Il 2021 si è aperto con una inaspettata sorpresa per gli utenti che utilizzano Whatsapp come applicazione di messaggistica principale.
Accedendo all’applicativo, l’utente è stato informato che “WhatsApp sta aggiornando i propri termini e l’informativa privacy. I principali aggiornamenti includono più informazioni su:
- Servizio di WhatsApp e modalità di trattamento dati
- Come le aziende possono utilizzare i servizi disponibili su Facebook per conservare e gestire le proprie chat su WhatsApp.”
Il messaggio proseguiva poi con la seguente informazione: “Toccando Accetto, accetti i nuovi termini in vigore dall’8 febbraio 2021. Dopo tale data dovrai accettare i nuovi termini per continuare a usare WhatsApp.”
Il messaggio è chiaro: prendere o lasciare. In caso di mancata accettazione dei nuovi termini e condizioni di utilizzo e della nuova informativa sul trattamento dati non sarà più possibile fruire del servizio di messaggistica.
E se da un lato non è mancato chi ha subito inneggiato al complotto, inondando il web di una serie di affermazioni improvvisate e prive di ogni fondamento, dall’altro lato molti utenti si stanno domandando quale sia l’impatto effettivo delle modifiche apportate sull’utilizzo del servizio di messaggistica e, bando alle fake news, quali le criticità che è possibile sollevare in ordine alla effettiva tutela della privacy degli utenti.
Su questa linea è possibile avanzare le seguenti osservazioni.
Autore: Avvocato Marco Martorana
Pubblicato il
1. L’aggiornamento dei Termini e Condizioni e l’informativa riguarda solamente WhatsApp Business, e non anche WhatsApp utilizzata da un qualsiasi utente per finalità private
Questo passaggio è stato chiarito da WhatsApp stesso, che, per rispondere a una serie di richieste di chiarimenti interpretativi in ordine ai profili di operatività delle modifiche apportate, ha redatto delle FAQ dove ha avuto cura di specificare che “l’aggiornamento dell’informativa NON riguarda in alcun modo la privacy dei messaggi che scambi con amici e familiari”.
Sempre al fine di rassicurare l’utente che utilizza l’applicativo per finalità private, WhatsApp precisa che:
- ·non viene tenuta alcuna traccia delle persone contattate dall’utente sia tramite chiamata che tramite messaggi (non esistono quindi dei tabulati telefonici di Whatsapp)
- sia WhatsApp che Facebook non hanno accesso alla posizione condivisa con un contatto, in quanto protetta dalla crittografia end to end
- Whatsapp non condivide “di default” i contatti dell’utente con Facebook
- Le chat private, e quindi anche i gruppi, rimangono tali. Esse sono protette da crittografia end to end e Whatsapp non può né vederne il contenuto, né tantomeno condividerlo con Facebook
- E’ possibile attivare l’impostazione “messaggi effimeri”. Quando questa funzione è attiva. I messaggi non saranno più visibili nella chat dopo l’invio.
2. Le modifiche sostanziali dei Termini e Condizioni e dell’Informativa riguardano il trattamento dei dati personali di cittadini non stabiliti nell’Unione Europea: lo “schermo” del GDPR
Le principali modifiche apportate in seguito all’ultimo aggiornamento non riguardano infatti la modalità di condivisione dati realizzata da Whatsapp nel territorio Europeo, ove vige una policy specifica sul trattamento dei dati personali degli utenti che non presenta sostanziali novità rispetto alla precedente versione.
Lo stesso Whatsapp ha recentemente osservato:
“Non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea (incluso il Regno Unito) derivanti dall’aggiornamento dei Termini di servizio e dall’Informativa sulla privacy. WhatsApp non condivide i dati degli utenti WhatsApp dell’area europea con Facebook allo scopo di consentire a Facebook di utilizzare tali dati per migliorare i propri prodotti o le proprie pubblicità”
Il trattamento dati personali in ambito europeo è infatti sorretto da un solido impianto normativo di tutela che è appunto il GDPR (General Data Protection Regulation n. 679/2016) il quale impone a tutte le realtà imprenditoriali che erogano servizi a cittadini europei di rispettare le prescrizioni ivi riportate.
Questo presupposto rappresenta una forte garanzia, in forza della quale non possiamo che riscontrare una diversità di prescrizioni riportate nei Termini di servizio di WhatsApp e nell’Informativa privacy rispetto al testo applicabile quando il servizio di messaggistica viene erogato a cittadini non stabiliti all’interno dell’UE.
L’informativa sul trattamento dei dati dei cittadini europei si distingue da quella riferibile al trattamento dei dati personali di cittadini non stabiliti nell’Unione per i seguenti profili:
1. precisazione che il trattamento può avvenire solo in presenza delle necessarie basi giuridiche. In particolare Whatsapp utilizza le informazioni raccolte e provenienti da terzi:
- ·nella misura necessaria per rendere disponibili e fornire i servizi di messaggistica e comunicazione (e quindi in adempimento degli obblighi contrattuali)
- laddove applicabile (ivi compreso dove il consenso è richiesto per legge) se l’utente ha fornito il proprio consenso, che può revocare in qualsiasi momento
- ·nella misura necessaria per garantire l’osservanza di obblighi di legge (come, ad esempio, in caso di richiesta di rispondere a richieste legali da parte delle forze dell’ordine)
- laddove necessario e nella misura necessaria per tutelare interessi vitali dell’utente o di altri, come nel caso di un’emergenza in cui sussista una minaccia per la vita dell’utente o di altri
- ·nella misura necessaria per i legittimi interessi nostri o di altri, fra cui i nostri interessi nell’erogazione di un servizio innovativo, pertinente, sicuro e utile per i nostri utenti e partner, a meno che su tali interessi prevalgano interessi o diritti e libertà personali dell’utente che richiedono la protezione dei dati personali
- laddove sia necessario per il pubblico interesse
2. riconoscendo i diritti degli interessati di cui agli artt. 15 -22 del GDPR.
3. precisando che condivide i dati personali con Facebook solo per scopi tecnici e di sicurezza, e non anche per scopi commerciali o marketing diretto.
In ordine a tale profilo, l’Informativa di WhatsApp Europea, diversamente da quella valida per il resto del mondo precisa che “WhatsApp collabora e condivide inoltre informazioni con le altre aziende di Facebook che agiscono per nostro conto per rendere disponibili, fornire, migliorare, capire, personalizzare, supportare, e commercializzare i nostri Servizi. Ciò include la fornitura di infrastrutture, tecnologia e sistemi, ad es. per fornire messaggistica rapida e affidabile e chiamate in tutto il mondo, migliorare l’infrastruttura e i sistemi di consegna, comprendere come vengono usati i nostri Servizi, aiutarci a fornire all’utente un modo per connettersi con le attività commerciali, e proteggere i sistemi. Quando riceviamo servizi dalle aziende di Facebook, le informazioni che condividiamo con loro vengono utilizzate per conto di WhatsApp e in conformità alle nostre istruzioni. Qualsiasi informazione che WhatsApp condivide su questa base non può essere usata dalle aziende di Facebook per finalità loro proprie.”
Da tale affermazione è possibile desumere che i dati degli utenti potranno sì essere comunicati a Facebook (azienda, lo ricordiamo, proprietaria di WhatsApp dal 2014), ma solo per finalità connesse all’erogazione del servizio (ad esempio perché l’infrastruttura tecnologica per fare le videochiamate è di Facebook), ma non anche per permettere alle aziende di Facebook di utilizzare questi dati per finalità proprie, potendo operare, quest’ultimo, solo quale responsabile esterno del trattamento.
Ed ecco qui il punto controverso: l’effettiva novità dell’ultimo aggiornamento derivante dalla condivisione delle informazioni dell’utente contenute nelle conversazioni su WhatsApp con i profili di aziende o altri esercizi commerciali con Facebook, tramite funzioni che permetteranno a queste aziende di gestire i loro clienti anche tramite il loro profilo Facebook, programmando inserzioni personalizzate per i loro clienti, si applica solo agli utenti che risiedono nei paesi fuori dall’UE, e non anche a coloro che risiedono in Europa.
3. Le “vere” note critiche
La vicenda presa in esame ci insegna una importante lezione: verificare ogni informazione, esaminare i dati reali, senza affidarsi eccessivamente al “sentito dire online”.
Ad avviso di chi scrive infatti, nel marasma delle numerose considerazioni avanzate in questi ultimi giorni, molte delle quali frutto di un approccio superficiale, merita evidenziare alcune osservazioni di notevole importanza.
Questions a potential purchaser would be well advised to ask include checking whether the broker is licensed to operate in Dubai; whether the project is licensed with the Dubai Land Department (DLD) and whether an escrow or trust account exists to hold purchaser’s funds in until handover; whether the relationship between the broker and developer is registered with the DLD; and whether the broker is a competent figure and able to answer all questions ask of them.
3.1. Informativa prolissa e complessa: con il GDPR la trasparenza non è un optional!
In primo luogo non possiamo che osservare che la comunicazione inviata da WhatsApp agli utenti si limita a invitare questi ultimi a prendere visione dei nuovi termini e condizioni di servizio e della nuova informativa sul trattamento dei dati personali.
Tuttavia, accedendo alla pagina contenente i testi aggiornati, essi risultano ampiamente prolissi, con ricorso eccessivo a terminologie tecniche, e di difficile comprensione per l’utente comune.
Ricordiamo che ai sensi dell’art. 12 GDPR “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. Il concetto di “trasparenza” non costituisce una semplice raccomandazione, ma rappresenta un vero e proprio obbligo giuridico imposto in capo al titolare del trattamento, e deve essere pertanto inteso in senso ampio, al fine non solo di rendere disponibili le informazioni sul trattamento all’interessato, ma di farlo in una forma che consenta l’effettiva e immediata comprensione da parte dell’utente.
Nel caso in esame, l’utente di WhatsApp, per comprendere le modifiche apportate dovrebbe stampare i due testi (la sola nuova informativa conta oltre i 50.000 caratteri) compararli, e “trovare le differenze”, non essendo disponibili infografiche o altro materiale finalizzato a permettere all’utente di comprendere agevolmente le informazioni in esse riportate.
Come anche l’avv. Guido Scorza, componente del Collegio del Garante per la protezione dati personali, ha affermato in una intervista andata in onda il 13.01.2021 nel programma televisivo Striscia la notizia “dare una privacy policy troppo lunga, troppo complessa e difficilmente accessibile equivale a non darla”.
Sul punto il Garante per la protezione dei dati personali, con un comunicato stampa del 14.01.2021, ha dichiarato di aver portato la questione all’attenzione dell’EDPB (European Data Protection Board), riservandosi comunque di intervenire, in via d’urgenza, per tutelare gli utenti italiani e far rispettare la disciplina in materia di protezione dei dati personali.
3.2. Marketing e interesse legittimo
L’informativa europea sul trattamento dei dati personali precisa poi che le informazioni fornite dall’utente, quelle raccolte automaticamente e quelle fornite da terzi possono essere utilizzate “per fornire comunicazioni di marketing all’utente” ricorrendo alla base giuridica dell’interesse legittimo che viene identificato nel “promuovere i prodotti delle aziende Facebook e inviare materiali di marketing diretto” .
Sebbene infatti anche il Regolamento Europeo preveda al Considerando n. 47 che il titolare del trattamento può ricorrere all’interesse legittimo per finalità di marketing diretto, dall’altro lato specifica che la condizione per poter procedere in tal senso è la sussistenza di una forte relazione tra il titolare e l’interessato, nonchè della legittima aspettativa di quest’ultimo al compimento, ad opera del primo, del trattamento preso in considerazione.
Sul punto non possiamo non osservare che il paragrafo 33 della proposta del nuovo regolamento E-privacy relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche (che abroga la direttiva 2002/58/CE) prevede che “È tuttavia ragionevole consentire l’uso dei recapiti di posta elettronica nell’ambito di una relazione commerciale esistente finalizzato alla proposta di prodotti o servizi analoghi. Tale possibilità̀ dovrebbe applicarsi alla stessa impresa che ha ottenuto i recapiti elettronici a norma del regolamento (UE) 2016/679.“ Tale disposizione ripropone in modo pressoché analogo il principio già espresso dalla Direttiva 2002/58/CE che, ricordiamo, ha trovato attuazione in Italia nel titolo X della parte II del Codice della Privacy (artt. 121-134).
In questa sede preme ricordare che l’art. 130 co. 4 sancisce che
“Fatto salvo quanto previsto nel comma 1, se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
Tale previsione normativa italiana, attuativa di una direttiva europea, rappresenta l’unico caso in cui il legislatore ammette il ricorso all’interesse legittimo per attività di marketing diretto.
Da questa considerazione possiamo dedurre che se l’orientamento sia nazionale che europeo relativo all’interesse legittimo per finalità di marketing diretto richiede la compresenza di elementi quali l’utilizzo delle coordinate di posta elettronica fornite del contesto della vendita di un prodotto o di un servizio e la pubblicizzazione di beni o servizi del titolare (e non anche di aziende terze), allora la politica privacy di WhatsApp finalizzata a realizzare attività di marketing diretto per promuovere prodotti delle Aziende Facebook tramite servizi di messaggistica appare non in linea con la logica sottesa all’impianto normativo europeo.
4. Ma alla fine, WhatsApp è davvero sicuro?
Il meccanismo di cui oggi si parla relativo alla segretezza dei messaggi si basa principalmente su due problematiche: crittografia e detenzione del dato. Whatsapp dispone della crittografia end-to-end (E2EE).
Tuttavia anche un messaggio criptato non può essere considerato sicuro senza limiti di tempo (gli attuali sistemi crittografici sono inviolabili in un tempo ragionevole fino all’avvento dei computer quantistici, di cui si parla molto ma di cui pubblicamente non viene divulgato materiale che ne dimostri una completa realizzazione), nel concreto basta utilizzare strumenti che implementano i giusti algoritmi, come PGP (pretty good privacy) o simili.
La crittografia end-to-end si basa su un sistema dove ogni utente detiene una chiave privata e una chiave pubblica come riporta Wikipedia. Le chiavi pubbliche e private non sono altro che numeri primi con i quali viene moltiplicato o diviso il messaggio. In breve, i computer sono sofisticate calcolatrici! Per capire meglio il meccanismo prendiamo i classici Bob e Alice. Quando Bob vuol mandare un messaggio crittato ad Alice, critta il messaggio con la sua chiave privata e con la chiave pubblica di Alice. Il primo passaggio serve a garantire che il mittente è Bob, il secondo a garantire che sia solo Alice a poter decifrare e leggere il messaggio in chiaro. Alice, ricevuto il messaggio, decritta utilizzando prima la sua chiave privata e poi la chiave pubblica di Bob. La sicurezza di questi messaggi è fortemente legata all’ipotesi sulla distribuzione dei numeri prima di Reinmann, non ancora dimostrata ma utilizzata.
A ciò si aggiunga che il codice di WhatsApp non è opensource a differenza di alcuni altri software simili quali Telegram o Signal. Quindi, quando non ci troviamo di fronte a opensource è legittimo chiedersi se vi sia o meno la presenza di qualche tool per poter leggere i messaggi che si scambiano gli utenti.
Uno degli elementi di forza di WhatsApp è dato dal fatto che utilizza un algoritmo di crittografia E2EE (come PGP) e gli utenti possono verificare in autonomia la sicurezza di ogni chat con un hash di 60 cifre o un codice QR che garantisce che la conversazione sia crittografata. Tale elemento è destinato a rappresentare non solo il pilastro delle misure di sicurezza che riguardano le app di messaggistica. Telegram, ad esempio, è talmente fiduciosa del proprio modello di sicurezza da aver offerto una ricompensa da $ 300.000,00 a chiunque sia in grado di rompere per primo il proprio modello di crittografia, ma ad oggi nessuno è stato in grado di richiedere la ricompensa. Tramite Signal vengono raccolti al momento un numero minore di dati rispetto alle altre APP esaminate. Tuttavia questa applicazione è programmata per registrare solo la quantità minima di dati necessari (a esempio, non memorizza gli indirizzi IP dell’utente), con possibilità di attivare funzioni di rilevante impatto privacy, come la scomparsa dei messaggi dopo un certo periodo di tempo (autodistruzione).
5. Conclusioni
In un momento storico dove, adesso più di ogni altro tempo, siamo bombardati di informazioni da social network e internet, è fondamentale non perdere lo spirito critico che ci deve portare alla verifica dell’informazione acquisita e all’analisi in prima battuta della questione contestata.
Il caso dell’aggiornamento dei termini e condizioni di utilizzo e dell’informativa Whatsapp è l’esempio perfetto: problematiche asseritamente riscontrate non sono concretamente applicabili, criticità effettive non sono state riscontrate, altre ancora non sono ancora emerse perché magari connesse a sviluppi o applicazioni futuri. È importante quindi maturare un approccio critico alle modifiche e novità che interverranno e che interesseranno i vari operatori di messaggistica, nella consapevolezza che il GDPR rappresenta una importante conquista europea destinata ad estendere la valenza dei suoi principi anche nell’orizzonte delle comunicazioni elettroniche.
Da notare infine che recentemente sono aumentati moltissimo gli iscritti ad altre APP di messaggistica e comunicazione istantanea, probabilmente anche a causa delle informazioni di cui sopra; questo fa comprendere quanto importante sia oggi per i Titolari del trattamento un approccio legato alla massima trasparenza e tutela dei diritti al trattamento dei dati degli Interessati.