La nuova Privacy Policy di WhatsApp

È l’esodo verso i competitor no-profit?

di Maura Mialich

Il 4 gennaio scorso, WhatsApp ha modificato le condizioni del servizio e l’informativa sulla privacy e sta informando della circostanza gli utenti con una comunicazione in-app.

I principali aggiornamenti riguardano il servizio e le modalità di trattamento dei dati, nonché l’utilizzo, da parte delle aziende, dei servizi disponibili su Facebook, per conservare e gestire le proprie chat di WhatsApp.

I nuovi termini entreranno in vigore dal prossimo 8 febbraio e gli utenti saranno obbligati ad accettarli, pena l’impossibilità di continuare a fruire del servizio. Per utilizzare WhastApp alle nuove condizioni, quindi, basterà un tap su “conferma”, diversamente, l’unica opzione possibile sarà rinunciare al proprio account.

Ma quali sono le reali implicazioni di tale aggiornamento e gli impatti sul trattamento dei nostri dati personali?

Innanzitutto giova ricordare che WhatsApp, dal 2014, è una società del gruppo Facebook, nel quale figurano anche Facebook Inc., Facebook Ireland Ltd, Facebook Payments Inc. e Facebook Payments International Limited, Facebook Technologies LLC, Facebook Technologies Ireland Limited, Onavo, WhatsApp Inc., WhatsApp Ireland Limited e CrowdTangle. Tutte collaborano nell’offerta e nella gestione dei prodotti del gruppo.

Ciò che preoccupa gli utenti di WhatsApp è proprio la commistione sempre più forte tra WhatsApp e Facebook e le conseguenze del data sharing tra le società del gruppo. È evidente che il consistente pacchetto di dati e informazioni personali che condividiamo ogni giorno con WhatsApp, oggi considerati l’oro digitale, è nella disponibilità di un novero di soggetti sempre più esteso.

Per comprendere a fondo la portata dell’aggiornamento operato da WhatsApp è importante precisare che i suoi effetti sono diversi a seconda che l’utente risieda all’interno o all’esterno dell’Unione Europea. Nel primo caso l’utente riceve i servizi da WhatsApp Ireland Limited, nel secondo da WhatsApp LLC, pertanto anche i termini del servizio e le condizioni privacy sono diversificati[1]. L’avviso trasmesso da WhatsApp ai propri utenti europei, infatti, è diverso da quello notificato all’utenza internazionale e non riporta il riferimento alla condivisione dei dati con Facebook (“How we partner with Facebook to offer integrations across the Facebook Company Products”).

Nella nuova informativa privacy europea, rispetto alla collaborazione con le società del gruppo Facebook, WhatsApp dichiara di condividere con queste ultime le informazioni raccolte sugli utenti al solo fine di assicurare protezione, sicurezza e integrità nei prodotti delle società di Facebook, ad esempio contrastando spam, minacce, abusi o violazioni.

Come precisa la stessa Società, infatti, “WhatsApp collabora e condivide inoltre informazioni con le altre aziende di Facebook che agiscono per nostro conto per rendere disponibili, fornire, migliorare, capire, personalizzare, supportare, e commercializzare i nostri Servizi. Ciò include la fornitura di infrastrutture, tecnologia e sistemi, ad es. per fornire messaggistica rapida e affidabile e chiamate in tutto il mondo, migliorare l’infrastruttura e i sistemi di consegna, comprendere come vengono usati i nostri Servizi, aiutarci a fornire all’utente un modo per connettersi con le attività commerciali, e proteggere i sistemi. Quando riceviamo servizi dalle aziende di Facebook, le informazioni che condividiamo con loro vengono utilizzate per conto di WhatsApp e in conformità alle nostre istruzioni. Qualsiasi informazione che WhatsApp condivide su questa base non può essere usata dalle aziende di Facebook per finalità loro proprie”.

Un portavoce di WhatsApp ha chiarito che le modalità di condivisione dei dati di WhatsApp all’interno dell’Unione Europea e del Regno Unito non subiranno modifiche a seguito dell’aggiornamento dei termini di servizio e dell’informativa sulla privacy e che “WhatsApp non condivide i dati degli utenti WhatsApp dell’area europea con Facebook allo scopo di consentire a Facebook di utilizzare tali dati per migliorare i propri prodotti o le proprie pubblicità”.

Niamh Sweeney, direttore per le politiche aziendali di WhatsApp, ha altresì precisato che Facebook non usa le informazioni degli account WhatsApp per migliorare le esperienze dell’utente con i prodotti di Facebook e che qualora WhatsApp decidesse di condividere tali dati con le società di Facebook per questo scopo, lo farebbe solo dopo aver raggiunto un accordo con la Commissione per la protezione dei dati irlandese.

La condivisione di alcuni dati degli utenti tra le società del gruppo Facebook, comunque, non è una novità per gli utenti dell’Unione Europea, purché avvenga per scopi tecnici e di sicurezza e non per finalità commerciali e di marketing. D’altronde, se il servizio di WhastApp si appoggia sull’infrastruttura tecnologica di proprietà di Facebook, la condivisione dei dati tra le due aziende è inevitabile.

Per l’Unione Europea, dunque, le condizioni privacy di WhatsApp restano sostanzialmente immutate e per rendersene conto basta mettere a confronto la vecchia e la nuova informativa, tra le quali non emerge alcuna significativa differenza. A fare da scudo è proprio la normativa europea sul trattamento dei dati, nell’ambito della quale il GDPR si conferma un’importante forma di tutela per la privacy degli interessati. Infatti, le attività di distribuzione dei dati che permettono di associare direttamente un utente alle sue abitudini di acquisto e navigazione non sono consentite, così come non è possibile profilare un qualsiasi utilizzatore per scopi di marketing senza che questo presti il suo consenso.

La comunicazione dell’aggiornamento agli utenti europei, quindi, è più che altro rivolta agli account business, essendo stata modificata la sezione riguardante la possibilità, per le aziende, di comunicare con i propri clienti e utilizzare WhastApp come canale diretto di vendita.

Diverso è il discorso per gli utenti extra UE, dove la compenetrazione tra WhatsApp e Facebook sarà maggiormente sentita, posto che le nuove condizioni renderanno obbligatoria la condivisione di alcuni dati personali dell’utente con Facebook. Tale condivisione, dapprima disattivabile attraverso una specifica opzione nelle impostazioni, avrà finalità commerciali e di miglioramento dell’esperienza dell’utente, attraverso la personalizzazione e la commercializzazione dei servizi di WhatsApp e di Facebook. L’utente, ad esempio, potrà essere invitato a effettuare il collegamento con il proprio account Facebook Pay per eseguire pagamenti su WhatsApp.

Il trasferimento dei dati extra UE, peraltro, non gode della stessa protezione garantita dalle nome del GDPR, perché avviene sulla scorta di un set di clausole contrattuali tipo, più note con l’espressione inglese di Standard Contractual Clauses (“SCC”), approvate dalla Commissione Europea ai sensi dell’art. 46 lett. c) del GDPR.

In conclusione, ad oggi, per gli utenti europei non sembrano sussistere particolari motivi di preoccupazione, tuttavia la poca chiarezza dell’informativa e la mancanza di granularità del consenso destano qualche perplessità.

Proprio ieri, sul punto, si è espresso il nostro Garante Privacy[2], dichiarando che “Il messaggio con il quale Whatsapp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio – in particolare riguardo alla condivisione dei dati con altre società del gruppo – e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy”.

Per questo motivo, il Garante ha portato la questione all’attenzione dell’Edpb, il Board che riunisce le Autorità privacy europee, ritenendo che dai termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica dopo l’8 febbraio. Tale informativa non appare pertanto idonea a consentire agli utenti di Whatsapp la manifestazione di una volontà libera e consapevole. Il Garante, quindi, si riserva comunque di intervenire, in via d’urgenza, per tutelare gli utenti italiani e far rispettare la disciplina in materia di protezione dei dati personali.

In ogni caso, per chi intravedesse in questo aggiornamento il cavallo di Troia per la violazione della propria privacy, non mancano le alternative a WhatsApp.

Signal, ad esempio, offre un servizio di messaggistica istantanea basato su modelli di business differenti, che non contemplano il mero interesse ai dati dell’utente.

Da un punto di vista tecnico, anche Signal sfrutta la crittografia end-to-end, che rende i contenuti delle chat inaccessibili a chiunque non sia il mittente o il destinatario del messaggio. Il protocollo di criptazione di Signal, però, è open source e questo garantisce la massima trasparenza, perché chiunque può avere accesso al suo codice e verificarne la sicurezza. Inoltre, la cifratura vilicata di default su tutte le comunicazioni, singole e di gruppo, e anche i metadati e i backup locali sono criptabili.

Sul piano etico e giuridico, i punti di forza di Signal sono il carattere no-profit, nonché la mission di tutela della privacy dell’utente e della sicurezza delle informazioni. L’app, infatti, si mantiene grazie ai proventi della Signal Technology Foundation, un ente di beneficenza pubblico senza scopo di lucro, che supporta Signal Messenger e il cui obiettivo è sviluppare tecnologia open source per la privacy, che protegga la libera espressione e consenta comunicazioni sicure in tutto il mondo. Il server e il personale non sono pagati attraverso annunci pubblicitari, ma grazie alle donazioni esterne. Signal, quindi, non richiede il pagamento di canoni mensili e l’unico dato essenziale dell’utente che raccoglie è il numero di telefono.

Aggiornamento (16 gennaio 2021): WhatsApp ha slittato di tre mesi, con deadline al 15 maggio prossimo, l’operatività delle modifiche annunciate, quindi anche l’obbligo per gli utenti di accettarle. 

WhatsApp dichiara: “Stiamo esaminando l’annuncio del Garante relativo all’aggiornamento dell’Informativa sulla privacy di Whastapp. Vogliamo che sia chiaro che l’aggiornamento dell’informativa sulla privacy non influisce in alcun modo sulla privacy dei messaggi scambiati con amici o familiari e non richiede agli utenti italiani di accettare nuove modalità di condivisione dei dati con Facebook”. 
Nei prossimi mesi, probabilmente, WhatsApp fornirà dei chiarimenti alla luce delle osservazioni de Garante Privacy oppure l’intento della Società è solo quello di offire più tempo agli utenti per riflettere sulla portata dell’aggiornamento. 
Questa proroga, in ogni caso, ci consentirà di valutare anche il prosieguo dell’istruttoria avviata dal Garante e la reazione dell’Europan Data Protection Board

[1] sul sito web di WhatsApp è possibile confrontare le due informative privacy: https://www.whatsapp.com/legal/updates/privacy-policy; https://www.whatsapp.com/legal/updates/privacy-policy-eea;

[2] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9519943


Autore:

 

it_IT