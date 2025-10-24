Instagram ha introdotto una nuova funzione denominata Mappa (Instagram Map), che consente agli utenti di condividere la propria posizione con amici selezionati. L’idea, apparentemente innocua, apre però un fronte delicato sul piano della protezione dei dati personali, della sicurezza fisica e della trasparenza informativa. Il trattamento di dati di geolocalizzazione, per sua natura sensibile, richiede una base giuridica solida e una progettazione conforme ai principi di privacy by design e by default.

L'articolo analizza i profili giuridici della funzione, i rischi correlati e le implicazioni per utenti, imprese e titolari del trattamento, nel contesto normativo europeo e nazionale.

1. Il funzionamento della nuova “Mappa” di Instagram

Lanciata progressivamente da Meta a partire dall’agosto 2025, la funzione Mappa consente di condividere la posizione più recente di un utente con una cerchia di contatti: tutti gli amici, solo gli amici stretti, oppure una lista personalizzata.

La funzione è disattivata di default, ma può essere attivata dall’utente direttamente nella sezione dei messaggi diretti (DM), dove compare una nuova icona a forma di mappa. Da lì è possibile scegliere con chi condividere la propria posizione, per quanto tempo e se rendersi “invisibili” per periodi temporanei (es. 3 ore o 24 ore).

Meta assicura che la funzione non traccia gli utenti in tempo reale e che l’aggiornamento avviene solo quando l’app è aperta o in background. Tuttavia, anche la semplice esposizione dell’“ultima posizione nota” rappresenta un dato personale a contenuto fortemente identificativo: sapere dove si trova (o si è trovato) un utente significa conoscerne le abitudini, i luoghi frequentati, il domicilio, e potenzialmente la rete sociale.

A complicare il quadro, Instagram prevede anche la possibilità di visualizzare contenuti geolocalizzati (post, Reel, storie con tag luogo) sulla mappa, rendendo il confine tra "funzione di prossimità" e "strumento di sorveglianza" sorprendentemente labile.

2. I rischi concreti: quando la condivisione diventa esposizione

2.1. Stalking, molestie e uso improprio dei dati

La condivisione della posizione — anche se limitata a una cerchia di amici — può esporre l’utente a rischi di sicurezza fisica. Casi di stalking e violazioni della privacy su piattaforme analoghe (come Snap Map di Snapchat o Find My Friends di Apple) hanno dimostrato che le informazioni di geolocalizzazione possono essere sfruttate per pedinamenti digitali o aggressioni fisiche.

La differenza tra “amicizia” e “fiducia” non è sempre chiara nel mondo social.

2.2. Profilazione occulta e inferenze comportamentali

Le informazioni spaziali e temporali raccolte da Instagram consentono di ricostruire schemi di movimento, frequenza di luoghi, orari e abitudini. Anche se Meta dichiara che i dati non sono utilizzati a fini pubblicitari, l’informazione di posizione può essere combinata con altri dati di engagement, creando un profilo utente di precisione inquietante.

2.3. Attivazioni involontarie e dark patterns

Diversi utenti hanno segnalato la comparsa della funzione Mappa senza un’esplicita attivazione. È il solito schema dei dark pattern: interfacce progettate per indurre un comportamento inconsapevole o per semplificare l’assenso.

Il consenso, per essere valido, deve essere libero, specifico, informato e inequivocabile — non ottenuto tramite inganno o distrazione visiva.

2.4. Minori e vulnerabilità

Meta ha previsto sistemi di supervisione genitoriale: se un adolescente attiva la funzione, un genitore riceve una notifica e può disattivarla. Tuttavia, la protezione effettiva dei minori dipende più dall’implementazione tecnica che dalla promessa aziendale. È un caso da manuale di ethics washing: dichiarazioni rassicuranti non accompagnate da trasparenza documentale.

3. Inquadramento giuridico: tra GDPR e Codice Privacy

Il trattamento dei dati di geolocalizzazione rientra nella disciplina generale del Regolamento (UE) 2016/679 (GDPR), integrato in Italia dal d.lgs. 196/2003 come modificato dal d.lgs. 101/2018.

Sotto il profilo giuridico, la funzione “Mappa” comporta un trattamento automatizzato di dati personali, riconducibile a un’informazione univoca relativa a una persona fisica identificata o identificabile (art. 4, par. 1, GDPR).

3.1. Base giuridica del trattamento

La base giuridica appare necessariamente il consenso dell’utente (art. 6, par. 1, lett. a) GDPR), in quanto la condivisione della posizione non è necessaria all’esecuzione del contratto di servizio, ma costituisce una funzionalità opzionale.

Pertanto, Meta deve garantire che tale consenso sia: esplicito, tramite un’azione positiva chiara;

informato, con descrizione trasparente di finalità, durata e modalità di condivisione;

revocabile in ogni momento, con la stessa facilità con cui è stato prestato. 3.2. Principi applicabili

Ai sensi dell’art. 5 GDPR, il trattamento deve rispettare i principi di: limitazione della finalità , evitando usi secondari (profilazione o pubblicità) senza consenso ulteriore;

, evitando usi secondari (profilazione o pubblicità) senza consenso ulteriore; minimizzazione dei dati , trattando solo la posizione approssimativa e per un periodo strettamente necessario;

, trattando solo la posizione approssimativa e per un periodo strettamente necessario; esattezza e aggiornamento , evitando la conservazione di coordinate obsolete;

, evitando la conservazione di coordinate obsolete; limitazione della conservazione , con cancellazione automatica dopo la disattivazione;

, con cancellazione automatica dopo la disattivazione; integrità e riservatezza, garantendo cifratura dei dati e protezione contro accessi non autorizzati. 3.3. Privacy by design e DPIA

Trattandosi di dati a rischio elevato (movimenti, localizzazioni, abitudini), l’art. 35 GDPR impone la realizzazione di una valutazione d’impatto sulla protezione dei dati (DPIA).

Meta, in quanto titolare del trattamento, dovrebbe descrivere le misure tecniche adottate, le finalità, la natura dei dati, i rischi e le misure di mitigazione.

L’assenza di trasparenza su questi elementi configurerebbe una violazione dei principi di accountability (art. 5, par. 2).



4. Profili nazionali e poteri dell’Autorità Garante

Il Garante per la protezione dei dati personali ha già affrontato in passato casi analoghi (es. Google Street View, provvedimento del 2010), evidenziando che l’uso di tecnologie di localizzazione richiede cautele particolari.

Nel caso di Instagram Mappa, l’Autorità italiana potrebbe intervenire se: il consenso fosse ritenuto non sufficientemente informato o manipolatorio;

l’informativa non risultasse chiara, comprensibile e accessibile (art. 12 GDPR);

la funzione comportasse rischi sproporzionati per minori o soggetti vulnerabili. Sarebbe auspicabile un coordinamento europeo tramite l’EDPB (European Data Protection Board), che potrebbe emanare linee guida specifiche sulla geolocalizzazione in contesti sociali, aggiornando quelle già esistenti in materia di dispositivi mobili.

5. Responsabilità e scenari di rischio per Meta

5.1. Responsabilità amministrativa

Qualora l’Autorità riscontrasse violazioni dei principi di base del GDPR, Meta potrebbe essere soggetta a sanzioni fino a 20 milioni di euro o al 4% del fatturato globale annuo (art. 83 GDPR).

In passato, l’azienda è già stata sanzionata per carenze in materia di trasparenza e consenso (caso Facebook–Cambridge Analytica, caso WhatsApp–consenso pre-ticked).

5.2. Responsabilità civile e penale

Un eventuale utilizzo improprio dei dati di posizione (ad esempio, per atti di molestia o stalking) potrebbe dare luogo a responsabilità civile extracontrattuale per danno non patrimoniale (art. 82 GDPR) e, nei casi più gravi, anche a profili penali in base all’art. 167 del Codice Privacy.

Sarebbe inoltre astrattamente configurabile un concorso di responsabilità se l’architettura del servizio favorisse condotte lesive senza adeguate misure di prevenzione.

6. Consapevolezza digitale e limiti del consenso

Il cuore del problema non è tanto la funzione in sé, quanto la logica del consenso come alibi.

Nel mondo dei social network, il consenso è spesso la foglia di fico di architetture disegnate per favorire la condivisione automatica e l’abitudine alla trasparenza di sé.

Il consenso informato, per essere effettivo, presuppone un equilibrio informativo e cognitivo che raramente esiste tra piattaforma e utente medio.

Il principio di privacy by design non significa semplicemente “dare all’utente la possibilità di scegliere”, ma progettare sistemi che riducano il rischio anche se l’utente sceglie male.

E questa, più che una clausola normativa, è una responsabilità etica.

7. Conclusioni: una mappa che orienta… ma anche espone

La funzione Mappa di Instagram è il simbolo di una tensione crescente tra desiderio di connessione e diritto alla riservatezza.

È l’ennesimo esempio di come le piattaforme trasformino la socialità in dato, la prossimità in metadato e l’amicizia in un evento geolocalizzabile.

Il diritto, ancora una volta, rincorre un’evoluzione tecnologica che ha come principale effetto collaterale la normalizzazione della sorveglianza “consensuale”.

Come giuristi, DPO e professionisti del dato, dovremmo ricordare che la vera innovazione non è sapere dove siamo, ma garantire che nessuno ci segua quando non vogliamo essere trovati.

Box pratico: consigli per utenti e DPO

Utenti privati Lascia la funzione Mappa disattivata, salvo esigenze specifiche.

Controlla periodicamente le impostazioni e le autorizzazioni di localizzazione del dispositivo.

Non pubblicare contenuti geotaggati in luoghi sensibili (abitazione, scuola, studio, domicilio di terzi). Professionisti, influencer, aziende Valuta i rischi reputazionali prima di attivare la condivisione di posizione.

Inserisci riferimenti chiari alla funzione nelle policy aziendali e nella documentazione privacy interna. DPO e consulenti Effettua una valutazione d’impatto (DPIA) per i trattamenti che includano dati di localizzazione.

Richiedi a Meta trasparenza sulle logiche di raccolta e conservazione.

Educa gli utenti aziendali al principio “location is personal data”.

