{{feedLink}}

Social Login: una sentenza della CJUS accende i riflettori sulla profilazione invisibile e non consensuale.

social login Christian Bernieri
(Aggiornato il )
Premi il pulsante rosso!
AI

La Commissione Europea ha toppato alla grande e Thomas Bindl merita un risarcimento. Così la pensa la Corte di Giustizia Europea (CJUS, CURIA per gli amici). Più in alto ci sono solo le nuvole.

La vexata quaestio è bellissima:   SOCIAL LOGIN.

Accadde un giorno, nel lontano 2022, che la Commissione Europea organizzò un fantastico evento "GoGreen" nell'ambito del progetto "Conference on the Future of Europe". 

Per registrarsi e accedere è stata predisposta una fantastica pagina web, bella, colorata, accessibile, con tutti i sacri crismi cari alla normativa del vecchio continente. Per renderla più comoda, più usabile... forse anche più figa, la pagina web venne dotata di social login... quei pulsantini ammiccanti che con un solo click fanno tutto il noiosissimo lavoro di registrazione di nome, cognome, indirizzo email, dati necessari all'iscrizione o all'accesso.  Ecco un fulgido esempio appena trovato a questo indirizzo:

Quale sito non li ha? Chi non li ha mai usati? Diciamolo, sono il massimo della vita e della comodità. Con un solo click eviti di dover digitare nome, cognome, indirizzo email, di nuovo indirizzo email, selezionare una lingua, dichiarare cose esoteriche che nessuno ha mai letto e capito, premere un ulteriore pulsante, attendere la conferma, confermare... uno sforzo immane che potrebbe seriamente compromettere la funzionalità delle articolazioni delle dita dell'utente medio. Si registrano casi di dita spezzate nel tentativo di compilare questi tediosissimi login.

Santo subito quel benefattore, quell'apostolo che ha inventato il social login: un click e non ci pensi più. Quella volpe vestita di Thomas Bindl ha fatto bene ad utilizzarli, si è risparmiato tempo, fatica, dolore e frustrazione e, così facendo, è potuto tornare sul suo comodo divano molto prima che non registrandosi in altro modo.

Ma quale altro modo? Beh, ne vedo almeno 5.

1) la registrazione classica, conferendo dati direttamente al sito al quale si sta bussando. Dati che, peraltro, non devono essere necessariamente veritieri: non è il padre confessore o il medico curante, è un sito e ci può far passare anche se gli facciamo credere di chiamarci Luther Blissett o Winston Smith. Questa modalità ci da molte garanzie e sicuramente si esaurisce tra l'utente e il sito, senza coinvolgere altri soggetti.

2) accesso con eID, credenziali che l'utente può avere già creato, valide per molti siti dell'unione europea. Il lavoro è già fatto, perché rifarlo? La condivisione dei dati è leggermente più ampia ma resta sempre in famiglia.

3) "accedi con Facebook". Ripeto: accedi con Facebook. Non ho mai capito se quel "con" significhi "grazie a" oppure se vada inteso come "lingua in bocca e mano sul culo". In ogni caso, stiamo parlando di Facebook, quella data company malefica che nemmeno ci prova a convincere la gente di essere onesta, anzi, che dice apertamente che spremerà ogni dato personale come fossimo limoni. A mio parere, accanto a "Accedi con Facebook" bisognerebbe aggiungere "lasciate ogni speranza voi ch'intrate".

4) "Accedi con Google". Cut-Paste da sopra, poi sostituisci facebook con google. Stessa cosa, se non peggio. Per come stanno andando le cose ultimamente, dopo il passaggio da "don't be evil" a "as evil as it gets", consiglierei di utilizzare questa modalità solo se volessi fare un dispetto a qualcuno.

5) dulcis in fundo, l'immancabile App di autenticazione. Non le amo, ma assomiglia comunque alla modalità 2, una cosa di famiglia, anche se la complessità non aiuta a rendere i trattamenti visibili, minimali e gestibili.

 

Con tutte queste modalità, con il livello di conoscenza che abbiamo dei gaglioffi della rete, con tutti i data breach che quotidianamente ci flagellano... come si fa a far prevalere la comodità alla autotutela? Si fa, eccome se si fa. I social login sono e restano la modalità preferita dall'utente medio. Ho l'impressione che l'utente medio sia un deficiente.

Il nostro Thomas, dopo aver pisciato fuori dal vaso e aver utilizzato il social login, si è andato a lamentare in tribunale, arrivando sino alla Corte di Giustizia, perchè il vaso non ha fatto bene il suo mestiere. Forse non è stato il vaso a sbagliare la mira ma vabbè, transeat, forse ho sbagliato metafora.

Sta di fatto che ha avuto ragione. Il comunicato stampa della CJUS (1/25) è molto chiaro: "attraverso il collegamento ipertestuale «connettersi con Facebook», visualizzato sulla pagina Internet di EULogin, la Commissione ha creato le condizioni che consentono di trasmettere l'indirizzo IP dell'interessato all'impresa americana Meta Platforms"

e poi

"Per contro, per quanto riguarda l'iscrizione dell'interessato all'evento «GoGreen», il Tribunale ritiene che la Commissione abbia creato, attraverso il collegamento ipertestuale «connettersi con Facebook» visualizzato sulla pagina Internet di EU Login, le condizioni che consentono di trasmettere l'indirizzo IP dell'interessato a Facebook. Tale indirizzo IP costituisce un dato personale che, tramite detto collegamento ipertestuale, è stato trasmesso a Meta Platforms, impresa con sede negli Stati Uniti. Tale trasferimento deve essere imputato alla Commissione."

la mazzata: "La Commissione non ha quindi rispettato le condizioni poste dal diritto dell'Unione per il trasferimento, da parte di un'istituzione, di un organismo o di un organismo dell'Unione, di dati personali verso un paese terzo. Il Tribunale afferma che la Commissione è incorsa in una violazione sufficientemente qualificata di una norma di diritto preordinata a conferire diritti ai singoli. L'interessato ha subito un danno morale, poiché si è trovato in una situazione di incertezza riguardo al trattamento dei suoi dati personali, in particolare del suo indirizzo IP"

Il tutto è avvenuto nell'interregno tra un privacy shield e l'altro, tra un accordo di libero scambio dei dati personali e le rispettive sentenze (sempre della CJUS) che ne invalidano puntualmente l'efficacia. Grazie alle denunce dell'avvocato Max Schrems (NOYB), appena viene siglato un accorto UE-US per il libero scambio dei dati, arriva il procedimento di CJUS che, immancabilmente, affossa l'accordo, invalidandolo. E si ricomincia in modo iterativo. Ciò che non cambia mai è la profonda differenza tra la protezione dei dati europea e quella americana e, finchè queste non saranno allineate, non ci potrà essere una copertura valida per il trasferimento dei dati verso gli Stati Uniti. Ne ho scritto qui. La storia è destinata a ripetersi, ogni volta, intervallando periodi in cui il trasferimento dei dati è tollerabile a periodi in cui è semplicemente illecito. Peraltro questo non è del tutto vero, volendo, ci sono modi e maniere per trasferire i dati nei paesi terzi, ma sono inapplicabili rispetto a Google o Facebook.

 

Tuttavia c'è di peggio.

Ciò che la Thomas non sa e di cui non si è lamentato è sorprendente e ben più grave. Tutte le autorità Garanti dovrebbero uscire dal torpore invernale, rotolare giù dal divano e, dopo un paio di conferenze a pagamento, la pubblicazione di un bel libro, alcuni articoli sotto paywall e una dozzina di pompose interviste, dovrebbero aprire mille mia istruttorie... nella speranza che non facciano la fine di quella sui cookiewall che vagola da tempo immemore in un universo parallelo, alla ricerca di un wormhole  per tornare nel nostro mondo.

Su cosa non si è espressa CJUS?

Cosa non ha visto Thomas?

Cosa potrebbe essere tanto grave da far deragliare il senno dei giusti?

 

Beh, quei benedetti e benemeriti pulsantini dei social login funzionano anche se non vengono utilizzati. Non serve cliccarli, basta visualizzarli per realizzare ciò che di brutto comportano!

Ovviamente non sono un bravo ragazzo, sono un DPO e ragiono da canaglia. Si, quei pulsantini sono presentati al mondo come una modalità comoda per un rapido login. In realtà la loro funzione prevalente è sgraffignare quanti più dati possibili, senza dare informativa, senza che l'utente se ne renda conto, senza chiedere consenso, con un solido alibi e facendo ricadere la responsabilità su altri, su chi li ha implementati nel proprio sito e sull'utente che li ha utilizzati.

Per massimizzare questa seconda (ma prevalente) finalità, anche se ben mascherata da opera benemerita, chi li ha progettati (Facebook, Google... ma anche tutti gli altri) ha pensato di creare un codice di implementazione leggermente bastardo:

il solo fatto di visualizzare il pulsante del social login, implica la condivisione dei dati del utente con il produttore del pulsantino stesso. Come è possibile? Beh, in realtà è semplice, basta localizzare il file grafico del pulsante, il logo (o lo script) sul server del produttore stesso. In questo modo, ogni visitatore, anche se non ha intenzione di cliccare social login, sta già dicendo a quei social, presenti sulla pagina, che sta visitando un certo sito, che sia una campagna dell'Unione Europea, il sito del Fantasanremo oppure un sito per incontri extraconiugali, una università, un'associazione LGBT, un tatuatore o un grossista di cibo per gatti, ecc. 

Chi implementa i social login ha fretta, esattamente come gli utenti... perchè avranno tutto così tanta fretta rimarrà per me un mistero...   comunque sia, chi sviluppa i siti utilizza il codice proposto dal produttore e, così facendo, attiva una condivisione non consensuale dei dati di ogni visitatore verso ciascun social login implementato. Una ragnatela alla quale è difficile sfuggire: non basta evitare di utilizzarli, bisognerebbe evitare di visualizzarli. 

Per sfuggire a questo trattamento canaglia, è possibile proteggersi, per esempio, con un gestore di DNS che filtri il traffico dei tracker, un browser disincantato che filtri lui per noi le cose nocive o non utili... navigare con Chrome o Edge ci espone a profilazione occulta e ad altri rischi evitabili. Di tutto questo ho parlato altrove.

 

Buona onda.
(augurio per naviganti)

 
 
Per capire,
per essere consapevoli,
per difendersi.
 
 

 

 
Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

 

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di ringraziarmi.

Puoi farlo in tre modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone,
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. In questo modo aiuterai me.

Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

 

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

 

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...