Il Forbrukerrådet o Norwegian Consumer Council (NCC), agenzia no-profit governativa per la tutela dei consumatori, ha pubblicato il 14 gennaio 2020 uno studio denominato “Out of Control – How consumers are exploited by the online advertising industry”. Il documento è frutto di un lavoro accurato: le 186 pagine di cui si compone analizzano i comportamenti e i termini legali di 10 applicazioni nella versione rilasciata per i dispositivi che utilizzano il sistema operativo Android:
- Perfect365: simulatore di make-up
- MyDays e Clue: app per monitoraggio dell’ovulazione e del ciclo mestruale
- Tinder and OkCupid: app per incontri
- Grindr: app per incontri con target omossessuale
- Happn: app per ritrovare persone che sono state nelle vicinanze di recente
- My Talking Tom 2: app per infanti
- Muslim Assistant – Qibla Finder: app di supporto alle pratiche religiose dei musulmani
- Wave Keyboard Background: personalizzazione della tastiera con animazioni, emojis, GIF
Secondo il report alcune delle app più diffuse violano sistematicamente i diritti di privacy degli utenti, specie in riferimento alla condivisione dei dati personali con una moltitudine di terze parti (se ne contano 135 specializzate in pubblicità e profilazione comportamentale). In particolare, viene sottolineato come le più rinomate dating app – come Tinder, OKCupid e Grindr – condividerebbero con terze parti i dati personali sensibili dei loro utenti in violazione delle normative dell’UE.
Secondo lo NCC, Grindr, che si propone come “la più grande app di social network al mondo per persone gay, bisex, trans e queer“, condivide i dati GPS, gli indirizzi IP, le età, il sesso e l’orientamento sessuale dei suoi utenti con una moltitudine di società terze per finalità di targeting pubblicitario. Ad esempio, l’app Grinder include un software pubblicitario di proprietà di Twitter, che raccoglie ed elabora informazioni personali e identificatori univoci come l’ID di un telefono e l’indirizzo IP, consentendo alle aziende pubblicitarie di tracciare i consumatori su tutti i dispositivi. Questo intermediario di proprietà di Twitter per i dati personali è controllato da una società chiamata MoPub. Grindr elenca solo MoPub di Twitter come partner pubblicitario e incoraggia gli utenti a leggere le politiche sulla privacy dei partner di MoPub per capire come vengono utilizzati i dati; sennonché MoPub nelle proprie policy elenca più di 160 partner con cui essa potrebbe condividere i dati, il che rende chiaramente impossibile per gli utenti documentarsi adeguatamente e districarsi per poter discernere cosa è eccessivo e scegliere a cosa opporsi.
Le policy degli app di incontri Tinder (100 mln di download solo su Google Play) e OKCupid (10 milioni) – simili perché entrambi appartenenti all’americana Match Group – lasciano presagire una condivisione di dati tra le società del gruppo (che conta 45 entità, tra siti e app, sempre nell’ambito del dating) e con una serie di partner scarsamente identificati. Lo studio evidenzia inoltre come OkCupid ha condividerebbe dettagli su sessualità di un utente, uso di droghe, opinioni politiche e altro su una società di analisi chiamata Braze. Dubbi anche circa le basi giuridiche invocate a legittimazione dei diversi trattamenti. Lo NCC aveva già contestato le pratiche scorrette di Tinder sui dati personali in un complaint del 2016.
Sempre con riguardo ai presupposti di liceità, la applicazione Happn dichiara di condividere i dati con partner commerciali (non identificati) per finalità pubblicitarie sulla base del “legittimo interesse”: una base giuridica questionabile ai sensi del GDPR in relazione a tali scopi.
Le app per monitoraggio del ciclo femminile – MyDays e Clue – sono sospettate di privare gli interessati del diritto di opporsi a specifici trattamenti ulteriori quali la condivisione dei dati con terzi advertiser, ivi compresa la geolocalizzazione.
Riguardo l’app Perfect365 di trucco virtuale (50 mln di download solo su Google Play) sono sollevate diverse questioni che vanno dalla geolocalizzazione, alla raccolta di dati in background, per finire alla condivisione dei dati con 70 terze parti a fronte di promessi sconti e vantaggi (società che talora non hanno niente a che spartire con il comparto della cosmetica o del benessere, come la Factual Inc. specializzata in campagne politiche).
I termini dell’app per osservanti musulmani Muslim Assistant sono riferiti alla legislazione turca (cui afferisce il produttore), non contengono dichiarazioni o informazioni chiare sulla condivisione dei dati degli iscritti. Essendo commercializzata nella UE, l’app dovrebbe invece rispettare i requisiti del GDPR, ivi compresi quelli sulla trasparenza della condivisione e la specificità del consenso.
In sintesi, non c’è un app – tra quelle analizzate – che appaia in regola con il GDPR e rispettosa della privacy degli utenti. Lo NCC avvisa “Questi attori, che fanno parte di ciò che chiamiamo il marketing digitale e l’industria adtech, usano queste informazioni per seguirci nel tempo e su tutti i dispositivi, al fine di creare profili completi sui singoli consumatori. A loro volta, questi profili e gruppi possono essere utilizzati per personalizzare e indirizzare la pubblicità, ma anche per altri scopi come discriminazione, manipolazione e sfruttamento.”
Il problema di fondo è che la maggioranza degli utenti non prova nemmeno a leggere o a comprendere le privacy policy prima di utilizzare un’app. Ma – secondo lo studio norvegese – anche se le policy venissero analizzate con attenzione, il legalese che caratterizza la prolissa documentazione spesso non fornisce un quadro completo di ciò che accade alle informazioni personali di una persona. Spetta dunque, come ovvio che sia, ai regulators impegnarsi per far rispettare norme che prescrivono chiarezza, semplicità di linguaggio, possibilità di scelta e molto altro ancora.
Lo studio norvegese conclude che:
- 20 mesi dopo l’entrata in vigore del GDPR, i consumatori sono ancora pervasivamente tracciati e profilati online e non hanno modo di sapere quali entità elaborano i loro dati e come fermarli;
- nonostante molte di queste pratiche siano vietate dalla regolamentazione UE, l’industria adtech sembra elaborare e condividere dati personali in modo incontrollato;
- le autorità di protezione dei dati devono impegnarsi a far rispettare il GDPR affinché i protagonisti della pubblicità digitale individuino metodi alternativi che rispettino i diritti fondamentali delle persone.
La ricerca viene pertanto inoltrata alla Consumer Authority norvegese che avrà il compito sia di assumere i propri provvedimenti rispetto a possibili violazione sia di coinvolgere le istituzioni UE e quelle degli altri Paesi membri affinché si possa concertare una reazione comune.