Come le compagnie telefoniche italiane usano i nostri dati
In passato alcune compagnie telefoniche si sono distinte per pratiche piuttosto spregiudicate sull’uso dei dati personali degli utenti. Oggi le cose vanno meglio in Europa, ma è importante conoscere a cosa acconsentiamo quando firmiamo un nuovo contratto
How phone companies use our personal data_62cca278d82a4.jpeg © Jevanto Productions/Shutterstock
Se c’è un dispositivo con cui, salvo eccezioni, chiunque di noi ha un rapporto piuttosto stretto e continuativo, questo è lo smartphone. Si tratta di uno strumento in grado di raccogliere una grande quantità e varietà di dati sul nostro conto, che poi possono essere usati da chi li acquisisce per generare ulteriore valore, in vari modi.
I dati raccolti possono essere i più diversi: dati di posizione, di navigazione su internet, biometrici, comportamentali, ecc. Da questi si possono inferire informazioni anche molto delicate (orientamento sessuale, idee politiche, appartenenza a minoranze o gruppi vulnerabili, stato di salute), che poi possono essere usate per raggiungere l’utente con messaggi mirati. L’esempio più citato in questo senso resta quello di Cambridge Analytica, l’agenzia inglese che nel 2016 ricevette da Facebook i dati personali di oltre 50 milioni di utenti, usandoli poi per cercare di influenzare le votazioni che portarono all’elezione di Donald Trump a presidente degli Stati Uniti.
Negli ultimi anni sono stati fatti passi avanti in termini di tutela della privacy degli utenti, sia grazie alle novità introdotte dall’Unione europea (su tutte l’entrata in vigore del GDPR nel 2018), sia per iniziativa delle grandi compagnie tecnologiche. Ad esempio, nel 2019 Apple ha deciso di rendere più complicato geolocalizzare gli utenti attraverso le app del suo “App Store”. Se da un lato questo è un modo per proteggere la privacy degli utenti, dall’altro è stato visto anche come una strategia per mettere in difficoltà aziende che forniscono servizi simili ai suoi.
Perché gli operatori raccolgono i nostri dati
Proprio come succedeva quando i telefoni non erano “smart”, per poterli usare bisogna sottoscrivere un abbonamento con un operatore. In ogni paese ce ne sono diversi, ognuno con le proprie affiliazioni in gruppi aziendali di varia dimensione e con la propria politica in termini di trattamento dei dati personali.
Quest’ultimo è un tema particolarmente sensibile per gli operatori telefonici, che dai dati degli utenti possono procedere ad analisi di profilazione volte a offrire servizi “tagliati su misura” o pubblicità mirate, ma anche cedere o vendere quei dati ad altre aziende che li possono usare per generare altro valore, per esempio inserendo quei nomi in liste gestite da call center che le usano per raggiungere gli utenti con proposte commerciali spesso giudicate moleste.
Pratiche lecite, illecite, problematiche
Il fatto che si tratti di un mercato rilevante per le compagnie telefoniche (così come per altri tipi di aziende) si può intuire dagli scandali emersi negli anni rispetto a politiche spregiudicate messe in atto da diversi operatori. Per esempio Telefónica, un’azienda spagnola, aveva sviluppato una app per il mercato tedesco che incoraggiava gli utenti a condividere i propri dati personali.
L’entrata in vigore in Europa del Regolamento generale per la protezione dei dati personali (GDPR) ha reso più rischiose pratiche simili, passibili di multe da parte delle autorità nazionali per la privacy. Nonostante questo, periodicamente emergono casi problematici in ogni settore. Per restare nel mondo della telefonia, un’inchiesta di Netzpolitik del 2021 rivelava come in Germania la compagnia O2 tendesse a presentare ai clienti una serie di caselle “pre-barrate” affinché essi consentissero a tutti i possibili usi dei dati personali da parte dell’azienda.
Da un altro punto di vista, l’importanza dei dati personali è emersa durante la pandemia, quando le compagnie telefoniche hanno condiviso dati aggregati sulla mobilità delle persone alle autorità, senza preoccuparsi troppo di spiegare per quali finalità sarebbero stati utilizzati e per quanto tempo. Si trattava ovviamente di dati anonimizzati, ma diversi studi anche recenti sembrano confermare le preoccupazioni degli esperti circa la possibilità di re-identificare le persone anche all’interno di questi grandi dataset. Non significa che poi questo venga effettivamente fatto, ma la sola possibilità è comunque una minaccia, soprattutto in un contesto in cui gli attacchi informatici sono sempre più numerosi .
Cosa raccontano le privacy policy degli operatori italiani
Quanti di noi leggono e comprendono davvero tutte le autorizzazioni e le clausole che firmiamo quando compriamo una sim o passiamo a un nuovo operatore? Da qui la nostra idea di analizzare le privacy policy delle compagnie di telecomunicazioni relative ai servizi di telefonia e alle app che quasi tutti gli operatori spingono a installare per gestire il proprio profilo, valutando la quantità e il tipo di dati raccolti, e la completezza dell’informazione.
A prima vista, i risultati sembrerebbero piuttosto confortanti, dato che in molti casi i dati raccolti, ma soprattutto l’utilizzo che ne fa l’operatore, dipendono dal consenso dell’utente. È spesso questo il caso dei dati utilizzati a scopo di profilazione commerciale o del loro trasferimento a soggetti terzi. In alcune circostanze, tuttavia, le privacy policy si sono rivelate poco chiare e poco specifiche, impedendoci di dare una risposta alle domande che ci siamo posti nell’infografica qui sotto. Per non parlare del fatto che il consenso è dato da molti utenti senza quasi accorgersene o prestare particolare attenzione a cosa esso comporti.
Abbiamo analizzato anche le privacy policy degli operatori telefonici in Spagna, Francia e Germania; a questo link si trova anche un articolo di approfondimento sul GDPR applicato alle compagnie telefoniche, che contiene una panoramica complessiva a livello europeo.
Come le compagnie telefoniche italiane raccolgono e utilizzano i dati personali, secondo le loro politiche sulla privacy
Clicca sulle caselle per avere maggiori informazioni e leggere gli estratti dalle informative sulla privacy
I problemi sorgono infatti nel momento in cui, durante il processo di sottoscrizione di un abbonamento o un piano ricaricabile, l’utente dovesse spuntare una casella che autorizza, ad esempio, il trattamento dei suoi dati a scopi commerciali. In questo caso, le compagnie telefoniche potranno utilizzare i dati personali, ma anche quelli di navigazione e posizione per identificare abitudini o preferenze di acquisto e mostrare annunci pubblicitari mirati, nonché per trasferirli a soggetti terzi (spesso difficili da identificare o descritti in modo generico) che a loro volta li potranno utilizzare per scopi commerciali. In alcuni casi, i dati vengono utilizzati a questi fini anche vari anni dopo la chiusura del contratto.
La privacy e le app degli operatori italiani
Spesso le compagnie telefoniche invitano gli utenti a scaricare le applicazioni per smartphone necessarie a monitorare il traffico residuo, lo stato delle offerte attive e molto altro. Anche queste app hanno una loro privacy policy, a volte specifica, a volte simile o uguale a quella relativa ai servizi. Abbiamo dunque analizzato anche queste e raccolto i risultati nell’infografica che si trova qui sotto, aggiungendo una categoria che riguarda in particolare le app per smartphone: i trackers. Questi ultimi sono dei software in grado di raccogliere informazioni sulla persona che utilizza l’applicazione (a questo link una spiegazione più dettagliata ) e ne esistono di diversi tipi. I più controversi in tema di protezione dei dati personali – e su cui abbiamo dunque concentrato la nostra analisi – raccolgono informazioni a fini di identificare l’utente, creano un profilo per mostrargli annunci pubblicitari mirati e localizzano il dispositivo mobile.
Un tool sviluppato da εxodus ci ha permesso di esaminare le applicazioni e rilevare quanti e quali trackers contengono. L’app MyTim è in cima alla classifica con ben quattro trackers: due pubblicitari, uno per l’identificazione dell’utente e uno di localizzazione. Segue la app di CoopVoce con tre trackers, mentre My Vodafone ne ha due e Kena Mobile solo uno. Secondo εxodus, le app Postepay, ho. e WINDTRE non ne contengono alcuno. I trackers più comuni (ben 7 su un totale di 10 rilevati) utilizzano i dati degli utenti a fini pubblicitari e fanno capo a grandi aziende come Google, Facebook, Huawei e IBM. Uno solo dei tracker individuati tiene traccia della posizione del dispositivo: è sviluppato da Huawei e si trova nella app WINDTRE.
Le sanzioni contro le pratiche illecite
Ad oggi, diverse multe di una certa entità sono state emesse contro compagnie telefoniche dalle autorità nazionali per violazione del GDPR. Nel 2020 il Garante italiano per la protezione dei dati personali ha multato Tim per poco meno di 28 milioni di euro a causa di ripetute proteste da parte degli utenti per la ricezione di telefonate commerciali indesiderate, in conseguenza di violazioni nella gestione dei dati degli utenti. Nel 2021 una multa di 4 milioni e mezzo di euro è stata imposta a Fastweb per motivi simili. Nel 2020 l’autorità polacca ha inflitto una multa di 443 mila euro alla compagnia Virgin Mobile per non avere garantito la sicurezza dei dati personali dei suoi abbonati. Un’altra multa è arrivata in Francia alla fine del 2021, dove l’autorità nazionale ha punito l’operatore Free Mobile con una sanzione da 300 mila euro per non avere garantito il diritto all’accesso e ad opporsi al trattamento dei dati. Infine, il provvedimento più recente riguarda le compagnie greche collegate Cosmote e Ote, multate rispettivamente per 6 milioni e 3 milioni e 250 mila euro per una serie di irregolarità emerse in seguito a un attacco informatico che ha causato la perdita di 30 Gigabyte di dati personali.
Metodologia
Prima di tutto, abbiamo selezionato otto operatori telefonici da esaminare: i quattro principali operatori telefonici italiani possessori della rete (Iliad, TIM, Vodafone, Wind Tre), più altri quattro tra gli operatori virtuali più conosciuti e rilevanti sul panorama nazionale (CoopVoce, ho., Kena Mobile, PosteMobile). Abbiamo poi consultato le privacy policy relative ai servizi di telefonia mobile presenti sul sito web di ciascun operatore e quelle relative all’utilizzo delle app per smartphone create dagli operatori al fine di permettere agli utenti di gestire il proprio profilo (escluso Iliad, che non ha sviluppato una app per smartphone di questo tipo). L’obiettivo era rispondere a dieci domande formulate in precedenza (che si trovano nelle infografiche contenute in questo articolo) relative alla tipologia di dati raccolti, al modo in cui questi ultimi vengono utilizzati e alla completezza di alcune informazioni. Le informazioni ottenute sono state raccolte in due dataset (uno relativo alle privacy policy relative ai servizi, uno alle app), poi trasformato nelle infografiche di cui sopra. Sono state anche riportate le parti di testo in cui si trovano le risposte alle domande che ci siamo posti, inserite anch’esse nelle infografiche.
Questo articolo è stato prodotto nell’ambito del progetto Panelfit , cofinanziato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La Commissione non ha partecipato alla stesura del testo e non è responsabile per il suo contenuto. L’articolo rientra nella produzione giornalistica indipendente di EDJNet.
