I requisiti generali contenuti nelle Norme di Qualità Assirm si applicano anche alle diverse tecniche di Social Media Research. Questo paragrafo descrive la maniera in cui tali requisiti dovrebbero essere resi operativi nella raccolta di dati provenienti dai social media per scopi esclusivi di ricerca di mercato, sociale e di opinione, riconoscendo l'esistenza e distinguendosi dalle diverse e molteplici attività rese possibili dai social media (ad esempio l'assistenza ai clienti, la gestione delle pubbliche relazioni, ecc).
2.1 Essere conformi con la legge
La Società si impegna a trattare tutte le informazioni fornite dal Cliente e rilevate per suo conto in maniera strettamente riservata e a non renderle note a terzi senza la sua autorizzazione. Le informazioni riservate vanno conservate in modo sicuro, in conformità con la normativa sulla sicurezza dei dati (Riservatezza della ricerca). I risultati di ricerca, ottenuti dalla Società per aver condotto una particolare ricerca “ad hoc”, sono di proprietà del Cliente e non devono essere utilizzati per scopi diversi da quello della ricerca stessa o in ricerche per altri Clienti senza autorizzazione, salvo accordi diversi. I risultati di una ricerca multiclient sono di proprietà della Società che può cederli o utilizzarli per uno o più Clienti senza autorizzazione, sulla base dei contratti stabiliti con ciascuno di essi.
La ricerca attraverso i social media deve attenersi alla normativa sulla privacy nazionale ed internazionale e ai requisiti rilevanti per la notifica, il consenso, l'accuratezza, la sicurezza e l'accesso inerente la raccolta e l’archiviazione delle informazioni personali identificative. Accedendo virtualmente ai vari siti/piattaforme online, i ricercatori sono soggetti ai Termini di Utilizzo (TdU) e alle Condizioni dei proprietari di tali siti/piattaforme, come le clausole sui diritti di proprietà intellettuale che proibiscono esplicitamente la copia non autorizzata di materiale, o i divieti di qualunque tipo di raccolta ed analisi dei dati senza averne il permesso. I TdU di solito trattano argomenti come le questioni di copyright e l'uso di materiale reperibile dal sito. Spesso, il proprietario del sito web è anche il proprietario del copyright. Ad ogni modo le leggi sul copyright sono complesse e variano a seconda della giurisdizione. I ricercatori devono esserne a conoscenza e devono rispettare le leggi vigenti in materia. Nella maggior parte dei casi, tuttavia, i dati per la Social Media Analysis vengono reperiti tramite cosiddetti software di crawling, ossia programmi volti a intercettare e scaricare i flussi di discussione sui social media corrispondenti a determinati parametri di ricerca. Oggi la rete rende disponibili molteplici piattaforme di crawling, anche gratuite, che si prestano a questo compito di raccolta. Tutti i contenuti ai quali i software di crawling accedono online e rendono fruibili per i ricercatori sono rigorosamente contenuti pubblici, ossia pubblicati dagli utenti in ambienti di pubblica visibilità. Non saranno recuperati in automatico dati provenienti da profili privati e chiusi dei singoli utenti oppure da siti per i quali è previsto un login per l’accesso. Vi possono essere tuttavia casi in cui è necessario accedere a contenuti provenienti da una Community per la quale è prevista la registrazione. Tale procedura è possibile solo previo accordo con l’amministratore della Community stessa, che procederà a regolarizzare e tutelare la privacy dei propri iscritti. È responsabilità dell’amministratore del crawling inoltre controllare le singole condizioni che si applicano al contenuto di un determinato social media che viene utilizzato per la raccolta di dati e rispettare le richieste di privacy (incluse le richieste di file robot.txt, pagine sicure, ecc.). Essi devono chiedere il permesso di acquisire contenuti da qualunque fonte e nei casi in cui ciò possa costituire una violazione dei TdU devono sempre e comunque rispettare le regole di quel servizio.
2.2 Consenso e notifica
Le Norme di Qualità Assirm affermano che la cooperazione dei partecipanti alla ricerca deve essere basata su informazioni adeguate circa lo scopo e la natura della ricerca (4.3.2. Informativa al rispondente) e che bisogna ottenere il consenso di questi a partecipare. Nonostante sia potenzialmente semplice ottenere il consenso dei membri delle community a scopo di ricerca di mercato, sociale e di opinione, il problema si pone per altri social media, i cui utenti generalmente non vengono informati in anticipo, o non hanno acconsentito all'uso dei dati per delle ricerche, a meno che ciò non sia esplicitamente menzionato nei TdU. Data la non consapevolezza degli utenti web ad essere “ascoltati” da parte di società di ricerca, l’accorgimento che i Social Media Analyst devono sempre seguire è trattare tutti i dati raccolti in modo anonimo. Ogni riferimento a contenuti prodotti dagli user all’interno di report di ricerca per i clienti devono nascondere i dati sensibili e anagrafici degli utenti (vedi oltre, tecniche di “masking”). Gli screen-shot tratti dal web riprodotti nei report per il cliente sono dunque sempre anonimizzati, eliminando nome e cognome dell’interessato. Si evidenzia che i sistemi di crawling in commercio e in uso non consentono di impostare filtri e, pertanto non consentono in automatico di “rimuovere i dati identificativi quali nome, foto, collegamenti al profilo dell'utente, ecc.”. Per quanto riguarda il rispetto della normativa sul copyright (diritti d’autore) e dei termini di utilizzo (TdU), si rinvia al caso specifico del servizio utilizzato. In ogni caso, la documentazione relativa all’utilizzo di tali servizi deve essere disponibile nella cartellina di ricerca o in un’area comune, con le relative analisi legali e organizzative. Per quanto riguarda la privacy si vedano anche le misure definite nelle procedure interne definite per la privacy (es. Documento programmatico sulla Sicurezza o equivalente), e la normativa applicabile (D.Lgs. 196/2003) e per quanto riguarda i “cookies”, art. 122 del D.Lgs. 196/2003, dal D.Lgs. 69/2012 e dal Provvedimento del Garante Privacy n. 229/2014. Per quanto riguarda la riservatezza della ricerca, si veda anche il punto 2.2 delle Norme di Qualità Assirm.
2.3 Protezione dei dati personali
La legislazione sulla privacy (ai sensi del d.lgs. n. 196/2003) si applica solo ai dati personali identificativi e non ai dati tramite i quali è impossibile identificare un soggetto. Le piattaforme di social media offrono molte opportunità di visualizzazione di dati personali identificativi. Alcuni soggetti postano informazioni che svelano apertamente la propria identità; essi ne sono consapevoli e hanno delle aspettative limitate in materia di privacy. Altri, invece, non sono consapevoli del fatto che i servizi che stanno usando siano aperti ad altri, anche per la raccolta di dati, oppure pensano di non essere riconoscibili, mascherando la propria identità con un nickname o uno pseudonimo. Ad ogni modo, oggigiorno esistono servizi online che rendono possibile in molti casi l'identificazione di chi posta un determinato contenuto, ad esempio grazie allo user name o ai commenti pubblicati in seguito al post, e possono collegare l’utente a molti altri dati identificativi, inclusi l'indirizzo, il numero di telefono, il reddito approssimativo e i dati socio-demografici. Detto ciò, appare chiaro che i dati non possano essere resi anonimi al 100% su internet, semplicemente rimuovendo lo user name e l'URL collegato al commento. Quindi, se i ricercatori intendono citare all'interno di un report dei commenti pubblici, essi devono prima controllare che l'identità dell'utente non sia facilmente rintracciabile usando i suddetti servizi disponibili in rete. Se questa ipotesi è verosimile, i ricercatori devono sforzarsi di ottenere il permesso dall'utente, al fine di poterlo citare, o, in caso contrario, di mascherare il commento, in modo che l'identità di chi lo ha postato non possa essere svelata. Il "masking" è una tecnica tramite la quale i dati originali vengono talmente modificati da rendere difficilissima la ricerca degli stessi in rete, tramite un motore di ricerca. In tal modo, anche l'identità dell'utente che li ha originati è difficile da scoprire. Questa è una tecnica molto utile per assicurarsi che l'anonimato delle persone che commentano sia rispettato, nei casi in cui:
1. il ricercatore non ha cercato di ottenere il permesso;
2. il commento sarebbe facilmente rintracciabile tramite un servizio di ricerca.
Il masking può essere applicato in vari gradi, che vanno dal semplice cambiamento di qualche parola tramite l'alterazione di alcuni elementi chiave di un commento, fino all'abbreviazione. E' responsabilità del ricercatore decidere quale grado sia il più appropriato. Alcuni fattori da tenere in considerazione al riguardo sono:
• se l'argomento di discussione è delicato o personale;
• se vi è uso di linguaggio offensivo;
• se ci sono riferimenti contro la legge;
• se ci sono elementi che potrebbero creare imbarazzo o avere un impatto negativo sulle opportunità di carriera;
• se ci sono informazioni identificative;
• se ci sono dati a proposito di altre persone che non siano già stati resi pubblici.
Nel caso di foto o video pubblici bisognerebbe tenere in considerazione alcune tecniche come ad esempio la dissimulazione dei volti tramite l'uso di pixel, nei casi in cui il masking è necessario. E' importante considerare che il masking probabilmente non sarà sufficiente in molti contesti business-to-business oppure quando la ricerca viene condotta all'interno di un gruppo molto ristretto, visto che l'identificazione è molto semplice, nonostante si cerchi di mascherare i dati identificativi. Quando i ricercatori inseriscono un commento in un report per un Cliente è necessario indicare chiaramente se sono state utilizzate delle tecniche di masking. Se il ricercatore decide di chiedere il permesso dell'utente per citarlo, egli deve rispettare le normative vigenti nel paese dove è residente l’utente; deve inoltre rassicurare l'utente sul fatto che queste vengano rispettate e deve spiegare chiaramente e onestamente lo scopo del suo lavoro. Si dovrebbe dare l'opportunità all'utente di verificare la buona fede del ricercatore, se lo desidera, prima di autorizzarlo a procedere. Nei casi in cui i ricercatori utilizzano dei servizi per arricchire i commenti dell’utente con dati demografici ad esso associati (ad esempio informazioni tratte dai profili personali), essi dovrebbero usare queste informazioni solo per scopi di classificazione della ricerca. Visto che questi servizi spesso forniscono informazioni identificative personali (come i numeri di telefono e gli indirizzi e-mail), questi potrebbero permettere un collegamento non intenzionale dei dati di ricerca ai dati personali e ciò non deve assolutamente essere usato nell'analisi o trasmesso a terzi.
2.4 Assicurarsi di non arrecare danno
Un principio chiave stabilito e condiviso dalle Norme di qualità Assirm è che i rispondenti non debbono mai ed in alcun modo subire conseguenze negative, come risultato diretto della loro partecipazione ad una ricerca. Il rischio maggiore nella ricerca tramite i social media è collegare alla rivelazione accidentale l'identità degli utenti, che non avevano compreso di partecipare ad una ricerca e che quindi non si aspettavano di poter essere identificati. Ancora una volta, per assicurarsi che gli utenti non subiscano danni a causa delle attività di ricerca, bisogna rispettare un principio di cautela, rimuovendo ogni dato personale identificativo al più presto possibile e prendendo in considerazione l'attuazione dei controlli di qualità necessari. In tal senso i ricercatori devono essere particolarmente cauti quando conducono ricerche in cui sono coinvolti bambini o minori (4.3.3. Raccolta dati da minori o da rispondenti vulnerabili). Questa è una questione particolare nel caso di piattaforme social, alle quali anche i bambini possono prendere parte. Quando dei dati provengono probabilmente da un bambino, i ricercatori devono prestare particolare attenzione alla dissimulazione delle risposte, al fine di assicurare che l'utente non possa essere identificato, oppure ottenere il permesso da un genitore o dal tutore legale per raccogliere ed usare i dati identificativi. Anche la SMR condotta nel campo farmaceutico necessita di particolari procedure. La normativa sulla farmacovigilanza prevede infatti che ogni cosiddetto “evento avverso” su un farmaco rilevato all’interno delle conversazioni web debba essere segnalato agli appositi uffici della casa farmaceutica che ha commissionato l’indagine e proprietaria del farmaco in questione. Per evento avverso si intende qui un qualsiasi fenomeno clinico spiacevole che si presenta durante un trattamento con un farmaco, ma che non abbia necessariamente un rapporto di causalità (o di relazione) con il trattamento stesso. Le aziende hanno diretta responsabilità nel monitorare ciò che avviene sulle proprie properties digitali. Nel momento in cui invece si affidano a società di ricerca per il monitoraggio del conversato sui farmaci su forum e social network, diviene responsabilità della Società stesso attenersi alle procedure della farmacovigilanza, così come comunicate e inoltrate dall’azienda. Le conversazioni online sono infatti spesso ricche di dettagli sul contesto della reazione avversa, sulle comorbilità, sugli usi off label, sulle interazioni tra farmaci. Eventuali post o commenti che riportino perciò un evento avverso, un reclamo su prodotto o altro che l’azienda ritiene rilevante, devono essere inoltrati da parte del ricercatore all’azienda farmaceutica che provvederà ad attivare la segnalazione al reparto di farmacovigilanza, seguendo le tempistiche e le modalità previste dalla legge. Nel caso di rintracciamento di un evento avverso sarà peraltro richiesto e concesso al ricercatore di raccogliere e inoltrare all’azienda farmaceutica le informazioni personali (se disponibili) dell’autore del post o del commento essenziali per poter procedere con la segnalazione.
2.5 Reputazione del Cliente e del settore
I ricercatori e tutti le componenti partecipanti alla ricerca si impegnano a trattare tutte le informazioni fornite dal Cliente e rilevate per suo conto in maniera strettamente riservata, a non renderle note a terzi senza la sua autorizzazione, a non fare nulla che possa danneggiare la sua reputazione. In generale occorre sempre tenere a mente e rispettare i principi chiave del Codice di Etica Professionale ASSIRM nel lavoro condotto, cercando di evitare attività e pratiche che possano minare la fiducia del pubblico nella ricerca di mercato, sociale e di opinione. La Società risponde interamente di tutti i servizi svolti in relazione alla ricerca, incluse le parti del lavoro o servizio affidate a fornitori, singoli professionisti o società (Outsourcing) per le seguenti categorie di servizi, con impatto determinante sulla qualità della ricerca, tranne i casi in cui la scelta del fornitore sia del Cliente:
• Traduttori
• Centri di trattamento dati (Data Entry, etc.)
• Tool e software per il crawling, la normalizzazione e l’elaborazione dei dati
• Altre Società di ricerca
• Consulenti
La Società deve documentare per le categorie di servizi sopra indicate le modalità per:
• selezionare e qualificare i fornitori;
• stabilire i rapporti contrattuali con essi;
• fornire agli stessi le necessarie istruzioni per l’esecuzione del servizio loro affidato;
• controllare la qualità del servizio fornito;
• valutare le prestazioni dei fornitori con cadenza almeno annuale.