26 marzo 2010

Facebook Ritenta la Strada dell'Open Governance

Facebook si accinge a cambiare i TOS e ritiene opportuno chiedere quali sono i feedback degli utenti.

Facebook e' consapevole che ogni sua minima mossa e' registrata e analizzata al microscopio da osservatori di tutti i paesi.  E allora pensa bene di volgere tale attenzione a suo vantaggio investendo la base utenti e tali osservatori del dibattito intorno alle modifiche nella Governance del sito.

QUI il blog dove si illustrano le modifiche proposte.

Se non cambiano idea nelle prossime ore, possiamo aggiungere i nostri commenti...

19 marzo 2010

Mind The Bridge - Pitching Competition

Ieri era una bella serata primaverile a Stanford e l'atrio del dipartimento di Electrical Engineering profumava di cannelloni e polenta.

Il gran finale delle presentazioni delle start-up italiane organizzato da Mind The Bridge e' stato uno di quegli eventi che ti riempie il cuore di orgoglio italiano.  E ultimamente c'e' piu' bisogno che mai di queste emozioni.

Tutte le idee presentate alla competizione erano assolutamente brillanti, con business models ben studiati e ben presentati.  Una vera gara in cui il vincitore non era per niente scontato.  Le start-up concorrenti sono state giudicate da un panel di esperti, imprenditori, tecnici e venture capitalist della Silicon Valley.

Il giudizio e' stato rigoroso e ha messo in evidenza le potenzialita' ma anche i limiti di ognuna delle start-up.  Il panel ha dunque eletto il vincitore, motivando la propria decisione ed elargendo preziosi feedback per tutti.

Ho presto qualche appunto sulle idee a concorso e sui feedback.  Tutte le invenzioni presentate sono brevettate o con patent pending... quindi non mi faccio scrupoli di patent disclosure  :)

Hanno presentato nell'ordine:

1. Where is now.com
L'idea mi e' sembrata buona - il panel che giudicava ha raccomandato al team ti valutare se non sia il caso di sviluppare il concetto come una feature invece che un servizio a se' stante.

2. VR Media
Per VR Media (che ha gia' una presenza sul mercato) il panel ha apprezzato la trasparenza della value proposition mettendo in evidenza come invece sia necessario uno sforzo per approcciare verticalmente i vari mercati e industrie.

3. Ecolight
A dispetto del valore dell'idea, il panel ha riconosciuto che il parziale sviluppo dell'invenzione rappresenta un product risk importante e, forse, tale da intimorire gli investitori di un settore costoso come quello delle medical devices.

4. FluidMesh Network
Una start-up vincente con una idea gia' implementata e una traction notevole.  E tutto cio' non e' sembrato convincere il panel dell'opportunita' strategica di ricorrere al capitale di rischio, a fronte di una piu' economica strategia di organic growth.  Peraltro, lo speaker e' stato un po' troppo "onesto" nel prospettare intenzioni di short term exit.  E i VC non hanno apprezzato...

5. Tripshake
Anche qui, un sito gia' esistente e con una certa traction.  Purtroppo nella presentazione la parte relativa alla value prop e product description poteva essere piu' chiara e incisiva.  Del resto, l'internet consumer e' uno dei settori piu' competitivi negli ultimi anni e i VC presenti non hanno smentito la consueta perplessita' che riservano per tutti i business di questo tipo.

And the winner is --- VR Media !!!

Una vittoria meritata, IMHO, considerata sia la performance dinanzi al powerpoint che il business in quanto tale.

In bocca al lupo a tutti per l'execution e ci vediamo tra 5 anni per l'IPO!!!

18 marzo 2010

Facebook Transige un Class Action per 9,5 Milioni di Dollari

Lo scorso dicembre, Facebook ha contattato i propri utenti per comunicare l'esistenza di questa class action.
Se vi stavate chiedendo cosa fosse successo, il giudice ha approvato un settlement di 9,5 milioni dollari.
Qui trovate maggiori dettagli.

Controller e Processor nel Trattamento di Dati Personali

Lo scorso 16 febbraio, il Data Protection Working Party ha pubblicato la sua opinion 1 / 2010 sulla definizione dei concetti di "Controller" e "Processor".   Riprendere la definizione di tali concetti, viste alcune perplessita' della giurisprudenza recente, mi sembra molto utile.

Segnalo che tra i tanti esempi, il parere contiene anche alcuni spunti interessanti su Behavioral Advertising.

17 marzo 2010

Come scrivere i Terms of Service e la Privacy Policy di un sito Internet?

Le Condizioni d'Uso (Terms of Service, o "TOS") e la informativa sulla Privacy (Privacy Policy, o "PP") sono uno dei fattori essenziali nel definire il rapporto con gli utenti. La quantita' di utenti che vi presta attenzione e' maggiore di quanto non ci si aspetti.

Conoscere le norme su protezione dei consumatori, privacy e e-commerce non e' sufficiente per preparare dei documenti accurati e completi.  E' invece indispensabile comprendere a fondo la relazione tra il sito e l'utente nonche' le aspettative di quest'ultimo.

La relazione sito/utente.  La relazione creata tramite TOS e PP e' importante sotto diversi punti di vista: 1) per definire diritti, obbligazioni e adempiere agli obblighi di legge, 2) per creare un rapporto trasparente e di fiducia con gli utenti e 3)  per contribuire al branding del sito, attraverso documenti coerenti con la cultura e l'identita' commerciale del sito stesso.

Per potere soddisfare tutti i profili citati, e' bene affrontare la redazione dei TOS e delle PP con consapevolezza, cercando di ripercorrere nelle singole disposizioni gli aspetti tecnici, commerciali e di marketing che caratterizzano il servizio e che lo distinguono da quelli dei concorrenti.

Copiare dai concorrenti.  Contrariamente alla prassi di alcuni siti medio/piccoli, copiare i documenti pubblicati da un competitor non e' una buona idea.  Intanto, non si puo' riporre piena fiducia nei documenti altrui (sempre che non siano a loro volta copiati).  Peraltro, anche i siti piu' importanti possono commettere errori e difatto spesso prestano il fianco a pretese e azioni legali milionarie.

Del resto, per verificare la qualita' dei TOS e PP pubblicati da altri e' necessario un lavoro di analisi e ricerca simile a quello necessario per redigerne di nuovi.   In aggiunta, anche fidandosi ciecamente del sito preso ad esempio si corre il rischio di lasciare scoperte le attivita' e funzionalita' che differenziano il nostro sito e che lo rendono unico.

Quindi, abbandoniamo il proposito di fare un semplice CTRL+C, CTRL+V, e vediamo cosa e' necessario per ottenere TOS e delle PP specifiche per il nostro sito, il tutto in modo efficiente ed economico.

Analisi preliminare.  Prima di ogni altra cosa e' necessario coordinare il team tecnico con quello che si occupa della stesura vera e propria (normalmente il legale).  Quindi, i due gruppi insieme dovranno elaborare una descrizione analitica delle attivita' del sito, in altre parole e' necessario redigere un break-down dei servizi suddivisi per singolo task.

Ogni servizio si compone di una serie di operazioni con outcome indipendente tra loro: ognuna di queste operazioni rappresenta un task.  Per ogni task e' necessario stabilire le seguenti:
- in cosa consiste il task: quale e' il risultato dal punto di vista del customer;
- che utilita' realizza la performance dal punto di vista  del sito;
- che tipo di dato e' stato acquisito:  il customer trasferisce una informazione per effettuare l'operazione?Se si', di che informazione si tratta? E ancora, e' necessario chiedersi se tale dato viene raccolto individualmente o in modo aggregato.

Questo processo e' necessario per definire: a) quali sono le obbligazioni contrattuali assunte dal sito nei confronti degli utenti; b) se c'e' un profitto immediato in relazione al servizio svolto; c) l'esistenza e la natura di dati personali raccolti in relazione al servizio e il relativo regime legale.

Integrazione con il back-end.  Tutte le volte che i TOS o le PP prevedono degli obblighi o delle operazioni indipendenti dai tasks precedentemente identificati e' necessario che queste operazioni "di servizio" si traducano in specifici tools nel back-end.

In altre parole, la predisposizione dei TOS e delle PP comporta la generazione di tasks aggiuntivi.  La specificazione di tali funzionalita' deve essere il frutto di una stretta collaborazione tra il legale e il team tecnico che presiede allo sviluppo.

Tono della comunicazione e branding.  Come per il resto della user-interface, prima di cimentarsi con il design e con il copywriting, e' necessario stabilire il tono della comunicazione, da teneresi coerente in tutto sito.

Di conseguenza, anche i TOS e la PP dovranno rispettare questo codice di comunicativo.  Il branding di un sito si comunica anche attraverso la documentazione legale che deve essere indirizzata al target di mercato.

Pertanto, e' indispensabile identificare una serie di direttive che possano armonizzare il tono della comunicazione in ogni aspetto, dal design, al testo prettamente pubblicitario, alla descrizione dei servizi e, anche, ai documenti legali.

Ad esempio, per un consumer-target e' opportuno avere un linguaggio informale e immediato, mentre per un business-target un tono piu' professionale e' appropriato.

04 marzo 2010

Italian Republic v. Google Video. Why Was Google Convicted?

Three of Google's executives were recently convicted by the Court of Milan for violating Italian privacy laws.  Google's executives were held liable because Google Video, hosted, allowed comments and did not promptly (or promptly enough upon notice) take down a video portraying a disabled kid getting abused by his schoolmates.  The schoolmates who actually uploaded the video were convicted and sentenced to 10 months of community service.  You may find a more complete description of the facts here.

The ruling is subject to appeal and Google has said it will challenge the ruling.  Many people have commented on the case reflecting upon its deep implications over freedom of speech, privacy law and the Internet business model.  I personally share the concern that prior control over UGC might dangerously compress freedom of speech, yet the solution certainly is not to neglect users' and third parties’ privacy protection.  The bottom line is that such a ruling may shake the foundations of the Internet industry and that nobody I know has a clear idea about a good trade-off among the many conflicting interests.

In this post, however, I will more simply focus on explaining the probable reasons for the Google conviction.  I say  "probable" because the full opinion has not yet been published.  Still, I have an impression of the probable reasons for the conviction based upon reading the statements released by Google's attorney and the Prosecutor in charge of the case.

Reason #1.  There is no safe harbor for privacy violations.  This may be surprising for most Internet companies but, as a matter of law, EU privacy regulation in general, and the Italian one in particular, do NOT apply the safe harbor exemption to matters concerning the right to privacy.  It may appear like a loophole in the system, but probably, when drafting the E-Commerce directive, the EU legislator did not have in mind a service totally based on UGC, such as a video sharing platform.  Directive 2000/31/CE shields mere conduit, cashing and hosting services against commercial liabilities, but not against the rights "of individuals with regard to the processing of personal data...".

Article 1, §5, lett. b of the E-Commerce directive says:  "This Directive shall not apply to: ...
(b) questions relating to information society services covered by Directives 95/46/EC and 97/66/EC."

Guess what subject matter is regulated by Directive 95/46/EC?

Pretty straight forward, isn't it?  If there is no safe harbor for a privacy violation --> liability of the service provider for contributing to the criminal conduct.

The same regulation applies in Italy by virtue of the Legislative Decree n. 70, 2003  art. 1, comma 2 lett. b which precludes the application of the safe harbor regime (art. 14 and ff.) for matters involving privacy rights.

Reason #2.  Google violated the Italian Personal Data Protection Code.  Google's counsel released a statement indicating the rules allegedly violated by Google, as specified in the indictment: art. 23, 26 and 17 of the Data Protection Code.  art. 23 and art. 26 (here an official version in English) provide that before processing any personal data it is necessary to seek consent of the owner of the data.  This is necessary moreover (written consent is required) if the processing concerns sensitive data, such as the existence of a heath condition.  It is probable that the Court considered that depicting the likeness of a person affected by Down Syndrome is sufficient to constitute "processing of sensitive data", considering the apparent and recognizable existence of a heath condition in the person portrayed.

Art. 17 provides a general obligation to consult with the Data Protection Authority before initiating any potentially dangerous processing of personal data.  The violation of such article may be construed as creating liability for other independent violations. We'll see when the opinion is published...

Reason #3.  Google did not take down the video promptly.  Proof of a prompt take down is crucial to  prove or disprove damages.  In fact, damages are necessary for the application of the criminal sanction set forth in art. 167 of the Data Protection Code.

Google took the video down after the police made such request.  The victim's representative argued that the video was actually accessible for about 2 months and, even after the video was flagged by some users and a take down notice filed by the victim's representative, Google did not respond with the requested promptness.

Thus, the Prosecutor accused Google of being inefficient and untimely in taking down the video since, as Google's deputy general counsel for Europe also admits, Google took the video down only when the police asked to do so, many days after the first flagging.  However, there is no clear information about the timeline of mentioned facts.  We'll see...

Furthermore, the Court probably concluded that the accessibility of the video for about 2 months, coupled with the significant amount of views and comments, gave Google notice (or should have given Google notice) of the existence of the video.  This is my speculation. We'll see...

Unfortunately, there is no black letter law applicable to take down notices for privacy violations.  In fact, nothing like the DMCA exists in the EU even with respect to IP rights. I bet Google misses the clear cut provisions of the DMCA when dealing with the EU.

In fact, the Prosecutor remarked about Google's vague and evasive attitude towards certain requests for discovery.  It turns out that Google was unable to restore the original page with the comments or to produce the first flagging of the video.  Google’s defense is, according to the Prosecutor, that producing this evidence was too costly and complicated for Google's engineers.  Well, the Court might have thought it wasn't...  

Post più popolari