Blog

SOCIAL NETWORK E PRIVACY: IL CASO CLUBHOUSE

Negli ultimi mesi Facebook è stato posto sotto accusa da parte di governi nazionali, autorità garanti e tribunali, e Tik Tok al centro di un aspro dibattito con protagonisti l’ex presidente Trump ed le autorità cinesi. Si tratta in entrambi i casi di problemi legati al trattamento dei dati personali.

Clubhouse, il nuovo social network sviluppato e diffusosi durante la pandemia da Covid-19, non sembra essere un’eccezione in questo contesto.

Risulta d’uopo segnalare che tale nuovo social si è imposto essenzialmente per 2 ordini di ragioni.

La prima risiede nella sua modalità di funzionamento: gli utenti, infatti, accedono su invito a delle “stanze” – molte delle quali tematiche – all’interno delle quali è possibile interagire solo ed esclusivamente a voce. La partecipazione a questi eventi varia a seconda dell’interesse per l’argomento, ed in base ai followers dell’utente che inaugura la sessione.

Seconda caratteristica decisiva è l’esclusività, strettamente connessa alla presenza, sulla piattaforma, di diverse celebrità.

Se, tuttavia, Clubhouse non aveva sollevato particolari problemi durante la sua diffusione negli Stati Uniti, sono emersi, dopo l’ingresso nel mercato europeo, una serie di interrogativi relativi alle modalità di trattamento dei dati personali.

Anzitutto, risalta immediatamente come i principi dettati dal GDPR in materia di consenso risultino violati: per accedere al servizio, infatti, l’utente deve accettare unitariamente la privacy policy e i termini generali di servizio. Una siffatta configurazione è in palese contrasto con quanto previsto dall’art. 7 del Regolamento Europeo, secondo cui la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile.

La privacy policy sottoposta all’interessato, inoltre, è caratterizzata da una serie di gravi omissioni in relazione a quanto disposto dal Regolamento Europeo sulla protezione dei dati.

In primo luogo, non è presente un apposito riferimento alle condizioni di liceità del trattamento, al contrario di quanto prescritto dall’art.  6, comma 1, lett. c) del GDPR, secondo cui l’interessato deve in ogni caso essere edotto riguardo la base giuridica del trattamento.

In secundis, nonostante venga esplicitamente riconosciuto che le informazioni personali degli utenti vengono trasferite presso server statunitensi, non vi è alcun riferimento alle garanzie appropriate che, in tali casi, devono essere fornite ai sensi dell’art. 13, comma 1, lett. f) del GDPR.

Questo aspetto, inoltre, rientra nell’alveo della complessa vicenda relativa al trasferimento di dati verso gli Stati Uniti, che assume estrema rilevanza dopo la sentenza cd. “Schrems II” della Corte di Giustizia dell’Unione Europea. Tale sentenza, infatti, ha invalidato il cd. Privacy Shield, l’accordo in base al quale si semplificava il trasferimento transfrontaliero di dati tra Europa e Stati Uniti, complicando in modo significativo l’assetto della materia.

Un’altra evidente omissione, all’interno dell’informativa, riguarda il tema della profilazione: nonostante, infatti, Clubhouse ponga in essere un trattamento aggregato dei dati personali dei propri utenti, non viene a tal proposito richiesto alcun consenso espresso e specifico agli interessati, ancora una volta in violazione dell’art. 6 del GDPR.

Al di fuori del perimetro della privacy policy è anche la mancata designazione di un rappresentante all’interno del territorio europeo ai sensi dell’art. 27 del GDPR.

La gravità della violazione viene risaltata dal fatto che Clubhouse tratta su larga scala ed in modo non occasionale dati dei cittadini europei, specialmente negli ultimi mesi, in cui l’applicazione è risultata essere una delle più scaricate all’interno dell’Unione.

Si sottolinea, infine, come le indicazioni della piattaforma in materia di responsabilità per violazione o perdita dei dati vadano in direzione opposta a quanto previsto dall’art. 5, comma 2 del GDPR, che sancisce il cd. principio di accountability.

I gestori del software, infatti, escludono qualsiasi tipo di responsabilità a proprio carico in relazione ad eventi di data breach, esplicitando che l’utente utilizza il servizio “a proprio rischio”.

In considerazione di quanto esposto, l’Autorità Garante italiana ha recentemente inviato una richiesta di chiarimenti alla Alpha Exploration, società sviluppatrice della piattaforma, al fine di accertare che i diritti dei cittadini europei siano rispettati.

In conclusione appare quindi logico affermare che,  a prescindere da quelli che saranno gli esiti di questo confronto, senza la predisposizione di un adeguato impianto privacy, anche i progetti più efficaci ed innovativi possono incontrare rilevanti ostacoli nella propria espansione sul mercato.

In particolare, quando il business è connesso inscindibilmente al trattamento di dati personali, (vedasi i social network) è fondamentale pianificare l’adeguamento dei processi aziendali alla normativa in materia di privacy, onde evitare di subire rilevanti danni economici e reputazionali.

 

Dott. Dante Irmici

Condividi:

Leggi gli altri articoli del blog

ELARGIZIONI FRA CONIUGI E DONAZIONE INDIRETTA

L’istituto della donazione viene sovente utilizzato per attuare spostamenti di ricchezza, specialmente in ambito familiare.
Tuttavia, è necessario valutarne la concreta convenienza anche alla luce della presenza, nella prassi economica, di elargizioni patrimoniali indirette, ossia effettuate non tramite l’atto pubblico notarile – richiesto dalla legge per la donazione – bensì attraverso diverse forme.

GOOGLE ANALYTICS: LA PRONUNCIA DEL GARANTE ITALIANO TRA SOVRANITÀ DEL DATO E NECESSITÀ DELLE IMPRESE

Il Garante per la Protezione dei Dati, con il Provvedimento n. 224 del 9 giugno 2022, si è allineato alle posizioni assunte in precedenza dal Datenschutzbehörde (DSB) e dalla Commission Nationale de l’Informatique et des Libertés (CNIL), dichiarando non conforme alla normativa europea il trasferimento di dati personali verso gli Stati Uniti tramite Google Analytics. L’Autorità ha ammonito una società italiana intimandole di adeguarsi entro novanta giorni dalla decisione.

LA FUSIONE INVERSA E LE MODALITA’ DI ESECUZIONE

La fusione inversa non è stata disciplinata direttamente dal legislatore italiano. Pertanto, le operazioni societarie in cui la controllata provvede ad incorporare la controllante pongono problemi di carattere operativo.

(AGRO) FOTOVOLTAICO: IL LEGISLATORE NAVIGA A VISTA?

Durante il boom del fotovoltaico iniziò a diffondersi la preoccupazione fra decisori e stakeholders riguardo il consumo di suolo agricolo. Questo determinò la risposta del legislatore che decise inizialmente per limitare la possibilità di installazione degli impianti su terreni a destinazione agricola. Oggi, nonostante un virtuoso cammino sulla strada della semplificazione e dell’incentivazione dei sistemi ibridi agricoltura-produzione energetica, sembra che tale progetto normativo abbia subito una brusca frenata.

Contattaci