Come ormai sappiamo, WhatsApp ha dato un ultimatum a tutti i suoi utenti: chi non ha accettato la nuova policy entro il 15 maggio non potrà più usare WhatsApp.
L'azienda di proprietà di Facebook, con sede Europea in Irlanda, ci aveva già provato a febbraio 2021 sollevando feroci critiche che l'avevano indotta a rimandare la scadenza per avere il tempo di spiegare meglio agli utenti i cambiamenti introdotti nella policy.
Perdonate il riassunto, ma altrimenti è impossibile capire la situazione già ingarbugliata di suo.
Alla fine di aprile del 2016 l'Unione Europea ha adottato un regolamento per la protezione dei dati (GDPR - General Data Protection Regulation), il testo entra in vigore a partire dal maggio 2018.
Da wikipedia: "Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell'Unione europea (UE) e dei residenti nell'UE, sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE." [1] Tra le altre figure il regolamento istituisce anche quella del "Titolare del trattamento dei dati", che incaricherà il responsabile della protezione dei dati di prendere tutti gli accorgimenti necessari.
Ora attenzione, perché quanto scritto sotto, si rivelerà importante ai fini del mio ragionamento. Il titolare del trattamento dei dati deve prendere tutte le precauzioni possibili affinché sia impedita una violazione, perdita, furto di dati personali del cui trattamento è titolare. Per esempio: un incendio distrugge un data center; i dati personali memorizzati nel data center stesso non sono recuperabili; il responsabile del trattamento dei dati non ha predisposto un backup; il titolare del trattamento dei dati è responsabile legalmente del danno causato dalla perdita di dati.
Ancora da Wikipedia: "Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'UE) che trattano dati di residenti nell'UE ad osservare e adempiere agli obblighi previsti."
La questione del trasferimento dei dati all'estero è rilevante. Il garante della privacy in proposito afferma che "il trasferimento verso Paesi non appartenenti alle Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta tramite decisione della Commissione europea".[2] In assenza di tale decisione possono costituire garanzie adeguate al trasferimento dei dati all'estero, previa autorizzazione del garante, le clausole contrattuali ad hoc (art. 46, par. 3, lett. a). [2]
Sappiamo che la sentenza Schrems II della Corte di Giustiza Europea ha invalidato l'accordo tra UE e USA relativamente alla protezione dei dati personali detto "Privacy Shields", affermando che l'ordinamento giuridico sulla protezione dei dati degli USA non garantisce la stessa protezione dell'ordinamento UE. In sostanza per trasferire dati personali dall'Europa agli USA in maniera legale si deve fare leva su uno dei metodi menzionati dal garante della privacy [2].
Nella nuova privacy policy, quella che WhatsApp chiede di accettare pena la sospensione del servizio, nel paragrafo "Operazioni a livello globale", è scritto a chiare lettere che "Le informazioni controllate da WhatsApp potrebbero essere trasferite o trasmesse o archiviate e trattate negli Stati Uniti" [3] e che per farlo utilizza le clausole contrattuali standard approvate dalla Commissione Europea [4].
Inoltre è scritto anche: “WhatsApp condivide informazioni a livello globale, sia internamente con le aziende di Facebook, che esternamente con i nostri partner e con le persone con cui l'utente comunica in tutto il mondo, nel rispetto della presente Informativa sulla privacy e dei nostri Termini.“
Che vuol dire? Innanzi tutto vuol dire che l'accettazione delle nuove clausole da parte dell'utente aggira il divieto di trasferimento dei dati negli USA. Oltre a ciò, l’accettazione di questo paragrafo da parte dell’utente consente a Facebook, proprietaria di WhatsApp, di acquisire i dati degli utenti dell’App di messaggistica e incrociarli (quando non unificarli) con quelli degli utenti di Facebook per rendere i profili degli utenti sempre più precisi e sempre più remunerativi.
In ogni caso, WhatsApp dovrebbe attivamente garantire, secondo il GDPR, tutte le protezioni dei dati personali dei propri utenti adeguandosi alla giurisdizione UE. A prescindere dalla possibilità e volontà di farlo, tutto ciò funziona fintantoché il titolare del trattamento dei dati personali è WhatsApp. Ma può capitare che il titolare non sia Facebook. Non sono un legale, ma leggendo vari articoli ho capito che per esempio il titolare del trattamento dei dati di un gruppo WhatsApp è l'amministratore del gruppo e/o l'amministratore del condominio. [5] La stessa cosa si può dire per il medico di base che invia una ricetta tramite WhatsApp al suo paziente.
In sostanza va tutto bene, a norma di legge, finché il titolare del trattamento dei dati è WhatsApp ltd. In caso sia un soggetto diverso la responsabilità legale di una eventuale violazione, furto, distruzione, etc., dei dati personali sarebbe del soggetto in questione: il medico di base e l'amministratore del gruppo di condominio, come negli esempi descritti sopra. Il Titolare (es.: il medico) avrebbe dovuto far accettare ai partecipanti alla comunicazione tramite WhatsApp (es.: il paziente) una privacy policy che preveda l'esportazione dei dati verso gli USA. Una circostanza che nella vita reale non accade praticamente mai.
E quindi? In definitiva si tratta di disquisizioni di lana caprina. Il nocciolo della questione sta tutto nella sostanza del problema, che, al di la degli aspetti giuridici, è nella adeguatezza o meno di chiunque nel proteggere i dati personali degli utenti.
E sulla sostanza la Corte di Giustiza Europea si è espressa con la sentenza Schrems II che invalida il precedente accordo con gli USA (il Privacy Shield). La giurisdizione degli USA non garantisce un livello di protezione dei dati personali conforme alla giurisdizione Europea. Praticamente non c'è da fidarsi di come gli americani proteggono i nostri dati. E se non c'è da fidarsi... Ci sarebbe da domandarsi anche se i nostri dati sono realmente al sicuro nei data center Europei o Italiani. Soprattutto ci sarebbe da domandarsi, più in generale, cosa vuol dire oggi, al tempo del "cloud", fidarsi di come i nostri fornitori di App proteggono i nostri dati che raccolgono mediante le medesime App. Ma questo è un altro discorso.
Sempre seguendo il filo del ragionamento, andando oltre il tema WhatsApp e messaggistica digitale, c'è da chiedersi se davvero abbiamo bisogno di raccogliere tutti questi dati. Alcune domande le ho poste in questo articolo
Note:
[1] https://it.wikipedia.org/wiki/Regolamento_generale_sulla_protezione_dei_dati
[2] https://www.garanteprivacy.it/temi/trasferimento-dati-estero
[3] https://www.whatsapp.com/legal/updates/privacy-policy-eea
[4] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
[5] https://www.altalex.com/documents/news/2021/04/12/condominio-e-gruppi-whatsapp-quali-implicazioni-per-privacy#p2