Così il tuo TV ti traccia: come l'Hbb TV viola la privacy e il GDPR
La maggior parte dei canali televisivi non rispetta la privacy degli utenti, in alcuni casi violando in maniera palese il Regolamento Generale per la Protezione dei Dati Personali (il GDPR) europeo, ha evidenziato una ricerca condotta dall’azienda di sicurezza informatica Sababa Security in collaborazione con l’Università di Twente e LP Avvocati.
Tali violazioni coinvolgono la tecnologia Hybrid broadcast broadband TV (Hbb TV). I TV che la supportano possono proporre all'utente servizi interattivi. Per esempio, la possibilità di far ripartire dall'inizio una trasmissione o di accedere a ulteriori contenuti appartenenti ad altri canali della stessa emittente.
I problemi riscontrati dalla ricerca riguardano soprattutto la personalizzazione degli annunci pubblicitari anche senza il previo consenso esplicito dell’utente e la difficoltà di revocare tale consenso in qualunque momento. I canali studiati, inoltre, includono pixel di tracciamento trasparenti (invisibili all’occhio nudo) che controllano se l’utente sta ancora guardando il canale oppure no.
Si tratta di pratiche poco trasparenti e che coinvolgono almeno il 70% dei canali studiati, secondo Alessio Aceti, amministratore delegato di Sababa Security.
Come si è svolta la ricerca
La ricerca di Sababa Security si è svolta fra febbraio e maggio 2021. La società ha analizzato 16 canali italiani, tedeschi e francesi, di cui nove italiani: Rai 1, Canale 5, La7, Radio Kiss Kiss, RDS, Real Time, RTL, Spike e Sportitalia. È stato scelto un canale per ciascuna emittente: la politica sulla privacy applicata da Rai 1, per esempio, è equivalente a quella di tutti gli altri canali Rai e così via per ognuno dei principali broadcaster.
L’analisi è stata effettuata in due modalità.
Nel primo caso, i ricercatori si sono messi nei panni di un utente comune e quindi hanno valutato vari casi di uso reale. Per esempio, hanno provato a non accettare l’informativa e a registrare se l’emittente proponeva ugualmente pubblicità personalizzate; oppure hanno accettato l’informativa e poi hanno provato a revocare il consenso studiando le impostazioni disponibili direttamente sul TV e i siti ufficiali.
Nel secondo caso, usando una TV basata su Android, i ricercatori sono andati più a fondo e, dopo aver acquisito i privilegi amministrativi del dispositivo, hanno intercettato il traffico che veniva trasmesso verso l'esterno per comprendere che tipo di dati venivano inviati e a quali indirizzi.
In alcuni casi i dati erano cifrati e i ricercatori hanno svolto un'operazione di ingegneria inversa per comprendere che informazioni erano trasmesse.
I risultati
I risultati della ricerca hanno dimostrato che la maggior parte dei canali mostra connessioni ad almeno un servizio di tracking prima ancora che l'utente abbia la possibilità di decidere se accettare o meno l’informativa sul trattamento dei dati.
C’è di più. Oltre metà dei canali studiati sfrutta pixel di tracciamento, che permettono di tracciare il comportamento dell’utente caricando un’immagine piccolissima (un pixel per un pixel) quando l’utente visita una pagina web o apre un determinato contenuto. Nella maggior parte dei casi indagati è difficile, se non addirittura impossibile, revocare il consenso all’utilizzo di questa tecnologia.
Alcuni canali si sono comportati meglio di altri, sebbene tutti abbiano mostrato lacune (in alcuni casi gravi) sul fronte della protezione dei dati personali. Sportitalia, Real Time e l’ecosistema Mediaset hanno mostrato un'attenzione maggiore, sebbene comunque incompleta, verso la privacy, ha riferito Aceti.
"Alcuni sono disastrosi: manca l’informativa sulla privacy, non si può revocare il consenso o non sono onesti su quanti cookie raccolgono" commenta Aceti, che però non vuole puntare il dito contro una singola emittente perché ritiene che tali cattive pratiche siano intrinseche nell’industria, che solo da poco tempo ha dovuto fare i conti con i cookie e altre pratiche più vicine al mondo di Internet.
"Non è fatto in maniera voluta" sostiene. "È la tecnologia che non è familiare per il broadcaster mentre, per esempio, Netflix nasce così, mandando i contenuti via Internet".
Una giustificazione - quella del recente approccio alla trasmissione via Internet - che però scricchiola, soprattutto perché 1) in molti casi si parla di grandi aziende e 2) alcune di queste propongono piattaforme on demand, che quindi prevedono la raccolta dei cookie e altre pratiche di gestione dei dati personali degli utenti. Grandi aziende che, però, lavorano per compartimenti stagni, fa notare Aceti: per cui, chi lavora sulla piattaforma on demand non viene messo in grado di condividere la sua esperienza con chi si occupa dell’integrazione della tecnologia Hbb TV.
Al momento non è stata fatta una segnalazione al Garante per la protezione dei dati personali italiani. "Di questo aspetto se ne sta occupando l’Università di Twente" specifica Aceti.
L’utente che può fare?
La situazione, insomma, è grave, soprattutto perché un TV, in qualità di dispositivo storicamente presente nelle case, fa riferimento anche agli utenti meno avvezzi ai cambiamenti del digitale e che, perciò, difficilmente conoscono i loro diritti in materia di privacy.
Eppure, l’utente sembra non poter fare niente: revocare il consenso è molto difficile e tanti, probabilmente, finiscono per desistere; e non accettare può comunque portare alla profilazione.
"L’unica cosa possibile oggi è non guardare la TV" ammette con amarezza Aceti.
Lo scopo della ricerca di Sababa Security non è puntare il dito contro le emittenti, che sono comunque colpevoli di un'integrazione lacunosa, ma di far crescere la sensibilità degli utenti verso i dispositivi sempre più eterogenei che raccolgono dati personali.
"Vogliamo spiegare che qualunque cosa digitale contiene dati e traccia il comportamento delle persone" spiega Aceti. "Volevamo sensibilizzare gli utenti sul fatto che non è solo il PC o lo smartphone a tracciare i loro comportamenti, ma sono molti di più i dispositivi che lo fanno; quindi ne va fatto un uso consapevole".