Ennesimo caso di utilizzo “occulto” di dati personali, di finalità inattese e lucrative alle spalle degli utenti, di dubbia governance nella gestione dei dataset: si parla della nota app dating/social denominata Grindr (contava circa 13,7 milioni di iscritti nel 2021), i cui utenti sarebbero stati vittime di svariati e protratti utilizzi illeciti dei dati personali negli anni passati, perlomeno dal 2017.
Per la precisione sarebbero stati condivisi dati di geolocalizzazione, condivisi con terzi di svariati settori (non solo quello pubblicitario), a totale insaputa degli utenti e senza alcuna trasparenza. Ovviamente non solo il dato di geolocalizzazione e relativo tracciamento, di per sé già delicati, sarebbero la pietra dello scandalo (e già sarebbero allarmanti): in molti casi tali dati erano correlati alla loro fonte, cioè la app Grindr, con prevedibili conseguenze sulla riservatezza di persone che possono subire varie ripercussioni a causa delle proprie preferenze sessuali.
Tutto ciò emerge da un recente articolo del Wall Street Journal, ricollegandosi ai diversi gravi problemi di privacy che Grindr sta affrontando negli ultimi tempi e a recenti episodi che toccano cittadini USA. Giova ricostruire la storia recente delle disavventure privacy di questa app, non priva di exploit.
Indice degli argomenti
Grindr, i problemi dei dati di geolocalizzazione
Riassumiamo in primis l’importanza dei dati di geolocalizzazione, contestualizzandone l’uso. Grindr si basa essenzialmente su un preciso ambito di identificazione e tracciamento: all’utente basta attivare il GPS (ricordando che la localizzazione potrebbe avvenire anche in altro modo, si veda l’uso del wi-fi) del proprio dispositivo per poter così sapere dalla app quali altri utenti Grindr siano presenti nelle vicinanze e con quali caratteristiche, potendoli così contattare.
Come tutte le app basate su questo tipo di dati, Grindr può essere potenzialmente molto invasiva, raccogliendo tantissime informazioni di tracciamento che possono essere utilizzate sì per soddisfare gli utenti ma anche per numerosi altri scopi. Pare piuttosto intuitivo quanto si possa rivelare di una persona il cui profilo presente su Grindr può raccontare – oltre al dato particolare e personalissimo dell’inclinazione sessuale – anche le abitudini di movimento e più in generale di comportamento, potendosi inferire innumerevoli altri dati da quelli di partenza, potenzialmente anche più delicati ancora di quelli sessuali. La protezione di questi dati, pertanto, dovrebbe essere elevatissima oltre che soggetta a massima trasparenza, con rigorosa raccolta di specifici consensi per i distinti utilizzi previsti, se necessari.
Oltretutto tali dati, se collegati a determinati soggetti ad es. politicamente esposti o comunque con ruoli rilevanti nella vita pubblica, possono persino generare rischi di intelligence. In alcuni Paesi, inoltre, il dato sulla preferenza sessuale può avere conseguenze persino di pericolo di morte o di sanzioni se previsto come reato, con tale pena, dalla normativa vigente in loco.
Nel caso dei dati di geolocalizzazione del caso Grindr, i dataset pare non fossero completi di identificativi diretti dei singoli utenti – tuttavia si può parlare di utenti quanto meno identificabili, se non identificati, come può darsi dai vari dettagli combinati tra loro, quali la vicinanza geografica di più dispositivi, i luoghi frequentati come quelli di lavoro e la residenza, le abitudini di movimento e frequentazione eccetera. Una miniera di dati altamente rivelatoria e invasiva al tempo stesso, potendo esporre aspetti che si vogliono mantenere riservatissimi.
La normativa
Giova ricordare, en passant, che nonostante si tratti di società di diritto statunitense fin dal varo nel 2009, la Grindr LLC titolare nel 2016 era finita in mano alla Beijing Kunlun Tech Company, società leader nel settore videogame, di diritto cinese. A causa delle preoccupazioni e pressioni del governo USA, la società cinese ha dovuto rivendere nel 2021 tutte le proprie quote a investitori di diritto USA. In seguito, nel 2022 Grindr è persino sparita dagli app store cinesi, in concomitanza con le passate Olimpiadi.
Le criticità di security e privacy per l’app sarebbero numerose, le buie storie afferenti questi ambiti non mancano. Proprio i delicati dati di geolocalizzazione sarebbero stati già in passato vittime di una vulnerabilità della app, a disposizione di terzi malintenzionati che erano in grado di carpirli a insaputa di Grindr stessa.
Il provvedimento dell’autorità norvegese
Avvicinandosi nel tempo, è di dicembre 2021 la notizia di un provvedimento dell’autorità di controllo norvegese Datatilsynet che ha comminato una elevata sanzione (la più alta finora dell’autorità), pari a 6,5 milioni di euro a carico di Grindr, su input di un’associazione di consumatori. L’autorità avrebbe assodato che vi sarebbe stata la condivisione dei dati utente (dalla geolocalizzazione al profilo fino al dato sulle preferenze sessuali) con terze parti, senza alcuna base giuridica (un consenso specifico ed esplicito) a sostegno di questa operazione.
Difatti gli utenti della app avrebbero “accettato” meramente la privacy policy come un trattamento unico, in via generica, senza nessuna richiesta specifica di un consenso (peraltro doverosamente “esplicito”, ai sensi dell’art. 9.2.a GDPR per i dati particolari, oltre che imposto dalla Direttiva ePrivacy per i dati di ubicazione) anche per la condivisione dati con terzi, per fini peraltro non chiari (vedremo oltre che si trattava di pubblicità comportamentale ma non solo, purtroppo). Solo dall’aprile del 2020 la app avrebbe mutato le proprie prassi e bloccato queste violazioni.
Il caso MoPub e UM
I terzi coinvolti e oggetto di indagine dell’autorità sono stati diversi, ad esempio MoPub (società di Twitter Inc.), Xandr Inc. (conosciuta come AppNexus Inc.) e altri ancora. Nel caso esposto dal Wall Street Journal si menziona come i clienti della società di mobile advertising UM (ex UberMedia e partner di MoPub, oltre ad essere stata acquistata nel 2021 da una società di Singapore) avrebbero ricevuto dati di utenti di Grindr perlomeno a far data dal 2017, spesso comprensivi dell’indicazione della app fonte dei dati. In questo caso, il solo sapere che la fonte era Grindr permetteva di ricavare il dato particolare sulla preferenza sessuale con sufficiente certezza.
Circa MoPub, la società madre Twitter avrebbe affermato che UM, nel riceverne i dati, sarebbe stata vincolata a determinati accordi e limitazioni sull’uso, senza però precisare il perimetro e i dettagli di questi accordi.
Il portavoce di UM avrebbe dal canto suo affermato che – trattandosi dei dati di Grindr condivisi tramite ad network – migliaia di inserzionisti potenzialmente hanno potuto prendere visione di tali dati – negando al contempo, in maniera apodittica, che tali dati non sarebbero da considerare personali perché privi di identificatori diretti. Il contrario di quanto assodato, in contesto analogo, dall’autorità belga nel caso del Framework TCF di IAB che utilizza un simile sistema di condivisione dei dati in Real Time Bidding [https://www.cybersecurity360.it/legal/privacy-dati-personali/cookie-il-garante-privacy-belga-sanziona-iab-europe-annotazioni-di-una-condanna-annunciata]. È la fattispecie in sé di meccanismo che comporta l’esposizione di dati personali, pur pseudonimizzati nel migliore dei casi ma sempre personali.
The Pillar
Emblematico di tutto quanto appena esposto è il caso coinvolgente la pubblicazione cattolica online “The Pillar” . Pillar avrebbe ottenuto dati da Grindr, potendo così tracciare l’uso della app, e questa analisi vi avrebbe rinvenuto Monsignor Jeffrey Burrill, un alto funzionario della Conferenza dei vescovi cattolici USA, tra gli utenti registrati, venendo così costretto alle dimissioni. A proposito di dati fuori controllo e del loro utilizzo illecito.
La replica di Grindr
A fronte di quanto emerso, Grindr afferma di aver interrotto già da due anni la condivisione con terzi, a fini di marketing, del flusso di dati sulla posizione dei propri utenti. Troppo tardi, si potrebbe replicare, considerato che i dati già “usciti dal recinto” lì non ci torneranno e che prevedibilmente tali dataset possano essere tuttora disponibili in vari mercati, “black” o meno, per chi li voglia acquistare.
Quanto al perché ciò sarebbe avvenuto, Grindr avrebbe valutato tutto sommato utile e gradito dai propri utenti, all’epoca, il ricevere pubblicità mirata sulla propria posizione, ad es. annunci sul più vicino ristorante o pub – una forma di micro-targeting derivante dalla condivisione con l’ad network in Real Time Bidding. Pertanto sottovalutandone i profili di rischio per le persone e i loro diritti. Dal 2020 la società avrebbe deciso, finalmente, di ridurre le proprie entrate piuttosto che continuare con tale condotta e con i relativi rischi, bloccando la condivisione.
Circa il caso The Pillar, Grindr si è difesa affermando di non essere la fonte diretta dei dati utilizzati in quel contesto ma che non può escludere che un terzo partecipante al network abbia fornito quei dati, in forza degli accordi di partnership vigenti tra tutti gli inserzionisti e data broker. Il fatto che la citata UM, dopo averli ricevuti da MoPub, abbia reso disponibili i propri dataset anche ad altri broker rende arduo poter ricostruire la esatta supply chain. Un vulnus alle possibilità stesse delle autorità per le proprie indagini.
Non solo: secondo alcune fonti sempre del Wall Street Journal, UM avrebbe fornito dataset di Grindr anche al governo degli Stati Uniti. UM nega perché i propri accordi di utilizzo dei dataset impedivano questa destinazione diretta, tuttavia è possibile che siano finiti – in una sorta di triangolazione – nella gestione di società private che, una volta nel ruolo di appaltatrici, li avrebbero di fatto condivisi con vari committenti del governo USA.
Conclusioni
Quanto emerso dalla recente inchiesta fa intuire che il caso Grindr possa essere più grave ed esteso di quanto fosse recentemente emerso in Norvegia, a seguito delle indagini e della condanna dell’autorità di controllo privacy. Specie negli USA, dove probabilmente potranno essere le associazioni di consumatori a poter agire giudizialmente o tramite la FTC (Federal Trade Commission) per far valere la violazione dei diritti degli utenti come consumatori – ricordiamo che negli USA manca tuttora una legge federale privacy analoga al GDPR o un’autorità di controllo specifica per la data protection.
Si conferma come sempre l’enorme delicatezza nell’uso dei dati di geolocalizzazione dalla panoramica appena vista: l’abbinamento con dati comuni può “gemmare” persino categorie particolari di dati, non solo con il dato sulla fonte; lo scarso controllo che il mercato dei dati personali spesso riserva alle proprie prassi (supply chain, restrizioni, cessioni di dati a catena, condivisioni automatizzate di massa, ecc.); una certa indifferenza per la pericolosità e i rischi delle proprie condotte; la irreversibilità di determinate condotte illecite. Uno scenario non certo incoraggiante, nel 2022.
