Zoombombing, Zoom vuole l’accordo nella causa privacy: quali effetti sugli altri ISP - Cyber Security 360

L'ANALISI

Zoombombing, Zoom vuole l’accordo nella causa privacy: quali effetti sugli altri ISP

La piattaforma Zoom ha presentato un accordo per chiudere così la controversia risarcitoria intentata per lo “Zoombombing” e la presunta violazione della privacy dei propri utenti. Ecco i dettagli e le conseguenze prospettabili anche per gli altri fornitori di servizi Internet (ISP)

16 Ago 2021
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Si torna a parlare di Zoom e di Zoombombing: la piattaforma di videoconferenza, infatti, ha accettato di pagare 85 milioni di dollari per risolvere una causa intentata da alcuni utenti per presunta violazione delle privacy. Una possibile soluzione della controversia giudiziale che potrebbe avere conseguenze importanti anche per gli altri ISP (Internet Service Provider), i fornitori di servizi Internet.

In particolare, la controversia riguarda due aspetti divenuti di pubblico dominio sin dai primi mesi del 2020, periodo in cui per l’emergenza da Covid-19 la nota piattaforma di videoconferenza ha avuto un sensibile aumento dell’utenza fino ad arrivare agli attuali circa 200 milioni di utenti giornalieri. Prima di tutto, è stata sollevata la questione di una presunta violazione della privacy degli utenti in conseguenza della condivisione illecita dei dati identificativi e di tracciamento con terze parti quali Facebook, Google e LinkedIn, in difetto del consenso degli interessati.

In secondo luogo, la causa riguarda anche l’inidoneità delle funzionalità e misure di sicurezza adottate per la protezione dei sistemi che ha portato alle violazioni dei meeting note come il fenomeno dello “Zoombombing”. È infatti bene ricordare che l’intromissione sistematica e illecita all’interno delle teleconferenze Zoom per azioni di disturbo o intercettazione aveva assunto un rilievo così significativo da aver persino spinto l’FBI a diramare un warning dedicato.

Considerati questi motivi, dunque, i ricorrenti (11 individui e 2 chiese) hanno presentato una causa civile risarcitoria anche in rappresentanza di due class action nazionali, fondando le proprie pretese su nove aspetti:

  • violazione della legge californiana sulla privacy;
  • negligenza;
  • violazione di un contratto implicito;
  • violazione dei doveri impliciti di buona fede e correttezza;
  • arricchimento senza causa/quasi contratto;
  • condotte anticoncorrenziali in violazione della legge californiana;
  • violazione delle norme consumeristiche californiane;
  • violazione di norme penali per accesso abusivo ai sistemi informatici;
  • occultamento doloso di informazioni;

la cui trattazione è tutt’ora pendente innanzi al distretto giudiziario di San Jose, California, in seguito al parziale respingimento dell’istanza di rigetto pregiudiziale della causa presentata da Zoom e il successivo deposito della proposta di accordo preliminare.

Le responsabilità di Zoom

L’istanza di rigetto presentata Zoom è stata parzialmente respinta, ma con tale atto il tribunale californiano ha avuto modo di precisare il perimetro astrattamente configurabile delle responsabilità riferibili alla società per i fatti oggetto di contestazione.

Prima di tutto, viene confermato per Zoom il ruolo di fornitore di servizi internet e per l’effetto[1] è escluso che possa essere responsabile come editore o autore per contenuti caricati da terzi, ma tale esenzione è limitata al solo ambito della moderazione e del controllo dei contenuti e non può essere estesa ad ulteriori doveri.

In relazione agli aspetti di violazione della privacy, invece, il tribunale ne riconosce una configurabilità in astratto ma non ritiene che nel caso in esame sia stata raggiunta una soglia minima di prova circa l’attività di condivisione delle informazioni personali con terze parti e dunque respinge la richiesta delle parti ricorrenti.

Sempre sotto il profilo dell’insufficienza probatoria, in ragione della mancata prova del danno sono respinte anche le accuse riguardanti la negligenza[2] e la violazione di norme penali[3] per non aver dimostrato il danno), mentre per la mancanza di prove in ordine a dimostrare una condotta fraudolenta sono respinte anche le accuse riguardanti la violazione delle tutele consumeristiche[4], l’occultamento doloso di informazioni, le pratiche concorrenziali scorrette limitatamente all’aspetto della frode[5].

Sebbene a livello pregiudiziale e in astratto, viene invece riconosciuta una potenziale responsabilità per tutti i fatti collegati al fenomeno dello “Zoombombing” che riguardano le violazioni di sicurezza, l’adempimento degli obblighi contrattuali impliciti (in particolare: gli obblighi di protezione) così come del generale dovere di buona fede e correttezza, nonché le pratiche anticoncorrenziali per violazione di legge e scorrettezza, nonché l’arricchimento senza causa/quasi contratto.

In tal senso, sono di particolare rilievo le considerazioni[6] riguardanti l’esistenza di un contratto implicito separato ed ulteriore rispetto ai termini e condizioni di adesione al servizio di Zoom, da cui derivano precisi obblighi di protezione e garanzie delle informazioni degli utenti ed il rispetto dei principi di buona fede e correttezza nello svolgimento del rapporto.

Il contenuto dell’accordo

La proposta di accordo preliminare depositata da Zoom e in pendenza di approvazione da parte del giudice intende chiudere la controversia senza però alcuna ammissione di condotte illecite da parte della società, con un rimborso di una quota pari al 15% della sottoscrizione o 25 dollari per i partecipanti alla class action, e una forfettizzazione fino a 15 dollari per tutti gli altri utenti.

Per quanto riguarda l’impegno a implementare le misure di sicurezza, la società si impegna ad integrare misure di alert per segnalare l’utilizzo di applicativi e funzioni di terze parti da parte di organizzatori o partecipanti, nonché ad attuare misure di sensibilizzazione e formazione dedicate ai propri operatori riguardanti la protezione dei dati personali e l’addestramento nelle procedure ed istruzioni relative alle operazioni sui dati.

Conseguenze prospettabili per gli altri ISP

Sebbene lo stato della controversia non consenta di parlare di alcuna pietra miliare giudiziale, certamente le considerazioni preliminari formulate dal giudice non possono venire ignorate da altri ISP (Internet Service Provider, i fornitori di servizi Internet) soprattutto nell’ottica del riconoscimento di un perimetro di responsabilità effettiva e concreta.

L’enfasi posta sulla tutela degli utenti e gli aspetti di protezione dei loro dati personali impone riflessioni su più livelli a tutti gli operatori comunque coinvolti negli scenari digitali in continua evoluzione (ad esempio: giudici, legali, sviluppatori, progettisti, utenti finali, organizzazioni).

In particolare, devono e dovranno sempre più essere oggetto di ponderata attenzione sia i profili riguardanti la liceità delle attività svolte, in particolare quando richiedono il coinvolgimento di terze parti, sia i non meno rilevanti aspetti relativi alla sicurezza.

 

NOTE

  1. Ai sensi della Sezione 230 United States Communications Decency Act, secondo cui “No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider.

  2. La quale richiede di dimostrare una perdita economica e provare che c’è stata una compromissione o trasmissione illecita delle informazioni.

  3. Per cui è richiesta la prova di un danno effettivo ai sensi del California’s Comprehensive Data Access and Fraud Act (“CDAFA”).

  4. Ai sensi del Consumer Legal Remedies Act (“CLRA”).

  5. SAi sensi dell’Unfair Competition Law (“UCL”).

  6. implied contracts, separate and apart from Zoom’s terms of service, under which Defendant agreed to and was obligated to take reasonable steps to secure and safeguard [Plaintiffs’] sensitive information.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5