In queste ore sembra che si sia scatenato il panico per l’aggiornamento informativa privacy Whatsapp che sta portando un’improvvisa, quanto inutile, presa di coscienza sul valore dei nostri dati e sulla pericolosità di Facebook.
Cosa cambia per l’Europa
La prima importante, quanto ovvia, differenza che notiamo dal confronto tra l’informativa europea e quella per i paesi extra UE (oltre al fatto che si tratta di due aziende diverse appartenenti al gruppo Facebook e cioè Whatsapp Ireland Limited per l’Europa e Whatsapp LLC per i paesi extra UE) è che, soltanto nell’informativa europea si fa riferimento alle condizioni di liceità su cui si basa il trattamento dei dati.
E’ importante dire subito che le modifiche all’informativa privacy a livello europeo non hanno un impatto decisivo, come già ribadito dagli stessi portavoce della società; eppure qualcosa è cambiato.
Come dichiarato, le modifiche in tema privacy si manifestano con una nuova informativa che “fornisce ulteriori dettagli sul modo in cui trattiamo i dati dell’utente, compresa la nostra base giuridica per il trattamento e il nostro impegno in tema di privacy.”
Diverse sono le basi giuridiche su cui poggia il trattamento dei dati di whatsapp: primo tra tutti l’esecuzione del contratto che si instaura tra la società e l’utente con l’accettazione dei termini e condizioni; è proprio a questo che fa riferimento il pulsante “accetta” che molti di noi si sono trovati davanti in questi giorni, aprendo l’applicazione.
Un grande equivoco
Ed è questo il primo grande equivoco in cui sono incorsi; non si è trattato di prestare, obtorto collo, il consenso al trattamento dei dati personali ma di accettare (almeno in Europa) le nuove condizioni contrattuali.
Whatsapp non ci ha richiesto di accettare una nuova informativa privacy o nuovi consensi all’utilizzo dei nostri dati.
Non è immaginabile, infatti, che una società come Whatsapp faccia uno scivolone così grosso violando in modo tanto eclatante le più basilare e ovvia regola sul consenso: deve essere libero e la sua mancanza non può pregiudicare (ma semmai soltanto limitare) la fruizione di un servizio.
Ebbene, il paragrafo dedicato alla base giuridica del consenso è rimasto pressoché identico e specifica chiaramente che Whatsapp si basa sul consenso per raccogliere ed usare le informazioni che l’utente ha acconsentito a trasmettere tramite le impostazioni del dispositivo (come l’accesso alla posizione, alla fotocamera o alle foto) per poter offrire le funzioni ed i servizi quando attiva queste impostazioni e che, in questi casi, il consenso è sempre revocabile.
Ricordiamo, infatti, che il consenso è una base estremamente complicata e, se usata bene, poco favorevole alle società anche se spesso viene considerato un salvacondotto per chi non trova altre e più appropriate condizioni di liceità.
Nell’informativa non manca il riferimento alle altre basi: dopo la già citata esecuzione del contratto che si instaura con l’utente attraverso l’accettazione dei termini e condizioni, si passa all’adempimento di obblighi legali che giustificano il trattamento dei dati personali, alla protezione degli interessi vitali dell’utente o di altre persone, addirittura si fa riferimento al pubblico interesse che giustificherebbe il trattamento dei dati per poi approdare alla vera (e a giudizio di chi scrive) più pericolosa delle condizioni di liceità: l’interesse legittimo.
Ed è proprio su questa base che Whatsapp si dichiara autorizzata a condividere le informazioni con le altre aziende di Facebook e lo fa con l’apparente intenzione di promuovere protezione, sicurezza ed integrità.
Anche questa non è una vera e propria novità; insomma, lo faceva anche prima.
Whatsapp-Facebook: ecco cosa non torna
Ora, però, viene chiarito che Whatsapp condivide con Facebook “le informazioni fornite dall’utente”, quelle raccolte “automaticamente” e, infine, anche quelle che vengono definite “informazioni di terzi”; in altre parole si tratta di tutte le categorie di dati.
E qui qualcosa non torna.
Innanzitutto, il legittimo interesse consente di trattare i dati in assenza di specifico consenso ma solo se risultano bilanciati i diritti degli utenti e del titolare del trattamento.
Il considerando 49 del GDPR afferma che è considerato legittimo interesse del titolare trattare i dati relativi al traffico, in misura strettamente necessaria e proporzionata a garantire la sicurezza delle reti e dell’informazione; inoltre, il parere 6/2016 del WP29 sul concetto di interesse legittimo fornisce tutti i criteri per effettuare il test comparativo.
Risulta evidente che i principi a cui deve ispirarsi il bilanciamento siano quello di stretta necessità e quello di minimizzazione del dato nonché i più che noti assiomi di privacy by design e by default
Tutto questo non sembra essere stata messo in atto.
Ed infatti, in questo caso specifico, il fine è nobile ma i dati sembrano davvero troppi per resistere al necessario bilanciamento.
Inoltre, un discorso è trattare i dati per una certa finalità, altro è trasmetterli e condividerli con società terze (seppur facenti parte dello stesso gruppo imprenditoriale) sulla base del legittimo interesse.
Questa base giuridica, infatti, consente il trasferimento tra società del gruppo ma solo per fini amministrativi interni (considerando 48).
Probabilmente è proprio in ragione di ciò che Whatsapp si preoccupa di chiarire (anche nelle FAQ) che condivide i dati solo per due ordini di motivi:
- da un lato, infatti, Facebook viene trattato come fornitore di servizi e quindi opererebbe come una sorta di responsabile del trattamento che agisce su istruzione di Whatsapp e ciò proprio perché è Facebook ad offrire a Whatsapp le infrastrutture, tecnologie, sistemi, strumenti, informazioni e competenze utili a fornire e migliorare il servizio per gli utenti.
- dall’altro proprio per contrastare spam e attività improprie, contribuire a proteggere i servizi offerti e promuovere sicurezza, protezione e integrità all’interno e all’esterno degli stessi.
Whatsapp, in chiusura delle FAQ sente l’esigenza di specificare che i dati non verranno condivisi per migliorare i prodotti di Facebook né per fornire esperienze pubblicitarie più pertinenti sul social.
Sulla condivisione dati, Facebook potrebbe sempre cambiare idea
Tuttavia, lo fa con uno sguardo al futuro, affermando anche che: “oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook o per fornirti esperienze pubblicitarie più pertinenti su Facebook. Questo è il frutto di colloqui con la commissione per la protezione dei dati irlandese o IDPC (Irish Data Protection Commission) e le altre autorità europee per la protezione dei dati. Lavoriamo costantemente a nuovi modi per migliorare la tua esperienza con WhatsApp e con gli altri prodotti delle aziende di Facebook che usi. Qualora in futuro decidessimo di condividere tali dati con le aziende di Facebook per questo scopo, lo faremo solo dopo aver raggiunto un accordo con la commissione per la protezione dei dati irlandese o IDPC (Irish Data Protection Commission) su un meccanismo che in futuro consenta tale utilizzo”.
Insomma, potrebbero sempre cambiare idea.
Da ultimo, si specifica che “WhatsApp non condivide i tuoi contatti di WhatsApp con Facebook né con altri membri delle aziende di Facebook per scopi propri e non abbiamo in progetto di farlo in futuro”.
Altro discorso, poi, è quello che attiene al trasferimento dei dati extra Ue che avviene in base alle clausole contrattuali standard che, però, non sono ritenute sufficientemente garantiste e anche in questo caso, Whatsapp sembra volersi attestare sulla sufficienza, dichiarando di mettere in atto quando necessario ma niente di più.
Il discorso cambia, invece, nei paesi extra UE dove non c’è il GDPR a imporre regole (e sanzioni) e l’informativa sull’uso dei dati personali, conseguentemente, è decisamente meno stringente.
Da qui la “collaborazione con altre aziende di Facebook” che prevede la possibilità di utilizzare le informazioni che Whatsapp riceve dalle aziende di Facebook, e viceversa, per rendere disponibili, fornire, migliorare, comprendere, personalizzare, supportare e commercializzare i servizi di Whatsapp e le offerte delle aziende di Facebook.
Insomma, ad oggi (e speriamo ance in futuro) Il GDPR è il solo vero scudo per la privacy o almeno l’unico che funziona veramente.