Uno studio pubblicato sabato scorso dall’organizzazione Privacy International afferma che le versioni Android di applicazioni popolari come Skyscanner, TripAdvisor o MyFitnessPal , tra le altre, trasmettono dati a Facebook senza il consenso degli utenti.
L’organizzazione ha studiato 34 applicazioni con una base di installazione da 10 a 500 milioni e ha scoperto che almeno 20 di loro inviano determinati dati a Facebook, incluso il nome dell’applicazione, l’identificazione univoca dell’utente con Google e il numero di volte in cui il l’applicazione è stata aperta e chiusa da quando è stata scaricata.
Inoltre, alcune applicazioni, come il sito di viaggi di Kayak, hanno anche inviato informazioni dettagliate sulle ricerche di voli su Facebook, incluse le date di viaggio, se l’utente aveva figli o meno e quali voli e destinazioni aveva cercato.
Il GDPR
Lo scorso maggio la legge europea sullo scambio di dati è cambiata con l’introduzione del regolamento generale sulla protezione dei dati (GDPR) e ora è necessario che le applicazioni mobili abbiano il consenso esplicito degli utenti prima di procedere alla raccolta le informazioni personali.
Tuttavia, Frederike Kaltheuner, che ha condotto la ricerca, ha osservato che mentre la responsabilità di rispettare i regolamenti spetta allo sviluppatore dell’applicazione, il kit di sviluppo della società Facebook non ha dato la possibilità di attendere l’autorizzazione dell’utente prima di trasmettere determinati tipi di dati. “Almeno quattro settimane dopo il GDPR, non era nemmeno possibile chiedere per il consenso, a causa delkit di sviluppo software di Facebook. Ciò significa che i dati sono condivisi automaticamente al momento in cui l’applicazione è aperta“, ha spiegato Kaltheuner.
Diversi sviluppatori di applicazioni si sono lamentati del problema con la società statunitense a maggio e hanno presentato segnalazioni di bug sulla piattaforma di sviluppo dell’azienda, rilevando che Facebook impedisce il rispetto della legge.
Facebook a sua volta ha risposto che aveva creato una soluzione, ma che gli sviluppatori avrebbero bisogno di scaricare l’aggiornamento per usarlo. Tuttavia, gli sviluppatori hanno continuato a inviare segnalazioni di bug.
Non anonimato
Un’altra preoccupazione sollevata dai ricercatori è il mancato anonimato dei dati, la pratica del collegamento di dati personali con un utente, vietata dal GDPR. Facebook può collegare un ID Android al profilo di un social network di un utente, identificandolo immediatamente e aggiungendo qualsiasi informazione aggiuntiva al proprio profilo personale.
Ad esempio, una persona che ha installato Qibla Connect (un’applicazione di preghiera musulmana), Period Tracker Clue (un tracker di sesso femminile), Indeed (un’applicazione di ricerca di lavoro), My Talking Tom (un’applicazione per bambini), potrebbe essere profilato come “donna probabile, probabile musulmano, probabile candidato di lavoro, probabile madre”, secondo il rapporto.
Facebook può anche utilizzare i dati per rivolgersi a più persone, ad esempio, se una coppia sposata utilizza applicazioni sullo stesso Wi-Fi o nella stessa posizione, il loro ‘ID Android’ può essere collegato insieme per indirizzare annunci simili per entrambi.
I risultati
Di conseguenza, secondo il rapporto sulla privacy internazionale, il 61% delle applicazioni recensite trasmette automaticamente i dati a Facebook al momento dell’apertura dell’applicazione. Ciò accade indipendentemente dal fatto che le persone abbiano un account Facebook o no, o se hanno effettuato l’accesso a Facebook o meno.
Da parte sua, la compagnia americana ha risposto allo studio di Privacy International, sottolineando che Facebook sta lavorando “a una serie di cambiamenti, tra cui lo sviluppo di un nuovo strumento chiamato ‘Cancella cronologia’“.
“È importante che le persone abbiano accesso quando riceviamo informazioni su di loro quando non utilizzano i nostri servizi e che hanno il controllo sul fatto che associamo queste informazioni a loro“, ha detto un portavoce della società.