Fact checking
Google e la guerra per la tutela della privacy
Giovanni Drogo 20/02/2015
In Italia Mountain View dovrà rispettare le regole stabilite dal Garante, negli USA invece l’azienda ha ingaggiato una lotta contro il Governo per difendere i diritti degli utenti
Due notizie di segno opposto oggi mostrano il complicato rapporto tra Google e privacy: la prima è l’annuncio che l’azienda di Mountain View si adeguerà alle richieste del Garante della Privacy, la seconda invece vede Google in prima linea in lotta nientemeno che con l’FBI. La tutela della privacy dei dati che gli utenti affidano a Google (tramite Gmail, YouTube, Chrome) è uno dei temi caldi sul fronte della difesa dei diritti di chi usa l’Interwebs. A chi spetta il compito di garantire per un corretto trattamento dei dati sensibili? Ci si può fidare di Google o è necessario intraprendere azioni che ne limitino i poteri di intervento e che assoggettino le azioni del motore di ricerca alle leggi nazional in materia di tutela della privacy?
LE DECISIONI DEL GARANTE
Questa mattina il Garante per la tutela dei dati personali ha pubblicato un comunicato in cui annuncia che Google si adeguerà alle misure richiese dal Garante a tutela della privacy degli utenti. Il Garante ha annunciato che:
Google adotterà tutte le misure a tutela della privacy degli utenti italiani prescritte dal Garante per la protezione dei dati personali e, per la prima volta in Europa, e dovrà assoggettarsi a verifiche periodiche che monitorino l’avanzamento dei lavori di adeguamento della propria piattaforma ad una normativa nazionale.
Mountain View dovrà quindi impegnarsi in una serie di azioni concrete per poter rispettare quanto stabilito dal protocollo di verifica del 10 luglio 2014. Nel corso del 2015 Google dovrà quindi impegnarsi a migliorare l’informativa sulla privacy per i propri servizi «rendendola chiara, accessibile e differenziandola in base ai servizi offerti», e dovrà integrarne il testo in modo da includere i dettagli sul trattamento dei dati personali, la profilazione degli utenti effettuata incrociando i dati raccolti tramite i diversi servizi offerti da Google e altri dati utilizzati dall’azienda per identificare i clienti «come il fingerprinting (un sistema che raccoglie informazioni sulle modalità di utilizzo del terminale da parte dell’utente e le archivia direttamente presso i server della società)». Per poter profilare i navigatori il Garante stabilisce che sarà in ogni caso indispensabile il consenso informato dell’utente, agli utenti inoltre sarà riconosciuta la facoltà di opporsi in ogni momento alla profilazione. Un altro punto importante sul quale Google dovrà impegnarsi sono le modalità di conservazione e cancellazione dei dati, un aspetto forse tra i più importanti se si pensa all’atteggiamento poco trasparente tenuto da Google durante lo scandalo delle foto rubate alle star di Hollywood noto come Fappening. L’azienda californiana dovrà fornire tempi certi per lo svolgimento delle pratiche di cancellazione dei contenuti «sia di quelli online sia di quelli archiviati su sistemi di back-up», stabilisce il Garante. Infine il protocollo prevede la prosecuzione dello scambio di informazioni volte a monitorare le modalità con cui Google applica per gli utenti italiani che ne fanno richiesta la normativa europea sul cosiddetto diritto all’oblio.
GOOGLE VS FBI
Il comunicato e le decisioni del Garante potrebbero far pensare a Google come ad un’entità malvagia che non vuole lasciare la presa sulle nostre identità digitali. Ma un secondo comunicato, pubblicato questa volta da Google, ci dà l’opportunità di vedere quanto mutevoli siano gli schieramenti nella battaglia per la difesa della privacy degli utenti sul Web. Il comunicato apparso sul blog di Google a firma di Richard Salgado che è Legal Director, Law Enforcement and Information Security per Google è un post dal titolo “A Small Rule Change That Could Give the U.S. Government Sweeping New Warrant Power” Google prende una posizione pubblica contro alcune modifiche ad una legge federale in materia delle procedure che regolano le indagini per contrasto alla criminalità. Il 13 febbraio la multinazionale di Mountain View aveva già inviato un suo commento riguardo un cambiamento della legislazione che darebbe nuovi poteri ai giudici quando devono svolgere indagini al di fuori della propria giurisdizione (e quindi anche all’interno di computer connessi ad Internet). La modifica dell’articolo 41 della Federal Rule of Criminal Procedure consentirebbe alle autorità di polizia di effettuare accessi non autorizzati via remoto nei computer dei sospettati nel caso le informazioni fossero nascoste “through technological means“. Come scrive Salgado:
the proposed amendment would likely end up being used by U.S. authorities to directly search computers and devices around the world. Even if the intent of the proposed change is to permit U.S. authorities to obtain a warrant to directly access and retrieve data only from computers and devices within the U.S., there is nothing in the proposed change to Rule 41 that would prevent access to computers and devices worldwide.
Il che significa che c’è la possibilità che, qualora passasse la modifica proposta, l’FBI possa legalmente “ispezionare” il contenuto di un computer anche se non si trova sul suolo statunitense. La preoccupazione espressa da Google non riguarda però solo il destino degli utenti/cittadini ma anche quello dei rapporti di cooperazione e collaborazione internazionale stipulati tra gli USA e diversi paesi proprio per contrastare la criminalità on-line. Con questo emendamento alla Rule 41 gli Stati Uniti potrebbero benissimo fare a meno di dover rispettare i contenuti degli accordi (e quindi i diritti dei cittadini degli altri stati) e svolgere le indagini in completa autonomia. Un’obiezione potrebbe essere quella di coloro che dicono “Che male ci sarebbe però? Se uno non ha nulla da nascondere allora non ha nulla da temere”. Il problema in realtà è più complesso, è vero che le finalità sono quelle di contrastare crimini particolarmente odiosi (ad esempio la pedopornografia) ed è vero che i criminali utilizzano sistemi in grado di mascherare il proprio IP ad esempio per non figurare in una determinata area geografica e sfuggire ai controlli. C’è però da ricordare, e Salgado lo fa, che molte VPN vengono utilizzate anche da banche e altri servizi legittimi per garantire la privacy e la sicurezza dei propri clienti. Le VPN potrebbero quindi essere oggetto di ispezioni per il solo fatto che le connessioni vengono offuscate e quindi “concealed through technological means” a prescindere dai contenuti dei network e dei dati che vengono scambiati al loro interno.