arrow_back Blog
product

Perché non tracciamo la posizione: la nostra promessa sulla privacy

By I'm Okay Team ·

La maggior parte delle app per la sicurezza familiare traccia la posizione. Noi no.

È una scelta deliberata, che influenza quasi ogni aspetto del funzionamento di I’m Okay. Ci viene chiesto continuamente — dagli utenti, dai recensori, da potenziali acquirenti — quindi questa è la risposta completa.

La promessa

I’m Okay raccoglie due cose:

  1. Gli indirizzi email dei contatti che aggiungete esplicitamente (così possiamo avvisarli se saltate un check-in)
  2. I timestamp dei vostri check-in

Questo è tutto. Da notare l’assenza di: qualsiasi informazione personale che vi riguardi. I’m Okay non richiede registrazione — niente email, niente password, nessun account. L’app vi identifica tramite un identificatore anonimo, specifico per il dispositivo. Non conosciamo il vostro nome. Non abbiamo la vostra email. Non siamo in grado, autonomamente, di collegare i vostri check-in a un’identità reale.

Non raccogliamo:

  • La vostra posizione, mai
  • I vostri dati sanitari
  • I dati dell’accelerometro, del giroscopio o degli altri sensori del vostro telefono
  • I vostri contatti, al di là degli 1–3 che aggiungete esplicitamente
  • La cronologia di navigazione o l’utilizzo delle app
  • Foto, microfono o fotocamera
  • Nessuna “analisi del comportamento” o “pattern d’uso”

Se una funzionalità richiedesse di iniziare a raccogliere qualcosa da questo elenco, non la svilupperemo.

Perché questo è importante

Ci sono tre ragioni per cui abbiamo scelto di non raccogliere dati, nell’ordine approssimativo in cui si sono presentate durante la progettazione.

1. La sorveglianza cambia la relazione

Un’app di check-in quotidiano occupa uno spazio emotivo delicato: quello tra un genitore anziano e un figlio adulto. L’obiettivo dell’app è alleviare l’ansia di entrambi — quella del genitore (“voglio essere indipendente”) e quella del figlio (“voglio sapere che sta bene”).

Non appena l’app inizia a raccogliere più del minimo indispensabile, quell’equilibrio emotivo si spezza. Il genitore si sente osservato. Il figlio dispone di più dati da interpretare in modo ossessivo. L’app, invece di essere una fonte di sollievo, diventa una nuova fonte di disagio.

Un’app di check-in dovrebbe rendere la relazione più semplice, non più controllata. Questo è possibile solo se l’app raccoglie quasi nulla.

2. I dati che non avete non possono essere usati in modo improprio

Ogni byte di dati raccolti da un’azienda è una potenziale responsabilità futura. Le violazioni dei dati accadono. Le acquisizioni accadono. Le citazioni in giudizio accadono. Gli errori interni accadono.

Uno studio del 2022 condotto da IBM e Ponemon ha rilevato che il costo medio di una violazione dei dati era di 4,35 milioni di dollari. Quel numero è in aumento. E il costo per l’azienda non è l’unica metrica rilevante — per gli utenti, il costo di vedere i propri spostamenti, dati sanitari e abitudini esposti in una violazione è concretamente grave.

La difesa più semplice è: non raccoglierli in primo luogo. Non possiamo perdere ciò che non abbiamo. Non possiamo essere citati in giudizio per ciò che non abbiamo. Non possiamo essere tentati di monetizzare ciò che non abbiamo.

3. Non vogliamo il modello di business che richiede i dati

Una volta che un’azienda raccoglie dati degli utenti su larga scala, la spinta gravitazionale verso la loro monetizzazione è enorme. Anche le aziende nate con buone intenzioni tendono a deviare. I dati di localizzazione, in particolare, hanno un valore enorme per inserzionisti, rivenditori e intermediari di dati.

Non vogliamo operare in quel settore. Vogliamo essere un prodotto piccolo e focalizzato, con un modello di abbonamento sostenibile: gli utenti che desiderano funzionalità avanzate possono abbonarsi tramite l’App Store a una tariffa mensile contenuta (prezzi aggiornati sull’App Store), forniamo un servizio utile, non possediamo alcun meccanismo di sorveglianza, non dobbiamo nulla agli inserzionisti.

Questo è possibile solo se non iniziamo mai a raccogliere i dati fin dall’inizio.

Cosa perdiamo non tracciando la posizione

Il compromesso è reale. Senza dati di localizzazione, I’m Okay non può:

  • Dirvi se vostro genitore è a casa o fuori
  • Rilevare se si è allontanato da un’area insolita
  • Confermare che è arrivato all’appuntamento dal medico
  • Avvisarvi se si trova in ospedale da più di un’ora

Se avete davvero bisogno di queste funzionalità, Life360 e app simili esistono e le gestiscono bene. Non stiamo cercando di imitarle.

Ciò che I’m Okay fa invece è rispondere alla versione più semplice della domanda “mio genitore sta bene oggi?” — usando un singolo tocco quotidiano come segnale sì/no. È una domanda molto più limitata rispetto a “dove si trova mio genitore in questo momento?”, ma si rivela essere quella a cui la maggior parte delle famiglie vuole davvero una risposta.

E il “rilevamento delle cadute” e funzionalità simili?

Ci è stato chiesto di aggiungere il rilevamento delle cadute, il monitoraggio del sonno, il controllo della frequenza cardiaca e altre funzionalità basate sui sensori. Abbiamo declinato tutte queste richieste.

Le ragioni:

  • Il rilevamento delle cadute richiede i dati dell’accelerometro, il che implica un’elaborazione continua in background e potenziali falsi positivi che minano la fiducia nell’intero sistema.
  • Il monitoraggio del sonno richiede che l’utente indossi qualcosa di notte, un passo che la maggior parte degli anziani autonomi non compirebbe in modo costante.
  • Il monitoraggio della frequenza cardiaca duplica ciò che fa un Apple Watch per chi lo desidera, e non aggiunge alcun valore su uno smartphone dove non è possibile misurare la frequenza cardiaca con precisione.

Queste funzionalità sembrano convincenti nella comunicazione di marketing, ma raramente funzionano bene nella pratica. Richiedono inoltre una maggiore raccolta di dati, un maggior consumo della batteria, più sensori — esattamente ciò che stiamo cercando di evitare.

Se volete il rilevamento delle cadute, l’Apple Watch è eccellente. Se volete il monitoraggio del sonno, esistono app dedicate. I’m Okay resta concentrata sull’unica cosa che fa bene: il check-in quotidiano.

E le analisi? Non è necessario sapere come le persone usano l’app?

Un poco. Utilizziamo le analisi minime fornite da Apple (anonime, aggregate, con possibilità di disattivazione) per comprendere elementi come i tassi di crash e le versioni del sistema operativo da supportare. Non utilizziamo Google Analytics, Mixpanel, Amplitude, Facebook SDK o altri strumenti di analisi di terze parti nell’app.

Il sito web di marketing (questo sito) utilizza Google Analytics 4 per la misurazione del traffico, perché abbiamo bisogno di capire quali contenuti siano utili. Lo abbiamo configurato per non raccogliere indirizzi IP né dati identificativi oltre alle metriche aggregate standard.

Questo è il minimo indispensabile per operare. Lo trattiamo come un debito — utile per ora, candidato alla rimozione in futuro.

La nostra funzionalità “Just in Case” è l’opposto della sorveglianza

Se avete utilizzato la funzionalità Just in Case di I’m Okay, potreste chiedervi come si concili con la nostra posizione sulla privacy.

Just in Case vi permette di scrivere un messaggio privato che viene inviato al vostro contatto di fiducia solo se smettete di fare il check-in per un periodo prolungato (2, 3 o 5 giorni mancati, a vostra scelta). È un messaggio opt-in, scritto da voi, che non leggiamo mai — come una lettera sigillata che si apre solo in presenza di una condizione specifica.

Questo è l’opposto della sorveglianza:

  • Il messaggio è vostro, scritto da voi, e non viene mai letto da noi.
  • È cifrato a riposo.
  • La condizione di attivazione viene impostata da voi.
  • Ricevete una notifica prima che qualsiasi messaggio venga inviato (così potete annullare se siete semplicemente in vacanza).

Questo tipo di funzionalità è possibile solo perché non stiamo effettuando anche una sorveglianza in background — non c’è alcuna tensione perché non abbiamo mai iniziato.

Come gestiamo i dati che effettivamente possediamo

Le due cose che archiviamo (email dei contatti, timestamp dei check-in) sono:

  • Cifrate in transito (HTTPS per tutte le chiamate API)
  • Cifrate a riposo (cifratura a livello di database nel nostro backend)
  • Mai vendute né condivise con terze parti per alcuno scopo
  • Eliminate su richiesta entro 30 giorni dalla richiesta di cancellazione dei dati (non c’è alcun account da chiudere, poiché non esiste alcun account in primo luogo)
  • Non utilizzate per la pubblicità (non mostriamo annunci)

I dati vengono elaborati su infrastruttura cloud (in questo caso AWS), il che significa che il nostro provider di hosting ha un accesso teorico — come avviene con qualsiasi servizio web moderno. Non riteniamo questa situazione ideale, ma è un compromesso pragmatico. I dati sono così limitati che, anche in caso di violazione dell’intero database, il danno pratico si ridurrebbe a potenziali email di spam agli indirizzi dei vostri contatti.

Cosa speriamo di cambiare

Siamo un prodotto di piccole dimensioni. Non ci aspettiamo di trasformare da soli la categoria delle app per la sicurezza familiare. Ma vogliamo dimostrare qualcosa agli altri sviluppatori in questo settore:

È possibile creare un prodotto utile per la sicurezza familiare senza raccogliere dati di localizzazione, sanitari o comportamentali. È possibile sostenerlo con un piccolo abbonamento. È possibile distribuirlo senza un modello di business di sorveglianza finanziato da venture capital.

Che altre aziende seguano o meno il nostro esempio, questo è il prodotto che vorremmo usare noi stessi — e che speriamo i nostri genitori userebbero.

Domande frequenti

Potete dimostrare che non state raccogliendo dati di localizzazione? Non in senso assoluto — sarebbe necessario verificare il nostro codice sorgente e la nostra infrastruttura. Tuttavia, potete controllarlo voi stessi: I’m Okay non richiede il permesso di accesso alla posizione di iOS. iOS stesso impone che un’app non possa accedere alla posizione senza il pop-up di autorizzazione. Se volessimo iniziare a tracciare la posizione, dovremmo richiedere il permesso tramite una finestra di dialogo visibile a livello di sistema operativo. Quindi, come minimo: finché non vedrete quella finestra di dialogo, potete essere certi che i dati di localizzazione non vengono trasmessi.

Cosa succede se ricevete una citazione in giudizio? Ottemperiamo a qualsiasi richiesta legale valida, come qualsiasi azienda con sede negli Stati Uniti è tenuta a fare. Ma ciò che possiamo fornire è limitato ai dati che possediamo: indirizzi email e timestamp dei check-in. Non disponiamo di cronologia delle posizioni, né della lista dei contatti (al di là degli 1–3 aggiunti esplicitamente), né del contenuto dei messaggi (il messaggio Just in Case è cifrato e non lo archiviamo in testo normale).

Aggiungerete mai funzionalità di tracciamento? No. La nostra posizione contro il tracciamento è indicata nei nostri Termini di Servizio e la considereremmo una modifica sostanziale al prodotto qualora volessimo mai deviare da essa. Se vedeste I’m Okay aggiungere il tracciamento della posizione, della salute o del comportamento, dovreste considerarla un prodotto diverso.

Cosa succede in caso di acquisizione? Lo stesso impegno alla minimizzazione dei dati dovrebbe essere mantenuto. Abbiamo strutturato questo come una parte non negoziabile del prodotto, non come un’affermazione di marketing. Dal punto di vista pratico, poiché non possediamo nessuno di quei dati, un acquirente non avrebbe nulla da monetizzare anche se lo volesse.

La maggior parte degli utenti non vuole più funzionalità? Alcuni sì. Abbiamo accettato il fatto di non essere adatti a loro. Esiste un mercato reale per le app familiari ricche di funzionalità di sorveglianza, e queste app sono ben finanziate. Noi ci rivolgiamo al pubblico molto più ristretto (ma reale) di utenti — e famiglie — che vogliono esattamente l’opposto.

Crediamo che la privacy non sia una funzionalità da aggiungere in seguito. È un vincolo di partenza che plasma tutto il resto. I’m Okay è ciò che diventa un’app di check-in quotidiano quando la privacy è il vincolo che viene prima di tutto.

Se questo approccio vi convince, saremo felici che la proviate — gratuita per 1 contatto, senza GPS, senza monitoraggio.

#privacy#design philosophy#data minimalism

Related articles