La società non ha rivelato perdite di dati per mesi per evitare un problema di pubbliche relazioni e una potenziale applicazione normativa

google plus

Nel marzo scorso, mentre Facebook era sotto controllo globale sulla raccolta di dati personali per Cambridge Analytica, Google ha scoperto uno scheletro nel suo armadio: un bug nell’API per Google+ aveva consentito agli sviluppatori di app di terze parti di accedere ai dati non solo di utenti che avevano concesso il permesso, ma dei loro amici.

Se questo suona familiare, è perché è quasi esattamente lo scenario che ha portato Mark Zuckerberg a trascinarsi davanti al Congresso degli Stati Uniti. Il parallelo non è stato perso su Google, e la società ha scelto di non rivelare la perdita di dati, ha rivelato lunedì il Wall Street Journal, al fine di evitare il mal di testa delle pubbliche relazioni e la potenziale applicazione della normativa.

La divulgazione probabilmente porterà “in noi a essere al centro dell’attenzione accanto o addirittura al posto di Facebook nonostante sia rimasto sotto il radar durante lo scandalo di Cambridge Analytica”, hanno scritto i funzionari legali in un memorandum ottenuto dal Journal.

Poco dopo la pubblicazione della notizia, Google ha annunciato che interromperà l’accesso dei consumatori a Google+ e migliorerà la protezione della privacy per le applicazioni di terze parti.

In un post del blog sull’interruzione del servizio, Google ha rivelato la fuga di dati, che ha potenzialmente interessato fino a 500.000 accounts. Fino a 438 diverse applicazioni di terze parti potrebbero aver avuto accesso a informazioni private a causa del bug.

“Non abbiamo trovato alcuna prova del fatto che uno sviluppatore fosse a conoscenza di questo bug o abusasse dell’API e non abbiamo trovato alcuna prova che i dati del profilo fossero stati utilizzati in modo improprio”, ha scritto Ben Smith, vicepresidente dell'”engineering”.

Smith ha difeso la decisione di non rivelare la perdita, scrivendo: “Ogni volta che i dati dell’utente possono essere stati colpiti, andiamo oltre i nostri requisiti legali e applichiamo diversi criteri incentrati sui nostri utenti nel determinare se fornire un preavviso.”

Non esiste una legge federale che obblighi Google a divulgare le fughe di dati, ma esistono leggi a livello statale. In California, dove Google ha sede, le società sono tenute a comunicare una perdita di dati solo se includono sia il nome di una persona e il numero di previdenza sociale, carta d’identità o numero di patente di guida, targa, informazioni mediche o informazioni di assicurazione sanitaria.

Google ha inoltre annunciato una serie di riforme delle sue politiche sulla privacy, ideate per offrire agli utenti un maggiore controllo sulla quantità di dati che condividono con gli sviluppatori di app di terze parti.

Ora gli utenti saranno in grado di avere un controllo più mirato sui vari aspetti dei loro account Google che concedono a terze parti (come ad esempio le voci di calendario su Gmail) e Google limiterà ulteriormente l’accesso di terzi a email, SMS , contatti e registrazioni telefoniche.

David Carroll è un professore americano che ha fatto causa a Cambridge Analytica all’inizio di quest’anno per scoprire quali dati la società aveva memorizzato su di lui. Ha detto che date le questioni legali che Facebook affronta sul suo cover-up di Cambridge Analytica, non sorprende che Google abbia cercato di tenere la fuga fuori dagli occhi del pubblico.

“Google ha ragione ad essere preoccupato e la chiusura di Google+ mostra come le cose usa e getta sono davvero di fronte alla responsabilità”, ha detto.

Per altri, la perdita è stata un’ulteriore prova del fatto che le grandi piattaforme tecnologiche necessitino di un maggiore controllo normativo.

“Le piattaforme di internet monopolistiche come Google e Facebook sono probabilmente troppo grandi per essere sicure e sono certamente troppo grandi per fidarsi ciecamente”, ha detto Jeff Hauser, del Center for Economic and Policy Research.