Daniele Lonardo – Fare attività fisica in solitaria è, per alcuni soggetti, difficile e poco stimolante. Perché, allora, non condividere on line foto, video, dati sui propri allenamenti o i risultati raggiunti durante le sessioni sulle app di Social fitness o, più in generale, sui social network? Una consuetudine che sta diventando sempre più popolare grazie all’utilizzo dei moderni smartphone o dei braccialetti fitness (cd. fitness trackers) ma che, tuttavia, cela risvolti inaspettati e potenzialmente pericolosi, soprattutto dal punto di vista della privacy degli utenti fino a minare la sicurezza nazionale.

Dopo il caso Strava esploso a gennaio di quest’anno– quando l’omonima piattaforma è stata accusata di raccogliere e trattare i dati satellitari, nello specifico i dati di geo-localizzazione, per mappare i movimenti degli utenti e permettere loro di condividere (pubblicamente) le sezioni di jogging, le calorie bruciate e i chilometri percorsi on line – è esploso, di recente, un caso simile: nel mirino sono finiti i dispositivi connessi Polar, l’app Flow e le mappe Explora.

In un’inchiesta condotta dalla testata olandese De Correspondent[1] e dal sito investigativo Bellingcat[2] si legge come l’app Flow “permetta a chiunque di risalire al nome utente e all’indirizzo di centinaia di militari e membri di agenzie d’Intelligence”. Nonostante la puntuale smentita da parte delle società coinvolte, i rischi in ambito privacy sono cogenti e non possono essere sottovalutati.

I dati di geo-localizzazione, infatti, sono particolarmente idonei a fornire indicazioni con riferimento alle abitudini di vita dell’interessato: tramite i suoi spostamenti è possibile dedurre il luogo di lavoro o l’indirizzo di residenza oltre a poter circoscrivere i suoi centri di interesse, occasionalmente o costantemente frequentati ed idonei a rivelare, talvolta, credenze religiose o orientamenti sessuali.

Il recente Regolamento europeo in materia di protezione dei dati personali (Regolamento UE n. 679/2016) include i dati relativi all’ubicazione all’interno della categoria dei dati personali meritevoli, pertanto, di una tutela giuridica rafforzata.  L’Articolo 4, infatti, definisce “dato personale” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Nel caso dell’app Polar, l’inchiesta giornalistica ha permesso di identificare il possibile indirizzo di residenza di alcuni utenti facendo leva da un lato sulla loro superficialità (ad esempio nel caso in cui l’utente si sia registrato alla piattaforma usando il suo nome e cognome e non celandosi dietro un nome utente fittizio) e, dall’altra, utilizzando la stessa applicazione online che, per ogni utente registrato, permetteva di visualizzare l’attività fisica effettuata quando quest’ultimo l’aveva condivisa pubblicamente attraverso la mappa Explore, che lo geo-localizzava. A seguito dello scandalo, la società finlandese ha negato eventuali fughe di dati ma, in via precauzionale, ha sospeso temporaneamente la funzione Explore impegnandosi nella realizzazione di nuovi “tool” per migliorare la privacy degli utenti.

Il Garante privacy italiano, con riferimento alle app mobile ha evidenziato come il primo strumento per tutelare la propria privacy on line sia la consapevolezza suggerendo, prima di procedere con l’istallazione, di capire quanti e quali dati verranno raccolti e come saranno utilizzati. Suggerisce, ad ogni modo, di non installare applicazioni che richiedono dati non necessari rispetto alle finalità offerte, di prestare particolare attenzione alla fonte di provenienza delle app (alcune delle quali possono nascondere malware) e, attraverso l’analisi della Privacy policy, capire per quanto tempo verranno conservati i propri dati personali e se tali dati possono essere condivisi con soggetti terzi per finalità commerciali o di altro tipo.  Ad esempio, nel caso delle app di fitness, potrebbe essere sufficiente attivare la funzione giroscopio anziché la raccolta di dati forniti dal servizio di geo-localizzazione.

Da ultimo, uno studio condotto dalla Princeton University dal titolo “PinMe: tracking a smartphone user around the world”[3] ha sollevato ulteriori criticità: secondo i ricercatori, per riuscire ad identificare la posizione di un soggetto (anche senza GPS attivo) basterebbero i dati raccolti dai sensori dello smartphone, quali ad esempio l’accelerometro, il giroscopio, il barometro, il magnetometro, l’altimetro e l’orologio e, nell’arco di tempo necessario ad effettuare dodici svolte (ad esempio con l’automobile), sarebbe possibile individuare il luogo esatto dove si trova il proprietario dello smartphone.

[1]https://decorrespondent.nl/8480/this-fitness-app-lets-anyone-find-names-and-addresses-for-thousands-of-soldiers-and-secret-agents/260810880-cc840165

[2] https://www.bellingcat.com/resources/articles/2018/07/08/strava-polar-revealing-homes-soldiers-spies/

[3] https://arxiv.org/pdf/1802.01468.pdf