Zero privacy su Clubhouse? Ma il problema generale è di tutti i social | Agenda Digitale

la riflessione

Zero privacy su Clubhouse? Ma il problema generale è di tutti i social

I problemi privacy di Clubhouse rispecchiano quelli degli altri social, anche se in modo più estremo e ingigantito. Perché finora – come dimostra anche il caso TikTok – c’è stata un’attenzione debole sul tema. Ma qualcosa sta cambiando

03 Feb 2021
Diego Dimalta

Studio Legale Dimalta e Associati

Alessandro Longo

Direttore agendadigitale.eu

PARIS, FRANCE - JANUARY 13 In this photo illustration, the logos of social media applications Messenger, WhatsApp, Twitter, Signal and Telegram are displayed on the screen of an iPhone on January 13, 2021 in Paris, France. Since WhatsApp announced a change to its privacy rules, users are moving to other encrypted messaging, 25 million users have joined Telegram secure messaging in the past 72 hours, Russian founder Pavel Durov announced on Tuesday. (Photo illustration by Chesnot/Getty Images)

Clubhouse rispetta la privacy? No, ma la risposta più onesta e completa è un’altra: è difficile trovare un social che garantisca appieno la conformità al GDPR.

I numerosi casi susseguitisi negli anni -come Cambridge Analityca, il caso

Tik Tok e molti altri- ci forniscono un importante insegnamento: quando parliamo di social non dobbiamo mai abbassare la guardia.

Questa non vuole essere una difesa a favore di Clubhouse ma una semplice presa di coscienza. E se oggi chiediamo alle persone di togliersi da Clubhouse allora dobbiamo chiedere anche di togliersi da Facebook, che porta i dati in USA senza rispettare Schrems II. Da Tik Tok che ha avuto altri tipi di problemi (con i minori soprattutto), da WhatsApp perché con la nuova informativa privacy non è stata del tutto trasparente con gli utenti (come ha detto il Garante) e così via.

In questo senso, la guerra all’ultimo arrivato parrebbe essere iniqua anche se non del tutto infondata. Ecco perché.

I problemi privacy di Clubhouse

Si può dire che Clubhouse riflette in modo ingigantito, e quindi per questo motivo in modo più chiaro e evidente, l’approccio insufficiente dei social alla privacy.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity

Per capire le ragioni di chi accusa Clubhouse è sufficiente googlare “privacy policy Clubhouse”. Ad oggi 03 Febbraio 2021 ore 10.20, il risultato di una simile query propone un’informativa di un altro servizio, tipo crm, chiamato Clubhouse. Vengono poi mostrati alcuni golf club con clubhouse molto eleganti ma della privacy policy del social nemmeno l’ombra.

Il motivo? Semplice, la privacy policy di Clubhouse non è su un sito con dominio Clubhouse ma su un sito a parte peraltro indicizzato anche abbastanza male.

Questo crea sin da subito un grosso problema di trasparenza; problema che, peraltro, si ripropone esaminando il documento relativo al trattamento di dati.

L’informativa è molto, troppo, generica. L’impressione che si à nel leggerla è che ci si trovi dinnanzi all’informativa standard che propongono alcuni web master ai piccoli negozi di vicinato. Ma questo sito non vende pizze e kebab, stiamo parlando di un social con milioni di utenti in tutto il mondo, numero peraltro in crescita.

Clubhouse, la privacy è un disastro: ecco perché preoccuparsi

Ci si aspetta molto di più.

Un social network non può pensare di proporre un’informativa in cui non viene indicato il nome del titolare, non viene indicato il contatto del DPO, in cui le finalità del trattamento sono così generiche e così via…

Per capirci, nel paragrafo dedicato al trasferimento dei dati all’estero, tema caldissimo in questo momento storico, ci si limita ad affermare:

“By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service.”

Insomma, se ti iscrivi sai che noi inviamo i dati in USA. Certo, però l’utente non sa se l’invio avviene mediante le Clausole Contrattuali Standard, mediante l’invalidato Privacy Shield, mediante consenso… Nulla. E quando un’informativa non informa è in automatico non compliant per definizione.

Stesso discorso vale per la politica di data retention liquidata con il classico “usiamo i dati per il tempo necessario” che, sotto un certo aspetto, potremmo quasi accettare quando leggiamo un sito di una piccola bottega vicino a casa ma, come dicevamo, questo non è proprio il caso.

La guerra del Garante Privacy contro i social, per i minori: che succede ora

Oltre alla eccessiva genericità e, quindi, alla mancanza di trasparenza, il problema di Clubhouse è l’utilizzo di un meccanismo ormai noto ai garanti di tutta Europa con il nome di “tell a friend”.

In sostanza il social ti chiede se vuoi invitare qualcuno ad iscriversi. Se la risposta è affermativa ti chiede di condividere tutta la tua rubrica contatti. Non puoi decidere di condividere un o due contatti. La scelta è solo tra tutto o niente.

Le regole EDPB

Ora, come evidenzia anche IAPP, nel 2009, il Working Party art.29, oggi European Data Protection Board, ha preso in esame proprio questa tipologia di pratiche che trovano una disciplina a cavallo tra il GDPR e la Direttiva ePrivacy. Ora, il WP29 ha evidenziato come i requisiti della direttiva ePrivacy per il marketing diretto non si applichino alle comunicazioni personali dirette. Pertanto, se una comunicazione Tell-a-Friend viene inviata utilizzando il sistema di posta elettronica dell’utente esistente o inviata tramite una piattaforma a condizioni rigorose, il messaggio potrebbe non essere considerato una comunicazione elettronica commerciale nell’ambito del framework dell’ ePrivacy e, pertanto il consenso non sarebbe un prerequisito.

In particolare, secondo quello che oggi è l’EDPB, le condizioni per evitare il consenso sarebbero:

-nessun incentivo è dato né al mittente né al destinatario.

-la piattaforma non ha selezionato i destinatari del messaggio.

-l’identità del mittente è stata chiaramente rivelata.

-il mittente conosceva l’intero contenuto dell’invito.

Ebbene, in una situazione molto simile a quella riguardante Clubhouse, l’autorità belga ha ritenuto non presenti i suddetti requisiti emettendo quindi una sanzione contro il social network allora sotto indagine (Twoo).

In conclusione

In conclusione, come visto, sono molteplici le criticità relative a Clubhouse. La pecca maggiore però, a parere di chi scrive, è la poca professionalità e la poca cura con cui sono stati trattati i temi della privacy nell’informativa. Probabilmente il tutto è riconducibile ad una crescita esponenziale non prevista, non mi sento di dire che ci sia del dolo.

Quello che è certo è che i problemi ci sono e vanno risolti tempestivamente. L’informativa privacy, del resto, è il biglietto da visita di un social network. Avere un’informativa carente fornisce sin da subito l’impressione che ci si sia impegnati poco sul versante privacy e sicurezza dei dati. Magari poi i sistemi usati sono anche sicuri e l’attenzione alla riservatezza è molta, ma questo non emerge dall’informativa e ciò è un’occasione mancata.

Ma, soprattutto, come detto è importante che l’attenzione privacy sui social non sia estemporanea. Non venga rivolta a seconda di come muove il vento ora contro TikTok per il problema dei minori, ora su Whatsapp per l’avviso dell’informativa privacy. Ora il nuovo arrivato Clubhouse e via dicendo.

È importante insomma che le autorità Garanti privacy europee ci aiutino a entrare in un nuovo mondo di tutela degli utenti, affrontando non solo le questioni una ad una ma anche in modo sistemico e alla radice, affrontando ad esempio così il nodo post-Schrems II.

Per avere una nuova e più forte privacy sui social, abbiamo bisogno anche di  un nuovo approccio alla tutela di questa stessa privacy.

Le mosse del Garante Privacy – su TikTok (vedi sopra) e una prima indagine sui minori in Facebook e Instagram, la scorsa settimana – sono un segnale di svolta. Ma solo il primo segnale, che si accompagnerà con un lungo lavoro delle autority in sede europea.

Non solo privacy, ma anche antitrust: temi che secondo un crescente numero di esperti europei e americani tenderanno a convergere nei prossimi anni sempre più.

Digital event, 15 giugno
CyberSecurity360Summit: come rispondere alle necessità di aziende e PA?
@RIPRODUZIONE RISERVATA

Articolo 1 di 4