Whtsapp, informativa privacy 2021: che cambia e perché preoccupa

L'approfondimento

WhatsApp, perché l’informativa privacy 2021 preoccupa Garante privacy, utenti ed esperti

Il Garante privacy ha informato l’EDPB e si è riservato di intervenire d’urgenza a tutela degli utenti italiani, in merito all’aggiornamento dei termini di servizio e dell’informativa privacy di Whatsapp per il 2021 che bisognerà accettare entro il 15 maggio (non più 8 febbraio) per continuare ad usare il social. Problema principale: il testo confonde gli utenti

22 Feb 2021
P
Nicoletta Pisanu

Giornalista

L’informativa privacy 2021 di Whatsapp preoccupa anche il Garante della privacy italiano, non solo alcuni esperti e masse di utenti, che in queste ore ripotano l’intento di fuggire su altre chat (Telegram e Signal).

Così il Garante, con una nota il 14 gennaio, si è riservato di intervenire d’urgenza e ha portato all’attenzione dell’EDPB il caso dell’aggiornamento dei Termini di servizio e dell’informativa privacy 2di Whatsapp, che nei giorni scorsi ha sollevato i timori collettivi di perdere il controllo sui propri dati.

Per di più sugli utenti pesava, come una pistola puntata, l’obbligo per gli utenti di accettarli entro l’8 febbraio 2021 pena l’impossibilità di usare il social. Il Garante ha ritenuto “poco chiari” sia la comunicazione inviata dal servizio di messaggistica agli utenti sia gli stessi termini di servizio e privacy policy. Whatsapp il 15 gennaio, alla luce delle proteste, ha rinviato la data al 15 maggio.

L’iniziativa di Whatsapp spinge verso una maggiore integrazione tra le diverse realtà legate a Facebook, ma è vero anche che l’invio delle notifiche per segnalare l’iniziativa ha suscitato preoccupazioni dal punto di vista della privacy, in particolare per quanto riguarda il data sharing con Facebook e le sue aziende. Le precisazioni pubblicate sul profilo Twitter di WhatsApp ribadiscono che la crittografia end-to-end continuerà ad essere usata per proteggere le conversazioni e confermano quanto comunicato in precedenza in merito al fatto che per gli utenti europei e del regno Unito non ci saranno modifiche alle modalità di condivisione dei dati. La posizione è stata confermata a febbraio con un blogpost dell’azienda, in cui viene evidenziato che Whatsapp non potrà leggere o ascoltare i messaggi. Nella stessa comunicazione oltretutto Whatsapp sottolinea l’intenzione di implementare nuove funzioni facoltative, sia per chattare che per acquistare dalle aziende.

Informativa privacy 2021 e termini di servizio WhatsApp: cosa cambia

WhatsApp sottolinea che l’aggiornamento dell’informativa non riguarda in alcun modo la privacy dei messaggi scambiati con amici e familiari, ma include modifiche che riguardano lo scambio, del tutto facoltativo, di messaggi con le aziende che usano WhatsApp e fornisce maggiore trasparenza sulle modalità di raccolta e utilizzo dei dati.

WHITEPAPER
La Sicurezza Cloud che non può MAI mancare. Qui tutti i dettagli
Cloud
Cybersecurity

In particolare, a proposito di privacy e sicurezza dei messaggi personali, nel nuovo comunicato si legge che:

  1. Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate.
  2. Non teniamo traccia delle persone che chiami o a cui invii messaggi.
  3. Né WhatsApp né Facebook possono vedere la posizione da te condivisa.
  4. WhatsApp non condivide i tuoi contatti con Facebook.
  5. I gruppi rimangono privati.
  6. Puoi attivare i messaggi effimeri.
  7. Puoi scaricare i tuoi dati.

Informativa privacy 2021 di WhatsApp: gli impatti in Europa

Ciononostante – o forse proprio per questo – la novità è interessante per noi europei.

In Europa si presenta infatti l’occasione per comprendere il valore del GDPR , spesso bistrattato e avvertito come un peso dalle aziende e dalle persone: “Con le sue regole molto precise, ci fa da scudo da quella che sembra quasi la più grande operazione di accentramento di dati personali”, ha commentato l’avvocato Antonino Polimeni. Del resto, in attesa di chiarire meglio la situazione, proprio per il GDPR “in Italia ed in Europa non sarebbero ammesse prese di posizione unilaterali sul trattamento dei dati per fini di marketing e profilazione che prescindano dalla libertà di scelta di esprimere o meno un consenso da parte dell’individuo interessato al trattamento”, commenta l’avvocato Rocco Panetta di Panetta&Associati.

Di certo, la vicenda è già al centro di un vivace dibattito: “Si tratta di un problema in primis legale, perché Facebook è stata dichiarata dalla Corte di Giustizia Europea non capace di garantire la tutela dei diritti degli utenti europei”, dichiara il legale Diego Dimalta.

Cosa dice la nuova informativa privacy di Whatsapp del 2021

Gli aggiornamenti principali fatti ai termini di servizio approfondiscono i modi in cui vengono trattati i dati e come le aziende che si servono di Whatsapp Business possono usare i servizi di Facebook per la gestione della chat. L’aggiornamento delle informazioni, controllando sul sito di Whatsapp, è stato fatto il 4 gennaio. Compare un banner giallo in cui vengono annunciate le modifiche.

Cliccando sul link “questa pagina”, si apre una schermata con quattro link che conducono agli aggiornamenti sulle condizioni d’uso del social:

  • Aggiornamenti chiave, dove brevemente vengono illustrati gli highlight dell’iniziativa
  • Termini di servizio
  • Informativa privacy
  • Codice europeo delle comunicazioni elettroniche

I termini di servizio e la privacy policy sono differenti a seconda che l’utente risieda o no nella regione europea. Whatsapp lo comunica indicando i link ai rispettivi documenti. Tra le differenze, per esempio, l’età che rende possibile l’iscrizione: in Europa sedici anni, in altre regioni tredici anni. Un’importante differenza è la nota sulle attività globali di data sharing, assente nell’informativa europea:

Questa informazione riguarda gli utenti che non risiedono nella regione europea. Riguardo alla gestione dei dati con le altre aziende legate a Facebook, l’informativa europea precisa che le informazioni condivise da Whatsapp con le altre imprese non possono essere utilizzate da queste per finalità proprie.

Il Garante privacy: “Informativa Whatsapp poco chiara”

Il Garante della privacy pochi giorni dopo l’invio delle notifiche sui nuovi termini e privacy policy di Whatsapp è intervenuto segnalando che “il messaggio con il quale Whatsapp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio – in particolare riguardo alla condivisione dei dati con altre società del gruppo – e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy”.

Per questo motivo, il Garante ha interpellato al riguardo l’EDPB, ritenendo che “dai termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica dopo l’8 febbraio. Tale informativa non appare pertanto idonea a consentire agli utenti di Whatsapp la manifestazione di una volontà libera e consapevole”, ha spiegato l’autorità in una nota del 14 gennaio 2021. Il Garante si è riservato di intervenire in via d’urgenza a tutela degli utenti italiani per il rispetto della normativa sulla data protection.

Whatsapp: “Nessuna modifica nella condivisione dei dati nella regione Europea”

Come riportato dall’Ansa , un portavoce di Whatsapp ha sottolineato: “Non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea, incluso il Regno Unito, derivanti dall’aggiornamento dei Termini di servizio e dall’Informativa sulla privacy. Non condividiamo i dati degli utenti dell’area europea con Facebook allo scopo di consentire a Facebook di utilizzare tali dati per migliorare i propri prodotti o le proprie pubblicità”.

Inoltre, via Twitter Niamh Sweeney, Director of Policy for WhatsApp, EMEA, ha ritenuto di chiarire ulteriormente il punto di vista dell’azienda: “Oggi Facebook non usa le informazioni del tuo account WhatsApp per migliorare le tue esperienze con i prodotti di Facebook. Qualora in futuro decidessimo di condividere tali dati con le aziende di Facebook per questo scopo, lo faremo solo dopo aver raggiunto un accordo con la commissione per la protezione dei dati irlandese”.

Whatsapp rinvia novità privacy al 15 maggio

In una nota del 15 gennaio, Whatsapp rassicura dicendo che le “modifiche che riguardano nuove opzioni facoltative a disposizione degli utenti che desiderano comunicare con le aziende su WhatsApp e offre maggiore trasparenza sulle nostre modalità di raccolta e utilizzo dei dati”. “L’8 febbraio, nessun account verrà sospeso o eliminato. Continueremo a impegnarci per fare chiarezza sulle informazioni errate riguardanti la sicurezza e la privacy su WhatsApp. In modo graduale, e secondo le tempistiche di ciascuno, inviteremo i nostri utenti a rivedere l’informativa prima del 15 maggio, quando saranno disponibili le nuove opzioni business”.

Perché la nuova informativa privacy febbraio 2021 di Whatsapp è interessante per l’Europa

Per l’avvocato Diego Dimalta, “il problema di cui si discute è in primis di carattere legale. Facebook è difatti, come noto, stata dichiarata dalla Corte di Giustizia Europea (con sentenza Schrems II) non capace di garantire la tutela dei diritti degli utenti europei. L’invio di dati in USA non è sicuro. Possono usare crittografia, possono avere dei server protetti, ma l’invio dei dati in USA non è sicuro. Lo dice la Corte maggiore dell’Unione Europea. Per questo motivo anche l’Autorità di Controllo irlandese ha ingiunto alla società di Mark Zuckerberg di portare tutti i server in UE conformandosi così alla sentenza del 16 luglio. Facebook non solo non ha adempiuto a tale ordine ma ora, con questa modifica dei termini di WhatsApp si appresta a trasferire dalla app di messaggistica alle altre società del gruppo, una mole enorme di dati”.

Dimalta ha dichiarato inoltre che “esistono, a dire il vero, delle misure ulteriori, adottabili per far si che l’invio di dati anche in USA risulti sicuro, ma WhatsApp si limita ad usa le Clausole Contrattuali Standard, e questo non è sufficiente. Stiamo quindi inviando i dati a qualcuno che, ad oggi, non è in linea con le regole europee per il trattamento dati. Questo ci fornisce già un parametro del pericolo che stiamo correndo”.

L’impatto delle modifiche

Secondo Dimalta, per comprendere l’impatto delle modifiche ai termini di servizio bisogna in primis domandarsi quali siano i dati che Whatsapp raccoglie: “Ebbene, l’informativa privacy ci dice che WhatsApp raccoglie dati di posizione, modalità di utilizzo dei servizi, le impostazioni scelte, le modalità di interazione con gli altri, incluse le interazioni con le attività commerciali, oltre agli orari, alla frequenza e alla durata delle attività e delle interazioni – commenta il legale -. Non solo, sono raccolte informazioni su nome, immagine e descrizione dei gruppi a cui l’utente partecipa, funzioni di pagamento o business, foto del profilo, informazioni in Info, informazioni su quando l’utente è online, sull’ultimo accesso e sull’ultima volta in cui l’utente ha aggiornato le informazioni in Info”.

Tutte informazioni che, dichiara Dimalta “verranno scambiate con tutte le società del Gruppo Facebook per motivi specificati in modo quantomeno generico. Affermano i nuovi termini che potrebbero condividere le informazioni all’interno del gruppo di aziende per agevolare, sostenere e integrare le loro attività e migliorare i nostri servizi, ma di quali attività e servizi stiamo parlando? Questo non è meglio precisato”. È quindi evidente, aggiunge Dimalta, che i dati “anche molto sensibili, di un numero incalcolabile di cittadini europei rischiano di finire in una sorta di buco nero che difficilmente ci permetterà di esercitare un reale controllo come invece vorrebbe il GDPR”.

Dimalta ha inoltre rilevato: “Il portavoce di WhatsApp ha dichiarato che i dati degli Europei non verranno condivisi con Facebook, ma i Termini e Condizioni pubblicate sul sito ci parlano di una realtà differente in cui WhatsApp dichiara “per ricevere servizi dalle aziende di Facebook, WhatsApp condivide le informazioni che abbiamo su di te come descritto nella sezione “Informazioni raccolte” dell’Informativa sulla privacy” rinviando quindi all’elenco di cui accennavo poc’anzi”. E commenta: “Alcuni giornali hanno voluto evidenziare la trasparenza con cui WhatsApp ha comunicato queste modifiche, beh, direi che in realtà si tratta del minimo sindacale e che, anzi, siamo ben lontani dallo spiegare agli utenti cosa accadrà esattamente delle loro informazioni. Una cosa è certa, quella sottile barriera che separava WhatsApp a Facebook è destinata a cadere consentendo a Zuckerberg di monetarizzare quanto speso per l’acquisto della nota app di messaggistica. I dati verranno usati per fini non chiari ed inviati in un luogo non sicuro, e questo, oltre a destare seri dubbi di legittimità, è un grosso rischio per la sicurezza dei cittadini europei”.

Il ruolo del GDPR come scudo

Polimeni ha definito la situazione “la più grande operazione di accentramento di dati personali, forse equiparata solo a quella di Alphabet che però dimostra di avere una attenzione diversa verso tutti gli utenti.
Ciò che salta subito all’occhio è la mancanza di granularità del consenso: con un solo pulsante si accetta di cedere qualsiasi tipo di dato e, circostanza ancor più grave, per qualsiasi tipo di finalità. L’informativa parla di utilizzo a scopo di sicurezza e a scopo di profilazione accomunando le finalità in un unico pulsante, come a dire che se vuoi maggiori funzionalità di sicurezza dell’account, devi per forza accettere anche di essere targettizzato”.

Secondo l’esperto, questo atteggiamento “è una modalità indiscriminata di trattare i dati personali degli utenti e, ovviamente, Facebook trova una porta sbarrata in Europa, grazie al GDPR. Inoltre il testo dell’informativa è poco chiaro, le modalità vengono descritte in modo assolutamente generico, non si comprende quali dati servano per una finalità e quali per l’altra e non è chiaro se Facebook acquisirà anche i dati di chi non è iscritto al social ma presta comunque il consenso a Whatsapp al trasferimento dei dati (a quel punto però Facebook dovrebbe dare una informativa al ricevimento delle informazioni dell’utente). Infine, almeno al momento, i dati sembrerebbero trasferiti in USA con tutti i problemi segnalati proprio dal GDPR (anche se per quelli europei potrebbe trovarsi una soluzione irlandese)”.

Un’altra criticità sembra essere correlata all’utilizzo di un unico pulsante per accettare sia i termini che l’informativa. Polimeni a questo pro cita una sentenza recente “della corte suprema del Massachussets, che ha stabilito che il pulsante accetta e continua non vale per prestare un valido consenso”.

Whatsapp in Europa, l’antefatto

Il dibattito sulla questione è acceso tra gli esperti di privacy: “Premesso che aspetto di ricevere la notifica di cambio delle condizioni di servizio Whatsapp sul mio smartphone e di poterle leggere ed analizzare per bene, prima di esprimere qualsiasi giudizio o opinione di merito, posso dire che se confermata, questa opzione è di segno diametralmente opposto a quanto sin qui rappresentato dalla società”, commenta Panetta.

L’avvocato ricorda un precedente: “Nel 2013 abbiamo assistito, come Panetta & Associati Whatsapp di fronte al Garante Privacy italiano che lanciò una importante indagine conoscitiva sull’uso dei dati da parte di quella piattaforma. All’epoca Whatsapp  era ancora una piccola start up emergente ma indipendente. Ma con forza riuscimmo ad escludere ogni ipotesi di condivisione dei dati. Leggo con interesse anche la dichiarazione della società che sembrerebbe escludere tale condivisione per l’Europa. È questo un punto importante e decisivo“.

Panetta dunque esprime “cautela dato che sul tavolo abbiamo dichiarazioni opposte e contrastanti, da un lato le notizie di stampa e dall’altro le dichiarazioni della società. Vedremo nelle prossime settimane, con l’auspicio che l’approccio dichiarato dalla società, ispirato alla prudenza, sia quello che prevalga rispetto al colpo di mano che di certo aprirebbe scenari complessi e forse anche drammatici”.

Polimeni ricorda un altro episodio: “Quando l’esecutivo UE nel 2014 venne a sapere dell’acquisizione di Whatsapp da parte di Facebook, quest’ultima rassicurò ufficialmente l’Europa che non sarebbe stata in grado di rilevare una corrispondenza tra gli account di FB e quelli di whatsapp. Poi dal 2016 abbiamo assistito ad una pressante e costante richiesta da parte di FB di aggiungere il nostro numero di telefono. Oggi ci viene presentato questo pacchetto (almeno nel resto del mondo). Quanto conta la parola data alla UE? È per questo che, ad oggi, Facebook tende ad avere un approccio molto più prudente in Europa?”.

Articolo aggiornato rispetto alla prima versione dell’8 gennaio 2021 alla luce del nuovo comunicato del Garante privacy del 14 gennaio 2021.

WEBINAR
[WEBINAR, 29 aprile] Garantire la sicurezza dei dati nell’era della collaboration online
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5