Data Management: La sanità italiana è pronta a questa svolta? Un sondaggio dà il via alla ricerca
6 Agosto 2020
Nel Report GEPD interessanti indicazioni sull’utilizzo della DPIA da parte delle istituzioni UE
2 Settembre 2020

NOYB vs. Google LLC/Google Ireland Limited: il reclamo sul funzionamento dell’AAID – Android Advertising ID

Premessa – Chi è NOYB

NOYB – Centro europeo per i diritti digitali (www.noyb.eu), è un’organizzazione senza scopo di lucro con sede a Vienna, in Austria, fondata nel 2017.
Co-fondatore di NOYB è l’avvocato austriaco Max Schrems, attivista per la privacy diventato noto nel 2013 per avere avviato campagne contro Facebook Ireland per violazioni delle leggi europee sulla privacy; nello specifico, Schrems contestava alla sede europea del social in blu come il livello di protezione dei dati dei cittadini europei nell’ambito del trasferimento verso il quartier generale di Menlo Park non potesse essere considerato sufficiente a garantire un’adeguata tutela della vita privata da intromissioni generalizzate e indiscriminate, in particolare alla luce delle rivelazioni di Edward Snowden sull’esistenza dei programmi di sorveglianza di massa PRISM e Upstream.

L’AAID oggetto del reclamo promosso da NOYB

Oggetto del reclamo promosso da NOYB è l’attivazione su tutti i sistemi Android, da parte di “Big G” (ovvero Google LLC e la sua sede europea Google Ireland Limited), dell’AAID – Android Advertising ID, che consiste in una stringa di caratteri alfanumerici il cui scopo è quello di rendere esattamente identificabile il device dell’utente, al fine di utilizzarlo come tracciatore delle abitudini di quest’ultimo e, così, di permetterne il riconoscimento univoco nel c.d. eco-sistema di advertising a favore di sviluppatori di App, e di un indefinito numero di terze parti.

Come riportato nell’esempio citato nel reclamo, “…se il reclamante utilizza un’app e mostra un particolare interesse per un evento, tale preferenza è associata al suo AAID e viene utilizzata per pubblicare annunci pertinenti su un’altra app o anche su pagine Web non correlate”.

In sostanza, allorquando attiviamo per la prima volta un sistema Android (cellulare o tablet, per esempio) e attiviamo i servizi offerti da Google, viene generato un codice identificativo univoco (c.d. “unique identifier”) che, senza richiedere uno specifico consenso all’utente, viene generalmente condiviso mediante tracker incorporati nelle App (come ad es. gli SDK), per consentire alle terze parti destinatarie di tracciare e profilare gli utenti attraverso applicazioni e servizi.

Questo codice viene, poi, trasmesso e condiviso all’interno di tutto l’ecosistema pubblicitario tra una miriade di soggetti e terze parti, che spesso generano anch’essi identificativi di tracciamento persistenti; questo sistema permette così ai soggetti operanti nel circuito pubblicitario di raccogliere molti dati dell’utente da un alto numero di fonti diverse, per poi ricondurli ad un minimo comun denominatore (l’AAID appunto).

L’oggetto del reclamo di NOYB verte proprio sul sistema di attivazione e funzionamento dell’AAID: si tratterebbe, infatti, di una forma di tracciamento non autorizzata dall’utente e senza alcuna valida base giuridica, sulla quale gli utenti, una volta attivato il cellulare o il tablet, non hanno alcun controllo e contro cui possono fare ben poco, con grave violazione dei principi e delle norme previste dal Regolamento generale per la protezione dei dati personali (UE) 2016/679, posto che – come affermato da Google medesima – non è possibile la cancellazione dell’AAID generato di default dal sistema attivato, ma solo la generazione di un codice ex novo in sostituzione dell’originale, funzione che pare in ogni caso inefficace per limitare le capacità di tracciamento; infatti, se è vero che l’AAID rigenerato viene sincronizzato con altri identificativi dell’utente, le terze parti destinatarie possono semplicemente aggiungere il nuovo codice al precedente, e riprendere in tal modo la profilazione dell’utente aggregando i nuovi dati con quelli precedentemente acquisiti.

Il reclamo di NOYB avanti l’Autorità di Controllo austriaca

La tesi di NOYB parte della convinzione che l’AAID, per un verso, sia da considerare dato personale (ex art. 4, par. 1, del GDPR) che viene continuamente recuperato, utilizzato, collegato e condiviso tra Google e le terze parti, al fine di (1) tracciare le azioni degli utenti, (2) elaborare le preferenze di consumo e, infine, (3) fornire pubblicità pertinente su dispositivi Android, e, per altro verso, sia oggetto di trattamento secondo quanto previsto dall’art. 4, par. 2, del GDPR.

In sostanza, contesta NOYB, l’AAID non sarebbe nient’altro che un codice identificativo che “marchia” univocamente e “per sempre” l’utilizzatore (consumatore) del sistema Android, senza che vi sia stata una scelta consapevole e volontaria dell’utente al momento dell’attivazione del sistema e, inoltre, senza che sia addirittura prevista una possibilità di opt-out, cioè di cancellazione dell’AAID, o quantomeno di dissociazione definitiva dal dispositivo utilizzato, e quindi dall’identità dell’utilizzatore – impedendo, così, il c.d. single-out (cfr. WP 29, Opinion 16/2011, Opinion 2/2013 e Opinion 5/2014).

E ancora, NOYB ha altresì fatto oggetto di reclamo il fatto che Google, al momento dell’attivazione della contestata stringa ID, non abbia fornito al reclamante, che ne aveva assoluto diritto, informazioni specifiche, complete e aggiornate sul trattamento effettuato dall’AAID, sui destinatari, sulle fonti, sulla base giuridica utilizzata o sul periodo di conservazione, facendo riferimento e genericamente richiamando le proprie politiche sulla privacy.

Le contestazioni di NOYB

NOYB, a mezzo del proprio reclamo, ha contestato:

  1. la violazione dell’art. 6, par. 1, del GDPR, in quanto, pur nell’impossibilità di stabilire una valida base giuridica sottostante al trattamento condotto a mezzo AAID, in ogni caso il trattamento sarebbe illecito, se è vero che (a) nel caso in cui la base giuridica ipotizzata fosse il consenso ex art. 6, par. 1, lett. a), questo non sarebbe stato informato, specifico, fornito liberamente, e quindi non sarebbe in ogni caso valido (a tacere dell’assenza di qualsiasi funzione effettiva di opt-in); (b) nel caso in cui la base giuridica fosse, invece, il legittimo interesse ex art. 6, par 1, lett. f), sarebbe ancor qui invalida posto che l’interesse di Google e delle terze parti per il tracciamento delle abitudini di acquisto dell’interessato non sarebbe, comunque, prevalente sugli interessi o i diritti e le libertà del medesimo;
  2. la violazione degli articoli 7, par. 3, e 21 del GDPR, posto che, indipendentemente dalla base giuridica adottata, l’AAID, avendo il reclamante correttamente esercitato i propri diritti, avrebbe dovuto essere “cancellato” definitivamente da parte di Google, il quale, però, lungi dall’aver provveduto a disattivarlo, ha rigettato la richiesta, asserendo, in modo apodittico e generico, di non avere i mezzi tecnici “per verificare l’identità delle persone interessate da un Advertising ID” e, quindi, di non essere in grado di adottare le misure specifiche di disattivazione richieste.

L’alternativa proposta da Google

Vista i motivi di asserita incapacità tecnica dichiarata dal motore di ricerca di far fronte alle richieste avanzate dall’utente/reclamante, Google ha proposto a quest’ultimo una soluzione alternativa, ovvero, resettare l’originario AAID, con la conseguente riassegnazione di un nuovo codice identificativo.

Sulla base dei rapporti contrattuali in corso tra Google e terze parti, sostiene “Big G”, non sarebbe infatti più possibile utilizzare il vecchio codice, ma – al netto del paradosso per cui parrebbe che per ottenere l’interruzione del trattamento illecito l’unica opzione sarebbe di acconsentirne uno nuovo con le stesse modalità – è stato in ogni caso dimostrato da recenti studi ed analisi (cfr. report Out of Control del Norwegian Consumer Council) come l’Advertising Id – che a tutti gli effetti è da considerarsi dato personale al pari degli altri codici identificativi infornatici – possa essere “…condiviso e, se necessario, collegato a vecchi valori tramite innumerevoli altri identificatori come indirizzi Ip, codici Imei e coordinate GPS, username di social media, indirizzi email o numero di telefono, di fatto permettendo un tracciamento persistente degli utenti Android”.

Sembra – così conclude NOYB – che il fatto stesso che sia Google a dover richiedere alle terze parti di interrompere il tracciamento dell’AAID originario, sia la prova stessa che la soluzione proposta da Google di fatto non consenta di interrompere il tracciamento continuo dell’AAID dell’utente, e che, quindi, Google abbia creato un sistema che strutturalmente non consente la disattivazione del tracciamento delle abitudini dell’interessato.

Le richieste conclusive di NOYB

NOYB, in conclusione, ha richiesto all’Autorità di Controllo austriaca di avviare un’indagine su quanto oggetto del reclamo promosso e di ordinare a Google: (1) di eliminare definitivamente l’AAID, interrompendo, quindi il trattamento dei dati associati ad esso, e (2) di consentire al reclamante il diritto di accesso ai dati richiesti oggetto del trattamento, applicando a Google, in forza degli artt. 58, par. 2, e 83, par. 4, lett. a) del GDPR, una sanzione effettiva, proporzionata e dissuasiva per tutte le violazioni contestate.

 

Articolo a cura di Jacopo Giunta e Matteo Chiavassa

Jacopo Giunta

Avvocato, Privacy Officer e DPO

Avvocato presso Ambrosio e Commodo Studio Legale Associato, presta attività di consulenza legale e tecnica per la predisposizione di sistemi di gestione della Privacy alla luce del Regolamento UE 2016/679 e della normativa nazionale di riferimento, svolge la funzione di DPO per aziende operanti nel settore medico e IT. Accreditato per il corso di formazione manageriale come DPO presso il CNR di Pisa, docente a contratto presso il MADAB "Master in Data Science for Business Intelligence" organizzato dall'Università di Torino e relatore presso il "Corso teorico pratico per la formazione del Data Protection Officer" organizzato dall'Ordine degli Avvocati di Torino, socio IISFA, DFA e Tech & Law Center, certificato CIFI, socio fondatore e vicepresidente dell'associazione "Persone & Privacy".

Matteo Chiavassa

Avvocato, Privacy Officer e DPO

Avvocato del Foro di Asti, Certificato TUV Italia “Privacy Officer e Consulente della Privacy” - Schema CDP n. 344, socio Federprivacy, titolare dell’Attestato di Competenza Federprivacy - “Master Privacy Officer e Consulente della Privacy”, accreditato per il corso di formazione manageriale come DPO presso il CNR di Pisa, Tutor presso il "Master in Data Science for Business Intelligence" organizzato dall'Università di Torino, svolge la funzione di DPO per aziende operanti nel settore medico e IT e si occupa di assistenza legale in materia di protezione dei dati personali e degli aspetti giuridici connessi alla data governance e al trattamento dei dati personali, socio fondatore e segretario generale dell'associazione "Persone & Privacy".

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy