Prosegue apparentemente inarrestabile il grande successo di Clubhouse, spinto da ultimo dall’ingresso di Elon Musk sulla piattaforma (che nel frattempo è stata bannata in Cina in quanto gli utenti usavano le room dedicate per discutere di tematiche non gradite alle autorità di Pechino): questo grande successo ha però messo in luce le gravi carenze privacy dell’applicativo e ora è intervenuto il Garante privacy che ha chiesto direttamente ad Alpha Exploration (la compagnia che gestisce il social) lumi circa le carenze segnalate.
Va evidenziato che l’app non coinvolge ancora molti utenti italiani (Clubhouse non rilascia dati ufficiali, ma si stima che l’app abbia raggiunto i sei milioni di utenti, con gli italiani che verosimilmente saranno nell’ordine delle decine di migliaia), ma il suo successo travolgente legittima l’approccio “preventivo” del Garante.
Indice degli argomenti
La mancanza dell’informativa GDPR
Nella propria comunicazione ad Alpha Exploration, il Garante evidenzia innanzitutto la più grave carenza dell’applicativo, ovvero che, semplicemente, Clubhouse non fornisce le informazioni di cui all’art. 13 GPDR ai propri utenti europei.
L’informativa non contiene alcun riferimento al GDPR ma è presente unicamente una sezione dedicata agli abitanti della California e che fa riferimento alla possibilità di esercitare i diritti di cui al California Consumer Privacy Act.
La mancanza di un rappresentante europeo
Quindi il Garante evidenzia che manca l’indicazione, da parte di Clubhouse, di un rappresentante europeo ai sensi dell’art. 27 GDPR.
Questa carenza ha un impatto anche in termini di competenza a procedere nei confronti dell’app.
A differenza di TikTok (che ha il proprio stabilimento principale sul territorio europeo in Irlanda) Clubhouse, non avendo una rappresentanza in U.E., può essere oggetto di procedimento da parte di ogni singolo Garante degli stati membri dell’Unione (senza la funzione “capofila” del Garante dello stabilimento principale).
La base del trattamento
Il Garante evidenzia poi che se da un lato è chiaro (seppur inespresso) che la base giuridica del trattamento dati effettuato dall’app sia l’esecuzione del contratto tra l’interessato e Clubhouse, non è chiaro quale base giuridica legittimi il trattamento di alcune tipologie di dati e, in particolare:
- il trattamento relativo alla conservazione “temporanea” delle registrazioni delle conversazioni qualora la conversazione stessa venga “segnalata” da qualcuno dei partecipanti;
- il trattamento relativo alla condivisione di informazioni di rubrica o di altre app effettuata all’interno di Clubhouse e la raccolta di dati da queste ulteriori app e social;
- il trattamento dei dati di utilizzo dell’app da parte dell’utente;
- l’attività di profilazione effettuata a partire da dati relativi alle preferenze dell’utente in merito a contenuti e funzionalità dell’app utilizzata;
- l’uso di informazioni aggregate (e in che modo le aggregazioni sono implementate);
- il trasferimento di dati dall’UE alle strutture e ai server di Clubhouse negli Stati Uniti e ai server dei partner tecnologici utilizzati per fornire il servizio.
La conservazione delle registrazioni
Quanto alla conservazione “temporanea” delle registrazioni, l’informativa fornita da Clubhouse riferisce infatti che le sessioni audio vengono registrate ogniqualvolta viene riportata una violazione dei termini di servizio da un utente durante lo streaming.
In questo caso, la registrazione “temporanea”, viene mantenuta per un tempo indefinito dall’app, ovvero fino a quando ciò è “ragionevolmente necessario” per ragioni commerciali o legali.
L’informativa precisa poi, in termini generici, che queste registrazioni temporanee sono conservate in forma crittografata (al contrario, è lecito dubitare che lo streaming in tempo reale sia in qualche modo schermato da eventuali intrusioni e comunque lo stesso sarà conoscibile dai gestori dell’app).
Il Garante interviene sul punto chiedendo innanzitutto un chiarimento circa il periodo di conservazione dei dati o che Clubhouse indichi, quantomeno, i criteri utilizzati per determinare quel periodo (in relazione a ciascuna delle finalità del trattamento).
Quindi il Garante richiede a Clubhouse informazioni più dettagliate sulle tecniche di crittografia implementate sui dati audio e sul trattamento a cui vengono sottoposti i dati audio allo scopo di supportare le indagini sugli incidenti.
La condivisione delle informazioni
L’informativa di Clubhouse presenta criticità anche in relazione alle possibili condivisioni dei dati personali che Clubhouse potrebbe effettuare con i propri affiliati senza che sia necessaria una preventiva comunicazione all’utente e soprattutto senza che quest’ultimo abbia fornito un apposito consenso al riguardo.
Il Garante chiede un approfondimento sul punto, rilevando come l’informativa sia decisamente troppo generica in proposito e chiede in particolare quali sono i destinatari o le categorie di destinatari con cui Clubhouse condivide i dati e che questa indicazione sia riferita a quanto effettivamente praticato dall’azienda, non solo “a livello teorico” come accade ora.
Il Garante chiede inoltre di precisare quale sia il rapporto che lega Clubhouse ai propri “affiliati” che sarebbe sicuramente più gestibile ove ciascuno di questi fosse inquadrato quale responsabile del trattamento, molto meno invece nel caso in cui questi affiliati dessero corso a trattamenti autonomi.
I dati biometrici
Il Garante si concentra poi sull’interessante questione del trattamento di dati biometrici.
Il timbro e la tonalità della voce rientrano infatti nel novero dei dati biometrici e vanno sottoposti alla disciplina, particolarmente rigorosa, in tema di dati appartenenti a categorie particolari specie nel caso in cui Clubhouse elabori simili “profili” biometrici dai dati che raccoglie (ovvero rilevi, dal dato audio, una caratteristica fisica dell’individuo di cui tratta il dato).
Nel caso, il Garante chiede a Clubhouse di esplicitare i sistemi di sicurezza adottati a tutela del dato.
L’esercizio dei diritti degli interessati
Il Garante chiede a Clubhouse di precisare le finalità del trattamento cui sono destinati i dati personali.
È pur vero che Clubhouse si prodiga nella propria informativa ad individuare un lungo elenco di finalità, ma è altrettanto vero che, non individuando le basi giuridiche di trattamento, non si cura di raccordarle adeguatamente, come invece vorrebbe il GDPR.
Inoltre, il Garante chiede ai gestori dell’applicativo di precisare come sono garantiti i diritti degli interessati previsti dal GDPR e soprattutto come possono essere esercitati.
La sicurezza dei dati
Il Garante non censura (per ora) un’ulteriore problematica che emerge lampante dalla privacy policy di Clubhouse, condensata nella frase: “You use the Service at your own risk. We implement commercially reasonable technical, administrative, and organizational measures to protect Personal Data”.
L’approfondimento del Garante sulle misure di crittografia e di sicurezza adottate da Alpha Exploration permetterà in ogni caso di approfondire la questione della sicurezza del dato e verificare se davvero Clubhouse scarica le proprie responsabilità sul cliente o se invece ha adottato “misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio” come prescrive il GDPR.
L’attività di moderazione
Il Garante chiede poi come funzionano le moderazioni e se è stato implementato un processo decisionale automatizzato per gestirle.
In caso affermativo, il Garante chiede quali misure di sicurezza siano state adottate al riguardo e la logica coinvolta (informazioni che dovranno essere rese nell’informativa ai sensi del GDPR).
L’attività di moderazione è infatti un pilastro del funzionamento dell’applicativo e Clubhouse, in risposta alla critiche derivanti dalla condivisione di contenuti antisemiti, lo scorso ottobre ha annunciato l’implementazione di nuove funzioni di moderazione, che però ad oggi non sembrano coinvolgere un processo decisionale automatizzato (si parla di badge per i moderatori, attività di formazione, strumenti più efficaci a loro disposizione, aumento del numero di consulenti per affrontare le segnalazioni e altri strumenti comunque diretti a far funzionare un sistema di moderazione “umano”).
Gli utenti minorenni
Tra le richieste di chiarimento del Garante compare infine la questione degli utenti minori e della verifica della loro età, sebbene la questione risulti meno “centrale” che nella contesa contro TikTok (del resto, a differenza di TikTok, il target di Clubhouse non è quello degli utenti minorenni) il Garante chiede comunque chiarimenti sulle misure di verifica dell’età al momento della creazione dell’account.
I tempi del procedimento
Clubhouse ora ha 15 giorni per rispondere alle richieste del Garante, mentre alcune problematiche potranno essere risolte entro breve tempo e forse già per la data del riscontro (specie quelle di forma relative all’informativa), altre problematiche sostanziali (prima fra tutte l’individuazione di un rappresentante sul territorio europeo) richiederanno più tempo e potrebbero portare ad un procedimento sanzionatorio nei confronti dell’app.
Clubhouse paga quindi l’approssimazione con cui si è rivolta al mercato globale ed è “vittima” dell’attenzione derivata dalla curva di crescita esponenziale che l’ha vista protagonista.
Le caratteristiche sostanziali dell’applicativo (che consente la condivisione di brevi audio non registrati né conservati salvo vi sia una “segnalazione” circa contenuti inappropriati) lo rendono un candidato ideale per un social privacy oriented. Manca solo una doverosa attenzione ai dettagli da parte dei gestori della piattaforma.
