Ita

DK10x27 - LinkedIn, la spia

LinkedIn raccoglie segretamente dati sensibili ogni volta che ci colleghiamo.  Perché? Cosa ci fa? A chi li rivende? È ora dif ar capire a Big Tech che non può fare quel che vuole.

dataKnightmare

dataKnightmare

6 min read
Share
DK10x27 - LinkedIn, la spia
Photo by Chris Yang / Unsplash

Ascolta l'episodio su Spreaker.com

Il guaio di cominciare a dubitare che i cantori a gettone della tecnologia non te la raccontano giusta, è che poi ti accorgi che hai ragione, ogni santo giorno, a volte più di una volta al giorno.

Sigla.

Non so voi, ma io appena mi segno una notizia su cui fare un episodio, prima ancora che inizi a scriverlo invariabilmente ne saltano fuori altre tre o quattro. E questo senza contare che ogni tanto salto un episodio. Il Buddha ci insegna che la conoscenza è dolore, e anche solo a leggere le notizie c'è così tanto di cui imbufalirsi, ogni santa settimana, che a volte viene voglia di lasciar perdere tutto e abbandonarsi a una vita di felice inconsapevolezza.

Salvo che poi, in un momento di razionalità ritrovata capisco che la vera scelta non è fra mille scandali e scegliere di non sapere, ma vedere gli scandali per ciò che sono: manifestazioni locali di un problema diffuso.

Questo mi permette di non sprecare tempo a scandalizzarmi per:

  1. META che interferisce nelle elezioni europee, come abbiamo appreso ieri da Report e Il Fatto Quotidiano (anche se c'era già il precedente della Brexit)
  2. LinkedIn che profila gli utenti in modo illecito
  3. Microsoft e Anthropic che, in una pausa dallo hype incessante sulle meraviglie future dell'AI, scrivono nei termini d'uso che i loro modelli linguistici sono "solo per intrattenimento"
  4. il sistema della cosiddetta "pubblicità profilata" riciclato come strumento di sorveglianza che erode ogni garanzia costituzionale
  5. chatGPT, che come tutti i modelli linguistici non sa fare di conto, usato dal Dipartimento della Difesa statunitense nell'analisi dei dati di test nucleari
  6. openAI che supporta una proposta di legge per limitare la responsabilità in caso di disastri finanziari o morti di massa resi possibili dall'IA.

Riesco ad astrarre da tutto questo rumore e a passare a una prospettiva più ampia.

In sintesi, i cosiddetti "social", le cosiddette intelligenze artificiali, la cosiddetta "economia dei dati" li considero per quello che si sono rivelati essere, a prescindere dalle intenzioni con cui potrebebro essere stati lanciati: prodotti tossici da bandire completamente.

Per sintetizzare la sintesi: Big Tech delenda est.

pausa

Detto questo, oggi parliamo di una cosa precisa: secondo una ricerca di FairLinked, una non-profit europea di utenti commerciali di LinkedIn, LinkedIn pratica una profilazione illecita degli utenti. Cito dall'articolo di TheNextWeb

...ogni volta che visiti LinkedIn con un browser basato su Chrome, una routine JavaScript nascosta analizza silenziosamente il tuo browser alla ricerca di oltre 6.000 estensioni installate, raccoglie 48 caratteristiche hardware e software relative al tuo dispositivo, crittografa l’impronta digitale risultante e la allega a ogni richiesta API che effettui durante la sessione. Questa pratica, denominata "BrowserGate" dai ricercatori, non è menzionata nell'informativa sulla privacy di LinkedIn. LinkedIn sostiene che si tratti di una misura di sicurezza; i critici sostengono invece che si tratti di una sorveglianza occulta su scala industriale del comportamento di navigazione di un miliardo di utenti.

pausa

Ok, prima dei dettagli cerchiamo di capire quanto e perché questa è una violazione spaventosa. LinkedIn non è un sito qualsiasi: Lasciate stare che negli ultimi anni è diventato una specie di Instagram da megaditta fantozziana, LinkedIn è il sito che raccoglie le esperienze lavorative di quasi tutti e al quale quasi tutti si rivolgono per cercare e offrire lavoro.

È il sito dove il tuo CEO va per fare il figo, dove il tuo marketing va a fare il grosso, e soprattutto dove il tuo HR va a vedere se magari stai dando una rinfrescata al tuo profilo o possono cavarsela anche quest'anno senza darti un aumento mentre.

Questo per dire che LinkedIn non è un qualsiasi sito di quotidiano che profila visitatori sconosciuti: LinkedIn profila gente che conosce per nome, cognome e impiego e su cui ha già una quantità enorme di dati personali.

Analizzare le estensioni installate nel browser non è una cosa innocente, specie se si considera che LinkedIn controlla la presenza di oltre 200 prodotti che sono suoi concorrenti, fra cui Apollo, Lusha, ZoomInfo. LinkedIn vuole sapere quali aziende usano i prodotti dei suoi concorrenti, e già questa cosa non è, diciamo, carina.

Ma naturalmente non basta ancora, LinkedIn controlla se nel browser del visitatore ci sono:

  1. estensioni per l'accessibilità, usate tipicamente da persone con problemi visivi, uditivi o motori;
  2. estensioni per persone neurodivergenti
  3. estensioni legate a formazioni politiche e pratiche religiose;

Questi non sono soltanto dati personali, sono dati sensibili, che LinkedIn può raccogliere e trattare esclusivamente dopo aver raccolto un consenso libero, specifico, informato e inequivocabile, che ovviamente non ha.

E poi, che cosa ci fa LinkedIn con queste informazioni extra?
Non ci vengano a parlare di sicurezza o tutela dalle frodi perché qui non siamo scesi da un albero di banane.

A meno di avere le fette di prosciutto sugli occhi, i soli scopi per un trattamento del genere sono due:

  1. acquisire informazioni riservate sulla propria concorrenza, e
  2. costruire profili arricchiti con dati sensibili da rivendere ai soliti "partner selezionati" qualsiasi.

Parliamoci chiaro: LinkedIn raccoglie questi dati per profilare i propri utenti senza consenso. Questo è un fatto, non un'opinione, e questo fatto è sanzionabile dal GDPR e dal DMA.

A questo punto cominciano i dettagli divertenti. A termini di GDPR, un'informativa incompleta o assente ricade, assieme ai trattamenti effettuati senza una base giuridica, nelle violazioni dei principi del GDPR, che vengono punite con sanzioni fino a 20M€ o il 4% del fatturato annuo globale, mentre per esempio, misure di sicurezza inadeguate sono sanzionabili fino a 10 milioni e il 2%.

Questo perché la sicurezza va bilanciata con i costi e la sua adeguatezza si valuta solo a posteriori di un data breach, mentre scegliere per un trattamento la base legale sbagliata, o non sceglierla del tutto, omettere un trattamento dall'informativa, sono cose che il responsabile del trattamento fa in piena libertà e consapevolezza.

Detto in parole semplici: puoi fare il piagnisteo sui costi della sicurezza e gli hacker cattivi, ma sui trattamenti che tu, in totale autonomia, hai scelto di effettuare, non hai scuse. Se l'informativa è parziale, scorretta, o non c'è, sei sanzionabile; se tratti i dati in modo illecito, cioè senza una base legale corretta, sei sanzionabile.

Questo, in teoria. Perché il problema del GDPR è di essere leggibile, comprensibile e valido in tutta l'Unione. Motivo per cui in Italia invece di adottarlo e basta, ci siamo inventati il Codice Privacy che è un mix fra la legge che c'era prima e il GDPR, più una massa di articoli che servono solo a introdurre dei distinguo inutili. Sul tutto sono poi intervenuti tre successivi decreti legislativi che hanno ulteriormente confuso le cose.

Ragion per cui, oggi, in Italia, l'omessa informativa non è più sanzionata, e l'illecito trattamento lo è solo se "arreca nocumento all'interessato".

Ora, posto che uno che anche solo pronuncia la parola "nocumento" dovrebbe scontare da sei mesi a due anni come lavapiatti in un ristorante cinese, senza condizionale, io vorrei chiedere all'italico legislatore:

come minchia dovrei fare per sapere se sono stato danneggiato da un trattamento dei miei dati personali di cui non sono mai stato informato?

In compenso l'Irlanda, sotto la supervisione del cui garante ricadono sia LinkedIn, che tutto il resto del settore tech statunitense, quando si tratta di sanzioni è da sempre il labradoodle di Big Tech.

Ecco perché un merdaio delle dimensioni di questo creato da Linkedin, secondo me, va portato il più in fretta possibile di fronte al Consiglio Europeo dei Garanti e, soprattutto, va sanzionato senza alcun riguardo. Io voglio vedere le seguenti cose:

  1. LinkedIn sanzionato senza se e senza ma per il 4% del fatturato mondiale dell'ultimo esercizio;
  2. il dettaglio completo di cosa è stato fatto con quei dati, incluso l'elenco completo di chi li ha acquistati o comunque acceduti;
  3. la distruzione di tutti i dati raccolti illegalmente.

Ci vorranno anni? Certo che ci vorranno. Perché l'Unione di fronte alle aziende USA si sta calando le brache da decenni, e con particolare convinzione da quando è arrivato il GDPR prima e il Digital Compact poi.

Il punto è che la calata di brache non è più accettabile. Dopo che gli Stati Uniti da un quarto di secolo scatenano guerre e conflitti armati che danneggiano solo l'Unione, dopo che Trump ha imposto sanzioni alla Corte Penale Internazionale per aver fatto il proprio lavoro con il genocida Netanyahu e il suo ministro Gallant, cos'altro serve perché il Parlamento Europeo e la Commissione capiscano che l'obiettivo degli Stati Uniti è la demolizione, economica e politica, dell'Unione? Chiedo per un amico.

Giuro che se sento ancora un AI bro nostrano che blatera a vanvera degli Stati Uniti che favoriscono l'innovazione e dell'Unione che la penalizza, dò in escandescenze. Gli USA non favoriscono l'innovazione, favoriscono la costituzione di imperi economici a prescindere dalle conseguenze sociali e ambientali. L'Unione, inveceo, prima di considerare qualcosa come "innovativo" vuole essere sicura che non crei più danni, sociali o ambientali, di quanti problemi risolve. Tutto qui.

Cominciate a segnarvi questa storia di LinkedIn. Non è strano che sia sparita dalle cronache?

E quando sentite parlare di riforme delle nostre leggi sul digitale, chiedetevi: a chi servono? Perché, per esempio, un passaggio più rapido di consegne da un Garante nazionale al Consiglio Europeo dei Garanti, una velocizzazione e un inasprimento delle pratiche sanzionatorie contro i grandi attori economici, servono a tutti noi. La depenalizzazione dei reati nel GDPR, nell'AI Act, nel Digital Markets Act eccetera, ecco, quelle servono a Big Tech e ai loro clienti politici ed economici in Europa

In ultimo, voglio dire questo: se perfino nei liberalissimi Stati Uniti Big Tech è ormai incompatibile con la democrazia, la cosa vale a maggior ragione in Europa dove abbiamo molto di più in gioco che l'utopia del primato del mercato con cui ci siamo lasciati cullare negli ultimi quarant'anni.

Cerchiamo di ricordacene. È ora di svegliarci.

E, a parte tutto il resto, Big Tech delenda est.

Read more