Dopo l’hype dei primi giorni di utilizzo in Italia, è giunto il momento di focalizzare l’attenzione su come Clubhouse gestisce la privacy degli utenti, se e come l’app rispetta il GDPR e i rischi legati al trattamento e alla registrazione delle voci degli iscritti.
Ne abbiamo parlato con Francesco Paolo Micozzi, avvocato e professore di Informatica Giuridica all’Università di Perugia.
L’analisi della privacy policy di Clubhouse
Key4biz. Leggendo la privacy policy di Clubhouse, considera l’app conforme al GDPR?
Francesco Paolo Micozzi. Sarebbe sufficiente constatare il fatto che in nessuna parte della privacy policy di Clubhouse si faccia riferimento al GDPR per ingenerare il dubbio che questo testo sia stato scritto senza avere a mente le disposizioni del Regolamento europeo in materia di protezione dei dati personali. L’unico riferimento a una normativa in materia di protezione dei dati personali fatto nell’informativa di Clubhouse è alla normativa sulla protezione dei dati personali della California (ma che potrebbero valere solo per i residenti in California).
Key4biz. Quindi?
Francesco Paolo Micozzi. L’informativa di Clubhouse non contiene i riferimenti richiesti dall’articolo 13 del GDPR e ciò ha un impatto e un riflesso immediato anche sul profilo (come vedremo in seguito) del trasferimento dei dati personali dell’interessato verso gli USA.
Consideriamo che i dati personali che sarebbero oggetto di trattamento sono molteplici e, alcuni (come i dati biometrici), rientranti tra le categorie di dati personali che, per la disciplina europea, sono soggetti a un livello di protezione più elevato.
Il trattamento dei dati biometrici (voce o timbro vocale)
Key4biz. Clubhouse registra la voce e tratta questo dato
Francesco Paolo Micozzi. La voce o, comunque, il timbro vocale di un individuo, infatti, è un dato personale legato a una caratteristica fisica dello stesso. Questa informazione rientra, cioè, tra quelli che sono i dati biometrici (che potrebbero essere impiegati, ad esempio, anche per l’autenticazione a un determinato servizio digitale) la cui disciplina specifica la rinveniamo nell’art. 9 del GDPR.
Ma oltre ai dati biometrici si fa riferimento a un insieme notevole di informazioni. Si va dai
- “dati personali forniti dall’utente” (e, detta così, può significare, potenzialmente, un numero indeterminato di informazioni), quali contenuti, comunicazioni e ogni altra informazione, all’audio vocale dell’utente, alle informazioni della rubrica dell’utente; dal tipo di conversazioni in cui l’utente è coinvolto alle informazioni di log, del device utilizzato, della geolocalizzazione; dalle informazioni su liste di amici o follower che l’utente abbia su (ad esempio) Twitter, nel caso in cui si autentichi a Clubhouse o registri il suo account attraverso i sistemi di Twitter o altri social network alle informazioni provenienti da tecnologie traccianti (quali cookie, pixel o altro).
Consenso non esplicito
Key4biz. E sul consenso?
Francesco Paolo Micozzi. Sì, c’è un ulteriore profilo che non coincide con i dettami del GDPR ed è legato al fatto che il consenso non è esplicito ma implicito nell’uso del servizio Clubhouse (By using the Service, you agree to the practices described in this Privacy Policy).
Senza contare le ulteriori problematiche connesse alla minore età dell’utente di cui, in questi giorni, tanto si discute. E ovviamente il fatto che Clubhouse non ammetta, contrattualmente, soggetti infradiciottenni ha poco (o niente) a che vedere con il trattamento dei dati personali.
L’allarme lanciato dal garante per la protezione dei dati di Amburgo
Key4biz. Secondo il garante per la protezione dei dati di Amburgo, Johannes Caspar, l’app non rispetta il GDPR: “Il fatto che l’app legga anche i dettagli di contatto e quindi riceva i dati di persone completamente estranee è estremamente preoccupante”. Come commenta l’osservazione?
Francesco Paolo Micozzi. Come già visto si può leggere tra le righe dell’informativa che la app acquisirebbe – se accettato dall’utente – anche i dati della rubrica telefonica in modo da consentirgli di entrare in contatto, anche su Clubhouse, con persone a lui già conosciute. Il profilo critico è pur sempre connesso alla carenza di informazioni – lato GDPR – e ad un consenso non rispettoso dei criteri individuati dal GDPR e spiegati anche da EDPB.
Perché registra l’audio delle room?
Key4biz. Nella privacy policy dell’app si legge anche che l’audio delle stanze viene registrato, temporaneamente. Per questo motivo: “Se un utente segnala una violazione, mentre la stanza è attiva, conserviamo l’audio allo scopo di indagare sulla segnalazione, quindi lo eliminiamo al termine dell’indagine. Se non viene segnalata alcuna violazione in una stanza, cancelliamo la registrazione audio temporanea al termine della stanza. L’audio da microfoni disattivati non viene mai acquisito e tutte le registrazioni audio temporanee vengono crittografate”.
Vede dei rischi privacy nella registrazione delle voci, anche se temporaneamente?
Francesco Paolo Micozzi. Il fatto che l’audio di una stanza venga registrato temporaneamente può indurci ad alcune considerazioni. In primo luogo, dovemmo interrogarci su cosa si intenda per “temporaneamente”. In ipotesi anche qualcosa che dura 300 anni è temporaneo. Ma il concetto è relativo. In secondo luogo, consideriamo che la voce, o comunque il timbro vocale di una persona, è un dato personale che rientra nella categoria dei dati biometrici. I dati biometrici così come quelli biologici o genetici sono caratteristiche che tendenzialmente non potremmo modificare così semplicemente come modificheremmo una password anzi, probabilmente, sono informazioni personali che ci portiamo dietro tutta la vita. Non è chiaro pertanto, come questi dati biometrici vengano utilizzati né per quanto tempo vengono conservati.
Key4biz. Altri rischi?
Francesco Paolo Micozzi. E non è neanche chiaro se l’informazione audio venga in qualche modo convertita in un’informazione digitale univocamente riferibile alla voce di una determinata persona fisica. Consideriamo, oltretutto, che una banca dati di timbri vocali può essere assolutamente interessante in ottica, ad esempio, di prevenzione di reati gravi. Pensiamo ad esempio alla possibilità di identificare rapidamente l’autore di una telefonata anonima che minaccia un attacco terroristico: grazie a un database di questo genere quella voce sarebbe ben poco anonima. Certo l’utilità per il contrasto a fenomeni di terrorismo potrebbe essere certamente e universalmente riconosciuta come buona. Però non è detto che chi utilizzerà (da oggi e per i prossimi anni) queste informazioni lo faccia sempre e comunque a fin di bene.
Schrems II
Key4biz. Qual è la base giuridica per il trasferimento dei dati degli utenti dell’EU in USA?
Francesco Paolo Micozzi. Sembrerebbe una domanda da un milione di euro. Noi tutti sappiamo che lo scorso 16 luglio la Corte di giustizia europea ha annullato la decisione di adeguatezza della commissione europea (si veda art. 45 GDPR) meglio conosciuta come “Privacy Shield” nella causa ribattezzata “Schrems II” (nella causa “Schrems I” si decretava l’invalidità della precedente decisione di adeguatezza “Safe Harbour).
Nell’ambito del procedimento Schrems II, infatti, la decisione della commissione europea del 2016 – che rappresentava la base “di default” del trasferimento verso gli USA dei dati delle persone fisiche dell’UE (rectius dello SEE) è stata invalidata e si è riconosciuta la possibilità di fare ricorso (così come fanno la quasi totalità dei grossi player IT) a clausole contrattuali standard o SCC (che, comunque, devono superare il vaglio di criticità individuato nella stessa sentenza del 16 luglio 2016). In questa situazione invece sembrerebbe che la base giuridica al trasferimento verso gli Stati Uniti di una mole enorme di informazioni personali sia rappresentata dal consenso dell’interessato (“By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service”). Si consideri, infine, che anche il consenso al trasferimento transfrontaliero deve avere le stesse caratteristiche del consenso al trattamento dei dati personali che, si ribadisce, appare debole nel caso di specie.