Qualche giorno fa ho acquistato un nuovo telefono. Dopo anni con Apple, ho deciso di dare una 'chance' ad Android e, per una cifra decisamente modica rispetto ai prezzi stellari degli smartphone americani, ho optato per uno Xiaomi. Quando è arrivato il momento di attivare il mio nuovo telefono 'made in China', mi è stato chiesto di accettare la 'policy' sulla privacy. Prima di quel momento non mi ero mai soffermata a leggere i termini e le condizioni di utilizzo di un prodotto digitale. L'impazienza di iniziare a fruire, ha sempre avuto la meglio sull'impegno necessario per leggere tutte quelle pagine dall'aria così tecnica e trascurabile. Questa volta, però, ho deciso di dare una rapida scorsa, giusto per capire sommariamente a chi stavo dando accesso ai miei dati personali, e per cosa. E' iniziato, così, un viaggio inquietante nei meandri dell'utilizzo della mia 'identità on line', che mi ha spinta ad approfondire la materia oltre quel documento iniziale. Quel che ho scoperto è rilevante per chiunque si serva di uno smartphone Xiaomi, disponga di un account Gmail o, più banalmente, si serva di Google per le sue ricerche on line. Tutti dovrebbero conoscere in modo trasparente dove vanno a finire le loro informazioni personali, come vengono utilizzate e a che scopo. Per prima cosa, quando diamo l'ok a qualsiasi 'policy sulla privacy', stiamo acconsentendo al trattamento delle nostre informazioni personali, ovvero alla loro utilizzazione, divulgazione ed elaborazione. Ma cosa si intende per 'informazioni personali'? Ce lo dice chiaramente il Regolamento generale europeo per la protezione dei dati (Gdpr): "Qualsiasi informazione riguardante una persona fisica identificata o identificabile". Xiaomi le definisce come "tutte le informazioni che possono essere utilizzate per identificare direttamente o indirettamente un individuo, sia tramite l'uso di tali informazioni, sia tramite l'uso di altre informazioni combinate a cui Xiaomi ha accesso a riguardo di tale individuo". Ora, prima di addentrarsi nel merito, il documento premette che ogni utente ha il diritto di scegliere se fornire o no le proprie informazioni, ma che, qualora negasse il consenso, l'azienda potrebbe non fornirgli più prodotti e servizi. In altre parole, se non offriamo in pegno la nostra identità on line, l'utilizzo del prodotto ci resta precluso. Fatta questa premessa, la policy prosegue dettagliando le informazioni raccolte dall'azienda. Niente è escluso: dal nostro personal ID, alle informazioni sul display, passando per la posizione precisa o approssimativa (ciò comprende: regione, codice di avviamento postale, codice di rete mobile e identità della 'cella'...). Di più, qualora l'utente utilizzi i servizi di vendita Mi.com, la Xiaomi si riserva il diritto di raccogliere le informazioni riguardanti il numero di carta di credito, numero di conto corrente bancario, nome del titolare del conto, indirizzo e-mail, indirizzo di consegna, ordine e dettagli di fatturazione. Inoltre, qualora venga creato un account (necessario ai fini dell'attività on line), i database dell'azienda avranno accesso a titolo professionale, datore di lavoro, formazione e "altre informazioni relative alle tue attività sociali". Tutte queste informazioni su di noi vengono archiviate nei 'data center' di Xiaomi (che si trovano in Cina, Russia, India, Stati Uniti e Germania) e servono all'azienda e ai suoi partner per finalità esplicite: il miglioramento dei servizi offerti dalla piattaforma stessa (secondo uno schema sdoganato da Google all'inizio degli anni 2000) e a fini di marketing. Ogni utente viene quindi individuato come possibile cliente, al fine di indirizzargli una pubblicità targettizzata, cioè su misura per lui, sulla base delle informazioni precedentemente condivise con Xiaomi. Leggiamo, infatti, sull'informativa: "Al fine di condurre con successo operazioni commerciali e fornire tutte le funzioni dei nostri prodotti o servizi, potremmo condividere le informazioni personali di volta in volta con altre affiliate di Xiaomi". A differenza di Google, che è diventato il 'monopolista' delle informazioni private on line grazie alla vendita dei dati personali dei suoi utenti agli inserzionisti, Xiaomi afferma di non vendere i dati che raccoglie, ma di condividerli gratuitamente con i suoi partner: "A volte", recita la 'policy', "potremmo condividere le tue informazioni personali con terze parti al fine di fornire o migliorare i nostri prodotti o servizi, compresa l'offerta di prodotti o servizi in base alle tue esigenze". Le 'terze parti' in questione sono un centinaio di aziende e brand facenti parte dell'universo Xiaomi, raccolte all'interno del gruppo 'Mi Ecosystem'. Alcune di queste società hanno venduto il proprio marchio a Xiaomi, mentre altre hanno mantenuto il proprio. Ma la dinamica non cambia: tutte le informazioni personali estrapolate dagli utenti vengono ricondivise all'interno del gruppo per rendere il sistema di vendita sempre più performante e 'targettizzato'. La 'policy' tiene a precisare che la miriade di dati personali raccolti servirà "a fini legittimi e conformi alle legislazioni in vigore nelle diverse regioni". Tuttavia, in talune condizioni, Xiaomi si riserva il diritto di divulgare le informazioni personali degli utenti. Le condizioni sono: "Rilevamento, prevenzione e risoluzione di frodi, uso non autorizzato del prodotto, violazioni dei nostri termini, o politiche e altre attività dannose o illegali" non meglio specificate. Infine - e questo forse è l'aspetto più preoccupante - accettando la policy sulla privacy autorizziamo Xiaomi a utilizzare e divulgare le nostre informazioni personali senza il nostro consenso (e senza che nessuno ci informi quando o nel mentre ciò avviene), sempre "se ciò è previsto e solo nella misura in cui è consentito dalle leggi sulla protezione dei dati applicabili". All'interno dell'Unione europea, la norma vigente in questi casi è il 'Regolamento generale sulla Protezione dei dati' (Gdpr), divenuto operativo dal 25 maggio 2018. Il testo del regolamento ha introdotto diverse novità in termini di tutela della privacy, le quali, almeno sulla carta, dovrebbero arginare lo strapotere delle aziende che raccolgono e utilizzano i dati personali degli utenti. Purtroppo, diversi studi hanno dimostrato che l'impatto del Gdpr nelle vite quotidiane di milioni di persone è, in realtà, minimo. Nel novembre 2019, l'esperto in 'Big Data' e fondatore dell'agenzia 'IntoTheMinds', Pierre-Nicolas Schwab, ha dimostrato che il numero dei reclami inviati all'Autorità per la Protezione dei dati nel 2018 era di appena 3 segnalazioni ogni 10 mila abitanti e che, in alcuni casi, come in Grecia e in Irlanda, il numero dei reclami è persino diminuito dopo l'introduzione della nuova normativa Ue di regolamentazione. Studi come quello condotto da Schwab dimostrano come, in materia di privacy e Big Data, i passi da compiere verso regole più giuste e democratiche siano ancora enormi, anche all'interno dell'Unione europea. E il fatto che nessuno (o quasi) legga davvero le 'policy della privacy' rivela una grave mancanza di consapevolezza da parte degli utenti in merito ai rischi che corrono svendendo la propria identità on line.