L'APPROFONDIMENTO

WhatsApp e le nuove regole, Napoletano: “Una questione di trasparenza più che di sicurezza”

Il Gdpr non consente che i dati siano liberamente utilizzabili dalle aziende del gruppo Facebook per fini di profilazione pubblicitaria. Ma il chiarimento non è così facile da comprendere per l’utente medio. L’analisi dell’avvocato dello Studio Legale Napoletano & Partners

Pubblicato il 18 Gen 2021

Enrico Napoletano

Studio Legale Napoletano & Partners

whatsapp-170504115434

Dopo la spunta del famoso pop-up sull’app di messaggistica WhatsApp, impazza sul web la “febbre” per la privacy. Scorrendo le pagine dei principali siti di informazione, è in prima linea la notizia di una modifica delle condizioni di servizio da parte del colosso californiano (dal 2014 di proprietà di Facebook Inc.), annunciato agli oltre due miliardi di utenti nel mondo tramite un messaggio apparso sull’interfaccia dell’app dal tenore più o meno così: “O accetti, o dall’8 febbraio 2021 il tuo account non sarà più attivo”.

Più precisamente, il banner elenca le principali modifiche sopravvenute, che – si legge – attengono alle modalità con le quali vengono gestiti i dati degli utenti e alle interazioni con le altre aziende del gruppo Facebook (tra cui Instagram e Messenger) per poi dichiarare: “Toccando ACCETTO, accetti i nuovi termini in vigore dall’8 febbraio 2021. Dopo tale data dovrai accettare i nuovi termini per continuare a usare WhatsApp”.

Le polemiche si sono subito levate, specie in relazione al secondo aspetto menzionato, quello del data sharing con Facebook per finalità di promozione pubblicitaria e marketing, che andrebbe ad aggiungersi alla condivisione, da sempre attuata, per finalità di carattere tecnico e di sicurezza. Il dibattito si è anzitutto focalizzato sulla violazione dei crismi che deve possedere il consenso per fungere da base giuridica e quindi da condizione di liceità del trattamento, tra cui il Regolamento (UE) 2016/679 (meglio noto come “GDPR”) menziona espressamente quello della “libertà”.

Il riferimento normativo è all’articolo 4, come integrato dal Considerando 32, che definiscono il consenso come una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato”, precisando che laddove sia “richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.
Il successivo articolo 7 chiarisce poi che non può definirsi libero il consenso a ulteriori trattamenti di dati personali che l’interessato debba prestare quale condizione per conseguire la prestazione richiesta (“Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”).

È il caso, ad esempio, della pubblicità commerciale, che parrebbe rappresentare – salvo quanto verrà precisato di seguito – una delle finalità della annunciata condivisione dei dati con le altre aziende del gruppo Facebook, quindi una finalità ulteriore cui non può essere subordinato il consenso all’utilizzo complessivo del servizio di messaggistica.
Di qui la critica alle modalità di acquisizione del consenso da parte di WhatsApp: un consenso strappato e non negoziabile, se non con la rinuncia all’utilizzo del servizio.
È questo un primo punto su cui occorre far chiarezza. Il consenso dell’utente non è l’unica – né la principale – base giuridica del trattamento dei dati da parte di WhatsApp. Lo è, infatti, solo limitatamente all’accesso a funzioni ulteriori offerte dall’app, quali la fotocamera, la localizzazione, la rubrica o il microfono, cui l’utente deve, appunto, acconsentire per poter scattare o inviare foto, condividere la propria posizione o un contatto della rubrica o ancora registrare messaggi vocali, ma che d’altra parte può tranquillamente non abilitare nelle impostazioni del proprio smartphone e continuare ad usufruire liberamente del servizio di messaggistica.

È la stessa Società a specificarlo nell’informativa privacy: la sezione “Base giuridica per il trattamento dei dati” si apre infatti specificando che WhatsApp, per trattare i dati degli utenti, si serve di basi giuridiche diverse a seconda del tipo di trattamento e delle finalità dello stesso (“Ci basiamo su diverse basi giuridiche per trattare i dati dell’utente per le varie finalità riportate nella presente Informativa sulla privacy”).
La principale – non a caso citata per prima – è il contratto che l’utente stipula con la Società quando scarica l’app ed accetta i termini di servizio. Si legge infatti nell’informativa che le informazioni vengono raccolte, utilizzate e condivise – quindi “rattate – “nella misura necessaria per rendere disponibili e fornire i servizi di messaggistica e comunicazione descritti nella sezione  “I nostri Servizi” e poi ancora: “Trattiamo i dati a nostra disposizione (come descritto nella sezione “Informazioni raccolte”) secondo necessità per adempiere al contratto stipulato con l’utente (i Termini)”. Al consenso, invece, l’azienda dichiara di fare appello per trattare i soli “dati che provengono dal dispositivo”.

Ciò significa, in altre e più coincise parole, che quel banner che è apparso non è una richiesta di consenso alle nuove condizioni contrattuali, bensì semplicemente una comunicazione all’utente di una intervenuta modifica unilaterale delle stesse che, come tale, non richiede alcun consenso da parte dell’utente.Altro tema che è necessario  approfondire è quello legato alla condivisione delle informazioni con le aziende del network Facebook per scopi di carattere commerciale.

Leggendo l’informativa aggiornata, emerge che la base giuridica invocata da WhatsApp per procedere a questo tipo di trattamento è l’interesse legittimo. L’azienda definisce tale l’interesse di “promuovere i prodotti delle aziende Facebook e inviare materiali di marketing diretto” e chiarisce che i dati trattati per tale finalità comprendono sia
“informazioni fornite dall’utente” (quali, ad esempio, numero di cellulare, nome utente, immagine del profilo, stato, numeri di telefono dei contatti presenti in rubrica, informazioni relative all’account di pagamento e alle transazioni, quest’ultimo dato assente nella versione precedente dell’informativa), sia “informazioni acquisite automaticamente” (informazioni di uso e accesso, informazioni sul dispositivo su cui il servizio viene installato, tra cui il sistema operativo, il livello della batteria, la potenza del segnale, la versione dell’app, informazioni sul browser e sulla rete mobile, informazioni sulle connessioni, compreso l’operatore mobile o il provider ISP, la lingua e il fuso orario e l’IP, posizione e cookie), sia “informazioni di terzi” (tra cui, informazioni sull’utente fornite da altrui utenti o dalle attività commerciali con cui egli interagisce tramite WhatsApp).

Se ci fermassimo a leggere qui – e probabilmente un utente medio si ferma molto prima – dovremmo concludere che WhatsApp ci obbliga ad acconsentire a che tutti i dati che forniamo per chattare siano liberamente utilizzabili dalle aziende del gruppo Facebook per fini di profilazione pubblicitaria.

Fortunatamente così non è: una simile attività, per i dati degli utenti europei, è preclusa dal GDPR (che consente la condivisione dei dati a Facebook – come infatti da sempre avviene – solo per scopi tecnici e di sicurezza), vieppiù se la base giuridica prescelta è quella dell’interesse legittimo. Infatti, ai sensi dell’articolo 6, lett. f) del Regolamento europeo, il perseguimento di un legittimo interesse del Titolare può rappresentare un presupposto legittimante del trattamento solo come extrema ratio e unicamente a condizione che non prevalga sugli interessi o sui diritti e sulle libertà
fondamentali dell’utente.

Dunque, previo superamento di un test comparativo che il Titolare deve eseguire secondo criteri indicati nelle Linee Guida tracciate nel parere del WP29 n. 6/2016 e, francamente, la quantità di dati raccolti al cospetto di una simile finalità non sembrerebbe poter supere indenne un simile giudizio comparativo.

Né una simile operazione – specie a fronte dell’invalidazione del Privacy Shield ad opera della Corte di Giustizia dell’Unione Europea con la nota sentenza “Schrems II” – potrebbe ritenersi giustificata dal dato che il trasferimento avverrebbe infragruppo: il considerando 48, infatti, legittima il trasferimento dei dati infragruppo sulla base di un interesse legittimo solo “ai fini amministrativi interni”.

Dov’è allora il vero problema? Nel fatto che tutto questo viene specificato solo nelle FAQ. Solo qui, infatti, si legge: “Non condividiamo dati per migliorare i prodotti di Facebook e fornire esperienze pubblicitarie più pertinenti su Facebook”; e ancora: “Oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook o per fornirti esperienze pubblicitarie più pertinenti su Facebook”.

Quindi: un utente apre l’app e si trova di fronte un banner che annuncia una condivisione (non negoziabile) dei dati con Facebook per scopi commerciali. Se ha un minimo interesse alla materia – e non è affatto scontato che lo abbia – andrà a ricercare all’interno del sito l’informativa privacy aggiornata alle modifiche dei termini di servizio, dove pure leggerà che WhatsApp può legittimamente trasferire a Facebook i dati che raccoglie dagli utenti per finalità di marketing diretto sulla base di un interesse legittimo a promuovere i prodotti delle aziende del gruppo.

Dopodiché, per scoprire che tutto questo non lo riguarda in quanto utente dell’Unione Europea e tirare un sospiro di sollievo, dovrà prima andare nella sezione “Collaborazione con le altre aziende Facebook”, da lì cliccare su “Centro assistenza”, per poi essere rimandato alle FAQ e ottenere la risposta.

Il tema, più che alla sicurezza dei dati, si direbbe legato ad una scarsa trasparenza nella
comunicazione delle informazioni agli utenti. Non a caso, per arginare le polemiche, si è reso necessario un comunicato ufficiale da parte dell’azienda, che tramite un portavoce ha dichiarato che “Non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea, incluso il Regno Unito, derivanti dall’aggiornamento dei Termini di servizio e dall’Informativa sulla privacy. Non
condividiamo i dati degli utenti dell’area europea con Facebook allo scopo di consentire a Facebook di utilizzare tali dati per migliorare i propri prodotti o le proprie pubblicità”.

Successivamente, la stessa azienda è intervenuta con un Tweet dal proprio l’account ufficiale, pubblicando una tabella con i dovuti chiarimenti. Il risultato di questo caos è stato un boom di download registrato da Signal, considerato dai più dotato di uno standard di sicurezza dei dati superiore rispetto a WhatsApp.

Le ragioni attengono principalmente al carattere open-source del sistema di crittografia delle conversazioni, che differentemente da WhatsApp è liberamente accessibile da chiunque abbia interesse a studiarlo e approfondirlo, e al fatto che Signal non registra sui propri server il contenuto o la cronologia dei messaggi, che restano sui dispositivi degli utenti: ciò significa che di fronte ad una richiesta di informazioni proveniente, ad esempio, dalle autorità giudiziarie, non avrebbe quasi nessun dato da fornire.

Tali motivazioni, a ben vedere, nulla hanno a che vedere con i recenti trascorsi, essendo le stesse che avrebbero potuto spingere benissimo qualsiasi utente a preferire Signal a WhatsApp già qualche anno fa. Quello che si intende dire è che il passaggio a Signal, più che da una presa effettiva di coscienza dell’importanza della protezione dei dati personali, sembrerebbe essere dettato da un panico generalizzato, anche se non può escludersi che questa vicenda contribuisca ad accendere un faro sui vantaggi, in termini di sicurezza, di questa più giovane app di messaggistica.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati