A settembre la ONG olandese SDBN ha proposto una class action contro XCorp (ex Twitter) per aver tracciato illegalmente i suoi utenti e aver raccolto dati personali a fini pubblicitari.
L'azione coinvolge anche MoPub, una piattaforma pubblicitaria mobile precedentemente di proprietà di Twitter e successivamente venduta ad AppLovin. Il coinvolgimento di MoPub è importante perché i suoi tracker sono presenti in migliaia di app, compresi servizi popolari come Shazam e Duolingo.
Nello stesso periodo, l'ONG per la tutela della privacy noyb ha presentato all'autorità francese per la tutela della privacy una denuncia contro tre applicazioni mobili, sostenendo che le applicazioni tracciano gli utenti in modo illegale. Maggiori informazioni sulle denunce sono disponibili sul sito web dell'organizzazione.
Le autorità di regolamentazione dell'UE sono finalmente chiamate a far rispettare la legge contro le app mobili. Ma qual è il problema dei tracker e delle app mobili e perché questi casi sono importanti?
- Un problema trascurato
- Come funziona il tracciamento mobile?
- Il tracciamento mobile è preoccupante?
- Cosa dice il GDPR in merito al tracciamento mobile?
- Cosa c'è da sapere sui casi?
- Perché questi casi sono importanti?
- Le cose cambieranno in meglio?
Un problema trascurato
Il tracciamento e la pubblicità comportamentale sono da tempo un tema caldo nella comunità della privacy. Non è una sorpresa, visto che innumerevoli aziende si affidano a strumenti come Meta's Pixels o Google Analytics.
Le notizie sull'argomento sono state numerose, dalla multa di 400 milioni di euro comminata a Meta per il tracciamento e la profilazione illegali degli utenti di Facebook e Instagram, alla procedura in corso da parte della DPA belga sul Transparency and Consent Framework di IAB Europe.
Le app mobili non ricevono lo stesso grado di attenzione della tecnologia di tracciamento tradizionale basata sui cookie. Diamo quindi un'occhiata più da vicino a come le app tracciano i loro utenti e vediamo perché la sorveglianza delle app è un'enorme minaccia per la privacy.
Come funziona il tracciamento mobile?
Probabilmente conoscete il tracciamento basato sui cookie su Internet. Le aziende vogliono identificare i visitatori per valutare le prestazioni dei loro siti web e delle loro campagne di marketing. Spesso vogliono anche tracciare i visitatori sul Web per mostrare pubblicità personalizzata basata su dati personali come interessi, posizione, dati demografici e così via.
La maggior parte dei siti Web lo fa inserendo dei cookie nel browser dell'utente, il che può essere fatto solo con il consenso dell'utente ai sensi della legislazione dell'UE (le regole generali sono un po' più complicate, ma in breve è così che funziona per l'analisi del Web).
Il tracciamento mobile è diverso: le app estraggono i dati direttamente dal dispositivo dell'utente e li inviano alla società madre dei kit di sviluppo software (SDK) incorporati nelle app.
Gli SDK sono una sorta di "mattoni" che facilitano la creazione di un'applicazione da parte degli sviluppatori di software. Un SDK è essenzialmente un pacchetto di codice preconfezionato che consente alle app di eseguire operazioni quali l'autenticazione degli utenti, il recupero di informazioni da un'API, la condivisione di dati e così via. Le aziende possono risparmiare molto tempo di sviluppo includendo un SDK nella loro applicazione invece di programmare funzioni complesse da zero.
Gli SDK sono molto utili per gli sviluppatori di software. Nel mercato delle applicazioni mobili, altamente competitivo e in rapida evoluzione, le aziende si sfidano costantemente per occupare una nicchia prima che la concorrenza le batta. Per gli sviluppatori è essenziale che il prodotto venga distribuito rapidamente e gli SDK sono il modo più semplice per farlo. L'uso degli SDK è praticamente una pratica standard nel settore e tutti noi ne abbiamo diversi sui nostri smartphone.
Ma c'è un problema. Gli SDK sono in genere disponibili gratuitamente, ma includono codice che estrae informazioni dagli utenti finali e le fornisce all'azienda che ha sviluppato il kit. Quindi, gli sviluppatori ottengono gli SDK gratuitamente e l 'utente li paga con i propri dati quando scarica l'applicazione.
Il tracciamento mobile è preoccupante?
Se seguite il nostro blog, probabilmente sapete che non siamo i più grandi fan dei cookie. Il tracciamento tramite app mobili è ancora peggiore, per diversi motivi.
Innanzitutto, le app sono subdole. È possibile controllare i cookie con pochi clic attraverso il browser, ma è necessario molto lavoro e know-how per capire quali dati le app stanno raccogliendo dal telefono.
Le denunce di Noyb ne sono un ottimo esempio. Il sito web dell'organizzazione spiega in dettaglio come noyb ha scoperto quali dati personali venivano raccolti e condivisi. noyb ha prima effettuato il rooting di un dispositivo, poi ha utilizzato un software di terze parti per catturare e decifrare il traffico in uscita. Non è molto facile da usare.
Inoltre, i browser consentono agli utenti di controllare i cookie, che possono essere cancellati con pochi clic. Gli utenti non hanno lo stesso controllo sulle app mobili.
I sistemi di autorizzazione all'accesso presenti nella maggior parte dei sistemi operativi consentono un certo grado di controllo dell'utente sulla raccolta dei dati, ad esempio permettendo di negare l'accesso ai dati sulla posizione o al microfono del dispositivo. Tuttavia, altri dati personali non sono bloccati dal sistema di autorizzazione. Inoltre, alcune app richiedono semplicemente i dati per poter funzionare, ricattando in sostanza l'utente per fornirgli dati non necessari.
Anche il tracciamentoincrociato dei dispositivi è banale per le app mobili, perché molti utenti installano le stesse app su dispositivi diversi e accedono con lo stesso profilo.
Infine, molte app utilizzano gli stessi SDK e forniscono dati alle stesse aziende, compresi i soliti sospetti come Google e Meta. Questa centralizzazione rappresenta un rischio significativo per la privacy: i dati raccolti da alcune app possono sembrare innocui, ma possono essere molto rivelatori se combinati con i dati di altre app.
Supponiamo che usiate un'app per la salute mentale e un'app per il monitoraggio delle calorie. Le usate spesso insieme perché tendete a cercare conforto nel cibo quando vi sentite tristi o ansiosi. Se le app sono alimentate dagli stessi SDK, potreste vedere annunci di consegna di cibo ogni volta che visitate un sito web dopo aver usato l'app per la salute mentale. La combinazione dei dati delle vostre app consente allo sviluppatore dell'SDK di sfruttare i vostri comportamenti di ricerca di conforto.
Questo è solo un esempio delle strategie pubblicitarie non etiche e predatorie rese possibili dalla centralizzazione dei dati personali sul mercato pubblicitario mobile. Immaginate cosa possono fare le aziende con qualche app in più sul vostro telefono.
Cosa dice il GDPR in merito al tracciamento mobile?
Abbiamo già delle regole per garantire che le app mobili rispettino la privacy degli utenti, ma non le abbiamo applicate abbastanza.
Secondo la direttiva sulla privacy, è necessario il consenso per leggere e scrivere qualsiasi dato sul dispositivo dell'utente. Ciò include gli ID di tracciamento che gli SDK tipicamente scrivono sui dispositivi mobili, nonché altri dati di valore economico come i dati di localizzazione. In pratica, molte app ignorano completamente questo requisito o estorcono il consenso rifiutandosi di funzionare a meno che l'utente non fornisca loro i dati desiderati (cosa non consentita dal GDPR).
(Per essere chiari, è giusto che le app chiedano i dati di cui hanno realmente bisogno. Google Maps ha bisogno della vostra posizione, Tinder no).
Anche la trasparenza è piuttosto problematica per le app. In base al GDPR, ogni volta che qualcuno raccoglie i vostri dati, ha l'obbligo di fornirvi alcune informazioni essenziali: quali dati vengono raccolti, da chi, per quale scopo, se verranno condivisi con terze parti e così via. Ma la maggior parte delle app fornisce informative sulla privacy incomplete, perché spesso le aziende stesse non hanno idea di quali dati le loro app raccolgano attraverso gli SDK.
Cosa c'è da sapere sui casi?
Le denunce di Noyb riguardano tre popolari applicazioni mobili disponibili sul mercato francese: FNAC, Se Loger e MyFitnessPal (che per coincidenza utilizza gli SDK di MoPub). Come spiegato in questo esempio di reclamo, noyb sostiene che le app trattano illegalmente i dati senza il consenso dell'utente, il che è contrario alla direttiva ePrivacy dell'UE e alle leggi francesi che la implementano. Noyb sostiene inoltre che le app violano il principio del GDPR sulla protezione dei dati per progettazione e per impostazione predefinita, raccogliendo dati non necessari.
Vale la pena notare che l'autorità francese per la protezione dei dati (CNIL) ha recentemente emesso alcune multe salate per il tracciamento illegale(di cui abbiamo scritto). Riteniamo che noyb abbia un caso solido e che la CNIL prenderà la questione molto seriamente. Naturalmente, solo il tempo ce lo dirà.
Per quanto riguarda la class action contro X Corp, il sito web dell'SDBN sostiene che migliaia di app hanno raccolto dati personali senza consenso attraverso i tracker di MoPub. Non sappiamo molto a parte questo, poiché il comunicato stampa dell'organizzazione descrive l'azione legale solo a grandi linee.
Vale la pena notare che l'organizzazione sta agendo per conto di milioni di persone, il che potrebbe comportare la concessione di ingenti danni da parte dei tribunali olandesi.
Perché questi casi sono importanti?
Come abbiamo spiegato, i problemi di privacy sollevati dalle app per dispositivi mobili non ricevono l'attenzione che meritano e finora le azioni legali contro gli editori di app per dispositivi mobili e i distributori di SDK sono state poche.
Le azioni legali di SDBN e Noyb si spera possano cambiare la situazione. Noyb è un'organizzazione ben nota nella comunità della privacy e il CNIL è un'autorità influente. Le denunce di Noyb attireranno sicuramente l'attenzione se andranno bene per l'ONG.
Per quanto riguarda SDBN, la causa potrebbe costare a X Corp molto denaro. Ma soprattutto, coinvolge indirettamente migliaia di app, compresi servizi popolari come Shazam e MyFitnessPal. Quindi, questa azione legale potrebbe avere un impatto sui tracker presenti in innumerevoli servizi.
Le cose cambieranno in meglio?
Lo speriamo, e ci sono motivi per essere ottimisti.
La centralizzazione rende redditizio il mercato della pubblicità mobile, ma può anche rendere il modello commerciale vulnerabile alle controversie. Un'azione legale di successo contro i proprietari di SDK onnipresenti potrebbe avere un impatto su migliaia di app e trasmettere onde all'intero mercato, soprattutto se un caso dovesse arrivare alla Corte di giustizia dell'UE o al Comitato europeo per la protezione dei dati.
Inoltre, i futuri reclami contro il tracciamento dei dispositivi mobili rientreranno probabilmente nell'ambito della direttiva ePrivacy, evitando il sistema notoriamente inefficiente del GDPR per la gestione dei casi transfrontalieri. Questo potrebbe portare a procedure più rapide, perché i reclami verrebbero decisi nello Stato in cui sono stati presentati, invece di rimbalzare da uno Stato membro all'altro.
Da anni ormai le app mobili incombono sullo sfondo dei nostri telefoni, accumulando silenziosamente dati personali su vasta scala. Ci auguriamo che queste azioni legali attirino l'attenzione sulla questione del tracciamento mobile e spingano le autorità di regolamentazione a un'applicazione più rigorosa nel lungo periodo.
Come avrete capito, non ci piace il tracciamento. Crediamo che sia irresponsabile, pericoloso e non etico. Per questo motivo abbiamo creato Simple Analytics per fornire ai nostri clienti tutti gli approfondimenti di cui hanno bisogno, senza raccogliere dati personali dall'utente finale. Se vi sembra una buona idea, non esitate a provarci!