di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Clubhouse è una app che offre un servizio di chat audio, ovvero la
possibilità di creare stanze in cui dialogare, su temi specifici, in
tempo reale.
È vista come un nuovo social network che rivoluziona il modo di
comunicare e fare rete e prevede un funzionamento molto semplice.
All’interno di ogni stanza gli iscritti interagiscono tra di loro solo
via audio, niente foto, niente video, niente messaggi. Una sorta di
radio del nuovo millennio.
Clubhouse ha attirato l’attenzione anche per un altro aspetto, questa
volta di carattere giuridico: la piattaforma presenta, infatti,
numerose criticità che attengono al trattamento dei dati personali
degli utenti.
Se da un lato si tratta di un’app ancora sperimentale (nonostante le
stime dell’inizio di febbraio parlino di 6 milioni di utenti) il
trattamento dei dati sembra avvenire con modalità che non tengono in
considerazione i principi della normativa europea sulla protezione dei
dati personali, tanto che il Garante italiano ha inviato alla società
proprietaria della piattaforma una richiesta formale di chiarimenti
per verificare che siano rispettati i principi del GDPR.
La circostanza che si tratti di un’app con un pubblico limitato in
quanto ancora in Beta Test (l’app è disponibile solo per IOS e si può
accedere solo per inviti) non incide sulle modalità di trattamento dei
dati e non costituisce una giustificazione su certe scelte che, come
detto, prestano il fianco a numerose critiche.
In primo luogo manca del tutto l’informativa sul trattamento dei dati
personali così come prevista e concepita dall’art. 13 del GDPR,
difettando del tutto il riferimento a quegli elementi che vengono
indicati dalla stessa norma come informazioni indispensabili e
obbligatorie da fornire all’interessato.
L’app. è dotata di una propria privacy policy, questo va detto, ma
nella sostanza le informazioni che vengono date non sono in linea con
i principi del GDPR.
Manca, per esempio, una valida base giuridica del trattamento, così
come il riferimento alla legislazione europea, facendosi, al
contrario, unicamente rinvio alle leggi californiane. Viene omessa,
inoltre, la designazione di un rappresentante in Europa, visto che la
società che detiene la proprietà della piattaforma ha sede in America,
così come difetta la designazione di un Data Protection Officer.
Le criticità riguardano anche lo stesso meccanismo attraverso il quale
funziona il social network che impone all’utente una specie di
“prendere o lasciare” e con il quale viene offerto allo stesso una
sorta di “pacchetto di condizioni” che deve essere accettato quasi
fosse un unicum inscindibile, ben lontano da quella granularità del
consenso che viene richiesta dal Regolamento Europeo.
Altro punctum dolens è rappresentato dall’accesso alla rubrica
telefonica, tutt’altro che concesso volontariamente dall’utente,
poiché senza l’accesso a questi dati non è possibile, per lo stesso,
ottenere gli inviti da inoltrare ai propri contatti. Anche in questo
caso il consenso non riveste le caratteristiche della libera e
incondizionate manifestazione di volontà richieste dal GDPR.
Anche il sistema degli inviti e la catena di contatti che si viene a
creare dallo scambio di inviti inviati e ricevuti, un vero e proprio
network, presenta delle criticità per quanto attiene al lato privacy.
L’utente, infatti, rimane parte indelebile di quella catena che si
viene a creare in quanto il suo nome, così come quello dei suoi
contatti, sarebbe impossibile da nascondere, comportando così
l’identificazione di tutti i soggetti con cui è in contatto e la
possibile profilazione degli stessi in base allo scambio degli inviti.
Ulteriore criticità è rappresentata dalla registrazione delle
conversazioni che avvengono nelle varie stanze.
La piattaforma dichiara, infatti, di non registrare le conversazioni,
salvo poi prevedere la possibilità di registrazione e conservazione
delle stesse, per un tempo definito “ragionevolmente necessario”
nell’ipotesi di contestazione della violazione delle condizioni di
utilizzo da parte di un utente. Anche in questo caso la previsione
solleva diverse perplessità per la terminologia utilizzata e, nello
specifico, per il potere della piattaforma di decidere arbitrariamente
il tempo di conservazione dei dati.
Sulle modalità di conservazione, inoltre, la privacy policy di
Clubhouse risulta piuttosto sconcertante laddove si legge “You use the
Service at your own risk. We implement commercially reasonable
technical, administrative, and organizational measures to protect
Personal Data”. L’utente utilizza la piattaforma a proprio rischio e
pericolo, poiché Clubhouse si impegna ad adottare misure
“commercialmente ragionevoli” per proteggere i dati degli utenti.
Anche facendo uno sforzo interpretativo piuttosto elevato non si può
di certo affermare che l’impegno della piattaforma sia equiparabile
alla privacy by default e by design richiesta dal GDPR.
In conclusione, viste le molteplici problematiche e la gravità delle
stesse, l’auspicio è quello che l’azione del Garante per la protezione
dei dati personali spinga da un lato la piattaforma a rivedere la
propria policy adeguandola ai principi del Regolamento Europeo,
dall’altro gli utenti a prestare maggiore attenzione ai trattamenti a
cui vengono sottoposti i propri dati anche dalle app di “ultima
generazione”.