Difendere la propria privacy come utenti di Google – ossia utenti di internet – è sempre più difficile. Spesso si sottovaluta che sono state più di centoquaranta le società acquisite da Google nell’ultimo ventennio, oltre dieci solo negli ultimi due anni. Si tratta di un dato strabiliante che ha il pregio di confermare la continua crescita di Google non solo in termini di fatturato ma anche di know-how e patrimonio informativo.
Una tale concentrazione di dati di vario tipo, ottenuta anche attraverso acquisizioni, nelle mani di una sola azienda è di per sé una minaccia straordinaria per la privacy di ognuno di noi. Preoccupazione condivisa dall’European Data Protection Board (l’organo europeo istituzionale di riferimento), a quanto comunicato la scorsa settimana in merito alla fusione Google-Fitbit. “Si teme che l’eventuale ulteriore combinazione e accumulo di dati personali sensibili riguardanti le persone in Europa da parte di una grande azienda tecnologica potrebbe comportare un elevato livello di rischio per i diritti fondamentali alla privacy e alla protezione dei dati personali”, scrive.
Lo “shopping” di Google negli ultimi 20 anni
Se proviamo a digitare sul motore di ricerca più utilizzato dagli utenti del web le parole chiave “Google compra” o “Google acquisisce” sono circa seicento milioni i risultati che lo stesso è in grado di restituire.
E infatti, negli ultimi diciannove anni le società acquistate dal colosso californiano sono state più di centoquaranta, per un investimento economico quantificabile in centinaia di miliardi di dollari.
L’elenco delle operazioni commerciali più rilevanti effettuate da Google che si riporta di seguito ha lo scopo di provare ad analizzare le conseguenze pratiche che una tale concentrazione di informazioni nelle mani di un solo soggetto può avere nella nostra vita di tutti i giorni.
Big tech e antitrust, la pacchia è finita: perché siamo alla svolta
Le finalità di marketing (Double Click, Admob e Wildfire Interactive)
I più importanti investimenti economici effettuati da Google attengono al settore del marketing e dell’advertising online. Per far sue tre importantissime realtà come Double Click (una piattaforma progettata per gestire le pubblicità sui siti web, sui device mobili e su molto altro ancora, ivi inclusi i giochi online), Admob (un’applicazione creata per la monetizzazione di app e per il guadagno online tramite annunci pubblicitari) e Wildfire Interactive (un’applicazione di social marketing che consente alle aziende di creare, ottimizzare e misurare la loro presenza sui social network – oggi integrata in Double Click), Google ha infatti speso quasi 4,5 miliardi di dollari.
Si tratta, tuttavia, di tre operazioni che hanno sollevato l’attenzione di importanti autorità pubbliche, poiché potenzialmente rilevanti sotto più profili.
Da un punto di vista antitrust, la Federal Trade Commission – sulla spinta di noti concorrenti di mercato (tra cui Microsoft) – ha condotto un’indagine per escludere la creazione di una eventuale posizione dominante nel mercato dell’advertising online. Lato privacy, invece, il Gruppo di lavoro ex art. 29 (oggi, “European Data Protection Board”) – assieme alla Electronic Privacy Information Center (un riconosciuto gruppo di ricerca statunitense in materia di libertà d’informazione e privacy) – ha manifestato la preoccupazione che l’acquisizione di tali società (soprattutto di Double Click) potesse permettere a Google di monitorare e conservare i dati relativi alle ricerche effettuate e ai siti visitati da oltre 1,1 miliardi di utenti internet (come in effetti poi è stato).
I risvolti pratici della concentrazione
Ebbene, quali potrebbero essere i risvolti pratici di una tale concentrazione di dati personali nelle mani di Google, se utilizzati per finalità di marketing e profilazione online?
Si provi a pensare, solo per fare un esempio, ad un utente che navigando sul web per cercare di ottenere informazioni su un’autovettura di proprio gradimento si trovi costretto a “combattere” con un annuncio pubblicitario “invadente” (che, magari, impedisce la visualizzazione di parte della vettura) avente ad oggetto una racchetta da tennis osservata qualche settimana prima su un diverso sito web e ormai dimenticata.
O ad un utente che, nel cercare su Google un ristorante presso cui cenare, si veda comparire tra i primi risultati di ricerca il medesimo locale a cui aveva messo “mi piace” su un social network (aperto tramite il browser Google Chrome) nel corso della giornata.
E ancora, basandosi ad esempio sul testo di un messaggio inviato o ricevuto con Gmail, così come sulla cronologia delle ricerche o dei video caricati su YouTube, per Google potrebbe non essere difficile risalire a nome, cognome, indirizzo, numero di telefono e altri dettagli personali dell’interessato.
Gdpr baluardo verso Google & C
Cosa occorre fare, quindi, laddove l’intenzione sia quella di evitare di subire, tramite i nostri apparecchi elettronici, un’”invasione digitale” da parte di Google?
Innanzitutto è importante ricordare che, sebbene il Regolamento n. 679/2016 (“GDPR”) abbia previsto (al Considerando 47) che lo svolgimento di attività di marketing diretto rientra tra i legittimi interessi del titolare del trattamento (vale a dire che Google può trattare i nostri dati personali per finalità di marketing senza chiedere il nostro preventivo consenso), in Italia vige ancora la regola secondo cui per poter utilizzare i dati personali di un interessato per inviargli comunicazioni commerciali o promozionali, newsletter, per effettuare sondaggi o ricerche di mercato, il titolare del trattamento deve ottenere un preventivo consenso, libero ed informato, dell’interessato stesso (sempre che la finalità promozionale non sia diretta a promuovere, tramite e-mail, prodotti o servizi simili a quelli già acquistati da un utente – cd. “soft-spam”, di cui all’art. 130 del Codice Privacy come novellato dal D. Lgs. n. 101/2018).
Così come uno specifico consenso dell’utente (separato da quello eventualmente fornito per finalità di marketing) è ancora necessario all’interno del nostro Paese per autorizzare il titolare del trattamento a trasmettere i nostri dati personali a società terze per finalità commerciali di queste ultime (cfr. “Linee Guida in materia di attività promozionale e contrasto allo spam” del Garante Privacy del 4 luglio 2013).
In secondo luogo, come previsto dal GDPR e dai provvedimenti del Garante Privacy in materia di trattamento di dati personali mediante utilizzo di cookie, eventuali attività di profilazione dei nostri interessi online e del nostro comportamento di navigazione sul web possono essere effettuate dal titolare solo previo consenso, da manifestare attraverso accettazione di uno specifico banner cookie o, ancora, mediante la prosecuzione (cd. tecnologia di “scroll”) della pagina web visitata.
Alla luce di quanto sopra, non è quindi tutto perduto: ed anzi, le vigenti disposizioni in materia di protezione dei dati personali prevedono, a favore dell’utente, sia la possibilità (rectius, il diritto) di decidere liberamente se ricevere (o meno) comunicazioni aventi finalità di marketing – ed eventualmente di revocare in ogni momento il consenso fornito – sia se consentire (o meno) a terzi di creare profili personali dell’utente tramite il monitoraggio dei suoi comportamenti sul web.
La geolocalizzazione degli interessati (Waze)
Google è stata in grado di espandersi anche nel settore dei sistemi informatici pensati per la geolocalizzazione degli utenti. Un enorme passo in tale direzione è stato compiuto mediante l’acquisizione, nel 2013 (per più di un miliardo di dollari), dell’applicazione “Waze”.
Ciò che più rileva è che tramite l’acquisizione della nota startup israeliana, Google ha dimostrato interesse non solo a trattare i dati personali di oltre cinquanta milioni di utenti di quasi centonovanta Paesi in tutto il mondo bensì anche a controllarne gli spostamenti sul territorio (scopo che, comunque, è sempre stato nell’interesse di Google, avendo tale società sviluppato l’applicazione “Google Maps” sin dall’anno 2006).
Si tratta di un’operazione che, se da un lato, ha avuto certamente il pregio di fornire importanti vantaggi in termini di mobilità stradale (e non solo) – semplificando viaggi e spostamenti di breve e lunga durata e creando una vera e propria community volta alla condivisione di informazioni sul traffico e/o incidenti, dall’altro ha altresì comportato non poche conseguenze pratiche in merito alla protezione dei nostri dati personali.
Non è infatti un caso che un utente, passeggiando per il centro di Roma, riceva sul proprio cellulare (sul quale ha attivato la localizzazione GPS) una notifica da parte di Google che chieda lui una valutazione in merito al negozio in cui è appena entrato o al ristorante in cui ha appena cenato. O che svegliandosi la mattina noti sul proprio smartphone che Google gli ha appena segnalato che per raggiungere il posto di lavoro dalla posizione in cui si trova dovrà impiegare circa quarantacinque minuti.
Tuttavia, anche in relazione a questo tipo di trattamenti di dati personali, è opportuno evidenziare che l’utente dispone di concreti strumenti per evitare che Google ne rilevi l’ubicazione.
Con un po’ di attenzione (e conoscenza della materia) è possibile, ad esempio, disattivare i servizi di localizzazione di cui è dotato uno smartphone o un pc (ove non necessario) oppure prevedere che gli stessi si attivino solo quando necessario per usufruire di una specifica applicazione.
È inoltre bene sottolineare che la normativa vigente, su questo aspetto, si pone al fianco degli utenti.
Infatti, per taluni trattamenti di dati personali idonei a “presentare un rischio elevato per i diritti e le libertà delle persone fisiche” – come la profilazione degli interessati per mezzo dell’analisi della posizione geografica o degli spostamenti sul territorio o i trattamenti effettuati attraverso l’uso di tecnologie innovative, ivi compresi i monitoraggi effettuati da dispositivi wearable (si veda, sul punto, l’elenco dei trattamenti da sottoporre a DPIA del Garante Privacy) – il GDPR prevede che il titolare debba effettuare una preventiva valutazione in merito all’impatto che l’utilizzo di simili tecnologie può avere per i diritti e libertà fondamentali degli utenti.
Si tratta di un’attività meglio nota come “Data Protection Impact Assessment” (o “DPIA”) che esprime la responsabilizzazione (o “accountability”) dei titolari nei confronti dei trattamenti da questi effettuati e che permette di rispettare concretamente un fondamentale principio fissato dal GDPR, ossia la protezione dei dati fin dalla fase di progettazione (o “data protection by design”).
I dati personali relativi allo stato di salute (Senosis, Fitbit, Fossil)
Ad alimentare l’attenzione di Google per le nuove tecnologie finalizzate alla raccolta di dati personali aventi ad oggetto lo stato di salute di una persona fisica ci ha pensato una piccola startup americana composta da quattro ricercatori e tecnici dell’Università di Washington.
Si chiama “Senosis” ed è un’applicazione che Google ha acquisito nel 2018 la quale, se installata sullo smartphone, consente di rilevare i parametri vitali della persona e di diagnosticare determinate patologie: attraverso la fotocamera, ad esempio, è possibile rilevare i livelli di bilirubina nel sangue, la quantità di emoglobina e il battito cardiaco; tramite il microfono, eventuali problemi ai polmoni come fibrosi cistica o asma.
D’altronde, l’interesse di Google per il trattamento dei dati di natura sanitaria è reso evidente anche dall’acquisizione di Fitbit, un’azienda produttrice di smartwatch, e della divisione smartwatch di Fossil: il tutto per un totale di circa quaranta milioni di dollari.
Anche in relazione a questo genere di operazioni è necessario evidenziare lo strapotere informativo acquisito da Google: basti menzionare che solo con Fitbit Google è diventata proprietaria di un’azienda che ha venduto oltre cento milioni di dispositivi in tutto il mondo registrando più di ventotto milioni di utenti attivi. Per questo motivo, EDPB ha sollecitato Google al rispetto del Gdpr e a mitigare i possibili rischi per la privacy e protezione dei dati prima di notificare l’acquisizione alla Commissione Europea.
Come impedire la condivisione dei nostri dati di salute
Come è possibile comportarsi, in questi casi, per evitare di condividere con Google (o altri titolari del trattamento) i nostri dati personali di natura sensibile?
Un primo passo potrebbe essere quello di leggere e comprendere con attenzione la privacy policy resa disponibile dal titolare di un’applicazione, prima di registrarsi alla stessa. Leggendo infatti l’informativa privacy di Fitbit (liberamente consultabile da chiunque) si può comprendere
- che il trattamento dei dati personali dell’utente relativi al suo stato di salute (frequenza cardiaca, dati del sonno, ecc.) avviene esclusivamente se quest’ultimo ha prestato il consenso (ad esempio, al momento della creazione dell’account o dell’utilizzo di una singola funzione dell’app), in ossequio all’art. 9.2, lett. a) del GDPR ed al Provvedimento del Garante Privacy n. 55/2019 e
- che tale consenso può essere revocato in qualsiasi momento, anche eliminando i propri dati o il proprio account.
Allo stesso modo, è possibile acconsentire o meno al trattamento dei dati personali per ricevere contenuti personalizzati, come ad esempio approfondimenti personalizzati per dormire meglio o i migliori esercizi per bruciare kilocalorie.
In relazione al trattamento di dati personali per finalità di salute sarà poi importante capire quali saranno le cosiddette “misure di garanzia” che i titolari del trattamento dovranno adottare: si tratta di misure (anche di sicurezza) che, come previsto dall’art. 2-septies del Codice Privacy novellato, dovranno essere individuate dal Garante Privacy ma che, ad oggi, non sono ancora state rese note.
Consigli pratici per difendere la privacy con Google
L’analisi della casistica sopra esposta permette di comprendere più da vicino lo strapotere che Google ha acquisito nel corso degli anni in relazione a ogni genere di dato personale nonché i possibili rimedi per evitare (o quantomeno limitare) che le nostre informazioni entrino in possesso di Google (e/o di terzi) in maniera incontrollata.
Quando si parla di “dati personali” occorre tenere a mente che non si tratta solo di realtà immateriali (un nome, un indirizzo e-mail o un elettrocardiogramma), bensì di informazioni che possiedono un intrinseco valore monetario ed economico. È infatti ormai chiaro, come ribadito anche dalla recente giurisprudenza della Corte di Cassazione (sentenza n. 17278/2018), che il dato personale costituisce vera e propria merce di “scambio” per i gestori di siti online e applicazioni di rete, a fronte di servizi spesso forniti in maniera gratuita.
E Google ci ha dimostrato che la migliore strategia per sfruttare a pieno la potenzialità economica di un dato personale è quella di utilizzare le diverse tipologie di informazioni raccolte in maniera combinata tra loro (combinare i dati raccolti per finalità di marketing con quelli sulla collocazione geografica; i dati trattati per la fornitura di un servizio medico online con quelli raccolti per finalità di profilazione; e così via). Sul punto, si noti che non è affatto casuale che anche attività quali il “raffronto” e “l’interconnessione” di dati personali rientrino tra le operazioni di “trattamento” di cui all’art. 4 del GDPR.
Si pensi, solo per fare un esempio, alle potenzialità di un’interconnessione tra dati personali utilizzati per fini di marketing e dati personali (riferiti al medesimo interessato) trattati per finalità di geolocalizzazione.
Google potrebbe essere in grado (come in effetti è) di inviare ad un ciclista, che abbia visitato il sito web di un negozio di biciclette poche settimane prima e che poi si trovi fisicamente (ma per caso, ad esempio durante una normale passeggiata) davanti a quel negozio, una notifica in merito al fatto che il locale ha appena esposto in vendita nuove biciclette, così da indurre il consumatore ad effettuare o meno un acquisto.
O ancora, alla potenzialità di una combinazione trilaterale tra dati personali relativi allo stato di salute di una persona, dati personali utilizzati per fini promozionali e dati personali di geolocalizzazione.
Google potrebbe avvisare un utente di sessant’anni che abbia inserito il proprio indirizzo e-mail in occasione dell’iscrizione ad un’applicazione di fitness che la struttura sanitaria più vicina a casa sua ha appena attivato una promozione riservata agli over 50 che consente di effettuare un check-up completo ad un prezzo scontato: ciò sulla base del fatto che la stessa applicazione di fitness, durante l’ultimo allenamento dell’utente, ne aveva rilevato un battito cardiaco irregolare.
Le potenzialità di un tale utilizzo dei dati personali sono immense.
Cosa fare quindi di fronte a un simile scenario?
Sebbene alcuni consigli pratici siano già stati forniti in precedenza, è bene indicare semplici linee guida che possono essere rispettate da chiunque, senza particolare sacrificio in termini di costi e tempo.
- Leggere le informative privacy dei siti web visitati, così come le privacy e le cookie policy delle applicazioni installate, ponendo particolare attenzione alle “finalità del trattamento” dei dati ed alla eventuale possibilità che gli stessi siano “comunicati” a terzi.
- Evitare di accettare indistintamente (e nel giro di massimo un paio di secondi) i banner cookie che appaiono sulla maggior parte dei siti web visitati – ad esempio cliccando su “ok” o proseguendo la navigazione del sito – verificando cosa comporta realmente l’accettazione di quel banner (ad esempio, se si traduce nel rilascio di un consenso al trattamento dei dati per attività di marketing e profilazione) e se l’accettazione è necessaria o meno per proseguire la navigazione.
- In caso di dubbi in merito al trattamento dei propri dati personali, rivolgersi direttamente al titolare (i cui estremi di riferimento dovrebbero essere disponibili sul sito web) utilizzando un format molto utile messo a disposizione dal Garante Privacy; in ipotesi di sospetta illiceità del trattamento dei dati personali, inoltre, presentare una segnalazione al Garante Privacy.
- Verificare che i servizi di localizzazione installati sul proprio apparecchio informatico siano attivi solo ove strettamente necessario per usufruire di uno specifico servizio (ad esempio, sarebbe utile verificare che la localizzazione effettuata tramite un’applicazione di fitness si attivi solo durante l’allenamento e si disattivi alla chiusura dell’app).
- Revocare i consensi eventualmente forniti per il trattamento dei dati personali per finalità di marketing e profilazione laddove non vi sia più interesse a restare aggiornati sui prodotti e / o servizi del titolare cui il consenso era stato fornito.