di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia
Clubhouse è una app che offre un servizio di chat audio, ovvero la possibilità di creare stanze in cui dialogare, su temi specifici, in tempo reale.
È vista come un nuovo social network che rivoluziona il modo di comunicare e fare rete e prevede un funzionamento molto semplice.
All’interno di ogni stanza gli iscritti interagiscono tra di loro solo via audio, niente foto, niente video, niente messaggi. Una sorta di radio del nuovo millennio.
Clubhouse ha attirato l’attenzione anche per un altro aspetto, questa volta di carattere giuridico: la piattaforma presenta, infatti, numerose criticità che attengono al trattamento dei dati personali degli utenti.
Se da un lato si tratta di un’app ancora sperimentale (nonostante le stime dell’inizio di febbraio parlino di 6 milioni di utenti) il trattamento dei dati sembra avvenire con modalità che non tengono in considerazione i principi della normativa europea sulla protezione dei dati personali, tanto che il Garante italiano ha inviato alla società proprietaria della piattaforma una richiesta formale di chiarimenti per verificare che siano rispettati i principi del GDPR.
La circostanza che si tratti di un’app con un pubblico limitato in quanto ancora in Beta Test (l’app è disponibile solo per IOS e si può accedere solo per inviti) non incide sulle modalità di trattamento dei dati e non costituisce una giustificazione su certe scelte che, come detto, prestano il fianco a numerose critiche.
In primo luogo manca del tutto l’informativa sul trattamento dei dati personali così come prevista e concepita dall’art. 13 del GDPR, difettando del tutto il riferimento a quegli elementi che vengono indicati dalla stessa norma come informazioni indispensabili e obbligatorie da fornire all’interessato.
L’app. è dotata di una propria privacy policy, questo va detto, ma nella sostanza le informazioni che vengono date non sono in linea con i principi del GDPR.
Manca, per esempio, una valida base giuridica del trattamento, così come il riferimento alla legislazione europea, facendosi, al contrario, unicamente rinvio alle leggi californiane. Viene omessa, inoltre, la designazione di un rappresentante in Europa, visto che la società che detiene la proprietà della piattaforma ha sede in America, così come difetta la designazione di un Data Protection Officer.
Le criticità riguardano anche lo stesso meccanismo attraverso il quale funziona il social network che impone all’utente una specie di “prendere o lasciare” e con il quale viene offerto allo stesso una sorta di “pacchetto di condizioni” che deve essere accettato quasi fosse un unicum inscindibile, ben lontano da quella granularità del consenso che viene richiesta dal Regolamento Europeo.
Altro punctum dolens è rappresentato dall’accesso alla rubrica telefonica, tutt’altro che concesso volontariamente dall’utente, poiché senza l’accesso a questi dati non è possibile, per lo stesso, ottenere gli inviti da inoltrare ai propri contatti. Anche in questo caso il consenso non riveste le caratteristiche della libera e incondizionate manifestazione di volontà richieste dal GDPR.
Anche il sistema degli inviti e la catena di contatti che si viene a creare dallo scambio di inviti inviati e ricevuti, un vero e proprio network, presenta delle criticità per quanto attiene al lato privacy.
L’utente, infatti, rimane parte indelebile di quella catena che si viene a creare in quanto il suo nome, così come quello dei suoi contatti, sarebbe impossibile da nascondere, comportando così l’identificazione di tutti i soggetti con cui è in contatto e la possibile profilazione degli stessi in base allo scambio degli inviti.
Ulteriore criticità è rappresentata dalla registrazione delle conversazioni che avvengono nelle varie stanze.
La piattaforma dichiara, infatti, di non registrare le conversazioni, salvo poi prevedere la possibilità di registrazione e conservazione delle stesse, per un tempo definito “ragionevolmente necessario” nell’ipotesi di contestazione della violazione delle condizioni di utilizzo da parte di un utente. Anche in questo caso la previsione solleva diverse perplessità per la terminologia utilizzata e, nello specifico, per il potere della piattaforma di decidere arbitrariamente il tempo di conservazione dei dati.
Sulle modalità di conservazione, inoltre, la privacy policy di Clubhouse risulta piuttosto sconcertante laddove si legge “You use the Service at your own risk. We implement commercially reasonable technical, administrative, and organizational measures to protect Personal Data”. L’utente utilizza la piattaforma a proprio rischio e pericolo, poiché Clubhouse si impegna ad adottare misure “commercialmente ragionevoli” per proteggere i dati degli utenti. Anche facendo uno sforzo interpretativo piuttosto elevato non si può di certo affermare che l’impegno della piattaforma sia equiparabile alla privacy by default e by design richiesta dal GDPR.
In conclusione, viste le molteplici problematiche e la gravità delle stesse, l’auspicio è quello che l’azione del Garante per la protezione dei dati personali spinga da un lato la piattaforma a rivedere la propria policy adeguandola ai principi del Regolamento Europeo, dall’altro gli utenti a prestare maggiore attenzione ai trattamenti a cui vengono sottoposti i propri dati anche dalle app di “ultima generazione”.