Grindr si propone come “la più grande app di social network al mondo per persone gay, bisex, trans e queer“. Con i suoi 13,7 milioni di iscritti è l’applicazione più popolare nella comunità LGBTQ globale: favorisce la conoscenza e l’incontro tra persone non etero o semplici curiosi. E’ un ibrido tra un social network e un’applicazione per appuntamenti.
L’autorità norvegese per la protezione dei dati (Datatilsynet) ha annunciato che multerà Grindr, con una sanzione da 100 milioni di corone norvegesi, pari a 10 milioni di euro, per aver rivelato illegalmente dettagli privati dei suoi utenti a compagnie pubblicitarie, contravvenendo ai principi del GDPR (qui il provvedimento integrale).
La decisione arriva ad esito di un input di cui avevamo riferito ormai un anno fa. Il 14 gennaio 2020 il Forbrukerrådet o Norwegian Consumer Council (NCC), agenzia no-profit governativa per la tutela dei consumatori, aveva pubblicato uno studio denominato “Out of Control – How consumers are exploited by the online advertising industry”. Il documento era frutto di un lavoro accurato: le 186 pagine di cui si compone analizzano i comportamenti e i termini legali di 10 applicazioni nella versione rilasciata per i dispositivi che utilizzano il sistema operativo Android. Oltre a Grindr, erano finite sotto la lente di ingrandimento le privacy policy di:
- Perfect365: simulatore di make-up
- MyDays e Clue: app per monitoraggio dell’ovulazione e del ciclo mestruale
- Tinder and OkCupid: app per incontri
- Happn: app per ritrovare persone che sono state nelle vicinanze di recente
- My Talking Tom 2: app per infanti
- Muslim Assistant – Qibla Finder: app di supporto alle pratiche religiose dei musulmani
- Wave Keyboard Background: personalizzazione della tastiera con animazioni, emojis, GIF
Stando al report alcune queste app violavano sistematicamente i diritti di privacy degli utenti, specie in riferimento alla condivisione dei dati personali con una moltitudine di terze parti (se ne contano 135 specializzate in pubblicità e profilazione comportamentale). In particolare, veniva sottolineato come le più rinomate dating app – come Tinder, OKCupid e Grindr – condividessero con terze parti i dati sensibili dei loro utenti in violazione delle normative dell’UE.
Secondo lo NCC, Grindr condivide i dati GPS, gli indirizzi IP, le età, il sesso e l’orientamento sessuale dei suoi utenti con una moltitudine di società terze per finalità di targeting pubblicitario. Ad esempio, l’app include un software pubblicitario di proprietà di Twitter, che raccoglie ed elabora informazioni personali e identificatori univoci come l’ID di un telefono e l’indirizzo IP, consentendo alle aziende pubblicitarie di tracciare i consumatori su tutti i dispositivi. Questo intermediario di proprietà di Twitter per i dati personali è controllato da una società chiamata MoPub. Grindr elenca solo MoPub di Twitter come partner pubblicitario e incoraggia gli utenti a leggere le politiche sulla privacy dei partner di MoPub per capire come vengono utilizzati i dati; sennonché MoPub nelle proprie policy elenca più di 160 partner con cui essa potrebbe condividere i dati, il che rende chiaramente impossibile per gli utenti documentarsi adeguatamente e districarsi per poter discernere cosa è eccessivo e scegliere a cosa opporsi.
Peraltro, durante un test effettuato per un reportage del gennaio 2020, il New York Times aveva anch’esso verificato che la versione Android di Grindr (così come quella dell’altrettanto nota OkCupid) condivideva informazioni di localizzazione così precise da poter individuare il lato di un edificio in cui si erano seduti i reporter.
La denuncia dell’organismo norvegese a tutela dei consumatori ha colpito nel segno ed ecco che, a 12 mesi di distanza, Grindr è entrata nel mirino l’autorità nazionale che ha appurato come l’app faccia data sharing di dati personali come già rilevato dal NCC, essenzialmente etichettando gli individui come LGBTQ senza ottenere il loro esplicito consenso violando così gli artt. 6 e 9 del Regolamento UE 2016/679 sulla protezione dei dati. L’autorità ha confermato che, MoPub, la piattaforma pubblicitaria mobile di Twitter, può a sua volta condividere i dati con più di 100 partner.
Tobias Judin, capo del dipartimento internazionale dell’autorità norvegese per la protezione dei dati, ha affermato che le pratiche di data-mining di Grindr non solo hanno violato i diritti di privacy dei cittadini europei, ma potrebbero anche aver messo gli utenti in grave rischio in paesi, specie alcuni islamici, dove gli atti sessuali consensuali dello stesso sesso sono illegali.
“Se qualcuno scopre che sono gay e conosce i loro movimenti, può essere danneggiato“, ha detto Judin. “Stiamo cercando di far capire a queste app e servizi che questo approccio – non informare gli utenti, non ottenere un consenso valido per condividere i loro dati – è completamente inaccettabile“.
In aprile 2020, Grindr ha rinnovato il suo processo di consenso degli utenti. In una dichiarazione, un portavoce di Grindr ha detto che l’azienda ha ottenuto “un valido consenso legale da tutti” i suoi utenti in Europa in più occasioni ed era sicuro che il suo “approccio alla privacy degli utenti è il primo della classe” tra le app sociali. Ha aggiunto: “Miglioriamo continuamente le nostre pratiche di privacy in considerazione dell’evoluzione delle leggi e dei regolamenti sulla privacy, e non vediamo l’ora di entrare in un dialogo produttivo con l’Autorità norvegese per la protezione dei dati“.
L’azienda ha tempo fino al 15 febbraio per controbattere al provvedimento prima che divenga definitivo e per cercare di limitare l’entità della sanzione. La Datatilsynet ha inoltre reso noto che intende verificare se anche le compagnie pubblicitarie che hanno ricevuto i dati degli utenti da Grindr abbiano violato il GDPR.
Nel 2018 avevamo riferito di come l’app fosse già finita in una bufera in relazione all’introduzione di una new feature di condivisione di informazioni sulla sieropositività, ossia la possibilità di includere nel proprio profilo notizie concernenti relativi ai test HIV: la data delle ultime analisi di laboratorio effettuate e l’esito. Una funzionalità utile agli utenti per condividere in totale trasparenza con potenziali partner sessuali notizie sul proprio stato di salute e in qualche modo remunerativa per i centri medici (e indirettamente per l’app) che possono inviare pubblicità mirata agli iscritti per ricordar loro di effettuare il test periodico e suggerire dove eseguirlo in base alla geolocalizzazione del loro dispositivo. Il problema era che per fornire il servizio Grindr aveva condiviso i dati sensibili degli utenti con alcuni fornitori tecnici. Segnatamente, pare che le società Apptimize e Localytics – che prestano all’app servizi di analisi ed ottimizzazione – ricevessero da Grindr informazioni quali localizzazione geografica, ID del telefono, indirizzo e-mail, etnia, sottocultura gay di appartenenza, stato relazionale, età, peso, altezza e – cosa ancor più grave – i dati relativi ai test HIV. Una condivisione del tutto inutile, una profonda violazione dei diritti degli utenti che non erano stati informati in alcun modo circa questa eventualità. La condivisione di dati rivelatori del sindrome HIV con i partner tecnici fu immediatamente eliminata. Ma, come abbiamo visto, altre criticità sarebbero emerse nei mesi a venire.
I network e le app che riuniscono persone che condividono convinzioni o inclinazioni intime – specie se non ancora sono del tutto socialmente accettate pur essendo espressione di libertà riconosciute – devono esser fortemente responsabilizzate.
Negli ultimi decenni il mondo ha fatto grandi passi avanti nell’accettazione della differenze di religione, di razza/etnia, di genere e di orientamento sessuale. Ma non ancora quanti sarebbero dovuti: prova ne è ancor’oggi usiamo ancora la parola “diversità” anche quando vogliamo tutelarle. Il Giorno della Memoria, in cui casualmente scriviamo questo commento, ci ricorda che siamo una specie che – anche quando si aggrega in forme di civiltà che si consideriamo evolute – è in grado di perdere rapidamente il lume della ragione e di perseguitare ciò che qualifica come diverso… fino a desiderarne l’eliminazione, fino ad attuarne fisicamente lo sterminio.
All’inizio del terzo millennio non ci stiamo facendo mancare integralismi religiosi e suprematismi che propugnano, ognuno a suo modo, forme di estrema intolleranza. Nessuno si può permettere di abbassare la guardia. Tanto meno chi, a legittimo scopo di lucro, archivia e centralizza serialmente informazioni su milioni di individui che per le loro scelte o inclinazioni sono ancor’oggi maggiormente esposti ad atti di discriminazione ed aggressione. Sono informazioni che, per i criteri democratici che ci siamo imposti nel secondo dopoguerra, devono restare riservate (almeno nella misura scelta dell’interessato) e protette non solo da forme occulte di micro-profilazione per finalità di marketing ma anche da chi potrebbe aver interesse a intentare ricatti o persecuzioni su piccola o grande scala.