Ci sono tutti i motivi per essere preoccupati o almeno sospettosi per la privacy del nuovo social Clubhouse (come già in Germania).
È incredibile come, al momento, le informative e i consensi di Clubhouse non rispettino né la normativa europea né tantomeno quella californiana, dove l’azienda madre ha sede (Alpha Exploration).
Ricordiamo che la particolarità di questo social è che è basato su conversazioni vocali, è su app solo iPhone per ora e solo su invito.
I problemi privacy di Clubhouse
- La prima cosa che salta all’occhio è l’assoluta mancanza di un consenso: privacy e termini di servizio vengono accettati con un unico click, in evidente violazione del principio di specificità e granularità del consenso. Nel senso che: o accetti tutto, o non ti iscrivi. Qui c’è anche l’obbligo di condividere la rubrica del cellulare. Sappiamo invece che il consenso deve essere sempre libero, specifico, granulare e revocabile, a maggior ragione quando si parla di profilazione; l’informativa di clubhouse, al contrario, impone all’utente di accettare tutto o non usarla.
- Mancano inoltre le condizioni di liceità (vengono indicate solo le finalità), si parla di trasferimento dei dati in USA ma non vengono indicate le garanzie, non vi sono termini certi di cancellazione (addirittura ci dicono che anche in caso di disattivazione dell’account “alcune informazioni” potrebbero rimanere nei sistemi, senza specificare quali), parlano di profilazione ma non si comprende come, perché e con quali scopi, o se utilizzeranno dei bot per “leggere” le conversazioni. Del resto non è ancora chiaro il modello di business e come monetizzeranno.
- Sappiamo che registrano l’audio di ogni room ma solo a scopo di prevenzione degli illeciti, con crittografia, per poi cancellarla immediatamente in caso di mancata segnalazione.
- Apprendiamo poi che i dati vengono trasferiti in USA, ma non vengono indicate le garanzie che consentono tale trasferimento, in aperto contrasto all’ articolo 13 par.1 lett. F) del Regolamento.
- Ed ancora, per quanto riguarda i termini di cancellazione, sappiamo che il regolamento ci impone di cancellare i dati una volta raggiunta la finalità per cui quei dati sono stati raccolti e trattati. Clubhouse, invece, stabilisce in modo generico che terrà i dati fino a quando saranno necessari o utili (anche per adempiere gli obblighi di legge) e li cancellerà al raggiungimento del termine più lungo; senza alcun rispetto per il principio di limitazione delle finalità, limitazione della conservazione e del principio di minimizzazione.
- Inoltre, e questo è incredibile per un social così importante nel 2021, manca completamente ogni riferimento ai diritti dell’interessato ai sensi del GDPR. Esiste un punto dedicato solo ai “residenti in California” che richiama il California Privacy Act, indicando e riservando i diritti solo per questa categoria di utenti. L’informativa privacy di Clubhouse cita, invece, alcun ulteriore diritto per i residenti altrove, ed in particolare in Europa. Parlo dei diritti più basilari, indicati anche nelle informative privacy del supermercato sotto casa che fa delivery.
- Infine leggiamo insieme: “la società non vende i tuoi dati personali ma in determinate circostanze potremmo condividerli con terze parti senza ulteriore avviso”. Quindi non li “vendono” ma li “condividono”, in particolare con i loro “affiliati”, attuali e futuri. Voglio ricordare che servirebbe un consenso specifico per la profilazione e per la “condivisione”. Qui invece non viene nemmeno distinto il pulsante di accettazione dei termini e condizioni da quello della privacy.
- Da ultimo, i minori. Forse sulla scia emozionale lasciata dal caso Tik Tok, sembra assurdo che l’informativa reciti: “Il nostro servizio non è rivolto a persone di età inferiore ai 18 anni. La Società non raccoglie consapevolmente Dati personali da individui di età inferiore ai 18 anni. Se hai motivo di credere che un individuo di età inferiore ai 18 anni abbia fornito Dati personali alla Società tramite il Servizio, contattaci e faremo il possibile per eliminare tali informazioni dai nostri database.” Forse un controllo maggiore sarebbe doveroso.
Clubhouse, campanello d’allarme privacy
La mancanza di diritti e la mancanza di consenso fanno sì che ClubHouse si senta in diritto di affermare che “Puoi anche eliminare il tuo account. Si prega di notare che dovremo verificare che tu abbia l’autorità per eliminare l’account e alcune attività generate prima della cancellazione potrebbero rimanere archiviate da noi e potrebbero essere condivise con terze parti come descritto in questa Informativa sulla privacy”; sappiamo bene che tutto ciò che ha come base giuridica il consenso deve essere cancellato a richiesta ma, in questa informativa (appunto) non si sa quali dati siano trattati sulla base del consenso.
Coerentemente, però, s’informa l’utente che utilizza l’applicazione a proprio rischio. Infatti (anche in questo caso in modo molto superficiale) viene specificato che CLubHouse implementa “misure tecniche, amministrative e organizzative commercialmente ragionevoli per proteggere i Dati”.
A questo punto c’è da chiedersi se “commercialmente ragionevoli” sia meno o equivalente rispetto a “misure adeguate al rischio”[1] che è quanto imposto dal regolamento europeo; a parere di chi scrive la risposta ovvia è “meno” e quindi anche in questo caso il regolamento UE non viene rispettato.
Tutto ciò doverosamente premesso, sto utilizzando l’app da qualche giorno e mi piace molto. Tuttavia, continuo a non comprendere come sia possibile non essere adeguati alla normativa Europea. Il regolamento, inoltre, prevede che il trattamento privacy debba essere implementato by default e by design. Pertanto eventuali successivi adeguamenti invalideranno formalmente tutte le iscrizioni sino ad oggi effettuate, che ad oggi, appaiono trattamenti illeciti a tutti gli effetti.
Insomma, l’assoluta mancanza di chiarezza sull’utilizzo dei nostri dati deve rappresentare un campanello d’allarme per gli utenti consapevoli. La curiosità va bene, ma utilizziamolo con prudenza, senza esporci troppo, cedendo dati particolari.
