Apple sostiene da tempo di avere a cuore la privacy dei suoi utenti. In parte questo accade per il modello di business (che prevede la vendita di prodotti e servizi e non la monetizzazione degli utenti trattandone i dati con soggetti terzi, come fanno ad esempio Facebook e Google) e in parte per scelta consapevole del suo fondatore Steve Jobs ma soprattutto del Ceo Tim Cook, che guida l’azienda dall’agosto del 2011 e che ha più volte manifestato l’intenzione di proteggere le informazioni dei suoi clienti anche in situazioni complesse, come il caso dell’iPhone bloccato di uno degli attentatori di San Bernardino, che l’FBI aveva chiesto di modificare per poter essere sbloccato (Apple ha rifiutato più volte e poi la FBI ha proceduto con altri mezzi a raccogliere le informazioni ).
Ma è veramente così? Apple ha davvero a cuore solo la privacy dei suoi utenti? Le politiche di Apple reggeranno, ad esempio, il test della normativa europea sul trattamento dei dati, la Gdpr che entrerà in vigore il prossimo 25 maggio? Il tema è estremamente delicato e complesso da analizzare. Il punto di partenza sono gli adeguamenti che l’azienda di Cupertino sta facendo in vista del 25 maggio, come la maggior parte dei player nel mercato della tecnologia. Ovvero: relativamente pochi.
Apple sostiene infatti di essere già da tempo in linea con i principi della normativa europea. I capisaldi per Apple sono pochi e semplici: minimizzare la raccolta e l’uso dei dati degli utenti, far ricorso a intelligenza artificiale sul device e non nel cloud, utilizzare comunque e sempre la massima trasparenza e il consenso attivo degli utenti. Il tutto in un quadro di cybersicurezza, che è l’altro requisito fondamentale per quanto riguarda la normativa della Gdpr. Ma questo però non vuol dire che Apple non raccolga un quantitativo minimo di informazioni per targettizzare la pubblicità (Apple Ads) sui suoi utenti, anche se nel rispetto delle normative di settore.
Partiamo proprio dal consenso: Apple sostiene di aver già da tempo intrapreso la strada della “privacy by design”, cioè della progettazione di apparecchi e servizi che siano fin da subito pensato per minimizzare la raccolta dei dati e dare il massimo del controllo agli utenti. In questo senso, come abbiamo potuto verificare provando a configurare un nuovo iPhone, tutte le configurazioni “critiche” per la raccolta delle informazioni necessarie all’apparecchio richiedono un’esplicito opt-in (anziché essere già attive e richiedere la competenza dell’utente per effettuare un opt-out). Così, se una app richiede un servizio di localizzazione, vuole accedere ai dati della rubrica, alla fotocamera, al microfono, all’album delle foto dell’utente, viene sempre richiesto da parte dell’utente il suo consenso.
Apple richiede anche il consenso per l’attivazione di Siri, dei servizi di localizzazione, delle ricerche intelligenti e di tutti quegli altri meccanismi che permettono al telefono di “imparare” cose dal suo utilizzatore.
Sembrano molte informazioni, ma sono molto meno di quello che viene richiesto e raccolto da altri fornitori di servizi di altre piattaforme (con il modello ”opt-out”, oltretutto). La regolazione di Apple prevede non solo una forte autodisciplina da parte dei suoi stessi prodotti e servizi, ma vincola attivamente le app di terze parti che possono essere scaricate dall’app store. Il discorso è relativamente simile anche per i siti web via Safari o gli altri browser e per le web app su iOS.
Uno dei capisaldi visti prima è quello della trasparenza e controllo degli utenti, ma anche della minimizzazione dei dati raccolti. In questo Apple fa ricorso a varie tecniche: ad esempio la crittografia end-to-end che non le permette di avere informazioni sulle chat o sulle videochat, oppure i sistemi di offuscamento. Ad esempio, un normale itinerario sulle mappe di Apple viene gestito dal server di Cupertino con un identificato anonimo (cioè non tracciabile neanche da Apple stessa), che viene cambiato alla ricerca successiva. E comunque il viaggio viene registrato in modo anonimo per migliorare i servizi complessivi ma privato della testa e della coda, cioè dell’effettivo punto di partenza e di arrivo, per minimizzare il rischio di identificazione dell’utente. Come questo, anche altri servizi rendono anonimo il lavoro degli utenti.
Apple sostiene che questo non pregiudica la qualità dei suoi servizi rispetto a quelli della concorrenza. Si tratta solo di un sistema più difficile per fare le cose, ma che funziona lo stesso. Ad esempio, spostando sull’apparecchio parte delle attività che altri svolgono nella nuvola: le foto degli utenti vengono analizzate e raggruppate automaticamente da un sistema di intelligenza artificiale che però non opera nella nuvola ma solo sul dispositivo, senza comunicare informazioni di alcun genere a Cupertino o a terzi. Anche il servizio di pagamento Apple Pay è completamente crittato e gli unici a conoscere chi è il beneficiario del pagamento sono ovviamente l’utente e il circuito di pagamento. Apple non ha nessun dato al riguardo.
Le politiche della privacy di Apple invece cambiano soprattutto nel senso che adesso sono state rese ancora più esplicite (come richiede la normativa Gdpr) e raccolte in un’unica pagina oltre che da un sistema di schermate in fase di configurazione e aggiornamento di iPhone, iPad e Mac, e dall’icona che compare quando delle informazioni personali è richiesto che siano raccolte.
Apple spiega che la documentazione per la sicurezza e per il rispetto della privacy durante il trattamento delle informazioni che la Gdpr richiede siano a richiesta a disposizione dei Garanti dei vari paesi ed eventualmente della magistratura siano queste, più un insieme di altri documenti come verbali di riunioni dei gruppi di lavoro a Cupertino e schede tecniche che vengono raccolte in dossier, per dimostrare che le policy dell’azienda nel momento della creazione di prodotti e servizi erano quelle corrette rispetto alle finalità.
Secondo Apple, a parte questo, l’azienda non ha dovuto fare nessun cambiamento per i servizi e prodotti nati a partire dal 2010, cioè due anni prima che la Commissione europea varasse la direttiva Gdpr. In questo senso, con un orgoglio e zelo quasi eccessivo, i tecnici di Cupertino sostengono che sono i valori della privacy europea ad allinearsi con quelli di Apple.
In realtà Apple vende informazioni a fini pubblicitarie, ma lo fa su una scala di almeno un ordine di grandezza inferiore a quella degli altri grandi del mercato. In particolare, nell’App store viene tracciato il profilo di acquisti da parte dell’utente per le pubblicità di altre app, e nella app delle News. Il profilo dell’utente, spiega Apple, viene anonimizzato creando gruppi con interessi simili, i “segmenti”, ai quali viene genericamente erogata la pubblicità come target. Per bloccare questa attività, unico caso di opt-out nei dispositivi iOS, occorre andare nelle Impostazioni, menu Privacy, menu Localizzazione, scorrerlo sino alla fine e qui alla voce “Servii di sistema” si possono disattivare gli “Apple Ad da posizione” e “Popolari vicino a me”. Sempre dentro Privacy, in fondo, c’è anche il menu “Pubblicità” nel quale si può attivare la limitazione della raccolta dati (ma non eliminarla).
La vera novità dal punto di vista degli utenti è l’adeguamento di Apple all’ultima parte delle richieste della Gdpr. Come il Sole 24 Ore ha potuto vedere in anteprima, Apple ha realizzato una pagina per consentire agli utenti di compiere tre operazioni, che andrà online prima del 25 maggio. Le tre operazioni sono: il download selettivo dei dati dell’utente, la sospensione dei propri account e la sua cancellazione definitiva.
La prima parte è la più innovativa e inedita: Apple ha ragionato sul modo con il quale far scaricare e cancellare i dati degli utenti e, a differenza di altri servizi, propone un accesso tramite una pagina web unica con selezione a grana fine, che consente di scegliere quali dati di quali applicazioni (anche di terze parti, purché funzionanti sui servizi cloud di Apple) e ne permette il download in formato accessibile o la cancellazione frazionata in modo semplice. Prima si potevano ottenere download per email, così come per sospensione e cancellazione del servizio. Qui Apple sostiene di aver pensato all’interesse degli utenti più che al suo e quindi anche la sospensione di un account Apple ”congela“ i dati che l’azienda blocca e non può più accedere: il servizio viene infatti sbloccato solo dagli utenti.
Apple sostiene insomma di aver semplicemente riorganizzato per rendere più chiaro e accessibile, con informazioni sempre più facilmente comprensibili dagli utenti, tutta la sua strategia di trattamento e rispetto dei dati personali. Ma di non aver dovuto cambiare niente nella sostanza perché, sostiene Tim Cook e sostengono i suoi, Apple è convinta che i valori della privacy espressi dalla Gdpr siano già allineati con quelli dell’azienda.
Fonte: Il Sole 24 Ore del 27 aprile 2018 – Articolo a cura di Antonio Dini