Dark pattern di Google nella geolocalizzazione utenti: guerra legale negli USA per l’uso nascosto di dati

Non sono localizzati solo in Europa i grattacapi legali di Google: di recente negli USA le autorità stanno sempre più puntando il dito contro la società su diversi fronti (dall’antitrust alla concorrenza sleale fino alla tutela dei consumatori in genere), in particolare contro diversi dark pattern – cioè di design decettivo della UX mirato a spingere gli utenti a compiere determinate scelte, a loro svantaggio – attuati, pare da tempo, da parte della società di Mountain View.

L’ultima pietra dello scandalo, e scopo dei pattern, sarebbe l’accesso (o ricostruzione) della posizione geografica degli utenti, resa facilmente disponibile anzitutto tramite l’hardware stesso dei dispositivi mobili (si può ricavare ad es. dal GPS, dal Wi-Fi o dalle celle di collegamento telefonico).

La tutela, nel panorama normativo americano attuale, generalmente viene posta sotto la bandiera dei consumatori, presidiati dall’FTC (omologo americano dell’Antitrust-AGCM nostrano) che dal 2021 ha dichiarato il suo impegno contro questo fenomeno. Tenendo conto che la normativa si può attivare solo per pratiche “ingannevoli” o “sleali” a danno dei consumatori, fattispecie non facili da circoscrivere e ricondurre a fenomeni come quelli che andremo a esaminare.

Dark pattern: cosa sono e il loro rapporto con il GDPR

Indice degli argomenti

Dark pattern di Google nella geolocalizzazione utenti: il caso

Il caso in parola tratta delle accuse rivolte alla società da parte di vari procuratori generali, di differenti Stati USA (Columbia, Texas, Washington e Indiana), arrivati a portarla in giudizio. A fare da apripista sarebbe stato un articolo dell’Associated Press del 2018, intitolato “Google tracks your movements, like it or not”, che ne rivelava il tracking occulto. Poi nel 2020 è seguita una causa in da parte del procuratore generale dell’Arizona proprio su questo tema, deferita di recente a una giuria per arrivare a verdetto.

WHITEPAPER

Che 2022 sarebbe senza protezione? Sviluppa ora una strategia di SICUREZZA integrata

Cybersecurity

Oltre a ciò, la lotta procede ugualmente sul piano legislativo perché nel 2023 entreranno in vigore disposizioni del California Privacy Rights Act e del Colorado Privacy Act, ovvero leggi statali, proprio contro il fenomeno dei dark pattern. Ugualmente a livello federale non mancano le proposte normative che vadano a colpire, tra l’altro, questi fenomeni.

Sottolineiamo che non si tratta di bagatelle: il dato (o metadato che dir si voglia) sulla posizione dell’utente è di grandissimo valore commerciale, visto che ad es. contribuisce a migliorare la profilazione dell’utente in base alle sue abitudini di spostamento e ad inviare messaggi promozionali mirati quando l’utente si trova nei luoghi più adatti per riceverli. Oltre ad aiutare a identificare l’utente, collegando il dato di ubicazione ad altri dati personali. Altrettanto intuitivo è comprendere la delicatezza di questo dato e l’invasività delle prassi poste in essere per carpirlo, soprattutto se può rivelare dati particolari/sensibili degli interessati in determinati contesti.

L’azienda americana sotto indagine avrebbe fatto promesse fuorvianti sulla capacità dei suoi utenti di proteggere la propria privacy attraverso le impostazioni dell’account Google, risalenti al 2014 fino ad arrivare all’attualità. Traiamo le seguenti indicazioni da quanto denunciato nella causa avviata dal procuratore di Washington DC, Karl A. Racine, il quale ha dichiarato alla stampa: “la verità è che, contrariamente alle dichiarazioni, Google continua a sorvegliare sistematicamente i clienti e a trarre profitto dai dati dei clienti. Le false dichiarazioni di Google sono una chiara violazione della privacy dei consumatori”. Oltretutto l’azienda non avrebbe mai apertamente e chiaramente dichiarato agli utenti i possibili sfruttamenti commerciali derivanti dalla loro localizzazione.

I dark pattern di Google: labirinto senza uscita, nessuna scelta

Da quanto allegato agli atti dei procuratori, emerge che Google avrebbe progettato i suoi prodotti per spingere o fare pressione (“nudging”) sulle persone per fornire sempre più dati sulla posizione, “inavvertitamente o per frustrazione”, oltre a fornire “descrizioni fuorvianti, ambigue e incomplete” delle impostazioni possibili. Di fatto l’informativa fornita da Google avrebbe segnalato agli utenti della raccolta e utilizzo dei dati sulla posizione quando interagivano con i servizi dell’azienda – pur disabilitando la cronologia delle posizioni.

Come avveniva? Agendo sulla impostazione più ovvia per evitarlo (disabilitando “Cronologia delle posizioni” dagli appositi menù dell’account), di fatto un’altra impostazione (“Attività web e App”, attivata per il tracciamento by default!) consentiva comunque a Google di raccogliere i dati sulla posizione degli utenti. E se anche fosse stata disattivata tale ultima impostazione, il dispositivo avrebbe comunque inviato dati di posizione (o elementi per desumerla) sfruttando altri prodotti Google utilizzati dall’utente sul dispositivo. Stesso effetto – cioè nullo – disattivando la funzione “Servizi di localizzazione”, a fronte dei vari altri sistemi posti in essere di inferenza della posizione. Una grave mancanza, in definitiva, di un effettivo controllo ed esercizio dei diritti degli utenti dei dispositivi, a chiaro loro detrimento.

Forme di nudging particolarmente “dark” – e contrarie a buona fede – sarebbero state due: in primis, la richiesta ripetuta agli utenti di abilitare la propria posizione in determinate app (la ripetizione induce un facile sfinimento, si è spesso parlato ad es. di “click fatigue”); in aggiunta, il capzioso avviso agli utenti che alcune app non avrebbero “funzionato correttamente” disattivando la condivisione della posizione, così da incoraggiarli a mantenere comunque attive queste impostazioni.

La difesa di Google

Da parte sua Google ha replicato tramite il suo portavoce, José Castañeda, affermando che il caso sarebbe basato su “affermazioni inesatte e obsolete sulle nostre impostazioni […] abbiamo sempre integrato funzionalità di privacy nei nostri prodotti e fornito controlli robusti per i dati sulla posizione”. Ha aggiunto che sarebbero stati apportati “numerosi miglioramenti alla privacy, tra cui controlli di ‘cancellazione automatica’ per aiutare le persone a eliminare i dati sulla posizione su base continuativa e la modifica delle impostazioni di default per i nuovi account in modo che qualsiasi attività […] venga automaticamente eliminata”. Alla luce di queste dichiarazione, si dovrà accertare se quanto esposto dai procuratori, peraltro, sia storia passata o attualità, non essendo scontato che quanto segnalato agli atti sia del tutto cessato da parte dell’azienda.

Sullo stesso blog di Google l’azienda ha ulteriormente espresso le proprie difese sul punto, cercando di chiarire come sia possibile per l’utente controllare l’uso della propria posizione tramite le varie opzioni sopra menzionate.

Ad es. circa la funzione di autocancellazione dei dati, si afferma che vi sarebbe libertà di scelta sul periodo di tempo impostabile (3 mesi, 18 mesi o 36 mesi) e che, per i “nuovi” utenti, l’impostazione predefinita sarebbe settata a 18 mesi (non certo pochi in ogni caso, di default).

Quanto a inserzionisti ed app, i dati sulla posizione sarebbero d’aiuto a ottenere offerte pertinenti localmente ma senza che Google “venda” mai i dati sulla posizione agli inserzionisti o a terzi. E da Android versione 10 si potrebbe condividere la posizione del dispositivo con app di terze parti solo mentre sono in uso o scegliendo di non condividerla affatto. Resta comunque poco chiaro quanto di tutto l’account utente sia preimpostato “privacy by default” e in che termini, in ossequio a principi privacy come la minimizzazione.

L’uso di dati di geolocalizzazione nell’UE

Rammentiamo come è disciplinato questo tema nel nostro Paese. Nel nostrano Codice per la protezione dei dati personali, all’art. 126 della sezione dedicata alle comunicazioni elettroniche (a recepimento della Direttiva 2002/58), si parla anzitutto di “dati relativi all’ubicazione”: cioè di ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica e che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico.

L’articolo 126 in commento recita che “i dati relativi all’ubicazione diversi dai dati relativi al traffico […] possono essere trattati solo se anonimi o se l’utente o il contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto. […] Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e i contraenti sulla natura dei dati relativi all’ubicazione […], sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto […] L’utente e il contraente che manifestano il proprio consenso […] conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazione”.

Quindi, se venisse confermato quanto sopra, anche nel nostro Paese le stesse pratiche attuate da Google si confermerebbero potenzialmente illecite, sia per la raccolta e uso di dati in mancanza di informato e libero consenso sia per la mancata trasparenza, lato informativa, circa il trattamento in corso e le sue conseguenze. Inoltre la norma estende la tutela a utenti e “contraenti”, dunque vi ricomprende le persone giuridiche, gli enti e le associazioni.

In chiusura segnaliamo che – oltre alla disciplina privacy – pure nel nostro Paese sussiste una tutela consumeristica in forza del D.lgs. 206/2005 e che ben potrebbe attivarsi contro pratiche commerciali ingannevoli e/o aggressive. Così come accaduto di recente ad opera dell’AGCM avverso i dark pattern di Apple e Google, a tutela del controllo dei dati personali degli utenti e del loro indebito sfruttamento commerciale.

Antitrust, sanzioni ai “dark pattern” di Google e Apple

WHITEPAPER

Strategie e tecniche di difesa dagli attacchi: come cambia il Network Security

Cybersecurity

@RIPRODUZIONE RISERVATA
Sorgente articolo:
Dark pattern di Google nella geolocalizzazione utenti: guerra legale negli USA per l’uso nascosto di dati

User ID Campaign ID Link
d9a95efa0a2845057476957a427b0499 l-99999987 Realizza un Applicazione Web
d9a95efa0a2845057476957a427b0499 l-99999978 Ugo Fiasconaro
d9a95efa0a2845057476957a427b0499 l-99999986 Free Web Hosting
d9a95efa0a2845057476957a427b0499 l-99999997 Video Conferenze per B2B