Weople, che cos’è? È l’App tanto reclamizzata che promette di farti riavere il controllo sui tuoi dati e persino di guadagnarci. Come? Proprio questo è il punto.
Ultimamente se n’è parlato tanto, a seguito della notizia secondo cui, con una lettera a firma del Presidente Antonello Soro, l’Autorità Garante per la privacy ha posto all’attenzione del Comitato europeo per la protezione dei dati personali (Edpb) la questione relativa a Weople, l’App che promette ai propri iscritti una remunerazione in cambio della cessione dei loro dati personali. A partire dai primi mesi del 2019, infatti, sono state diverse le segnalazioni giunte all’Autorità da parte di imprese della grande distribuzione che lamentavano di aver ricevuto da parte di Weople numerosissime richieste di trasferire alla piattaforma dati personali e di consumo registrati nelle carte di fedeltà. L’impresa italiana, che gestisce l’App e offre servizi di vario genere (offerte commerciali, analisti statistiche e di mercato), si propone infatti come intermediaria nel rapporto tra aziende e utenti chiedendo, su delega di questi ultimi, di ottenere le informazioni personali custodite presso grandi imprese allo scopo di riunirle all’interno della propria banca dati.
Ora, però, il richiamo da parte del Garante. La notizia ha fatto presto il giro delle principali testate, scatenando un vero tam tam in rete. E non è d’altronde la prima volta.
Le prime perplessità
Personalmente avevo posto la mia attenzione sull’App già tre o quattro mesi fa – quando giravano ammiccanti spot sull’App persino in TV – condividendo poi in rete, con un paio di semplici post, ma cui erano seguite interessanti discussioni, i miei dubbi e perplessità.
Su Facebook i commenti erano già illuminanti. «Mi avevano proposto una collaborazione marketing», scriveva un utente, «ho rifiutato. Per quanto tecnicamente sembri in regola, a livello etico mi ha lasciato parecchio perplesso: per me l’utente medio non ha l’adeguata percezione del valore delle sue informazioni personali e si farebbe abbindolare in cambio di pochi centesimi alla settimana». «Un mio vecchio professore soleva sempre dire di tenersi alla lontana da situazioni o persone che si pongono come controllori e santi nel sanare una situazione», gli faceva eco un altro, «magari assurgendo che “tanto il sistema, se non lo faceva direttamente, lo facevano altri”. La questione se meramente è legata alla protezione dei dati deve assurgere al vero modello di salvaguardia che risiede nel protocollo primo. Ossia l’unico conoscitore dei dati totali deve essere il proprietario. Ogni nodo di condivisione è un canale di diffusione. Ovviamente quando volontariamente siamo “costretti alla condivisione” in un sistema digitale è di per se molto difficile tracciare i dati, Una domanda che porrei a Weople è dove risiedono tecnicamente, “su che ferro ha i dati”: risalire alla sorgente fisica dove risiedono è una prassi a mio avviso molto interessante». «Sagge riflessioni e perplessità che condivido», concludeva infine un altro. «Potrà un’Azienda così piccola garantirmi la massima protezione dei miei dati? A questo punto vado su Google che almeno so di che morte dovrò morire».
Avevo rilanciato anche sul mio Canale Telegram della Educazione Civica Digitale il tema, scatenando pure lì commenti e grande interesse.
Qual è, infatti, il punto in estrema sintesi? Con Weople dovrai depositare i tuoi dati in un caveau personale, una «cassetta di sicurezza» nell’App, unico filtro fra te e le aziende interessate alle tue info personali. Solo Weople – occhio – deterrà i tuoi dati, inoltrandoti possibili offerte interessanti. E fin qui «tutto perfetto», si direbbe. Attenzione, però. Con ciò stesso io comunque consegno a «qualcuno» i miei dati. Comunque li metto in una cassaforte di cui altri hanno le chiavi. Dove starebbe, dunque, la vera ripresa del controllo? Sembra, d’altronde, che Weople stessa «svolga analisi e profilazione su tali dati». Da qui il problema, evidentemente ormai non più solo nostro.
Weople, come funziona
Qual è il funzionamento di Weople, in dettaglio? Andiamo con ordine. Abbiamo parlato di «caveau». Ecco, come si legge sul sito dell’App, per attivare una cassetta basterà inserire gli estremi identificativi del tuo account. Weople farà il resto per te e chiederà i dati a chi attualmente li possiede. Quali dati si possono depositare? Da subito sarà possibile depositare i dati relativi agli account social, i dati delle spese effettuate con le carte fedeltà personali, i dati delle spese on line tramite gli account e-commerce, i dati posseduti da Google e Apple. «Ma questo è solo l’inizio!», esclamano. «Dall’autunno ci saranno altre novità e sorprese!».
Come agisce Weople? Attivare una cassetta di sicurezza significa avviare la procedura per ottenere una copia dei tuoi dati digitali. Weople agirà per te, chiedendo i dati a chi li possiede e ti comunicherà non appena saranno disponibili. Inoltre, potrai monitorare costantemente lo stato di questa procedura dall’App. I dati sono ospitati in un caveau maschera, trattati e investiti in forma anonima, con i massimi standard di sicurezza. All’inizio la cassetta di sicurezza è grigia, vuota e pronta per l’attivazione. Una volta attivata, cioè inserito l’account personale, la cassetta avrà il bordo azzurro, ma i dati sono in attesa e Weople li chiederà a chi attualmente li possiede. Quando i dati saranno in afflusso, la cassetta diventerà azzurra e inizierà il vero e proprio investimento. Potrai usare Weople come portafoglio digitale dei tuoi account e delle carte fedeltà. Per esempio, potrai accedere comodamente al codice a barre della tua carta fedeltà e utilizzarlo durante i tuoi acquisti.
«Applicando l’articolo 20 del Gdpr, Weople – su delega dei propri utenti – chiede ai giganti del web e a tante altre aziende copia dei dati digitali riferiti all’iscritto all’App e li deposita in un conto del singolo utente», aveva spiegato lo stesso fondatore dell’App, Silvio Siliprandi, in una intervista qualche mese fa. «Insomma, mettiamo nelle condizioni di esercitare il nuovo diritto alla portabilità dei dati, quel diritto che permette di ricevere i dati personali forniti al titolare del trattamento, in un formato strutturato, di uso comune e leggibile meccanicamente, e di trasmetterli a un diverso titolare. L’obiettivo ultimo è quello di accrescere il nostro controllo sui nostri dati personali, restituendo valore economico ma anche diritti, conducendo delle battaglie per conto delle persone che altrimenti non riuscirebbero a spuntarla con i colossi del web. L’unico impegno da parte di chi entra sulla piattaforma è l’iscrizione, non ci sono costi. Non solo: cerchiamo anche di trasferire al proprietario dei dati i vantaggi che derivano dalla loro condivisione. Weople si propone, infatti, anche come piattaforma di marketing diretto per offrire delle proposte e delle comunicazioni a target interessanti. In particolare troviamo clienti-aziende e proponiamo loro di veicolare, tramite App, pacchetti, offerte personalizzate e/o comunicazione a segmenti di correntisti che Weople ha dimostrato, grazie ai dati, essere potenzialmente interessanti. Ovviamente, senza mai dare dati personali all’azienda e ponendoci come filtro e unica piattaforma per raggiungerli. Quanto le aziende pagheranno per veicolare queste offerte personalizzate verrà dato, in grandissima parte, alle persone destinatarie delle stesse. È la prima volta in assoluto, al mondo, che, per ricevere un’offerta o una comunicazione, il destinatario finale viene pagato. Una rivoluzione nella rivoluzione».
«Quest’attività genererà due forme di guadagno per l’iscritto», continuava, «un salvadanaio personale dove si possono accumulare il valore in moneta vera, e un portafoglio di offerte personalizzate a cui si può liberamente decidere di aderire o meno. A breve poi, potremo investire masse di dati anonimi, aggregati e protetti nel mercato in cui, al momento, si genera più valore: si tratta di attività di arricchimento e valorizzazione di database di terze parti, sempre fatte senza cedere i dati individuali e personali. Qui entrerà in gioco la massa dei dati degli iscritti a Weople e il valore che si genererà (aggiuntivo rispetto a quello visto sopra) sarà merito un po’ di tutti: verrà quindi restituito attraverso un sistema di estrazioni su base periodica».
Il punto, come si capisce, sta proprio in quella frase: essere, da parte di Weople, «filtro e unica piattaforma di conservazione dei dati dell’utente». Comunque sia io non ho il vero, pieno e totale controllo dei miei dati se questi sono o sono anche in mano di altri, di una qualche cassaforte di cui qualcun altro, oltre a me, possiede i dati. Tutt’al più il problema si sposta, non si risolve.
Le dichiarazioni di trasparenza
Sia chiaro, non intendiamo qui fare processi alle intenzioni o mettere in dubbio la buona fede dei fondatori. Si tratta semplicemente di rilevare possibili incongruenze. Tanto maggiori quanto più forti sono le dichiarazioni dell’App di trasparenza e volontà di favorire in ogni modo l’utente. Sul sito, infatti, grande spazio è dato proprio alla trasparenza del contratto fra te e Weople. Leggiamo ad esempio la sintesi.
- «Weople è un servizio offerto da Hoda e ti mette a disposizione, in forma completamente gratuita, una piattaforma APP per raggiungere i risultati che seguono:
- Weople ti aiuta ad agire i diritti più importanti che ti dà il GDPR (legge europea sulla protezione dei dati personali 679/2016) e si impegna a custodire e proteggere i tuoi dati, sempre in forma anonima e con la massima garanzia per la tua privacy». «Sì, ma chi controlla i controllori?», verrebbe voglia di chiedere. Forma anonima e rispetto della privacy per tutti, tranne che per i «santi custodi Weople»?
- «Weople s’impegna a farti recuperare il maggiore valore possibile dai tuoi dati», continuano, «tramite modalità di investimento e di valorizzazione degli stessi rispettose della tua privacy, senza mai trasferire i tuoi dati personali a terzi e restituendoti fino al 90% del valore generato dall’investimento al netto della copertura dei costi di struttura e di esercizio. Il tutto sarà costantemente comunicato in una pagina di trasparenza nell’APP e certificato ufficialmente da terze parti. Anche in questo caso «dati personali mai trasferiti»: a nessuno tranne che a Weople.
- «Creando il tuo profilo depositi e investi in Weople i tuoi dati della scheda d’iscrizione e tutti quelli che vorrai fare arrivare nel tuo conto-dati attivando, con tua libera scelta e senza nessun obbligo imposto dall’App, le cassette di sicurezza che troverai disponibili e spiegate nel tuo caveau personale. Come vedrai, si tratta di dati di consumo dalle tue carte fedeltà, dei dati di utilizzo dei canali digitali come Social, Google, Amazon, eccetera e dei tuoi interessi. Weople non raccoglie in nessun modo altri dati su di te al di fuori di quelli qui indicati e che tu deciderai liberamente di investire.
- Per raggiungere gli obiettivi indicati, tu ci permetti, tramite l’accordo, di:
- Rappresentarti, se lo vorrai, nelle richieste di esercizio dei tuoi diritti GDPR mediante conferimento di apposita delega in nostro favore. Potrai sempre chiederci aggiornamenti sulle attività compiute;
- Effettuare operazioni di profilazione sui dati che hai depositato nel tuo conto-dati in Weople al fine di inviarti comunicazioni e offerte commerciali personalizzate. Weople parlerà con i clienti potenzialmente interessati all’invio di queste offerte commerciali per convincerli, in base ai dati aggregati, a investire e a farle. Le offerte te le invierà solo Weople e i tuoi dati saranno trattati sempre in forma anonima e aggregata e non saranno mai trasferiti a livello individuale/personale a nessuno di questi clienti. Questa via d’investimento dei dati ti permetterà di guadagnare somme di denaro vero (non virtuale), versate dagli inserzionisti e depositate da Weople direttamente nel tuo salvadanaio nell’App; ovviamente, ti consentirà anche, in parallelo, di ricevere offerte personalizzate al meglio possibile». Inutile richiamare l’attenzione sulla dicotomia di fondo che ancora torna: Weople potrà svolgere «operazioni di profilazione sui dati» depositati nel caveau e, comunque anche in questo caso, riceverai comunicazioni e offerte commerciali personalizzate. Dove sta il vero anonimato, la vera difesa della privacy e l’autentica libertà da pubblicità e inserzionisti?
- Conclude il «contratto» di Weople segnalando che, così, tu accordi il permesso a «elaborare i tuoi dati e generare modelli statistici generali, dunque non riferibili a te personalmente. I modelli saranno poi utilizzati per arricchire i database di terze parti sempre, rispetto a te, in forma anonima, protetta, garantita da Weople e senza trasferire i tuoi dati a livello individuale/personale alle terze parti. Questo ti consentirà di partecipare alla distribuzione del valore comune, generato dalla piattaforma, in forma di estrazione di premi». Inutile anche qui mettere in luce nuovamente la contraddizione almeno apparente fra le dichiarazioni di garanzia di anonimato e, nella realtà, piena proprietà di tali dati da parte di Weople, che li conosce nel dettaglio e in veste tutt’altro che anonima.
La riflessione
Vale la pena, pur essendo chiara la posizione ormai non più solo nostra sul tema, aggiungere qualche riflessione in più: magari leggendo qualche passaggio di un articolo pubblicato sul suo blog da Marco Valerio Principato, esperto di comunicazione digitale, da lui sviluppato proprio sulla scia delle riflessioni da me lanciate in rete a maggio. «L’utente autorizza il “travaso”» dei dati, si legge, «e Weople diviene automaticamente titolare di quei dati, che s’impegna a custodire con diligenza e a impiegarli per porre in essere un modello di business. Come fa (almeno teoricamente) Weople a sviluppare e attuare un modello di business fondato sul possesso di dati personali, tale che sia l’utente titolare che Weople stessa possano trarne profitto? In pratica la registrazione e l’identificazione a Weople fanno si che quest’ultima, in quanto titolare, svolga essa stessa analisi e profilazione su tali dati, servendosi anche delle operazioni commerciali, delle transazioni, delle interazioni e delle attività online già svolte sinora da quell’utente ed aggiungendovi ulteriori analisi. Il tutto – a dire dell’azienda – in modo “etico” (è una parola grossa)», si fa acutamente notare, «e salvaguardando l’utente stesso mediante anonimizzazione e custodia “cifrata” dei dati e delle relative elaborazioni».
I problemi però non mancano. Intanto «ipotizzando che “tutti” (ovvero: molti, moltissimi) facciano ricorso a Weople, si configurerebbe un’eccessiva concentrazione di dati personali e loro custodia in capo ad un solo soggetto giuridico e questo solleverebbe non poche problematiche antitrust. In tal caso, infatti, la raccolta potrebbe non avere i requisiti di liceità previsti». Infatti, ai sensi del GDPR, «i dati personali possono essere raccolti ed elaborati al ricorrere di una delle condizioni di liceità previste dall’art. 6 del GDPR, per finalità determinate, esplicite e legittime e il trattamento potrà essere eseguito entro i limiti di quanto necessario per il raggiungimento di tali finalità prestabilite». Al contrario la raccolta effettuata da Weople, per sua stessa definizione, avrebbe finalità (almeno inizialmente) indeterminate e implicite, poiché sarebbe impossibile stabilire a priori quali e quanti dati siano necessari per il raggiungimento di una finalità che inizialmente è indeterminata. Inoltre, «i dati utilizzati devono essere limitati a quelli strettamente necessari rispetto allo scopo per cui gli stessi sono raccolti (scopo che deve, inoltre, essere stato precisamente comunicato prima della raccolta agli interessati)» e «se dei dati personali non servono, non devono neppure essere raccolti».
Principato pone, inoltre, la giusta domanda, quanto alla portabilità dei dati sancita dal GDPR e alla base di Weople: «Mentre le imprese italiane ma, al limite, anche quelle europee, potrebbero non avere troppe difficoltà a operare la portabilità, proprio perché soggette al GDPR, chi assicura che altrettanto facciano imprese che del GDPR possono altamente fregarsene (vedi Google, Samsung, Facebook, Amazon e compagnia)? Nessuno. E oggi moltissime attività di data analysis, di profilazione e di tracciamento passano proprio per quei nomi: basti pensare che il 75% degli smartphone è Android (cioè Google), dove Samsung è quella che ha la maggior quota di mercato, su tali smartphone si svolgono montagne di attività online rivolte a Facebook (basti pensare che tutti hanno WhatsApp, oltre a Facebook, Instagram e Messenger), moltissimi acquisti effettuati su Amazon, ricerche e navigazioni (sia Web che terrestri) su Google e comunicazioni interpersonali. Contro simili giganti non possono (quasi) nulla né gli Stati, né il GDPR né, men che meno, Weople».
«I dati, ragazzi miei, non hanno proprio nulla di “olistico”», si conclude. «Sono fatti concreti. O ci sono, o non ci sono. O si trattano, o non si trattano. O se ne abusa, o non se ne abusa. Tertium non datur. Che qualcuno si arroghi il diritto di averli, custodirli, gestirli, “investirli” e farne profitto – condiviso o meno che sia – non risolve il problema, tutt’al più lo sposta, nel migliore dei casi». Il che è esattamente la conclusione cui eravamo giunti noi poco sopra. In sostanza, che si voglia pensare «bene» o meno bene, il problema resta e si comprende il richiamo del Garante. Le ombre da dissipare ci sono, anche accordando la miglior fede possibile, di cui naturalmente siamo certi. Gli interrogativi, però, iniziano a esser troppi e richiedono risposte. La palla passa a Weople.
