Google: acquisti tracciati e rischi per la privacy

Nel mese di maggio, Google ha presentato un programma chiamato Store Sales Management e indirizzato a monitorare come le campagne online siano efficaci anche per spingere le persone ad acquistare nel mondo reale, non solo sui siti di e-commerce. Un’iniziativa in linea con Attribution, altro progetto con finalità simile. L’idea sta suscitando qualche perplessità in termini di privacy.

Si tratta essenzialmente di un sistema che sfrutta le informazioni legate ai pagamenti effettuati con la carta di credito per stimare quante vendite siano da attribuire alle campagne di advertising sul Web. Queste, insieme ai dati di geolocalizzazione e altri di tipo finanziario, contribuiscono a una profilazione dell’utente alquanto dettagliata. Il fine è chiaro: conoscere quali prodotti e servizi interessano agli utenti, sulla base delle loro disponibilità economiche e preferenze personali. Secondo Electronic Privacy Information Center (EPIC), un metodo simile può costituire un potenziale pericolo.

L’associazione ha sporto denuncia presso l’U.S. Federal Trade Commission, focalizzando l’attenzione su tre problemi in particolare. Il primo riguarda la segretezza di Google in merito ai processi attuati per rendere anonimi i dati raccolti per la profilazione (nome, cognome, numero della carta di credito e così via). Il secondo, invece, fa riferimento all’impossibilità di effettuare l’opt out dal tracciamento senza rinunciare del tutto ai servizi di geolocalizzione.

I consumatori non possono evitare in modo semplice che Google effettui il tracciamento dei loro comportamenti d’acquisto all’interno dei negozi. Come descritto, sembra non ci sia alcun modo per gli utenti Google di effettuare l’opt out dal tracking degli acquisti se non disattivando totalmente la geolocalizzazione. Non è chiaro agli utenti, in ogni caso, che il modo per evitare il tracciamento degli acquisti sia disattivare il tracciamento della posizione.

La terza e ultima questione sollevata da EPIC fa riferimento alla presunta scarsa efficacia di CryptDB, algoritmo crittografico impiegato per proteggere i dati personali legati all’iniziativa messa in campo da Google. In altre parole, l’associazione teme che le informazioni possano finire nelle mani sbagliate. Per il momento da bigG non sono giunte repliche.

L’algoritmo base sul quale la piattaforma di Google è costruita ha noti problemi di sicurezza. Nel 2015 i ricercatori sono stati in grado di violare un database di cartelle cliniche protetto con CryptDB, arrivando ad accedere a oltre il 50% (a volte il 100%) dei dati sensibili relativi ai pazienti, identificandoli individualmente.