Negli ultimi mesi Facebook è stato posto sotto accusa da parte di governi nazionali, autorità garanti e tribunali, e Tik Tok al centro di un aspro dibattito con protagonisti l’ex presidente Trump ed le autorità cinesi. Si tratta in entrambi i casi di problemi legati al trattamento dei dati personali.
Clubhouse, il nuovo social network sviluppato e diffusosi durante la pandemia da Covid-19, non sembra essere un’eccezione in questo contesto.
Risulta d’uopo segnalare che tale nuovo social si è imposto essenzialmente per 2 ordini di ragioni.
La prima risiede nella sua modalità di funzionamento: gli utenti, infatti, accedono su invito a delle “stanze” – molte delle quali tematiche – all’interno delle quali è possibile interagire solo ed esclusivamente a voce. La partecipazione a questi eventi varia a seconda dell’interesse per l’argomento, ed in base ai followers dell’utente che inaugura la sessione.
Seconda caratteristica decisiva è l’esclusività, strettamente connessa alla presenza, sulla piattaforma, di diverse celebrità.
Se, tuttavia, Clubhouse non aveva sollevato particolari problemi durante la sua diffusione negli Stati Uniti, sono emersi, dopo l’ingresso nel mercato europeo, una serie di interrogativi relativi alle modalità di trattamento dei dati personali.
Anzitutto, risalta immediatamente come i principi dettati dal GDPR in materia di consenso risultino violati: per accedere al servizio, infatti, l’utente deve accettare unitariamente la privacy policy e i termini generali di servizio. Una siffatta configurazione è in palese contrasto con quanto previsto dall’art. 7 del Regolamento Europeo, secondo cui la richiesta di consenso deve essere presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile.
La privacy policy sottoposta all’interessato, inoltre, è caratterizzata da una serie di gravi omissioni in relazione a quanto disposto dal Regolamento Europeo sulla protezione dei dati.
In primo luogo, non è presente un apposito riferimento alle condizioni di liceità del trattamento, al contrario di quanto prescritto dall’art. 6, comma 1, lett. c) del GDPR, secondo cui l’interessato deve in ogni caso essere edotto riguardo la base giuridica del trattamento.
In secundis, nonostante venga esplicitamente riconosciuto che le informazioni personali degli utenti vengono trasferite presso server statunitensi, non vi è alcun riferimento alle garanzie appropriate che, in tali casi, devono essere fornite ai sensi dell’art. 13, comma 1, lett. f) del GDPR.
Questo aspetto, inoltre, rientra nell’alveo della complessa vicenda relativa al trasferimento di dati verso gli Stati Uniti, che assume estrema rilevanza dopo la sentenza cd. “Schrems II” della Corte di Giustizia dell’Unione Europea. Tale sentenza, infatti, ha invalidato il cd. Privacy Shield, l’accordo in base al quale si semplificava il trasferimento transfrontaliero di dati tra Europa e Stati Uniti, complicando in modo significativo l’assetto della materia.
Un’altra evidente omissione, all’interno dell’informativa, riguarda il tema della profilazione: nonostante, infatti, Clubhouse ponga in essere un trattamento aggregato dei dati personali dei propri utenti, non viene a tal proposito richiesto alcun consenso espresso e specifico agli interessati, ancora una volta in violazione dell’art. 6 del GDPR.
Al di fuori del perimetro della privacy policy è anche la mancata designazione di un rappresentante all’interno del territorio europeo ai sensi dell’art. 27 del GDPR.
La gravità della violazione viene risaltata dal fatto che Clubhouse tratta su larga scala ed in modo non occasionale dati dei cittadini europei, specialmente negli ultimi mesi, in cui l’applicazione è risultata essere una delle più scaricate all’interno dell’Unione.
Si sottolinea, infine, come le indicazioni della piattaforma in materia di responsabilità per violazione o perdita dei dati vadano in direzione opposta a quanto previsto dall’art. 5, comma 2 del GDPR, che sancisce il cd. principio di accountability.
I gestori del software, infatti, escludono qualsiasi tipo di responsabilità a proprio carico in relazione ad eventi di data breach, esplicitando che l’utente utilizza il servizio “a proprio rischio”.
In considerazione di quanto esposto, l’Autorità Garante italiana ha recentemente inviato una richiesta di chiarimenti alla Alpha Exploration, società sviluppatrice della piattaforma, al fine di accertare che i diritti dei cittadini europei siano rispettati.
In conclusione appare quindi logico affermare che, a prescindere da quelli che saranno gli esiti di questo confronto, senza la predisposizione di un adeguato impianto privacy, anche i progetti più efficaci ed innovativi possono incontrare rilevanti ostacoli nella propria espansione sul mercato.
In particolare, quando il business è connesso inscindibilmente al trattamento di dati personali, (vedasi i social network) è fondamentale pianificare l’adeguamento dei processi aziendali alla normativa in materia di privacy, onde evitare di subire rilevanti danni economici e reputazionali.
Dott. Dante Irmici