L’introduzione delle informative brevi “nutrition label” da parte di Apple nel suo store continua a sortire effetti: dopo la chiara rivelazione dell’uso massivo e non sempre giustificato di dati dell’utente da parte di Chrome, anche Gmail, il servizio di posta elettronica gratuita di Google, palesa un simile approccio.
Ragion per cui gli utenti potrebbero lecitamente pensare di rivolgersi ad altri fornitori, a fronte di finalità e tipi di dati trattati non sempre prevedibili e congruenti con la fornitura di un servizio di posta elettronica.
Ricordiamo che Gmail è il servizio e-mail più popolare del mondo, con oltre un miliardo e mezzo di utenti attivi, da confrontare con i quattrocento milioni che utilizzano Microsoft Outlook e gli oltre duecento milioni registrati a Yahoo Mail.
Poca privacy su Chrome: ecco tutto quello che il browser sa di noi
Indice degli argomenti
Gmail e profilazione degli utenti: un po’ di storia
Gmail non sale per la prima volta alla ribalta della cronaca: in passato aveva destato scalpore lo scanning delle email al fine di profilare gli utenti e mostrare separatamente annunci mirati, nell’ambito dei servizi gratuiti (l’account Business era esente da tale regime).
Google nel 2017 aveva annunciato, di conseguenza, di terminare tale prassi. D’altro canto nel 2020 la prassi è stata reintegrata, pure se leggermente diversa: campagne di annunci (Product shopping e Showcase shopping) vengono mostrate direttamente agli utenti Gmail, come forma di display advertising (il Google Display Network) visualizzando le e-mail in arrivo.
Inoltre, Google non pare aver mai interrotto la scansione delle e-mail per offrire “smart features” agli utenti, come la possibilità di aggiungere prenotazioni di vacanze direttamente al proprio calendario o di completare automaticamente i suggerimenti nelle query – in merito l’unico recente cambiamento, datato novembre 2020, è stato di consentire l’opt-out rispetto a tali funzioni, altrimenti attive by default.
Il vero petrolio: i metadata
Gmail è particolarmente interessata ai metadata dei messaggi, cioè ai dati ancillari e descrittivi dei contenuti veri e propri: la data e l’ora di invio di un’e-mail, con quali interlocutori e gli argomenti trattati come specificati in oggetto e via dicendo.
È l’analisi di tali metadata che può aiutare davvero nella costruzione di profili e nella previsione comportamentale, l’obiettivo di Google e dei suoi inserzionisti con cui condivide tali informazioni.
Inoltre Google tende a incrociare i dati e metadati raccolti da un proprio servizio con quelli raccolti tramite un altro, ad es. quelli di Gmail con quelli di Google Maps.
Sebbene Google affermi di non usare determinate tipologie di dati raccolti tramite e-mail per fini di marketing (ad es. pensiamo alla prenotazione di un volo) di fatto ha la disponibilità di tali dati e ne tiene una registrazione ordinata oltre che, presumiamo, indicizzata o comunque consultabile.
Sebbene la percezione generale sul rispetto della privacy da parte dei colossi tecnologici stia ultimamente mutando, in genere vi sono ambiti di cui si è meno consapevoli: ormai quasi tutti sanno della copertura normativa riservata dal GDPR e dal Codice per la protezione dei dati personali ai cookies, avendo un riscontro tangibile nel banner e nelle procedure di accettazione dei cookie.
Lo stesso riscontro non pare aversi nel caso di servizi come la posta elettronica, pur soggetta alle stesse normative.
I concorrenti di Google, comunque, non hanno un business model differente: se il servizio di posta elettronica è gratuito, in qualche modo il provider utilizzerà i dati, personali e non, per un vantaggio commerciale. Un esempio è quello di Outlook di Microsoft: si dichiara di non scansionare il contenuto delle e-mail, tuttavia si sfruttano i metadata associati alle stesse per fini di marketing.
Altri, come Apple, hanno un modello di business simile ma che non dipende così fortemente dai dati e dalla tecnologia pubblicitaria come quello di Google.
I dati raccolti da Gmail
Veniamo allora a Gmail: quali dati tratta e perché? Certamente si può dire che non abbiamo di fronte novità, che l’informativa privacy di Google già esisteva per farci sapere fino a che punto si spingesse.
Tuttavia l’informativa estesa attuale di Google non è certo di facile lettura e comprensione, specie se consideriamo che tratta in un unico testo globale mille servizi diversi, facendo sorgere domande piuttosto che fornire risposte.
Nuocendo alla trasparenza che – almeno un poco – ritorna all’utente tramite le nutrition label dichiarate sull’Apple Store. Di seguito si possono vedere alcuni degli utilizzi e dei dati dichiarati da Google per Gmail.
Tra questi sicuramente spiccano dati di geolocalizzazione e la cronologia degli acquisti: non è scontato che un servizio di posta elettronica vi possa essere interessato. Salvo che non lo si veda diversamente: come ulteriore strumento di raccolta di dati personali e tracciamento degli utenti, onde venderne lo sfruttamento ai propri inserzionisti. Inoltre per fornire “servizi migliori” – qualunque cosa significhi – sono utilizzati dati come la cronologia degli acquisti, posizione, indirizzo e-mail, foto e cronologia delle ricerche.
Come ribadito, Gmail non è certamente l’unico servizio di posta elettronica a fare un uso marketing dei dati che vi transitano, forse è quello che li sfrutta più di tutti e nei più numerosi modi possibili.
Non mancano identificatori di utenti e dispositivi che hanno la chiara funzione di collegamento tra i dati raccolti e quelli provenienti da altre fonti. Google è peraltro inserita nell’ecosistema del digital advertising, al di là del servizio specifico di posta elettronica utilizzata: è noto che in generale si effettua un tracciamento degli utenti di e-mail tramite pixel tracking e altre tecniche che permettono di sapere se e quando l’utente ha aperto la comunicazione, per quanto tempo, cliccando su quali link, ecc. Google partecipa a tutto questo anche se non è Gmail il servizio utilizzato per la comunicazione di posta.
Pixel tracking: regole per il rispetto della normativa privacy nel tracciamento via e-mail
L’e-mail come le chat: crittografia e altre forme di difesa
Se prendendo coscienza di quanto sopra l’utente volesse cercare una strategia di uscita, dovrebbe anzitutto cercare un fornitore basato su un diverso business model e che, magari, fornisca anche la sicurezza e riservatezza che l’utente medio crede – erroneamente – già presenti nei servizi di posta elettronica da parte dei big players.
Si prenda ad es. un servizio come quello del fornitore svizzero Protonmail o dei canadesi di Hushmail che – sempre che mittente e destinatario usino entrambi simili tecnologie – garantisce una posta elettronica cifrata in entrata e uscita.
Anche tramite altre implementazioni è possibile farlo (ad es. configurando Pretty Good Privacy nel proprio client di posta), non però con la semplicità di default dei due fornitori detti sopra che, oltretutto, non avrebbero accesso diretto al traffico email e dunque non potrebbero effettuare alcun tracciamento o analisi simile a quella dei tradizionali fornitori di email “gratuite”.
Ancora, sui dispositivi si può evitare di installare l’app Gmail, accedendo al proprio account direttamente tramite Safari, per ostacolare alcuni dei tracking incrociati altrimenti effettuati dalla app. Poi si può intervenire direttamente tramite le funzioni di checkup privacy fornite da Google per disattivare quanto possibile le funzioni “invasive”.
Gmail: non è finita qui
Per concludere, controlliamo infine un altro cartello informativo di Gmail presente nell’Apple Store, almeno due elementi sono balzano agli occhi:
Il primo è che Gmail viene offerto da Google LLC, la società statunitense di Google. Ergo: la posta elettronica viene gestita da un fornitore stante in un Paese terzo, gli USA, tuttora privo di una decisione di adeguatezza ai sensi del GDPR e che dopo la sentenza Schrems II è difficile giustificare come fornitore ammissibile per titolari soggetti alla normativa comunitaria, nemmeno con l’uso delle clausole standard della Commissione Europea.
Il secondo è che Google ammette l’uso di Gmail da parte di minori dai 4 anni di età in su: ricordiamo che il GDPR (art. 8) ammette un libero e diretto utilizzo di servizi della società dell’informazione rivolti direttamente a minori, come questo di posta elettronica, solo con il consenso dei responsabili genitoriali dai 16 anni in su (abbassati a 14 anni in Italia in forza dell’art. 2-quinquies del Codice nostrano).
Gmail controlla e verifica tali aspetti, ammettendo l’uso da parte di infanti forse nemmeno alfabetizzati? Solo da febbraio 2020 Google ha introdotto il divieto di creare direttamente account per minori di 14 anni che dovranno passare, nel caso, tramite l’app Family Link gestita da un genitore.
Nulla di nuovo, ma ricordiamoci sempre che Google è anche questo.
