Il social del momento, Clubhouse, è fortemente criticato a seguito della sua politica sulla privacy, che appare mettere a rischio i dati personali degli utenti. Dopo un primo momento di successo, fra gli utenti vi è più titubanza a scaricare questa app.
1. I social network presentano una novità con un ritorno al minimal: niente più interazioni video, niente immagini da postare e condividere, tutto si basa sulla comunicazione vocale,e quindi sulla capacità argomentativa-espositiva dell’oratore. Benvenuti a ClubHouse! A differenza dei concorrenti, che puntano su foto, info grafiche e video, lo scambio su Clubhouse è esclusivamente di audio. Per aderire al nuovo social media bisogna avere almeno 18 anni ed essere in possesso di un iPhone. A oggi Clubhouse non è disponibile su altre tipologie di dispositivi, pur se il grande successo registrato negli ultimi mesi potrebbe indurre i creatori a estenderne la fruizione dai dispositivi Android.
Una delle peculiarità che rende la nuova applicazione unica nel panorama social è l’esclusività: si può diventare utenti di Clubhouse solo attraverso l’invito di una persona già iscritta. Ogni utente ha a disposizione un massimo di due inviti. L’ingresso della piattaforma nel mondo dei social ‒ avvenuto negli USA nell’aprile del 2020, in piena emergenza sanitaria ‒ è stato pianificato dai fondatori Paul Davison e Rohan Seth con una precisa strategia di marketing: dapprima l’ingresso è stato consentito, attraverso il meccanismo dell’invito ad personam, alle celebrità americane, dalle star di Hollywood alle celebrità del mondo della musica, fino ai personaggi in vetta alle classifiche per ricchezza. La piattaforma ha quindi iniziato ad attirare l’attenzione proprio per la sua ostentata esclusività, fino ad aprire le porte agli utenti “non vip”, e approdare in Italia nel gennaio 2021.
2. Una volta ottenuto l’invito di un conoscente, ci si ritrova catapultati in un social network diverso da Facebook, Twitter o Instagram: la voce degli utenti è l’unica forma di condivisione, e questo rende Clubhouse un grande podcast aperto e costantemente in diretta. Gli utenti possono conversare, raccontare pezzi di vita o storie inventate, discutere degli argomenti più hot, consolidare amicizie o addirittura stringerne di nuove attraverso il solo uso della voce.
Tutto bello? forse non proprio tutto. Se da una parte Clubhouse sembra aver catturato l’attenzione di molti, anche grazie all’utilizzo da parte di personaggi famosi, da ultimo Elon Musk, è altrettanto palese che ci sono problemi legati al trattamento dei dati degli utenti, tanto che il nostro Garante privacy, in via preventiva, è intervenuto inviando una richiesta di informazioni ad Alpha Esploration, la compagnia che gestisce la piattaforma e che ha sede in California. Malgrado non siano disponibili dati ufficiali, si stima che siano già circa sei milioni gli utenti italiani e, visto il successo già riscosso, potrebbero aumentare rapidamente. Il Garante privacy tedesco ha manifestato la sua preoccupazione per il fatto che l’app possa accedere alla rubrica degli utenti, acquisendo i dati di persone non interessate a Clubhouse, ma presenti sulle rubriche degli utenti, e quindi coinvolte senza aver prestato il consenso.
3. Guardando alla privacy policy del social network, si constata che la protezione dei dati personali non pare esattamente una priorità, e non viene neppure fatto riferimento al GDPR. Insospettisce la modalità di acquisizione del consenso: privacy e termini di servizio vengono accettati con un unico click, in evidente violazione del principio di specificità e granularità del consenso.
È una lacuna grave, soprattutto se si considera che Clubhouse tratta dati degli utenti che esigono particolare tutela. Secondo il GDPR, infatti, il timbro e il tono della voce rientrano fra i dati biometrici, poiché attengono a caratteristiche fisiche di identificazione univoca di una persona. Per i dati biometrici il GDPR ha previsto una tutela rinforzata rispetto agli altri dati, stabilendo all’art. 9 il generale divieto di trattamento, derogabile o con il consenso esplicito dell’avente diritto, o in ragione della presenza di una delle ipotesi tassativamente previste dal co. 2 del medesimo art. 9 (es. trattamento necessario per tutelare un interesse vitale dell’interessato, per accertare, esercitare o difendere un diritto in sede giudiziaria, per motivi di interesse pubblico ecc.), fermo restando che per i social network non è prevista alcuna deroga. Non vi è neppure garanzia che le conversazioni attraverso Clubhouse non siano oggetto di registrazioni e acquisizioni non autorizzate.
È vero che l’applicazione impone agli utenti il divieto di registrare le conversazioni (divieto che di fatto può essere facilmente aggirato), ma è altrettanto vero che essa non offre la garanzia che dette registrazioni non siano invece effettuate dal gestore. Non a caso – e questo non depone a favore di Clubhouse ‒ coloro che intendono scaricare l’app non soltanto devono accettare in blocco le condizioni di trattamento dei dati personali stabiliti dal gestore («By using the Service, you agree to the practices described in this Privacy Policy. If you do not agree to this Privacy Policy, please do not access the Site or otherwise use the Service»), ma devono farlo anche a loro “rischio e pericolo”, come indicato dalla stessa app, che avvisa «You use the Service at your own risk». In altri termini, in spregio del principio di responsabilizzazione (accountability), viene scaricata sull’utente ogni responsabilità in caso di violazione dei dati personali.
Apprendiamo poi che i dati vengono trasferiti in USA, ma non vengono indicate le garanzie del trasferimento, in contrasto con l’art. 13 par.1 lett. F) del Regolamento. Dalle lacunose informazioni fornite dai gestori dell’applicazione vi è il dubbio che i dati degli utenti siano condivisi da Clubhouse con terzi soggetti, o dare luogo a profilazioni non autorizzate.
4. Quanto poi ai termini di cancellazione, il Regolamento europeo impone di cancellare i dati una volta raggiunta la finalità per cui quei dati sono stati raccolti e trattati. Clubhouse non osserva neppure questa previsione. In modo piuttosto generico, gli utenti sono informati che i loro dati saranno conservati fino a quando saranno necessari o utili (anche per adempiere gli obblighi di legge), e verranno cancellati al raggiungimento del termine più lungo. Ciò significa che il gestore opera in maniera non conforme al principio di minimizzazione dei dati, che impone al titolare del trattamento di raccogliere solo i dati strettamente necessari per il servizio, e in maniera non conforme al disposto di cui all’art. 17 del GDPR che disciplina il diritto dell’interessato a ottenere la cancellazione dei dati personali che lo riguardano senza ritardo che non sia giustificato. In caso di cancellazione dell’account, Clubhouse si riserva persino la possibilità di lasciare i dati memorizzati nel server e di condividerli con terzi soggetti.
Sui contatti, fonte di preoccupazione per i Garanti privacy italiano e tedesco, l’applicazione in fase di registrazione chiede di accedere alla rubrica completa presente nel proprio smartphone, per rendere più facile l’invio degli inviti ai propri amici o conoscenti o colleghi. Anche sotto questo profilo Clubhouse si pone in contrasto con quanto previsto dal regolamento europeo a tutela dei dati personali. Come osservato da Carola Frediani, esperta di cybersecurity, Clubhouse non spiega dove finiscano o come vengano impiegati i dati importati dalle rubriche degli utenti.
La privacy policy di Clubhouse, lungi dal rispettare i requisiti minimi previsti in generale, è lacunosa, al punto da sembrare un documento ancora in corso di lavorazione: l’informativa non considera i diritti dei cittadini europei, sebbene l’app venga proposta a livello globale, ma è presente solo una sezione dedicata agli abitanti della California, che fa riferimento alla possibilità di esercitare i diritti di cui al California Consumer Privacy Act.
Nulla, quindi, viene detto sulle modalità di trasferimento dei dati negli USA, né se Clubhouse abbia adottato le garanzie previste dalle clausole contrattuali standard approvate dalla Commissione UE, né se abbia adottato quelle misure ulteriori per rispondere alle criticità del trasferimento dati negli Stati Uniti evidenziate nella sentenza Schrems II[1]. La mancata nomina di un rappresentante europeo ai sensi dell’art. 27 GDPR risulta una mancanza grave, specie in considerazione del successo che l’app sta riscuotendo in Europa. Quel che compete al singolo utente è di avere piena consapevolezza dei limiti di questo nuovo social, seguendo il monitoraggio avviato dal Garante privacy, come già accaduto per altri social network.
Daniele Onori e Daniela Bianchini
[1] Dopo la sentenza Schrems II, chiunque esporti dati al di fuori dello spazio economico europeo avrà l’obbligo di verificare che il livello di protezione richiesto dal GDPR venga rispettato dal paese terzo. Ecco alcune precisazioni su clausole contrattuali standard, altre “garanzie adeguate” e possibili deroghe.