Cultura e scienza
#Appfail: ecco perché i nostri dati sensibili sono a rischio
Accettando termini e condizioni di utilizzo dei più popolari social network e di applicazioni che raccolgono dati relativi al nostro stato di salute, rinunciamo "a diritti fondamentali in materia di privacy" spiega Finn Myrstad: è il direttore del settore Digital policy del Norwegian Consumer Council, che ne ha analizzate 20. Su Altreconomia 183 la nostra inchiesta sul mobile-Health, con un’intervista al Garante italiano, Antonello Soro
Una maratona di quasi 32 ore per leggere, parola per parola, "Termini e condizioni" di 33 applicazioni, dai più popolari social network ad alcune App dedicate al fitness e alla salute. In tutto, 250mila parole. Si è chiusa così, la scorsa settimana, la campagna #Appfail, promossa da gennaio 2016 dal Norwegian Consumer Council, un’agenzia governativa norvegese che dagli anni Cinquanta si occupa di diritti dei consumatori. “Sono talmente tante i temi legati alla privacy e alla tutela del consumatore collegate alle applicazioni, che ci è sembrato un passo naturale nel nostro lavoro per i ‘diritti digitali’ dei consumatori” spiega ad Altreconomia Finn Myrstad, direttore del settore Digital policy al Norwegian Consumer Council.
Che cosa avete provato, e riassunto in un report, in merito ai termini d’uso e alle politiche sulla privacy delle applicazioni?
FM Dopo aver letto e cercato di comprendere ‘termini e condizioni’ d’utilizzo di 20 app particolarmente popolari, possiamo riassumere per punti le nostre scoperte: accettandole, rinunci a diritti fondamentali in materia di privacy; l’applicazione ti traccia, anche quando non è in uso; dati personali sensibili possono essere venduti; i termini possono cambiare in ogni momento, senza alcun riscontro; l’app può cancellare il tuo account a propria discrezione.
Che cosa può dirci in merito alle applicazione che riguardano la salute e il fitness?
FM In questo caso, abbiamo trovato aspetti problematici relativi ai diritti dei consumatori e alla privacy in tutte le app di questo tipo che abbiamo analizzato (sono Endomondo, Runkeeper, Strava, Lifesum e MyFitnessPal, ndr). Ad esempio, nessuna specifica con chiarezza che cancelleranno il tuo profilo ed i tuoi dati qualora tu non utilizzi l’account per anni: questo significa che i dati verranno, probabilmente, conservati per sempre. E ciò viola le regolamentazioni europee in materia di privacy.
A seguito della nostra campagna, Endomondo e MyFitnesspal hanno modificato i propri ‘termini di utilizzo’. E Runkeeper ha immediatamente modificato l’applicazione quando abbiamo reso pubblico il ‘leak’ di dati che avevamo potuto dimostrare, spiegando che si era trattato di un errore. In ogni caso, non siamo ancora soddisfatti ed abbiamo chiesto di modificare alcuni ‘termini’ che consideriamo inaccettabili. Non abbiamo ricevuto risposte da Strava e Lifesum, al momento.
Perché avete deciso di muovere una denuncia nei confronti di Runkeeper di fronte alla Norwegian Data Protection Authority?
FM Abbiamo scoperto che il servizio invia dati personali (sia ID di Google Advertising che la localizzazione) a una terza parte (Kiip.me) quando l’applicazione non è in uso. Né tra i termini di utilizzo, né nella politica relativa alla privacy, e nemmeno pop up o strumenti simili notificano all’utente questa situazione. E far ciò senza informare o chiedere il consenso in merito rappresenta una seria violazione della regolazione europea in materia di privacy, oltre che della fiducia dell’utente.
Nel nuovo Regolamento UE sulla protezione dei dati personali (2016/679) si legge che “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali […], i produttori […] dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati”. Una sorta di raccomandazione. Pensate che questo sia sufficiente?
FM Riteniamo che la formulazione potrebbe essere più solida, perché spesso la protezione dei dati personali non viene rispettata sin dal momento del ‘disegno’ di una App, con l’individuazione di impostazioni predefinite. Il nostro studio e il nostro lavoro nell’ambito della campagna #Appfail mostra come molti servizi, tra cui social network e applicazione che si occupano di appuntamenti e fitness, abbiano di default impostazioni che permettono un’ampia diffusione pubblica delle informazioni e dei dati raccolti.
© riproduzione riservata