Pokemon-GO e la Privacy

PokemonGO di NIANTIC Inc è l’applicazione di gaming che sta spopolando in queste settimane non solo su tutti gli smartphone e tutte le piattaforme di gioco disponibili , ma sta diventando anche un “caso” social per la sua viralità e semplicità d’uso nel gioco . 

E’ accattivante,con una grafica molto semplice affiancata ad una musichetta ricorrente con la possibilità di visualizzare attraverso la propria fotocamera del dispositivo mobile oltre al panorama ristretto , anche i fantasiosi mostriciattoli da catturare ed inserire nella propria galleria trofei Pokedex .

Ma il nostro interesse maggiore è stata la Privacy , ovvero , cosa serve e cosa dobbiamo “barattare” per provare il gioco della realtà virtuale aumentata .

IMG_1853

foto: pokemonGO registrazione

Anzitutto il metodo di registrazione tramite l’APP alla piattaforma è possibile effettuarla con le credenziali precedentemente create con Google, quindi utilizzando il nostro profilo di google (quello della posta elettronica gmail per intenderci) . Ovviamente , ci viene chiesta la user e la password della nostra casella di posta, la nostra data di nascita ed abbiamo istantaneamente creato il nostro profilo su Niantic (società che ha sviluppato il gioco) che ci permette di giocare .

Adesso andiamo per gradi e cerchiamo di capire sotto il profilo Privacy , il do ut des a cui siamo sottoposti , dando anche uno sguardo all’ Informativa Privacy dello sviluppatore .

L’ Informativa Privacy è aggiornata, alla data del 1 Luglio 2016, rispetto alla data di pubblicazione dell’articolo . E’ importante sapere che, una buona informativa privacy , non è solo quel documento “puntuale” da redigere per essere a norma della nuova Direttiva Europea , ma deve essere constantemente aggiornata a seconda dei dati che vengono raccolti e della profilazione dell’utente che viene fatta utilizzando tutte le possibilità tecnologiche (cookie, beacon, white sprite etc etc ) .

Informativa Privacy dedicata:

La società developper , ha quindi realizzato l’ informativa privacy dedicata a Pokemon GO, e dichiara sin da subito che, l’informativa può essere cambiata,rivista o rivisitata “comprese eventuali modifiche con effetto retroattivo” , prendendosi carico di informare l’utenza di modifiche pubblicandole sui servizi o inviando una e-mail .

Raccolta dei Dati :

E’ ovvio che , una buona parte dei dati sono già stati raccolti a priori da un altro grande player (google.com) tale per cui abbiamo utilizzato le medesime credenziali ad utilizzo dei servizi google, e quindi noi permettiamo , accettando l’informativa, l’accesso a NIANTIC Inc ai nostri dati già profilati . 

Quindi attenzione : i nostri dati erano già all’estero sui server americani di google, noi permettiamo loro l’accesso e lettura .

Ovviamente nell’ Informativa dello sviluppatore californiano (ebbene si, anche se Pikachu lo conosciamo per i suoi occhi a mandorla, l’azienda developper è negli Stati Uniti) , viene ben precisato sia che le informazioni raccolte sugli account personali o dei propri figli (è importante la precisazione effettuata) vengono gestite sia per profilare e personalizzare al meglio i servizi legati all’esperienza di gioco , sia per “vigilare” sul corretto utilizzo dell’applicazione e della messaggistica fra gli utenti . Tale per cui , a qualsiasi richiesta governativa di qualsiasi stato , questi dati , possono e verranno messi a disposizione delle autorità .  

Naturalmente, fin qui nulla cambia, in quanto i nostri dati sono già in possesso di terzi (es. google) , e quindi non v’è alcuna alterazione , se non per il fatto che , non ci si limita a sapere chi sei e cosa fai (oltre agli altri dati di profilazione ) bensì , si ottengono una marea di informazioni ulteriori come ad esempio : le ultime pagine web visitate prima di aprire l’app (lettura cookie residenti) , la posizione in costante cambiamento del nostro dispositivo (attraverso l’uso del gps) , e tanti altri caratteri esaminati attraverso i Web Beacon di cui citiamo i web bug,pixel tag o GIF trasparenti, che servono essenzialmente a monitorare l’utente nella sua esperienza di gioco (miglioria del servizio) o metodi comportamentali  creando un registro da loro denominato “Dati di Registro” . 

In merito ai dati e “Dati di Registro” Ci viene quindi spiegato che  NIANTIC Inc , non è la sola società che gestirà i nostri dati , ma li condivide trasferendoli alla The Pokemon Company Inc basata in Giappone.   Ed ecco qua, che i nostri dati finiscono nel paese del Sol Levante . Ovviamente , le condizioni del caso , con le dovute precisazioni , impongono le classiche affermazioni di rito : ” NIANTIC Inc rispetta la privacy , nel territorio europero per le Direttive Privacy EU (vd Pacchetto Protezione Dati UE del Garante Privacy ) ma si esime da qualsiasi responsabilità qualora le norme privacy non siano recepite, rispettate o l’azienda per “fallimento” o altro dovesse cedere tutto il pacchetto dati di informazioni e profilazione .

E’ ovvio che l’utente , non può opporsi al trattamento , può far riferimento all’indirizzo di posta pokemongo-privacy@nianticslabs.com per revocare il consenso al trattamento dei dati, chiedere la cancellazione dei dati, che , non sarà totale in quanto , in alcuni paesi è fatto d’obbligo mantenere i record di connessione e registro di attività nei propri servizi .

Ma cosa succede se andiamo nel nostro profilo di google , nella bellissima piattaforma di gestione dell’utente e togliamo l’accesso dell’app pokemonGO al profilo di google ?

IMG_1879 IMG_1878 IMG_1880

Semplice :  l’applicazione s’inchioda , il gioco non parte mostrando un avviso che ci sono problemi sui server .

Quindi, intuiamo da questo comportamento , quanto e come il prelievo dei nostri dati , non sia “puntuale” solo in fase di registrazione , bensì effettuato in forma continuativa, esattamente mentre camminiamo con l’app aperta, magari rispondendo ad un messaggio whatsapp o clicchiamo mi piace ad una fotografia sul nostro profilo facebook .

Infine, visto che le abbiamo provate tutte, prima di scrivere quest’articolo , abbiamo rimosso l’app di PokemonGO , abbiamo reinstallato l’app scaricandola dall’app store e cosa è successo ?

In apparenza ci viene richiesto di ri-iscriverci alla piattaforma , come se fosse la prima volta, ma poi una volta autenticati , abbiamo ritrovato il nostro profilo di gioco, i nostri punti, mostricciattoli uccisi e persino il nostro livello di esperienza nel gioco. 

Quindi, in sintesi , l’esperienza di un gioco nuovo è stata fatta, il pegno per provare la realtà aumentata è alto , i dati, tutti i nostri dati , minuto dopo minuto , byte dopo byte scaricato e scambiato con la rete .

 

 

Alessandro Oliva

Privacy Officer

Certificato TUV Italia al n* CDP_252_V

Settore di specializzazione: Videosorveglianza

Schema CDP Sviluppato in accordo alla ISO/IEC 17024:2012

IT Engineer – Feniva srl