Le app di dating sopperiscono in questa fase alla crisi degli incontri sociali fisici, ma la privacy così è ad alto rischio.
Queste sono app molto affamate dei nostri dati personali e a volte nemmeno le loro policy privacy sono perfette. Guardando sotto il cofano di quello che fanno, con i dati, la campanella d’allarme suona ancora più forte.
Non è un caso che lo stesso Garante Privacy, in questi giorni di pandemia, sia intervenuto con alcuni consigli in merito. Usare queste app non è sconsigliato in senso assoluto, ma è richiesta un po’ di accortezza.
A fronte di un ridotto rischio sanitario, possibile con l’uso di queste app invece di uscite per conoscere nuove persone, c’è insomma un accresciuto rischio di privacy.
Le più popolari app di incontri
Facciamo prima un quadro del settore.
Da una rapida ricerca, abbiamo constatato come queste app siano suddivise per tipologia di incontro: amicizia e amore.
Le più note e diffuse:
- Tinder – Società Responsabile dell’Unione europea, MTCH Thecnology Services Limited Tinder WeWork Charlemont Exchange 42 Charlemont Street, Dublin
- Meetic S.A.S. – 6 Rue Auber, Paris
- Happn – Parigi
- Badoo – Trading Limited The Broadgate Tower Third Floor, 20 Primrose Street, EC2A 2RS, Regno Unito
- OkCupid – MTCH Technology Services OkCupid, WeWork Charlemont Exchange 42 Charlemont Street, Dublin
- Wapa – Wapo y Wapa Limited, Level 3, 18 Stanley Street, Auckland Central, New Zealand
- Grindr – Grindr LLC, PO Box 69176, West Hollywood, CA 90069 (USA) Gleeden – Blackdivine Ltd – 36-37 Vintage House, Albert Embankment, London, England, SE1 7TL
- Dating – Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour Dublin 2 Ireland
Analizziamole nei loro aspetti principali, ai fini privacy, precisando sin da ora che secondo l’art. 27 del Reg. (UE) 679/2016 ove si applichi l’art. 3 par. 2 il Titolare del trattamento o il Responsabile devono designare, per iscritto, un Rappresentante nell’Unione.
Tale obbligo, tuttavia, non si applica quando al trattamento, qualora quest’ultimo sia occasionale, non include il trattamento di categorie particolari di dati su larga scala.
Social dating app e condizioni privacy: il quadro generale
Per capire se quelle le app di dating sono a prova di privacy e GDPR compliant faremo una tavola sinottica, come segue.
APP | Attività di trattamento |
Tinder | Incontri on line |
Meetic | Incontri on line per relazioni amorose |
Happn | Incontri on line per geolocalizzazione |
Badoo | Incontri on line |
OkCupid | Incontro on line |
Wapa | Incontri on line per orientamento sessuale |
Grindr | Incontri on line per orientamento sessuale |
Gleeden | Incontri on line per relazioni extraconiugali |
Dating | Incontri on line per amicizia, chiacchiere, relazione stabile |
Uno dei modi pratici utile a verificare se questi social sono compliant al GDPR risiede nell’analizzare le privacy policy. Per ciò, proponiamo di seguito una tabella, aggiornata, avente i requisiti di legge previsti dall’art. 13 del GDPR.
Privacy app, le nuove linee guida EDPB
Di recente, il Comitato europeo per la protezione dei dati – EDPB lo scorso 21 ottobre ha adottato le Linee guida sulla protezione dei dati fin dalla progettazione e impostazione predefinita. Come si legge nella nota, “a seguito di una consultazione pubblica, l’EDPB ha adottato una versione finale delle linee guida sulla protezione dei dati fin dalla progettazione e impostazione predefinita”. Queste ultime si concentrano sull’obbligo della privacy by design come stabilito nell’art. 25 del GDPR.
Secondo l’EDPB anche le app devo rispettare i parametri di cui al citato articolo una volta che vengono progettate. Questo significa che la privacy delle App non deve solo rispettare le impostazioni predefinite, ma deve anche essere prevista nella fase preliminare facendo altresì la valutazione di impatto. In buona sostanza, non può venire ad esistenza un’app che sia di abbinamenti amorosi o di semplici chiacchere senza che non abbia passato un rigoroso vaglio, in punto privacy. Ciò premesso, facciamo di seguito una breve panoramica di quelle che sono le principali app in voga, al momento.
Principali requisiti privacy
In sintesi, le app dovrebbero rispettare questi punti:
- Quali dati personali raccogliamo e trattiamo corrispondono alle finalità del trattamento
- Processo decisionale automatizzato corrisponde alla profilazione
- Come condividiamo i dati personali dell’Utente corrisponde alla base giuridica
- Conservazione dei dati corrisponde al periodo di conservazione
- Come proteggiamo i dati personali dell’Utente corrisponde alle misure di sicurezza messe in atto
- I diritti dell’Utente corrispondono alla elencazione più o meno dettagliata dei diritti degli interessati
- Per i soggetti dei dati del SEE e/o del Regno Unito corrisponde al trasferimento dei dati all’estero
Social dating, privacy policy delle singole app
Vediamo ora nel dettaglio
La privacy di Tinder
Tinder. Analizzando la privacy policy possiamo dire che è presente il Titolare del Trattamento e che sono indicati i dati di contatto del Privacy Officer ma non contiene, al momento, i riferimenti del DPO. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono altresì gli eventuali destinatari. Rispetta l’indicazione del trasferimento di dati all’estero. Indica il periodo di conservazione. Sono elencati i diritti dell’utente/interessato ed annuncia di effettuare la profilazione ai fini marketing.
La privacy di Meetic
Meetic. E’ presente il Titolare del Trattamento e che sono indicati i dati di contatto del Privacy Officer ma non contiene, al momento, i riferimenti del DPO. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono altresì gli eventuali destinatari. Rispetta l’indicazione del trasferimento di dati all’estero. Indica il periodo di conservazione. Sono elencati i diritti dell’utente/interessato. Si fa infine riferimento alle attività di marketing che Match Group effettua all’interno del Gruppo.
La privacy di Happn
Happn. Presente il Titolare del Trattamento e sono indicati i dati di contatto del DPO. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono gli eventuali destinatari. E’ rispettata l’indicazione del trasferimento di dati all’estero. Presente il periodo di conservazione. Sono elencati i diritti dell’utente/interessato e viene effettuata attività marketing. A parere delle autrici, si tratta di una privacy policy piuttosto congrua.
La privacy di Badoo
Badoo. E’ presente il Titolare del Trattamento e sono indicati i dati di contatto del DPO. Sono presenti le finalità del trattamento così come le basi giuridiche. Compaiono altresì gli eventuali destinatari. Presente l’indicazione del trasferimento di dati all’estero. Indicato il periodo di conservazione. Sono dettagliati i diritti dell’utente/interessato e la società annuncia di fare marketing.
La privacy di OkCupid
OkCupid. Dalla privacy policy scopriamo che è presente il Titolare del Trattamento e indicato il Privacy Officer. Sono rappresentate le finalità del trattamento così come le basi giuridiche. Compaiono i destinatari. C’è l’indicazione del trasferimento di dati all’estero. Compare il periodo di conservazione. Sono elencati i diritti dell’utente/interessato e la società dichiara di fare attività di marketing.
La privacy di Wapa
Wapa. L’app Wapa è una delle app per orientamento sessuale. Analizzando la privacy policy riscontriamo che è indicato il Titolare del Trattamento. Non risulta invece, al momento, indicati né i dati di contatto del DPO né quelli del Rappresentante in Europa. Sono elencate le finalità del trattamento così come le basi giuridiche. Risultano gli eventuali destinatari. Si fa riferimento al trasferimento di dati all’estero. Presente il periodo di conservazione. Sono elencati i diritti dell’utente/interessato ed è presente il marketing.
La privacy di Grindr
Grindr. Analizzando la privacy policy di quest’altra app caratterizzata per l’orientamento sessuale, notiamo come sia presente il Titolare del Trattamento. L’indirizzo del DPO risulta negli Stati Uniti. Il Rappresentante in Europa al momento risulta in Irlanda. Sono indicate le finalità del trattamento così come le basi giuridiche; compaiono gli eventuali destinatari. C’è l’indicazione del trasferimento di dati all’estero. Del pari, è indicato il periodo di conservazione. Sono presenti i diritti dell’utente/interessato e la società dichiara di effettuare marketing.
La privacy di Gleeden
Gleeden. Risulta presente il Titolare del Trattamento ma non sembrebbero indicati i dati di contatto del DPO. Circa l’indicazione del Rappresentante in Europa facciamo presente che è indicata una base a Londra. Risaltano le finalità del trattamento così come le basi giuridiche. Risultano altresì l’indicazione circa eventuali destinatari. Presente l’indicazione del trasferimento di dati all’estero. Il periodo di conservazione compare. Sono elencati i diritti dell’utente/interessato ed annuncia di fare marketing.
Tavola sinottica delle app dating per privacy e trattamento dati
Riassumendo, riportiamo schematicamente i requisiti di legge per le app di dating alla luce dei parametri di legge dettati dal Regolamento (UE) 679/2016.
REQUISITI DI LEGGE | SINGOLE APP | ||||||||
Tinder | Meetic | Happn | Badoo | OkCupid | Wapa | Grindr | Gleeden | ||
Titolare del Trattamento | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Dati di contatto del DPO | Privacy Officer | Privacy Officer | ✓ | ✓ | Privacy Officer | Non risulta al momento | ✓ | Non risulta al momento | |
Rappresentante in Europa | |||||||||
✓ | |||||||||
Finalità del trattamento | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Basi giuridiche | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Eventuali destinatari | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ||
Trasferimento di dati all’estero | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Periodo di conservazione | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Diritti dell’utente/interessato | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
Marketing | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
Rammentiamo che le privacy policy analizzate possono sempre essere aggiornate e modificate dal Titolare. In ogni caso, al di là della forma, trattando categorie particolari di dati, adottando tecniche di marketing, anche su larga scala, ed effettuando anche trattamenti di dati personali extra UE, le condizioni privacy andrebbero analizzate non solo da un punto di vista formale, ma ci si dovrebbe accertare che ciò che viene indicato “sulla carta” sia coerente con il contesto anche alla luce di una più attenta analisi circa le misure di sicurezza adottate.
I dati trattati dalle app, per pubblicità
Serve uno studio più approfondito per andare oltre alla lettera degli adempimenti e vedere quali dati trattano queste app e come.
L’ha fatto Norwegian Consumer Council a gennaio 2020.
Emerge che queste app prendono tanti dati, gps solitamente, e le condividono con moltissime parti a scopi pubblicitari e in genere con Facebook, Google.
Di seguito alcuni grafici di sintesi.
Facebook Dating anche in Italia
Lo scorso 21 ottobre Facebook ha lanciato Facebook Dating in Europa. Il colosso americano ha inteso rendere questo servizio il più sicuro ed autentico (nel senso più “veritiero” possibile). Infatti, il nome e l’età non possono essere modificati e provengono dal profilo Facebook. Viene mostrato soltanto il nome dell’utente e non anche il cognome. Mentre non compaiono l’identità e le preferenze di genere. Si tratta di una piattaforma di incontri gratuita con una sezione dedicata all’interno dell’app Facebook funzionante attraverso lo scambio di like che generano un match dal quale poi poter chattare.
Vediamo come funziona. L’utente interessato, se maggiorenne, può attivare Dating creando un profilo a parte senza che i suoi contatti social ne siano informati. Già una prima riservatezza è quindi garantita. Al momento dell’iscrizione, l’App consiglia di “mettere in sicurezza il profilo” dopo di che consente l’inserimento dei dati. Tutti gli iscritti a Dating possono vedere i singoli profili ad eccezione degli utenti/ non iscritti e gli utenti bloccati. L’utente iscritto poi è in grado di vedere se quel contatto, a prescindere dal gradimento o meno, abbia qualche amicizia in comune.
La privacy di Facebook Dating
Tipologia dei dati raccolti. I dati richiesti per avere un “profilo ideale” e di conseguenza completo sono suddivisi per:
- Informazione di base (distanza, identità di genere, fascia età, altezza, lingue parlate)
- Istruzione (livello)
- Stile di vita (figli o non)
- Credo (orientamento religioso)
Ne consegue che Dating raccoglie anche dati di natura particolare, ai sensi e per gli effetti di cui all’art. 9 GPDR.
Termini e condizioni. Andando avanti nell’analisi, troviamo che nella sezione “Assistenza e supporto” è presente il rimando a due sezioni: una concernente il supplemento alle condizioni di servizio di Facebook, l’altra riguardante invece un’aggiunta all’utilizzo che l’App in questione fa dei dati.
- “Condizioni di Facebook Dating supplementari”
Si tratta di una politica aggiuntiva che si inserisce nella condizioni d’uso di Facebook; essendo tale, il colosso americano ha strutturato tale policy configurando tanto la tutela dell’utente quanto le proprie responsabilità.
CONDIZIONI AGGIUNTIVE | |
Lato utente
| Lato Titolare
|
In pratica, se da un lato l’utente in qualità di interessato ha tutti gli strumenti per essere consapevole, dall’altro Facebook, in qualità di Titolare del trattamento informa l’utente dei rischi lasciandogli la più ampia facoltà di cancellarsi in qualsiasi momento e quindi di revocare il consenso.
- “Avviso sull’uso dei dati di Facebook Dating”
Si tratta di un’ulteriore informativa di carattere normativo a completezza di quella già ampiamente esposta in materia di protezione dati personali.
In questa sezione troviamo:
- “l’avviso sull’uso dei dati” che va ad integrare la Normativa sui dati di Facebook;
- viene qualificato come “Prodotto Facebook”;
- le attività dell’utente possono essere usate per personalizzare l’esperienza sul social;
- viene consentito all’utente di revocare, in qualsiasi momento, il consenso al trattamento di dati particolari (come ad esempio l’orientamento religioso, ecc.) non utilizzati per “personalizzare” le inserzioni.
In pratica, Dating pone l’utente nelle condizioni di verificare la normativa sui dati — quale evidente misura di accountability — dichiarandogli espressamente di effettuare la personalizzazione del profilo coincidente con la cd “profilazione”.
App di appuntamenti, i consigli privacy
Recentemente, l’Autorità Garante Privacy italiana ha rilasciato alcuni suggerimenti per tutelare la privacy quando si adoperano le app.
Dopo una breve introduzione sulle app in generale spiegando cosa sono e la funzione che svolgono a seconda dei servizi prestati, il Garante li ritiene “strumenti utili, divertenti, a volte indispensabili”, ma al tempo stesso puntualizza che “non sempre quando si utilizza una app ci si preoccupa anche di tutelare la propria privacy”. Al fine di sensibilizzare gli utenti/interessati, il Garante divulga alcune regole fondamentali per mettere in campo adeguate cautele.
Vademecum garante privacy sulle dating app
Di seguito, riportiamo i punti centrali del vademecum al quale si rinvia per ulteriori approfondimenti.
- Fare attenzione a quanti e quali dati può trattare una app.
- Prima di installare una app, cercare di capire quanti e quali dati verranno raccolti e come verranno utilizzati, consultando l’informativa sul trattamento dei dati personali.
- Verificare se alcune informazioni raccolte dall’app possono essere diffuse automaticamente online (ad esempio, se è possibile che l’app produca post automatici sui social media).
- Evitare, in generale, di memorizzare nell’app i dati delle credenziali di accesso (username, password, PIN) di carte di credito e sistemi di pagamento.
- Valutare sempre con attenzione se consentire l’accesso a determinate informazioni e funzionalità.
- Informarsi su come verranno trattate e conservate le informazioni che ti riguardano, e a chi verranno eventualmente resi noti aspetti della propria vita privata eventualmente riservati.
Circa i punti di attenzione, suggeriamo di valutare se il fornitore dell’app ha compiuto una valutazione di impatto sul rischio tale da offrire garanzie e misure di sicurezza adeguate specie con riferimento al trattamento di dati particolari.
Circa le criticità, invece, il Garante italiano suggerisce per evitare i rischi di:
- installare sul dispositivo che ospita le app anche un software anti-virus in grado di proteggere i dati personali da eventuali violazioni;
- impostare password di accesso sicure aggiornandole periodicamente;
- aggiornare periodicamente l’app;
- non disattivare mai i controlli di sicurezza previsti dal dispositivo;
- Pensare ai rischi che possono correre i minori.
Dall’analisi fin qui svolta emerge che, al momento, la maggior parte delle app prese in considerazione hanno valutato la privacy palesando una sede di contatto in Europa garantendo così la conformità al Regolamento europeo in materia di protezione dati personali.
In ogni caso, rammentiamo che per essere GDPR compliant, non basta avere l’informativa preconfezionata anche in modo esemplare, ma occorre dimostrare di averla applicata calandola, in concreto, nel contesto di ciascuna piattaforma.