Unroll.me rovistava un po’ troppo nelle email dei suoi iscritti

Unroll.me – il servizio per annullare da una sola pagina le iscrizioni a diverse newsletter – ha chiuso un contenzioso con la Federal Trade Commission (FTC), l’agenzia governativa degli Stati Uniti che tra le altre cose si occupa di privacy, per la rimozione di una grande quantità di dati personali raccolti dai suoi utenti a condivisi con altre aziende a loro insaputa. L’accordo è arrivato a un paio di anni dalle prime inchieste giornalistiche che avevano svelato come Unroll.me, un servizio che stava diventando molto popolare per gestire più facilmente le iscrizioni alle proprie newsletter, adottasse pratiche per rivendere i dati dei suoi utenti senza avvisarli esplicitamente.

L’iscrizione a un sito o l’acquisto di un prodotto online implica spesso che si venga iscritti a una newsletter, talvolta senza nemmeno accorgersene, con la quale le aziende possono raggiungere periodicamente i loro clienti per fornire informazioni tramite email sui loro prodotti e i loro servizi. Spesso l’iscrizione avviene contestualmente alla creazione di un account, ed è una delle tante opzioni tra cui scegliere insieme a quelle per dare il consenso all’utilizzo dei propri dati personali. Il risultato è che nel tempo ci si trova iscritti a decine di newsletter, con le conseguenti complicazioni per annullare le iscrizioni da ciascuna di esse.

Negli scorsi anni Unroll.me ottenne un crescente successo offrendo un servizio che permetteva di gestire tutte le iscrizioni alle newsletter da un unico sito, semplificando le procedure per annullarle. Il sistema è ancora disponibile nei paesi non europei (dove ci sono regole meno severe sulla gestione dei dati personali) e implica che si dia il permesso ad Unroll.me per accedere alla propria casella di posta elettronica in modo che possa analizzarne il contenuto, riconoscere la presenza delle newsletter e creare un elenco, dal quale selezionare le iscrizioni da annullare.

Nel 2017, il New York Times pubblicò un articolo nel quale rivelava che Unroll.me non raccoglieva i dati solamente per il suo servizio, ma che li passava a Slice Intelligence, l’azienda che la controlla, per ulteriori analisi statistiche che venivano poi rivendute a società terze. Unroll.me aveva sommerso l’esistenza di questa pratica nei suoi “Termini di servizio” e non forniva informazioni chiare agli utenti, al momento della loro iscrizione e dell’attivazione del sistema per controllare le loro caselle email.

In seguito all’articolo pubblicato sul New York Times, il CEO di Unroll.me, Jojo Hedaya, aveva scritto un messaggio agli iscritti nel quale aveva ritenuto di non scusarsi per nulla per le pratiche portate avanti dall’azienda. Definì “straziante” il fatto che diversi utenti avessero protestato per il modo in cui l’azienda traeva ricavi dal servizio, cioè vendendo i loro dati ad altri. Altri responsabili di Unroll.me usarono un tono simile, arrivando a sostenere che si dovesse vivere su un’isola deserta per non avere idea che l’azienda producesse in qualche modo i ricavi tramite i dati raccolti.

L’accordo stretto con la FTC per risolvere un contenzioso avviato da diversi utenti è ritenuto comunque insufficiente dagli esperti di privacy. La cancellazione dei dati riguarda un gruppo ristretto di persone, che avevano negato il consenso all’utilizzo dei dati e che erano state poi ricontattate da Unroll.me ricevendo rassicurazioni e informazioni lacunose per convincerle a fornire ugualmente l’accesso alle loro caselle di posta elettronica. Una delle comunicazioni standard, inviata a centinaia di persone che non avevano completato l’iscrizione, diceva espressamente: “non toccheremo le tue cose personali”, con rassicurazioni sulla privacy che non si riflettevano nelle pratiche poi seguite dall’azienda.

Per evitare multe e altre sanzioni, Unroll.me dovrà interrompere qualsiasi attività tesa a mascherare il modo in cui “raccoglie, utilizza, memorizza e condivide le informazioni che raccoglie dai suoi iscritti”. Gli utenti interessati dovranno inoltre ricevere una comunicazione nella quale vengono informati sull’avvenuta cancellazione dei loro dati ancora in possesso dell’azienda.

In Europa il servizio Unroll.com non è formalmente disponibile, perché la recente introduzione del nuovo regolamento sulla privacy nell’Unione Europea (GDPR) impone regole molto più strette alle aziende. Tuttavia, se si visita il sito da un paese europeo si può comunque dichiarare di essersi collegati da altrove, ottenendo quindi l’accesso al servizio.