Centro Studi Rosario Livatino 20 gennaio 2021
In questi giorni si discute molto della possibilità che WhatsApp, modificando unilateralmente le condizioni di utilizzo del servizio, trasferisca a Facebook per fini commerciali i dati dei propri utenti. In Europa, almeno per il momento, questo pericolo sembra scongiurato grazie al GDPR-il Regolamento europeo sui dati personali. Il tema dà comunque l’occasione per mettere in evidenza come i pericoli per la privacy degli utenti che utilizzano WhatsApp sono già esistenti, e sono spesso determinati da una scarsa consapevolezza dei rischi legati alla condivisione dei propri dati.
Daniele Onori e Daniela Bianchini
1. In principio vi è stato un pop-up con cui WhatsApp, l’applicazione di messaggistica gratuita che conta un totale di circa due miliardi di utenti, ha comunicato modifiche nei suoi termini di servizio e politiche per la privacyin vigore dall’8 febbraio. Le modifiche cui si fa riferimento riguardano la possibilità per le aziende di gestire le interazioni con gli utenti attraverso gli strumenti centralizzati di Facebook.
A suscitare dubbi, in particolare, è stata quella parte del messaggio in cui WhatsApp ha di fatto messo gli utenti di fronte alla scelta se accettare le condizioni di modifica unilaterale relative alla possibilità di trasferimento dei dati da parte di WhatsApp a Facebook e alle altre aziende del gruppo, oppure rinunciare ad utilizzare il servizio, e quindi chiudere il proprio account WhatsApp. Il messaggio è il seguente: “Come parte della famiglia di aziende di Facebook”, si legge nella nuova privacy policy, “WhatsApp riceve informazioni da e condivide informazioni con questa famiglia di aziende. Possiamo utilizzare le informazioni che riceviamo [dalle altre aziende], e [le altre aziende] possono utilizzare le informazioni che condividiamo con loro, per aiutare ad operare, provvedere, migliorare, capire, personalizzare, supportare e commercializzare i nostri servizi e le loro offerte”.
E ancora, “Toccando ‘accetto’, accetti i nuovi termini e l’informativa sulla privacy, che entreranno in vigore l’8 febbraio 2021. Dopo questa data, dovrai accettare questi aggiornamenti per continuare ad utilizzare WhatsApp. Puoi anche visitare il centro assistenza se preferisci eliminare il tuo account e desideri ulteriori informazioni”. Tutto ciò ha sollevato molti sospetti e allarmismi, alimentati dal timore che WhatsApp possa condividere i dati dei propri utenti con l’azienda madre Facebook [1] o addiritturaleggere i messaggi degli utenti [2].
2. Sulla questione si è aperto un dibattito. Da una parte vi sono stati coloro che hanno suggerito di abbandonare WhatsApp e di utilizzare altri servizi di messaggistica: in meno di una settimana Telegram e Signal hanno aumentato in modo considerevole il numero di utenti. Dall’altra vi è chi ha parlato di timori infondati, e ha messo in evidenza che in Europa, grazie al Regolamento europeo sulla protezione dei dati, conosciuto anche con l’acronimo GDPR, WhatsApp non può condividere i dati degli utenti europei con Facebook.
La questione in realtà è complessa, e la posizione più adeguata è forse quella mediana: se da una parte è vero che il GDPR impedisce a WhatsApp di procedere con la condivisione dei dati, è altrettanto vero che ci sono aspetti della vicenda che non vanno trascurati. Non a caso il Garante privacy italiano ha portato la questione all’esame dell’EDPB-Comitato europeo per la protezione dei dati, che riunisce le Autorità di privacy europee.
Questa la motivazione del Garante italiano: “dai termini di servizio e dalla nuova informativa non è possibile, per gli utenti, evincere quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica dopo l’8 febbraio”. Ergo, l’informativa agli utenti non è stata ritenuta idonea a garantire una manifestazione di una volontà libera e consapevole. Il Garante ‒ che peraltro già nel febbraio 2013 aveva avviato un’indagine conoscitiva su WhatsApp per dubbi sulle modalità di trattamento dei dati e sui rischi di violazioni a danno degli utenti ‒ ha reso noto che si riserva di intervenire in via d’urgenza per tutelare la privacy degli utenti italiani.
3. Nel dibattito è intervenuta la stessa WhatsApp, che ha affidato a un messaggio su Twitter di Niamh Sweeny, director of Policy for WhatsApp, EMEA, le seguenti assicurazioni: “Oggi, Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook. Qualora in futuro decidessimo di condividere tali dati con le aziende di Facebook per questo scopo, lo faremo solo dopo aver raggiunto un accordo con la Commissione per la protezione dei dati irlandese”.
Si tratta di assicurazioni che tuttavia qualche interrogativo lo suscitano. Anzitutto perché il fatto di non condividere le informazioni per fini pubblicitari o commerciali non significa di per sé che dette informazioni non vengano condivise. E infatti, la voce “Modalità di collaborazione tra WhatsApp e altre aziende di Facebook” chiarisce che in qualità di membro delle aziende di Facebook, WhatsApp riceve informazioni da tali aziende e le condivide con esse (per esempio per combattere lo spam o migliorare l’assistenza). Questo significa che, al di là dell’informativa controversa oggetto dell’attuale dibattito, già da tempo WhatsApp, pure in Europa, condivide con Facebook alcuni dati degli utenti [3].
La differenza principale con il resto del mondo è che in Europa non può farlo per scopi commerciali o di marketing, bensì solo per scopi tecnici e di sicurezza. Per esempio, se si fa una videochiamata su WhatsApp alcuni dati vengono trasferiti a Facebook, perché l’infrastruttura tecnologica per fare le videochiamate è di quest’ultima. Si tratta di un comportamento consentito dal GDPR, anche se alcuni esperti sostengono che i dati richiesti da WhatsApp siano comunque troppi. Quelle rassicurazioni lasciano inoltre intendere che in realtà vi sia da parte di WhatsApp l’interesse a utilizzare i dati degli utenti anche in ambito commerciale e pubblicitario, avendo già individuato l’ostacolo da superare, ossia l’accordo con la Commissione per la protezione dei dati irlandese.
4. È plausibile che WhatsApp voglia raggiungere quell’obiettivo: Facebook nel 2014 ha speso ben 19 miliardi di dollari per acquistare quella piattaforma. Se si considera che si tratta di un servizio di messaggistica gratuito, è evidente che l’interesse economico sotteso stia proprio nell’uso quanto più ampio possibile dei dati personali degli utenti, specie per fini commerciali.
Le rassicurazioni del portavoce di WhatsApp suscitano un ulteriore interrogativo. Se quelle modifiche unilaterali riguardanti i termini e le condizioni di servizio con riferimento alla privacy non si applicano agli utenti europei in ragione del GDPR, è lecito chiedersi per quale motivo sia stato inoltrato quel messaggio, in sé insuscettibile di effetti, per le ragioni sopra indicate. Per gli utenti che si trovano all’interno della UE – UK inclusa – i servizi WhatsApp sono forniti da Facebook Ireland Limited, che è anche responsabile del trattamento dei dati degli utenti. Al contrario, per gli altri territori i servizi sono forniti da WhatsApp LLC. Si tratta di due gestori diversi, in grado quindi di differenziare agevolmente i contenuti delle comunicazioni a seconda delle norme applicabili [4] nell’area di appartenenza.
Come osservato anche dal Garante privacy italiano, l’informativa di WhatsApp non è chiara e questo dovrebbe, per prudenza, indurre gli utenti a prestare in ogni caso una maggiore attenzione. Del resto la stessa piattaforma invita gli utenti a tutelare la propria privacy, indicando ad esempio i diversi “gradi” di condivisione delle informazioni del proprio account. I dati relativi all’ultimo accesso, la foto del profilo, le info, i gruppi, e lo stato, infatti, possono essere condivise “con tutti” – intendendo tutti gli utenti di WhatsApp, anche quelli di cui non si ha il contatto -, solo “con i propri contatti”, oppure con “nessuno”.
5. Non tutti sanno che ci sono alcuni accorgimenti nell’utilizzazione di WhatsApp che andrebbero sempre osservati, a partire dalle impostazioni base. Se da una parte è vero che i messaggi scambiati sono protetti dalla crittografia end to end, dall’altra ciò non deve trarre in inganno: i dati o le informazioni personali infatti, benché protetti da quella crittografia, non sono comunque al riparo da qualsiasi intrusione, sia da parte di hacker, sia da parte di utenti indiscreti, che potrebbero utilizzare i dati raccolti in modo inappropriato o addirittura illecito.
Si pensi per es. alla foto del profilo che, laddove non adeguatamente protetta, potrebbe essere acquisita da qualsiasi utente ed essere utilizzata per creare falsi profili on line all’insaputa dell’incauto utente cui è stata sottratta. Lo stesso vale per le foto o i video personali che ‒ con troppa disinvoltura ‒ vengono spesso scambiati tramite WhatsApp, compresi quelli che riguardano i minori. Anche in questo caso è importante che vi sia la consapevolezza da parte degli utenti non soltanto dei rischi che si corrono nel divulgare immagini via WhatsApp, che potrebbero sfuggire al controllo, bensì pure della necessità del consenso alla divulgazione da parte del diretto interessato e, nel caso di immagini riguardanti minori, da parte di entrambi i genitori.
In attesa di vedere quale sarà in futuro la disciplina dei dati personali su WhatsApp relativamente agli utenti europei, rimane la priorità di diffondere fra gli utilizzatori delle diverse piattaforme on line la consapevolezza dei rischi che corrono i dati personali, se non adeguatamente protetti. A tal proposito, il Garante privacy lo scorso ottobre ha pubblicato un documento esplicativo sull’uso corretto delle App [5], in cui ha messo in evidenza gli errori più comuni, commessi il più delle volte a causa di una scarsa conoscenza degli strumenti tecnologici.
_______________
[1] Il 19 febbraio 2014 i fondatori della piattaforma hanno deciso di venderla a Facebook Inc., per 19 miliardi di dollari. L’applicazione, in Europa, ha la sua sede legale in Irlanda dal 2015, sotto il nome di ‘Facebook Ireland’. Nome quest’ultimo attualmente modificato in ‘WhatsApp Ireland Limited’ dalle recenti condizioni di utilizzo, aggiornate al 29 aprile 2018. Quest’ultimo aggiornamento è dovuto al nuovo GDPR: il Regolamento generale sulla protezione dei dati che è entrato in vigore dal 24 maggio 2018 in tutta l’Unione Europea. L’applicazione in soli dieci anni ha annientato il mercato dei messaggi tradizionali tramite operatore telefonico e si sta muovendo molto bene anche nel settore delle chiamate, entrando a far parte della vita quotidiana di un gran numero di persone. Nonostante questo successo sia stato raggiunto anche grazie a Facebook, il fondatore Brian Acton il 20 marzo 2018 ha deciso di lasciare l’azienda lanciando su Twitter la campagna #DeleteFacebook (#Cancella Facebook). Con lo scoppio del caso Cambridge Analytica anche il cofondatore Koum ha deciso di voltare le spalle a Zuckerberg, colpevole di aver violato i profili di almeno 87 milioni di utenti, e questo perché secondo quando scritto dal Washington Post, è contrario all’uso dei dati personali e all’indebolimento della crittografia dell’app di messaggistica voluto da Facebook. Per WhatsApp la privacy è sempre stata una questione importante alla cui difesa Koum e Acton hanno sempre tenuto molto. Al momento della cessione, infatti, avevano garantito di preservare la privacy dei propri clienti ma, nonostante questo, già nel 2016 erano sorte delle tensioni con Zuckerberg, il quale aveva cambiato i termini di servizio di WhatsApp per ottenere l’accesso ai numeri di telefono degli altri utenti.
[2] Evenienza in realtà scongiurata dalla crittografia end-to-end attiva automaticamente dall’aprile 2016, che impedisce sia a WhatsApp che a terzi di accedere al contenuto delle conversazioni.
[3] Nella sezione FAQ del sito di WhatsApp, alla domanda “quali informazioni WhatsApp condivide con le aziende di Facebook?” si viene rimandati alla voce “informazioni raccolte” all’interno dell’informativa sulla privacy. Oltre a una serie di informazioni fornite dall’utente (il proprio numero di cellulare, il nome utente, lo stato e l’immagine del profilo, i numeri di telefono dei contatti presenti nella rubrica del suo dispositivo mobile, compresi quelli degli utenti non registrati a WhatsApp, l’elenco dei contatti preferiti, le interazioni con il servizio clienti e le informazioni su acquisti e transazioni se l’utente si avvale dei servizi di pagamento disponibili nel paese in cui risiede), vengono poi elencate le informazioni acquisite automaticamente (cookie, diagnostica, informazioni sul dispositivo su cui il servizio viene installato tra cui il livello della batteria, la potenza del segnale, la versione dell’app, le informazioni sul browser e sulla rete mobile, le informazioni sulle connessioni, l’operatore mobile o il provider ISP, la lingua e il fuso orario, l’IP e la posizione). In questo caso a fare la differenza tra il servizio europeo e quello generale è l’acquisizione di “informazioni sullo stato”: nei territori extra UE WhatsApp raccoglie informazioni sulle modifiche relative all’accesso e allo stato dell’utente, ad esempio la sua presenza online (“stato online”), l’ultima volta che ha utilizzato i servizi (“ultimo accesso”) e l’ultimo aggiornamento del suo stato. Per concludere vi sono le informazioni fornite da terzi, per esempio, ma non solo, i dati degli utenti forniti dalle aziende con cui essi interagiscono attraverso WhatsApp o i dati degli utenti forniti da servizi di terzi operati via WhatsApp.
[4] Da notare che gli utenti europei hanno ricevuto pop-up diversi rispetto a quelli esterni all’area: mentre rimangono uguali gli aggiornamenti relativi all’elaborazione dati e a come le aziende possono usare i servizi ospitati da Facebook per archiviare e gestire le loro chat WhatsApp, l’elenco europeo presenta una voce in meno, ovvero proprio quella relativa alla partnership di WhatsApp con Facebook per offrire integrazioni con gli altri prodotti dell’azienda.
[5] Cfr. Garante privacy, APProva di privacy. Suggerimenti per usare le App proteggendo i propri dati, ottobre 2020