E chi se ne frega? Be’, dipende. Siamo nel 2015 e la prima cosa che uno fa se ha un dito gonfio, il colesterolo alto o un mal di testa ricorrente è accendere il computer e interrogare la rete. Non sempre, però, lo facciamo per cose banali come l’influenza. Anzi, è più facile che lo facciamo per cose potenzialmente più fastidiose e imbarazzanti, per capire se è proprio necessario andare a parlarne con il nostro dottore. Ad esempio, per l’herpes genitale. Quanta gente vogliamo che sappia che abbiamo un problema di herpes genitale? Ma se andiamo su Google search a scaricare informazioni sull’herpes genitale, la notizia che in noi è improvvisamente subentrato questo interesse fa subito il giro della rete. Ce ne dobbiamo scandalizzare? Non sapevamo già che, a forza di cookies, ogni nostro passo online è seguito, pesato, misurato e che i nostri dati e le indicazioni che danno alla pubblicità sono la moneta corrente del business della Rete? No, in realtà non lo sapevamo. Statistiche precise non ne esistono, ma è ragionevole pensare che, su mille utenti di internet, solo 100 hanno capito che i cookies sono piccole spie che vengono incollate sul nostro pc, come i chip traccianti che i cattivi mettono sotto le macchine di James Bond e colleghi. Solo 50 provano a liberarsene. Venti capiscono come si fa. Dieci si sobbarcano all’interminabile e tortuoso procedimento necessario. Alla fine, due ci riescono. Tutti gli altri si tengono i cookies e ogni volta che aprono il browser si trovano in compagnia di decine di occhi che li seguono passo passo, dal sito porno alla ricerca di un paio di scarpe per il bambino.
Ma Libert ha scoperto molto di più. Tutto questo — gli ha rivelato il suo fido webXray — non vale solo per i siti dichiaratamente commerciali, che non nascondono il traffico dei nostri dati. La stessa cosa avviene anche per siti serissimi e insospettabili, istituzionali o governativi, che con il commercio di dati non hanno niente a che fare e non dovrebbero avere niente a che fare. Ad esempio, quello del Center for Disease Control, una agenzia federale che corrisponde, più o meno, al nostro Istituto superiore di sanità e che è, in assoluto, uno dei link più cliccati su Google search. Dunque, faccio la mia ricerca sull’herpes genitale sul sito del Cdc. Appare un link, lo clicco. I tecnici la chiamano “first party request”, la richiesta del primo interessato (il secondo, naturalmente, è il Cdc). I server del Cdc rispondono alla richiesta inviandomi il file “Genital Herpes — CDC Factsheet”, con tutte le informazioni disponibili sull’argomento. Per me finisce qui, ma quella “first party request” ha solo iniziato il suo viaggio. Il Cdc ha infatti installato sul suo sito Google Analytics, un software che gli consente di misurare il traffico sulle sue pagine. E anche il codice di AddThis che consente di condividere comodamente con i social. Per queste due vie, la mia first party request si trasforma in una third party request. Ovvero, automaticamente, il sito del Cdc ha mandato qualcosa che più o meno corrisponde a http:// www. cdc. gov/ std/ herpes/ STDFact Herpes. htm ai terzi interessati. Adesso, Google, Facebook, Twitter e quant’altri sanno che io mi interesso all’herpes, perché hanno il file e l’indirizzo IP del mio computer. Sono anni che mi tampinano e dall’indirizzo del computer non fanno fatica a risalire (su quanti siti mi sono registrato?) al nome e cognome e a mettere questa nuova info accanto alle altre che costituiscono il mio dossier.
«È endemico» sostiene Libert. Lo stesso meccanismo scatta per About. com, Health. com, FreeDictionary, Merriam Webster (un altro dizionario), per siti commerciali come WebMD (ovvero il medico web) come per quelli governativi come Cdc. Finanche Planned Parenthood, un’organizzazione di volontariato per il controllo delle nascite, rigorosamente noprofit, fa girare le vostre informazioni in questa sorta di internet sotterraneo e parallelo, con le vostre domande sull’aborto. Tutto questo, perché strumenti come Google Analytics e i pulsanti di AddThis, Facebook… vengono messi a disposizione gratis e sono assai comodi per gestire il sito. L’unico dei grandi siti che si occupano di informazioni sanitarie a resistere alla tentazione, ha scoperto Libert, è Wikipedia. Se chiedo dell’herpes a Wikipedia, resto al riparo da occhi indiscreti. Per il resto, il gigante di Mountain View è il dominatore assoluto di questa seconda rete invisibile, grazie ad Analytics, ma anche alla possibilità di caricare i video di Youtube. Libert ha registrato che nel 78% delle pagine a tema sanitario che ha analizzato c’erano le orecchie e gli occhi di Google. Un distante secondo è comScore con il 38%. Il 31% dei siti inviava dati a Facebook, il 18 a AddThis e a Twitter, il 16 ad Amazon, il 12 a Yahoo. Ognuna di queste aziende, naturalmente, utilizza i dati che così gli arrivano per calibrare le sue offerte pubblicitarie. Al cronista di Motherboard , una rivista specializzata che gliene chiedeva conto, una portavoce di Google ha garantito che, a Mountain View, «non è consentito ai sistemi pubblicitari di disegnare profili o di mirare annunci, sulla base di informazioni mediche o sanitarie». Può essere, ma non è facile crederlo. Io, per avere una volta rovistato negli annunci per i pigiami, sono bombardato di offerte di completi per la notte, ma mai per le pantofole. Comunque, Google, in Canada, è stata ritenuta responsabile perché un utente che aveva fatto una ricerca sull’insonnia continuava a ricevere pubblicità di rimedi assortiti.
Tuttavia, il rischio che sul vostro computer crepitino indesiderati banner pubblicitari sui rimedi contro l’herpes o la disfunzione erettile non è la minaccia più inquietante del mondo rivelato da Libert. Nella rete nascosta delle third party requests ci sono inquilini più sinistri a cui vengono rimbalzati i nostri dati. Aziende che, esplicitamente, vogliono i dati non per far meglio pubblicità, ma per venderli. Experian e Acxiom, che il software di Libert ha rintracciato su migliaia di siti sanitari, vendono dati, con lo scopo preciso di stabilire la affidabilità bancaria, se avete avuto dei protesti e così via. Ma, adesso, sono in grado di collegare informazioni sul vostro credito a quelle sulla vostra salute. Quanto può costare una polizza di assicurazione sulla vita ad una persona che, recentemente, ha cercato più volte sulla rete “cancro”?
Vista sotto questa luce, la privacy non è più qualcosa di astratto. Negli Usa, questa raccolta di dati, a fini pubblicitari o per la vendita, è legale: nessuno ha ancora pensato di estendere online gli obblighi di privacy a cui sono tenuti ospedali e dottori. In Europa, la sensibilità è maggiore. A maggio, la Commissione Ue dovrebbe uscire con un vero e proprio codice sula privacy dei dati. Secondo le indiscrezioni, ci dovrebbe essere un drastico taglio alla rete invisibile delle third party requests: ogni utente dovrebbe dare il proprio esplicito consenso, prima che aziende come Google o Facebook possano utilizzare i suoi dati. Il braccio di ferro fra Bruxelles e Silicon Valley è in corso in queste settimane. Ma c’è, in Europa, chi mira anche più in alto: una separazione netta fra strumenti come Google Analytics e il motore di ricerca che impedisca lo scambio di dati fra i due sistemi: Google saprebbe che voi siete andati sul sito del Center for Disease Control, ma non perché.
