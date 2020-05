C’è un Id pubblicitario su Android che è valso a Google l’accusa di tracciamento illegale

Android (Getty Images)Quando accendiamo per la prima volta uno smartphone Android e attiviamo i servizi Google, si genera anche un codice univoco che traccia le nostre abitudini e viene condiviso con altre piattaforme per offrire pubblicità personalizzate. Una forma di tracciamento non autorizzato contro cui gli utenti possono fare ben poco. A denunciarlo è l’associazione non-profit Noyb.eu, un gruppo europeo che si occupa di difesa della privacy, che ha presentato un reclamo al Garante privacy austriaco.

La sua tesi: questo sistema viola in maniera strutturale il Regolamento generale per la protezione dei dati personali (Gdpr). Secondo i legali di Noyb.eu, questo tracciamento avviene su una base legale non valida e gli utenti non hanno alcun controllo su di esso: Google non permette di eliminare il codice univoco ma solamente di crearne uno nuovo.

Un identificativo pubblicitario

L’Android advertising Id (AaId) è stato introdotto da Google nel 2013 per offrire maggiore controllo agli utenti. L’idea originaria alla base di questo codice identificativo per le pubblicità è quella di impedire alle app di raccogliere altri tipi di identificatori del dispositivo che sono difficili da scollegare dalle nostre identità. Pensiamo, per esempio, all’indirizzo Ip, codice Imei o altre informazioni sul sistema operativo o il modello di smartphone.

Con questo Id le app possono tracciare gli interessi degli utenti e fornire pubblicità personalizzate. Questo codice viene trasmesso e condiviso all’interno dell’ecosistema pubblicitario tra una miriade di soggetti. In questo modo è possibile ricollegare gli interessi e gli utilizzi che facciamo delle app e permettere agli inserzionisti di mostrarci contenuti che ritengono essere di nostro interesse.

Il reclamo nasce perché un cittadino austriaco ha richiesto l’accesso ai dati collegati al suo AaId secondo l’articolo 15 del Gdpr, chiedendo anche di interrompere in modo permanente quel tipo di tracciamento. Google però si è rifiutata di inviare i dati e ha rinviato al procedimento di reset dell’Id, sottolineando come Google non avesse i mezzi per verificare l’identità di un utente partendo dal solo AaId.

Secondo Noyb.eu, l’Id diventerebbe una sorta di “targa digitale” che permette a Google e innumerevoli terze parti di sorvegliare gli utenti.

Dove si trova il codice

Per gli smartphone Android questo codice si può trovare andando nella sezione Impostazioni > Google > Ads. Lì è possibile leggere il proprio codice — una stringa alfanumerica — e richiedere il reset dell’Id o l’opt-out dal tracciamento personalizzato, impedendo così di creare un nostro profilo di preferenze, ma non è chiaro se impedisca anche la raccolta dell’AaId da parte delle app.

Nelle specifiche di utilizzo per gli sviluppatori, Google sottolinea esplicitamente anche il divieto di associare questo Id ad altre informazioni che permettono di identificare una persona come ad esempio il Mac address del dispositivo o il codice Imei. Questo tipo di collegamento non dovrebbe essere possibile a meno di un consenso esplicito fornito dall’utente.

Pur essendoci questo divieto, diverse app sembrano aggirarlo. I legali di Noyb.eu sottolineano nel testo del reclamo come ciò sia in contrasto con pratiche commerciali note, in particolare quelle svolte dalle società che si occupano di “tracciamento incrociato dei dispositivi.” Studi e analisi, fra cui il report Out of control del Norwegian Consumer Council, avevano già dimostrato come l’advertising Id “sia condiviso e, se necessario, collegato a vecchi valori tramite innumerevoli altri identificatori come indirizzi Ip, codici Imei e coordinate gps, username di social media, indirizzi email o numero di telefono, di fatto permettendo un tracciamento persistente degli utenti Android,” si legge nel reclamo di Noyb.eu.

Un doppio paradosso

In pratica siamo di fronte ad un doppio paradosso. Il primo riguarda la natura dell’identificativo: l’Id permette di identificare in maniera univoca un dispositivo, alla stregua dei cookie e degli indirizzi Ip, entrambi considerati dati personali secondo il Gdpr. E per questo, secondo Noyb.eu, Google avrebbe dovuto fornire i dati richiesti dal cittadino.

Il secondo, invece, riguarda l’esercizio del diritto di opposizione al trattamento dei dati: non solo sembrerebbe che all’inizio l’Id venga generato senza un consenso esplicito e informato da parte dell’utente ma al momento di chiedere l’interruzione del trattamento l’unica opzione è acconsentire a uno nuovo.

“È grottesco: Google afferma che se vuoi che smettano di rintracciarti, devi accettare un nuovo tracciamento. È come annullare un contratto solo a condizione che tu ne firmi uno nuovo”, ha dichiarato Stefano Rossetti, avvocato di Noyb.eu, nel comunicato stampa che accompagna il reclamo: “Il sistema di Google sembra negare strutturalmente l’esercizio dei diritti degli utenti.”

Noyb.eu ha richiesto all’Autorità austriaca di avviare un’indagine su quanto emerso dal reclamo e di ordinare a Google di eliminare definitivamente l’AaId, interrompendo quindi il trattamento dei dati associati ad esso e di inviare i dati richiesti al cittadino. Dobbiamo ricordare che, ai sensi del Gdpr, le autorità possono emettere sanzioni che arrivano fino al 4% del fatturato globale, nel caso di Google ammonterebbe a un massimo di 5 miliardi di euro. Contattato da Wired Italia, Google non ha rilasciato commenti.

