Whatsapp si trova ad essere nuovamente oggetto di indagine da parte delle Autorità privacy europee dopo l’ultimo aggiornamento della privacy policy, entrata in vigore nel maggio di quest’anno.
La vicenda è degna di attenzione non solo per la popolarità dell’app di messaggistica e in generale per la rilevanza dello scontro tra big tech e autorità europee. Ma, a un livello più specifico, perché l’azione dei Garanti europei in questa circostanza mostra e conferma i limiti di un meccanismo, lo one stop shop, pensato per semplificare le attività di chi investe in Europa.
Si è aperto un vaso di pandora su questi possibili limiti del Gdpr. Il caso Whatsapp funge da utile apri pista per un problema che dovrà essere certo affrontato a breve dai regolatori europei.
Lo scontro su Whatsapp via EDPB
Whatsapp di fondo, nonostante le sue rassicurazioni, è sospettato di cedere i dati personali degli utenti a Facebook. L’assoluta mancanza di trasparenza e i precedenti che hanno visto coinvolta proprio Facebook (il caso Cambridge Analytica è ormai divenuto un caso di scuola) hanno allarmato l’European Data Protection Board, che su segnalazione del Garante tedesco, ha chiesto al Garante irlandese di iniziare un’indagine che disveli quanto più possibile le concrete modalità di gestione dei dati personali degli utenti europei di Whatsapp da parte della società madre Facebook.
Whatsapp, la privacy preoccupa i Garanti europei (EDPB): chiesto all’Irlanda indagine urgente
Le contestazioni mosse dal Garante tedesco
Come anticipato in premessa, l’ultima informativa privacy elaborata da Whatsapp ha sollevato numerosissime contestazioni e polemiche, da più parti: da un lato, gli esperti evidenziavano come la stessa fosse pericolosamente carente in relazione alle concrete modalità di gestione dei dati personali ed alle finalità per le quali gli stessi venivano usati, dall’altro lato alcuni utenti particolarmente preoccupati avevano addirittura smesso di utilizzare l’app, prediligendo soluzioni alternative come Telegram o Signal (sebbene tale evento non abbia scalfito in modo sostanziale la base utenti di Whatsapp, che rimane tra le principali applicazioni di messaggistica istantanea utilizzate al mondo).
Le osservazioni svolte e le contestazioni sollevate sull’informativa privacy non sono da ritenersi in alcun modo infondate o prive di logica: occorre, infatti, pensare che nel modello di business delle nuove società digitali e, in particolare, nel modello di business di Facebook e delle sue controllate, la moneta di scambio per l’utilizzo dei servizi da parte degli utenti non è il denaro ma i dati personali, che consentono alla Società di costruire dei profili di targeting pubblicitario molto accurati.
Pertanto, poiché l’utente è al centro dell’intero modello di business, occorre che lo stesso, ai sensi di quanto previsto dalla normativa europea sulla tutela dei dati personali, sia messo a conoscenza, “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”, delle categorie di dati che saranno trattati, delle finalità che il titolare intende raggiungere con i dati medesimi, e dei soggetti cui i dati saranno comunicati.
Nella realtà dei fatti, tuttavia, le grandi società del web sono ben poco ligie al dovere imposto dagli artt. 12 e seguenti del GDPR: fra queste, Facebook è stata la prima ad essere oggetto di scandali che hanno fatto emergere le finalità occulte dietro all’intero sistema di gestione dei dati personali, con il noto caso Cambridge Analytica.
A seguito di tale evento, ciò che le autorità e gli esperti temono, è che si verifichino nuove circostanze che possano mettere l’utente ignaro nuovamente al centro di pericolose operazioni di manipolazione.
Le critiche al Garante irlandese
Per tale ragione, l’Autorità di Amburgo, a maggio di quest’anno, sfruttando il meccanismo della Procedura d’Urgenza di cui all’art. 66 GDPR, ha ordinato a Facebook di non procedere all’applicazione dei nuovi termini di utilizzo dei dati personali nei confronti degli utenti della Germania, accusando, di pari passo, il Garante irlandese di non compiere le dovute e necessarie attività di indagine sulla reale modalità e sui limiti della condivisione dei dati fra Facebook e Whatsapp.
Non è la prima volta che l’Autorità Garante irlandese si trova al centro di critiche da parte delle altre autorità di controllo: in particolare, si teme che, a causa della sussistenza di forti interessi economici (Facebook ha, infatti, sede in Irlanda e contribuisce un importante fonte di guadagno per le casse dello Stato), le attività di indagine siano spesso spente sul nascere, o condotte in modo approssimativo, allo scopo di non danneggiare la società di Mark Zuckerberg, con conseguente danno degli utenti finali in tutta Europa.
L’intervento dell’EDPB
Dinanzi a tali circostanze, pertanto, nelle more dell’entrata in vigore dei nuovi termini di trattamento dei dati personali degli utenti, l’Autorità tedesca, come detto, ha fatto applicazione del meccanismo d’urgenza previsto all’art. 66 GDPR, in alternativa al c.d. One-stop-Shop e al meccanismo di coerenza di cui agli artt. 63 e ss. GDPR.
Ciò che il Garante tedesco chiedeva era di imporre il divieto di trattamento dei dati degli utenti europei di WhatsApp Ireland Ltd. da parte di Facebook Ireland per gli scopi propri di quest’ultimo, in quanto le policy di gestione dei dati concedevano a Whatsapp “poteri di ampia portata” per condividere i dati con Facebook, senza che fosse chiaro su quale base giuridica il colosso del web si stesse affidando per l’elaborazione dei dati degli utenti. A margine di tale richiesta nei confronti di Facebook, come già anticipato, il Garante tedesco ha contestualmente accusato il Garante Irlandese di non aver dato riscontro alle proprie preoccupazioni, obbligando il primo a “prendere in mano la situazione”.
L’EDPB, svolte le dovute verifiche, ha respinto le richieste avanzate dall’Autorità tedesca. In particolare:
- Ha rilevato che non vi erano informazioni sufficienti per stabilire con certezza se Facebook IE ha già iniziato a elaborare i dati degli utenti di WhatsApp IE come contitolare per i propri scopi di marketing e marketing diretto e di cooperazione con le altre società di Facebook. Né si poteva stabilire se Facebook IE abbia già iniziato o inizierà presto a elaborare i dati degli utenti di WhatsApp IE come contitolare per i propri scopi in relazione all’API di WhatsApp Business;
- sul requisito dell’urgenza, richiesto dall’art. 66, l’EDPB ha ritenuto che l’art. 61 par. 8 non fosse applicabile, non avendo l’Autorità tedesca dimostrato che l’autorità irlandese non ha fornito le dovute informazioni a seguito di una formale richiesta di assistenza reciproca. Inoltre, l’EDPB ha deciso che l’adozione di nuovi Termini che contengano elementi problematici simili alla versione precedente degli stessi, non può, da sola, giustificare l’urgenza e, conseguentemente, costituire motivo per l’EDPB di ordinare l’adozione di misure definitive da parte dell’Autorità Irlandese ai sensi dell’articolo 66, paragrafo 2, del GDPR.
Infatti, sulla base delle prove fornite, l’EDPB ha ritenuto che vi fosse un’alta probabilità che Facebook IE tratti già i dati degli utenti di WhatsApp IE in qualità di contitolare per lo scopo comune di garantire la sicurezza e l’integrità di WhatsApp IE e delle altre Società di Facebook, e per il miglioramento dei prodotti offerti dalle stesse società, ma che, tuttavia, “di fronte alle varie contraddizioni, ambiguità e incertezze rilevate nelle informazioni rivolte agli utenti di WhatsApp, ad alcuni impegni scritti adottati dalle comunicazioni scritte di Facebook IE e WhatsApp IE, […] non è in grado di determinare con certezza quali operazioni di trattamento vengono effettivamente eseguite e in quale veste”.
D’altro canto, “considerando l’elevata probabilità di violazioni, in particolare ai fini della sicurezza, protezione e integrità di WhatsApp IE e delle altre società di Facebook, nonché allo scopo di migliorare i prodotti delle società di Facebook, l’EDPB ha ritenuto che tale questione richieda una rapida ulteriori indagini. In particolare per verificare se, nella pratica, le Società Facebook effettuino operazioni di trattamento che implicano la combinazione o il confronto dei dati utente di WhatsApp IE con altri set di dati elaborati da altre Società Facebook nell’ambito di altre app o servizi offerti dalle Società Facebook, facilitata tra l’altro dall’uso di identificatori univoci”.
La necessità di svolgere ulteriori indagini rappresenta senza dubbio la riprova che l’informativa resa agli utenti, per come appare attualmente, non consente in alcun modo di comprendere quali siano gli scopi e le modalità del trattamento; e se tali elementi sono oscuri alle autorità, appare evidente che il singolo utente non ha alcuna possibilità di venirvi a capo, contrariamente a quanto richiesto dall’art. 12 GDPR.
Per tale ragione, l’EDPB ha richiesto all’Autorità Irlandese di svolgere “in via prioritaria, un’indagine legale per determinare se tali attività di trattamento siano in corso o meno e, in caso affermativo, se abbiano una base giuridica adeguata ai sensi Articolo 5 (1) (a) e Articolo 6 (1) GDPR”.
La decisione presa dall’EDPB non ha soddisfatto il vicecommissario di Amburgo per la Protezione dei dati, il quale non ha mancato di dirsi deluso dinanzi all’intervento timido dell’EDPB, che, sebbene abbia senza alcun dubbio un importante peso politico, rappresenta pur sempre una decisione non vincolante, che non avrà alcun effetto nei confronti di Facebook e delle sue Società, le quali proseguiranno nel trattamento dei dati degli utenti europei senza alcuna interferenza sostanziale.
La procedura d’urgenza ex art. 66 GDPR
L’art. 66 GDPR prevede che “in circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può […] adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi. L’autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato e alla Commissione. Qualora abbia adottato una misura ai sensi del paragrafo 1 e ritenga che urga adottare misure definitive, l’autorità di controllo può chiedere un parere d’urgenza o una decisione vincolante d’urgenza del comitato, motivando tale richiesta. Qualsiasi autorità di controllo può chiedere un parere d’urgenza o una decisione vincolante d’urgenza, a seconda dei casi, del comitato qualora un’autorità di controllo competente non abbia adottato misure adeguate in una situazione in cui urge intervenire per proteggere i diritti e le libertà degli interessati, motivando la richiesta di tale parere o decisione, in particolare l’urgenza dell’intervento.”
Il procedimento d’urgenza, quindi, consente a qualsiasi garante europeo vi sia interessato di adottare delle misure provvisorie, sostituendosi in tal modo al potere garantito in via esclusiva all’autorità di controllo, nel caso di specie l’Autorità irlandese.
Detto potere, ovviamente, non è illimitato, ma deve sottostare a specifiche condizioni di urgenza ed eccezionalità, previste al fine di non consentire alle autorità nazionali di “scavalcare” il potere delle singole autorità capofila operanti sul territorio. Tant’è che ogni misura adottata ai sensi dell’art. 66 GDPR deve anche essere prontamente comunicata alle altre autorità di controllo interessate, al comitato e alla Commissione.
Allo stesso tempo, occorre precisare altresì che l’articolo 66 conferisce all’autorità diversa dalla capofila un potere del tutto limitato, in quanto le misure provvisorie possono durare solo tre mesi e si applicano solo a livello nazionale, non in tutta l’Unione europea. Nel caso di specie, nel quale l’obiettivo di WhatsApp-Facebook è quello di aggiornare i termini e le condizioni di utilizzo dell’app, le stesse Facebook potrebbero semplicemente aspettare i tre mesi previsti dalla norma e applicare comunque la nuova policy in Germania dopo la decadenza dell’ordine di sospensione.
Insomma, si tratta di una misura apparentemente inadatta a rappresentare una vera “minaccia” per Facebook.
Tuttavia, diverse autorità per la protezione dei dati dell’UE hanno utilizzato (o minacciato di utilizzare) i poteri dell’articolo 66 negli ultimi anni, sin dall’entrata in vigore del GDPR nel 2018, riuscendo in alcuni casi ad ottenere risultati importanti: a titolo esemplificativo, il Garante Italiano ha utilizzato l’art. 66 per costringere TikTok a provvedere alla rimozione di account potenzialmente in uso a minorenni, per la salvaguardia degli interessi primari di questi ultimi.
Nel 2019, la sola minaccia dell’utilizzo del meccanismo di cui all’art. 66 (sempre da parte di Amburgo) è stata sufficiente per incoraggiare Google a sospendere le revisioni manuali delle registrazioni catturate dalla sua IA vocale, Google Assistant, e in seguito ha portato ad una serie di importanti mutamenti nelle policy di diversi giganti della tecnologia che, allo stesso modo, esaminavano manualmente le interazioni degli utenti con le loro AI vocali.
Per questo motivo, il Garante Tedesco avrebbe preferito che l’EDPB adottasse una decisione vincolante, seppur limitata nel tempo, allo scopo di lanciare un chiaro messaggio nei confronti di Facebook, nel tentativo di dissuaderla dal far entrare in vigore la nuova policy di trattamento dei dati personali, all’interno della quale sussistono molteplici carenze e problematiche.
I limiti dello sportello unico
Come detto, quindi, le vicende cui stiamo assistendo ora siano parte di una problematica ben più ampia che ha ad oggetto proprio le Big Tech e che coinvolge le singole autorità garanti sin dall’entrata in vigore del GDPR.
L’autorità tedesca, in particolare, già nel 2018, aveva criticato l’applicazione del meccanismo del One-stop-shop nei confronti dei colossi del web, accusando espressamente l’autorità irlandese di “lassismo”. Ulrich Kelber, commissario federale tedesco per la protezione dei dati personali, aveva definito l’atteggiamento dei colleghi irlandesi come “insopportabile”, affermando, nel corso di un evento tenutosi a Berlino che “è passato più di un anno e mezzo dall’entrata in vigore il GDPR e l’Autorità non ha adottato nessun provvedimento per violazione del Regolamento europeo sui dossier importanti, come Facebook, WhatsApp e Microsoft”.
Laddove non c’è lassismo, ci può essere comunque oggettiva difficoltà per una piccola authority, dotata di meno risorse persino di quella italiana (già questa con poco personale), a farsi baluardo della privacy nei confronti delle big tech mondiali.
È indubbio che il meccanismo del One-stop-shop renda molto più difficile, per le singole authority, muovere delle contestazioni che producano effetti a livello europeo, senza che vi sia un coinvolgimento diretto e sostanziale del Garante irlandese, cui è demandato il compito di vigilare sull’operato di società probabilmente troppo grandi per un’autorità sola, peraltro apparentemente poco preposta alla cooperazione.
Kelber ha affermato a tal riguardo che, dinanzi a potenziali violazioni riscontrate da parte di Facebook nei confronti dei cittadini tedeschi, “Abbiamo offerto supporto ai colleghi irlandesi ma non abbiamo ancora ricevuto una risposta.”
Al fine di ovviare a tale problematica e poter agire in modo più efficace nei confronti delle Big Tech, Kelber proponeva, già nel 2018, di superare i limiti dello sportello unico tramite l’istituzione di “un’agenzia europea per la protezione dei dati a cui il Comitato europeo per la protezione dei dati può delegare casi transnazionali di grandi dimensioni con una maggioranza di tre quarti”, aggiungendo che “affinché una nuova autorità sia in grado di agire efficacemente dovrebbe essere vincolata dal diritto amministrativo europeo e non dal diritto nazionale”.
Il responsabile della protezione dei dati di Amburgo Johannes Caspar, invece, proponeva l’introduzione di una “deadline” in capo al garante privacy irlandese, un termine entro il quale, nel caso in cui lo stesso non prenda provvedimenti o non presenti uno specifico progetto di intervento, la responsabilità per la vigilanza sul rispetto
Trattasi, in sintesi, di un delicatissimo equilibrio di potere fra Stati che non pare risolversi in alcun modo, con conseguente danno per i cittadini, che si trovano dinanzi all’impossibilità di vedere concretamente applicato il GDPR anche nei confronti dei colossi del web, e che l’EDPB ha deciso, al momento, di preservare, seppur evidenziando la necessità di un’indagine tempestiva da parte dell’Autorità garante irlandese, ponendosi anche come soggetto vigilante sullo stesso operato dell’Autorità Irlandese.
Conclusioni
In chiusura, si evidenzia come, ad oggi, l’Autorità Garante Irlandese ha irrogato una sola sanzione per violazione del GDPR ed è nei confronti di Twitter; pertanto, l’eventualità che anche le indagini richieste dall’EDPB, senza neppure la definizione di un termine entro cui svolgere le stesse, possano concludersi senza concrete conseguenze appaiono molto elevate e, in ogni caso, l’indagine potrebbe durare anche anni, senza costituire un vero impedimento per Facebook, la quale potrà proseguire nell’applicazione dell’attuale modello di gestione dei dati personali.
Ciò che si auspica è che dette indagini possano rappresentare un punto di partenza per l’avvio di un’azione condivisa e congiunta da parte di tutte le autorità di controllo europee, ivi inclusa quella irlandese, la quale, a gennaio, in riscontro alle domande poste da TechCrunch sulla privacy policy oggi oggetto di discussione, affermava che “Gli aggiornamenti effettuati da WhatsApp la scorsa settimana mirano a fornire informazioni più chiare e dettagliate agli utenti su come e perché utilizzano i dati. WhatsApp ci ha confermato che non ci sono cambiamenti alle pratiche di condivisione dei dati né nella Regione Europea né nel resto del mondo derivanti da questi aggiornamenti” e che, “nel frattempo, WhatsApp lancerà campagne informative per fornire ulteriore chiarezza su come funzionano la privacy e la sicurezza sulla piattaforma”, nonostante fossero molteplici i reclami presentati già a tale data dalle altre autorità interessate.
Senza dubbio si tratta di una valutazione molto diversa da quella resa oggi dall’EDPB, il quale si rende portavoce, a livello espresso, di un chiaro problema di trasparenza da parte del gruppo Facebook, definendo i termini di gestione dei dati confusi e intricati, oltre che palesemente carenti sotto il profilo della trasparenza della base giuridica (da ritenersi un elemento essenziale dell’informativa) e definendo, allo stesso tempo, quale sia la rotta che l’autorità irlandese debba seguire nello svolgimento delle indagini.
