Mai sentito parlare del social network delle chat vocali?

Si chiama Clubhouse, ed è nato come risposta all’impero delle foto e dei video che ormai domina su quasi tutte le piattaforme.

Basato esclusivamente su interazioni vocali che si svolgono in stanze di conversazione, è disponibile al pubblico tramite un’app gestita dalla società statunitense Alpha Exploration.

Inizialmente limitata solo agli utenti Apple (ma ora disponibile anche per Android), Clubhouse nel 2021 ha avuto un vero e proprio boom di iscritti.

Per poter accedere all’applicazione è necessario ricevere un invito da chi è già membro.

Per inviare il link di accesso si deve però aprire a Clubhouse la propria rubrica, così da non rimanere a bocca asciutta di pass per gli amici.

Oltre a questa procedura che non tutela l’identità degli utenti, l’altro problema è rappresentato dalle conseguenze della ragnatela di rapporti che l’app mette in mostra.

È pubblico infatti il nome di chi ha garantito per il nuovo iscritto, e non è possibile nasconderlo.

Inoltre, da gennaio 2022 gli utenti possono anche conservare e registrare parte delle conversazioni e condividerle con terzi

La sanzione del Garante della privacy a Clubhouse

Recentemente i dubbi e le perplessità su Clubhouse sul fronte della privacy hanno portato a un provvedimento piuttosto eclatante.

Il Garante ha infatti sanzionato la piattaforma per una cifra pari a 2 milioni di euro.

La ragione? Le numerose violazioni nella gestione dei dati personali degli iscritti.

Nello specifico, sono state rilevate: “… scarsa trasparenza sull’uso dei dati degli utenti e dei loro “amici”; possibilità per gli utenti di memorizzare e condividere gli audio senza consenso delle persone registrate; profilazione e condivisione delle informazioni sugli account senza l’individuazione di una corretta base giuridica; tempi indefiniti di conservazione delle registrazioni effettuate dal social per contrastare eventuali abusi”.

Le irregolarità riscontrate dal Garante

Per spiegare le ragioni che hanno portato il Garante a sanzionare Clubhouse dobbiamo tornare indietro di un paio d’anni.

Nel 2021 erano oltre 16 milioni gli utenti della piattaforma a livello mondiale, di cui circa 90 mila in Italia.

Oltre alle notizie apparse sulle testate in merito ai possibili rischi per i dati personali, all’Autorità era giunta una segnalazione riguardante una serie di punti critici del social che rischiavano di compromettere la sicurezza degli utenti.

Questi riguardavano in particolare l’esercizio dei diritti degli interessati, la mancanza di un rappresentante designato ai sensi dell’art. 27 GDPR, e problemi in merito alla profilazione e alla conservazione dei dati. 

Il Garante aveva quindi chiesto alla società chiarimenti in merito.

Alpha Exploration aveva risposto, come si legge nel provvedimento dell’Autorità italiana, con una comunicazione in cui, in via preliminare, si sosteneva l’insussistenza della giurisdizione italiana.

Queste, in estrema sintesi, le giustificazioni di Clubhouse nei confronti delle criticità rilevate dal Garante: “Le operazioni di trattamento connesse all’attività di social networking posta in essere da Clubhouse non rientrerebbero nella sfera di applicazione dell’art. 3, par. 2, lett. a), del Regolamento in quanto la Società non avrebbe avuto, quanto meno in origine, intenzione di offrire i suoi servizi nell’Unione europea; elementi di segno contrario non potrebbero essere desunti dal mero fatto che l’App fosse liberamente disponibile per il download negli store dei due principali sistemi operativi per dispositivi mobili; la Società non avrebbe mai promosso campagne pubblicitarie o di marketing nell’Unione europea”.

Perché il Garante ha sanzionato Clubhouse

Successivamente, a marzo 2022, il Garante della privacy aveva comunicato ad Alpha Exploration l’avvio del procedimento per adottare provvedimenti in merito a presunte violazioni di diversi articoli del GDPR.

È dunque seguita la fase istruttoria, in cui la società ha esercitato il proprio diritto di difesa.

Al termine di questa fase l’Autorità, rilevando comunque la sussistenza di irregolarità e violazioni della normativa sulla privacy, ha dichiarato illecito il trattamento dei dati svolto da Alpha Exploration.

Come comunicato dal Garante, sono state riscontrate in particolare:

  • poca trasparenza sull’utilizzo dei dati degli utenti e dei loro “amici”
  • sussistenza della possibilità per gli utenti “di memorizzare e condividere gli audio senza consenso delle persone registrate”
  • profilazione e condivisione delle informazioni relative ai vari account senza che sia individuata una corretta base giuridica
  • mancata definizione dei tempi di conservazione delle registrazioni svolte da Clubhouse per contrastare eventuali abusi

Il Garante ha chiesto quindi alla società una serie di integrazioni, tra cui quella relativa ai termini di servizio “mediante l’inserimento della descrizione delle funzioni Clips & Replays, con specifico riferimento alle prerogative degli amministratori ed alle salvaguardie predisposte a favore degli utenti che partecipano alle room”, oltre a integrazioni dell’informativa, anche in riferimento ai tempi di conservazione dei dati.

Ha poi ingiunto l’introduzione di una funzione per consentire agli utenti di apprendere dell’eventuale registrazione di una chat prima di entrare nella “room”, e di introdurre un sistema per cui “nel caso in cui Clubhouse debba inviare un invito ad unirsi alla comunità, indirizzato a soggetti non ancora utenti i cui dati sono stati acquisiti dalle rubriche telefoniche degli utenti, nel testo dell’invito sia inserito un link che rimandi ad una specifica informativa resa nell’interesse dei non utenti […], al fine di consentire al destinatario di operare in autonomia ogni pertinente approfondimento”

Il Garante ha chiesto inoltre di effettuare una DPIA sui trattamenti dei dati svolti da Clubhouse, e ha vietato alla società ogni trattamento per fini di marketing diretto, profilazione e condivisione delle informazioni sugli account “per l’inidoneità della base giuridica”.

Infine, come sappiamo, l’Autorità ha sanzionato Clubhouse, che ora dovrà pagare una multa di 2 milioni di euro.

Il commento di Guido Scorza

In una puntata di Garantismi, Guido Scorza – componente del Garante della privacy – ha commentato la vicenda.

Il provvedimento, secondo Scorza, è un alert interessante per chiunque un giorno dovesse scegliere di erogare un servizio senza preoccuparsi di eseguire una verifica di conformità relativa alla legislazione applicata nei Paesi scelti come bacino di utenza.

Non è infatti la prima volta che il Garante sanziona una piattaforma social per scarsa attenzione nei confronti della privacy dei minori, e c’è da aspettarsi che non sarà nemmeno l’ultima!

Più di tutto, il provvedimento nei confronti di Clubhouse – sottolinea Scorza – si configura come un’azione educativa che vale per l’intera società, oltre che per gli utenti del social.  

Le regole basilari della cittadinanza digitale obbligano ciascuno di noi a preoccuparsi prima di rilasciare i propri dati online, e a verificare che il responsabile del trattamento rispetti la privacy policy.

Come quella relativa alla nascita di Clubhouse, tutte le novità in ambito digital vanno approcciate con spirito critico.

Le parole d’ordine in questi casi devono essere prudenza, consapevolezza e difesa dei diritti, propri e altrui.