Domani Google cambia la privacy: come difendersi?

Mentre i cookies di Google si scopre siano stati cotti (tracciati) a insaputa degli utenti sia su Safari che su IE, molti utenti aspettano con ansia domani 1 Marzo per i cambiamenti della privacy di Google. In sostanza Google da domani unifica la privacy di tutti i suoi servizi in un unico e solo documento e prima di allora Google dovrebbe aver inviato delle notifiche sia via email che nella homepage di Google.

Google tratterà quindi il nostro profilo come quello unico di una persona fisica che ha una lista di regole ben precise indipendentemente dal fatto che usi e sia iscritta a YouTube piuttosto che a Gmail. Google ha assicurato che continuerà a sostenere la data liberation: potremmo scaricare tutti i dati che hanno in nostro possesso (si spera) e non verranno rinveduti a terzi (si spera ma poco ci si crede).

I cambiamenti della privacy di Google potrebbero anche violare le norme UE infrangendo alcune direttive dell’European Directive on Data Protection: è difficilissimo che l’utente medio possa districarsi tra le nuove norme e comprendere come Google utilizza i dati soprattutto quelli che riguardano la cronologia web delle ricerche che facciamo e dei siti che visitiamo. Dunque cosa fare in attesa di un bottone salva-privacy?

Oggi è l’ultimo giorno per fare un po’ di pulizia di qualche dato del nostro account di Google prima che arrivi domani: sarà possibile farlo anche dopo ma se non altro daremo già da ora a Google un termine di 18 mesi per conversare in maniera anonima i nostri dati prima di cancellarli ed evitare che li usino per darci le informazioni che credono siano migliori per noi (vedi il Manifesto degli Utenti Online).

Per fare questo si può rimuovere la cronologia web dell’account di Google con la procedura descritta dall’Electronic Frontier Foundation . Una procedura simile di cancellazione può essere applicata ai video visti su YouTube:

1. Loggatevi con il vostro account Google e andate su https://www.youtube.com
2. Cliccate sulla vostra icona
3. Cliccate su “Gestione video”
4. Andate su “Cronologia”
5. Cliccate su “Cancella tutta la cronologia visualizzazioni” (attenzione: elimina i video recenti che avete guardato)
6. Cliccate su “Pause viewing history”
7. Cliccate su “Cronologia delle ricerche”
8. Cliccate su “Cancella tutta la cronologia delle ricerche”
9. Cliccate su “Sospendi cronologia delle ricerche”

Servirà a poco ma è meglio di niente perchè ci sarà sempre questa competizione tra i giganti: Google per competere con Facebook nell’aggregare i profili degli utenti per profilare in modo da personalizzare i risultati e gli annunci ha modificato la privacy in modo da raccogliere, integrare e usare le informazioni in maniera più semplice.
Quando ci sarà una avanzata ricerca sociale e il mobile marketing sarà sempre più spinto, DoubleClick sarà la vera miniera d’oro di Google.

Quando una legge sul Profiling e la profilazione in Italia?

La profilazione dei dati degli utenti è un tema abbastanza importante, se ne parla poco ma coinvolge tutti noi. Per questo ho cercato diverse volte di segnalare come salvaguardare la privacy e perchè decidere di usare i DNS di Google.

Il tema è importante e lo sarà sempre più in quanto ormai si gioca una lotta tra la pubblicità di Facebook e quella di Google. FoolDNS ha avuto il merito di portare all’attenzione dell’opinione pubblica la profilazione, operazione svolta da tutte le media e internet company e della quale ne beneficia sia il singolo che la collettività.

A tutelare gli utenti ci deve essere una legge precisa che disciplini limiti e abusi, cosa che in Italia mi pare non ci sia (vi invito a fare segnalazioni in tal senso). Di recente il Comitato dei ministri ha invitato gli stati membri del consiglio d’Europa ad adoperare una legislazione sulla profilazione mediante una raccomandazione che contiene alcune norme minime da legiferare.

Ricopio qui di seguiti i principi generali e le definizioni che l’Europa invita ad adottare affinchè non si abusi del profiling:

a. “Personal data” means any information relating to an identified or identifiable individual (“data subject”). An individual is not considered “identifiable” if identification requires unreasonable time or effort.

b. “Sensitive data” means personal data revealing the racial origin, political opinions or religious or other beliefs, as well as personal data on health, sex life or criminal convictions, as well as other data defined as sensitive by domestic law.

c. “Processing” means any operation or set of operations carried out partly or completely with the help of automated processes and applied to personal data, such as storage, conservation, adaptation or alteration, extraction, consultation, utilisation, communication, matching or interconnection, as well as erasure or destruction.

d. “Profile” refers to a set of data characterising a category of individuals that is intended to be applied to an individual.

e. “Profiling” means an automatic data processing technique that consists of applying a “profile” to an individual, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.

f. “Information society service” refers to any service, normally provided for remuneration, at a distance, by electronic means.

g. “Controller” means the natural or legal person, public authority, agency or any other body which alone, or in collaboration with others, determines the purposes of and means used in the collection and processing of personal data.

h. “Processor” means the natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller.

2.1. The respect for fundamental rights and freedoms, notably the right to privacy and the principle of non-discrimination, shall be guaranteed during the collection and processing of personal data subject to this recommendation.

2.2. Member states should encourage the design and implementation of procedures and systems in accordance with privacy and data protection, already at their planning stage, notably through the use of privacy-enhancing technologies. They should also take appropriate measures against the development and use of technologies which are aimed, wholly or partly, at the illicit circumvention of technological measures protecting privacy.

Proprio qualche giorno fa il Wall Street Journal ha scritto un lungo articolo sul profiling e la deep packet inspection.

Codice Internet: dammi una stringa e ti dirò chi sei

Lo short-movie Privacy di Andrea Vascellari

We can segment it all the way down to one person

A proposito della boutade riguardo i 100 milioni di profili di Facebook diffusi via torrent (già liberamente “catturabili” attraverso le API pubbliche) è interessante valutare il business che produce questo continuo monitorare e spiare i consumatori su Internet. Non si tracciano più gli utenti solo per offrire una pubblicità contestuale e personalizzata ma queste decine di pezzi di codice installati sui siti web (anche su Wikipedia) conservano l’accesso dal quale ti colleghi, cosa compri, se sei ammalato, quale commento hai pubblicato e su che sito, quali sono i tuoi film preferiti.

In questo modo viene creato un profilo ben preciso senza l’utilizzo del tiranno Facebook che consiste in una stringa codificata del tipo 4c812db292272995e5416a323e79bd37 , una sorta di codice Internet (qualsiasi citazione è puramente casuale) dove ognuno di noi diventa un numeretto identificato se non dalle coordinate anagrafiche da dati comunque sensibili e personali. Ed è ben più pericoloso che sui circuiti peer to peer finiscano queste stringhe che qualche informazione che hai deciso di rendere pubblica su Facebook.
Il consiglio come al solito è di testare il tuo browser per capire se puoi navigare anonimamente ed in sicurezza.

[UPDATE]

– Lo stesso WSJ ha pubblicato una What they know, una inchiesta su cookie, beacon presenti nei siti web.