La nuova privacy policy di WhatsApp – con potenziale utilizzo da parte di Facebook Ireland dei dati degli utenti europei di WhatsApp in congiunzione ad altri data set del gruppo – potrebbe non essere conforme alle disposizioni del Gdpr. Su questo intende fare luce l‘Edpb, il Garante dati europeo, che ha adottato la sua prima “urgent binding decision” ai sensi dell’Art. 66(2) del Gdpr ordinando al Garante privacy irlandese di aprire un’indagine formale (statutory investigation) sull’utilizzo dei dati degli utenti della app di messaggistica in Unione europea.
La decisione dell’Edpb scaturisce a sua volta dalla decisione assunta dal Garante privacy tedesco dopo la modifica dei termini d’uso della app di messaggistica applicabili in Europa: l’autorità ha adottato a maggio misure temporanee nei confronti di Facebook Ireland ai sensi dell’Art. 66 (1) del Gdpr e vietato l’uso da parte di Facebook dei dati degli utenti di WhatsApp. Il Garante tedesco ha chiesto al Garante privacy irlandese di adottare le misure definitive.
L’Edpb ritiene, tuttavia, che non ci siano le condizioni per dimostrare né l’esistenza di una violazione del Gdpr né l’urgenza di procedere. Per questo ha ordinato al Garante irlandese di non adottare misure definitive contro Facebook Ireland e di aprire, invece, un’inchiesta più approfondita.
La policy dati di Facebook non è chiara, dice l’Edpb
In base alle prove fornite, ha detto l’Edpb in una nota per i media, è altamente probabile che Facebook Ireland già usi i dati degli utenti di WhatsApp Ireland (la filiale europea di WhatsApp, che ha sede pure in Irlanda) nella qualità di controllore congiunto per il comune obiettivo di sicurezza, protezione dei dati e integrità di WhatsApp Ireland e e delle altre società di Facebook e per il comune obiettivo di migliorare i prodotti delle società di Facebook.
Tuttavia, prosegue l’Edpb, “di fronte alle varie contraddizioni, ambiguità e incertezze notate nelle informazioni di WhatsApp per gli utenti, in alcuni impegni scritti adottati da Facebook Ireland e le osservazioni scritte presentate da WhatsApp Irelanda, l’Edpb ha concluso che non è in grado di determinare con certezza” quali operazioni di uso dei dati vengono effettivamente svolte e in quale veste.
Il Garante europeo dice di non avere nemmeno sufficienti informazioni per stabilire con certezza se Facebook Ireland stia già usando i dati degli utenti europei di WhatsApp per scopi di marketing e nemmeno relativamente alle WhatsApp Business Api.
Su Facebook e i dati occorrono “indagini più approfondite”
Anche riguardo alla condizione di urgenza dell’intervento l’Edpb obietta di non avere sufficienti prove dall’autorità tedesca. Inoltre, l’adozione dei termini d’uso aggiornati da parte di WhatsApp, che, a detta del Garante europeo dei dati personali, contiene elementi problematici simili alla precedente versione, non può da sola giustificare l’urgenza di un ordine di adozione di misure definitive da parte dell’Edpb sulla base dell’Art. 66(2) del Gdpr.
In conclusione, “considerando l’alta probabilità di violazioni in particolare per lo scopo di sicurezza, protezione dei dati e integrità di WhatsApp Ireland e altre società di Facebook e per lo scopo di migliorare i prodotti delle società di Facebook, l’Edpb ha valutato che questa materia richiede ulteriori rapide indagini”.
In particolare l’Edpb vuole verificare se, in pratica, le società di Facebook utilizzano i dati in modo da implicare una combinazione o confronto dei dati degli utenti di WhatsApp Ireland con altri data set usati da altre società di Facebook nel contesto di altre app o altri servizi offerti dalle società del gruppo americano, facilitati tra le altre cose dall’uso di identificativi unici.
Inchiesta anche sul ruolo di Facebook
L’Edpb ha di conseguenza chiesto al Garante irlandese di condurre, in via prioritaria, una statutory investigation per determinare se tali utilizzi dei dati avvengano o no e, se sì, se vengono svolti su basi legittime in base agli Artt. 5(1)(a) e 6(1) del Gdpr.
Inoltre, considerando “la mancanza di informazioni riguardo a come i dati sono utilizzati a scopo di marketing, alla cooperazione con altre società di Facebook e in relazione alle WhatsApp Business Api”, l’Edpb ha chiesto al Garante irlandese di “indagare ulteriormente il ruolo di Facebook Ireland”, ovvero se questa agisca come entità che usa i dati o come joint controller.
Negli Usa Facebook chiede la ricusazione della presidente della Ftc
I guai legali di Facebook continuano anche negli Stati Uniti, dove la Federal trade commission – che si occupa anche di questioni antitrust – ha in corso una causa sul social media per presunte violazioni delle norme sulla concorrenza. Un giudice ha dato in primo grado ragione a Facebook e la Ftc si prepara al ricorso, ma intanto l’azienda californiana ha presentato richiesta di ricusazione della presidente dell’agenzia federale Lina Khan, definita “imparziale” in quanto notoriamente critica nei confronti dei colossi tecnologici. Anche Amazon, poche settimane fa, ha avanzato la stessa richiesta.
Prima di entrare nella Ftc, la Khan è stata direttore legale dell’Open markets institute, gruppo che sostiene un approccio regolatorio più severo verso le Big tech. In particolare, sotto la guida di Khan, l’Open markets institute ha chiesto alla Ftc di ribaltare la decisione con cui ha approvato le acquisizioni di WhatsApp e Instagram da parte di Facebook. Queste due acquisizioni giocano il ruolo centrale nella causa antitrust condotta ora dall Ftc contro l’azienda di Menlo Park.
