Clubhouse non conforme al Gdpr. Napoletano: "Forte rischio privacy" - CorCom

L'APPROFONDIMENTO

Clubhouse non conforme al Gdpr. Napoletano: “Forte rischio privacy”

Timbro e tono della voce sono considerate dal regolamento Ue “dati biometrici” ma il social sembra non tenerne conto. Con effetti negativi sulla tutela dei dati personali degli utenti. L’analisi dell’avvocato dello Studio Legale Napoletano & Partners

16 Feb 2021

Enrico Napoletano

Studio Legale Napoletano & Partners

25 January 2021, Berlin: A user of the social media app Clubhouse shows her smartphone with the logo of the audio application. Photo: Christoph Dernbach/dpa

Nell’epoca del lockdown e della polverizzazione di ogni contatto umano che non passi attraverso post e like, la Silicon Valley butta giù l’asso. L’ultimo social made in Usa si chiama Clubhouse e nasce, almeno nell’idea, come una sorta di rivisitazione moderna del Symposium platonico, solo che in cornice, al posto del banchetto, delle Lenee e delle Grande Dionisie, ci sono stanze virtuali comodamente accessibili dal divano di casa propria. Tra gli interlocutori, non necessariamente il fiore degli intellettuali moderni, ma qualsiasi utente che su invito decida – più o meno liberamente – di scaricare l’app e partecipare ai podcast.

Il nuovo social, infatti, si basa unicamente sulla voce: è sull’esperienza vocale che ha puntato la Alpha Exploration Co., la startup casa madre di Clubhouse, per recuperare quella oralità e soprattutto sincronicità nei rapporti umani che la pandemia ha inevitabile negato, con lo scopo di creare un’esperienza social che sembrasse più umana possibile.

Niente foto da scattare, nessun video da registrare e nessun pensiero da caricare: solo una grande famiglia virtuale idealmente divisa in più stanze (o “rooms” nel linguaggio del social network) dove gli utenti, suddivisi in speaker, moderatori e ascoltatori, possono interagire in tempo reale.

L’idea – e soprattutto la strategia di marketing degli inviti e delle liste di attesa – è stata indubbiamente premiata, tanto che a meno di un anno dalla sua nascita la piattaforma, da piccola community di élite, conta nel mondo già oltre due milioni di iscritti.

Il vento della diffusione, specie nel continente europeo, ha però portato con sé innumerevoli critiche, specie relativamente alle garanzie offerte per la tutela dei dati personali degli utenti: il social network sembra infatti violare ogni più basilare principio imposto dalla vigente normativa europea in materia di privacy.

Le criticità emergono già sulla carta: basta leggere l’informativa sul trattamento dei dati personali, liberamente accessibile dal sito web, per notare come l’azienda non faccia alcuna menzione del Regolamento Europeo (o “Gdpr”), nonostante il social sia utilizzato anche da utenti del nostro continente.

Leggendo la Privacy Policy, aggiornata a Novembre 2020, emerge sin da subito l’assenza di ogni riferimento alla base giuridica che legittima la piattaforma, quale Titolare del trattamento, ad acquisire e quindi trattare i dati personali degli iscritti: già questo aspetto sarebbe sufficiente a ritenere non assolto il primo stadio del processo valutativo in ordine alla liceità del trattamento.

Anche a voler prescindere dal dato formale, il presupposto legittimamente del trattamento non potrebbe essere individuato nel consenso espresso dall’interessato al momento dell’installazione dell’app, dal momento che manca dei prerequisiti legali stabiliti dalla normativa privacy e desumibili dal combinato disposto degli artt. 4, par. 1, n. 11), 6, par. 1, lett. a), 7, 8 e dai Considerando 32, 42 e 43.

Difficile considerare “liberamente prestato” un consenso a Termini di Servizio nei quali si legge: “You use the Service at your own risk” (“Utilizzi il servizio a tuo rischio e pericolo”).

WHITEPAPER
Governance delle informazioni: come garantire sicurezza e conformità
Sicurezza

Allo stesso modo, non potrebbe mai definirsi libera e quindi incondizionata una manifestazione di volontà che, se negata, avrebbe come conseguenza l’impossibilità di usufruire della totalità del servizio, come fa sapere Clubhouse: By using the Service, you agree to the practices described in this Privacy Policy. If you do not agree to this Privacy Policy, please do not access the Site or otherwise use the Service” (“Utilizzando il Servizio, accetti le pratiche descritte nella presente Informativa sulla privacy. Se non accetti la presente Informativa sulla privacy, ti preghiamo di non accedere al Sito o di utilizzare in altro modo il Servizio”).

Il Gdpr, infatti, richiede che la prestazione del consenso sia correlata alle specifiche finalità (legittime) dichiarate dal Titolare nell’informativa, per cui l’utente dovrebbe essere lasciato libero di non acconsentire a trattamenti per scopi diversi ed ulteriori rispetto alla mera utilizzazione del servizio. Sul punto, il Regolamento non lascia adito a dubbi: “Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamenti di dati personali non necessario all’esecuzione di tale contratto” (art. 7, par. 4); il medesimo concetto è riportato nel Considerando 43, ove si legge che “Si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione” (C43).

Non è questo il caso di Clubhouse, che pone i potenziali utenti di fronte ad un’alternativa secca: “Prendere o lasciare”, oltretutto senza distinguere tra Privacy Policy e Termini di Servizio e  scaricando elegantemente sul potenziale utente, con una vera e propria dichiarazione di intenti, la responsabilità di eventuali incidenti che potrebbero verificarsi durante il trattamento, in palese violazione del principio cardine del GDPR della responsabilizzazione (o accountability) del Titolare del trattamento: “You expressly understand and agree that Alpha Exploration Co. will not be liable for any indirect, incidental, consequential, exemplary damages (…) resulting from (III) unauthorized access to or alteration of your trasmissions or data; (IV) statements or conduct of any third party on the service; or (V) any other matter relating to the service” (“Riconosci e accetti espressamente che Alpha Exploration Co. non sarà responsabile di alcun danno indiretto, accidentale, speciale, consequenziale, esemplare (…) derivante da: (…) (III) accesso non autorizzato o alterazione delle tue condivisioni o dei tuoi dati; (IV) dichiarazioni o condotte di terzi sul servizio; o (IV) qualsiasi altra questione relativa al servizio”).

Qualcuno potrebbe rispondere che in fondo, rispetto ad altre piattaforme social più tradizionali che ospitano foto e video che ci ritraggono in primo piano, o messaggi scritti con informazioni sensibili, l’unico contenuto fruibile su Clubhouse sono conversazioni vocali, per cui i rischi sono tutto sommato tollerabili.

In realtà, l’interazione vocale è semmai più difficile da gestire e da tutelare rispetto a contenuti che rimangono chiaramente visibili per molto tempo, non fosse altro perché il fatto che le conversazioni si svolgono in tempo reale e (almeno in teoria) non vengono registrate, rende necessario intervenire tempestivamente in caso di illeciti, senza poter attendere l’attivazione dei normali strumenti di tutela.

Anzi, la mancanza di una idonea base giuridica di trattamento risulta ancora più allarmante alla luce della particolare natura dei dati personali trattati.

Sotto questo profilo, va infatti rammentato che il timbro e il tono della voce, in quanto informazioni che si riferiscono ad una caratteristica fisica dell’individuo, laddove consentano l’identificazione univoca dell’interessato a cui il dato appartiene costituiscono per il Gdpr dati biometrici e in quanto tali sono soggetti ad uno standard di tutela rafforzato rispetto ai dati personali comuni. La maggiore tutela si esplica, oltre che nella necessità di approntare presidi tecnici ed organizzativi rinforzati, in un’inversione del modello normativo di liceità del trattamento: infatti, mutando l’approccio di fondo nella costruzione dell’operatività delle condizioni di liceità del trattamento, il legislatore europeo ha previsto per i dati particolari un generale divieto di trattamento (art. 9, co. 1), derogabile, in assenza del consenso esplicito dell’interessato, solo in ipotesi tassative in grado di ripristinare la giuridicità del trattamento e quindi consentirlo (art. 9, co. 2), che tuttavia non ricorrono nel caso del social network.

L’effettiva volontarietà dell’adesione dell’utente alla piattaforma viene ostacolata, se non di fatto impedita, anche dalle modalità con cui l’informativa privacy enuclea le finalità del trattamento.

Solo per citarne alcuni, si parla genericamente di “possibilità” che “in determinate circostanze” Clubhouse, senza ulteriore avviso, condivida i dati personali degli utenti con terze parti o affiliati non meglio specificati: anche negli Stati Uniti – come espressamente previsto al punto 10 (“Utenti internazionali”) – con ciò ponendosi in scontro frontale con l’attuale scenario giuridico in punto di trasferimento transfrontaliero dei dati personali degli utenti europei, inevitabilmente segnato dalla decisione della Corte di Giustizia dell’Unione Europea (CGUE) nella causa C-311/2018, meglio nota come sentenza “Schrems II”.

È appena il caso di ricordare come a seguito della citata pronuncia, con la quale è stata dichiarata l’invalidità della decisione della Commissione Europea (2016/1250) sull’adeguatezza della protezione offerta dal Privacy Shield (il cd. “scudo per la privacy”), è venuta meno ogni base giuridica per trasferire agli Usa dati personali di utenti del SEE: la Corte ha infatti ritenuto che il diritto interno degli Stati Uniti – e in particolare determinati programmi che consentono alle autorità pubbliche di accedere ai dati personali trasferiti dall’UE ai fini della sicurezza nazionale – non soddisfa requisiti equivalenti a quelli previsti dal diritto dell’Unione Europea e non accorda ai soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.

Per il vero, la società californiana non ha nemmeno provveduto a nominare un proprio responsabile in uno degli Stati Membri – come per esempio TikTok Ireland per la omonima cinese – sebbene tale adempimento sia espressamente prescritto dal Gdpr (art. 27 e Considerando 80) per le attività di trattamento connesse all’offerta di beni e servizi ad interessati dell’Unione che siano effettuate da Titolari che – come la Alpha Exploration Co. – non sono ivi stabiliti. Ciò, ovviamente, non sottrae la predetta società dal rispetto della vigente normativa europea in materia di protezione di dati personale, dal momento che l’ “offerta di beni o servizi” ad interessati che si trovano nell’Unione, anche a titolo gratuito, costituisce una delle due eccezioni al principio generale dello “stabilimento” quale criterio per la determinazione dell’ambito territoriale di applicabilità del Gdpr. Tuttavia, siffatta mancanza rende inevitabilmente più difficoltoso l’esercizio della tutela giudiziale degli utenti, anche in considerazione della possibilità, sancita dall’art. 27, co. 5, di invocare il rappresentante nominato quale legittimato passivo per le medesime azioni esperibili avverso il Titolare.

Ancora, sempre in merito alle falle dell’informativa, nel documento si parla di “possibilità” che la Società modifichi a proprio piacimento l’informativa privacy “in qualsiasi momento”, anche qui senza preavviso all’utente e senza richiedere un ulteriore consenso rispetto a quello prestato inizialmente.

Addirittura, la Privacy Policy menziona la “possibilità” che i dati personali degli utenti, dopo la cancellazione dell’account e sempre se l’utente abbia “l’autorità” per farlo – precisa l’Azienza nel paragrafo 11 (“Le tue scelte”) – rimangano immagazzinati nei server e condivisi con terze parti.

Da ultimo, il social ripropone tutte le criticità già emerse nella nota vicenda TikTok con riferimento alla tutela dei soggetti più vulnerabili e in particolare dei minori. Sebbene, infatti, nell’informativa si faccia riferimento alla maggiore età come soglia minima per poter iscriversi alla piattaforma ed usufruire del servizio, in realtà l’innalzamento del limite anagrafico rispetto alle cugine WhatsApp e TikTok rappresenta un mero palliativo, se non accompagnato da presidi concreti volti ad evitare facili elusioni del divieto.

A fronte di uno scenario così lapidario per un diritto fondamentale come quello alla protezione dei dati personali, non resta che sperare in un seguito fattivo da parte della società californiana ai chiarimenti che fonti giornalistiche anticipano essere stati avanzati dal Garante Italiano.

WHITEPAPER
Trasformazione digitale: le tecnologie più rilevanti per supportare la crescita delle aziende
Digital Transformation

Del resto, quando si parla di privacy, abbiamo smesso da tempo di credere a quel “fardello” di chiamarsi America.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Personaggi

E
enrico napoletano

Aziende

C
clubhouse

Approfondimenti

G
GDPR
P
privacy

Articolo 1 di 5