Category Archives: GDPR

Notizie e suggerimenti sul GDPR il regolamento europeo sulla protezione dei dati

L’editore francese del “Le Figaro”  è subito una sanzione di 50.000 euro dall’autorità per la protezione dei dati francese (CNIL) dopo che è stato scoperto che il suo sito Web installava cookie pubblicitari di terze parti senza il consenso degli utenti.

La Commission Nationale de l’Informatique et des Libertés (CNIL) ha imposto le sanzioni dopo che i controlli tra il 2020 e il 2021 hanno rivelato che i cookie venivano automaticamente posizionati sui computer dei visitatori del sito Web lefigaro.fr, senza che venissero avvisati o chiedendo il permesso.

Il Regolamento generale sulla protezione dei dati (GDPR) dell’UE impone che i siti web acquisiscano il permesso degli utenti prima che vengano installati i cookie con finalità di tracciamento e/o marketing, data la quantità di dati personali che raccolgono. I siti web sono inoltre tenuti a rispettare il rifiuto degli utenti se espresso. Le Figaro ha violato queste regole in quanto “non garantiva sistematicamente la raccolta del consenso”.

La multa è la più recente di una serie di sanzioni comminate dalla CNIL per violazioni della protezione dei dati, alcune delle quali sono state imposte ai giganti della tecnologia globale per milioni di euro.

Gli addetti ai lavori ritengono che il provvedimento della CNIL sia stato anche preso per fornire “un esempio per altri siti web e per far sapere all’industria che tali sanzioni non accadono solo a grandi aziende come Google e Amazon”.

Le violazioni relative ai cookie sono state al centro di una serie di recenti sentenze CNIL.

Nel novembre 2020, i rivenditori Carrefour France e Carrefour Banque sono stati colpiti rispettivamente da multe di 2,25 milioni di euro e 800.000 euro dopo essere stati scoperti per aver violato una serie di normative sulla protezione dei dati, inclusa la politica sui cookie del GDPR.

Un mese dopo, nel dicembre 2020, la CNIL ha anche emesso una serie di importanti multe contro i giganti della tecnologia Google e Amazon per mancato rispetto degli obblighi relativi ai cookie.

Google ha ricevuto una sanzione pari a 100 milioni di euro per un reato simile a quello del Le Figaro, dopo che è stato scoperto che i siti web francesi della società avevano installato cookie sui computer degli utenti senza il loro previo consenso. Google ha poi impugnato la decisione in tribunale, sia contestando i termini delle sanzioni sia contestando la giurisdizione della CNIL.

Non c’è dubbio che quello dei cookie sia un tema caldo e che presto anche gli altri garanti privacy (quello italiano incluso) passeranno all’attacco per debellare, si spera in maniera definitiva, l’utilizzo selvaggio di questo strumento del digital marketing.

COOKIEBOT
https://manage.cookiebot.com/goto/signup?rid=QTGEA
https://manage.cookiebot.com/goto/signup?rid=QTGEA

Dopo le circa venti diffide inviate nel maggio 2021 e che hanno permesso di renderle conformi, il presidente della CNIL ha emesso una diffida ad altre quaranta organizzazioni che ancora non consentono agli internauti di rifiutare i cookie in maniera semplice e conforme. .

Come annunciato un mese fa, la CNIL sta perseguendo la sua strategia globale di rendere conformi i giocatori che utilizzano i cookie. Il presidente della CNIL aveva così inviato, a fine maggio, una ventina di diffide che consentivano alle organizzazioni interessate di correggere le proprie cattive pratiche. Tuttavia, alcune organizzazioni non sono ancora in regola con la normativa sui cookie. Siccome per il garante francese tale situazione non è accettabile è stato deciso deciso di adottare nuove diffide nei confronti di una quarantina di organizzazioni con pratiche non conformi fissando al 6 settembre 2021 il limite ultimo per adeguarsi. 

Sono particolarmente interessati da queste comunicazioni formali:

  • quattro grandi piattaforme dell’economia digitale;
  • sei principali produttori di hardware e software per computer;
  • sei aziende di beni di consumo online;
  • due attori principali nel turismo online;
  • tre società di autonoleggio;
  • tre principali attori del settore bancario;
  • due importanti comunità locali;
  • due servizi pubblici on line;
  • un palyer del settore di energia.

Questa nuova campagna di verifica e segnalazione integra le procedure in corso prima della costituzione ristretta della CNIL (organo competente a pronunciare le sanzioni) e che rischiano di comportare sanzioni pecuniarie fino al 2% del fatturato.

La politica di controllo della CNIL è a lungo termine. All’inizio dell’anno scolastico saranno realizzate altre campagne di verifica e di correzione per garantire il rispetto della privacy degli internauti francesi. Questo per garantire l’efficacia del lavoro iniziato dalla CNIL da 2 anni e culminata nell’adozione di specifiche linee guida e relativa raccomandazione .

COOKIEBOT
https://manage.cookiebot.com/goto/signup?rid=QTGEA

Stiamo vivendo una rivoluzione dei cookie e della privacy per i siti web, è importante capire cosa succede e come affrontare la situazione.

Se il tuo sito web, che sia di tipo “vetrina”, “blog”, “e-commerce” o altro, riceve visitatori dai paesi dell’Unione Europea (UE), il Regolamento generale sulla protezione dei dati (GDPR) influisce sul modo in cui utilizzi i cookie per raccogliere le loro informazioni e su cosa puoi fare con queste informazioni.

Soprattutto, devi predisporre il necessario per informare i tuoi visitatori/clienti e raccogliere eventuali consensi sull’utilizzo di cookie o attività di Fingerprinting.

Come oramai quasi tutti sanno, il GDPR è un regolamento sulla protezione dei dati personali dell’UE entrato in vigore il 25 maggio 2018. Le regole europee si sono, senza alcun dubbio, poste a riferimento degli standard di protezione dei dati in tutto il mondo.

Il GDPR impone per le imprese:

  • Quali dati possono raccogliere sui visitatori del loro sito
  • Come conservare queste informazioni
  • Come utilizzare le informazioni
  • Quali politiche sulla privacy si devono implementare
  • Quali consensi occorre ottenere e conservare dai visitatori del sito per trattarne i dati.

Perché servono norme di conformità sul trattamento dei dati personali

L’evoluzione comportamentale degli utenti internet, sempre più disponibili a creare identità digitali come risultanti dall’accesso a molteplici servizi e funzioni disponibili (in particolare i social network), rende necessario fissare alcuni punti normativi.

Tale proliferazione di dati comporta infatti il rischio che le informazioni personali oggetto di trattamento siano raccolte incrociando altre informazioni per creare profili sempre più specifici e dettagliati.

Per questo motivo le Autorità Garanti si stanno muovendo, con diverse iniziative, per rafforzare le tutele volte a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo.

Il Regolamento UE 679/2016 prevede infatti che i consumatori siano in grado di controllare:

  • Chi raccoglie informazioni su di loro
  • Quali informazioni vengono raccolte
  • Come vengono utilizzate queste informazioni
  • Se terze parti hanno accesso a queste informazioni

Inoltre, una persona ha il diritto di revocare il consenso in qualsiasi momento. Se qualcuno decide che non vuole più che tu gestisca o memorizzi i suoi dati, devi adeguarti e agire di conseguenza. Ciò è in linea con i principi generali dell’UE in merito a trasparenza, equità, controllo individuale e processo decisionale basato sulla piena conoscenza dei fatti.

Cookie e GDPR

Poiché i cookie sono molto utilizzati, vale la pena definire cosa sono, in maniera semplice e sintetica.

Quando si visita un sito web, viene chiesto al computer o dispositivo mobile del visitatore di accettare dei cookie. I cookie sono una piccola porzione di dati che consente al sito web che visiti di ricordare te e le azioni che fai. Questo aiuta a identificare tendenze e modelli di navigazione offrendo, tra le altre cose, l’opportunità di creare dei “profili”.

Grazie ai Cookie, quindi:

  • Le aziende sono in grado di mostrare ai visitatori annunci pertinenti e coerenti ai loro profili di interesse;
  • I siti web possono memorizzare le preferenze uniche di qualcuno, il che migliora l’esperienza del visitatore;
  • Identifica un utente.

I cookie sono un potente strumento di marketing e le aziende online utilizzano frequentemente per il loro sviluppo. Il GDPR rende obbligatorio per le aziende essere oneste riguardo ai cookie che installano e ai dati che tracciano.

Tale onestà di intenti si materializza con una buona Cookie Policy da esporre ai propri visitatori nonché la possibilità per questi ultimi di decidere quali cookie accettare oppure no.

Adempimenti di chi ha un sito web

Al momento in cui scriviamo questo articolo, le Autorità Garanti per la protezione dei dati personali in Europa si stanno muovendo per fissare alcune linee guida, sottoponendole, in parte, anche a pubbliche consultazioni per accogliere suggerimenti e osservazioni degli addetti ai lavori. Qui trovate l’iniziativa del Garante Italiano. Qui quella del EDPB.

Andando quindi al sodo, è obbligatorio per tutti i siti web notificare ai propri utenti l’utilizzo dei cookie utilizzati sulle proprie pagine web. Non solo. Occorre anche dare la possibilità ai visitatori di acconsentire o meno alle attività di raccolta dei dati attraversi tali cookie.

Questo significa che se un sito utilizza i cookie di un certo tipo, è necessario ottenere un consenso valido prima della loro installazione. Come? Con il famoso “cookie wall”.

Occorre eseguire una serie di attività, quali, ad esempio:

  • mostrare un banner alla prima visita dell’utente
  • predisporre una cookie policy che contenga tutte le informazioni relative
  • dare agli utenti la possibilità di rifiutare parte dei trattamenti e, nel caso, revocare eventuali consensi già forniti.

Senza il consenso volontario ed esplicito non è possibile installare cookie, a eccezione dei cookie cosiddetti “esenti”, che sono cookie:

  • tecnici essenziali per l’erogazione del servizio, ovvero necessari al funzionamento del vostro sito web e che senza i quali non sarebbe possibile effettuare la navigazione delle pagine e l’utilizzo del sito stesso.
  • statistici gestiti direttamente dal proprietario del sito, purché i dati non vengano utilizzati per fare profilazione.
  • statistici di terze parte anonimi.

Per tutti gli altri tipi di cookie occorre il consenso dell’Interessato, ovvero il visitatore del sito.

  • Il consenso dei cookie deve soddisfare i requisiti stabiliti all’art.7 del GDPR. E’ importante che il consenso, da parte dell’interessato, venga fornito in maniera libera, specifica, informata e inequivocabile attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
  • Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
  • Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
  • Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.

Il Banner Cookie

Lo scopo del Banner Cookie serve a spiegare le finalità di installazione dei cookie utilizzati dal sito. Deve essere ben evidente e contenere il link alla “cookie policy” che può anche essere integrata alla “Privacy Policy”.

Nel banner vengono inoltre indicate chiaramente quali sono le azioni che definiscono il consenso richiesto al visitatore.

Infine, il banner e quindi la funzione che vi è dietro, assurge anche a blocco preventivo dei cookie, ovvero consentire la loro installazione solo dopo aver ottenuto il consenso dell’utente, requisito che viene meno in presenza delle tipologie di cookie già citate in precedenza (cookie “esenti”).

In che direzione vanno i grandi player

Prospetticamente, almeno da un punto di vista formale, a fronte delle azioni che gli Enti Regolatori stanno mettendo in campo per incrementare la trasparenza nei confronti degli utenti finali. I principali utilizzatori di cookie affermano di indirizzare i loro sforzi verso un mondo “cookieless”. Ad esempio, Google ha annunciato l’eliminazione dei cookie di terze parti nel suo browser Chrome entro il 2022.

In poche parole, i cookie di terze parti, che permettono di conoscere i comportamenti online degli utenti come i siti web che visitano di frequente, gli acquisti fatti, i propri interessi non saranno più supportati e quindi utilizzabili dagli editori e i proprietari di siti web, hanno vita breve.

Questo cambiamento avrà un impatto principalmente sull’open web, mentre se un sito utilizza pagine “sotto login” non dovrebbe essere alcun cambiamento drastico.

Occorre però dire che le tecnologie esistenti e utilizzate per tracciare gli utenti, proprio come i cookie di terze parti, sono diverse, tra cui:

  • Local Storage,
  • IndexedDB,
  • Web SQL,
  • qualsiasi altra tecnologia che permetta di salvare i dati sul dispositivo di un utente dai browser (come i cookie).

In più, c’è da aggiungere che da anni che altri browser (come Safari) bloccano i cookie di terze parti, ma abbiamo visto più volte che i tracker ricorrono semplicemente ad espedienti, cioè altri metodi e nuove tecnologie che rendono possibile tracciare gli utenti in modo analogo.

Ciò significa, in soldoni, che i cookie di prima parte continueranno a funzionare di default anche nei browser che bloccano i cookie di terze parti (incluso Google Chrome), e continueranno a richiedere il consenso nella maggior parte dei casi, a meno che lo scopo di un cookie non sia “strettamente necessario” per il funzionamento di base di un sito web e quindi mappato come un “cookie esente”.

I Big Player stanno ragionando ben oltre il concetto di cookie terze parti. Probabilmente mirano a creare piattaforme con standard trasparenti per il tracciamento degli utenti, tutelandone la privacy e offrendo dei trust per fornire consapevolezza e libertà di gestione dei dati agli interessati.

Il consenso è e sarà alla base del tracciamento

Il consenso, e quindi la sua raccolta e conservazione, non solo resta fondamentale nella maggior parte delle attività che riguardano i trattamenti di dati personali, ma assumerà sempre maggiore rilevanza per l’industria dell’online-advertising, tendenza tra l’altro confermata dal lancio di Google Consent Mode da parte di Google nel settembre 2020.

Il tool Google Consent Mode permette ai siti web di eseguire tutti i servizi Google sulla base del consenso degli utenti finali e offrendo quindi un primo equilibrio tra la conformità e il tracciamento informato e approvato dagli interessati.

Ultimi suggerimenti circa Cookie e Privacy per i siti web

Quando mantieni separate la tua Cookie Policy e la tua Privacy Policy, rendi più facile per gli utenti trovare le informazioni che stanno cercando.

  • Una Cookie Policy separata consente agli utenti di fare clic direttamente sulle informazioni sui cookie senza dover scorrere il documento sulla Privacy Policy;
  • I cookie sono molto importanti per l’elaborazione dei dati e dedicare una politica separata ai cookie mostra agli utenti che prendi sul serio la privacy;

È fondamentale che una politica sui cookie sia facilmente comprensibile, soprattutto da chi non ha conoscenze legali.

Per creare una Cookie Policy legalmente efficace, il documento deve includere alcune cose del tipo:

  • Come si utilizzano i cookie, ad esempio per mantenere un utente connesso senza reinserire la password ogni volta che visita il sito;
  • I tipi di cookie utilizzati nel sito, siano essi per pubblicità, analisi o comodità del cliente;
  • Se le informazioni vengono trasferite o utilizzate da terzi;
  • Come gli utenti possono rifiutare i cookie e come disattivarli;

Il consenso, che viene prestato liberamente nella piena consapevolezza di come vengono utilizzati i cookie, è alla base della normativa GDPR sui cookie. Ricorda di implementare un sistema per conservare i consensi raccolti e permettere ai visitatori del tuo sito di cambiarli.

Cookie a norma di legge

Il GDPR bilancia le esigenze del mondo degli affari con i diritti delle persone. Parte di questo equilibrio include la divulgazione di alcune informazioni sull’utilizzo dei cookie agli utenti dell’UE.

Assicurati che la tua politica sui cookie GDPR:

  • Sia scritta chiaramente
  • Rileva quali cookie raccogli, per cosa li usi e se condividi i loro dati con terze parti
  • Che ci sia un banner o pop-up di consenso ai cookie (se necessario)

Se non disponi di una Politica sui cookie separata, assicurati di includere una clausola sui cookie nella tua Informativa sulla privacy in cui copri le stesse. FinData è distributore autorizzato Cookiebot la soluzione di Cookie Consent Management più venduta al mondo.

Non sai se sei conforme? Verificalo velocemente utilizzando il tool gratuito di 2GDPR.

CREDITS: https://www.ecommerceguru.it/featured/gdpr-cookie-e-privacy-per-i-siti-web-nel-2021/

L’Autorità Garante Privacy norvegese ha scelto i primi quattro progetti che parteciperanno alla “sandbox” per un’intelligenza artificiale responsabile. 

I quattro progetti sono:

  • Age Labs: utilizzo dell’apprendimento automatico per sviluppare la diagnostica predittiva per le malattie legate all’età.
  • KS: analizzare i dati degli studenti da vari strumenti di apprendimento, per aiutare l’insegnante ad adattare l’insegnamento e il lavoro di valutazione.
  • NAV: utilizzo dell’apprendimento automatico per prevedere la durata del congedo per malattia.
  • “Secure Practice”: “profilare” i dipendenti in relazione al rischio di sicurezza informatica che rappresentano per l’azienda e essere in grado di adattare le misure.

“Siamo felici di avere l’opportunità di essere un pioniere nella sandbox. Per noi è importante promuovere l’innovazione della privacy nello stesso momento in cui guidiamo l’innovazione tecnologica” ha affermato Erlend Andreas Gjære, CEO di Secure Practice.

Molti settori

Age Labs e Secure Practice, insieme a KS e NAV, sono stati i quattro candidati che hanno superato una selezione molto “affollata”.

“ progetti selezionati rappresentano sia il settore pubblico che quello privato, progetti maturi e freschi, e provengono da aziende consolidate e piccole start-up”  afferma il project manager del garante norvegese Kari Laumann.

La sandbox normativa è un’iniziativa nata dalla strategia AI del governo norvegese  pubblicata un anno fa. Il governo vuole facilitare l’innovazione, un maggiore utilizzo e la condivisione dei dati nel settore pubblico e la sandbox normativa presso l’autorità norvegese per la protezione dei dati è uno strumento importante in questo lavoro.

Entrare in un campo minato

I quattro progetti rappresentano salute, welfare, istruzione e impresa. NAV utilizzerà l’IA per prevedere la durata del congedo per malattia, al fine di concentrare gli sforzi su coloro che probabilmente richiedono il massimo follow-up. KS creerà uno strumento di apprendimento che aiuta gli insegnanti a fornire agli studenti valutazioni migliori e compiti personalizzati. Age Labs applicherà l’apprendimento automatico ai dati epigenetici per rilevare malattie future. E Secure Practice vedrà fino a che punto è possibile arrivare nel campo minato della profilazione dei dipendenti, senza oltrepassare il limite legale.

Essere ammessi alla sandbox non è un timbro di approvazione o una garanzia che raggiungeranno un obiettivo con un risultato che riteniamo accettabile dal punto di  della privacy. 

In concorrenza con la tecnologia AI estera proveniente da paesi in cui la privacy non ha la stessa posizione, il governo vuole offrire un vantaggio ai cittadini norvegesi per ottenere buone soluzioni di AI che tengano conto anche della privacy.

https://go.nordpass.io/SH33f
Human face on a dark background of gold glowing particles; Shutterstock ID 1690467910

Il riconoscimento facciale (in inglese face detection) è una tecnica di intelligenza artificiale, utilizzata in per identificare o verificare l’identità di una persona a partire da una o più immagini che la ritraggono. Ciò avviene anche grazie all’elaborazione automatica delle immagini digitali contenenti i volti degli individui. Gli usi di questa tecnologia sono molteplici e vari, alcuni dei quali possono gravemente violare i diritti degli interessati. Ad esempio, l’integrazione delle tecnologie di riconoscimento facciale nei sistemi di sorveglianza rappresenta un serio rischio per i diritti alla privacy e alla protezione dei dati personali, nonché per altri diritti fondamentali poiché gli usi di queste tecnologie non prevedono sempre la consapevolezza o la cooperazione delle persone i cui dati biometrici vengono elaborati.

Il 28 gennaio 2021, il Comitato della Convenzione 108 ha adottato le Linee guida sul riconoscimento facciale che forniscono una serie di misure di riferimento che i governi, gli sviluppatori di sistime che prevedono l’utilizzo di algoritmi per il riconoscimento facciale, i produttori, i fornitori di servizi e gli enti che utilizzano le tecnologie di riconoscimento facciale dovrebbero seguire e applicare per garantire che non pregiudichino la dignità umana, i diritti umani e le libertà fondamentali di qualsiasi persona, compreso il diritto alla protezione dei dati personali.

https://www.coe.int/en/web/data-protection/-/ensure-that-facial-recognition-does-not-harm-fundamental-rights

Dopo la rivolta del Campidoglio a Capitol Hill, Clearview AI, un’app di riconoscimento facciale utilizzata dalle forze dell’ordine, ha registrato un picco di utilizzo, ha affermato l’amministratore delegato della società, Hoan Ton-That.

“C’è stato un aumento del 26% delle ricerche rispetto al nostro volume di ricerca abituale nei giorni feriali”, ha detto il Ton-That.

Ci sono ampie foto e video online di rivoltosi, molti smascherati, che violano il Campidoglio. L’FBI ha pubblicato i volti di dozzine di loro e ha richiesto assistenza per identificarli . I dipartimenti di polizia locali in tutto il paese stanno rispondendo alla richiesta di supporto.

“Stiamo esaminando attentamente le immagini o i video disponibili da qualsiasi sito a cui abbiamo accesso”, ha detto Armando Aguilar, assistente capo presso il dipartimento di polizia di Miami, che sovrintende alle indagini.

I detective che stanno usando Clearview per cercare di identificare i rivoltosi e stanno inviando le segnalazioni all’ufficio della Joint Terrorism Task Force dell’FBI a Miami. 

I tradizionali strumenti di riconoscimento facciale utilizzati dalle forze dell’ordine dipendono da database contenenti foto fornite dal governo, come foto della patente di guida e foto segnaletiche. Ma Clearview, utilizzato da oltre 2.400 forze dell’ordine, secondo la società, si basa invece su un database di oltre 3 miliardi di foto raccolte dai social media e da altri siti web pubblici. Quando un agente esegue una ricerca, l’app fornisce collegamenti a siti sul Web in cui è apparso il volto della persona.

Clearview, in poco tempo, è diventato controverso. Dopo che il New York Times ha rivelato la sua esistenza e l’uso diffuso lo scorso anno, i legislatori e le società di social media hanno cercato di ridurne le attività, temendo che le sue capacità di riconoscimento facciale potessero aprire la strada a un futuro distopico.

Anche il Dipartimento di Polizia di Oxford in Alabama sta usando Clearview per identificare i sospetti di rivolta del Campidoglio e sta inviando informazioni all’FBI.

Il riconoscimento facciale, per quanto accurato, non è uno strumento perfetto. Le forze dell’ordine affermano che il riconoscimento facciale viene utilizzato solo come indizio in un’indagine e non come prova, sebbene ciò sia accaduto in passato.

Interessante comunque l’approccio alla gestione della privacy con una pagina dedicata dove, grazie a una serie di collegamenti a moduli automatizzati viene offerta la possibilità di esercitare i propri diritti sulla privacy dei dati, soggetti a limitazioni che variano a seconda della giurisdizione.  I collegamenti sono organizzati con moduli pertinenti e suddivisi per aree:

Per il grande pubblico:

Per i residenti in California:

Per i residenti in Illinois:

Per i residenti in Canada:

Per i residenti in UE, Regno Unito, Svizzera e Australia:

E se anche la polizia italiana utilizzasse Clearview? E se invece già facesse qualcosa del genere?

Ricerca, sorveglianza, privacy, pregiudizi algoritmici: interrogativi che si infrangono contro il muro di sostanziale riservatezza delle autorità – in Italia come all’estero – e che rende ancora più importante fare chiarezza sulle finalità e le modalità di utilizzo dei sistemi di riconoscimento facciale che si stanno affermando in maniera prepotente in tutti i sistemi di sicurezza governativi del mondo.

Il sistema di messaggistica per eccellenza, di proprietà di Facebook, con 2 miliardi di utenti, rinnova la sua politica sulla privacy.

WhatsApp, il sistema di messaggistica di proprietà di Facebook che afferma di “avere la privacy codificata nel suo DNA”, in queste ore sta dando ai suoi oltre 2 miliardi di utenti un ultimatum: accettare di condividere i propri dati personali con il social network Facebook oppure eliminare i propri account.

L’aggiornamento viene consegnato tramite un avviso “in-app” che invita gli utenti ad accettare modifiche radicali nei termini di servizio e privacy di WhatsApp. Chi non accetta, la rinnovata informativa sulla privacy entro l’8 febbraio, non potrà più utilizzare l’app.

Quali dati WhatsAPP condivide e con chi?

Poco dopo l’acquisizione da parte di Facebook  per 19 miliardi di dollari nel 2014, WhatsApp ha integrato la crittografia end-to-end nella sua app di messaggistica. L’aggiornamento fu visto come una vittoria per i sostenitori della privacy perché utilizzava il “Signal Protocol”, uno schema di crittografia open source il cui codice sorgente è stato esaminato e verificato da decine di esperti di sicurezza indipendenti.

Nel 2016, WhatsApp ha offerto agli utenti la possibilità, una tantum, di disattivare la trasmissione dei dati dell’account a Facebook. Ora, una politica sulla privacy aggiornata sta cambiando la situazione. Il mese prossimo, gli utenti non avranno più questa scelta. Alcuni dei dati raccolti da WhatsApp includono:

  • Numeri di telefono degli utenti
  • Numeri di telefono di altre persone memorizzati nelle rubriche
  • Nomi dei profili
  • Immagini del profilo
  • Messaggio di stato, inclusa l’ultima volta che un utente è stato online
  • Dati diagnostici raccolti dai log delle app
  • Geolocalizzazione e molto altro ancora
whatsapp privacy policy

La cosa interessante è che la Privacy Policy, come è giusto che sia, cambia da nazione a nazione e da macro area a macro area. In generale, sembrerebbe che secondo i nuovi termini, Whatsapp (Facebook) si riserva il diritto di condividere i dati raccolti con la sua grande famiglia di aziende.

La nuova politica sulla privacy afferma Potremmo condividere le tue informazioni all’interno del nostro gruppo di aziende per agevolare, sostenere e integrare le loro attività e migliorare i nostri servizi”.

In alcuni casi, come quando qualcuno utilizza WhatsApp per interagire con aziende di terze parti, Facebook potrebbe anche condividere informazioni con tali entità esterne.

Ma tranquilli perchè, testualmente, “Quando trattiamo i dati sulla base del consenso dell’utente, l’utente ha il diritto di ritirare il proprio consenso in qualsiasi momento senza intaccare la legittimità dei trattamenti svolti in base a tale consenso prima del ritiro dello stesso…… Per esercitare i propri diritti, l’utente può accedere alle impostazioni del dispositivo, alle impostazioni dell’app, come il controllo della posizione in-app, e alla sezione “Modalità di esercizio dei diritti dell’utente” della presente Informativa sulla privacy.

Scarsa trasparenza

Queste modifiche arrivano un mese dopo che Apple ha iniziato a richiedere ai produttori di app iOS, incluso WhatsApp , di dettagliare le informazioni che raccolgono dagli utenti. Solo un caso? WhatsApp, secondo l’App Store , si riserva il diritto di raccogliere:

  • Acquisti
  • Informazioni finanziarie
  • Posizione
  • Contatti
  • Contenuto dell’utente
  • Identificatori
  • Dati di utilizzo e
  • Diagnostica

Una portavoce di WhatsApp ha rifiutato di parlare delle modifiche alla privacy policy e precisamente di come o se, in qualche modo, è possibile per gli utenti rinunciarvi. L’unica cosa che ha comunicato a chi tentava di intervistarlo è che “la decisione di aggiornare le condizioni di gestione dei dati personali serve ad abilitare le aziende del gruppo ad archiviare e gestire le chat di WhatsApp utilizzando l’infrastruttura di Facebook” e che “in Europa non cambierà nulla dal punto di vista dei diritti e delle scelte che gli utenti potranno fare”

Una scelta che non è detto che ci sia veramente

Vuoto per pieno, l’informativa sulla privacy e i termini e condizioni di WhatsApp sono lunghi più di 8.000 parole e sono pieni di “legalese” che ne rende difficile la comprensione agli utenti “normali”. Anche per chi è avvezzo, andarsi e studiare tutto è davvero un’impresa.

In tutto questo, sappiamo che il precedente statement affermava: gli utenti che sono già utenti attuali possono scegliere di non condividere le informazioni del proprio account WhatsApp con Facebook per migliorare le proprie esperienze con le inserzioni e i prodotti di Facebook”. Non c’è più questo passaggio, sostituito dal nuovo “Oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook o per fornirti esperienze pubblicitarie Facebook più pertinenti su Facebook. Scopri di più su come WhatsApp lavora con le aziende di Facebook”

All’orizzonte nulla di migliorativo dal punto di vista della riservatezza. I grandi colossi hanno sempre più fame di dati personali pertanto se non abbiamo voglia di cambiare sistema di messaggistica, non ci resta che attendere l’8 febbraio per conoscere nel dettaglio quali saranno le impostazioni modificabili e con quali reali effetti sulle pratiche di profilazione massiva che pratica FACEBOOK.

nordpass