Non si ferma l’azione del Garante italiano che dopo TikTok si interessa alla piattaforma social più “chiacchierata” del momento. Si tratta di Clubhouse che in questo periodo sta scalando le classifiche dell’App store anche in Italia, ma il Garante Privacy vuole capire come sono trattati i dati e sottopone una richiesta formale di informazioni alla piattaforma per accertarsi che siano rispettati i diritti dei cittadini europei, come prescrive il Regolamento generale comunitario per la protezione dei dati personali (Gdpr).
Vediamo di cosa si tratta.
Clubhouse lanciata nell’aprile dello scorso anno negli Stati Uniti, reclutando vip del calibro della conduttrice e produttrice Oprah Winfrey e dell’attore Ashton Kutcher, e vincolata a un sistema di inviti, è diventata molto popolare anche in Europa all’inizio del 2021. La piattaforma si basa su un sistema di stanze dove i partecipanti possono parlare in tempo reale attraverso messaggi audio. La App è disponibile solo per gli utenti di iPhone e solo su invito ed è stata vietata in Cina in quanto gli utenti usavano le room dedicate per discutere di tematiche non gradite alle autorità di Pechino.
Il Garante ha scelto di intervenire in via preventiva inviando una richiesta formale di chiarimenti, questi i principali.
Indice
Informativa GDPR
Clubhouse fornisce una Privacy Policy, ma essa appare incompleta rispetto al nostro articolo 13, facendo riferimento solo al California Consumer Privacy Act e non al GDPR, anche per quanto riguarda l’esercizio dei diritti e mancando l’indicazione del Data Protection Officer.
Nell’informativa un dubbio specifico riguarda la conservazione delle registrazioni. Risulta, infatti che le sessioni audio vengono registrate ogniqualvolta viene riportata una violazione dei termini di servizio da un utente durante lo streaming. In questo caso, la registrazione “temporanea”, viene mantenuta per un tempo indefinito dall’app, ovvero fino a quando ciò è “ragionevolmente necessario”, suscitando molti dubbi in merito.
Base giuridica del trattamento
Il Garante evidenzia poi che se da un lato appare chiaro (seppur inespresso) che la base giuridica del trattamento dati effettuato dall’app sia l’esecuzione del contratto tra l’interessato e Clubhouse, non è chiaro quale base giuridica legittimi il trattamento di alcune tipologie di dati e, in particolare:
• il trattamento relativo alla conservazione “temporanea” delle registrazioni delle conversazioni qualora la conversazione stessa venga “segnalata” da qualcuno dei partecipanti;
• il trattamento relativo alla condivisione di informazioni di rubrica o di altre app effettuata all’interno di Clubhouse e la raccolta di dati da queste ulteriori app e social;
• il trattamento dei dati di utilizzo dell’app da parte dell’utente;
• l’attività di profilazione effettuata a partire da dati relativi alle preferenze dell’utente in merito a contenuti e funzionalità dell’app utilizzata;
• l’uso di informazioni aggregate (e in che modo le aggregazioni sono implementate);
• il trasferimento di dati dall’UE alle strutture e ai server di Clubhouse negli Stati Uniti e ai server dei partner tecnologici utilizzati per fornire il servizio.
Dati biometrici
Il timbro e la tonalità della voce rientrano nel novero dei dati biometrici e vanno sottoposti alla disciplina, particolarmente rigorosa, in tema di dati appartenenti a categorie particolari specie nel caso in cui Clubhouse elabori simili “profili” biometrici dai dati che raccoglie (ovvero rilevi, dal dato audio, una caratteristica fisica dell’individuo di cui tratta il dato).
Il Garante, quindi, chiede a Clubhouse di esplicitare i sistemi di sicurezza adottati a tutela del dato.
Con più di due milioni di utenti attivi al mese e decine di migliaia di ore di connessione, infatti, Clubhouse è diventato in breve tempo un enorme archivio di voci e stati d’animo. Una miniera d’oro per chi raccoglie informazioni di profilazione, rispetto alla quale il Garante esige maggiore chiarezza. Per questo nella lettera inviata all’azienda si chiede di chiarire prima di tutto in che modo i dati vengono conservati e protetti e quali sono i termini entro i quali è prevista la cancellazione delle tracce audio temporaneamente conservate dall’azienda. Inoltre, si chiede anche quali procedure siano previste per utilizzare i dati raccolti in sede di indagine giudiziaria (dato che Clubhouse dichiara di tenere traccia degli audio solo in caso di indagine) e – soprattutto – se dalle tracce vocali vengano estrapolati dati biometrici che potrebbero essere incrociati con altri file audio reperibili online (analogamente a come avviene con le immagini).
L’attività di moderazione
L’attività di moderazione è un pilastro del funzionamento dell’applicativo e Clubhouse, in risposta alla critiche derivanti dalla condivisione di contenuti antisemiti, lo scorso ottobre ha annunciato l’implementazione di nuove funzioni di moderazione, che però ad oggi non sembrano coinvolgere un processo decisionale automatizzato (si parla ad esempio di badge per i moderatori, di formazione, aumento del numero di consulenti e altri strumenti comunque diretti a far funzionare un sistema di moderazione “umano”).
Il Garante, però, sul punto, chiede dettagli sul funzionamento delle moderazioni e se è stato implementato un processo decisionale automatizzato per gestirle; in caso affermativo, dovranno essere fornite indicazioni su quali misure di sicurezza siano state adottate al riguardo e la logica coinvolta (informazioni che dovranno essere rese nell’informativa ai sensi del GDPR).
Gli utenti minorenni
Tra le richieste di chiarimento del Garante compare, infine, la questione degli utenti minori e della verifica della loro età, sebbene la questione risulti meno “centrale” che nella contesa contro TikTok, in quanto il target di Clubhouse non è quello degli utenti minorenni il Garante chiede comunque chiarimenti sulle misure di verifica dell’età al momento della creazione dell’account.
* * *
Clubhouse ora ha 15 giorni per rispondere alle richieste del Garante.
Probabilmente alcune richieste di carattere più sostanziale richiederanno più tempo e potrebbero portare ad un procedimento sanzionatorio nei confronti dell’app.