Whatsapp e le norme europee sulla protezione dei dati personali
l’allarme di Elon Musk c’è stato un fuggi-fuggi. Pareva che Whatsapp stesse cambiando privacy policy nel giro di tre settimane. A gennaio il social aveva diffuso una nuova release della sua informativa privacy imponendone l’accettazione entro l’8 febbraio scorso. Il tutto con un pesante inasprimento del grado di invasività sui dati dell’utente. Pareva però che la nuova regola avrebbe trovato applicazione ovunque tranne che in Europa. Tuttavia il messaggio veniva diffuso anche qui.
Malgrado la chiarezza e la precisione dell’informativa privacy sia un requisito di efficacia della stessa, comprenderne con esattezza le novità non appariva operazione immediata e semplice, tanto che il nostro Garante Privacy, dandone comunicazione all’Edpb (il board che riunisce le autorità Ue sulla privacy), il successivo 14 gennaio apriva un’istruttoria tuttora in corso.
Non v’è dubbio che il tema della privacy riferito a un social tra i monopolisti del mercato (Whatsapp è proprietà di Facebook) e tra i maggiori player nella gestione dei big data non potesse passare inosservato. Si noti poi che rendere un servizio, subordinandolo però all’acquisizione del consenso al trattamento di dati personali che non risulterebbero a ciò strettamente funzionali (come sembrerebbe aver fatto Whatsapp), è operazione in contrasto con il principio di minimizzazione dei dati (Gdpr, articolo 5, comma 1). Sulla stessa linea si colloca del resto la recentissima presa di posizione del Garante che, nelle nuove linee guida sull’utilizzo dei cookies (di prossima pubblicazione), vieta la prassi, ancora largamente in uso nel web, di inibire la navigazione in assenza della prestazione del consenso allo scaricamento di cookies di profilazione.
Questo è l’approccio attuale, tanto severo quanto condivisibile, del nostro Garante. Così Whatsapp da un lato ha posticipato al 15 maggio l’avvio dei trattamenti di dati fondati sulla nuova informativa, dall’altro sta svolgendo, tramite il proprio sito web, una campagna informativa.
Le variazioni inserite riguarderebbero non già l’uso privato del social ma solo i servizi business (cioè quelli forniti da operatori commerciali nei confronti del pubblico). In definitiva, comunicare con un’azienda conosciuta tramite Whatsapp consentirebbe a quest’ultima di acquisire e trasferire a Facebook le informazioni scambiate. L’interazione tra Facebook e Whatsapp, siccome limitata a tale specifico ambito, sarebbe valida ed efficace per i soli utenti stabiliti in Europa (soggetti al Gdpr) e non già per quelli a essa estranei, per i quali lo scambio dati tra Whatsapp e Facebook potrebbe essere ben più sciolto (il social adotta una differente informativa privacy destinata agli utenti europei rispetto ad altri). L’approfondimento tecnico del Garante è in corso.
È invece giusto osservare come il Gdpr, oltre a richiedere chiarezza informativa, non distingua affatto tra ambito «commerciale» e «privato»: la profilazione, anche a fine di marketing, non può essere svolta sulla base di iniziative autonome e senza il formale consenso dell’interessato e, almeno sotto questi profili, l’informativa di Whatsapp non parrebbe soddisfacente. Partita aperta, dunque. In attesa di lumi, occorre prendere definitiva coscienza (vale per tutti, colossi compresi) che la privacy europea è una faccenda seria e il Gdpr è uno scudo, forse eccessivamente articolato ma difficilmente perforabile.