Privacy, il web spesso ti spia, a volte lo dice ma non lo fa

di Nicola Bernardi, Presidente di Federprivacy www.federprivacy.it

Secondo il rapporto "Digital in 2016", un italiano su due si affi da a internet per socializzare, manifestare i propri pensieri o condividere immagini della vita quotidiana, ma di rado gli utenti riescono a distinguere i più disparati stratagemmi che si celano dietro molti strumenti online architettati "ad hoc" per carpire subdolamente le loro informazioni personali. E paradossalmente, esiste poi anche il fenomeno opposto, ovvero quello di molti siti web che dichiarano espressamente di "spiare" gli utenti ma poi non lo fanno.

Di recente, il noto sito di petizioni online Change.org è finito sotto la lente del Garante della Privacy, che ha sollevato dubbi sulla correttezza dei trattamenti effettuati con i dati degli utenti, spesso sono chiamati ad esprimere le loro opinioni su temi sensibili di carattere sociale o politico. L'Authority ha perciò aperto un'istruttoria per chiedere chiarimenti all'organizzazione che gestisce la piattaforma, la quale - a differenza di quanto possa suggerire il dominio .org - non è affatto un ente senza scopo di lucro, bensì un'impresa sociale con sede nel cuore della Silicon Valley, che in qualità di "B-corporation certificata" produce utili e si finanzia non solo tramite la raccolta di donazioni, ma anche grazie a soggetti che pagano per promuovere le petizioni, e non da ultimo attraverso la cessione di indirizzi email ed altri dati personali degli utenti, che vengono di fatto catalogati in base alle opinioni che hanno espresso per sostenere o per opporsi a determinate iniziative che stanno loro a cuore.

PROFILAZIONE OCCULTA

Infatti, se nella propria informativa privacy, scritta in un italiano non proprio impeccabile e anche un po' ambiguo, da una parte Change.org promette di non condividere i dati dell'utente con le organizzazioni che pagano per promuovere le loro campagne, a meno che l'utente stesso non ne dia il consenso, d'altra parte lo stesso documento online precisa che "se non si desidera che tali informazioni siano condivise con le persone che hanno lanciato la petizione, non si deve firmare la petizione". Anche se si tratta di una campagna con sfondo di marketing, invece che con una finalità politica o sociale, è interessante il caso di quella che si è definita una "mamma indignata" di una bambina di due anni, che lo scorso aprile ha lanciato una petizione per chiedere alla Plasmon di produrre i suoi famosi biscotti senza utilizzare il tanto incriminato olio di palma, ottenendo infine un entusiasmante successo con 44.051 sostenitori che si sono schierati a favore dell'iniziativa, e "convincendo" così l'industria alimentare americana a mettere in produzione una linea di biscotti con l'olio extra vergine d'oliva tra gli ingredienti. Da quanto si comprende dall'informativa, la casalinga pare avesse il diritto di ricevere la lunghissima e preziosissima lista dei firmatari delle petizioni con i loro indirizzi email. Allo stesso modo, se gli utenti avevano prestato il consenso (sempre che avessero possibilità di rifiutarlo), tali dati personali potevano finire nelle mani anche della stessa Plasmon o di altre aziende che avevano pagato per promuovere la campagna. A seguito dell'intervento del Garante della Privacy, nel mese di agosto Change.org ha cessato di vendere gli indirizzi email, e adesso comunica ai soggetti che ne hanno diritto solo nome, cognome e zona di residenza senza indirizzo e civico. In ogni caso, Change.org non è la sola organizzazione che solleva le preoccupazioni degli internauti. Ad esempio, anche chi per maggiore tranquillità volesse dirigersi verso soggetti di casa nostra per esprimere le proprie convinzioni nelle petizioni online, potrebbe incappare in Firmiamo.it, che in realtà di italiano ha solo il nome e le ultime due lettere riferite al dominio web: infatti questo sito fa capo a una società con sede a Londra che raccoglie e conserva i dati presso i server di Amazon.com in Irlanda, e i gestori della piattaforma non solo invitano gli utenti a fare delle donazioni a quello che non è affatto un ente non-profit bensì un soggetto commerciale, ma per firmare una petizione si è obbligati ad autorizzare la cessione dei propri dati a "partner e soggetti terzi operanti nei settori servizi, editoriale, energia, telefonia, turistico, comunicazione, entertainment, finanziario, assicurativo, automobilistico, e largo consumo", con il risultato che migliaia di cittadini mossi da desiderio di vedere cambiamenti positivi nella società in cui vivono, si troveranno invece inconsapevolmente bersaglio di campagne di marketing mirate, promosse da parte di aziende che conoscono già le loro opinioni e le loro preferenze. Ovviamente, non c'è cosa più facile che vendere un prodotto a chi lo sollecita (basti pensare ai biscotti senza l'olio di palma), specialmente se si conoscono i recapiti per contattare i potenziali clienti, e questo fa dei siti di petizioni online delle vere e proprie miniere d'oro, tant'è che esistono precisi tariffari che vengono applicati a partiti, organizzazioni ed aziende che vogliono comprare i loro database, con prezzi che vanno da 85 centesimi a 1,5 euro per ciascun indirizzo email acquistato. Se siti web con sede all'estero violano spesso la privacy degli utenti in maniera aggressiva, il Garante ha il suo bel da fare anche con quelli con sede in Italia, infatti già nel settembre 2014 una ricerca di Federprivacy aveva dimostrato che il 67% dei siti italiani non erano in regola con il Codice della Privacy, omettendo di dare un'idonea informativa sul trattamento dei dati personali, ed esponendosi al pericolo di pesanti sanzioni da parte dell'Authority. Rispetto allo studio condotto due anni fa sono stati fatti però significativi passi avanti, come evidenzia un recente aggiornamento dell'Osservatorio di Federprivacy, che ha esaminato un campione di 1.000 siti italiani, trovandone "solo" 372 ancora sprovvisti di un'adeguata informativa nei moduli online che gli utenti compilano abitualmente per entrare in contatto con le aziende. Se ciò significa che il 63% circa dei siti si sono messi in regola per questo adempimento, è emerso d'altra parte che ben 464 sul totale di quelli ispezionati hanno nel frattempo installato un banner di avviso sull'utilizzo dei cookies, nonostante non ne avessero l'obbligo. Infatti la prescrizione introdotta dal Garante della Privacy riguarda principalmente i siti web che profilano gli utenti online nelle loro preferenze e nei loro orientamenti, e non tutti quelli che utilizzano semplici cookies tecnici o analitici di prima parte, che servono giusto a memorizzare password di accesso, riconoscere la lingua utilizzata dall'utente o verificare il numero di visite che riceve lo stesso sito. Il rovescio della medaglia è quindi che il 46% dei siti italiani esaminati mostrano dei banner che chiedono il consenso sull'impiego dei cookies per proseguire la navigazione, quando in realtà non ne sarebbero tenuti, e danno inoltre un'informazione fuorviante agli utenti, che sono così indotti a pensare di essere in qualche modo osservati con conseguente penalizzazione della loro privacy, mentre non è così. Forse il Garante non multerà i titolari di tali siti web per questo eccesso di zelo, ma il fastidio è percepibile da quanti navigano in rete, e il paradossale fenomeno non contribuisce a far crescere la fiducia degli utenti.