Si parla tanto in questi giorni della ultima novità della Silicon Valley: “Clubhouse”, la freschissima piattaforma del “voice to voice”. Ne abbiamo parlato anche noi qui.
Questa App con le stanze virtuali sta riscuotendo un enorme successo che non accenna ad arrestarsi, allo stesso tempo sono destinate a moltiplicarsi anche le polemiche, in particolare in materia di privacy.
A tal proposito è recentemente intervenuto anche il Garante privacy preoccupato per le evidenti (e grossolane) violazioni che il social sta compiendo.
Sebbene a prima vista, Clubhouse sembrerebbe presentarsi come il social della privacy, principalmente per la natura transitoria e temporanea delle conversazioni – che come vedremo a breve è tutt’altro che scontata – di fatto ci sentiamo di allontanarci da questa fantomatica supposizione.
La problematica della riservatezza c’è ed evidente, è sufficiente dare un occhio all’informativa privacy sul sito della Alpha Exploration Co. per rendersi conto che tutta questa chiarezza e trasparenza che tanto viene decantata in realtà manca.
La privacy policy, aggiornata nel novembre 2020 (due mesi prima di sbarcare in Italia), sembra ignorare del tutto le regole italiane (ed europee in generale) in materia di protezione dei dati personali. In realtà non è compliant nemmeno con la normativa californiana dove ha sede la società stessa.
Per dirla tutta sembra essere stata confezionata, in tutta fretta, da una persona che si occupa di tutto meno che di diritto e di trattamento dei dati personali.
Detto ciò, critiche a parte, abbiamo analizzato il documento dedicato alla privacy per comprenderne in concreto le carenze.
Sul CONSENSO al trattamento dei dati personali.
L’utente se vuole iscriversi deve accettare con un unico click sia la privacy policy che i termini di servizio, in evidente contrasto con l’art. 7 GDPR. Non solo, l’App impone all’utente di condividere numero di cellulare e lista dei contatti personali, pena l’impossibilità di far funzionare il sistema degli inviti (ogni iscritto ne ha diritto a due da condividere con chi vuole).
Sulle condizioni di LICEITA’ del trattamento.
L’App si dilunga nell’elencare le finalità del trattamento, senza tuttavia indicare la base giuridica che lo legittimerebbe, come espressamente previsto dal GDPR.
Sui PRINCIPI applicabili al trattamento.
I dati devono essere trattati nei limiti delle finalità per le quali sono stati raccolti, dopodiché devono essere cancellati. Clubhouse prevede in modo approssimativo che terrà i dati fino a quando saranno necessari o utili (anche per adempiere gli obblighi di legge) e li cancellerà al raggiungimento di un termine più lungo, in evidente violazione anche del principiodi limitazione della conservazione e del principio di minimizzazione.
Sui DIRITTI dell’interessato.
Chi è l’interessato? Scherzi a parte, l’utente sembra non avere diritti. Giusto un richiamo (un cenno proprio) destinato ai “residenti in California” che richiama il California Consumer Privacy Act, fregandosene totalmente dell’esistenza degli utenti del resto del mondo, seppure il prodotto è anche ad essi destinato. Anche in termini di cancellazione, l’App si riserva di conservare alcune informazioni (genericamente) anche in caso di disattivazione dell’account.
Sui MINORI.
L’informativa dichiara che il social è destinato unicamente a persone maggiorenni, se non fosse che non adotta alcuna misura concreta per impedirne l’iscrizione o comunque per verificare l’età dei membri in via preventiva.
Sul TRASFERIMENTO dei dati extra UE.
Si parla di trasferimento dei dati negli Stati Uniti ma nulla viene detto in punto alle sue modalità e alle garanzie adottate ex art. 13, par. 1, lett. f) GDPR. Neppure se Clubhouse abbia adottato le garanzie previste dalle clausole contrattuali standard approvate dalla Commissione UE, né se abbia adottato quelle misure ulteriori per rispondere alle criticità del trasferimento dati negli Stati Uniti evidenziate nella sentenza Schrems II.
Sulla omessa designazione del RAPPRESENTANTE europeo.
Sebbene la società di Clubhouse abbia la sua sede in California, nulla viene detto circa la designazione di un rappresentante sul territorio europeo ex art. 27 GDPR, posto che la società, tramite la propria piattaforma, tratta su larga scala e in modo non occasionale dati personali (anche particolari) di cittadini europei.
Sulla PROFILAZIONE.
Viene affrontata genericamente la questione del trattamento aggregato dei dati personali ma non si evince come e con quali finalità, e peraltro non viene proprio chiesto il consenso all’utente per tale attività.
Sulla CONDIVISIONE dei dati.
La società dichiara, molto brevemente, di non vendere dati ma si riserva di condividerli con “affiliati attuali e futuri”, senza prevedere una preventiva comunicazione di ciò all’utente e soprattutto senza che quest’ultimo abbia fornito un apposito consenso al riguardo.
Sulla CONSERVAZIONE delle registrazioni.
Con riguardo alla registrazione delle conversazioni che vengono condivise in streaming l’app assicura che verranno conservate solo a scopo di prevenzione nel caso di illeciti e violazioni dei termini di servizio, ma non specifica per quanto tempo verranno conservate ed in che modo verranno cancellate.
Sulle tempistiche indefinite addirittura la società parla di conservazione per il “tempo ragionevolmente necessario” per ragioni commerciali o legali, senza altre specificazioni.
Sulle modalità di conservazione l’informativa precisa, sempre molto genericamente, che le registrazioni temporanee saranno conservate in forma crittografata.
Sempre con riguardo all’uso ed alla conservazione dei dati, nei terms of service, la società vieta agli utenti di registrare le conversazioni o parte di esse senza un consenso “scritto” da parte degli interlocutori (divieto peraltro facilmente aggirabile con l’impiego di dispositivi esterni o di software di terze parti).
Di contro, sempre nei termini di servizio, Clubhouse prevede che l’utente le consenta di stabilire“pratiche generali e limiti riguardanti l’uso del servizio”, incluso, senza limitazione alcuna, il periodo massimo in cui i dati o gli altri contenuti saranno oggetto di conservazione.
Sulla SICUREZZA dei dati.
In punto alla sicurezza l’informativa recita così: “L’utente usa il servizio a proprio rischio e pericolo”, affermazione non proprio rassicurante. A tal fine, l’azienda si impegna ad adottare solamente le misure tecniche “commercialmente ragionevoli” per la protezione dei dati personali, ma non è dato sapere se tali misure coincidono con quelle richiesta dal Regolamento europeo. In sostanza, la sicurezza è in mano agli utenti e la società se ne lava un pò le mani, sottraendosi dalle proprie responsabilità, in palese contrasto con il principio di accountability sancito all’art. 5 GDPR.
Peraltro, tale “limitazione di responsabilità” viene ribadita nei termini di servizio, dove la società scarica apertamente la responsabilità sugli utenti per eventuali accessi alla piattaforma non autorizzati o per l’alterazione delle trasmissioni o dei dati.
Conclusione
Le criticità di Clubhouse legate alla privacy sono evidenti e lo scenario che se ne ricava non è certo dei più rosei.
L’auspicio è che i gli sviluppatori di Clubhouse provvedano celermente ad adeguarsi alla normativa, nel mentre si invitano gli utenti di “maneggiare con cura” il nuovo prodotto, tutelando i propri diritti e salvaguardando i propri dati personali.
VP
