WhatsApp modifica le condizioni di utilizzo: quali conseguenze per gli utenti - Riskmanagement

Compliance

WhatsApp modifica le condizioni di utilizzo: quali conseguenze per gli utenti

A partire dal prossimo 8 febbraio cambiano i termini di utilizzo e l’informativa privacy del servizio di messaggistica di Facebook. Il nodo è il data sharing fra WhatsApp e il social network. Chi non accetterà le nuove condizioni non potrà continuare a utilizzare il servizio

21 Gen 2021

Giacomo Sabbatini

avvocato

Seppur fosse noto da tempo che WhatsApp Inc. avesse deciso di rinnovare i propri termini di servizio e l’informativa privacy, nel momento in cui gli utenti di tutto il mondo si sono trovati dinnanzi a tale (annunciata) situazione, sono state sollevate numerose e interessanti questioni che devono essere tenute in non cale.

Il messaggio destinato agli utilizzatori dell’app riporta: “Toccando “accetto”, accetti i nuovi termini e l’informativa sulla privacy, che entreranno in vigore l’8 febbraio 2021. Dopo questa data, dovrai accettare questi aggiornamenti per continuare a utilizzare WhatsApp. Puoi anche visitare il centro assistenza se preferisci eliminare il tuo account e desideri ulteriori informazioni”.

Pertanto, qualora si decidesse di non accettare le modifiche al trattamento dei dati personali, ci si troverebbe nell’impossibilità di continuare a utilizzare la piattaforma. Tale ultimatum ha contribuito a far sorgere negli utilizzatori numerosi dubbi e perplessità sulla gestione dei propri dati personali e sulla segretezza delle proprie conversazioni.

WhatsApp, che cosa cambia con i nuovi termini

La comunicazione data da WhatsApp costituisce un avviso di modifica contrattuale unilaterale delle condizioni di servizio che necessita della prestazione del consenso da parte dell’utilizzatore per poter trovare concreta applicazione. Se tale situazione è ormai una prassi tra le società private, la questione che ha scaturito l’acceso dibattito è la problematica del data sharing tra WhatsApp e Facebook. È certamente noto, infatti, come Mark Zuckerberg (Presidente e CEO di Facebook) abbia, nel febbraio 2014, acquistato la piattaforma di messaggistica istantanea più famosa al mondo per una somma che orbita intorno ai 19 miliardi di dollari creando così un colosso nel mondo delle comunicazioni e dei social (già nel 2012 Facebook aveva acquistato Instagram per “solo” 1 miliardo di dollari).

Gli aggiornamenti principali adottati ai termini di servizio riguardano le modalità con le quali vengono trattati i dati dell’utente e in particolare per le modalità di utilizzo per le aziende che si avvalgono del servizio WhatsApp Business.

Prima di procedere con l’analisi delle modifiche rilevanti per quanto concerne la trattazione, deve essere detto, come sottolineato a più riprese dai portavoce di WhatsApp, che qualora l’utente risieda nella Regione europea “WhatsApp viene fornita da WhatsApp Ireland Limited” e che pertanto non troverebbero applicazione i nuovi termini, che resteranno validi solo per i paesi non compresi nella suddetta regione (si ricordi come l’azienda “WhatsApp Inc.” si trova in California mentre la sede di riferimento per l’Europa e per il relativo trattamento dati è in Irlanda, sotto la denominazione di “WhatsApp Ireland Limited”)

Cliccando sul banner con l’avviso delle modifiche unilaterali dei termini di servizio, si avrà modo di selezionare, a secondo del proprio luogo di utilizzo, l’informativa privacy applicabile. A titolo esemplificativo, nelle modifiche in tema di data sharing riguardanti gli utenti che non risiedono nella Regione europea, selezionando “Operazioni a livello globale” si può leggere come “WhatsApp condivide informazioni a livello globale, sia internamente con le aziende di Facebook che esternamente con i nostri partner, con i fornitori di servizi e con le persone con cui l’utente comunica in tutto il mondo, nel rispetto della presente Informativa sulla privacy. Le informazioni dell’utente potrebbero ad esempio essere trasferite o trasmesse a, oppure archiviate e trasmesse: negli Stati Uniti; in paesi o territori dove risiedono le società affiliate e i partner delle aziende di Facebook o i nostri fornitori di servizi risiedono; in qualsiasi paese o territorio in tutto il mondo in cui i nostri Servizi sono forniti oltre a dove risiede l’utente per gli scopi descritti nella presente Informativa sulla privacy.”

L’informativa privacy riguardante la Regione europea non ricomprende la predetta disciplina e infatti, scorrendo le modifiche contrattuali, si trova ribadito come “WhatsApp collabora e condivide inoltre informazioni con le altre aziende di Facebook che agiscono per nostro conto per rendere disponibili, fornire, migliorare, capire, personalizzare, supportare, e commercializzare i nostri Servizi. Ciò include la fornitura di infrastrutture, tecnologia e sistemi, ad es. per fornire messaggistica rapida e affidabile e chiamate in tutto il mondo, migliorare l’infrastruttura e i sistemi di consegna, comprendere come vengono usati i nostri Servizi, aiutarci a fornire all’utente un modo per connettersi con le attività commerciali, e proteggere i sistemi. Quando riceviamo servizi dalle aziende di Facebook, le informazioni che condividiamo con loro vengono utilizzate per conto di WhatsApp e in conformità alle nostre istruzioni. Qualsiasi informazione che WhatsApp condivide su questa base non può essere usata dalle aziende di Facebook per finalità loro proprie”.

Quali informazioni vengono fornite dall’utente a WhatsApp

Leggendo l’informativa privacy (sia nella versione precedente, che in quella modificata il 4 gennaio 2021), nella sezione intitolata “Informazioni raccolte” vengono elencati i dati che sono trasmessi a WhatsApp dall’utente o acquisiti automaticamente dall’app: ex multis, informazioni sull’account (numero di cellulare, nome utente ed eventuale immagine del profilo), informazioni sullo stato, dati sulle transazioni e pagamenti, informazioni di uso e di accesso e geolocalizzazione.

Gli sviluppatori dell’app affermano come WhatsApp riceva o raccolga informazioni “per rendere disponibili, fornire, migliorare, comprendere, personalizzare, supportare e commercializzare i propri Servizi”. Proprio in tema di commercializzazione dei servizi, in considerazione della recente acquisizione da parte di Facebook, potrebbe indurre a far pensare che, attraverso il canale di messaggistica, attingendo alle informazioni fornite dall’utente al social network (sin dal 2009), nelle schermate delle conversazioni che vengono di solito usate con amici, familiari e colleghi potremmo trovare delle informative di marketing. Ed ancora, viceversa, si potrebbe pensare che le informazioni personalissime racchiuse nelle conversazioni su WhatsApp possano essere utilizzate per indicizzare le pubblicità sul relativo social network.

Tali dubbi possono essere facilmente risolti proseguendo la lettura dell’informativa privacy e dei termini di servizio.

In primis, per quanto concerne i citati “servizi” che potrebbero essere commercializzati, viene fornito un elenco che esplicita chiaramente quali sono e con quali finalità gli stessi vengono proposti all’utente.

Immagine che contiene testo Descrizione generata automaticamente

In secondo luogo, per il dubbio in merito alla segretezza delle conversazioni, al netto del dovuto rispetto del diritto costituzionalmente garantito ex art. 15 Cost. sulla riservatezza delle conversazioni, WhatsApp si è già dotata da tempo della crittografia end-to-end garantendo agli utenti che i messaggi inviati fra loro possano essere letti o ascoltati soltanto tra i partecipanti alla conversazione e nessun’altro, nemmeno WhatsApp stesso.

Le conseguenze della decisione di WhatsApp

A seguito delle polemiche che sono insorte proprio in merito al data sharing tra WhatsApp e Facebook, tramite Twitter Niamh Sweeney (Director of Policy for WhatsApp, EMEA) interviene sull’argomento: “There are no changes to WhatsApp’s data-sharing practices in the Europe arising from this update. It remains the case that WhatsApp does not share European Region WhatsApp user data with Facebook for the purpose of Facebook using this data to improve its products or ads”.

E ancora, la stessa Director riporta il link del testo “Perché WhatsApp condivide informazioni con le altre aziende di Facebook” contenuta nella sezione “Privacy e sicurezza-Come collaboriamo con le altre aziende di Facebook”.

Immagine che contiene testo Descrizione generata automaticamente

Nessuna conseguenza, inoltre, si presenterebbe a seguito della modifica dei termini contrattuali per quanto concerne il rischio di advertising tramite WhatsApp per mezzo di Facebook. L’informativa privacy è chiara (anche se non risolutiva e certamente lascia un, seppur minimo, margine di dubbio) affermando: “Oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook. Qualora in futuro decidessimo di condividere tali dati con le aziende di Facebook per questo scopo, lo faremo solo dopo aver raggiunto un accordo con la commissione per la protezione dei dati irlandese”.

WhatsApp

Devono evidenziarsi tuttavia delle questioni che legittimano dubbi e che, ad oggi, non sembrano avere una chiarificazione da parte di Facebook Inc.

Si ricordi, in primis, come la Corte di giustizia dell’Unione europea (CGUE) si sia pronunciata con sentenza del 16 luglio (c.d. “Schrems II”) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del “Privacy Shield”, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo “Safe Harbor”, dichiarando Facebook non capace di garantire la tutela dei diritti degli utenti europei. L’Autorità di Controllo irlandese ha imposto inoltre al colosso social di trasferire i server in UE per evitare i rischi sulla trasmissione dei dati negli USA (a oggi Facebook non risulta aver adempiuto a tale ingiunzione).

Un altro aspetto di non poca importanza risulta essere, a seguito della predetta acquisizione di WhatsApp da parte di Facebook, l’accentramento di una ingente quantità di dati personali in capo ad un’unica società che, nei giorni che corrono, ricopre un ruolo sempre più preponderante e monopolistico nella gestione dei rapporti sociali. A tale accentramento mal si abbina una prestazione del consenso al trattamento dei dati da parte dell’utente con un mero e generale “click” di accettazione delle modifiche delle clausole, senza distinzione tra termini di servizio ed informativa privacy, lasciando all’utente la “possibilità” di recedere dal contratto scegliendo di non utilizzare più la piattaforma.

Da ultimo, è evidente come le stesse modifiche, i servizi e le finalità della raccolta dei dati che WhatsApp esplicita nell’informativa e nei termini di servizio risultano quantomeno generici e certamente non compatibili con la normativa europea in merito di trattamento dei dati personali (GDPR), la quale impone che l’utilizzatore finale e destinatario del trattamento medesimo venga informato in maniera chiara, precisa e puntuale sulle concrete modalità di raccolta, utilizzo e fornitura a terzi dei dati.

In conclusione, seppur dalla lettura dei nuovi termini di servizio e della nuova informativa privacy che entrerà in vigore dal giorno 8 febbraio non sembrerebbero sussistere rilevanti modifiche per i cittadini europei, deve evidenziarsi che, con nota del 14 gennaio, il Garante per la protezione dei dati personali ha dichiarato di aver portato la questione all’attenzione del Comitato europeo per la protezione dei dati (EPDB), organismo europeo indipendente che riunisce tutte le Autorità privacy europee. Si legge: “Il messaggio con il quale WhatsApp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio – in particolare riguardo alla condivisione dei dati con altre società del gruppo – e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy”.

Pertanto, come già rilevato precedentemente nel corso della trattazione, la nebulosità dei termini di servizi e la difficoltà per l’utente finale di comprendere effettivamente l’impatto delle modifiche introdotte e le conseguenze delle stesse, non permetterebbero all’utente di manifestare ed esercitare liberamente e consapevolmente il proprio consenso (peraltro obbligatorio per poter continuare ad utilizzare l’app). In attesa dell’intervento risolutivo e chiarificatore dell’EPDB, il Garante italiano si è riservato di agire in ogni caso, in via d’urgenza, al fine di tutelare gli utenti italiani e per far rispettare la disciplina in materia di protezione dei dati personali; si potrà (finalmente) prender atto delle potenzialità del GDPR, soprattutto alla luce dell’insieme di tutele poste in essere per garantire il rispetto dei diritti costituzionalmente riconosciuti dei cittadini europei.

@RIPRODUZIONE RISERVATA
Giacomo Sabbatini
avvocato
Seguimi su

Articolo 1 di 5