WhatsApp e Privacy: il Garante vuole vederci chiaro

Il Garante della Privacy interroga WhatsApp

Con una comunicazione sul proprio sito del 27.2.2013, l’Autorità Garante per la protezione dei dati personali informa di aver interpellato la società californiana, creatrice del noto servizio di messaggistica, affinché consegni “ogni informazione utile per valutare il rispetto della privacy degli utenti italiani”.

L’iniziativa del Garante italiano segue la denuncia rivolta dall’omonimo canadese, Office of the privacy commissioner of Canada, alla WhatsApp Inc., sospettata di effettuare un trattamento illecito dei dati personali (“collecting, using, disclosing and retaining personal information in a manner contrary to certain provisions”) non solo e non tanto degli utenti dell’applicazione, ma anche di terzi ad essa estranei.

L’indagine dell’Amministrazione canadese si è svolta in tandem col Garante olandese (College bescherming persoonsgegevens), evidenziando l’acquisizione di diversi dati personali a seguito dell’articolata procedura di registrazione al sistema, tra cui “device identifier information, mobile subscriber ID, mobile country code, and mobile network code”.

Una delle principali preoccupazioni dei Garanti concerne l’accesso dell’applicazione all’interna rubrica dei contatti dell’acquirente, tra i quali evidentemente rientrano non solo gli altri utenti di WhatsApp, bensì anche utenti di telefonia mobile che non hanno scaricato sul proprio smartphone o tablet l’applicazione in questione.

In particolare, il Garante canadese osserva che, come riportato dagli stessi Termini di Servizio dell’applicazione, sui server della società americana vengono caricati e salvati i dati tratti dall’elenco dei contatti, suddividendoli in “out-network” (coloro che non ne hanno fatto il download) e “in-network” (gli effettivi utilizzatori del servizio): è chiaro che solo i secondi hanno accettato i Termini di Servizio (TOS) e la Privacy Policy che WhatsApp invita a leggere al momento dell’installazione.

Ne consegue, ad esempio, che nessun consenso al trattamento dei dati personali hanno potuto esprimere i soggetti terzi, che non abbiano l’applicazione sul proprio device.

Nella stessa Privacy Policy, l’azienda, consapevole di avere una platea di utenti internazionale, ha dedicato un paragrafo specifico agli utenti non residenti negli Stati Uniti d’America, ove sono collocati i suoi server, il quale recita:

Special Note to International Users 

The WhatsApp Site and Service are hosted in the United States and are intended for and directed to users in the United States. If you are a user accessing the WhatsApp Site and Service from the European Union, Asia, or any other region with laws or regulations governing personal data collection, use, and disclosure, that differ from United States laws, please be advised that through your continued use of the WhatsApp Site and Service, which are governed by California law, this Privacy Policy, and our Terms of Service, you are transferring your personal information to the United States and you expressly consent to that transfer and consent to be governed by California law for these purposes.

Dunque, informa l’utente che, accettando i Termini di Servizio (i quali richiamano interamente la Dichiarazione sulla privacy), consente altresì il trasferimento dei dati personali negli Stati Uniti ed il loro assoggettamento alla legge californiana, secondo un modello di autoreferenzialità al diritto statunitense consolidatosi sin dalla nascita delle licenze d’uso dei primi software.

Modello, tuttavia, che sta subendo tentativi di ridimensionamento, soprattutto grazie all’azione dell’Unione Europea, particolarmente attenta al tema della riservatezza, unitamente ai Garanti nazionali dei singoli stati membri: si pensi, ad esempio, all’adozione del protocollo Safe Harbour, siglato tra l’UE e lo US State Department il 26.7.2000, in base al quale può certificarsi se una società statunitense garantisca un livello di tutela dei dati adeguato a quanto prescritto dalla Direttiva 95/46/CE (questione rilevante in tempi recenti soprattutto in riferimento al cloud computing).

Non meraviglia, pertanto, ed anzi è giustificato l’interesse del Garante Italiano, che ha richiesto all’azienda di chiarire taluni aspetti: “quali tipi di dati personali degli utenti vengono raccolti e usati al momento dell’iscrizione e nel corso dell’erogazione dei servizi di messaggistica e condivisione file; come vengono conservati e protetti questi dati; le misure adottate (es. cifratura, generazione di credenziali etc.) per limitare il rischio di accesso da parte di soggetti diversi dagli interessati e, in particolare, se siano stati previsti sistemi contro gli attacchi tipo “man in the middle”, volti ad acquisire illecitamente il contenuto dei messaggi scambiati mediante l’applicazione”.

La domanda ulteriore da farsi è: i Garanti della Privacy e gli utenti sono all’altezza rispetto al livello di conoscenze e attenzione di cui si necessita per affrontare l’incessante ipertrofia ed invasività tecnologica? La risposta è sempre la stessa: promuovere educazione, consapevolezza e cultura digitale.