NEWS

App di food delivery, come trattano veramente i nostri dati personali

L’Autorità Garante per la privacy ha aperto un’istruttoria per il trattamento dei dati personali da parte delle app di food delivery. Il 19 giugno è toccato a Deliveroo, ma anche le concorrenti, come Just eat, Glovo e Uber eats, gestiscono molti dati personali dei clienti iscritti.

Per iscriversi alle app che portano il cibo a domicilio servono nome, cognome, indirizzo di casa, numero di telefono, email e carta di credito per completare la registrazione e farsi recapitare la cena a casa. Ogni transazione rivela abitudini, gusti e tendenze di consumo dei clienti. In aggiunta ci sono le informazioni dei fattorini, come per esempio i percorsi compiuti per arrivare a destinazione. Si tratta di un bottino ghiotto per altri operatori, ma anche, nel peggiore dei casi, per gruppi criminali informatici.

Occorre inoltre fornire un indirizzo mail. Ma solo Uber invia un messaggio di conferma alla casella di posta per verificare che l’utente sia il legittimo proprietario di quell’indirizzo di posta elettronica. Just eat, per esempio, non lo fa per cercare di rendere il processo di iscrizione il più veloce possibile.

E se decidiamo di effettuare un ordine da un altro dispositivo che non è quello solito che usiamo? In questi casi, le buone pratiche di sicurezza suggeriscono di mandare un’allerta all’utente per verificare l’identità. Solo Uber eats e Glovo, secondo le verifiche effettuate da Wired, seguono questa procedura. Se qualcuno, insomma, prova a usare il nostro account su un altro dispositivo, non si viene informati del tentativo, con tutti i rischi del caso.

Una app che serve per ordinare cibo a domicilio non dovrebbe avere accesso alla rubrica del telefono. E invece, sempre secondo Wired, le piattaforme si prendono più licenze del dovuto sugli smartphone dei clienti. Tutte queste procedure aprono ipoteticamente la possibilità all’utilizzo dei dati anche per il marketing diretto. Basta un’autorizzazione, infilata tra le tante in fase di sottoscrizione, e cominciano ad arrivare promozioni e sconti. Insieme alla pizza.

“Spesso richiedono funzionalità che non sono necessarie”, osserva Giampaolo Dedola, ricercatore del gruppo di sicurezza Kaspersky. “Gli utenti che vogliono limitare i privilegi devono disabilitarle da soli”, aggiunge. Per esempio, spiega Sambucci, “Deliveroo, Glovo e Uber eats chiedono il permesso per la fotocamera, per la scansione della carta di credito”.

Sambucci spiega che “l’app di Glovo è stata progetta per richiedere quattro permessi: videocamera, contatti, posizione e storage. Se poi i permessi sono richiesti tutti insieme oppure solo al momento in cui l’utente compie determinate azioni, questo lo decide l’app”. Può essere, aggiunge l’esperto, “che l’app decida di non richiedere mai un certo tipo di permesso. Se questo è davvero il caso però viene da domandarsi come mai il permesso o i permessi in questione siano fra quelli potenzialmente richiesti dall’app”.

Note sull'autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: urp@federprivacy.it 

Prev Istituto Italiano Privacy, ora l'informativa diventa a fumetti

Pubblicità su misura in televisione con la "Addressable TV", occhio alla privacy

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
captcha 
Privacy e Termini di Utilizzo