Un rapporto di Privacy International contesta al social, e a un gruppo di applicazioni, lo scambio di dati fuori da ogni autorizzazione degli utenti. Anche quando questi non siano iscritti alla piattaforma di Mark Zuckerberg
Privacy International, un’organizzazione londinese che si occupa di tecnologia e diritti umani, ha diffuso un rapporto nel quale rende conto di come una serie di applicazioni molto popolari per Android condividano una serie di informazioni con Facebook senza chiedere il permesso all’utente. In particolare, anche quando questi non abbia un profilo sul social network di Mark Zuckerberg o sia sloggato.
Il test
Il gruppo ha testato 34 app famosissime, che sfoggiano fra i 10 e i 500 milioni di utenti, dicendosi “molto preoccupato” del modo in cui i dati vengano “sfruttati” nel dietro le quinte da Google e Facebook. In effetti 23 di queste applicazioni trasferirebbero in automatico una serie di informazioni ai server di Menlo Park. Per esempio quante volte un utente le ha aperte o chiuse, il tipo di dispositivo utilizzato, la lingua e la zona oraria. Ma anche – elemento più importante – l’ID Pubblicità di Google.
L’ID Pubblicità di Google
Di cosa si tratta? Forse pochi sanno che a ogni dispositivo Android viene automaticamente assegnato un numero noto in inglese come Google advertising ID. È un’etichetta che serve a raccogliere anonimamente le informazioni che poi vengono utilizzate per mostrare all’utente inserzioni e annunci cuciti su misura dal sistema Google Ads ma anche altre informazioni rispetto ai propri interessi. Volendo si può resettare, per riportare all’anno zero la profilazione legata a quel dispositivo e, almeno nella fase iniziale, rendere più complicato l’inseguimento pubblicitario. Dal quale, questo vale la pena ricordarlo, ci si può anche tirare fuori del tutto: ricevendo pubblicità distribuite in modo casuale, dunque senza tenere conto anche dei dati che le app in questione passerebbero a Facebook.
Le app coinvolte e la replica di Facebook
L’app Kayak, per esempio, invierebbe i dati a ogni ricerca effettuata includendo orario, città di partenza e arrivo, aeroporti e date di voli confrontati, ma anche numero e classe dei biglietti ricercati. Tutto questo senza alcun interesse sul fatto che l’utente sia loggato a Facebook o addirittura sia iscritto o meno alla piattaforma. Da Menlo Park spiegano che “Facebook offre analisi e servizi pubblicitari agli sviluppatori delle app, servizi che li aiutano a raccogliere informazioni aggregate su come le persone utilizzino le loro applicazioni, una pratica molto comune per molte compagnie”. Oltre a Kayak, altre app coinvolte sarebbero MyFitnessPal, DuoLingo, Indeed, Shazam, Skyscanner, Spotify, TripAdvisor e Yelp.
“Clear History”, la funzionalità che tarda ad arrivare
Il social ha insistito molto su come tantissime altre piattaforme sfruttino simili “comunicazioni in background” (virgolette nostre) fra un’app e l’altra: “Amazon, Google e Twitter offrono tutte funzionalità di login – ha aggiunto un portavoce alla non profit di Londra – e sempre queste ma anche altre come Adobe, Flurry o Mixpanel forniscono analytics agli sviluppatori. Più in generale, molti siti e app trasferiscono le stesse informazioni a più società ogni volte che le si apre”.
Tutto ben noto per chi segua l’ambiente, un po’ meno per un utente che magari si sentirebbe sicuro da questi incroci semplicemente scollegandosi dall’app o cancellando il proprio account. Non è così. Un rimedio più efficace, secondo il gruppo californiano, potrebbe invece essere quello di utilizzare la tante volte annunciata – ma non ancora diffusa – funzionalità “Clear History”. Promessa nel pieno dello scandalo Cambridge Analytica, il nuovo strumento dovrebbe servire proprio a dissociare dal proprio account e l’intera cronologia di navigazione legata all’attività svolta sul social network ma anche sui siti esterni visitati partendo dalla sua bacheca. Tutto con pochi passaggi.
Ma il problema è un altro
Tuttavia la dinamica segnalata dal rapporto di Privacy International sembra differente da quella su cui dovrebbe intervenire questo nuovo tool. Il punto, infatti, è duplice: questo sistema consentirebbe non solo di collegare a un utente che disponga di un profilo Facebook informazioni che magari non ha o non avrebbe mai voluto condividere e caricare sulla piattaforma (molto si può dedurre da un utente a partire dalle app che usa e da come le usa), ma anche di trasferire informazioni sulla sua attività addirittura prima che interagisca davvero, in termini sostanziali, con un’app. Condizione che, secondo l’organizzazione britannica, potrebbe mettere in dubbio la stessa architettura delle app che integrano gli Strumenti di Facebook Business e che dunque condividono dati attraverso il Facebook Software Development Kit.
Sul primo fronte, un esempio lo fa la stessa organizzazione inglese che ha condotto l’indagine: di una persona che abbia installato le app Qibla Connect, utile a rammentare le preghiere islamiche, Period Tracker Clue, per il monitoraggio del ciclo mestruale, Indeed, un’app di ricerca lavoro, e My Talking Tom, per i bambini – tutte testate da Privacy International – si potrebbe facilmente dedurre che si tratti di una donna, probabilmente musulmana, in cerca di lavoro e madre.
Gli Strumenti di Facebook Business sono l’ecosistema attraverso il quale il social si proietta fuori da se stesso. Tutto ciò che siamo abituati a trovare da anni su (o all’interno) una qualsiasi decente pagina web o sulle applicazioni: dai plug-in social come i pulsanti “Mi piace” e Condividi, Facebook Login e Account Kit agli strumenti utili per implementarli (Api e appunto Sdk) fino ad “altri plug-in, integrazioni, codici, specifiche, documentazioni, tecnologie e servizi legati alla piattaforma”, come spiega la stessa azienda.
Il dubbio GDPR
Secondo il rapporto – qui si arriva all’aspetto più sfumato ma anche delicato delle contestazioni – l’architettura di quelle applicazioni, che integrano tutte un qualche strumento pescato dal grosso gruppo appena citato, non sarebbe in linea con quanto previsto dal GDPR, il regolamento generale europeo per la protezione dei dati personali in vigore dallo scorso maggio. In particolare con il principio noto come privacy by design e by default, cioè quell’approccio concettuale che impone alle aziende l’obbligo di avviare, impostare e programmare un progetto prevedendo, fin dall’inizio, gli strumenti e le corrette impostazioni a tutela dei dati personali. Fra le aziende coinvolte solo Skyscanner ha risposto a Privacy International modificando il funzionamento della propria app, e bloccando la trasmissione dei dati a Facebook.
