Irregolarità nell’informativa rivolta agli utenti e la sua trasparenza, con riferimento alla condivisione dati fra Whatsapp e Facebook: per questi motivi, il Garante privacy irlandese sarebbe pronto a comminare all’app di messaggistica istantanea una sanzione da 50 milioni di euro, a quanto riferisce il giornale d’inchiesta Politico.
L’indagine del Garante irlandese va avanti da tempo, infatti sei mesi fa aveva chiesto a Facebook di far pervenire le sue osservazioni, anche perché appesantita dal meccanismo del cosiddetto One-Stop-Shop per cui il Garante presso il cui Paese l’azienda indagata ha stabilito la sua sede principale coordina le altre autorità coinvolte nell’ipotesi in cui interessati di differenti stati siano coinvolti nella violazione. Ora a quanto pare il Garante irlandese è però ora alle fasi finali della procedura e ha sottoposto il provvedimento finale, per osservazioni, alle altre autorità garanti coinvolte.
Indice degli argomenti
Whatsapp, perché il Garante irlandese sta indagando
Mentre nel resto del mondo Facebook condivide i dati degli utenti Whatsapp con Facebook anche per finalità marketing e di profilazione (sebbene non intenda -per ora- veicolare pubblicità direttamente sull’applicazione) in Europa ciò secondo l’informativa non accade (salvo per scopi tecnici e di sicurezza). Resta da vedere (e questo sarà verosimilmente l’oggetto del provvedimento del Garante irlandese):
- se davvero Whatsapp condivide con Facebook dati solo per scopi tecnici e di sicurezza;
- se il trattamento di questi dati è o meno legittimo;
- se di questo trattamento gli utenti sono correttamente edotti nell’informativa.
Riguardo alla cifra della sanzione, se guardiamo al fatturato mondiale totale annuo dell’esercizio 2019 di Facebook (dato che sarà preso a riferimento dal Garante per la comminazione della sanzione (salvo non siano disponibili i dati del 2020) pari a 70.697 miliardi di dollari, ci accorgiamo che la misura della sanzione ipotizzata non si avvicina nemmeno al limite del 4% del fatturato annuo globale previsto dall’art. 83 GDPR (il limite massimo di sanzione è pari a oltre un miliardo di euro). Nel frattempo, Facebook (o meglio Whatsapp Ireland) ha accantonato (come emerso nel novembre scorso) ben 77,5 milioni di euro per coprire i costi di un’eventuale sanzione da parte della DPC irlandese.
Il precedente: Google, Amazon e le sanzioni della Cnil
La sanzione del Garante irlandese, anche se le notizie di stampa dovessero trovare conferma, non raggiungerebbe comunque i livelli di quella comminata dal Garante Francese a Google, che ammonta a ben 100 milioni di Euro. La CNIL nel dicembre scorso ha infatti inflitto sanzioni a Google e ad Amazon (quest’ultima per 35 milioni di euro) per l’illecito trattamento dati effettuato attraverso i cookie. In particolare accedendo al sito google.fr il Garante francese (che nel caso non ha fatto ricorso al meccanismo dello “sportello unico” previsto dal Regolamento 679/2016, che avrebbe portato la competenza ancora una volta a Dublino) ha verificato che immediatamente vengono scaricati sul computer dell’utente una serie di cookie (anche di profilazione e marketing), senza che vi fosse la possibilità di opporsi al trattamento e prima ancora che l’utente potesse esercitare le proprie preferenze attraverso il banner cookie.
L’iniziativa del Garante privacy italiano
Come nel caso del “ban” a TikTok il Garante privacy nostrano è invece intervenuto assecondando il sentimento popolare contro Whatsapp, reagendo avverso l’aggiornamento dell’informativa privacy proposto dal servizio di messaggistica (e quindi cavalcando l’ondata di sospetto che ha accolto queste modifiche) e lamentando in un comunicato del 14 gennaio scorso la scarsa chiarezza dell’informativa aggiornata (rilievo, questo, ineccepibile, sebbene valido anche per la precedente versione dell’informativa) e minacciando interventi d’urgenza (ipotesi, questa, che sembra esagerata se solo si pensa che l’informativa di Whatsapp, prima e dopo l’aggiornamento, risulta perfettamente in linea con tutte quelle dei vari servizi di messaggistica concorrenti e comunque di numerosissimi altri servizi web basati negli USA).
La sanzione per il data breach di Twitter
Anche Twitter ha subìto una sanzione di 450.000 euro dal Garante irlandese per un data breach avvenuto ancora nel 2019 e che ha compromesso dati di account di cittadini europei. Il Data Protection Commissioner irlandese ha ritenuto (con un provvedimento del 15 dicembre scorso) che il social network non abbia reagito tempestivamente ad un data breach (un bug che rendeva visibili i tweet privati degli utenti) scoperto nel gennaio 2019, comunicando oltre le 72 ore previste dal GDPR la violazione e non documentandola adeguatamente.
Anche nel caso di Twitter, come verosimilmente accadrà quando verrà comminata la sanzione a Whatsapp/Facebook, si sono levate critiche sia sulla eccessiva “clemenza” del Garante irlandese con le grandi compagnie USA (il Garante voleva infatti ridurre la sanzione a Twitter) sia sull’inefficienza del meccanismo dello “sportello unico” (One-Stop-Shop) che ha di molto rallentato l’accertamento, specie perché in moltissimi casi sovraccarica di lavoro il sottodimensionato Garante irlandese.
L’impatto della sentenza Schrems II
Grande assente nell’attività di accertamento dei Garanti europei è ancora una volta la spinosa questione del trasferimento dati in USA dopo Schrems II, con le varie aziende che si trincerano dietro la fragile copertura delle clausole standard e alcune (poche) che tentano un timido approccio alle misure supplementari indicate dall’EDPB. Nel frattempo, lo stesso EDPB ha approvato, nella seduta del 14 gennaio scorso, dei pareri su due nuovi set di clausole standard, uno per l’accordo fra titolare e responsabile e l’altro per il trasferimento dati in un paese terzo.
Mentre le clausole standard per l’accordo fra titolare e responsabile si pongono l’obiettivo di armonizzare la disciplina dei rapporti fra questi due soggetti fondamentali nell’architettura del trattamento dati, le clausole per il trasferimento dati in un paese terzo prendono in diretta considerazione il venir meno del Privacy Shield e la necessità in certi casi di adottare misure supplementari ad hoc. Ci si augura in particolare che l’aspetto delle c.d. “misure supplementari” sia corredato da spunti e indicazioni pratiche, per evitare che un aspetto così delicato sia lasciato alla fantasia del singolo operatore, chiamato a disciplinare contrattualmente una forma di tutela che nemmeno l’accordo fra stati sovrani è riuscito a raggiungere.
Non resta che sperare che queste clausole, chiarendo il quadro normativo del trasferimento dati sulla base delle clausole contrattuali standard e quando tale trattamento è legittimo, inneschi finalmente l’attività di indagine dei Garanti europei, che finora hanno colpevolmente trascurato questo rilevantissimo problema.
