WhatsApp sta aggiornando l’informativa sulla privacy. Gli utenti dell’app di messaggistica di Meta (galassia Facebook e Instagram), infatti, stanno ricevendo un messaggio relativo a tale update.
“Ciò che sta facendo WhatsApp adesso”, commenta Marina Rita Carbone, consulente privacy, “è uno sforzo conseguente alla sanzione ricevuta da parte del Garante Privacy irlandese“. Ecco, nei dettagli, di cosa si tratta.
Indice degli argomenti
Effetto sanzione Authority Privacy irlandese
Infatti, continua Marina Rita Carbone, nella sanzione comminata dall’Authority Privacy irlandese, “si contestava la mancanza da parte di WhatsApp del carattere di trasparenza dell’informativa, perché l’utente si trovava di fronte a un ‘muro di testo’ che diventava difficile da comprendere. Difficile per un utente ‘tradizionale’ che non ha competenze e non conosce la normativa”.
Infatti, sottolinea la consulente privacy: “Ho osservato che, dopo l’aggiornamento, l’informativa ha già subito una strutturazione in varie sezioni, per aiutare gli utenti dell’app di Meta almeno a navigarla. Però l’informativa non è stata aggiornata e rimane quella del 22 novembre 2021, e “l’update rimane un primo sforzo” per rendere l’informativa privacy di WhatsApp in linea con le richieste dell’Authority privacy irlandese.
WhatsApp, arriva l’update della policy privacy
WhatsApp sta quindi effettuando un aggiornamento dell’informativa sulla privacy. Il messaggio che stanno ricevendo gli utenti dell’app di messaggistica di Meta dichiara: “Stiamo aggiornando la nostra Informativa sulla privacy per i residenti in Europa”.
Si tratta di un update continentale della policy privacy a livello UE e nulla ha a che fare con il cambiamento per WhatsApp che Facebook annunciò a inizio del 2021 e non osò mai introdurre, in seguito a un’ondata di proteste che portò gli utenti dell’app di messaggistica ad abbandonarla a favore di Signale e, soprattutto, della più insicura Telegram.
Sappiamo, infatti, che WhatsApp offre maggiori garanzie anche perché utilizza la crittografia end-to-end ed è un’app più sicura rispetto ad altre. Tanto che nelle FAQ la stessa Meta spiega che “non possiamo leggere né ascoltare le tue conversazioni personali perché sono protette dalla crittografia end-to-end”.
L’adeguamento dell’informativa privacy: solo un primo passo
Dunque, WhatsApp sta procedendo con l’aggiornamento dell’informativa privacy per adeguarsi in merito a:
- modalità di utilizzo dei dati raccolti, conservati ed elaborati;
- processi su scala internazionale;
- il tutto in ottemperamento alla normativa sul trattamento dei dati.
Ma è sufficiente quanto sta effettuando Meta, per venire in contro alle richieste UE? Marina Rita Carbone mette in luce che “è un primo passo. Al riordino dell’informativa dovrà seguire un riordino delle informazioni contenute nell’informativa, soprattutto per quanto riguarda l’altro punto critico evidenziato dal Garante irlandese: la comunicazione dei dati fra Whatsapp e Facebook e le diverse applicazioni della società Meta. Punto che l’informativa affronta, ma non nel modo in cui lo voleva intendere l’Authority irlandese”.
Anche Andrea Michinelli, avvocato, FIP (IAPP), conferma che “l’iniziativa promossa di recente da Whatsapp, cioè l’aggiornamento e la nuova forma di notifica in chat dell’informativa privacy, è da salutare positivamente come qualsiasi passo verso una maggiore trasparenza, specie pensando ai tanti recenti cambiamenti in seno a Facebook, proprietaria di Whatsapp e ora nota come Meta”. Tuttavia, aggiunge, “viene da chiedersi se sia un passo davvero significativo“.
Infatti Michinelli ricorda che “Whatsapp è stata colpita da diversi provvedimenti sanzionatori: in particolare è proprio dopo la sanzione multimilionaria – una delle più elevate in assoluto – ricevuta in settembre 2021 dalla autorità di controllo irlandese (DPC) e che riguardava, tra l’altro, l’insufficienza informativa verso gli utenti, con richiesta di pronta correzione riguardo vari temi”.
Una questione di trasparenza
“L’autorità aveva puntualizzato”, prosegue Michinelli, “che l’azienda avrebbe dovuto spiegare meglio, ad esempio, come raccoglie e utilizza i dati, per quanto tempo li conserva, se vi è condivisione e trasmissione transfrontaliera dei dati, quali sono le basi giuridiche di trattamento”.
“Pur appellando il provvedimento dell’autorità”, sottolinea l’avvocato, “Whatsapp aveva annunciato comunque modifiche alla propria informativa, riconoscendo implicitamente quanto meno che la propria trasparenza non fosse ottimale“.
“E in gennaio aveva comunicato che avrebbe notificato agli utenti una richiesta di ri-accettazione, con un unico consenso, sia delle condizioni contrattuali e – pare di capire – sia dei trattamenti di dati personali soggetti a consenso. Si pensava provvedesse in tal modo, pur in maniera opinabile, alla correzione delle proprie basi giuridiche, passando dalla mancanza di base adeguata al legittimo interesse (contestato dall’autorità per eccessiva vaghezza e insufficiente granularità) fino al consenso (pur sempre vago e non granulare) per finalità “critiche”, comportanti la condivisione dei dati tra le varie società del gruppo Meta”.
“Nel suo attuale comunicato”, continua Michinelli, “l’azienda dimostra di aver cambiato idea, forse alla luce di alcune reazioni ottenute dal precedente annuncio: parla di mera riorganizzazione della struttura informativa e di alcuni chiarimenti, non si proporrà più una ri-accettazione del contratto o di trattamenti di dati basati sul consenso.
È anzi stato espressamente chiarito che nulla cambierà quanto alle modalità di gestione del servizio e di trattamento, di utilizzo e condivisione dei dati con altri, delle basi di trattamento, eccetera.
Unica novità di rilievo: verrà visualizzato un nuovo banner a schermo per gli utenti, direttamente nella chat, a ricordare loro che esiste un’informativa privacy da consultare per sapere cosa avviene ai propri dati personali”.
Dunque, continua Michinelli, “nelle more dell’appello giudiziario, non verranno richiesti nuovi consensi o accettazioni contrattuali”.
I punti critici ancora aperti
Fra l’altro, aggiunge Carbone, “permane, e non si capisce come verrà risolto da Meta e da tutte le Big Tech, il problema tuttora aperto del trasferimento dei dati dall’Unione europea verso gli StatiUniti“.
“Il problema del trasferimento dei dati da UE a server USA”, mette in guardia Carbone, infatti, “rimane un punto critico irrisolto, perché le aziende europee non possono rinunciare alle app di Meta (penso a WhatsApp Business, Instagram e Facebook) – e lo dimostra la disconnessione della Russia”, in seguito alla tragica invasione dell’Ucraina (il ‘decoupling USA – Russia’ infatti sta mettendo in crisi interi settori di Pmi e grandi aziende che commerciavano in quell’area e con i consumatori russi).
“Quindi, quelli di WhatsApp sono primi passi apprezzabili verso l’adeguamento imposto dal Garante Privacy irlandese, ma dovranno avvenire molti altri passi avanti, non solo da parte di WhatsApp ma da parte di tutte le Big Tech del panorama statunitense che ad oggi soffrono di queste stesse criticità nei confronti degli utenti: la mancanza di capacità di fornire informazioni estremamente complesse, dal punto di vista dell’elaborazione dati, in modo semplice, fruibile e comprensibile per tutti gli utenti. Anche per i profani della materia, per i quali una ‘parola di troppo’ potrebbe ricevere un’interpretazione ‘diversa'”. Invece “Meta tende a trattenere gli utenti per motivazioni economiche e di business”, conclude Carbone.
Il dubbio: ma è solo un ritocco formale?
In definitiva, WhatsApp sta andando nella direzione giusta. Tuttavia rimangono moti altri passi da compiere per avvicinare le legittime richieste europee, in materia di privacy, alle posizione delle Big Tech statunitensi.
Tuttavia “Whatsapp continuerà a invocare”, sottolinea Michinelli, “l’attuale base di trattamento del legittimo interesse – che speriamo verrà perlomeno meglio articolata e motivata -, anche per finalità di condivisione dei dati con il gruppo Meta (nell’attuale versione dell’informativa si parla per esempio di fini di ‘Business intelligence e analisi’).
E “sui trasferimenti dati extra-UE, ugualmente, si parla di coinvolgimento delle società del gruppo Meta senza che, attualmente, emergano dettagli circa i precisi destinatari – pur menzionando genericamente le società del gruppo Meta -, i Paesi coinvolti (si parla di operazioni a livello “globale”) ed eventuali misure supplementari di trasferimento, adeguate al caso”.
“Vedremo se e come il nuovo testo arriverà a illuminare questo punto”, conclude Michinelli, ma “resta il dubbio che si possa trattare di mero ritocco formale, non toccando tutte le criticità evidenziate dalle autorità di controllo e gli adeguamenti informativi imposti dalla stessa autorità irlandese. Specie se pensiamo alla possibile necessità di un consenso specifico degli utenti, forse doveroso per poter utilizzare i dati da parte del gruppo societario per fini direttamente o indirettamente di business”.
