L’utilizzo dei social network da parte di aziende ed enti pubblici è, al tempo stesso, un fenomeno quotidiano e sorprendente.
Quotidiano perché è sotto gli occhi di tutti: post istituzionali, risposte a cittadini, clienti e stakeholder, campagne informative, dirette streaming, commenti pubblici.
Sorprendente perché, dietro l’apparente semplicità di un post o di una risposta, si muove un intreccio di ruoli giuridici, basi di liceità, responsabilità e trattamenti di dati personali che non sono affatto intuitivi.
La pagina social di un’organizzazione sembra uno spazio informale di dialogo, in realtà è un ambiente giuridicamente strutturato in cui convivono titolarità differenti, logiche algoritmiche, potenziali effetti di amplificazione reputazionale e, talvolta, utilizzi analitici evoluti (come la sentiment analysis o strumenti di intelligenza artificiale).
Comprendere queste dinamiche è essenziale per evitare approcci superficiali e per governare la comunicazione istituzionale con consapevolezza giuridica e organizzativa.
Indice degli argomenti
- 1. Il contesto: comunicazione istituzionale e ambiente digitale
- 2. Le titolarità coinvolte: la piattaforma e l’intestatario del profilo/pagina
- 3. Tante interazioni, tanti trattamenti
- 3.1 La pubblicazione di dati personali sui profili/pagine dell’organizzazione
- 3.2 Il semplice dialogo sulla piattaforma
- 3.3 Il trattamento ulteriore
- 3.4 Sentiment analysis e utilizzo di IA
- 3.5 Interazioni che hanno rilevanza amministrativa
- 3.6 Ricondivisione e rischio di amplificazione
- 3.7 Il ricorso agli influencer
- 4. Come regolamentare l’utilizzo della piattaforma
1. Il contesto: comunicazione istituzionale e ambiente digitale
La presenza delle aziende sui social network rappresenta oggi una componente strutturale delle strategie di comunicazione e di mercato. Le imprese utilizzano le piattaforme per finalità di branding, promozione di prodotti e servizi, customer care ed engagement della community di riferimento. Attraverso pagine e profili ufficiali dialogano con clienti e stakeholder, monitorano le interazioni e raccolgono feedback che spesso vengono integrati nei processi decisionali interni.
Accanto alla dimensione privata, anche molti enti pubblici presidiano stabilmente i social network. Per le pubbliche amministrazioni, tuttavia, la presenza sulle piattaforme non è solo una scelta strategica, ma si inserisce nel solco della comunicazione istituzionale disciplinata dalla Legge 150/2000. La presenza degli enti pubblici sui social costituisce dunque un’evoluzione degli strumenti di relazione con i cittadini previsti dall’ordinamento, pur in un contesto tecnologico radicalmente diverso da quello immaginato dal legislatore all’epoca dell’adozione della norma. Quando è entrata in vigore la Legge 150/2000, non si aveva neanche lontanamente idea di come queste dinamiche digitali sarebbero evolute. Oggi le piattaforme rappresentano uno spazio di dialogo con i cittadini assimilabile – sotto il profilo funzionale – all’attività degli Uffici Relazioni con il Pubblico (URP).
Tuttavia, l’ambiente social introduce una pluralità di soggetti e di trattamenti che impone una chiara delimitazione delle responsabilità.
2. Le titolarità coinvolte: la piattaforma e l’intestatario del profilo/pagina
Quando un soggetto giuridico – sia esso privato o pubblico – apre una pagina o un profilo su una piattaforma social assume, di fatto, un doppio ruolo. Da una parte è un utente della piattaforma, soggetto alle condizioni d’uso e inserito in un ecosistema digitale governato da un soggetto privato. Interagisce, pubblica, commenta, condivide come qualsiasi altro account.
Dall’altra parte, però, non è un’utente qualunque: è un’organizzazione che, attraverso quella pagina, tratta dati personali in molteplici modalità. Decide quali contenuti pubblicare, come rispondere, come moderare, se estrarre dati, se analizzarli, se utilizzarli per finalità ulteriori.
Nel proprio “giardino digitale” – ossia nello spazio comunicativo che presidia e governa – l’organizzazione agisce in qualità di titolare del trattamento per tutte le scelte che incidono su finalità e modalità del trattamento dei dati personali.
Eppure, quel giardino non si trova su un terreno indipendente. È collocato all’interno di uno spazio molto più ampio, governato da un altro soggetto: la piattaforma. Quest’ultima agisce anch’essa in qualità di titolare del trattamento, trattando i dati di tutti gli utenti che interagiscono nell’ecosistema digitale.
Convivono quindi due titolarità autonome, distinte, che operano su piani e contesti differenti. L’organizzazione governa il proprio spazio comunicativo e le proprie finalità istituzionali; la piattaforma governa l’infrastruttura, gli algoritmi, le logiche di diffusione e i trattamenti trasversali.
Inevitabilmente questi contesti si intersecano. Tuttavia, è essenziale esplicitare dove finiscono le responsabilità dell’uno e dove iniziano quelle dell’altro. La chiarezza nella delimitazione delle sfere di competenza è il presupposto per evitare confusioni, sovrapposizioni indebite e attribuzioni di responsabilità non corrette.
2.1 La piattaforma
La piattaforma (ad esempio Facebook, Instagram o TikTok) agisce in qualità di titolare autonomo per tutti i trattamenti connessi al funzionamento dell’ecosistema digitale. Rientrano in questa sfera la gestione dell’infrastruttura tecnologica, l’amministrazione degli account utenti, la raccolta di dati tecnici quali log e cookie, le attività di profilazione commerciale eventualmente svolte secondo le proprie condizioni d’uso, nonché la sicurezza dei sistemi e la gestione di eventuali data breach di natura infrastrutturale. Si tratta di trattamenti determinati unilateralmente dalla piattaforma, sui gli intestatari del profilo/pagina non esercitano alcun potere decisionale.
È inoltre la piattaforma a stabilire le condizioni contrattuali di accesso e utilizzo del servizio. Chiunque intenda interagire all’interno dell’ecosistema digitale – cittadini, imprese o pubbliche amministrazioni – deve accettare formalmente tali condizioni, che disciplinano le regole di pubblicazione, moderazione, utilizzo dei contenuti, nonché il trattamento dei dati personali operato dalla piattaforma stessa. L’accesso allo spazio digitale è quindi subordinato a un’adesione contrattuale preventiva, che definisce il quadro giuridico entro cui tutti gli utenti possono operare.
2.2 L’organizzazione che attiva una pagina o un profilo
L’organizzazione agisce in qualità di titolare autonomo ogni volta che determina in modo indipendente le finalità e le modalità del trattamento dei dati personali nell’ambito della propria pagina o del proprio profilo istituzionale. In concreto, ciò accade quando decide di pubblicare contenuti istituzionali, quando stabilisce come moderare i commenti, quando risponde agli utenti nell’ambito del dialogo pubblico, ma anche quando sceglie di estrarre, archiviare o analizzare i contenuti pubblicati sulla piattaforma per finalità ulteriori.
Rientrano in questa sfera anche eventuali trattamenti successivi, come attività di monitoraggio sistematico delle interazioni, la predisposizione di report interni o iniziative di sentiment analysis. Il criterio distintivo è lineare: l’utente aziendale/istituzionale è titolare per tutto ciò che decide e governa in termini di finalità perseguita e strumenti utilizzati. Ogni volta che compie una scelta autonoma su come utilizzare i dati, si colloca pienamente nella dimensione propria del titolare del trattamento.
2.3 Il tema degli insights e dei dati aggregati
Le piattaforme mettono a disposizione strumenti statistici (es. Page Insights). Nel caso di Facebook, ad esempio, la disciplina dei dati statistici è espressamente regolata attraverso il “Page Controller Addendum”, con cui la piattaforma qualifica il rapporto relativo ai dati degli Insights come contitolarità del trattamento ai sensi dell’art. 26 GDPR.
In tale documento Facebook precisa che, con riferimento ai dati statistici generati dall’utilizzo della pagina, il gestore della stessa e la piattaforma determinano congiuntamente alcune finalità del trattamento (in particolare la messa a disposizione delle statistiche aggregate), pur restando in capo alla piattaforma la gestione tecnica, la raccolta e l’elaborazione primaria dei dati.
Ciò significa che, anche quando l’ente accede a dati in forma aggregata, il quadro giuridico non può essere letto in modo semplicistico. Se i dati sono effettivamente anonimizzati e non riconducibili a persone identificate o identificabili, l’ente non tratta dati personali in senso proprio. Tuttavia, la qualificazione contrattuale operata dalla piattaforma impone di prendere atto della configurazione di una contitolarità limitata e funzionale al servizio Insights.
In ogni caso, resta buona prassi indicare in policy l’utilizzo di strumenti statistici forniti dalla piattaforma e chiarire che tali dati sono messi a disposizione in forma aggregata. La situazione cambia radicalmente se l’organizzazione incrocia tali dati con altre informazioni o utilizza strumenti che consentono la re-identificazione, poiché in quel momento si entra pienamente nella dimensione del trattamento di dati personali.
3. Tante interazioni, tanti trattamenti
Le piattaforme social offrono molteplici forme di interazione, che possono comportare un trattamento di dati personali più o meno esplicito. Vediamo quali sono.
3.1 La pubblicazione di dati personali sui profili/pagine dell’organizzazione
Quando un ente pubblico o un’azienda pubblica fotografie, video o informazioni riferibili a persone fisiche identificabili, compie un trattamento di dati personali riconducibile alla diffusione. Nel contesto digitale, la pubblicazione su una pagina social istituzionale integra una messa a disposizione di dati personali a una platea potenzialmente indeterminata di soggetti.
Per i soggetti privati, la pubblicazione di dati personali può fondarsi sul consenso degli interessati oppure, in determinate circostanze, sul legittimo interesse del titolare ai sensi dell’art. 6, par. 1, lett. f) GDPR, previa effettuazione di un adeguato bilanciamento tra tale interesse e i diritti e le libertà fondamentali degli interessati (valutazione che, nel contesto della diffusione sui social network, risulta spesso particolarmente rigorosa e non agevole da dimostrare).
Per le pubbliche amministrazioni, la diffusione di dati personali può avvenire esclusivamente se espressamente prevista da una norma di legge o di regolamento che ne disciplini finalità e limiti. Il riferimento normativo è l’art. 2-ter del D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali), che stabilisce che la diffusione da parte dei soggetti pubblici è consentita solo quando prevista da una specifica disposizione normativa. In mancanza di tale previsione, la pubblicazione non può essere giustificata sulla sola base del generico interesse alla comunicazione istituzionale. In assenza di una base normativa specifica che legittimi la pubblicazione, l’ente deve acquisire una esplicita manifestazione di consenso da parte degli interessati, libera, specifica, informata e documentabile.
Non è sufficiente che il contenuto sia già circolato altrove o che sia stato pubblicato dall’interessato su un proprio profilo: la decisione di ripubblicarlo su una pagina istituzionale costituisce una nuova diffusione, imputabile all’ente e quindi soggetta a una autonoma verifica di liceità. Un caso particolare riguarda le immagini riprese durante eventi pubblici organizzati o patrocinati dall’amministrazione. In tali circostanze, la pubblicazione può trovare fondamento nel compito di interesse pubblico connesso alla documentazione e comunicazione dell’attività istituzionale. Tuttavia, ciò non esonera dall’adozione di adeguate cautele: occorre evitare inquadrature invasive o focalizzate su singoli soggetti senza ragione, prestare particolare attenzione alla presenza di minori, fornire un’informativa preventiva (ad esempio tramite cartellonistica o avvisi sul sito istituzionale) e garantire la possibilità di esercitare i diritti previsti dal GDPR. In questo contesto, si invita a leggere il precedente approfondimento.
La regola di fondo resta quella della proporzionalità: anche quando la diffusione è legittima, deve essere limitata a quanto strettamente necessario rispetto alla finalità istituzionale perseguita.
3.2 Il semplice dialogo sulla piattaforma
Se un utente pubblica un commento e l’organizzazione si limita a rispondere senza estrarre il contenuto, archiviarlo, analizzarlo ulteriormente o costruire banche dati, il trattamento rimane prevalentemente nella sfera della piattaforma.
Il soggetto titolare della pagina/profilo interviene solo nella dimensione social, coerente con il compito istituzionale di brand management o di comunicazione pubblica.
3.3 Il trattamento ulteriore
Se il contenuto delle interazioni viene estrapolato, archiviato internamente, utilizzato per istruttorie, aggregato in report o analizzato sistematicamente, si configura un trattamento di dati personali.
In tali casi si applicano pienamente l’esistenza di una base di liceità, l’obbligo informativo, i principi di minimizzazione e limitazione della conservazione, nonché – ove necessario – la valutazione di impatto ai sensi dell’art. 35 GDPR.
3.4 Sentiment analysis e utilizzo di IA
L’analisi sistematica dei commenti, anche se effettuata in forma aggregata, costituisce trattamento di dati personali se i contenuti sono riconducibili a persone.
L’eventuale ricorso all’Intelligenza Artificiale introduce poi problematiche ulteriori, connesse all’addestramento dello strumento che possono comportare una perdita di controllo dei dati personali. In presenza di tali strumenti occorre definire chiaramente la finalità (ad esempio il miglioramento dei servizi), indicarne l’utilizzo nell’informativa, valutare la necessità di una DPIA, garantire anonimizzazione o aggregazione robusta ed evitare profilazioni individuali (in particolare relative ad opinioni degli utenti, soprattutto se di natura politica o sindacale ai sensi dell’art. 9 GDPR).
3.5 Interazioni che hanno rilevanza amministrativa
Per le Pubbliche Amministrazioni, quando una segnalazione pubblica ha una rilevanza amministrativa e dà luogo all’attivazione di un intervento o di un procedimento, è opportuno trasferire la gestione fuori dalla piattaforma (ad esempio tramite PEC, protocollo o sistema di ticketing). Il contenuto rilevante deve essere formalizzato secondo le regole interne dell’ente e occorre evitare che dati personali sensibili restino esposti nel commento pubblico.
La tracciabilità amministrativa non può dipendere dalla piattaforma.
3.6 Ricondivisione e rischio di amplificazione
La ricondivisione di contenuti di terzi non è un atto neutro.
Anche se la funzione “condividi” è prevista dalla piattaforma, quando un ente pubblico o un’azienda ricondivide un contenuto amplia potenzialmente la platea, modifica il contesto comunicativo e può generare effetti distorsivi, ritorsivi o amplificativi, con impatti reputazionali potenzialmente critici.
Non è purtroppo nuovo il fenomeno per cui un soggetto con un ampio seguito, ricondividendo o commentando l’intervento di un utente, finisce per esporlo alla reazione della propria platea, con possibili dinamiche di amplificazione ostile e veri e propri effetti di “shitstorm”.
Il rischio aumenta quando il contenuto contiene opinioni politiche, prese di posizione sindacali, critiche al titolare del profilo/pagina o dati personali non necessari.
C’è poi un rischio derivato: se la pubblicazione originale è stata effettuata illegittimamente (ad esempio senza le dovute acquisizioni di consenso), la ricondivisione poterebbe con sé lo stesso peccato originale.
Nella titolarità del trattamento riconducibile alla ricondivisione, pertanto, è opportuno evitare di trattare opinioni personali.
3.7 Il ricorso agli influencer
Ingaggiare influencer per pubblicare contenuti che includono dati personali comporta specifiche implicazioni sotto il profilo della protezione dei dati personali. In tali casi occorre preliminarmente qualificare correttamente il rapporto: l’influencer agisce in qualità di responsabile del trattamento ai sensi dell’art. 28 GDPR quando opera per conto dell’organizzazione, attenendosi alle sue istruzioni e senza determinare autonomamente finalità e mezzi del trattamento.
È quindi necessario disciplinare contrattualmente il rapporto, definendo ruoli, istruzioni, limiti operativi e responsabilità. L’Autorità Garante si è già espressa in sede sanzionatoria richiamando l’attenzione sull’esigenza di una corretta qualificazione del ruolo privacy degli influencer coinvolti in campagne di comunicazione.
4. Come regolamentare l’utilizzo della piattaforma
Il ricorso alle piattaforme di social network per perseguire finalità comunicative, istituzionali o commerciali, impone l’adempimento degli obblighi di trasparenza previsti dall’art. 13 GDPR. L’organizzazione deve fornire agli utenti un’informativa chiara, accessibile e specifica, illustrando quali dati personali possono essere trattati nell’ambito delle interazioni social, per quali finalità, su quale base giuridica, per quanto tempo e con quali modalità. Nell’informativa dovrebbero essere indicati anche l’eventuale utilizzo di strumenti di analisi (anche basati su IA), i tempi di conservazione di eventuali estrazioni o report interni, il possibile coinvolgimento di fornitori o agenzie esterne, nonché il perimetro delle responsabilità dell’organizzazione quale titolare del trattamento, distinto da quello della piattaforma.
Diversa dall’informativa è la social media policy. Quest’ultima non ha la funzione primaria di descrivere il trattamento dei dati personali, ma di disciplinare l’utilizzo del canale in tutte le sue forme di interazione con gli altri utenti della piattaforma. Una policy strutturata dovrebbe disciplinare le tempistiche di risposta, le fasce orarie di presidio, i criteri di moderazione dei contenuti, le regole di netiquette, le condizioni che possono determinare la rimozione dei commenti o la segnalazione alla piattaforma, nonché le procedure di escalation interna in caso di crisi reputazionali o segnalazioni con rilievo legale o amministrativo. La social media policy svolge quindi una funzione organizzativa e di governo del canale, distinta ma complementare rispetto all’informativa privacy, contribuendo alla gestione del rischio reputazionale e operativo.
Leggi anche:
- Privacy all’asilo nido: analisi di un sanzione del Garante per foto di minori e videosorveglianza
- Guida alla corretta acquisizione di foto e video negli eventi nel rispetto della privacy
- Immagini pubblicate sui social network: una sanzione del Garante
Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale e alla data protection, scrivi a sinet@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su LinkedIn, Facebook, YouTube, Instagram, Telegram
