Clubhouse rispetta la privacy? No, ma la risposta più onesta e completa è un’altra: è difficile trovare un social che garantisca appieno la conformità al GDPR.
I numerosi casi susseguitisi negli anni -come Cambridge Analityca, il caso
Tik Tok e molti altri- ci forniscono un importante insegnamento: quando parliamo di social non dobbiamo mai abbassare la guardia.
Questa non vuole essere una difesa a favore di Clubhouse ma una semplice presa di coscienza. E se oggi chiediamo alle persone di togliersi da Clubhouse allora dobbiamo chiedere anche di togliersi da Facebook, che porta i dati in USA senza rispettare Schrems II. Da Tik Tok che ha avuto altri tipi di problemi (con i minori soprattutto), da WhatsApp perché con la nuova informativa privacy non è stata del tutto trasparente con gli utenti (come ha detto il Garante) e così via.
In questo senso, la guerra all’ultimo arrivato parrebbe essere iniqua anche se non del tutto infondata. Ecco perché.
I problemi privacy di Clubhouse
Si può dire che Clubhouse riflette in modo ingigantito, e quindi per questo motivo in modo più chiaro e evidente, l’approccio insufficiente dei social alla privacy.
Per capire le ragioni di chi accusa Clubhouse è sufficiente googlare “privacy policy Clubhouse”. Ad oggi 03 Febbraio 2021 ore 10.20, il risultato di una simile query propone un’informativa di un altro servizio, tipo crm, chiamato Clubhouse. Vengono poi mostrati alcuni golf club con clubhouse molto eleganti ma della privacy policy del social nemmeno l’ombra.
Il motivo? Semplice, la privacy policy di Clubhouse non è su un sito con dominio Clubhouse ma su un sito a parte peraltro indicizzato anche abbastanza male.
Questo crea sin da subito un grosso problema di trasparenza; problema che, peraltro, si ripropone esaminando il documento relativo al trattamento di dati.
L’informativa è molto, troppo, generica. L’impressione che si à nel leggerla è che ci si trovi dinnanzi all’informativa standard che propongono alcuni web master ai piccoli negozi di vicinato. Ma questo sito non vende pizze e kebab, stiamo parlando di un social con milioni di utenti in tutto il mondo, numero peraltro in crescita.
Clubhouse, la privacy è un disastro: ecco perché preoccuparsi
Ci si aspetta molto di più.
Un social network non può pensare di proporre un’informativa in cui non viene indicato il nome del titolare, non viene indicato il contatto del DPO, in cui le finalità del trattamento sono così generiche e così via…
Per capirci, nel paragrafo dedicato al trasferimento dei dati all’estero, tema caldissimo in questo momento storico, ci si limita ad affermare:
“By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service.”
TikTok, nuove misure sui minori in accordo col Garante Privacy
TikTok blocca il 9 febbraio tutti gli utenti italiani chiedendo loro di indicare la data di nascita; i minori di 13 anni saranno rimossi.
La misura, in accordo con il nostro Garante, è solo la prima per impedire l’accesso a minori di 13 anni.
TikTok lavorerà in vario modo per impedire l’accesso ai minori di 13 anni, che potrebbero anche mentire sull’età.
Valuterà l’utilizzo di sistemi di intelligenza artificiale per indovinare l’età degli utenti e quindi bloccare i bambini. Lancerà anche una campagna informativa per sensibilizzare genitori e figli.
“Poiché l’individuazione di tali soluzioni richiede un bilanciamento tra la necessità di accurate verifiche e il diritto alla protezione dei dati dei minori, la società si è impegnata ad avviare con l’Autorità privacy dell’Irlanda – Paese nel quale la piattaforma ha fissato il proprio stabilimento principale – una discussione sull’utilizzo dell’intelligenza artificiale a fini di “age verification””, spiega il Garante italiano.
Insomma, se ti iscrivi sai che noi inviamo i dati in USA. Certo, però l’utente non sa se l’invio avviene mediante le Clausole Contrattuali Standard, mediante l’invalidato Privacy Shield, mediante consenso… Nulla. E quando un’informativa non informa è in automatico non compliant per definizione.
Stesso discorso vale per la politica di data retention liquidata con il classico “usiamo i dati per il tempo necessario” che, sotto un certo aspetto, potremmo quasi accettare quando leggiamo un sito di una piccola bottega vicino a casa ma, come dicevamo, questo non è proprio il caso.
La guerra del Garante Privacy contro i social, per i minori: che succede ora
Oltre alla eccessiva genericità e, quindi, alla mancanza di trasparenza, il problema di Clubhouse è l’utilizzo di un meccanismo ormai noto ai garanti di tutta Europa con il nome di “tell a friend”.
In sostanza il social ti chiede se vuoi invitare qualcuno ad iscriversi. Se la risposta è affermativa ti chiede di condividere tutta la tua rubrica contatti. Non puoi decidere di condividere un o due contatti. La scelta è solo tra tutto o niente.
Le regole EDPB
Ora, come evidenzia anche IAPP, nel 2009, il Working Party art.29, oggi European Data Protection Board, ha preso in esame proprio questa tipologia di pratiche che trovano una disciplina a cavallo tra il GDPR e la Direttiva ePrivacy. Ora, il WP29 ha evidenziato come i requisiti della direttiva ePrivacy per il marketing diretto non si applichino alle comunicazioni personali dirette. Pertanto, se una comunicazione Tell-a-Friend viene inviata utilizzando il sistema di posta elettronica dell’utente esistente o inviata tramite una piattaforma a condizioni rigorose, il messaggio potrebbe non essere considerato una comunicazione elettronica commerciale nell’ambito del framework dell’ ePrivacy e, pertanto il consenso non sarebbe un prerequisito.
In particolare, secondo quello che oggi è l’EDPB, le condizioni per evitare il consenso sarebbero:
-nessun incentivo è dato né al mittente né al destinatario.
-la piattaforma non ha selezionato i destinatari del messaggio.
-l’identità del mittente è stata chiaramente rivelata.
-il mittente conosceva l’intero contenuto dell’invito.
Ebbene, in una situazione molto simile a quella riguardante Clubhouse, l’autorità belga ha ritenuto non presenti i suddetti requisiti emettendo quindi una sanzione contro il social network allora sotto indagine (Twoo).
In conclusione
In conclusione, come visto, sono molteplici le criticità relative a Clubhouse. La pecca maggiore però, a parere di chi scrive, è la poca professionalità e la poca cura con cui sono stati trattati i temi della privacy nell’informativa. Probabilmente il tutto è riconducibile ad una crescita esponenziale non prevista, non mi sento di dire che ci sia del dolo.
Quello che è certo è che i problemi ci sono e vanno risolti tempestivamente. L’informativa privacy, del resto, è il biglietto da visita di un social network. Avere un’informativa carente fornisce sin da subito l’impressione che ci si sia impegnati poco sul versante privacy e sicurezza dei dati. Magari poi i sistemi usati sono anche sicuri e l’attenzione alla riservatezza è molta, ma questo non emerge dall’informativa e ciò è un’occasione mancata.
Ma, soprattutto, come detto è importante che l’attenzione privacy sui social non sia estemporanea. Non venga rivolta a seconda di come muove il vento ora contro TikTok per il problema dei minori, ora su Whatsapp per l’avviso dell’informativa privacy. Ora il nuovo arrivato Clubhouse e via dicendo.
È importante insomma che le autorità Garanti privacy europee ci aiutino a entrare in un nuovo mondo di tutela degli utenti, affrontando non solo le questioni una ad una ma anche in modo sistemico e alla radice, affrontando ad esempio così il nodo post-Schrems II.
Per avere una nuova e più forte privacy sui social, abbiamo bisogno anche di un nuovo approccio alla tutela di questa stessa privacy.
Le mosse del Garante Privacy – su TikTok (vedi sopra) e una prima indagine sui minori in Facebook e Instagram, la scorsa settimana – sono un segnale di svolta. Ma solo il primo segnale, che si accompagnerà con un lungo lavoro delle autority in sede europea.
Non solo privacy, ma anche antitrust: temi che secondo un crescente numero di esperti europei e americani tenderanno a convergere nei prossimi anni sempre più.
