http://www.repubblica.it
16 settembre 2010

Google, dietro i mea culpa
sempre più Grande Fratello
di Fabio Tonacci e Marco Mensurati

GOOGLE ci osserva. Legalmente, forse, e con la nostra involontaria complicità. Ma ci osserva. E ci studia: raccoglie informazioni su di noi e sulle nostre navigazioni, prende i nostri dati, quelli personali e non, e li usa per il suo business, vendere pubblicità, e anche per altre finalità visto che all'occorrenza, come ammette Google stessa, i nostri dati possono essere girati "a governi o enti statali". Oppure può capitare che un ingegnere del gruppo degli informatici "d'elite" di Google, i soli ad avere accesso ai dati più sensibili degli utenti, si metta a spiare gli account di alcuni minorenni: il 27enne David Barksdale è accusato anche di aver ascoltato le conversazioni su Google Voice (il sistema di telefonia Voip) tra due fidanzatini 15 enni, arrivando a minacciarli verbalmente. Lo spione e stalker è stato licenziato a luglio dall'azienda. Ma con lui se n'è andata anche quella certezza assoluta  -  perno dell'autodifesa di Google 1 - che tutte le informazioni raccolte su di noi siano totalmente anonime, mai associate a un nome o a una faccia. Un episodio che farà discutere e che arriva proprio quando, di fronte alla pressione istituzionale di authority, organizzazioni internazionali e garanti (vedi inchiesta di 2Repubblica 3 pubblicata il 13 agosto 2010), il più grosso operatore mondiale del web è stato costretto a rivedere per intero le proprie norme sulla privacy.



IL "NUOVO" REGOLAMENTO

Più che un "aggiornamento"  -  come viene definito, secondo una versione soft, dall'azienda  -  un'ammissione di colpa. Un documento di autoaccusa su come è stato fino ad oggi gestito l'argomento a partire dalla comunicazione  -  o meglio, la non comunicazione - della politica di trattamento dei dati personali. "Desideriamo rendere le nostre norme più trasparenti, comprensibili e meno ridondanti  -  è il presupposto da cui parte la clamorosa retromarcia, in un messaggio pubblicato su tutti i siti di Google  che annuncia il prossimo aggiornamento in vigore dal 3 ottobre  -  vogliamo che siano facili da capire e da utilizzare anziché essere piene di gergo legale o tecnico. Ci auguriamo che d'ora in avanti le nostre regole sembrino scritte più per gli utenti che per gli avvocati". Un'ammissione già di per sé decisiva: perché, su questo terreno, è difficile concedere l'attenuante della buona fede, o del semplice errore, ad un'azienda che ha costruito la sua fortuna grazie all'intuizione di produrre software "facili da capire e da utilizzare", programmi "scritti più per gli utenti che per esperti di informatica"  -  per usare il linguaggio che userebbe Google. Curiosamente, invece, quando si è trattato di scrivere il fondamentale capitolo del rapporto con il proprio cliente, quello relativo al trattamento dei dati personali, il colosso del web è scivolato nel tecnicismo più cavilloso e ostile. Un tecnicismo di cui era stracolma l'ultima versione del regolamento, rilasciata solamente un anno e mezzo fa. Altro segnale abbastanza chiaro dell'imbarazzo in cui versa l'azienda a proposito dell'accusa di raccogliere e gestire, in maniera poco trasparente e comunque senza ottenere prima il consenso esplicito, informazioni personali sugli utenti. E non solo di quelli che usano i prodotti gratuiti a marchio Google. Ma anche di quelli che navigano altrove: la società che gestisce il motore di ricerca più famoso del mondo controlla, direttamente o indirettamente, quasi il 90 per cento della rete.

I DATI SENSIBILI


Imbarazzo che però, al di là di una pur apprezzabile ed effettiva semplificazione della forma, non viene affatto superato nella sostanza dal nuovo regolamento, dal quale, a sorpresa, sparisce ogni riferimento a quello che da più parti era considerato uno dei passaggi centrali della questione: l'impegno esplicito a non raccogliere o trattare i dati sensibili di chi naviga su Internet (stato di salute, abitudini sessuali, orientamenti religiosi o politici). Un impegno indispensabile, che tutte le altre società che operano in Italia sono tenute a rispettare. Un impegno che, sia pure in maniera controversa, era presente nella precedente versione.

Nella nuova, invece, si rimanda semplicemente alla dashboard, un'applicazione che permette di controllare quali informazioni personali dell'account sono in possesso dell'azienda, a seconda di quale prodotto viene utilizzato. Uno strano inatteso rimbalzo che sicuramente non mancherà di suscitare polemiche: quanti utenti sono in grado di "esplorare" i meandri del software per spegnere quella gigantesca microspia in cui, altrimenti, si potrebbe trasformare, ad esempio, un programma praticamente perfetto come Gmail? Pochi, probabilmente, di certo non tutti. Il rischio, insomma, è che la questione della privacy si riduca ad una "gara a chi usa meglio la dashboard".

"L'onere di conoscere quali dati l'azienda raccoglie su di noi e perché  - osserva Guido Scorza, avvocato e docente di diritto dell'informatica presso l'università di Bologna - rimane sulle nostre spalle ed è probabilmente illusorio pensare che i milioni di utilizzatori di questi servizi si mettano a impostare i propri profili attraverso la dashboard. Google dovrebbe esplicitare puntualmente quali dati effettivamente tratta nonché la loro natura (sensibili o non) al ricorrere di talune condizioni di utilizzo o, almeno, porre l'utente in condizione di verificarlo in modo contestuale".



IL SILENZIO DEI GARANTI

E questa è, in fin dei conti, la questione fondamentale. Quella che, indipendentemente dalla chiarezza delle informazioni offerte agli utenti, dovrebbe finire per investire direttamente sia l'autorità  garante della Privacy, sia l'autorità per la concorrenza. Perché se da un lato è più che evidente che nel non garantire l'assoluta riservatezza circa il trattamento dei dati sensibilissimi, ad esempio quelli sanitari, Google violi i diritti primari degli individui, dall'altro lo svantaggio competitivo e quindi economico per le società che invece decidono di operare nel rispetto di quei diritti è piuttosto robusto. (Le decine di messaggi pubblicitari riguardanti prodotti farmaceutici o terapie mediche specifiche, che puntualmente, già oggi, ci appaiono sparsi qua e là nei siti o ci arrivano direttamente per posta, dopo aver navigato su portali di informazione sanitaria, sono una prova schiacciante). Anche se l'azienda californiana sostiene da sempre di rendere i dati anonimi, cioè di non associarli a un nome e un cognome ma a un numero non identificabile. "Temo che a Mountain View  -  aggiunge l'avvocato Gianluca Gilardi, specializzato in privacy e sicurezza sul web - abbiano perso l'occasione per porre rimedio alle aspre critiche che il Working Party 29 (l'organo consultivo della Commissione Europea che si è interessato della questione) ha mosso contro Google, considerata "non in regola" con la Direttiva Europea sulla protezione dei dati. Così come sono stati ignorati i rilievi, sempre del Working Party 29, sulla l'inadeguatezza delle politiche di opt-out (sono le politiche adottate da Google in base alle quali l'onere di disattivare i sistemi di tracciamento, attraverso procedure non sempre immediate e chiare, ricade sull'utente e non sull'azienda, ndr) ancora una volta un conflitto con le norme comunitarie. Nonostante ciò, Google conferma di aderire a questo approccio".



CANCELLATE 12 NORME SULLA PRIVACY

Sul piano pratico, con il nuovo regolamento, Google elimina 12 norme specifiche dei suoi prodotti (Galleria di immagini 3D, App Engine, Calendar, Documenti, Estensioni Firefox, G1, Gmail, Feeback, iGoogle, Maps, Talk e Google Task) che seguiranno un'unica normativa generale sulla privacy. Con l'unica eccezione di Google Postini (il software di sicurezza per la posta elettronica aziendale). Questo, nelle intenzioni, servirà non solo a semplificare, ma anche a potenziare l'interazione tra i suoi prodotti. "Gli utenti sono abituati all'interazione quando accedono al loro account Google  -  si legge sul sito -  ad esempio, quando creano una voce in Calendar gli utenti potrebbero aspettarsi che la nostra funzione di suggerimento automatico fornisca dei nomi recuperati da Gmail per le persone da invitare all'evento in questione. Gmail, Calendar, Talk e Documenti hanno già una serie di funzioni integrate e abbiamo saputo che gli utenti desiderano una maggiore integrazione. Poiché volevamo rendere più chiara tale integrazione, tutti questi quattro prodotti saranno regolati da un'unica serie di norme".

ADESSO ANCHE GLI SMS

Ma oltre a favorire gli utenti alzando il livello di integrazione tra i suoi software, e quindi la loro efficienza, Google ha anche posto le basi per allargare il suo campo d'azione (e quindi la sua capacità, diciamo così, di ascolto) sugli utenti: inserendo un paragrafo, a prima vista un po' inquietante, sugli sms inviati o ricevuti attraverso i suoi servizi. "Potremmo raccogliere e gestire i dati associati a tali messaggi, come il numero di telefono, il gestore di telefonia mobile associato al numero, i contenuti del messaggio e la data e l'ora della transazione". Quel "potremmo" raccogliere suona un po' troppo vago, minaccioso e non si capisce quali siano i criteri attraverso cui tale annunciata "possibilità" si possa innescare o disinnescare. "Da utente non vorrei mai che il postino conoscesse il contenuto della mia corrispondenza neppure se lo facesse 'a fin di bene' per recapitarla con maggiore rapidità o per propormi servizi accessori di mio interesse  -  dice Scorza - Non credo che Google 'legga' le mail e gli sms. Credo, piuttosto, che Google raccolga una serie di espressioni senza comprenderne il significato eppure essendo in grado, evidentemente, di utilizzare le singole espressioni per associarvi altri elementi che ne contengano di identiche attraverso la semplice identità testuale". Anche in questo caso, non si comprende quali siano gli strumenti di possibile "difesa" da parte dell'utente. Forse la solita dashboard.

top