Come fanno ad avere il mio numero di cellulare? ZetaTiElle -

Quanti di voi ricevono telefonate dai call center e poi si chiedono “ma come fanno ad avere il mio numero di cellulare?”. Ecco tutto quello che dovete sapere

Nei giorni scorsi è scoppiata una piccola bomba mediatica: i numeri di telefono di politici, attori, cantanti e altri personaggi famosi sarebbero finiti online. I giornali hanno parlato di “violazione della privacy”, “fuga di dati”, “sicurezza bucata”. Insomma, sembrava lo scenario di un film di spionaggio, con hacker misteriosi e server violati nella notte.

Non è proprio così.

In realtà, nessun pirata informatico si è introdotto nei server del Parlamento o nei cloud dei VIP. I numeri (e spesso anche gli indirizzi email e altre informazioni personali) si possono ottenere in modo molto più semplice e, soprattutto, in modo perfettamente legale, almeno negli Stati Uniti. Basta pagare un abbonamento a servizi come RocketReach o Lusha, e con pochi clic si possono ottenere i contatti di praticamente chiunque.

Dove è legale raccogliere dati personali?

Negli USA funziona così: se qualcosa non è espressamente vietato, di solito è permesso. E infatti, queste piattaforme agiscono alla luce del sole. Questo genere di servizi vengono spesso usati da aziende e professionisti per motivi lavorativi, come il recruiting, il marketing, le vendite. Il problema, però, nasce quando i loro dati iniziano a riguardare anche persone che vivono fuori dagli Stati Uniti. Per esempio, in Europa.

E qui entra in gioco il GDPR, il Regolamento europeo sulla protezione dei dati personali. In parole povere: in Italia (e nel resto dell’Unione) non puoi raccogliere e vendere i numeri di telefono delle persone senza il loro consenso. Neanche se quei dati sono già pubblici da qualche parte, neanche se pensi che siano utili. E men che meno puoi farlo per poi far partire telefonate commerciali a freddo.

Quindi no, non si tratta di hacker o attacchi informatici: si tratta di un grigio legale internazionale in cui ciò che è legale in un Paese, diventa problematico in un altro. E il risultato è che certi dati fanno il giro del mondo senza che nessuno, nemmeno il diretto interessato, lo sappia.

Lusha, RocketReach & Co: il supermercato dei contatti personali

Immagina di entrare in un supermercato. Solo che invece di latte e biscotti, sugli scaffali trovi email, numeri di cellulare, ruoli aziendali, profili LinkedIn, magari anche l’indirizzo di casa. E no, non stiamo parlando del dark web, ma di piattaforme legalissime e molto famose negli Stati Uniti come Lusha e RocketReach.

A cosa serve? La risposta ce l’abbiamo nel nostro smartphone, ogni volta che siamo contattati dall’ennesimo call center. Queste piattaforme di servizi sono utilizzate principalmente da chi fa marketing, vendite, head hunting. Se lavori in un’azienda americana e vuoi trovare il numero del direttore acquisti di un’azienda italiana, con questi strumenti lo trovi in un attimo.

Il principio è semplice: tu paghi un abbonamento e hai accesso ai dati che ti interessano. La versione base di solito ti offre una manciata di contatti al mese, quella premium ti apre tutte le porte.

Fin qui, tutto liscio. Ma se quei dati appartengono a persone che vivono in Italia, le cose si complicano. Come in tutta Europa, anche in Italia c’è una legge che si chiama GDPR (General Data Protection Regulation), ed è abbastanza chiara: i tuoi dati personali sono tuoi, e nessuno può usarli, venderli o anche solo raccoglierli senza il tuo consenso.

Come fanno ad avere il mio numero di cellulare?

Quindi se una società americana ti include nel suo database senza che tu abbia mai dato il consenso, si crea il problema, perché un Paese, come ad esempio l’Italia, dove questa pratica è illegale, non può impedire ad un altro Paese, come gli Stati Uniti, di offrire servizi che nel suo territorio sono legali. E se poi qualcuno ti chiama per proporti un nuovo piano telefonico o un appartamento in affitto, è molto probabile che quella chiamata parta proprio grazie a dati raccolti da questi servizi.

Il cortocircuito è evidente: da una parte c’è un’industria legale (e super redditizia) in America, dall’altra ci sono milioni di persone europee che magari ricevono telefonate non richieste e si chiedono: “Ma come fanno ad avere il mio numero di cellulare?”.

La risposta è: nessuno gliel’ha dato consapevolmente. È stato raccolto, incrociato, comprato e rivenduto da piattaforme che operano in quella sottile zona grigia tra “si può fare” e “non si dovrebbe”. E adesso, anche le autorità italiane hanno iniziato a muoversi.

Il Garante interviene…

In tutto questo marasma di numeri in libertà, il Garante per la protezione dei dati personali (GPDP) ha immediatamente preso provvedimenti. Dopo aver ricevuto diverse segnalazioni da parte di cittadini italiani (compresi alcuni “vip” e rappresentanti delle istituzioni), ha aperto un’istruttoria nei confronti di Lusha, una delle società americane più chiacchierate in questo momento.

I dati presenti sulla piattaforma includono anche numeri di telefono di persone che vivono in Italia, non solo quello della Meloni o di Mattarella, ma anche di personaggi dello spettacolo e, soprattutto, privati cittadini, tutti teoricamente protetti dal GDPR. Alcuni utenti hanno segnalato di aver ricevuto chiamate promozionali sospette, e in molti casi quei contatti sembrano proprio provenire dai database di queste società.

Il Garante ha quindi inviato a Lusha una richiesta di chiarimenti e la società dovrà rispondere: quanti dati di persone italiane sono stati raccolti? Da dove arrivano questi dati? Viene chiesto il consenso per usarli a scopi pubblicitari? E i dati di chi non usa la piattaforma, come finiscono lì?

…e Lusha finisce nel mirino della giustizia

Quindi, la società, in particolare, dovrà specificare quanti siano i dati di persone che vivono in Italia raccolti o trattati, chiarire le modalità di raccolta e fornire maggiori informazioni su ciascuna fonte che alimenta il proprio database. Lusha, inoltre, dovrà chiarire se sono oggetto di trattamento i dati personali di utenti che non utilizzano la piattaforma e, con particolare riguardo agli indirizzi e-mail e ai numeri di telefono. Inoltre, dovrà specificare: le fonti di acquisizione; se l’acquisizione avviene con il consenso per l’invio di comunicazioni commerciali o pubblicitarie o il compimento di ricerche di mercato; le finalità per le quali tali dati vengono comunicati agli utenti e la relativa richiesta di consenso (fonte GPDP).

In pratica, si vuole capire se Lusha stia trattando illegalmente dati di cittadini italiani, anche se la società è basata all’estero. Perché sì, una cosa è certa: anche se un’azienda ha sede negli Stati Uniti, non può fare tutto ciò che vuole con i dati degli europei.

Insomma, la questione è tutt’altro che chiusa. Il Garante ha dato a Lusha 20 giorni di tempo per rispondere. E se le risposte non saranno convincenti, potrebbero partire sanzioni e divieti d’uso del servizio in Italia.

E allora, nel frattempo, come possiamo difenderci? Cosa possiamo fare? La risposta, sotto la foto.

Come fanno ad avere il mio numero di cellulare - screenshot schermata del sito Lusha — Come fanno ad avere il mio numero di cellulare – screenshot schermata del sito Lusha

Cosa possiamo fare (oltre a non rispondere ai numeri sconosciuti)

Ora che sappiamo come fanno ad avere il numero di cellulare e che i nostri dati possono finire in giro anche senza essere stati rubati, ma semplicemente comprati, la domanda è: che si fa? Possiamo difenderci? Dobbiamo andare a vivere in una grotta senza Wi-Fi?

La buona notizia è che qualche strumento c’è. Intanto, possiamo verificare se i nostri dati compaiono in uno di questi database. Alcuni servizi permettono di fare una ricerca inserendo il proprio nome o la propria email. Se il risultato è positivo, di solito è possibile chiedere la rimozione dei dati. Non sempre è semplice, ma spesso funziona.

Inoltre, si può inviare una richiesta formale di cancellazione (detta anche “opt-out”) direttamente alle società coinvolte, esercitando il proprio diritto alla cancellazione previsto dal GDPR. E se la società fa orecchie da mercante? Si può sempre segnalare tutto al Garante della Privacy, che ha l’autorità per intervenire.

È anche utile ricordare che noi stessi spesso regaliamo informazioni personali con grande entusiasmo. Profili LinkedIn pubblici, post su social e forum, iscrizioni a giochi e servizi online: tutto ciò può diventare una fonte per questi database. Ora non serve andare in panico, ma solo di essere un po’ più consapevoli.

Non tutto il male viene dagli hacker

E infine, no, non è colpa degli hacker. Nessuno ha violato una banca dati segreta dei servizi segreti. È tutto legale (almeno da qualche parte del mondo). Ed è proprio questo il punto: il problema è che qualcuno sta facendo business con i nostri dati, in un sistema globale dove le leggi non sempre si parlano tra loro.

Quindi, prima di indignarci per la “fuga di dati dei politici e dei VIP”, forse dovremmo chiederci: e i nostri? Dove sono finiti? E chi li sta usando?

Nel dubbio, se vi chiamano perché hanno valutato il curriculum che non avete mai spedito o un nuovo abbonamento alla fibra, potete sempre rispondere: “Scusate, ma dove avete trovato il mio numero?”. Magari vi rispondono: “Su Lusha”.

Foto Copertina Gerd Altmann da Pixabay