviluppi, ma potrebbe rallentare i progressi in caso di disaccordo.

II.5 Interoperabilità e Portabilità

Figura 2: le applicazioni Fediverso sono interoperabili. 
Gli utenti possono scoprire contenuti da varie istanze ed eventualmente da servizi diversi (come piattaforme di microblogging, foto e video) in un’unica visualizzazione integrata.

Il protocollo aperto delle piattaforme federate consente agli utenti di scambiare con utenti di altre piattaforme che supportano lo stesso protocollo (vedere l’esempio nella Figura 2). Pertanto, gli utenti possono scegliere di registrare il proprio account su una piattaforma specifica in base a termini di servizio, affiliazione alla comunità, posizione del server ecc. invece di essere vincolati a un’unica piattaforma come nel caso dei social media centralizzati. La diversità dell’offerta può persino rappresentare una sfida per gli utenti nell’identificare la piattaforma più appropriata. Naturalmente, i loro colleghi (amici, colleghi, ma anche aziende e servizi pubblici) dovrebbero utilizzare almeno una piattaforma interoperabile per consentire la comunicazione e quindi aiutare a superare l’effetto di vendor lock-in.

I protocolli aperti possono anche consentire lo sviluppo di app o interfacce utente di terze parti indipendenti per offrire agli utenti una scelta più ampia su come controllare il proprio account. La maggior parte delle piattaforme federate offre un’interfaccia web avanzata compatibile con tutti i dispositivi con un browser web moderno. Pertanto, gli utenti non devono utilizzare app e app store nativi se non lo desiderano.

Molte piattaforme federate offrono funzionalità di esportazione dei dati ai propri utenti. Tuttavia, la portabilità completa con un’importazione è raramente disponibile, anche perché le piattaforme federate potrebbero non fidarsi di altre piattaforme o utenti con l’integrità e l’onestà dei contenuti generati dagli utenti con timestamp. Gli utenti malintenzionati potrebbero esportare i propri dati, modificare date e contenuti e importarli in seguito, il che minerebbe la fiducia nelle piattaforme.

II.6 Disponibilità

Il Fediverso nel suo insieme è più robusto e più disponibile delle piattaforme centralizzate a causa del suo carattere decentralizzato. L’accesso non è limitato tramite un singolo sito Web o app del fornitore che potrebbero essere rimosse dagli app store per vari motivi. Di conseguenza, il Fediverso è più resistente alla censura.

I contenuti degli utenti sono distribuiti alle piattaforme dei loro abbonati e accessibili anche quando la loro piattaforma è temporaneamente offline per migliorare la disponibilità e le prestazioni di Fediverso. Tuttavia, questo meccanismo di duplicazione rende più difficile l’eliminazione o la rettifica dei contenuti. In caso di cancellazione da parte dell’utente, le piattaforme con duplicati ricevono solitamente una richiesta di cancellazione automatizzata e devono essere attendibili per rispettare ed eliminare il loro duplicato.

Inoltre, spesso le organizzazioni che gestiscono le piattaforme Fediverso non dispongono di risorse sufficienti per permettersi lo stesso livello elevato di misure di sicurezza, ad esempio per quanto riguarda la ridondanza dell’hardware, i backup o le protezioni contro gli attacchi DDoS che possono essere dannosi per la disponibilità della piattaforma. Anche le scarse risorse umane per mantenere la piattaforma possono influire sulla disponibilità.

III. Letture consigliate

Wikipedia. ActivityPub (al 25 aprile 2022).

Wikipedia. Effetto rete (al 16 maggio 2022)

Aravindh Raman et al. “Sfide nel Web decentralizzato: il caso Mastodon”. In ACM Internet Measurement Conference (IMC 2019). https://doi.org/10.1145/3355369.3355572 

Comunicato stampa del GEPD su EU Voice e EU Video (2019). https://edps.europa.eu/press-publications/press-news/press-releases/2022/edps-launches-pilot-phase-two-social-media_en 

rixx.de. Sull’esecuzione di un’istanza Mastodon (2021). https://rixx.de/blog/on-running-a-mastodon-instance/

Questa pubblicazione è una breve relazione prodotta dall’Unità Tecnologia e Privacy del Garante europeo della protezione dei dati (GEPD). Mira a fornire una descrizione fattuale di una tecnologia emergente e discuterne i possibili impatti sulla privacy e sulla protezione dei dati personali. I contenuti di questa pubblicazione non implicano una posizione politica del GEPD.

Autori del numero: Robert RIEMANN
Editor: Massimo ATTORESI

Contatto: [email protected] 

Per iscriversi o annullare l’iscrizione alle pubblicazioni TechDispatch, inviare un’e-mail a [email protected]. L’avviso sulla protezione dei dati è online sul sito web del GEPD.

© Unione Europea, 2022. Salvo diversa indicazione, il riutilizzo di questo documento è autorizzato in base a Creative Commons Attribution 4.0 International License (CC BY 4.0). Ciò significa che il riutilizzo è consentito a condizione che venga concesso un credito appropriato e siano indicate le eventuali modifiche apportate. Per qualsiasi uso o riproduzione di foto o altro materiale che non sia di proprietà dell’Unione Europea, è necessario richiedere l’autorizzazione direttamente ai titolari dei diritti d’autore.

 Numero di catalogo ISBNISSNDOI
HTMLQT-AD-22-001-IT-Q978-92-9242-698-92599-932X10.2804/696807
PDFQT-AD-22-001-IT-N978-92-9242-697-22599-932X10.2804/25253

* L’ISSN resta valido fintanto che il titolo del seriale rimane invariato. Vi preghiamo di informarci di eventuali modifiche al titolo e/o della cessazione della pubblicazione.

Scarica il documento in italiano

Vuoi segnalare un errore o dare un suggerimento? Scrivici su FriendicaTwitterMastodon o sul gruppo telegram Comunicazione Pirata