Quali sono le aziende IT che hanno a cuore la privacy ? A questa domanda cerca di dare risposta EFF con il suo settimo rapporto annuale “Online Service Providers’ Privacy and Transparency Practices Regarding Government Access to User Data” meglio conosciuto come “Who Has Your Back?”. Sotto la lente vi sono oltre 20 grandi aziende tecnologiche, di telefonia e servizi (tra le quali spiccano Google, Facebook, Adobe, Microsoft, Dropbox, Amazon, Apple, AirBnb, Uber e Yahoo) con base negli USA. Le loro performance sono altalenanti, ma migliori rispetto al passato.
Come specificano i relatori “Sono tre i punti per garantire che i dati inviati alle aziende di tecnologia non finiscano in un database del governo: tecnologia, legge e politiche aziendali. La tecnologia, tra cui i modi con cui i dati vengono eliminati, nascosti o crittografati per renderli non disponibili ai Governi, va oltre lo scopo di questa relazione”, che aggiungono: “Ci si focalizza piuttosto sulle norme e policy aziendali”.
È infatti responsabilità delle aziende garantire trasparenza sul tema dell’accesso ai dati da parte dei governi e battersi per la difesa della privacy quando opportuno. Allo stato attuale le cose sembrano essere migliori di un tempo, un po’ perché dopo lo smascheramento della condotta dell’NSA il tema ha acquisito una rilevanza senza precedenti (costringendo la stessa Agenzia a rivedere le sue politiche di spionaggio), un po’ perché le aziende hanno compreso che gli utenti esigono maggior rispetto e sfruttano quindi la trasparenza come arma commerciale.
Le aziende più virtuose che hanno mostrato di avere a cuore la difesa della privacy dell’utente verso le richieste dei Governi sono Adobe, Credo, Dropbox, Lyft, Pinterest, Sonic, Uber, Wickr e WordPress . Tutte hanno all’attivo delle azioni concrete di difesa per la privacy, comprese iniziative legali e definizioni di policy specifiche per contrastare l’eccessiva presunzione dei governi.
Un certo passo in avanti negli anni lo hanno compiuto le compagnie telefoniche , nonostante ci sia ancora molto da fare. Aziende del calibro di AT&T, Comcast, T-Mobile e Verizon (ad esempio) non hanno ancora raggiunto i livelli delle loro colleghe tecnologiche, mostrando difficoltà ad adottare policy che diano priorità alla privacy dell’utente . Nel solo 2016 sono state compiute oltre 151 milioni di intercettazioni da parte dell’NSA, va da sé che la complicità delle aziende citate le porta in coda alla classifica.
Ma qualche perplessità giunge anche da due giganti dei servizi Amazon e WhatsApp . Nonostante abbiano adottato best practice per quanto concerne il contenuto, pubblicando linee guide ferree e un rapporto sulla trasparenza, manca un loro ruolo da leader sul tema, non avendo una politica chiara di informazione all’utente e non si impegnano a promettere la difesa dei dati dell’utente davanti ad eventuali richieste dei governi.
È da notare che tra l’altro le aziende hanno la possibilità di chiedere la rivalutazione delle lettere che le incaricano a fornire “segretamente” alcuni dati per fini investigativi (secondo quanto stabilito dall’USA Freedom Act del 2015). Nella quotidianità buona parte delle aziende si limita a fornire le informazioni senza battere ciglio agli organi che le hanno chieste, senza assumere alcun comportamento difensivo, tra queste rientrano Facebook, Google e Twitter .
Nella ricerca, i cinque criteri valutati (e considerati solo se effettivamente resi pubblici) riguardano l’adozione di best practice, la comunicazione all’utente circa le richieste fatte dai Governi per acquisire dati, la promessa di non fornire dati a terzi, lo sforzo di contrastare le richieste di trasferimento e accesso segreto ai dati degli utenti per fini investigativi (NSL Gag Orders), impegno verso il rispetto della legge “anti sorveglianza” ( Reform 702 ). Nonostante l’attenzione al tema e la direzione di trasparenza, le richieste di acquisizione di dati da parte dei Governi sono in continua crescita, minando costantemente i diritti degli utenti. Solo nel 2016 gli Stati Uniti hanno inviato almeno 49.868 richieste a Facebook per l’acquisizione di dati di utenti. Nello stesso periodo altre 27.850 richieste sono state formulate a Google e 9.076 ad Apple. “Queste aziende non sono le sole. Dove gli utenti vedono nuovi modi di comunicare e archiviare dati, le forze dell’ordine vedono nuove vie per la sorveglianza” – si legge nel report .
Mirko Zago