Clubhouse, dati personali a rischio: perché c'è poca tutela degli utenti - Cyber Security 360

PRIVACY E SOCIAL

Clubhouse, dati personali a rischio: perché c’è poca tutela degli utenti

Clubhouse, il nuovo social specializzato nella condivisione di contenuti audio in tempo reale, non tutela i dati personali degli utenti: l’analisi della privacy policy, infatti, evidenzia pesanti lacune nella conformità al GDPR e alla normativa europea sulla data protection. Ecco tutte le criticità

03 Feb 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Simone Zanetti

Avvocato in Verona

L’app Clubhouse, dopo una prima fase di adesione entusiasta, si scontra ora con numerose critiche, In Italia e in Europa, in merito alle carenze dal punto di vista privacy e ad una scarsa tutela dei dati personali degli utenti.

L’applicativo, disponibile per ora solo su invito per utenti iOS, si propone come uno “spazio per espressioni e conversazioni autentiche” ed è fondato sulla condivisione di audio non registrabili né riproducibili in differita dedicati a “stanze” di utenti che possono intervenire se ammessi.

Clubhouse sembra quindi essere un’app privacy-oriented, in quanto non c’è condivisione di testi, file, o altro, ma solamente l’ascolto di conversazioni, che non possono essere a loro volta condivise o registrate e che vengono (almeno in teoria) subito cancellate dall’app.

Le cose non stanno però davvero così e l’informativa privacy disponibile sul sito dell’applicativo evidenzia alcuni significativi problemi dal punto di vista privacy.

Clubhouse: analisi dell’informativa privacy

Se guardiamo alla privacy policy del social network ci accorgiamo, infatti, che la protezione dei dati personali non sembra essere esattamente una priorità per Alpha Exploration Co., la casa madre di Clubhouse.

La privacy policy presente sul sito web e che si rivolge alla disciplina del trattamento dati effettuato tramite l’app, sembra più che altro un documento ancora in corso d’opera.

I diritti dei cittadini europei non vengono dichiarati

Basti pensare che l’informativa non considera minimamente i diritti dei cittadini europei (sebbene l’app venga proposta a livello globale), ma è presente solo una sezione dedicata agli abitanti della California e che fa riferimento alla possibilità di esercitare i diritti di cui al California Consumer Privacy Act.

Nulla, quindi, ci viene detto con riguardo alle modalità con cui avviene il trasferimento dei dati negli USA, né se Clubhouse abbia adottato le garanzie previste dalle clausole contrattuali standard approvate dalla Commissione UE, né se abbia adottato quelle misure ulteriori per rispondere alle criticità del trasferimento dati negli Stati Uniti evidenziate nella sentenza Schrems II.

La mancata designazione del rappresentante europeo

Non solo, nulla viene altresì precisato circa la designazione di un rappresentante sul territorio europeo, nonostante la casa madre di Clubhouse abbia sede in California.

Tale assenza risulta inspiegabile se consideriamo che Clubhouse, tramite la propria piattaforma, tratta su larga scala e in modo non occasionale dati personali (anche particolari) di cittadini europei.

Per questi motivi, si ritiene che la mancata nomina di un rappresentante europeo ai sensi dell’art. 27 GDPR risulti una mancanza alquanto grave, specie in considerazione del successo che l’app di Clubhouse sta riscuotendo anche in Europa.

Problematiche in merito alla condivisione dei dati

Emergono, inoltre, ulteriori criticità in relazione alle possibili condivisioni dei dati personali che Clubhouse potrebbe effettuare con i propri affiliati senza che sia necessaria una preventiva comunicazione all’utente e soprattutto senza che quest’ultimo abbia fornito un apposito consenso al riguardo.

La privacy policy, infine, parla di condivisione volontaria dei dati di rubrica, anche se di fatto per far funzionare il sistema degli inviti si tratta di un passaggio praticamente obbligato e particolarmente invasivo.

Finalità del trattamento

Venendo alle finalità di trattamento dei dati personali, Clubhouse si prodiga nella propria informativa ad individuare un lungo elenco di attività, che però non sono in alcun modo supportate da alcuna base giuridica, come invece vorrebbe il GDPR.

Attività di profilazione nascosta

Ben più grave è, tuttavia, che Clubhouse effettui un trattamento aggregato dei dati personali dei propri utenti, accomunabile ad una vera e propria attività di profilazione per la sua invasività e durata nel tempo, senza richiedere uno specifico ed espresso consenso da parte dei fruitori della piattaforma.

Il tutto, peraltro, è inserito in un contesto in cui Clubhouse utilizza una formula “prendere o lasciare”, che non lascia spazio alla nota granularità del consenso che, al contrario, dovrebbe guidare i trattamenti dei dati personali per scopi ulteriori rispetto a quelli che riguardano la mera utilizzazione del servizio.

La conservazione delle registrazioni

Sebbene Clubhouse pubblicizzi il proprio servizio con l’impegno a non registrare le conversazioni che vengono condivise in streaming, le cose non stanno esattamente così.

L’informativa riferisce, infatti, che le sessioni audio vengono registrate ogniqualvolta viene riportata una violazione dei termini di servizio da un utente durante lo streaming.

In questo caso, la registrazione “temporanea”, viene mantenuta per un tempo indefinito dall’app, ovvero fino a quando ciò è “ragionevolmente necessario” per ragioni commerciali o legali.

L’informativa precisa poi, in termini generici, che queste registrazioni temporanee sono conservate in forma crittografata (a contrario è lecito dubitare che lo streaming in tempo reale sia in qualche modo schermato da eventuali intrusioni e comunque lo stesso sarà conoscibile dai gestori dell’app).

A ciò si aggiunga che i termini del servizio, con specifico riferimento alle pratiche generali relative all’uso e alla conservazione dei dati, prevedono che l’utente riconosca che Alpha Exploration Co. possa stabilire “pratiche generali e limiti riguardanti l’uso del servizio”, incluso, senza limitazione alcuna, il periodo massimo in cui i dati o gli altri contenuti saranno oggetto di conservazione.

Ebbene, se i termini di servizio vietano, da un lato, agli utenti di registrare le conversazioni o parte di esse senza un consenso “scritto” da parte degli interlocutori, dall’altro lato, non determinano altrettanto chiaramente quanto a lungo Clubhouse conserverà i loro dati.

Clubhouse e la sicurezza dei dati degli utenti

Non particolarmente rassicurante la garanzia che l’informativa offre agli utenti in tema di sicurezza dei dati: You use the Service at your own risk. We implement commercially reasonable technical, administrative, and organizational measures to protect Personal Data”.

Tradotto in parole povere, chiunque utilizzi il servizio di Clubhouse lo fa a proprio rischio e pericolo, in quanto l’azienda adotta solamente le misure tecniche “commercialmente ragionevoli” per la protezione dei dati personali.

Se sussistessero ulteriori dubbi, meglio non chiederne conto tramite e-mail alla stessa Clubhouse, dal momento che nell’informativa si dice espressamente che l’utilizzo del servizio (che include evidentemente l’invio di e-mail al gestore) viene fatto dall’utente a proprio rischio e pericolo.

La sicurezza dei dati ricade sugli utenti stessi di Clubhouse

Al netto di questa forzatura ironica, resta il fatto che la lettura delle misure di sicurezza adottate da Clubhouse dipinge un quadro tutt’altro che confortante e, anzi, emergono tutti i limiti dell’azienda, la quale si dice sostanzialmente impotente in relazione alle azioni che gli utenti della piattaforma potrebbero porre in essere per registrare, vendere, condividere i nostri contenuti senza una preventiva autorizzazione.

Insomma, in barba al noto principio di accountability sancito dal GDPR, Clubhouse pare palesemente scaricare qualsiasi responsabilità sui propri utenti.

Tutto ciò, si ritrova anche nei termini di servizio di Clubhouse, alla voce “Limitazione della Responsabilità”, ove vi è indicato che nessuna responsabilità potrà essere imputata all’azienda per accessi alla piattaforma non autorizzati o per l’alterazione delle trasmissioni o dei dati.

Quasi a dire che, stante l’inevitabilità dei data breach, non resti che augurarsi di non essere tra i malcapitati, visto che comunque, secondo i termini di servizio, nessuna responsabilità sarebbe imputabile a Clubhouse.

Lo scenario non appare, dunque, di certo gratificante e soprattutto non si intravede alcuno sforzo da parte di Clubhouse per cercare di porre in essere misure di sicurezza opportune e proporzionate per garantire un adeguato livello sicurezza dei dati personali trattati.

Clubhouse: la verifica dell’età minima

Altri problemi riguardano la verifica dell’età dei soggetti che creano un profilo (l’app è rivolta solamente ai maggiorenni).

A quanto risulta, Clubhouse non ha implementato particolari meccanismi di verifica dell’età minima, con il risultato che un infradiciottenne (se invitato) potrebbe agevolmente entrare nell’app e accedere a contenuti dedicati ad un pubblico adulto.

Questa questione si intreccia con quella della registrazione delle conversazioni scambiate sulla piattaforma.

La registrazione dei contenuti trasmessi è vietata dai termini di servizio di Clubhouse (anche se nella pratica è agevolmente aggirabile con software di terze parti o, banalmente, con dispositivi esterni).

Ma se accedono all’app dei minori è lecito dubitare che questo divieto si estenda anche a chi non può validamente impegnarsi per ragioni di età al rispetto dei termini di servizio.

Conclusioni

Insomma, Clubhouse è un’app giovane che ha registrato in breve tempo un successo globale e deve a questo punto maturare anche dal punto di vista dell’attenzione alla privacy ed alla sicurezza, a tutela dei propri utenti.

Dal punto di vista degli utenti, invece, si registra ancora una volta come il successo di un’applicazione non vada di pari passo con l’attenzione ai diritti delle persone ed al rispetto dei loro dati. Molte persone sono infatti disposte a mettere in secondo (o ultimo) piano la tutela dei loro dati personali pur di ottenere un’app che gli consenta di ascoltar parlare Oprah Winfrey o di inserire il loro volto su un trailer di un film di Hollywood.

È evidente quindi che sia necessaria l’acquisizione di una maggiore consapevolezza circa la nostra identità digitale e i rischi che le nostre leggerezze online possono comportare.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4