Tutti i dati che TikTok ha su di me — anche se non ho mai creato un account

Il 2020 è stato l’anno di TikTok, non solo perché una pandemia ci ha costretti in casa a creare e digerire contenuti per non pensare al collasso della nostra società, o perché gruppi di fan del k-pop hanno usato la app per trollare il Presidente degli Stati Uniti Donald Trump, ma soprattutto perché l’app è finita al centro di un conflitto geopolitico tra USA e Cina.

Improvvisamente, tutti avevano a cuore la fine che fanno i dati raccolti dall’app prodotta dall’azienda cinese ByteDance. Chiunque ha paventato rischi per la privacy senza però avere bene in mente quali dati siano effettivamente a rischio e, soprattutto, se siano poi così diversi da quelli raccolti da Facebook o Amazon. Per fare un po’ di chiarezza, ho sfruttato il GDPR e ho ottenuto tutti i dati che TikTok raccoglie su di me, senza che io abbia mai creato un account.

TikTok permette di usare l’app senza creare un profilo, in questo modo puoi vedere i video di altre persone ma non puoi creare contenuti originali, commentare o seguire altri utenti. Per ottenere i miei dati, lo scorso maggio, ho inviato una richiesta ai sensi del Regolamento Generale per la protezione dei dati personali a TikTok. Chiunque può farlo. Qui c’è il modello che ho utilizzato e qui ci sono i dettagli di contatto con la mail a cui inviare la richiesta. Se invece hai un account, puoi seguire queste istruzioni.

Dopo circa due mesi, a sorpresa, mi sono trovato tra le mani due file excel protetti da password—che mi è stata inviata in una email separata. Il primo era una tabella con quasi 1900 righe, contenente la mia cronologia dei video visualizzati—uno spremuto di succo di algoritmo confezionato solo per me. L’altro, molto più corposo e dal nome asettico “User Data & Activity”, contiene 15886 righe e 24 colonne. Sono 381.264 dati. C’è tutta la storia della mia breve vita dentro l’app (circa due mesi), nei minimi particolari.

L’algoritmo di TikTok è uno dei fattori alla base del successo dell’app: è come se ti conoscesse intimamente. Il più delle volte riesce a farti finire in un vortice di video che rispecchiano perfettamente i tuoi interessi, ma capita anche che ti lasci decisamente sconfortato o annoiato. Nell’ultimo caso, probabilmente sei impantanato nello Straight TikTok, nel primo caso sei nell’Alt TikTok.

Nel mezzo ci sono infinite sottoculture e gruppi: da Dungeons & Dragons al futuro tanto agognato dell’anarco-primitivismo; anche la camorra è su TikTok, ed esiste persino il PrisonTikTok, che documenta le condizioni di vita delle persone in carcere; ci sono poi le streghe di WitchTikTok, il cottagecore e il mondo del lesbian blacksmith TikTok.

Rivedere la mia cronologia dei video mi ha confuso, non ci sono ovviamente informazioni sufficienti per capire come l’algoritmo abbia preso quelle decisioni, mancano dettagli e tag dei video o altre informazioni che possono essere utilizzate da TikTok per selezionare i contenuti, e il post di spiegazione dell’algoritmo a cui rimanda l’azienda non è esaustivo. Avere quei link a portata di mano, però, mi ha ricordato che anche la memoria di TikTok è piena di buchi: molti video non erano più disponibili, proprio come alcuni miei ricordi del primo lockdown.

In situazioni simili, non è mai facile ottenere questi dati: se non hai un account, le aziende spesso dichiarano di non poter individuare i dati perché non hanno modo di autenticare l’identità di chi fa la richiesta.

E infatti, come previsto, la risposta iniziale di TikTok è stata un rifiuto: “Purtroppo non siamo in grado di individuare un account associato all'indirizzo e-mail, XXXXXXX@XXXXXX.com, quindi avremo bisogno di altri dettagli,” mi hanno scritto, come ad esempio il nome utente o “qualsiasi altro indirizzo e-mail o numero di telefono utilizzato per la registrazione di un account.”

In realtà ero già pronto a questa evenienza e nella mia richiesta originaria avevo tenuto in considerazione proprio un fattore cruciale: nell’informativa privacy scrivono infatti che "Raccogliamo inoltre informazioni su di te anche se scarichi l’app e utilizzi la piattaforma senza creare un account." Informazioni come dettagli sul dispositivo e indirizzo IP.

Siamo di fronte a un paradosso: TikTok raccoglie dati che sa essere collegati al mio dispositivo personale ma, mancando un nome o un identificativo che provi la mia identità, non può consegnarmeli perché potrei essere qualcun altro. Eppure continua a raccogliere comunque quei dati e li usa in vari modi. Non c’è il mio nome attaccato, ma c’è una stringa di numeri che identifica il mio dispositivo—e quindi me. Dati che poi finiscono ad esempio con l’essere collegati al mio profilo Facebook, come mostra la sezione Off-Facebook Activity, dove vengono raccolti i dati e le informazioni che app e siti web scambiano con Facebook, collegandoli al tuo profilo.

Per risolvere il problema, nella mia richiesta ho allegato anche il mio indirizzo IP e un codice identificativo del dispositivo iOS su cui ho installato l’app, l’IDFV—si tratta di un codice che permette a chi sviluppa app di riconoscere lo stesso dispositivo: se lo stesso sviluppatore produce 4 app diverse, quando le installo potrà realizzare che quel dispositivo è lo stesso.

A questo punto, TikTok ha acconsentito, chiedendomi di seguire una procedura specifica: entrare nell’app, andare nella sezione di supporto, selezionare “Segnala un problema” e da lì fornire un commento con il testo "request data download for: enter your name and the details you have provided above."

Se il file con la cronologia di video non è poi così inaspettato, il secondo file mi ha ricordato che su internet la modalità di funzionamento base è essere tracciati e monitorati. Il file raccoglie ogni mia singola azione fatta nella app, completa di orario, giorno, tipo di dispositivo e risoluzione schermo, operatore telefonico, sistema operativo, indirizzo IP e un codice identificativo del dispositivo che è diverso da quello fornito nella mia richiesta e non è chiaro come sia stato generato. 

Tra le azioni registrate, ci sono: fine della sessione di ricerca, riproduzione di un video, ricerca di un video, quelle che sembrano interazioni con la cache del dispositivo, e altre variabili il cui significato non è stato spiegato da TikTok.

Parte di queste informazioni sono quelle descritte nell’informativa sulla privacy dell’app, dati che l’azienda indica come necessari al corretto funzionamento del servizio.

Nel 2018 ho ottenuto una tabella simile da Amazon, con tutti i miei click fatti sul sito: prodotti cercati, acquisti fatti, oggetti visualizzati e salvati. Una tabella in tutto e per tutto equivalente a quella di TikTok.

Dedurre che TikTok e Amazon siano gli unici a condurre pratiche simili sarebbe ingenuo: la verità è che quando usi una qualsiasi app o visitiamo un sito web è come se ci fosse sempre qualcuno dietro di te che, da sopra la tua spalla, prende appunti su un quaderno segnando tutto quello che stai facendo, completo di ora e data. Click per acquistare un libro prima delle vacanze estive. Swipe per un match su Tinder alle 3 di notte. Ricerca di un profilo su Instagram di una persona che hai incontrato a una festa. Video divertenti su TikTok perché sei in un momento di sconforto la notte di Natale.

Non si tratta nemmeno di una verità troppo nascosta. Per sua natura, Internet funziona così: è ridondante di informazioni che permettono la sincronizzazione delle comunicazioni fra computer distanti e lo scambio di dati. Potrebbero esserci dei modi per raccogliere meno dati? Certo, ovvio. Ma al momento il problema cruciale è che quel quaderno che contiene le tue attività non si sa che fine faccia.

Le informative sulla privacy spesso giustificano quei dati per motivi di sicurezza, per tenere traccia delle attività svolte e contrastare le frodi, e cancellarli successivamente nel rispetto delle leggi. In teoria, potresti pretendere che quel quaderno sia bruciato ogni giorno. Per ora, però, puoi solo affidarti alle dichiarazioni delle aziende che ti rassicurano di non utilizzare quei dati per altri scopi. Ma quei dati sono da qualche parte comunque, suscettibili ad attacchi informatici o usati per scopi differenti non appena avviene una modifica della privacy policy—pensiamo al panico generato dalla recente notizia di WhatsApp e dello scambio dati con Facebook

Questi dati vengono quotidianamente richiesti dalle forze dell’ordine: The Intercept ha svelato che l’FBI ha monitorato e ottenuto dati degli utenti di TikTok durante le proteste del movimento Black Lives Matter per l’uccisione, per mano della polizia, di George Floyd a maggio 2020.

Affermare poi che i nostri dati siano più al sicuro nelle mani di un’azienda statunitense rispetto ad una cinese è falso: la Corte di Giustizia europea ha confermato lo scorso luglio che le leggi sulla sorveglianza statunitensi non offrono garanzie per i cittadini di altri stati. Se i nostri dati sono in un server negli USA, sono in pericolo. 

Al momento il Garante privacy italiano ha aperto un’istruttoria nei confronti di TikTok per verificare come l’app gestisca i dati dei minori, come implementi il divieto di iscrizione al di sotto di 13 anni, e fare chiarezza sui tempi di conservazione dei dati e sul loro trasferimento nei Paesi extra UE. Giusto questa settimana, inoltre, TikTok ha annunciato che i profili dei minori di 16 anni diventeranno privati. In parallelo, in Regno Unito, una bambina di 12 anni ha fatto causa a TikTok ritenendo che l'app raccolga ed elabori i dati dei bambini per alimentare il suo algoritmo di raccomandazione video, catturare l'attenzione degli spettatori e generare quindi guadagni con le pubblicità.

Decidere se cancellare TikTok, come qualsiasi altra app, dal telefono è una scelta personale. Ma è bene sapere che usare la app senza un account non significa passarle davanti del tutto inosservati.