Come le app mobili condividono illegalmente i vostri dati personali

This page has been translated automatically. Read the original or leave us a message if something is not right.
Forced Consent & Consent Bypass
 /  14 September 2023

Oggi, noyb ha presentato tre denunce in Francia contro Fnac (il più grande negozio di elettronica in Francia), l'app immobiliare SeLoger e l'app di fitness MyFitnessPal. Le app delle aziende accedono e condividono illegalmente i dati personali degli utenti con terze parti per sofisticate analisi non appena le app vengono aperte. Gli utenti non hanno nemmeno la possibilità di scegliere se acconsentire o impedire la condivisione dei loro dati. Questo approccio è illegale.

mobile apps header

Trasmissione per impostazione predefinita. Il denunciante ha installato le popolari applicazioni MyFitnessPal, Fnac e SeLoger sul proprio smartphone Android. Una volta aperte, le applicazioni hanno immediatamente iniziato a raccogliere e condividere con terzi i dati personali, tra cui l'ID pubblicitario unico di Google (AdID), il modello e la marca del dispositivo e l'indirizzo IP locale. Tale raccolta di dati consente di profilare gli utenti al fine di mostrare loro annunci personalizzati e campagne di marketing per aumentare le entrate delle società citate.

Assenza di consenso. Ai sensi della Direttiva ePrivacy, il semplice accesso o la memorizzazione di dati sul dispositivo terminale dell'utente sono consentiti solo se gli utenti danno il loro consenso libero, informato, specifico e inequivocabile. Due delle tre applicazioni mobili non mostravano un banner di consenso all'avvio dell'applicazione. La terza app presentava un banner che teoricamente dava al denunciante la possibilità di scegliere se dare o negare il proprio consenso. In realtà, la trasmissione dei loro dati personali è iniziata senza alcuna interazione da parte loro, e prima ancora che potessero pensare al consenso.

Ala Krinickytė, avvocato specializzato in protezione dei dati presso noyb: "Ogni app ha bisogno del consenso per tracciarvi. Invece, utilizzano la "raccolta e il tracciamento dei dati per impostazione predefinita". A differenza del tracciamento sui siti web, le app mobili non hanno visto finora quasi nessuna applicazione"

Tracciamento dettagliato. Informazioni come l'AdID sono uniche e collegate al dispositivo di una persona specifica. Ciò consente agli inserzionisti e ad altre terze parti di individuare gli utenti e di indirizzarli in futuro. Alcuni fornitori di app tracciano il comportamento degli utenti anche al di fuori delle loro applicazioni. Ciò consente loro di arricchire i dati raccolti con ulteriori informazioni sulla vita dell'utente.

Primo risultato di un'indagine più ampia. Il modo in cui queste applicazioni gestiscono i dati degli utenti è sintomatico di un problema più ampio nell'ambiente delle applicazioni mobili. Sebbene queste applicazioni abbiano spesso milioni di utenti, non si preoccupano di rispettare le leggi sulla privacy dell'UE, ma condividono i dati privati con terze parti (compresi i broker pubblicitari) al fine di monetizzare i dati dei loro utenti. Secondo una ricerca condotta da Konrad Kollnig e altri, solo il 3,5% di tutte le app offre agli utenti la possibilità di rifiutare il consenso.

Ala Krinickytė, avvocato specializzato in protezione dei dati presso noyb: "La raccolta e la condivisione illegale dei dati personali degli utenti è un problema diffuso nell'ambiente delle app mobili. È fondamentale che le autorità di controllo prendano ora provvedimenti adeguati per porre fine a questa pratica"

Analisi delle violazioni della privacy nelle app mobili. Per ottenere le prove delle suddette violazioni, è stata necessaria un'analisi tecnica del traffico di rete delle app per smartphone. L'acquisizione e l'analisi del traffico di rete sono state condotte utilizzando la suite di strumenti PiRogue sviluppata dall'agenzia Defensive Lab. La metodologia dettagliata è disponibile qui.

Cancellazione dei dati e possibile multa. noyb chiede al CNIL di ordinare a MyFitnessPal, Fnac e SeLoger di cancellare tutti i dati trattati illegalmente. Inoltre, tutti i destinatari dei dati del denunciante devono essere informati del fatto che il denunciante ha richiesto la cancellazione di qualsiasi link, copia o replica dei suoi dati personali. Data la gravità delle accuse e il numero potenzialmente elevato di persone interessate, noyb suggerisce anche che l'autorità competente imponga una multa. Queste denunce sono solo l'inizio: noyb ha in programma di presentare altre denunce contro le società di applicazioni mobili in futuro, al fine di fermare la condivisione illegale dei dati degli utenti.

Riconoscimenti

  • L'acquisizione e l'analisi del traffico di rete sono state effettuate utilizzando la suite di strumenti PiRogue sviluppata dall'agenzia Defensive Lab
  • IlDr. Konrad Kollnig ha fornito la sua vasta conoscenza e competenza sul tema del tracciamento nelle applicazioni mobili
  • Tracking Weasel ha contribuito con preziosi approfondimenti sul tema delle librerie di tracker e del tracciamento nelle app mobili.