WhatsApp e il caos dell’aggiornamento dei termini di servizio: è il momento di fare chiarezza. Come noto, il 4 gennaio scorso tutti gli utenti della popolare app di messaggistica di proprietà di Facebook sono stati avvisati, tramite un pop-up, di un aggiornamento delle condizioni. L’accettazione dell’aggiornamento veniva dichiarata obbligatoria per continuare a fruire del servizio. In particolare, per i residenti UE il pop-up indicava quali oggetto dell’aggiornamento:
- Servizio di WhatsApp e modalità di trattamento dati
- Come le aziende possono utilizzare i servizi disponibili su Facebook per conservare e gestire le proprie chat su WhatsApp.
La notizia è stata riportata su tutte le testate del mondo ed è rimbalzata nel web e sui social nel giro di pochissime ore. Purtroppo, però – vuoi la fretta, vuoi il passaparola senza verifiche alla fonte – il messaggio inteso dai più è stato: “Cari utenti, se accettate queste modifiche, le informazioni personali raccolte da WhatsApp saranno condivise con Facebook o con aziende del gruppo” o, addirittura, “tutto quello che scrivete nelle vostre chat viene condiviso con Facebook”.
Da qui il caos. Le preoccupazioni per la violazione della privacy e le esigenze di tutela della riservatezza della mole di informazioni che ciascuno di noi condivide ed affida giornalmente alla app di messaggistica hanno indotto milioni di utenti a migrare verso app concorrenti di Whatsapp, come Telegram o Signal.
Ma la preoccupazione per le tanto discusse modifiche introdotte da Whatsapp è realmente fondata?
Nessun allarme privacy (non più di prima…)
La risposta (lo anticipiamo sin da ora) è no. O meglio, non più di quanto fosse giustificato avere preoccupazioni per la privacy in precedenza. Vediamo perché.
Partiamo da quanto affermato dalla stessa Whatsapp tramite un comunicato stampa pubblicato qualche giorno fa: “WhatsApp si fonda su un concetto semplice: tutto ciò che condividi con familiari e amici rimane tra voi. Questo significa che continueremo a proteggere le conversazioni personali con la crittografia end-to-end. Grazie a questa misura di sicurezza, né WhatsApp né Facebook possono vedere i messaggi privati. Per questo non teniamo traccia delle persone che vengono chiamate o a cui vengono inviati i messaggi. WhatsApp non può nemmeno vedere la posizione condivisa e non condivide i contatti con Facebook“. L’ultimo aggiornamento non incide in alcun modo su questo aspetto.
Viene da chiedersi, allora, come mai sia stato possibile equivocare in questa maniera l’impatto dell’aggiornamento dell’informativa sulla privacy. La risposta è molto semplice, quanto preoccupante: né il pop-up, né l’informativa estesa, sono formulati in maniera chiara circa l’utilizzo dei dati personali.
WhatsApp ha commesso un errore di comunicazione
Analizziamo il pop-up. L’utente viene avvisato che se vuole continuare ad utilizzare WhatsApp deve accettare i nuovi termini. Un consenso forzato, dunque?
In base all’art. 7 del GDPR il consenso deve sempre essere libero e non condizionato. Il che significa che non è lecito subordinare l’esecuzione di un contratto (in questo caso la prestazione del servizio di messaggistica istantanea) all’ottenimento di un consenso relativo ad un trattamento che non è essenziale per l’esecuzione del contratto stesso. In altre parole, WhatsApp non potrebbe costringere l’utente a scegliere se prestare il consenso alla comunicazione dei dati a terzi per fini di marketing o rinunciare ad utilizzare il servizio di messaggistica istantanea, poiché il trattamento delle informazioni per finalità di marketing non essenziale ai fini dell’esecuzione del contratto.
Tuttavia, come vedremo tra poco, non solo l’aggiornamento, per gli utenti residenti in UE, non riguarda operazioni di marketing, ma l’unico trattamento effettuato da WhatsApp basato sul consenso è quello per accedere alla posizione, alla fotocamera o alle foto, separatamente richiesto durante l’installazione della app, sempre revocabile e non necessario alla prestazione del servizio essenziale di messaggistica.
È allora evidente il primo grosso errore di comunicazione: quel che WhatsApp vuole, chiedendo la “accettazione”, è la presa visione dell’aggiornamento dell’informativa privacy da parte degli utenti. Anche questa volta, quindi la preoccupazione non ha ragion d’essere.
Il tema della condivisione dei dati con Facebook
Veniamo all’altro tema “caldo”, quello che ha maggiormente preoccupato milioni di utenti: la condivisione dei dati affidati a Whatsapp con le aziende del gruppo Facebook.
Anche qui, c’è un grande problema di poca chiarezza ed errata comunicazione.
Infatti, scorrendo l’informativa privacy applicabile agli utenti UE, c’è scritto che, sulla base degli interessi legittimi, WhatsApp utilizza “Informazioni fornite dall’utente” (ad es. numero di cellulare, nome utente, immagine del profilo, stato, numeri di telefono dei contatti presenti in rubrica, informazioni relative all’account di pagamento e alle transazioni), “Informazioni raccolte automaticamente” (informazioni su uso e accesso dell’app e tutta una serie di informazioni sul dispositivo, tra cui ad esempio sistema operativo, livello batteria, browser e rete mobile, operatore, lingua e indirizzo IP) e “Informazioni di terzi” (tra cui, informazioni sull’utente fornite da altrui utenti o dalle attività commerciali con cui egli interagisce tramite WhatsApp) per “promuovere i prodotti delle aziende Facebook e inviare materiali di marketing diretto”.
È presto trovata, quindi, la fonte delle reazioni scatenatesi sui media.
Se non fosse che, dal punto di vista legale, per poter effettuare marketing diretto relativo ai prodotti di una società terza (qui Facebook) tramite la piattaforma di quella società terza, il legittimo interesse ex art. 6 par. 1 lett. f) del GDPR non può costituire idonea base giuridica. E ciò, non solo in Italia, dove l’art. 130 del Codice Privacy (d.lgs. 196/2003) espressamente richiede il consenso per effettuare trattamenti di marketing diretto in casi come quello qui in esame, ma in tutta l’UE, dove le maglie dell’applicazione del legittimo interesse per legittimare trattamenti di marketing sono sì più ampie, ma non così tanto.
Europei “salvati” dal GDPR
Devono in primis tenersi presente i limiti individuati – tra l’altro – dalle Linee Guida del WP29 n. 6/2016, in cui si chiarisce che il legittimo interesse legittima un trattamento solo se supera indenne il test di bilanciamento degli interessi in gioco, i quali vanno parametrati, da un lato, alla “ragionevole aspettativa” dell’interessato in merito a quel determinato trattamento e, dall’altro, ai rischi per i diritti e le libertà delle persone fisiche che tale trattamento può comportare (si veda il Considerando 75 del GDPR).
È di immediata evidenza come, da un lato, un utente di WhatsApp non si aspetti “ragionevolmente” che in virtù del suo utilizzo dell’app, o delle foto profilo o degli status che condivide sulla stessa, gli arrivino ads personalizzate su Facebook e, dall’altro lato, il numero di dati utilizzati per compiere questa profilazione è decisamente troppo massiccia (e i dati aggregati troppo intrusivi) per poter superare il test di bilanciamento nel rispetto di minimizzazione e proporzionalità che permeano la normativa UE sul trattamento dei dati personali (art. 5 GDPR).
Inoltre, il Considerando 48 del GDPR pone come regola generale che il trasferimento di dati personali infragruppo può essere giustificato da un interesse legittimo solo se avviene a fini amministrativi interni, cosa che – ancora una volta – nel caso in esame non è.
Ecco allora che il GDPR viene in soccorso a noi residenti nella UE e impedisce al Gruppo Facebook di scambiarsi liberamente trattare i nostri dati personali come meglio crede, senza il nostro consenso.
Che cosa dice l’informativa di WhatsApp
Ed infatti, a fugare ogni dubbio, intervengono le FAQ connesse all’informativa, in cui WhatsApp chiarisce – finalmente in modo inequivoco: “Non condividiamo dati per migliorare i prodotti di Facebook e fornire esperienze pubblicitarie più pertinenti su Facebook”.
Ma una domanda rimane: siamo, quindi, certi che WhatsApp non condivida nessun tipo di dato degli utenti con terzi? Non saremmo, in realtà, pronti a giurarci.
L’informativa indica infatti che WhatsApp trasferisce dati:
- Alle autorità e a terzi, per adempiere ad obblighi di legge e per difendere i propri diritti;
- A società del Gruppo Facebook “per promuovere protezione, sicurezza e integrità”;
- A terzi e partner genericamente “Per l’offerta di misurazioni, dati statistici e altri servizi per le aziende”. In particolare – si legge – “per aiutarli a comprendere i loro clienti e migliorare le proprie attività e convalidare i nostri modelli di prezzo, valutare l’efficienza e la distribuzione dei loro servizi e messaggi, e capire come le persone interagiscono con loro sui nostri Servizi”. Non è affatto chiaro quali di preciso siano questi dati e se il trasferimento riguardi solo dati aggregati o anche dati in chiaro.
Inoltre, come specificato nelle FAQ relative a come WhatsApp collabora con le altre aziende Facebook, WhatsApp condivide informazioni con le società di Facebook in qualità di fornitori. E fin qui, niente di strano: se tali società del Gruppo si limitano a offrire “infrastrutture, tecnologie, sistemi, strumenti, informazioni e competenze utili a fornire e migliorare il servizio WhatsApp per gli utenti”, esse agiscono quali responsabili del trattamento.
Decisamente meno chiaro questo passaggio: “Questo ci consente, ad esempio, di capire come vengono usati i nostri servizi e di confrontare tali dati con l’uso all’interno delle aziende di Facebook. Condividendo le informazioni con le altre aziende di Facebook, ad esempio il numero di telefono che hai verificato al momento dell’iscrizione a WhatsApp o quando hai usato il tuo account l’ultima volta, possiamo capire se un determinato account WhatsApp appartiene a qualcuno che usa anche altri servizi delle aziende di Facebook. Questo ci consente di creare report più accurati sui nostri Servizi e di migliorarli. Ad esempio, così facendo possiamo capire il modo in cui le persone usano i servizi WhatsApp rispetto ad altre app o altri servizi delle aziende di Facebook, un dato che, a sua volta, consente a WhatsApp di valutare nuove funzioni o miglioramenti dei prodotti. Possiamo inoltre quantificare il numero di utenti unici di WhatsApp stabilendo, ad esempio, quali utenti non usano altre app di Facebook e quanti utenti unici sono presenti nelle aziende di Facebook. In questo modo WhatsApp può effettuare un’analisi più completa del proprio servizio anche per gli investitori e le autorità di controllo”.
Le questioni aperte sul tavolo dell’EDPB
Non è chiaro, insomma, se le medesime informazioni condivise con Facebook formalmente in qualità di fornitore (responsabile del trattamento) di WhatsApp vengano, invece, utilizzate dalla stessa Facebook anche per propri fini e quindi in qualità di titolare (ipotesi che integrerebbe un trasferimento dei dati non sorretto da idonea base giuridica e dunque illecito).
Non solo, a tranquillizzare i più sugli aggiornamenti annunciati, è il fatto che la condivisione con Facebook riguarderebbe solo gli Account Business. Viene tuttavia da domandarsi come, nei fatti, avvenga l’utilizzo di questi servizi di Facebook. Ma soprattutto, se, come pare, tali servizi implicano feed sul gradimento dei prodotti delle aziende titolari di Account Business a partire dalle conversazioni che tramite tale account le aziende intrattengono coi propri clienti – anch’essi utenti di WhatsApp – si può davvero dire con certezza che nessun dato degli utenti che interagiscano con Account Business viene trasmesso a Facebook?
Alla luce di tutto quanto sopra, sembra quindi pienamente condivisibile l’intervento del Garante per la protezione dei dati personali, il quale, rilevata la assoluta mancanza di chiarezza e intelligibilità dell’avviso inviato da WhatsApp, così come dell’informativa privacy, e la conseguente impossibilità per l’utente di poter effettuare scelte libere e consapevoli, con una nota del 14 gennaio, ha comunicato di aver portato la questione all’attenzione dell’EDPB (European Data Protection Board), riservandosi di intervenire, in via d’urgenza, per tutelare i diritti degli utenti italiani in tema di protezione dei dati personali.