WeWard: sorveglianza capitalista travestita da wellness app

Articolo scritto a quattro mani da Christian e Claudia 

NOTA PRELIMINARE: prima di leggere questo deep-dive è necessario rivedere il celeberrimo esperimento del Dr Peter Venkman...

Che cosa è WeWard?
Un'app per iOS/Android da scaricare sul proprio telefonino.

Cosa fa WeWard?
Utilizza il vostro movimento per ricompensarvi. Più camminate, più punti accumulate, più ricompense potete sbloccare.

Come guadagno?
Dopo aver accumulato un certo numero di punti, potete essere pagati cash tramite PayPal/Venmo o ricevere dei voucher per acquisti.

Ma che fico! Mi incentiva a muovermi, gratuitamente!
Sì, ti incentiva a muoverti.
No, non è gratuita.

Ma io non pago il servizio plus, la uso basic con le restrizioni!
Ceeeeerto, tutto gratis.
Il mio WannaMarcometro si sta impennando.

Il modello "a ricompensa" è il social engineering più sottile che esiste: ti convincono a pagare volontariamente e ripetutamente con i tuoi dati comportamentali più granulari in cambio di qualche dollaro al mese. Il ROI per WeWard è asimmetrico per design: il dato di geolocalizzazione + step + abitudini di una persona per un anno vale ordini di grandezza più delle ricompense erogate mensilmente agli utenti attivi.

TL;DR per chi ha 30 anni di red team experience, ma anche per chi pensa che "cammino e mi pagano, fico!"

WeWard è fondamentalmente un data broker con un wrapper di fitness app: il modello di reward (aka ricompensa) è il vettore di social engineering con cui ottengono consenso progressivo ai permessi. Il vero prodotto non sei tu: sei il tuo grafo comportamentale spazio-temporale.

Il grafo in questione è composto da layer, come una piramide; alla base c'è la superficie di raccolta dati. Il core dell'app richiede, e ottiene via consenso "necessario al servizio", cose che fanno venire i brividi:

- geolocalizzazione precisa e continua: non a spot, ma continua, anche in background, con approssimazione di un paio di metri. È necessario? Beh sì, se vuoi usare l'app e ambire alle ricompense; infatti la disabilitazione della geolocalizzazione rende tecnicamente impossibile convertire i movimenti in Wards (unità di misura di fregatura), quindi l'utente è incentivato a tenere tutto aperto. Sempre. Mannaggia a voi!
Piccolo Spazio Red Team: da una prospettiva di attaccante, conoscere posizione casa/lavoro/palestra/chiesa/clinica di una persona con cadenza giornaliera è più prezioso di un dossier OSINT fatto a mano.. Strava insegna ;)

- contatti e social graph: il sistema identifica gli "amici" che sono utenti dell'app, con lo scopo dichiarato di invitarli. In pratica: graph extraction del social network fisico dell'utente (aka glieli dai in pasto tu, come le vendite a passaparola del Folletto). La cosa buffa: i tuoi amici, i cui dati stai allegramente vendendo ad una data company, non sono stati informati, non hanno detto "ok fai pure, volentieri" e subiscono la tua scelta senza poter fare nulla per impedirlo. Con amici come te, chi ha bisogno dei nemici?

- permessi pericolosi secondo Apple/Google: l'app richiede accesso alla media library, al Bluetooth, al calendario, alla fotocamera e ai contatti. Nessuno di questi è strettamente necessario per contare passi, no? Il Bluetooth in particolare permette alla app di acquisire una miriade di dati ulteriori e apre attack surface verso wearable e dispositivi IoT in prossimità - che non si dica poi che sono gli spazzolini ad essere i cattivi della storia!

- IPbase tracker: ah, la meraviglia! Il tracker IPbase viene usato per identificare la posizione geografica tramite IP e, combinato con il GPS, costruisce ridondanza nella geolocalizzazione (impossibile evasion). Fun facts: se durante un ape da amici ti colleghi al wifi di casa ed usi il loro indirizzo IP, stai geolocalizzando anche la casa dei tuoi amici.

Se non vi siete spaventati fino a qui, aggiungo un altro layer: l'ecosistema SDK, che è il vero problema.
Perché qui sta la criticità più grave per chi conosce la supply chain del mobile advertising: gli SDK pubblicitari dichiarati includono Ironsource, Applovin, Adcolony, Unity, A4G, Bidmachine, DT Exchange, Google AdMob, InMobi, Liftoff, Meta, Mintegral, Ogury, Verve, Pangle, Line, App Prizes, Ayet Studio, MyChips, Tapjoy, Bitlabs, CPX, PrimeSurvey, TapResearch e Theorem Reach - e ho citato solo i mainstream, ma per la maggior parte di chi legge sarà solo una lista di "robe" mai sentite.

20+ entità separate, ognuna con le proprie privacy policy, ognuna che raccoglie la propria fetta dei tuoi dati. Il claim "we never sell your data" di WeWard è tecnicamente vero, ma ogni SDK è un data controller separato che ha accesso ai tuoi dati nel momento in cui renderizza un'ad o esegue attribution. Questa è l'architettura del mobile ad ecosystem, ed è by design (citerei Z nel primo capitolo di MiB, al ricevimento del messaggio degli Arquiliani, ma non vorrei essere poco educata).

La cosa interessante è che Amplitude e Firebase sono usati come analytics "non soggetti a consenso" in quanto strettamente necessari al servizio, il che significa che questi due SDK girano a prescindere dalle tue preferenze sulla privacy.

Analisi di dettaglio di WeWard, versione 8.14.2 aggiornata ad oggi 11 aprile 2026. Accanto a ciò che giudico più preoccupante c'è una faccina arrabbiata.
Accanto a ciò che giudico normale, necessario per il funzionamento dell'app e non preoccupante, c'è una faccina felice. (...esatto!)

Trovo interessante confrontare i warning presenti sui diversi store apple/google:

"Ma l'app è europea, non possono usare i miei dati senza consenso!"
Lads and Fags, il prossimo layer: ecco il modello finanziario cross-border e il KYC involontario, che rende la trama terrificante dal punto di vista di un security analyst.

WeWard è un'entità francese (WeWard SAS, SIRET 85361417000035, 111 Avenue Victor Hugo 75016 Paris) che paga gli utenti tramite PayPal e Venmo, entrambi soggetti al framework regolatorio USA (BSA, FinCEN, Bank Secrecy Act).

Purtroppo questo crea uno scenario paradossale:
- i tuoi dati personali sono sotto EU GDPR (protezione alta in teoria)
- il tuo payout finanziario passa per piattaforme soggette al diritto americano (la protezione è a seconda di chi si sveglia per primo)
- per ricevere denaro via PayPal/Venmo devi fornire identità finanziaria reale: nome legale, indirizzo, email, potenzialmente SSN/CF

Con il risultato che WeWard finisce per raccogliere due livelli di identità distinti: il profilo comportamentale (GPS, passi, abitudini, ..) e l'identità civile hard (dati finanziari per il payout). La combinazione è il target ideale per un data breach di alto, altissimo valore!

Aggiungerei un dettaglio che complica le cose: Paypal ha appena modificato unilateralmente le proprie politiche e ha deciso di utilizzare i dati in suo possesso per sviluppare un sistema automatizzato di valutazione della solvibilità, noto anche come credit scoring. Non sarà divertente vedere mutui negati a causa della vita troppo sedentaria e al conseguente rischio cardiovascolare, oppure prestiti negati a causa dell'assidua frequentazione di locali alla moda o per il troppo tempo passate a correre peri boschi dell'appennino, anziché chini sulla scrivania in ufficio a fatturare. Se aggiungo il fatto che i dati sono allegramente condivisi e venduti, non è difficile ipotizzare effetti concreti e tangibili sull'assicurazione del motorino e su perché non ti hanno risarcito le spese sanitarie di quelle cure o esami... nonostante la polizza le preveda.

A metà della piramide c'è il trasferimento cross-border, che vedo benissimo come come attack vector strutturale.
WeWard ammette che alcuni provider analytics e notification hanno server in paesi fuori UE, specificamente USA, Madagascar e UK, che non hanno ricevuto una adequacy decision dalla Commissione Europea.

Le Standard Contractual Clauses citate come remediation legale sono, dalla prospettiva di un utente finale in caso di breach in Madagascar, essenzialmente carta straccia sul piano del remedy pratico.

Ora, la maggior parte delle persone che installa questo tipo di app (una delle più famose è stata Sweatcoin) vuole solo una cosa: soldi, voucher, sconti, gift cards, insomma: la ricompensa. E sono disposti a dare i loro dati in pasto a chi può garantire loro questa ricompensa, trasformando i passi fatti in moneta.

A questo punto, compare come un pop-up della  memoria il Dr Venkman che dice "Ti sei offerto volontario, no? Ti paghiamo, non è vero?"

WeWard usa un algoritmo anti-cheat per rilevare comportamenti sospetti, come la simulazione artificiale di passi, la geolocalizzazione, la visualizzazione incoerente di ad, la falsificazione di acquisti in-app o referral. Il problema è che questo algoritmo è una black box opaca.. molto opaca!

Lo dimostra abbondantemente il pattern su Trustpilot: account bannati senza motivo apparente dopo il primo payout, con utenti che hanno ricevuto solo risposte automatiche e hanno perso mesi di dati e reward.

Come dite? Su Trustpilot ci sono solo recensioni al 80% positive?
Già.. Molte recensioni negative sono sparite, ma potete ancora vedere le 1-star più recenti.

A pensarci, questa è la exit strategy perfetta per un reward model: raccogliere dati per mesi, poi rifiutare il payout con un false positive dell'anti-cheat.
E nessun remedy legale praticabile per importi sotto $50.

Non vi sta bene?
Account terminato.

L'ultimo layer ce lo regala NowSecure, che ha rilevato nell'app permessi pericolosi, una discrepanza (in verità più di una) nella dichiarazione della privacy, raccolta di informazioni sensibili e connessioni in uscita verso server esterni non documentati, con il rischio che dati sensibili vengano esposti a terze parti non autorizzate (in caso l'app venisse usata su device BYOD).

Ho io una domanda adesso: dove camminate di più?
Cioè: cosa giustifica la ricompensa nel vostro ecosistema personale? La passeggiata fuori? Certamente. Il tapis in palestra? Il cane ogni giorno alle 22, anche se piove? Ovvio.

Ma dove passate molto del vostro tempo? Esatto, al lavoro. E magari svolgete un lavoro che vi porta a camminare abbastanza. Magari dovete passare da una parte all'altra dell'ufficio, spostarvi per andare da un posto A ad un posto B.

Se avete installato WeWard su un device che accede a VPN corporate, intranet, o email aziendali, per guadagnare $10, state potenzialmente esponendo informazioni di rete al behavioral profile di 20+ ad network. L'azienda è stata avvertita? Non farlo potrebbe riservare brutte sorprese.

Gergo tecnico: classico BYOD risk amplificato da un'app con attack surface enorme.

Per chi volesse andare più a fondo: con un'analisi del traffico con mitmproxy/Frida su un device dedicato, si evidenzierebbero quasi certamente endpoint non documentati nella privacy policy, soprattutto per gli SDK di terze parti, anche perchè sfuggono al controllo di WeWard stessa, Non che questo mitighi la sua posizione, dato che quegli SDK sono li perché WeWard li ha voluti e aggiunti alla App e non pro bono, non sono certo li per caso.

L'attuale policy è volutamente opaca sul "puoi ottenere la lista completa dei nostri processor via email", un pattern classico per evitare scrutiny automatica.

Ho udito: "ma tanto io non ho nulla da nascondere"... vero, infatti non fai nulla per nascondere il fatto che tu sia deficiente. Prego, installa WeWard, installa pure. Auguri.

Passiamo all'analisi dei Termini e Condizioni dell'app.

Contrariamente a quanto richiesto dal GDPR, parte dei contenuti dell'informativa sono annegati nel contratto che regola il servizio e, con poca sorpresa, sono dichiarazioni molto rilevanti:

1. Assenza di riservatezza sui contenuti trasmessi: Nei termini viene specificato che l'utente "riconosce e accetta di non beneficiare di alcuna aspettativa di riservatezza riguardo alla trasmissione del suo contenuto". Questo include esplicitamente informazioni estremamente personali come dati di geolocalizzazione, dati sull'attività fisica, immagini e messaggi.

2. Veridicità dei dati forniti: L'utente si impegna a fornire informazioni esatte, complete e aggiornate al momento della registrazione, ma questo impegno è a senso unico e non trova simmetria nelle promesse dell'App.

3. Divieto di manipolazione dei dati: Viene fatto esplicito divieto di falsificare i dati inviati all'applicazione (ad esempio simulando artificialmente passi, alterando i punti di geolocalizzazione o falsificando dati di attività fisica o di acquisto tramite software terzi).

Inoltre, i Termini & Condizioni  prevedono:

• Trattamento "necessario": si dichiara che l'utilizzo dei servizi comporta la raccolta e il trattamento di dati personali. Si stabilisce che, al momento della registrazione, l'utente riconosce e accetta tale trattamento in conformità alla legge applicabile e alle disposizioni dell'Informativa sulla privacy.
• Geolocalizzazione e Attività fisica: per beneficiare di alcuni servizi e ottenere ricompense (i "Ward"), è obbligatorio acconsentire alla condivisione della geolocalizzazione e al monitoraggio dell'attività fisica tramite i sensori dello smartphone o dispositivi connessi.
• Connessione tramite account terzi: se l'utente crea o collega un account utilizzando servizi di terze parti (come Facebook, Apple o Google), autorizza WeWard ad accedere ai dati del profilo necessari per la registrazione. I termini chiariscono che WeWard declina ogni responsabilità per i dati che vengono trasmessi a causa di impostazioni di riservatezza deboli scelte dall'utente su tali piattaforme esterne.

Il GDPR e le linee guida europee stabiliscono che l'informativa e le richieste di consenso per il trattamento dei dati personali debbano essere chiaramente separate e distinguibili dal resto del contratto o dalle condizioni generali di servizio. Le linee guida del Comitato Europeo per la Protezione dei Dati (EDPB) precisano che le informazioni necessarie per prendere una decisione informata non possono essere nascoste all'interno delle condizioni generali di contratto o di servizio.

WeWard parte maluccio.

Ecco l'analisi della "politica sulla protezione dei dati personali" dell'app.

In estrema sintesi, ci sono TRE BLOCCHI di trattamenti.

Il primo blocco riguarda ciò che è necessario per eseguire il contratto perché, ricordiamolo, la app eroga un servizio e, anche se non te ne sei accorto, hai firmato un contratto per attivarlo.

E qui parte subito l'embolo perché non si può proprio leggere che per eseguire il contratto è necessario il consenso. È una contraddizione in termini perché il consenso è sempre facoltativo e può riguardare solo ciò che non è necessario, sicuramente non per eseguire il contratto. Ad occhi ingenui potrebbe sembrare un errore ma è ben altro: una lucida e consapevole violazione della legge. Non siamo più all'alba dell'a privacy, il GDPR ha 8 anni, è tardino per provare a sostenere di aver frainteso ciò che chiede. 

Quanta ipocrisia c'è nella dicitura "per consentire il corretto utilizzo dell'applicazione"? In una informativa privacy, il consenso è una cosa molto specifica. N on ci viene chiesta una generica autorizzazione affiché la app possa funzionare correttamente, questo dipende dalla capacità del programmatore, non dagli utenti. Si impone un consenso obbligatorio a determinati trattamenti. PORCATA ATOMICA. Chiunque si occupi di privacy da più di un mese, sta urlando di dolore.

Subito dopo arriva la geolocalizzazione. Nei T&C pareva necessaria, qui pare facoltativa. Sarebbe bello se in WeWard faceste pace con il cervello e deste una versione univoca sulla questione. In realtà, da quello che vedo, si tratta di dati necessari solo se si vuole usare una funzione, quella delle card e delle ricompense, che poi è il motore principale e fondamentale dell'app stessa. Si, magari c'è chi la installa al solo fine di vedere un panda tra le icone, ma tutti gli altri, questa funzione la devono usare. Definirla "facoltativa" rasenta la presa per il culo.

Una chicca di questa categoria di trattamenti, necessari per eseguire il contratto è questa:

Provo a tradurlo per come suona alle mie orecchie: "ogni cosa che farai o caricherai, sarà spremuta fino all'ultimo bit. Se carichi una foto, per esempio, acquisiremo ed useremo senza vergogna qualsiasi informazione anche se nascosta o invisibile. Se non sai che il tuo telefono registra una miriade di informazioni in ogni foto, cazzi tuoi, arrangiati."

Dulcis in fundo, arriva la cosa più odiosa. Non è tollerabile che Weward inganni l'utente, ma che lo inganni in modo da indurlo a consegnare dati di altre persone è ripugnante. 

Con questo testo, coccoloso e rassicurante, si cerca di imbellettare ciò che avverrà, facendo credere all'utente che sia tutto bello e trasparente, ma così non è. Viene sottolineato più volte il concetto di controllo e consenso, peccato che WeWard "si dimentichi" di dire all'utente che quei dati non sono suoi e che lui, anche se amico, non ha alcun diritto di esprimere consenso all'uso dei dati di terzi. Ooops! Piccolo particolare omesso.

Arriva ora il secondo blocco di trattamenti, quello basato sul consenso. E qui si ride a crepapelle.

PROFILAZIONE per fini di marketing, basata sui comportamenti e sulla geolocalizzazione. Porca vacca! Vabbè, basta non dare il consenso, vero? Ma arriva spavalda una bugia che farebbe impallidire il Barone di Muenchhausen: "quando disattiva questa funzionalità ... sarà tecnicamente impossibile per noi raccogliere le informazioni relative alla sua attività fisica e alla sua localizzazione, il che impedirà il tracciamento e/o la conversione dei suoi movimenti in Ward." 

Peccato che il dispositivo (qualsiasi) possa raccogliere ed elaborare i dati necessari e passarli all'applicazione per fare ciò che dichiara di voler fare. Ma WeWard non vuole solo dar corso al contratto, vuole di più e non tollera l'intermediazione del sistema operativo perché le farebbe perdere quella massa di informazioni (dati grezzi e metadati) che veramente desidera. Per farci cosa? Beh, questa è una bella domanda che una Autorità Garante dovrebbe proprio rivolgere a WeWard.

Altro? Una fettina di culo? Sono 3 Kg, che faccio, lascio?  Ma anche di più.

Oltre a questa profilazione per uso interno, c'è poi un ulteriore consenso che spalanca alla PROFILAZIONE PER FINI DI MARKETING DI TERZI... cioè alla profilazione che WeWanrd è in grado di estrarre da ogni click, ogni scroll, ogni passo, ogni link aperto, ogni dato del dispositivi o della connessione, ogni luogo, ogni cosa e...  solo se diamo il nostro consenso, se proprio proprio lo vogliamo intensamente, darà tutto in pasto ai peggiori alligatori della plaude putrescente del marketing online.

WeWard ha ammazzato la privacy: i consensi fantasma.

Mi aspetto che, data la premessa, da qualche parte arrivino le richieste di consenso, ma parecchie perché, stando all'informativa, di consensi necessari ne ho già contati parecchi. 

Ecco, a dirla tutta, questo è il punto che più mi perplime. Ho installato la app, l'ho usata, ho avuto una xp utente completa e mai, nemmeno una volta mi è stato chiesto un consenso al trattamento dei dati personali. M A I.  Giuro che, quando ne vedo uno, lo so riconoscere e usando l'app non ce n'è nemmeno l'ombra. L'unica cosa che ho visto è una richiesta a livello di sistema operativo per attivare le notifiche (ovviamente negata) e un'altra richiesta per attivare la geolocalizzazione presentata accedendo ad una funzione che la richiede (le cards), ma è una cosa ben diversa dal chiedere il consenso in app per un trattamento previsto dall'informativa. Proseguendo nell'uso, le varie funzioni sono proposte in modo graduale e progressivo, una ogni tanto, per non dare all'utente l'impressione di essersi venduto anche la nonna. In ogni caso, sono tutte attivazioni che demandano la gestione del consenso alle scarne autorizzazioni richieste dal sistema operativo. No, cara WeWard, non si fa così. Questo significa essere marci dentro. Chiedete pure al vostro DPO e vedrete che vi deluderà, ma non sarà licenziandolo che risolverete il problema: state facendo un disastro, dichiarate nell'informativa che trattate dati sulla base del consenso, ma vi siete dimenticati di chiederlo.  Se pensate che alcune generiche autorizzazioni a livello di sistema possano avere la stessa valenza di un consenso valido, siete veramente ignoranti. Solo un coglione può pensarlo specialmente dopo tutti questi anni, dopo i pareri dell'EDPB e dopo le pronunce della corte di giustizia, anche gli idioti sanno che questa autorizzazione al S.O. non è un consenso valido perché non rispetta i requisiti specifici di granularità, libertà e informazione. E credetemi, vi sto facendo un complimento, perché l'unica alternativa è che siate in palese malafede, che è peggio.

A pensarci bene non sono solo perplesso, sono schifato dalle vostre scelte, preoccupato per la quantità di persone coinvolte, deluso dalla totale assenza di controlli!

Il terzo blocco riguarda i trattamenti effettuati sulla base del legittimo interesse e leggendolo, forse, vi devo delle scuse, probabilmente non siete in malafede... semplicemente non avete capito nulla della normativa in materia di protezione dei dati personali.

Vedo un lungo elenco di trattamenti, molti dei quali non sono affatto riconducibili al legittimo interesse, ma ad obblighi legali o all'esecuzione del contratto con l'utente. Avete sbagliato e, in questa materia, sbagliare significa mettersi in grossi guai e commettere una violazione al GDPR. Se pensate che il legittimo intesse giustifichi questi trattamenti, vorrei proprio mandarvi una richiesta di OPPOSIZIONE AL TRATTAMENTO per bloccare un o o più di questi trattamenti, cosa che chiunque può fare se la base di legittimazione è quella, e vedere la vostra faccia. Ne potrebbe uscire un fantastico meme.

Non penso che vi rendiate conto in che razza di casino vi siete messi con questa sciagurata scelta. Ecco un collage dei trattamenti fuori posto, che non hanno nulla a che fare con il legittimo interesse:

Il resto dei trattamenti che elencate sono misti, per me molti sono da ricondurre al consenso ma si potrebbe discutere. In ogni caso avete comunque calpestato ogni diritto dei vostri utenti perché nelle opzioni non vi è alcun modo ne per manifestare il consenso (opt-in - se richiesto) né per esercitare il diritto di opposizione per gli altri trattamenti (opt-out).

Per un immeritato senso di pietas mi fermo qui con l'analisi puntuale, ma non senza fare una smorfia di disprezzo vedendo l'ultimo blocco di trattamenti, quelli  relativi alle terze parti, con le quali intrecciate rapporti di malaffare. Sì, nemmeno quelli sono a norma. Si tratta di marketing, profilazione, comunicazione dati, arricchimento di dati: tutta roba che richiede uno specifico consenso degli utenti, altro che legittimo interesse!

Anche tutto ciò che segue è raccapricciante:

i trattamenti automatizzati descritti come se fossero una bella cosa e senza nemmeno citare il necessario intervento umano nelle decisioni; i trasferimenti nei paesi terzi; i tempi di conservazione discutibili e incongrui; la condivisione dei dati con una schiera di avidi destinatari; i tracker... ma si può? Questa va raccontata: fottendovene allegramente della vostra stessa dignità, affermate si non usare quei brutti e cattivi cookie traccianti... no, quelli no... voi usate gli SDK, anime candide, senza spiegare che sono infinitamente peggio, come ben spiegato sopra. In questa informativa vengono raccontate le peggiori nefandezze come se fossero regali, concessioni, affermazioni di comportamenti benemeriti e desiderabili. Non è semplicemente una vostra particolare narrazione, è prendere per il culo la gente, la legge e le autorità Garanti.

Ribadisco, se un Garante qualsiasi ci guardasse dentro, cadrebbe dalla sedia.

Asimmetrie che contano... darkpattern in omaggio per tutti!

Nel mondo della data protection, la simmetria conta molto. La semplicità con cui si può attivare un trattamento deve comportare una simmetrica facilità di disattivazione. Dare il consenso con un click implica che lo si debba poter revocare con un click. 

Se questa asimmetria manca, allora c'è un dark pattern ed una grave violazione del GDPR. Non siete d'accordo? importa poco, questa è una certezza acclarata, non c'è nemmeno bisogno di discutere.

Per attivare tutti i trattamenti ho fatto ben poca fatica: click per scaricare e via... verso l'infinito ed oltre, senza alcuna richiesta di consenso che possa rallentare il fantastico funnel, senza intoppi, tutto liscio come l'olio.

Al contrario, per cancellare l'account è necessario trovare la funzione (abbastanza annidata e posta come ultima cosa dopo uno scroll notevole), superare l'aspetto minaccioso della funzione, superare un banner di avvertimento decisamente allarmato, confermare la propria scelta scrivendo con caratteri maiuscoli CANCELLA. Per attivare l'autodistruzione della USCSS Nostromo servono meno passaggi.

Volendo ignorare per un attimo tutta la questione dei consensi fantasma illeciti, quelli che dovreste chiedere e che, forse per farci un favore, date per scontato senza sottoporci alcuna fastidiosa scelta, c'è una grossa asimmetria rispetto alla loro gestione o modifica.

Nell'informativa, WeWard scrive:

"Potrà revocare il suo consenso in qualsiasi momento contattandoci all’indirizzo e-mail indicato alla fine della presente Politica o direttamente dalle impostazioni dell’Applicazione Mobile."

Hem., hem, qui qualcosa deve essere andato storto. Mandare una email? Nulla di meno probabile, occorrerebbe qualificarsi, dare prova della propria identità, spiegare bene quale consenso si intende revocare. Diciamo che non è proprio una procedura semplice ed alla portata di tutti e le tempistiche non sono certo incoraggianti. 

Per fortuna è prevista una impostazione direttamente nell'App. Si, buona quella. 

Intanto è annidata in un labirinto e occorrono 5 TAP per raggiungerla: TAP Applicazione, TAP Area utente, TAP Rotella impostazione, TAP Privacy, TAP Modifica i miei consensi.

Superato questo ostacolo comunicativo (un vero Dark Pattern) si può trovare un'impostazione che, però, non funziona. Clicchi e non fa nulla. Che sorpresa! Un Bug? Nulla di intenzionale? Si, certo, come no, l'importante è crederci. Per fortuna, questo scempio lo vedranno solo i quattro gatti che si interessano della propria esistenza digitale. Speriamo che non venga mai portata all'attenzione di una Autorità Garante qualsiasi, sarebbe proprio una tragedia. Acciderbolina, che disdetta.

Ragazzi, non usavo questa app, non sono il genere di persona che si prostituisce per quattro noccioline, non vi conoscevo. Ora che l'ho fatto, ho una sola cosa da dirvi: farò di tutto per far sapere alla gente ciò che dovreste spiegare voi.

NOTA CONCLUSIVA: Se usi WeWard ... ora puoi "incazzarti a morte!"

Su questo blog ci sono altri 193 articoli. Esplora, cerca, curiosa in giro...

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.

Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.

Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è si... allora una birra virtuale è d'obbligo!