Questo articolo è stato pubblicato da questo sito
Tra le impostazioni di default dei nostri smartphone ce n’è una che sicuramente conosciamo bene: l’accesso alle reti wifi quando siamo fuori casa. Appena entrati in un luogo, oppure semplicemente all’interno del raggio d’azione di una rete internet pubblica o privata, i nostri smartphone cercano di collegarsi a qualsiasi rete wifi per permetterci di navigare.
Una funzione utile in alcuni casi, ma un dettaglio non di poco conto. Alla Milano Games Week, fiera dedicata al gaming e agli esport, che si è tenuta dal 25 al 28 novembre a Fiera Milano Rho, all’entrata dei padiglioni è apparso un cartello che diceva “area sottoposta a rilevazione wifi”. Recitando l’articolo 13 del regolamento europeo sulla protezione dei dati, il Gdpr, l’ente fieristico Fiera Milano informava i visitatori che i dispositivi con wifi acceso sarebbero stati rilevati dal sistema di acquisizione dei segnali “in forma aggregata ed anonima per finalità statistiche”, ovvero per rendere noto alla società il numero totale dei visitatori all’interno dei padiglioni.
Agli appassionati di gaming, oltre a quel cartello però non è stato detto molto altro. Eppure l’informativa sul trattamento dei dati personali è un adempimento ben preciso, con contenuti tassativi che vincolano il titolare del trattamento, in questo caso l’ente fieristico. “In Fiera Milano il cartello ha la funzione di informativa sintetica”, dice a Wired Christian Bernieri, data protection officer e consulente privacy, che si è accorto del cartello e ne ha pubblicato una foto su Twitter. “È previsto che l’informativa possa essere solo un accenno, come accade nei casi di sistemi di videosorveglianza, ma necessita di una versione estesa e completa che non è stata pubblicata”, aggiunge. Bernieri fa riferimento al fatto che Fiera Milano riconduca i visitatori a prendere visione di una informativa sul proprio sito web, che però non è presente. Wired ha richiesto spiegazioni in merito, ma l’ente non ha rilasciato dichiarazioni. Un problema, visto che “quel cartello non è un adempimento sufficiente, e quindi il trattamento dei dati acquisiti risulta illegittimo rispetto agli obblighi del Gdpr” aggiunge Bernieri.
Dati personali
Captare il segnale wifi emesso dai nostri smartphone è infatti come raccogliere un dato personale, che quindi dev’essere trattato secondo quanto impone il Gdpr e soprattutto richiesto alle persone dietro un consenso esplicito, libero ed espresso in modo inequivocabile. “A differenza di una videocamera, i dispositivi per acquisire i segnali wifi o bluetooth possono essere invisibili, mascherati dietro a pannelli. Sono dispositivi specializzati che, grazie alla triangolazione e analisi del segnale, permettono di localizzare con notevole precisione uno smartphone e, quindi, una persona che lo porta con sé”, commenta Bernieri.
Per questo motivo, secondo l’esperto, “non basta dire “se sei d’accordo spegni il wifi” (come scritto nell’informativa sintetica, ndr), e non è possibile nemmeno dire al visitatore che varcando la soglia acconsente al trattamento del segnale wifi”. Sarebbe infatti necessario che ogni persona che si appresta a varcare la soglia per visitare una fiera manifestasse liberamente il proprio consenso, per esempio cliccando su qualcosa esattamente come succede quando acconsentiamo alla profilazione da parte dei cookie sui siti web. Nel contesto di Fiera Milano un consenso simile è difficile da immaginare, ma “è solo una tra le tante possibili basi di legittimazione. Si potrebbero utilizzare altre possibilità come il contratto o il legittimo interesse, che pongono comunque degli ostacoli per poter legittimare il trattamento dei dati personali ma perlomeno sono più praticabili”, commenta Bernieri.
Nel cartello apposto all’entrata dei quattro padiglioni interessati dall’evento della Games Week si parla poi di trattamento di dati “acquisiti in forma aggregata ed anonima”, ma anche in questo caso c’è un’incongruenza perché “per aggregare i dati bisogna prima raccoglierli, ed è in questa fase che nasce il problema. È in quel momento in cui si trattano i dati personali. Nella mia esperienza posso dire che anonimizzare un dato è una delle cose più difficili nel mondo della data protection” afferma Bernieri. Molto probabilmente l’ente fieristico non ha intenzione né interesse ad associare il dato del segnale wifi, un dato univoco per ogni smartphone, a una persona precisa. Ciò che però conta è che è tecnicamente possibile farlo.
“È certamente possibile seguire un singolo Wi-Fi, distinguendolo da tutti gli altri. Un’informazione che vale molto di più di quanto sembri, specialmente se messa in relazione ad altri dati come il passaggio di carte di credito per i pagamenti presso gli stand o la registrazione delle videocamere nei padiglioni”, aggiunge Bernieri. Per una fiera sapere se i visitatori hanno prestato più attenzione a un padiglione sarebbe un’informazione preziosa che potrebbe cambiare il listino prezzi sottoposto agli espositori in futuro. Che il sistema sia invece pressoché inutile al conteggio dei visitatori risulta chiaro, poiché banalmente non tutte le persone hanno con sé uno smartphone oppure ne hanno più di uno. A questo scopo poi potrebbe essere utilizzato il semplice conteggio dei biglietti venduti, nominativi e quindi univoci. Bernieri reputa il “trattamento illegittimo per assenza di informativa, per trattamento eccedente rispetto alle finalità e per assenza di un consenso valido”. Fiera Milano non ha risposto alle domande di Wired prima della pubblicazione di questo articolo.
