Nei giorni scorsi ha tenuto banco uno scontro istituzionale forse senza precedenti: oggetto del contendere è stato il provvedimento del Garante privacy datato 9 giugno con il quale l’Autorità per la protezione dei dati personali ha bloccato la gestione del Green pass europeo all’interno dell’app IO di PagoPA.
Il provvedimento è piuttosto articolato, con rilievi del Garante molto circostanziati ad aspetti prettamente tecnici e non sostanziali, e ruota attorno all’uso in particolare di tre servizi tracker, ossia servizi che, direttamente o indirettamente, possono permettere il tracciamento delle abitudini d’uso dell’app da parte dell’utente.
In verità, il provvedimento non cade come un fulmine a ciel sereno. Già con due precedenti provvedimenti (102 del 12 giugno 2020 e 232 del 26 novembre 2020) il garante aveva definito delle linee di azione per il trattamento dei dati personali inseriti all’interno di applicazione istituzionali.
In particolare, già nel secondo provvedimento in occasione dell’introduzione del Cashback di stato si sottolineava la criticità nell’applicazione dell’uso di alcuni servizi tracker e si sollecitava di provvedere a correggerne l’uso e a informare debitamente l’utente.
Indice degli argomenti
Cosa sono i tracker e a che servono
I cosiddetti tracker sono una categoria di servizi di natura piuttosto ampia utilizzata sia nell’ambito delle applicazioni mobile che per quelle desktop al fine di tracciare e profilare l’uso da parte dell’utente.
Lo scopo dei tracker è ampio. Abitualmente e nel linguaggio comune si è usi pensare ad essi come a servizi necessari per profilare le abitudini degli utenti a fini di marketing, per esempio per fornire suggerimenti di acquisto tramite ads personalizzati oppure presentando prodotti abitualmente acquistati da utenti con abitudini di acquisto analoghe.
Spesso essi sono utilizzati anche al fine di migliorare l’esperienza utente. Per esempio, i portali di e-commerce utilizzano i tracker insieme al deployment di versioni custom del sito ad alcuni selezionati clienti al fine di misurare quanto efficace sia per esempio il piazzamento di un banner in una certa posizione della pagina, oppure quanto efficace sia una nuova funzione del portale e così via.
Una pagina del sito web di MixPanel, in cui si illustrano i vantaggi del tracking per la valutazione dell’efficacia di un’applicazione (fonte).
E infine, essi sono utilizzati anche in fase di raccolta di statistiche d’utilizzo, per focalizzare ad esempio l’implementazione di una app sulle funzioni maggiormente utilizzate dagli utenti. E non da ultimo, anche per ricostruire l’origine di un errore software, in applicazioni la cui architettura diventa ogni giorno più complessa.
In pratica, ad essi sono spesso associate molte telemetrie e il loro uso è critico in ambito GDPR in quanto acquisendo molti dati e metadati dagli utenti ed essendo forniti di solito da aziende terze, spesso anche al di fuori del territorio europeo, hanno un profilo di rischio privacy piuttosto elevato. La loro raccolta dati, infatti, potrebbe in certe situazioni permettere la costruzione di profili di utenze con specificità molto spiccata e pertanto, pur se anonimi, potrebbero avere un alto rischio.
E come sappiamo, la profilazione degli utenti è una delle attività più critiche e più attentamente regolamentate dalla legge europea sulla privacy.
Web tracker: cosa sono come impedire la raccolta di dati per proteggere la nostra privacy online
App IO, MixPanel e i tracker: i rilievi del Garante
Nella fattispecie dell’app IO, il Garante nel suo provvedimento ha contestato a PagoPA l’utilizzo di alcuni tracker piuttosto invasivi senza darne opportuna conoscenza all’utente e senza un opportuno meccanismo di opt-in. Tali tracker sono quelli dei servizi Firebase, MixPanel e Instabug.
I primi due sono servizi di tracking veri e propri, uno fornito da Google, l’altro dalla MixPanel International.
L’ultimo, invece, è un servizio di raccolta dei report di crash, che raccoglie quindi una serie di informazioni di sistema quando l’applicazione si chiude inaspettatamente per un errore; tali report possono includere, per esempio, una copia della memoria dell’applicazione, includendo dunque informazioni critiche di natura anche confidenziale.
Come detto, MixPanel è un vero e proprio servizio di behavioural tracking, che permette cioè l’acquisizione in specifici punti del codice, ad esempio all’ingresso di opportune funzioni, di dati specifici come i parametri utilizzati (instrumentation). Analizzando il codice si scopre come all’ingresso delle funzioni di lettura del totale del cashback, la somma e il periodo di interrogazione siano registrati e inviati al servizio MixPanel stesso.
Per quanto il servizio sia asseritamente anonimo (così recita il website di MixPanel), tuttavia ad ogni utente è associato un codice identificativo che, se non opportunamente generato, permette di ricostruire e correlare i flussi anche in periodi di tempo molto vasti.
Infatti, in particolare nella versione dell’app IO sotto esame, tale codice utente viene generato a partire da una funzione deterministica a partire dal codice fiscale, rendendolo di fatto univoco per utente, anche su dispositivi diversi.
Le modifiche all’app IO adottate da PagoPA
A seguito dei rilievi del Garante privacy, si è dunque innescata una, secondo me immotivata, polemica sull’uso della privacy come strumento di interferenza nell’attività di modernizzazione del Paese, fallendo però nel cogliere alcuni aspetti importanti.
Alcune considerazioni sulla privacy policy di MixPanel.
Uno di questi, peraltro rilevato dal Garante stesso, è che tali tracker non erano affatto essenziali all’uso e al funzionamento della app, essendo invece strumenti meramente di gestione dello sviluppo della stessa, e dunque, sempre secondo il Garante, il loro uso avrebbe dovuto essere separatamente accettato dall’utente (e non il contrario) dopo adeguata informazioni sulle conseguenze e rischi del trattamento di tali dati.
È interessante comunque notare che nonostante la risposta un po’ piccata di PagoPA alle prescrizioni, gli sviluppatori si siano messi di buona lena e al momento in cui scrivo una buona parte delle modifiche sia stata applicata ai sorgenti dell’app, accogliendo dunque alcune se non tutte le istanze.
Analizzando dunque il codice presente su GitHub, si trovano una serie di commit (invio di modifiche) che eliminano i tracker inutili (Firebase) e limitano con un meccanismo di opt-in l’uso dei rimanenti (MixPanel).
Viene inoltre eliminato il meccanismo di generazione dell’ID univoco che permette di tracciare l’utente anche al di fuori della singola sessione, rendendo di fatto l’utente identificabile anche in periodi diversi e da dispositivi diversi.
L’elenco dei commit aggiornati al 14 giugno (fonte).
Il commit che elimina l’ID univoco (Fonte: ibid).
Il commit che elimina il tracker firebase (Fonte: ibid).
Tali modifiche dovrebbero diventare definitive alla prossima release.
Quali conclusioni da tutta la vicenda
Si possono dunque trarre alcune conclusioni dalla vicenda.
In primo luogo, come detto, il Garante non è arrivato al provvedimento in esame all’improvviso, ma rilievi simili erano stati fatti nei precedenti provvedimenti citati per situazioni analoghe.
Il razionale dietro tali provvedimenti è sempre, ahimè, lo stesso che nasce dai due principi cardine del GDPR, che sono minimizzazione del rischio e dei trattamenti, e informazione dell’utente; in ogni trattamento è indispensabile trattare tutti e solo i dati che servono per il fine che si è dichiarato, ed è evidente che i due tracker citati non sono affatto pertinenti né indispensabili allo scopo di fornire i servizi di app IO.
Inoltre, per minimizzare il rischio è indispensabile prendere tutte le misure necessarie al prevenire la possibilità di correlare i dati a identità o ad altri accessi, e in ciò l’app IO falliva evidentemente non randomizzando gli ID tra le sessioni o almeno tra le installazioni.
Infine, il consenso e la possibilità di rifiuto fallisce nel momento in cui non è dato all’utente un mezzo ragionevole per disabilitare tale tracciamento, possibilmente attuando il meccanismo di Opt-in (ossia consenso all’utilizzo) invece del meccanismo di opt-out (possibilità di rifiuto).
Come difendersi dai tracker
App IO non è l’ultima di una lunga serie di applicazioni che fanno uso di strumenti di questo genere senza informare adeguatamente dei rischi e senza permettere la disabilitazione della stessa.
Tutti i sistemi operativi e moltissime app desktop fanno uso di queste telemetrie perché è utilissimo al fine di capire come gli utenti utilizzano lo strumento e quali sono le funzioni cui vale dare priorità nello sviluppo.
Affidarsi esclusivamente ai feedback espliciti, quali issue tracker, questionari eccetera ha una lentezza ed efficacia troppo bassa per il mondo odierno.
Dunque non è pensabile né utile che le software house smettano completamente di usarli, essendo l’alternativa poco interessante, con software pieno di funzioni inutili il cui sviluppo è dettato per lo più dalle valutazioni degli sviluppatori anziché dalle reali necessità degli utenti.
Tuttavia, è inevitabile che se utilizzati male o, peggio, abusandone, questi strumenti siano devastanti dal punto di vista della privacy.
Ogni punto di cattura di un evento (punto di tracking) è già da solo una preziosa indicazione di cosa sta facendo l’utente, e porta con sé spesso una serie di informazioni indirette (metadati) che permettono di capire molto dell’utente. Ad esempio misurando i timestamp di utilizzo di una catena di funzioni si potrebbero fare delle interessanti correlazioni sullo stato di salute o sull’abilità motoria di un utente?
Aggiungendo alcuni dati specifici dei punti funzione (il totale del cashback nell’esempio di cui sopra), è facile dunque restringere il campo fino, forse, a identificare univocamente il singolo utente, specie se l’identificativo univoco persiste tra sessioni e tra dispositivi.
Purtroppo difendersi dai tracker inseriti nelle applicazioni è difficile e l’unico modo per mitigare il loro uso è utilizzare un sistema di filtraggio basato su DNS. Progetti come Pi-Hole e servizi come NextDNS sono valide protezioni, in quanto fanno si che l’indirizzo IP dei tracker non venga risolto e che quindi non sia possibile inviare i dati alserver.
Il log di NextDNS che filtra le api MixPanel chiamate da un’app installata su uno smartphone (fonte).
Conclusioni
È ahimè inquietante quando a tutto ciò si somma una discussione sui temi della privacy svilita con gli argomenti populisti sentiti in questi giorni anche da persone piuttosto autorevoli in campo politico e in altri settori della scienza.
Non da ultime con le dichiarazioni del direttore dell’Agenzia delle Entrate, che chiede meno privacy per permettere all’agenzia di combattere adeguatamente l’evasione, sembra improvvisamente che la voglia di Grande Fratello da parte delle istituzioni abbia avuto una escalation poco raccomandabile.
Tutto questo chiacchiericcio, dunque, spesso con argomenti risibili dagli stessi autorevoli rappresentanti, sta probabilmente svilendo la percezione di un diritto, quello cioè di tenere per conto proprio le nostre informazioni.
Ancor più in un momento in cui si parla di cyber sicurezza, dell’importanza di avere reti sicure, del pericolo degli attacchi informatici, la privacy dovrebbe essere vista come tale e non come, a seconda del momento, un ostacolo all’attività dello stato o una coperta dietro la quale nascondere le proprie mancanze (ricordiamo il rifiuto di pubblicare i dati sanitari e dati statistici anonimizzati al fine di ricerca durante il passato anno di pandemia).
