Dating app, privacy ad alto rischio: ecco promosse e bocciate | Agenda Digitale

L'ANALISI

Dating app, privacy ad alto rischio: ecco promosse e bocciate

Le misure di contenimento Covid-19 spingono la diffusione delle applicazioni per incontri. Ma la cessione di dati personali richiesta rende imperativa l’adesione alle nuove linee guida stabilite dall’EDPB. Una carrellata sui livelli di compliance delle app dating più in voga con un focus sulla neonata Facebook Dating

25 Nov 2020
Francesca Bassa

Avvocato, Partner bd-LEGAL, Privacy Officer e Delegata Federprivacy

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie

Le app di dating sopperiscono in questa fase alla crisi degli incontri sociali fisici, ma la privacy così è ad alto rischio.

Queste sono app molto affamate dei nostri dati personali e a volte nemmeno le loro policy privacy sono perfette. Guardando sotto il cofano di quello che fanno, con i dati, la campanella d’allarme suona ancora più forte. 

Non è un caso che lo stesso Garante Privacy, in questi giorni di pandemia, sia intervenuto con alcuni consigli in merito. Usare queste app non è sconsigliato in senso assoluto, ma è richiesta un po’ di accortezza.

A fronte di un ridotto rischio sanitario, possibile con l’uso di queste app invece di uscite per conoscere nuove persone, c’è insomma un accresciuto rischio di privacy.

Le più popolari app di incontri

Facciamo prima un quadro del settore.

Da una rapida ricerca, abbiamo constatato come queste app siano suddivise per tipologia di incontro: amicizia e amore.

Le più note e diffuse:

  • Tinder – Società Responsabile dell’Unione europea, MTCH Thecnology Services Limited Tinder WeWork Charlemont Exchange 42 Charlemont Street, Dublin
  • Meetic S.A.S. – 6 Rue Auber, Paris
  • Happn – Parigi
  • Badoo – Trading Limited The Broadgate Tower Third Floor, 20 Primrose Street, EC2A 2RS, Regno Unito
  • OkCupid – MTCH Technology Services OkCupid, WeWork Charlemont Exchange 42 Charlemont Street, Dublin
  • Wapa – Wapo y Wapa Limited, Level 3, 18 Stanley Street, Auckland Central, New Zealand
  • Grindr – Grindr LLC, PO Box 69176, West Hollywood, CA 90069 (USA) Gleeden – Blackdivine Ltd – 36-37 Vintage House, Albert Embankment, London, England, SE1 7TL
  • Dating – Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour Dublin 2 Ireland

Analizziamole nei loro aspetti principali, ai fini privacy, precisando sin da ora che secondo l’art. 27 del Reg. (UE) 679/2016 ove si applichi l’art. 3 par. 2 il Titolare del trattamento o il Responsabile devono designare, per iscritto, un Rappresentante nell’Unione.

Tale obbligo, tuttavia, non si applica quando al trattamento, qualora quest’ultimo sia occasionale, non include il trattamento di categorie particolari di dati su larga scala.

Social dating app e condizioni privacy: il quadro generale

Per capire se quelle le app di dating sono a prova di privacy e GDPR compliant faremo una tavola sinottica, come segue.

APPAttività di trattamento
TinderIncontri on line
MeeticIncontri on line per relazioni amorose
HappnIncontri on line per geolocalizzazione
BadooIncontri on line
OkCupidIncontro on line
WapaIncontri on line per orientamento sessuale
GrindrIncontri on line per orientamento sessuale
GleedenIncontri on line per relazioni extraconiugali
DatingIncontri on line per amicizia, chiacchiere, relazione stabile

Uno dei modi pratici utile a verificare se questi social sono compliant al GDPR risiede nell’analizzare le privacy policy. Per ciò, proponiamo di seguito una tabella, aggiornata, avente i requisiti di legge previsti dall’art. 13 del GDPR.

Principali requisiti privacy

In sintesi, le app dovrebbero rispettare questi punti:

  • Quali dati personali raccogliamo e trattiamo corrispondono alle finalità del trattamento
  • Processo decisionale automatizzato corrisponde alla profilazione
  • Come condividiamo i dati personali dell’Utente corrisponde alla base giuridica
  • Conservazione dei dati corrisponde al periodo di conservazione
  • Come proteggiamo i dati personali dell’Utente corrisponde alle misure di sicurezza messe in atto
  • I diritti dell’Utente corrispondono alla elencazione più o meno dettagliata dei diritti degli interessati
  • Per i soggetti dei dati del SEE e/o del Regno Unito corrisponde al trasferimento dei dati all’estero

Social dating, privacy policy delle singole app

Vediamo ora nel dettaglio

La privacy di Tinder

Tinder. Analizzando la privacy policy possiamo dire che è presente il Titolare del Trattamento e che sono indicati i dati di contatto del Privacy Officer ma non contiene, al momento, i riferimenti del DPO. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono altresì gli eventuali destinatari. Rispetta l’indicazione del trasferimento di dati all’estero. Indica il periodo di conservazione. Sono elencati i diritti dell’utente/interessato ed annuncia di effettuare la profilazione ai fini marketing.

La privacy di Meetic

Meetic. E’ presente il Titolare del Trattamento e che sono indicati i dati di contatto del Privacy Officer ma non contiene, al momento, i riferimenti del DPO. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono altresì gli eventuali destinatari. Rispetta l’indicazione del trasferimento di dati all’estero. Indica il periodo di conservazione. Sono elencati i diritti dell’utente/interessato. Si fa infine riferimento alle attività di marketing che Match Group effettua all’interno del Gruppo.

La privacy di Happn

Happn. Presente il Titolare del Trattamento e sono indicati i dati di contatto del DPO. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono gli eventuali destinatari. E’ rispettata l’indicazione del trasferimento di dati all’estero. Presente il periodo di conservazione. Sono elencati i diritti dell’utente/interessato e viene effettuata attività marketing. A parere delle autrici, si tratta di una privacy policy piuttosto congrua.

La privacy di Badoo

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

Badoo. E’ presente il Titolare del Trattamento e sono indicati i dati di contatto del DPO. Sono presenti le finalità del trattamento così come le basi giuridiche. Compaiono altresì gli eventuali destinatari. Presente l’indicazione del trasferimento di dati all’estero. Indicato il periodo di conservazione. Sono dettagliati i diritti dell’utente/interessato e la società annuncia di fare marketing.

La privacy di OkCupid

OkCupid. Dalla privacy policy scopriamo che è presente il Titolare del Trattamento e indicato il Privacy Officer. Sono rappresentate le finalità del trattamento così come le basi giuridiche. Compaiono i destinatari. C’è l’indicazione del trasferimento di dati all’estero. Compare il periodo di conservazione. Sono elencati i diritti dell’utente/interessato e la società dichiara di fare attività di marketing.

La privacy di Wapa

Wapa. L’app Wapa è una delle app per orientamento sessuale. Analizzando la privacy policy riscontriamo che è indicato il Titolare del Trattamento. Non risulta invece, al momento, indicati né i dati di contatto del DPO né quelli del Rappresentante in Europa. Sono elencate le finalità del trattamento così come le basi giuridiche. Risultano gli eventuali destinatari. Si fa riferimento al trasferimento di dati all’estero. Presente il periodo di conservazione. Sono elencati i diritti dell’utente/interessato ed è presente il marketing.

La privacy di Grindr

Grindr. Analizzando la privacy policy di quest’altra app caratterizzata per l’orientamento sessuale, notiamo come sia presente il Titolare del Trattamento. L’indirizzo del DPO risulta negli Stati Uniti. Il Rappresentante in Europa al momento risulta in Irlanda. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono gli eventuali destinatari. C’è l’indicazione del trasferimento di dati all’estero. Del pari, è indicato il periodo di conservazione. Sono presenti i diritti dell’utente/interessato e la società dichiara di effettuare marketing.

La privacy di Gleeden

Gleeden. Risulta presente il Titolare del Trattamento ma non sembrebbero indicati i dati di contatto del DPO. Circa l’indicazione del Rappresentante in Europa facciamo presente che è indicata una base a Londra. Risaltano le finalità del trattamento così come le basi giuridiche. Risultano altresì l’indicazione circa eventuali destinatari. Presente l’indicazione del trasferimento di dati all’estero. Il periodo di conservazione compare. Sono elencati i diritti dell’utente/interessato ed annuncia di fare marketing.

Tavola sinottica delle app dating per privacy e trattamento dati

Riassumendo, riportiamo schematicamente i requisiti di legge per le app di dating alla luce dei parametri di legge dettati dal Regolamento (UE) 679/2016.

REQUISITI DI LEGGESINGOLE APP
TinderMeeticHappnBadooOkCupidWapaGrindrGleeden
Titolare del Trattamento
Dati di contatto del DPOPrivacy OfficerPrivacy OfficerPrivacy OfficerNon

risulta al momento

Non risulta al momento
Rappresentante in Europa
Finalità del trattamento
Basi giuridiche
Eventuali destinatari
Trasferimento di dati all’estero
Periodo di conservazione
Diritti dell’utente/interessato
Marketing

Rammentiamo che le privacy policy analizzate possono sempre essere aggiornate e modificate dal Titolare. In ogni caso, al di là della forma, trattando categorie particolari di dati, adottando tecniche di marketing, anche su larga scala, ed effettuando anche trattamenti di dati personali extra UE, le condizioni privacy andrebbero analizzate non solo da un punto di vista formale, ma ci si dovrebbe accertare che ciò che viene indicato “sulla carta” sia coerente con il contesto anche alla luce di una più attenta analisi circa le misure di sicurezza adottate.

I dati trattati dalle app, per pubblicità

Serve uno studio più approfondito per andare oltre alla lettera degli adempimenti e vedere quali dati trattano queste app e come.

L’ha fatto Norwegian Consumer Council a gennaio 2020.

Emerge che queste app prendono tanti dati, gps solitamente, e le condividono con moltissime parti a scopi pubblicitari e in genere con Facebook, Google.

Di seguito alcuni grafici di sintesi.

Facebook Dating anche in Italia

Lo scorso 21 ottobre Facebook ha lanciato Facebook Dating in Europa. Il colosso americano ha inteso rendere questo servizio il più sicuro ed autentico (nel senso più “veritiero” possibile). Infatti, il nome e l’età non possono essere modificati e provengono dal profilo Facebook. Viene mostrato soltanto il nome dell’utente e non anche il cognome. Mentre non compaiono l’identità e le preferenze di genere. Si tratta di una piattaforma di incontri gratuita con una sezione dedicata all’interno dell’app Facebook funzionante attraverso lo scambio di like che generano un match dal quale poi poter chattare.

Vediamo come funziona. L’utente interessato, se maggiorenne, può attivare Dating creando un profilo a parte senza che i suoi contatti social ne siano informati. Già una prima riservatezza è quindi garantita. Al momento dell’iscrizione, l’App consiglia di “mettere in sicurezza il profilo” dopo di che consente l’inserimento dei dati. Tutti gli iscritti a Dating possono vedere i singoli profili ad eccezione degli utenti/ non iscritti e gli utenti bloccati. L’utente iscritto poi è in grado di vedere se quel contatto, a prescindere dal gradimento o meno, abbia qualche amicizia in comune.

La privacy di Facebook Dating

Tipologia dei dati raccolti. I dati richiesti per avere un “profilo ideale” e di conseguenza completo sono suddivisi per:

  • Informazione di base (distanza, identità di genere, fascia età, altezza, lingue parlate)
  • Istruzione (livello)
  • Stile di vita (figli o non)
  • Credo (orientamento religioso)

Ne consegue che Dating raccoglie anche dati di natura particolare, ai sensi e per gli effetti di cui all’art. 9 GPDR.

Termini e condizioni. Andando avanti nell’analisi, troviamo che nella sezione “Assistenza e supporto” è presente il rimando a due sezioni: una concernente il supplemento alle condizioni di servizio di Facebook, l’altra riguardante invece un’aggiunta all’utilizzo che l’App in questione fa dei dati.

  • Condizioni di Facebook Dating supplementari

Si tratta di una politica aggiuntiva che si inserisce nella condizioni d’uso di Facebook; essendo tale, il colosso americano ha strutturato tale policy configurando tanto la tutela dell’utente quanto le proprie responsabilità.

CONDIZIONI AGGIUNTIVE
Lato utente
  • le condizioni supplementari di Facebook Dating si aggiungono alle condizioni d’uso di Facebook;
  • l’utente può eliminare il proprio profilo in qualsiasi momento;
  • può iscriversi solo l’utente che ha compiuto 18 anni;
  • l’utente interagisce con gli altri a proprio rischio.
Lato Titolare

Facebook

  • si dichiara «…non responsabile per le interazioni on line, off line o di persona dell’utente con altri utenti»;
  • non verifica l’accuratezza delle informazioni fornite dagli utenti;
  • non effettua alcun accertamento sui precedenti penali o altre verifiche, ma si riserva con il consenso dell’utente di effettuare qualsiasi accertamento sui precedenti penali o altre verifiche;

In pratica, se da un lato l’utente in qualità di interessato ha tutti gli strumenti per essere consapevole, dall’altro Facebook, in qualità di Titolare del trattamento informa l’utente dei rischi lasciandogli la più ampia facoltà di cancellarsi in qualsiasi momento e quindi di revocare il consenso.

  • Avviso sull’uso dei dati di Facebook Dating

Si tratta di un’ulteriore informativa di carattere normativo a completezza di quella già ampiamente esposta in materia di protezione dati personali.

In questa sezione troviamo:

  • “l’avviso sull’uso dei dati” che va ad integrare la Normativa sui dati di Facebook;
  • viene qualificato come “Prodotto Facebook”;
  • le attività dell’utente possono essere usate per personalizzare l’esperienza sul social;
  • viene consentito all’utente di revocare, in qualsiasi momento, il consenso al trattamento di dati particolari (come ad esempio l’orientamento religioso, ecc.) non utilizzati per “personalizzare” le inserzioni.

In pratica, Dating pone l’utente nelle condizioni di verificare la normativa sui dati — quale evidente misura di accountability — dichiarandogli espressamente di effettuare la personalizzazione del profilo coincidente con la cd “profilazione”.

App di appuntamenti, i consigli privacy

Recentemente, l’Autorità Garante Privacy italiana ha rilasciato alcuni suggerimenti per tutelare la privacy quando si adoperano le app.

Dopo una breve introduzione sulle app in generale spiegando cosa sono e la funzione che svolgono a seconda dei servizi prestati, il Garante li ritiene “strumenti utili, divertenti, a volte indispensabili”, ma al tempo stesso puntualizza che “non sempre quando si utilizza una app ci si preoccupa anche di tutelare la propria privacy”. Al fine di sensibilizzare gli utenti/interessati, il Garante divulga alcune regole fondamentali per mettere in campo adeguate cautele.

Vademecum garante privacy sulle dating app

Di seguito, riportiamo i punti centrali del vademecum al quale si rinvia per ulteriori approfondimenti.

  • Fare attenzione a quanti e quali dati può trattare una app.
  • Prima di installare una app, cercare di capire quanti e quali dati verranno raccolti e come verranno utilizzati, consultando l’informativa sul trattamento dei dati personali.
  • Verificare se alcune informazioni raccolte dall’app possono essere diffuse automaticamente online (ad esempio, se è possibile che l’app produca post automatici sui social media).
  • Evitare, in generale, di memorizzare nell’app i dati delle credenziali di accesso (username, password, PIN) di carte di credito e sistemi di pagamento.
  • Valutare sempre con attenzione se consentire l’accesso a determinate informazioni e funzionalità.
  • Informarsi su come verranno trattate e conservate le informazioni che ti riguardano, e a chi verranno eventualmente resi noti aspetti della propria vita privata eventualmente riservati.

Circa i punti di attenzione, suggeriamo di valutare se il fornitore dell’app ha compiuto una valutazione di impatto sul rischio tale da offrire garanzie e misure di sicurezza adeguate specie con riferimento al trattamento di dati particolari.

Circa le criticità, invece, il Garante italiano suggerisce per evitare i rischi di:

  • installare sul dispositivo che ospita le app anche un software anti-virus in grado di proteggere i dati personali da eventuali violazioni;
  • impostare password di accesso sicure aggiornandole periodicamente;
  • aggiornare periodicamente l’app;
  • non disattivare mai i controlli di sicurezza previsti dal dispositivo;
  • Pensare ai rischi che possono correre i minori.

Dall’analisi fin qui svolta emerge che, al momento, la maggior parte delle app prese in considerazione hanno valutato la privacy palesando una sede di contatto in Europa garantendo così la conformità al Regolamento europeo in materia di protezione dati personali.

In ogni caso, rammentiamo che per essere GDPR compliant, non basta avere l’informativa preconfezionata anche in modo esemplare, ma occorre dimostrare di averla applicata calandola, in concreto, nel contesto di ciascuna piattaforma.

eventi digitali
Quale sia la tua esigenza di evento, noi l’abbiamo realizzata! Per il 2021 affidati a Digital360
Digital Transformation
Marketing

@RIPRODUZIONE RISERVATA

Articolo 1 di 4