Geolocalizzazione come prodotto: in vendita la nostra vita digitale

Prendiamo spunto da un articolo estremamente interessante — e, a nostro avviso, da divulgare anche nelle scuole — pubblicato sul Corriere della Sera nella rubrica Dataroom di Milena Gabanelli, per approfondire alcuni concetti fondamentali su ciò che accade davvero ai nostri dati di localizzazione.

LA GEOLOCALIZZAZIONE: UN GESTO SEMPLICE CHE VALE MOLTISSIMO

Con un semplice tocco sullo schermo dello smartphone e con autorizzazioni concesse spesso senza pensarci, i nostri spostamenti diventano un prodotto in vendita. Le informazioni sulla nostra vita quotidiana (dove viviamo, lavoriamo, chi frequentiamo) possono finire nelle mani di compagnie assicurative, agenzie di marketing, avvocati, investigatori privati o persino ricattatori, semplicemente pagando.

IL CONSENSO ALLA GEOLOCALIZZAZIONE E IL RUOLO DEI DATA BROKER

La maggior parte degli utenti attiva la geolocalizzazione sul proprio smartphone per comodità (ad esempio mappe, meteo, giochi, app di incontri), concedendo l'accesso alla posizione e accettando informative sulla privacy che raramente vengono lette. Queste informative spesso indicano, in modo non sempre chiaro, la possibilità che i dati vengano ceduti a terzi. Non dobbiamo quindi stupirci delle telefonate commerciali o delle analisi di comportamento basate sulle nostre abitudini digitali.

Il risultato è che la nostra posizione esatta, minuto per minuto, viene registrata e archiviata da società specializzate, chiamate data broker, che raccolgono, impacchettano e rivendono dati personali. Lo smartphone determina la posizione tramite GPS, celle telefoniche e Wi-Fi. Inoltre, gli sviluppatori possono integrare nelle app un modulo software che consente ai data broker di raccogliere direttamente i dati di localizzazione di milioni di dispositivi.

CHE COSA ACQUISTANO I COMPRATORI DI DATI

Un pacchetto dati tipico può contenere milioni di righe di informazioni. Ciascuna riga include:

• il cosiddetto MAID (Mobile Advertising ID), un codice alfanumerico che identifica il dispositivo in modo univoco, paragonabile a una "targa";
• il sistema operativo;
• l’ora, la durata della connessione e località precise (nazione, città, via);
• le coordinate esatte della posizione;
• l'indirizzo IP.

Ecco un esempio reale di cosa può succedere: un data broker ha fornito gratuitamente a un potenziale cliente – un'agenzia di analisi dei consumi – un campione contenente gli spostamenti di oltre un milione e mezzo di persone tra Parigi, Berlino, Madrid e Londra, tracciati per un intero mese.

I set completi di dati (tutti i dati di posizione delle app per una data area) possono essere venduti a prezzi variabili; inoltre, con un sovrapprezzo i data broker possono anche fornire l’associazione tra MAID e dati anagrafici (nome, cognome, e-mail). In questo modo, l'acquirente può non solo conoscere cosa succede in una determinata area, ma anche associare gli spostamenti ai dati anagrafici: chi visita un centro di ricerca, un prestigioso studio legale o un club privato diventa immediatamente identificabile.

I RISCHI E LE QUESTIONI LEGALI

I rischi sono significativi:

• a livello personale: i dati sulla nostra routine possono facilitare stalking, ricatti o minacce;
• a livello aziendale e governativo: si aprono le porte a spionaggio industriale e a rischi per la sicurezza nazionale, monitorando dipendenti, funzionari o militari. Alcuni casi documentati includono il tracciamento degli spostamenti di un sindaco europeo tramite un’app di ciclismo o il monitoraggio degli spostamenti di funzionari di una banca centrale fino alle loro abitazioni.

Il problema è che, mentre in Italia un magistrato necessita di autorizzazione giudiziaria per tracciare un telefono, chiunque può acquistare un tracciamento estremamente dettagliato pagandolo, aggirando le garanzie legali. Sebbene la diffusione illecita di dati sensibili sia un reato, il consenso, spesso prestato in modo inconsapevole, legittima l'operato dei data broker, che per di più operano prevalentemente fuori dai confini italiani, rendendo il perseguimento penale difficile.

E LA UE COSA FA?

Il dipartimento DG Justice della Commissione Europea, che si occupa del GDPR (Regolamento generale sulla protezione dei dati), ha espresso forte preoccupazione riguardo al commercio dei dati di geolocalizzazione, un mercato che la maggior parte dei cittadini ignora completamente. La Commissione sottolinea che il GDPR stabilisce che i dati personali possono essere raccolti solo per finalità esplicite, legittime e chiare, e che spetta alle autorità nazionali di vigilanza far rispettare tali norme. A seguito delle indagini, la Commissione ha emanato nuove linee guida interne sulla gestione delle impostazioni di tracciamento pubblicitario nei dispositivi.

COME POSSIAMO DIFENDERCI

Gli esperti di cybersecurity suggeriscono di concedere la geolocalizzazione solo quando strettamente necessario, di verificare perché un’app la richiede e per quanto tempo la utilizzerà, e di evitare di installare app concedendo autorizzazioni “totali” senza informarsi.

In pratica, è consigliabile da subito:

1. Andare su Impostazioni, poi Privacy e sicurezza e Localizzazione.
2. Esaminare l’elenco delle app e impostare il livello di permesso:

• consenti solo mentre l'app è in uso;
• chiedi ogni volta;
• non consentire.

UN SUPPORTO PROFESSIONALE PER LA PRIVACY

Continueremo a fornirvi indicazioni per proteggere la vostra privacy, personale e aziendale.

Per quanto riguarda il lato aziendale, Crowe Bompani può affiancarvi come partner qualificato: numerosi clienti ci hanno già scelto per realizzare il proprio Sistema di Gestione della Privacy.

Se avete dubbi sulla vostra gestione della privacy, siamo a disposizione per un confronto senza impegno.