Come Facebook, Google e Microsoft pilotano ancora le nostre scelte sulla privacy

L'agenzia governativa norvegese per i consumatori ha trovato molte cose che non vanno nei sistemi proposti per rispettare il GDPR

Facebook, Google e Microsoft utilizzano numerosi sistemi per condizionare le nostre scelte in termini di privacy, e hanno approfittato della recente introduzione delle nuove e più severe regole europee sulla tutela dei dati personali (GDPR) per farlo in modo ancora più incisivo, cercando di mantenere la possibilità di raccogliere più dati possibile. La pratica era stata segnalata nelle scorse settimane da diverse organizzazioni e attivisti che si occupano di privacy, ma ora ha ricevuto ulteriori e autorevoli conferme da parte del Consiglio per i consumatori della Norvegia (NCC), un’agenzia governativa che si occupa di tutelare gli interessi dei consumatori e di renderli più consapevoli dei loro diritti nei confronti delle grandi aziende. In un rapporto da poco pubblicato, l’NCC accusa soprattutto Facebook e Google di condizionare i loro utenti, mentre riserva critiche meno severe nei confronti di Microsoft per il lavoro fatto sul suo sistema operativo Windows 10.

La recente introduzione del GDPR ha costretto aziende grandi e piccole a rivedere le proprie politiche legate alla privacy, rafforzando le opzioni a disposizione degli utenti per evitare che i loro dati finiscano facilmente in circolazione online e non solo. Tra i diritti riconosciuti agli utenti ci sono potersi cancellare totalmente da un servizio, ottenere una copia di tutti i loro dati e rivedere i consensi per la privacy, compresa la possibilità di impedire il tracciamento delle loro attività online per ricevere pubblicità mirate in base ai propri interessi e abitudini. Le aziende hanno quindi dovuto fornire agli utenti nuovi strumenti per decidere quali informazioni condividere e a che condizioni, ma come spiega l’NCC in molti casi le società hanno interpretato il GDPR a modo loro, cercando di condizionare e pilotare le scelte dei consumatori.

Facebook
Il rapporto dell’NCC cita numerosi esempi legati alle pratiche assunte da Facebook per mettersi in regola. Come sa bene ogni iscritto a Facebook, in queste settimane ha proposto un messaggio che avvisava del cambiamento delle regole sulla privacy e fino dalle prime schermate, dice l’NCC, è stato evidente l’intento di condizionare la scelta dell’utente. Il sistema mostra un grande e invitante tasto azzurro da premere per accettare le nuove condizioni, senza nemmeno vederle nel dettaglio, mentre per la gestione delle singole opzioni c’è un più discreto e meno evidente link in grigio.

(NCC)

Facebook ha quindi offerto una strada più semplice, e che porta a vantaggi per la sua attività di raccolta dei dati, rispetto a una più complicata per personalizzare le opzioni legate alla privacy. La prima prevede quattro rapidi click in sequenza per accettare il tracciamento per le pubblicità personalizzate, l’uso di un sistema per il riconoscimento automatico della propria faccia nelle foto postate da chiunque sul social network e altre opzioni legati alle proprie informazioni personali. L’altra strada, quella più articolata, prevede invece 13 click e un numero più alto di variabili, non molto comprensibili soprattutto per gli utenti meno esperti.

L’NCC segnala inoltre che Facebook utilizza frasi e formulazioni tese a mettere in guardia più del dovuto l’utente su eventuali cambiamenti. Il messaggio sullo sfondo sembra essere: se accetti e basta resterà tutto come prima e il sistema funzionerà come d’abitudine, se decidi di scegliere le singole opzioni potranno esserci cambiamenti e non avrai più tutte le funzionalità cui sei abituato. Il problema è che la modifica di una o più opzioni non comporta necessariamente un cambiamento in negativo, o l’impossibilità di utilizzare il social network, ma questi aspetti non vengono chiariti a sufficienza.

Contestualmente all’introduzione degli avvisi per il GDPR, Facebook ha introdotto il sistema del riconoscimento automatico delle facce, che associa ogni viso a un utente specifico taggandolo. Il sistema non era stato introdotto in Europa con le stesse modalità degli Stati Uniti proprio per motivi di privacy e di come funzionano i regolamenti europei. La novità viene presentata come un’opportunità di tenere meglio sotto controllo le foto in cui si è presenti che circolano sul social network: se si decide di non attivare il sistema, un messaggio avvisa che si perderà questa possibilità, indicata come una soluzione per stare più tranquilli e avere sotto controllo ciò che succede su Facebook. Il sistema omette però di dire chiaramente e da subito che l’attivazione del riconoscimento comporta la cessione di altre informazioni personali al servizio.

(NCC)

Secondo l’NCC, Facebook fallisce in tutte le aree valutate dai suoi esperti per la tutela della privacy: le opzioni per accettare o negare l’utilizzo dei dati non hanno la stessa evidenza nelle schermate, il design tende a privilegiare la scelta delle opzioni di condivisione delle informazioni personali, i testi non sono sufficientemente chiari e hanno toni allarmistici se si sceglie di negare il consenso a qualche funzionalità.

Google
Il rapporto dell’NCC spiega che Google ha sostanzialmente gli stessi difetti di Facebook, ancora più marcati su aspetti importanti come quelli per gestire le pubblicità online (Google è uno dei più grandi intermediari di pubblicità al mondo). Le schermate per il GDPR hanno diversi passaggi in cui gli utenti sono sostanzialmente indotti a scegliere impostazioni “predefinite nascoste”, che li portano ad accettare il tracciamento per avere pubblicità personalizzate, uno dei punti di forza di Google per la resa pubblicitaria. Se si prova a disattivare l’opzione per la pubblicità personalizzata, compare un avviso piuttosto allarmista dove viene chiesto se si è proprio sicuri di volerlo fare, e che se si prosegue potrebbero cambiare diverse cose nel funzionamento del sistema. Non viene invece fornita alcuna spiegazione sui potenziali benefici nella disattivazione della pubblicità personalizzata o sugli aspetti negativi nel caso in cui si decida di mantenerla attiva.

(NCC)

Agli utenti che scelgono di non accettare le impostazioni consigliate viene proposta una lunga lista di opzioni tra cui scegliere, anche in questo caso con scarsa chiarezza. Gli analisti dell’NCC spiegano che la procedura comporta complicazioni tali da far percepire l’’”Accetta” a tutte le condizioni come la scelta meno difficile e rischiosa se si teme di perdere qualche funzionalità dei servizi di Google.

(NCC)

Microsoft
Microsoft ha ottenuto invece una valutazione migliore su alcuni punti, in merito alle opzioni per la privacy presenti nel suo sistema operativo Windows 10. Per cominciare, le opzioni per attivare o disattivare le funzionalità sono presentate con uguale evidenza, senza che una sia più invitante dell’altra per pilotare la scelta degli utenti. Scelte di design, come la collocazione dei tasti e le icone usate, tendono comunque a privilegiare le opzioni legate al mantenimento della raccolta dei dati e del tracciamento delle attività degli utenti, per fini aziendali di miglioramento del software Microsoft o per scopi pubblicitari.

(NCC)

Modifiche e precisazioni
Nelle ultime settimane Facebook, Google, Microsoft e altre grandi aziende hanno comunque integrato e modificato ulteriormente le pagine di aggiornamento per il GDPR, accogliendo critiche e segnalazioni da parte degli utenti e delle associazioni a tutela della privacy. L’intento di fare il possibile per indurre gli utenti ad acconsentire esplicitamente a mantenere le cose com’erano prima, quindi con la raccolta di molti dati, è comunque evidente e ci sono diversi aspetti delle politiche assunte dalle aziende che non sembrano essere ancora pienamente in regola con il GDPR.

Il rapporto norvegese è stato accolto con interesse da parte delle tre aziende coinvolte, che hanno comunque negato di avere adottato sistemi per pilotare la scelta degli utenti. Nei loro rispettivi comunicati, Facebook, Google e Microsoft dicono di avere fatto ciò che era necessario per adattare i loro servizi al GDPR e di avere integrato ulteriori modifiche per migliorare i sistemi attraverso cui attivare o disattivare opzioni, sia sulla raccolta dei dati sia sul tracciamento per la pubblicità.

Da dove cominciare
Per modificare le proprie impostazioni privacy su Facebook si parte da qui. A questo link trovate invece la guida per gestire le vostre informazioni su Google, e qui quelle per il vostro account Microsoft. Se volete disattivare il tracciamento delle pubblicità per la maggior parte dei sistemi pubblicitari che esistono online, potete usare questo sito che raccoglie tutti i più grandi fornitori: scoprirete che sono tantissimi.