Era il 14 gennaio 2020 quando il Norwegian Consumer Council (NCC), agenzia no-profit governativa per la tutela dei consumatori, rendeva pubblici i risultati di una ricerca commissionata a una società esperta in cybersecurity sul traffico dei dati relativo alle dieci app più popolari.
Secondo il rapporto reso, alcune delle app più diffuse violano sistematicamente i diritti di privacy degli utenti, specie in riferimento alla condivisione dei dati personali con una moltitudine di terze parti (se ne contano 135 specializzate in pubblicità e profilazione comportamentale).
Dall’analisi condotta, in particolare, sono risultate, nella maggior parte dei casi, un’informativa carente o comunque opaca circa le terze parti alle quali i dati vengono comunicati e la mancanza di opzioni o impostazioni significative per impedire o ridurre la condivisione: una conclusione tanto più preoccupante se si considera che generalmente ogni destinatario dei dati ha, a propria volta, la possibilità di condividerli con ulteriori terze parti.
Il rapporto della NCC in dettaglio
Nel dettaglio, secondo il NCC: “l’app Perfect365, dedicata al trucco virtuale (50 mln di download solo su Google Play), a fronte di promessi sconti e vantaggi condivide i dati con 70 terze parti (alcune delle quali non hanno niente a che spartire con il comparto della cosmetica o del benessere, come la Factual Inc. specializzata in campagne politiche), senza che all’utente sia stato richiesto di esprimere un consenso a riguardo.
Discorso analogo per la app per il monitoraggio del ciclo femminile Clue; l’omologa MyDays, per evitare temi di raccolta del consenso, individua assai discutibilmente nel legittimo interesse la base legale per la condivisione dei dati con terzi advertiser, ivi compresa la geolocalizzazione.
I termini dell’app per osservanti musulmani Muslim – Qibla Finder sono riferiti alla legislazione turca (cui è soggetto il produttore Muslim Assistant) e non contengono dichiarazioni o informazioni chiare sulla condivisione dei dati degli iscritti. Essendo commercializzata nella UE, l’app dovrebbe, invece, rispettare i requisiti del GDPR, ivi compresi quelli sulla trasparenza della condivisione e la specificità del consenso.
Grindr, che si propone come “la più grande app di social network al mondo per persone gay, bisex, trans e queer“, condivide i dati GPS, gli indirizzi IP, le età, il sesso e l’orientamento sessuale dei suoi utenti con una moltitudine di società terze per finalità di targeting pubblicitario. Ad esempio, l’app Grindr include un software pubblicitario di proprietà di Twitter, che raccoglie ed elabora informazioni personali e identificatori univoci come l’ID di un telefono e l’indirizzo IP, consentendo alle aziende pubblicitarie di tracciare i consumatori su tutti i dispositivi. Questo intermediario di proprietà di Twitter per i dati personali è controllato da una società chiamata MoPub. Grindr elenca solo MoPub di Twitter come partner pubblicitario e incoraggia gli utenti a leggere le politiche sulla privacy dei partner di MoPub per capire come vengono utilizzati i dati; senonché MoPub nelle proprie policy elenca più di 160 partner con cui essa potrebbe condividere i dati, il che rende chiaramente impossibile per gli utenti documentarsi adeguatamente e districarsi per poter discernere cosa è eccessivo e scegliere a cosa opporsi.
Le policy degli app di incontri Tinder (100 mln di download solo su Google Play) e OKCupid (10 milioni) – simili perché entrambi appartenenti all’americana Match Group – lasciano presagire una condivisione di dati tra le società del gruppo (che conta 45 entità, tra siti e app, sempre nell’ambito del dating) e con una serie di partner scarsamente identificati. Lo studio evidenzia inoltre come OkCupid condividerebbe dettagli su sessualità di un utente, uso di droghe, opinioni politiche e altro su una società di analisi chiamata Braze. Dubbi sono sollevati anche sulle basi giuridiche invocate a legittimazione dei diversi trattamenti.
La conclusione cui il NCC perviene non conosce mezzi termini: “Questi attori, che fanno parte di ciò che chiamiamo il marketing digitale e l’industria adtech, usano queste informazioni per seguirci nel tempo e su tutti i dispositivi, al fine di creare profili completi sui singoli consumatori. A loro volta, questi profili e gruppi possono essere utilizzati per personalizzare e indirizzare la pubblicità, ma anche per altri scopi come discriminazione, manipolazione e sfruttamento.”
Considerazioni analoghe avevano, peraltro, già portato il NCC a sollevare esposti presso l’Autorità norvegese preposta alla tutela dei consumatori (Norwegian Consumer Ombudsman) contro grandi player, come per esempio Tinder e anche questa volta sono stati depositati presso l’Autorità di protezione dei dati norvegese tre esposti nei confronti di Grindr e di cinque società del comparto adtech companies che ricevono dati personali attraverso l’app: MoPub (Twitter), AppNexus (AT&T), OpenX, AdColony e Smaato.
Le altre iniziative
Dall’entrata in vigore del GDPR e sulla scorta dell’articolo 80 che attribuisce agli interessati il diritto di proporre reclami attraverso un “organismo, un’organizzazione o una associazione senza scopo di lucro…i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà”, iniziative analoghe a quelle del NCC sono state promosse anche da altre associazioni no-profit, come Noyb (acronimo di ‘none of our business’) facente capo a Max Schrems, l’attivista austriaco che aveva evidenziato le falle del Safe Harbour, il vecchio accordo per il trasferimento dei dati EU/USA. Iniziative promosse innanzi a diverse autorità preposte alla tutela dei dati nei vari Stati europei, volte a denunciare:
- le forzature nei consensi richiesti da Google, Facebook, Instagram e WhatsApp;
- la violazione della normativa sui cookies da parte di operatori di spicco nei settori di riferimento – CDiscount, Allociné e Vanity Fair – le cui pagine web ‘trasformavano’ il rifiuto dei cookies da parte degli utenti in un ‘finto consenso’, aprendo, di conseguenza, la porta alla tracciatura di operatori come Facebook, AppNexus e Pubmatic;
- la violazione strutturale delle disposizioni in materia di diritto di accesso ai dati degli interessati da parte di otto società di otto Paesi diversi che forniscono servizi di streaming online- si tratta dei giganti dei servizi di streaming online come YouTube, Apple, Spotify o Amazon.
Sul fronte delle autorità regolatorie si registra un interessante e virtuoso gioco di sponda con le iniziative della società civile, che ha portato frutti di non poco significato. Si considerino, ad esempio:
- il provvedimento del CNIL (Commission Nationale Informatique & Libertés – l’Autorità garante dei dati personali francese) contro Google LLC per la non adeguatezza delle sue pratiche con il Regolamento e applicazione di una multa da ben 50 milioni di Euro;
- l’apertura dell’indagine dell’Autorità garante per la protezione dei dati irlandese (Data Protection Commission – DPC), nei confronti di Tinder
- sulla legittimità del trattamento dei dati degli utenti da parte di quest’ultima, ivi inclusa la condivisione con terze parti – e nei confronti di Google – sui trattamenti dei dati di geolocalizzazione;
- l’ordine di ispezione, della stessa DPC, nei confronti di Facebook in relazione all’annuncio del lancio della nuova app Facebook Dating, che risulta allo stato posticipato.
Quel che viene fatto di concludere, alla luce di tutte le considerazioni che precedono, è che, in un contesto fluido e in esponenziale evoluzione, come quello dell’adtech, il gioco di sponda tra i vari stakeholders non è solo importante ma forse rappresenta proprio la chiave per raggiungere l’obiettivo ultimo dell’effettività della tutela prevista dalla legge.
E se, in esito a report e reclami, Twitter si affretta a dichiarare alla stampa di stare conducendo delle indagini su MoPub e di avere nel frattempo disabilitato il suo account; o se Zuckerberg, a valle della riunione a Bruxelles con esponenti dell’establishment comunitario – Margrethe Vestager, responsabile del digitale e della concorrenza, e Vera Jourovà, responsabile dello stato di diritto – riconosce che i tempi dei gentlemen’s agreements con l’UE sono terminati, forse significa che questa sinergia nel tempo è destinata a portare frutto.