Le violazioni privacy ex GDPR con la nuova informativa privacy Whatsapp sono “altamente probabili”, per possibile combinazione con dati Facebook. L’autorità irlandese smetta di indugiare e indaghi con urgenza. Questo il senso del comunicato dell’EDPB, i garanti europei, oggi in merito alla nota vicenda.
Indice degli argomenti
L’intervento del Garante Privacy UE
Evento notevole anche perché questa dell’EDPB è la prima decisione vincolante urgente ai sensi dell’art. 66 GDPR a seguito di una richiesta dell’autorità di vigilanza di Amburgo (DE-HH SA) di estendere – tramite l’autorità irlandese – un blocco del trattamento dati Whatsapp a tutta l’Europa.
L’articolo 66 fa sì che “in circostanze eccezionali, quando un’autorità di controllo ritiene che ci sia un bisogno urgente di agire per proteggere i diritti e le libertà degli interessati nel suo territorio, può adottare misure provvisorie che hanno un effetto giuridico sul proprio territorio per un massimo di tre mesi”, spiega l’EDPB. Misure sono adottate in deroga al meccanismo di coerenza del GDPR (art. 63 GDPR) o al meccanismo One-Stop-Shop (art. 60 GDPR), secondo cui sarebbe solo l’Irlanda ad agire su Facebook-Whatsapp.
WhatsApp, perché l’informativa privacy 2021 preoccupa Garanti privacy, utenti ed esperti
Da una parte l’EDPB ha deciso che le condizioni per dimostrare l’esistenza di una violazione e l’urgenza non sono soddisfatte. Pertanto, l’EDPB ha deciso che non è necessario che l’Irlanda adotti misure definitive contro Facebook in questo caso.
Di qui un messaggio di soddisfazione da parte di Facebook: l’ha scampata. Per ora.
Dall’altra, però, “sulla base delle prove fornite, l’EDPB ha concluso che c’è un’alta probabilità che Facebook IE (irlanda) tratti già i dati degli utenti di WhatsApp IE come controllore (congiunto) per lo scopo comune di sicurezza, protezione e integrità di WhatsApp IE e delle altre Facebook Companies, e per lo scopo comune di migliorare i prodotti delle Facebook Companies”, si legge. “Tuttavia, di fronte alle varie contraddizioni, ambiguità e incertezze rilevate nelle informazioni rivolte agli utenti di WhatsApp, in alcuni impegni scritti adottati da Facebook IE e nelle osservazioni scritte di WhatsApp IE, l’EDPB ha concluso di non essere in grado di determinare con certezza quali operazioni di trattamento vengono effettivamente eseguite e a quale titolo”.
“Inoltre, non ci sono abbastanza informazioni per stabilire con certezza se Facebook IE avesse già iniziato a trattare i dati degli utenti di WhatsApp IE come responsabile (congiunto) del trattamento per i propri scopi di comunicazioni di marketing e marketing diretto, e di cooperazione con le altre Facebook Companies. Né è stato possibile stabilire se Facebook IE abbia già iniziato o inizierà presto a trattare i dati degli utenti di WhatsApp IE come controllore (congiunto) per le proprie finalità in relazione a WhatsApp Business API”.
Necessario intervento urgente
“Considerando l’alta probabilità di violazioni in particolare ai fini della sicurezza, della protezione e dell’integrità di WhatsApp IE e delle altre società di Facebook, nonché ai fini del miglioramento dei prodotti delle società di Facebook, l’EDPB ha ritenuto che la questione richieda ulteriori indagini rapide”.
“In particolare per verificare se, in pratica, le Società di Facebook stanno effettuando operazioni di trattamento che implicano la combinazione o il confronto dei dati degli utenti di WhatsApp IE con altre serie di dati trattati da altre Società di Facebook nel contesto di altre app o servizi offerti dalle Società di Facebook, facilitati tra l’altro dall’uso di identificatori unici. Per questo motivo, l’EDPB chiede all’IE SA di svolgere, in via prioritaria, un’indagine legale per determinare se tali attività di trattamento siano in corso o meno e, in caso affermativo, se abbiano una base giuridica adeguata ai sensi dell’articolo 5, paragrafo 1, lettera a), e dell’articolo 6, paragrafo 1, del GDPR”.
“Inoltre, prendendo in considerazione la mancanza di informazioni per quanto riguarda le modalità di trattamento dei dati per scopi di marketing, la cooperazione con le altre società di Facebook e in relazione a WhatsApp Business API, l’EDPB invita l’IE SA a indagare ulteriormente sul ruolo di Facebook IE, vale a dire se Facebook IE agisce come responsabile del trattamento o come responsabile (congiunto), per quanto riguarda queste operazioni di trattamento”.
Una vittoria per tutti noi
Sapevamo che il garante tedesco di Amburgo aveva richiesto l’intervento del Board Europeo, era quindi solo questione di tempo prima che EDPB prendesse una posizione.
E’ una vittoria per tutti noi che da subito abbiamo acceso un faro sulla vicenda anche contro chi minimizzava cercando di tranquilizzare gli animi e facendo passare il messaggio ce tanto in UE non sarebbe cambiato nulla per via del GDPR. Erano posizioni quantomeno inverosimili, lo abbiamo detto subito ed ora EDPB ci da ragione.
Quello che risulta opportuno evidenziare è che il Board, nonostante affermi che, per ora non ci sono prove delle violazioni di WhatsApp e Facebook, abbia tenuto a precisare che c’è una “alta probabilità di violazione” circostanza questa che, per la prima volta ha portato all’utilizzo delle procedure di cui all’art. 66 del GDPR il quale prevede che le autorità nazionali, in deroga alla normale competenza, possano imporre misure provvisorie atte a limitare ai danni e chiedere un intervento di EDPB.
In questo caso EDPB ha ingiunto all’Autorità dell’Irlanda, da molti accusata di eccessivo immobilismo, di indagare affondo alla vicenda e di scoprire se in effetti vi sono gli estremi per una violazione.
Del resto tutto ciò non stupisce affatto. E’ da quando WhatsApp ha annunciato questo cambiamento che ne parliamo. Sono molti i problemi della nuova privacy, primo fra tutti la legittimità di questo consenso che si continua a chiedere insistentemente agli utenti.
Un consenso siffatto è davvero libero? A mio parere no. Ma anche qualora lo fosse, di certo sarebbe un consenso fornito a WhatsApp e non a Facebook la quale, conseguentemente, non potrebbe combinare i dati per fini anche commerciali come invece parrebbero voler fare.
Insomma, non possiamo che essere contenti di questa presa di posizione. Dobbiamo solo sperare che il Garante irlandese sia più reattivo del solito. Ricordiamo del resto che esattamente da un anno l’Autority Irlandese dovrebbe far rispettare contro Facebook la decisione Schrems II che vieta l’invio di dati in USA. Magari questa è la volta buona che qualcosa si smuova visto che le parti in causa sono le stesse.
