Italia
Dopo la presa di posizione delle Autorità per la privacy canadese e olandese, anche il Garante italiano ha deciso di scrivere alla società californiana WhatsApp per chiedere lumi su come vengono trattati i dati degli utenti del popolare servizio di messaggistica che conta diversi milioni di utenti in tutto il mondo.
Secondo le analisi condotte dall’Office of the Privacy Commissioner (OPC) canadese e dalla Dutch Data Protection Authority olandese, l’app violerebbe infatti non solo le leggi sulla privacy dei due paesi, ma anche principi riconosciuti a livello internazionale poiché obbliga gli utenti a offrire l’accesso all’intera rubrica telefonica, che include anche persone che non sono utenti WhatsApp, senza fornire la possibilità di scegliere quali dettagli fornire.
Solo gli utenti iPhone hanno la facoltà di scegliere manualmente quali contatti fornire. Tutti gli altri devono caricare tutta la rubrica nei server della società.
Le due autorità spiegano poi che quando la loro indagine venne avviata, i messaggi WhatsApp erano trasmessi ‘in chiaro’, quindi facilmente intercettabili, soprattutto se inviati sulle reti Wi-Fi. I metodi di generazione delle password per lo scambio di messaggi, inoltre, utilizzavano informazioni del dispositivo non adeguatamente protette, esponendo gli utenti al rischio che un terza parte potesse inviare e ricevere messaggi a loro nome e a loro insaputa. Solo in risposta alle pressioni delle indagini, WhatsApp ha quindi introdotto un sistema di cifratura e rafforzato il processo di autenticazione
L’Autorità presieduta da Antonello Soro, si è quindi attivata per chiedere chiarimenti su tutti gli aspetti evidenziati dalle autorità di Canada e Olanda: “quali tipi di dati personali degli utenti vengono raccolti e usati al momento dell’iscrizione e nel corso dell’erogazione dei servizi di messaggistica e condivisione file; come vengono conservati e protetti questi dati; le misure adottate (es. cifratura, generazione di credenziali etc.) per limitare il rischio di accesso da parte di soggetti diversi dagli interessati e, in particolare, se siano stati previsti sistemi contro gli attacchi tipo “man in the middle”, volti ad acquisire illecitamente il contenuto dei messaggi scambiati mediante l’applicazione”.
L’Autorità ha inoltre chiesto di sapere “per quanto tempo vengono conservati i dati degli utenti e il numero degli account riferibili a quelli italiani”.