Google raccoglie informazioni sulla geolocalizzazione degli utenti che usano dispositivi Android anche con GPS spento . L’eclatante scoperta è stata divulgata da Quartz , informazione acquisita a sua volta da Oracle , e dimostra come la raccolta di dati di localizzazione perseveri da inizio del 2017 senza una corretta menzione nei termini della privacy policy di Mountain View (che non cita la possibilità di acquisizione dati con sistemi di geolocalizzazione disattivati). È la stessa Google a confermare tale pratica attraverso informazioni “rimbalzate” dalle celle della rete cellulare. Gli stessi dati sarebbero ipoteticamente confluiti nel flusso dati da sfruttare per l’indirizzamento di notifiche push e messaggi su smartphone Android seppur Google disconosca l’impiego dei dati acquisiti in questi 11 mesi e abbia garantito la sospensione della loro raccolta entro la fine di novembre.
In risposta alla richiesta di chiarimento, il portavoce di Google ha sottolineato che: “da gennaio di quest’anno, abbiamo iniziato a utilizzare i codici di identificazione cellulare come ulteriore segnale per migliorare ulteriormente la velocità e le prestazioni di recapito dei messaggi. Tuttavia, non abbiamo mai incorporato identificativi del cellulare nel nostro sistema di sincronizzazione di rete, così da garantire che i dati fossero immediatamente eliminati e abbiamo aggiornato il sistema per non richiedere più l’identificativo del cellulare”.
È ancora dubbia la modalità con cui Google avrebbe potuto apportare benefici al sistema di consegna dei messaggi attraverso lo studio dei dati di geolocalizzazione provenienti dalle antenne di trasmissione della rete cellulare, visto l’eccessivo grado di approssimazione. Quel che è certo è invece che la privacy dell’utente è stata messa a repentaglio. Una triangolazione di questi dati recuperati singolarmente dalle celle cellulari potrebbero infatti geolocalizzare con esattezza l’utente , anche senza il suo consenso e addirittura d’innanzi alla sua opposizione (la disattivazione della geolocalizzazione rappresenta di fatto la volontà a non usufruire di servizi GPS e la non volontà di condividere questi dati considerati personali dal Garante).
Stando a quanto è stato confermato a Quartz da una fonte che conosce bene la materia, gli indirizzi delle celle della rete cellulare sono stati inviati a partire da una modifica a inizio 2017 del servizio Firebase Cloud Messaging di Google, installato e funzionante di default nei cellulari Android. Di conseguenza tanto il reset del dispositivo riportato a condizioni di fabbrica quanto la sottrazione della SIM card non hanno effetto. Nell’ultimo caso le informazioni vengono inviate non appena il dispositivo si connette ad una rete WiFi.
In risposta alle perplessità circa l’autorizzazione indebita, Google ha aggiunto che il sistema che controlla notifiche push e messaggi “è distintamente separato dai servizi di localizzazione che comunicano la posizione del dispositivo alle app”. Ma a questo punto la perplessità sulla gestione dei dati personali si fa ancora più grande: perché Google non prevede che l’utente possa decidere autonomamente se concedere o meno l’acquisizione di questi dati? L’ interesse commerciale dato dalla vendita di servizi per la pubblicità basati sulla localizzazione sembra essere il motivo principale.
Al momento la vicenda è stata trattata da Google con una certa leggerezza. Le informazioni acquisite finora si scontrano infatti con il rischio che i dati criptati possano essere stati condivisi anche con società terze , specialmente se i dispositivi sono stati compromessi da spyware e malware. Già l’estate scorsa Google è stata oggetto di indagine per un torbido utilizzo di dati provenienti da transazioni di carte di credito nei negozi fisici , e pensare che solo poche settimane prima era stata lodata per aver smesso di effettuare screening con scopi pubblicitari degli account Gmail.
Sulla vicenda si è espresso anche Ashkan Soltani, un ricercatore e consigliere tecnologico per la Federal Trade Commission (e la Casa Bianca) che ha fatto sapere dal suo account Twitter ( @ashk4n ) che Oracle cercava da mesi di rendere nota la pratica illecita. C’è da scommettere che ci saranno ulteriori evoluzioni.
Mirko Zago