TL;DR. L'“etichetta nutrizionale” sulla privacy di Apple è l'unica superficie di divulgazione sulla privacy nel settore tech con applicazione strutturale. La maggior parte delle app dichiara un'ampia raccolta di dati collegata all'identità dell'utente. L'etichetta dell'app iOS di Ostler dichiara zero tracciamento e nessun dato collegato, perché non esiste alcun server Ostler a cui collegare i dati. È l'architettura a scrivere l'etichetta, non l'avvocato.
La maggior parte delle persone non legge le informative sulla privacy. Nessuno lo fa. Uno studio del 2008 alla Carnegie Mellon ha rilevato che leggere ogni informativa in cui ci si imbatte in un anno richiederebbe settantasei giorni lavorativi, e le informative si sono allungate da allora. Il risultato è un mercato in cui le promesse sul trattamento dei dati non costano nulla da fare e raramente costano qualcosa da infrangere.
C'è esattamente un punto in cui questo è cambiato. Da dicembre 2020 ogni app dell'App Store iOS viene distribuita con un modulo di divulgazione strutturato che Apple chiama etichetta nutrizionale sulla privacy. Si trova sulla pagina prodotto dell'app, sopra le schermate. Gli utenti la scorrono. I giornalisti ne fanno screenshot. Apple la fa rispettare. Le app che mentono sul modulo vengono rimosse dallo store, e Apple le ha rimosse.
È, di gran lunga, la superficie di divulgazione sulla privacy più affidabile nella tecnologia di consumo. E a differenza di un'informativa sulla privacy, non lascia allo sviluppatore margine per essere eloquente. È un modulo. Spunti delle caselle.
Cosa chiede davvero il modulo
L'etichetta organizza ogni elemento di dati che un'app tocca in una di tre categorie, in ordine decrescente di preoccupazione.
Dati usati per tracciarti. Il tracciamento, nella definizione di Apple, significa collegare i dati raccolti da questa app con dati raccolti da altre aziende, a fini pubblicitari o di misurazione. Significa anche inviare dati a un broker di dati. Se un'app dichiara qualcosa qui, Apple mostra all'utente un avviso al primo avvio dell'app, chiedendo il permesso. La maggior parte degli utenti dice no, ed è il motivo per cui la categoria esiste affatto.
Dati collegati a te. Dati che l'app raccoglie e che sono legati alla tua identità tramite un account, un ID dispositivo o un identificatore simile. I dati non vengono venduti né incrociati, ma lo sviluppatore li detiene e potrebbe, in linea di principio, cercarli per utente.
Dati non collegati a te. Dati che l'app tocca per funzionare, ma che non associa mai a un identificatore utente persistente. Il caso classico è un'app di mappe che sa dove ti trovi in questo momento per disegnare una mappa, ma non registra quella posizione rispetto a un account.
Dati non raccolti. Si spiega da sé.
Le categorie sono a cascata. Un'app che riporta “Dati non raccolti” su tutta la linea è la creatura più rara dello store, per lo più calcolatrici e giochi offline. Un'app che riporta tutto come “Collegato a te” è la norma del cloud. Quasi ogni app di consumo si colloca da qualche parte in mezzo, e l'unica colonna che determina il segnale sociale dell'etichetta è la prima: se l'app traccia.
Cosa dice l'etichetta dell'app iOS di Ostler
Ecco cosa dichiara il manifest PrivacyInfo.xcprivacy dell'app iOS di Ostler, riga per riga. Il manifest è la fonte di verità da cui l'etichetta nutrizionale di Apple viene generata al momento dell'invio; mentire sull'etichetta mentre il manifest racconta una storia diversa viene rilevato automaticamente.
| Categoria Apple | Risposta dell'app iOS di Ostler |
|---|---|
| Dati usati per tracciarti | Niente. L'app dichiara NSPrivacyTracking: false. |
| Dati collegati a te | Niente. Non esiste alcun sistema di account a cui collegare i dati. |
| Dati non collegati a te | Cinque voci: Salute, Fitness, Posizione precisa, Foto o video, Altro contenuto utente. |
| Dati non raccolti | Tutto il resto. |
Le cinque voci nella colonna “Non collegati” sono i tipi di dati che l'app tocca per conto dell'utente, sul dispositivo dell'utente. Salute e Fitness significano che l'app può leggere da Apple Health per arricchire la cronologia dell'utente. Posizione precisa significa che l'app registra dove è stato l'utente, sul Mac dell'utente stesso. Foto significa che l'app legge la data di creazione e i metadati di posizione, mai le immagini stesse. Altro contenuto utente copre trascrizioni e frammenti di conversazione che l'utente ha scelto di catturare.
Ciascuna di queste voci è contrassegnata con “Funzionalità dell'app” come finalità, che è l'uso più ristretto consentito da Apple. Nessuna di esse è contrassegnata come Collegata. Nessuna di esse è contrassegnata come Tracciamento. Abbiamo anche controllato il codice per ogni SDK di tracciamento dell'elenco standard del settore: Firebase, Sentry, Mixpanel, Amplitude, Segment, PostHog, AppsFlyer, Adjust, Google Analytics, Crashlytics, Bugsnag, Datadog. Nessuno di essi è presente. Abbiamo cercato qualsiasi codice che chieda a iOS un identificatore pubblicitario, o che attiverebbe l'avviso “Consenti a questa app di tracciare la tua attività” che la maggior parte delle app mostra al primo avvio. Niente di tutto ciò è presente. Quell'avviso non comparirà mai perché non c'è nulla nell'app che lo attiverebbe.
Perché questo è automatico, non virtuoso
La tentazione, leggendo la tabella qui sopra, è di presumere una disciplina insolita sul lato ingegneristico, un team che tiene la linea contro gli SDK di tracciamento per pura forza di volontà. Non esiste una tale disciplina. L'etichetta appare così perché l'architettura rende impossibile qualsiasi altra etichetta.
Ostler si fonda su un'unica regola. L'Hub, un'app macOS ad acquisto unico, vive sul Mac del cliente stesso. L'app iOS parla con l'Hub sulla rete domestica del cliente. I dati personali non lasciano mai il dispositivo del cliente. Il modello di ragionamento, un LLM locale, gira sull'Hub. Il grafo di conoscenza personale, che cresce fino a milioni di relazioni e centinaia di migliaia di riferimenti incorporati per un utente attivo, vive sul disco dell'Hub. Il viaggio di andata e ritorno verso il cloud che gli altri prodotti di IA personale compiono per l'inferenza semplicemente non avviene.
Quell'unica scelta architettonica scrive l'intera etichetta nutrizionale. Senza server Ostler, non c'è nulla verso cui l'app iOS possa telefonare a casa. Senza account Ostler, non c'è alcuna identità a cui collegare i dati. Senza SDK di terze parti nel bundle, non c'è alcuna superficie attraverso cui un broker di dati possa essere introdotto in seguito senza che venga notato in una revisione del codice. La colonna “Non collegati a te” si legge così com'è perché, in primo luogo, non c'è alcun “te” nel database di Ostler. L'Hub di un cliente è l'Hub di un cliente, e noi non abbiamo alcuna visione al suo interno.
Perché le altre app non possono seguire l'esempio
Il costo strutturale di cambiare un'etichetta nutrizionale è la parte di cui non si discute. La maggior parte delle app di consumo nello spazio dell'IA personale è cloud-first per necessità. Il modello gira sulle GPU dello sviluppatore perché il modello è troppo grande per stare sul telefono dell'utente. Per far girare il modello sulle GPU dello sviluppatore, i dati dell'utente devono raggiungere le GPU dello sviluppatore. Per rendere l'esperienza coerente tra sessioni e dispositivi, i dati devono essere collegati a un account. Per pagare le GPU, lo sviluppatore deve sapere quale account ha usato quanto. Ognuna di queste decisioni scrive un'altra riga in “Dati collegati a te”, e l'architettura non può essere smontata senza riscrivere il prodotto dalle prese di corrente in su.
Un'informativa sulla privacy può essere riscritta in un pomeriggio. Un'etichetta nutrizionale è una funzione del binario. Quando Apple aziona l'interruttore che richiede un'etichetta reale, l'etichetta dice la verità sul codice, che lo sviluppatore lo voglia o no.
Ostler ha compiuto il passo costruendo local-first dal primo giorno. Otto mesi di impegno architettonico, due brevetti provvisori depositati sulla pipeline, e una forma di distribuzione progettata attorno alla macchina del cliente stesso. La ricompensa è un'etichetta nutrizionale che non richiede alcun paragrafo di precisazione sotto di essa. The world does revolve around you.™ Il modulo sull'App Store lo dice con le parole di Apple, non con le nostre.
È l'architettura a scrivere l'etichetta. Non l'avvocato.
Domande, correzioni, disaccordi – [email protected].