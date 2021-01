Per il caffè di questa mattina ospitiamo il contributo della dott.ssa Giorgia Benatti del team privacy di SC Avvocati Associati di Modena su uno dei temi "caldi" dell'attualità leago ai nuovi strumenti di comunicazione.

Il tanto atteso 2021 si è aperto con una comunicazione di WhatsApp ai propri utenti in merito agli aggiornamenti dei termini di servizio e dell’informativa privacy per il nuovo anno con l’avvertimento della necessaria accettazione entro l’8 febbraio 2021 per poter continuare ad utilizzare l’applicazione: il panico degli utenti.

Sfogliando i giornali e scorrendo le notizie veicolate nelle scorse settimane sul web lo scenario che emerge è quello di un passaggio epocale nell’attività di trattamento dei dati da parte di WhatsApp: accesso a tutti i dati delle conversazioni nelle chat, comunicazione automatica e indiscriminata di tali dati a Facebook per autonome finalità commerciali con buona pace dei principi e delle garanzie cristallizzati dal GDPR.

Le notizie, in realtà e per fortuna, si sono via a via strutturate sempre più anche grazie alle successive dichiarazioni di WhatsApp, da sempre interlocutore aperto e attento alla data protection. Ma, diciamolo, il danno ormai era fatto. Disinformazione e approcci probabilmente troppo superficiali hanno generato una catena di fake news tale da impattare in modo significativo sulla migrazione degli utenti verso altre applicazioni di messaggistica, quali in primis Telegram e Signal.

Cerchiamo, dunque, di fare chiarezza fra le innumerevoli affermazioni improvvisate e prive di fondamento che hanno inondato il web, delineando cosa c’è di fake e di vero nel “caso WhatsApp”.

Pare che i nuovi termini modifichino l’utilizzo dell’applicazione da parte della totalità degli utenti.

In realtà così non è. Le modifiche apportate sono applicabili ai soli cittadini non stabiliti nell’Unione Europea. All’interno dei confini dell’Unione, infatti, vige una specifica privacy policy che si pone in termini tutto sommato coerenti con il GDPR, che non riporta la nota sulle attività globali di data sharing presente nell’informativa relativa al trattamento extra- UE e che di fatto, a seguito degli aggiornamenti, non presenterebbe novità sostanziali rispetto alla precedente versione.

Allo stesso modo, pare che tutte le funzionalità dell’applicazione vengano “intaccate” dai nuovi termini di servizio.

In realtà, l’ambito di applicabilità degli aggiornamenti è di gran lunga più limitato di quanto sembri: gli interventi modificativi riguardano solo le funzionalità di WhatsApp Business e non anche la tipologia di account utilizzata da un qualsiasi utente privato. Gli aggiornamenti principali, infatti, approfondiscono le modalità di trattamento dei dati e come le aziende che si servono di WhatsApp Business possono utilizzare i servizi di Facebook per la gestione della chat.

È stato detto che le modifiche dei termini di servizio mettono in pericolo la segretezza del contenuto delle chat private e di gruppo.

Ciò è assolutamente falso. WhatsApp utilizzava e continuerà ad utilizzare un sistema di crittografia end-to-end per proteggere le conversazioni sia private che scambiate all’interno dei gruppi. Dunque, non è possibile per l’app di messaggistica accedere a testi, immagini, link o posizioni gps condivise con i nostri contatti.

C’è stato chi, inneggiando al complotto, ha parlato di condivisione dei dati in modo automatico e indiscriminato con le altre società del gruppo – soprattutto Facebook – per finalità commerciali.

Come si è detto, il contenuto delle chat è cifrato: la società di messaggistica non può accedere ai contenuti delle conversazioni, dunque, anche volendo non sarebbe in grado di trasmetterli a Facebook. Le stesse dichiarazioni di WhatsApp confermano che per gli utenti europei e del regno Unito non ci saranno modifiche alle modalità di condivisione dei dati. Infatti, lo scambio di dati personali fra WhatsApp e Facebook per finalità commerciali di quest’ultima non è uno scenario attualmente possibile, per lo meno nell’Unione. Già in passato vi era stato da parte delle società un input in tal senso prontamente bloccato dalle autorità garanti per protezione dei dati personali.

Chiariamo subito un equivoco. Dire che non vi sia alcun flusso di dati fra le società del gruppo Facebook è errato. Bisogna, però, definirne il contenuto: le informazioni condivise da WhatsApp con le altre società non sono utilizzate da queste ultime per finalità proprie, ma sono trattate per conto di WhatsApp e alla luce delle istruzioni impartite. Di fatto, Facebook utilizza i cosiddetti metadati (ad esempio i numeri di telefono utilizzati dall’utente, la frequenza di apertura dell’applicazione, la risoluzione dello schermo del dispositivo) per assicurarsi che WhatsApp funzioni correttamente.

Sul tema del flusso dei dati verso Facebook, tuttavia, si può muovere un’osservazione critica. I termini del servizio descrivono la possibilità di una condivisione dei dati – da intendersi comunque limitati ai metadati – con Facebook. Ciò che però i nuovi termini di servizio non dicono, ed è qui che risultano poco trasparenti, è che presupposto necessario per sbloccare il flusso di dati verso Facebook è un accordo con il Garante irlandese, allo stato del tutto inesistente. Solo laddove si dovesse raggiungere un accordo sarebbe possibile delineare una condivisione di dati che, in ogni caso, sarebbe anticipata da una nuova informativa agli utenti che dia atto di tale attività, delle specifiche finalità e delle basi giuridiche.

Detto ciò, queste non condivisibili affermazioni non sono nate dal nulla.

È sicuramente vero che i nuovi termini di servizio sono ambigui o comunque poco chiari, andando a disattendere quella forma coincisa e trasparente richiesta dal GDPR (art. 12). È lo stesso Garante privacy italiano( [1]) ad evidenziare come «dai termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati» dopo le modifiche. In effetti, gli utenti dovrebbero prendere le due diverse versioni, confrontarle e trovare le differenze.

In ogni caso, preme ricordarlo, semplicità e chiarezza non erano proprie nemmeno della privacy policy precedente, che già presentava passaggi fumosi. Primo fra tutti, la divisione in compartimenti stagni di dati trattati, finalità e basi giuridiche rendeva – e rende tutt’ora – difficoltosa la ricostruzione verticale di tutte le informazioni relative al trattamento di uno specifico dato. Dunque, perché la poca trasparenza dell’informativa ha attirato così tanta attenzione solo ora? Sicuramente quel termine ultimo dell’8 febbraio, pena l’impossibilità di usare il social, è stato percepito dagli utenti come una vera e propria pistola puntata.

Per lo meno su questo fronte, possiamo tirare un sospiro di sollievo perché, come comunicato il 15 gennaio scorso, il termine per l’operatività degli aggiornamenti è stato prorogato al 15 maggio 2021. Dunque, l’8 febbraio nessun account verrà sospeso o eliminato e fino al 15 maggio potremo continuare ad utilizzare tranquillamente l’applicazione nell’attesa che WhatsApp faccia ulteriore chiarezza sulle informazioni errate in tema di sicurezza e privacy. In modo tale che gradualmente e secondo le proprie tempistiche, ciascun utente riveda l’informativa prima del 15 maggio, data in cui saranno disponibili le nuove opzioni business.