L’apertura dell’inchiesta da parte del Garante della Privacy sull’utilizzo del microfono di dispositivi mobili, tramite app, ad uso commerciale, ha fatto riaprire il dibattito sui dubbi riguardanti il funzionamento di raccolta dati svolto dalle grandi aziende produttrici di app e servizi per mobile.
La domanda da porsi è, quindi, se le aziende possano o meno raccogliere dati, in questo caso parliamo di registrazioni, senza che l’utente ne sia a conoscenza.
La questione principale ruota intorno alla possibilità, che il Garante intende verificare, secondo la quale le app installate sui dispositivi smartphone possano registrare le conversazioni, non solamente quelle telefoniche, a fini di marketing mirato, per fornire agli utenti pubblicità customizzate in base ai temi discussi.
Indice degli argomenti
Raccolta dati tramite registrazioni audio: i dubbi
L’opinione più diffusa vuole che le app installate sugli smartphone siano in grado di accendere il microfono automaticamente in modo da captare quelle parole chiave utili per creare pubblicità mirate, anche in assenza di specifica attivazione e/o in contrasto con gli eventuali permessi accordati.
Gli esperti di settore sono divisi sul confermare o smentire tale teoria, sia perché risulta di difficile accertamento, sia perché le presunte pubblicità mirate ben potrebbero essere il frutto della miriade di dati personali che vengono raccolti con altri metodi.
Al fine di utilizzare le conversazioni degli utenti per fini commerciali, il microfono del telefono dovrebbe essere costantemente acceso e pronto a registrare e memorizzare ogni suono, conversazione e parola captata, per poi analizzare i dati raccolti e creare pubblicità ad hoc: un procedimento che, con i dovuti accorgimenti tecnici, ben potrebbe passare inosservato. Non è detto, infatti, che a un uso così estensivo di microfono e capacità computazionale e di rete dello smartphone corrispondano segnali esteriori facilmente riconoscibili quali un eccessivo uso di batteria o rete di dati.
La difesa dei big del settore
Da parte loro, i big del settore si sono sempre difesi sostenendo come la correlazione tra il prodotto che l’utente desidera e la comparsa di messaggi promozionali sospetti sia il risultato di raccolte di dati che non fanno uso delle registrazioni.
Sarebbero, invece, frutto delle ricerche precedenti e dei dati immessi nel sistema da parte degli utenti (consapevolmente o meno). Non bisogna dimenticare che, oltre alla banale cronologia delle ricerche, la profilazione degli utenti può avvenire sulla base di numerosi altri mezzi e informazioni, anche combinate tra loro.
Un uso integrato di cookie di terze parti, interazioni sui social network (like o condivisioni) e dati personali forniti in fase di registrazione (età, istruzione, lavoro ecc.) possono permettere di tracciare un profilo piuttosto accurato dell’utente, anche senza il bisogno di ricorrere ad ulteriori raccolte di dati.
In sintesi, i sistemi e gli algoritmi di targettizzazione colgono i link tra i comportamenti messi in atto dall’utente anche se esso stesso fatica a riconoscerli, facendo ampio uso di sistemi di intelligenza artificiale.
Servirebbe il consenso dell’utente per attivare il microfono
Fermo restando che è improbabile che il nostro telefono ci ascolti per proporci pubblicità, bisogna capire se a priori un’app o un servizio da remoto sia in grado di attivare il microfono del telefono.
La risposta è ovviamente sì, ma teoricamente non può farlo in modo arbitrario. Ogni app necessita del consenso dell’utente. Quando si utilizzano servizi di assistenza virtuale come Siri o Alexa è necessario che il microfono sia sempre acceso ma ciò non significa che registri dati o conversazioni in modo costante.
Tali sistemi, infatti, si trovano in uno stato di ascolto passivo fino al momento in cui captano le parole di attivazione. Solo allora, e la differenza è sostanziale, entrano in una fase di ascolto attivo durante la quale è consentito registrare tutto ciò che viene detto al fine di fornire un servizio più puntuale agli utenti.
Va però considerato che non sono mancati casi in cui le big tech sono state colte a utilizzare le registrazioni in maniera non autorizzata. La Apple, così come anche Google e Microsoft, è stata infatti costretta a scusarsi pubblicamente per aver fatto ascoltare a personale dedicato le registrazioni di ignari utenti al fine di migliorare le capacità di riconoscimento vocale.
Attualmente tale attività è soggetta a un opt-in da parte degli utenti e vengono utilizzate trascrizioni in luogo degli audio veri e propri, ma il fatto che tale pratica sia passata sotto silenzio per tanto tempo desta sicuramente preoccupazione.
Anche con riferimento all’assistente digitale di Amazon, Alexa, è stato più volte richiesto da parte dei giudici l’accesso alle registrazioni, ma l’azienda ha sempre rifiutato di rivelare le informazioni acquisite, se non dietro specifico ordine giudiziario, ma facendo sempre presente come si tratti delle sole registrazioni volontarie.
Bisogna tener conto, infine, che una volta che i dati vengono acquisiti con sistemi diversi dalla registrazione audio, diventano uno strumento utilizzabile da sviluppatori e terze parti. L’utilizzo di tali dati è quindi perfettamente legale nei limiti in cui i metodi di raccolta e di analisi rientrano in quelli che l’utente ha autorizzato attraverso il proprio consenso per l’attivazione del servizio stesso.
GDPR baluardo dei diritti degli utenti
In sostanza, le grandi aziende tecnologiche, che hanno tra i propri core business la raccolta ed elaborazione di grandi quantità di dati personali, non hanno bisogno né di estrapolarli né tantomeno di rubarli illecitamente poiché sono gli utenti stessi che forniscono, forse senza neanche rifletterci a sufficienza, una immensa mole di dati e il consenso al trattamento degli stessi.
Ciò avviene sia perché senza fornire il consenso le funzionalità di app e servizi sarebbero notevolmente ridotte, sia perché, molto spesso, si tende a non dare la giusta importanza a che tipo di dati vengono forniti e a che trattamento viene svolto su di essi.
Dal punto di vista legale ed economico, non sarebbe conveniente per nessuna azienda essere scoperta a trattare illegalmente dati.
In Europa il GDPR, oltre a proteggere i dati dei cittadini, impone sanzioni pari fino al 4% del fatturato annuo in caso di violazioni.
Anche dal punto di vista reputazionale le big tech non avrebbero interesse a sottrarre dati illecitamente. È legittimo pensare infatti che il mercato di determinati dispositivi elettronici crollerebbe all’istante, con imprevedibili ricadute in borsa, se fosse reso noto un sistema di spionaggio sistematico degli utenti.
Ciononostante, vista l’asimmetria informativa esistente tra le società che sviluppano le app o che fanno utilizzo dei dati raccolti a fini di marketing e gli utenti, si dovrebbero individuare soluzioni volte a tutelare l’utenza da possibili abusi anche se perpetrati in maniera apparentemente legale.
Attualmente non esistono evidenze provate riguardo l’attivazione senza consenso del microfono dei dispositivi anche se, come precedentemente accennato, ciò è tecnicamente possibile.
Spetta al Garante indagare se un comportamento del genere sia mai stato messo in atto a danno degli utenti oppure no.
Per ora l’Italia si è mossa in questa direzione, ma anche altri Stati stanno cercando di orientare la legislazione sulla protezione dei dati in maniera più stringente, non tanto sull’acquisizione di dati, quanto sul loro trattamento.
