Poca privacy su Chrome: ecco tutto quello che il browser sa di noi - Cyber Security 360

DATA PROTECTION

Poca privacy su Chrome: ecco tutto quello che il browser sa di noi

Chrome raccoglie e utilizza una grande quantità di dati personali degli utenti, molti di più rispetto ai suoi diretti concorrenti: è quanto rivelato dalla nuova “label” privacy che la Apple ha imposto a tutte le app del proprio store. Ecco che c’è da sapere e perché, forse, è meglio cambiare browser

06 Apr 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Fino ad oggi non era così chiaro, anche a causa di informative non certo dettagliate in tal senso, quali dati personali associati alle identità degli utenti fossero o non fossero raccolti e usati dal browser Chrome: adesso, anche grazie alle privacy nutrition label introdotte a dicembre e imposte da Apple alle app del proprio store per rappresentare graficamente e velocemente all’utente una “radiografia” dei dati personali trattati, si possono finalmente conoscere tutti i dettagli del caso. Di fatto, Google ha dovuto indicare nell’app privacy label del proprio browser Chrome queste informazioni: i dati personali raccolti sono davvero tanti e non tutti paiono pertinenti per garantire le funzionalità di base del browser. Oltretutto, il prossimo aggiornamento di iOS 14.5 da parte di Apple comporterà ulteriori novità sulla trasparenza verso i dati personali. Insomma, la guerra tra i colossi per il marketing digitale è in pieno svolgimento e tante cose muteranno – forse per restare le stesse? Vediamo nel dettaglio cosa e perché.

La “radiografia” privacy di Chrome

Premettiamo che quanto indicato nella nutrition label è auto-dichiarato: Apple non effettua verifiche preventive su quanto indicato, nondimeno qualora ricevesse segnalazioni (magari anche da associazioni di tutela privacy molto agguerrite e attive come NOYB di Max Schrems) potrà penalizzare e persino rimuovere le app, con evidenti danni commerciali a carico del developer. L’incentivo a essere accurati è manifesto. Scrutando la nutrition label di Chrome apparsa sull’Apple Store, possiamo trovare quanto indicato nelle immagini sottostanti, sottolineando che tali dati sono indicati come collegati o collegabili con l’utente specifico che utilizza il browser.

Ha dunque gioco facile un concorrente come il browser DuckDuckGo, nato proprio per dare più protezione ai dati e alla privacy dell’utente, a segnalare il caso e puntualizzare gli eventuali abusi praticati dal colosso statunitense. Si comprende come spesso, in questa lista di dati, non paia sempre rispettato il principio di minimizzazione, ad es. quanto al numero e tipo di dati, al collegamento utente con dati di diagnostica tecnica, alle informazioni finanziarie e via dicendo. I principi di privacy by design e by default dovrebbero essere forse maggiormente impiegati e approfonditi da Google per una revisione nel design di Chrome, in tal senso.

Chrome e privacy: un confronto con gli altri browser

Per un confronto con le nutrition label di altri browser: Safari raccoglie ma non collega all’utente la cronologia di navigazione, i dati di utilizzo e le posizioni geografiche degli utenti, mentre né Firefox né Edge collegano all’utente i dati di utilizzo del browser. Oltre a raccogliere meno dati in generale, pur offrendo funzionalità browser affini a quelle di Chrome. Si palesa più apertamente, dunque, il modello di business di Google, aperto a 360 gradi sul monitoraggio comportamentale dell’utente per fini commerciali, peraltro già noto anche nell’ambito di Gmail e che non pare veramente messo in discussione nemmeno dal progetto FLoC con cui dichiara di voler superare tramite Chrome l’uso dei cookie di terze parti.

App e monitoraggio degli utenti: l’ATT di Apple

È imminente un aggiornamento della privacy per iOS 14.5 di Apple, il quale richiederà alle app di chiedere il consenso degli utenti prima di tracciarli su altre app e siti Web a mezzo dell’identificatore a fine pubblicitario del dispositivo Apple (abbreviato come “IDFA”). Ciò rientra nel nuovo framework denominato App Tracking Transparency (“ATT”). Ricordiamo che finora Apple stessa non ha sempre brillato per trasparenza, tollerando dal 2012 – nonostante un divieto pur presente in tal senso in precedenti versioni del contratto Apple-sviluppatori SDK – un uso indiscriminato del tracciamento utente tramite IDFA (permettendo profilazione e annunci personalizzati, suo tramite). Al contempo celando all’utente la possibilità di disattivare (in regime dunque, al massimo, di opt-out, contrariamente al criterio usuale del consenso opt-in quanto ai fini marketing secondo il GDPR). Ora il regime di ATT vuole marcare un cambio di passo:

  • trasparenza nell’uso dei dati tramite le nutrition label
  • richiesta di permessi opt-in per i tracciamenti (non solo IDFA), specificando le finalità; in tal senso, però, attenzione sviluppatori: l’impostazione di Apple pare permettere un bundle di varie finalità con un consenso unico, notoriamente avverso alle autorità europee di protezione dei dati;
  • attribuzione dell’installazione utente di una app a seguito di determinate campagne pubblicitarie da parte di ad network registrati al programma SKAdNetwork;
  • prossimo avvio del Private Click Measurement, un programma per consentire – di default – la verifica di efficacia degli annunci nei dispositivi Apple da parte degli ad network, con relative conversioni, in maniera più rispettosa della privacy utente; ciò rileva perché con le nuove modifiche imposte da Apple i titolari potranno ancora tracciare gli utenti attraverso i propri servizi in quanto prima parte, mentre non potranno condividere tali informazioni con terze parti senza l’autorizzazione degli utenti, ad es. proprio per misurare con precisione l’efficacia degli annunci (opt-in per essere monitorati utilizzando l’identificatore cross-app e cross-device) – una mossa di particolare impatto verso Facebook e simili che vendono annunci basandosi proprio su questo identificatore per indirizzare le inserzioni agli utenti e ricavarne metriche.

Non tutti hanno gradito: l’antitrust francese ha recentemente respinto le richieste provenienti da varie società di advertising ed editori di bloccare ATT, affermando che l’iniziativa “non sembra riflettere un abuso di posizione dominante da parte di Apple“, ma ha aggiunto che continuerà a indagare sulle modifiche per garantire che “Apple non abbia applicato regole meno restrittive” per le proprie app, segnalando come le misure volte a proteggere la privacy degli utenti possano essere in contrasto con la regolamentazione della concorrenza online. Come già rilevato più volte, la tematica dei dati personali interseca non solo il cerchio del GDPR ma anche i domini di concorrenza e tutela del consumatore, a rimarcarne la complessità e l’importanza dei valori in gioco.

Circumnavigare il framework ATT di Apple

Non solo c’è chi non ha gradito, c’è chi sta già operando per aggirare l’ostacolo dell’ATT: il Financial Times ha riportato che la Chinese Advertising Association (CAA) ha sviluppato un proprio identificatore – chiamato China Anonymization ID (“CAID”) – con lo scopo di bypassare le nuove regole sulla privacy di Apple e consentire il pregresso tracciamento degli utenti, senza dover fare affidamento su IDFA. La società cinese TrackingIO sosteneva (in un post poi rimosso) che “CAID presenta caratteristiche di anonimato, non raccoglie dati personali, trasmette solo un dato crittografato irreversibilmente, può proteggere efficacemente la privacy e la sicurezza dei dati dell’utente finale”, il tutto senza utilizzare IDFA. Tale strumento sarebbe attualmente in fase di test da parte di alcune delle più grandi società tecnologiche cinesi, tra cui ByteDance e Tencent. Resta da vedere la reazione pubblica di Apple a CAID: Cupertino ne parrebbe a conoscenza senza tuttavia pronunciarsi, finora, sul correlato (mancato?) rispetto delle linee guida e del contratto Apple-developer, ma avrebbe già diffidato in privato varie società dal suo utilizzo. CAID è comunque solo una delle alternative: altre soluzioni proposte si basano sul fingerprinting, sfruttando informazioni specifiche del dispositivo (come il numero IMEI o combinazioni dell’indirizzo IP con altri dati di utilizzo) per creare un identificatore univoco e così tracciare l’utente. Una tecnica insidiosa e difficile da contrastare anche tecnicamente al momento, su cui si attende sicuramente un prossimo intervento specifico di EDPB e autorità preposte.

Conclusioni

Insomma, è arrivato il vero “guerrilla marketing”: big tech e tutti i soggetti dell’ecosistema advertising in lotta o concorrenza reciproca, suddivisi “per bande”, alla rincorsa dei propri modelli di business. Vedremo chi ce la farà, sperando che vinca non solo il migliore commercialmente parlando ma soprattutto chi saprà maggiormente rispettare la tutela della privacy e dei dati personali. E sarà fondamentale proprio l’intervento delle autorità del settore: bene che Apple adotti un certo regime ma si parla pur sempre di un’azienda privata diretta al profitto. Attendiamo che quanto sopra venga vagliato anche dai sorveglianti pubblici dei diritti e delle libertà degli interessati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4