Sanzioni Garante: maxi multa per il social Clubhouse

Al momento stai visualizzando Sanzioni Garante: maxi multa per il social Clubhouse

Sanzioni Garante: ennesima maxi multa per un social. Il Garante privacy ha sanzionato il social vocale ClubHouse per 2 milioni di euro.

ClubHouse, il social basato sulle chat vocali

ClubHouse è una piattaforma social che ha avuto il suo boom nel 2021. Ha una particolarità, rispetto a tutti gli altri social: si basa cioè su un sistema di stanze che permettere agli utenti di contattarsi solo tramite messaggi vocali audio. Nel 2021 contava circa 16 milioni di utenti nel mondo, 90.000 circa in Italia. Il 2021 è anche l’anno in cui il Garante privacy ha iniziato la propria attività di accertamento su ClubHouse.

Che questo social avrebbe messo a dura prova i regolamenti privacy e protezione dati era comunque nell’aria. Infatti il garante ha deciso di aprire l’istruttoria sul social alla luce del fatto che, almeno nel 2021, ClubHouse non sembrava rispetare alcuna normativa privacy. Non il GDPR, non quella americana, ma la sola legge nazionale californiana in tema. Spiccavano, tra i problemi:

  • la totale mancanza di una verifica sull’età degli utenti;
  • la conservazione delle chat vocali senza limite di conservazione;
  • totale assenza di responsabilità del social sul modo con cui gli utenti utilizzano la piattaforma.

Per approfondire > Non solo TikTok: la nuova sfida della privacy è ClubHouse

Il Garante avvia l’istruttoria su ClubHouse

Il Garante ha quindi avviato l’istruttoria, a protezione degli utenti italiani, nel 2021. Inizialmente l’Autorità si è mossa a seguito degli articoli usciti sulla stampa nazionale e internazionale, ma nel Febbraio 2021 ha anche ricevuto una segnalazione che contestava a ClubHouse:

  • criticità di sicurezza;
  • impossibilità di esercizio dei diritti degli interessati;
  • mancanza di un rappresentante per l’Unione Europea;
  • attività di profilazione incontrollata;
  • conservazione dati personali senza limiti.

Così il Garante ha richiesto informazioni alla società Alpha Exploration, sede in California, e proprietaria si ClubHouse.

Per saperne di più > Garante: spegnete il microfono dei telefoni! Come evitare ascolti indiscreti


La difesa di ClubHouse: “non siamo soggetti al GDPR”

La società ha risposto affermando che:

  • l’Italia non ha giurisdizione per attivare l’istruttoria. Le attività del social, inoltre, non rientrerebbero nella sfera di applicazione del GDPR in quanto l’azienda non aveva avuto, almeno inizialmente, alcuna intenzione ad offrire il servizio in Unione Europea;
  • la mancanza di una serie di informazioni obbligatorie (previste dall’art 13 GDPR) nell’informativa privacy deriva dal fatto che inizialmente l’app era pensata per utenti statunitensi. Una volta allargato il mercato all’UE l’azienda avrebbe provveduto a rivedere le informative alla luce delle previsioni del GDRP;
  • le basi giuridiche del trattamento non sono state valutate, almeno non secondo le previsioni del GDPR visto che l’azienda ritiene di non essere soggetta al GDPR. In ogni caso ha dato mandato ad uno studio legale per valutare le basi giuridiche del trattamento. Basi giuridiche che, per il consulente legale di Alpha Exploration, sono da riscontrarsi in legittimo interesse del titolare e l’esecuzione del contratto;
  • le finalità del trattamento dati sono l’esecuzione del contratto, la risoluzione di incidenti (bullismo, molestie ecc…) e il miglioramento del servizio;
  • i dati audio non sono trattati biometricamente;
  • gli account di soggetti minorenni vengono sospesi in attesa dell’implementazione di misure di verifica dell’eta.

L’esito dell’Istruttoria – sanzione per ClubHouse: viola più disposizioni del GDPR.

L’autorità non ha ritenuto valida la difesa della società. Ha riscontrato invece

  • scarsa trasparenza sul trattamento dei dati degli utenti e dei loro amici;
  • la possibilità per gli utenti di conservare audio senza il consenso della persona registrata;
  • profilazione e condivisione dei dati con terzi senza valida base giuridica;
  • tempi di conservazione indefiniti;
  • dal Gennaio 2022 la piattaforma conserva e registra parte delle conversazioni e le condivide anche con terze parti.

Per approfondire > Riconoscimento vocale sempre più diffuso, sempre più centrale per il nuovo marketing. E riservatezza e privacy?

Di conseguenza ha optato per la sanzione contro ClubHouse. Ha condannato l’azienda al pagamento di una sanzione di 2 milioni di euro e ad adottare una serie di misure aggiuntive, tra le quali:

  • integrare l’informativa, specificando la base giuridica di ogni finalità del trattamento, i limiti della conservazione dei dati, i riferimenti del rappresentante designato per l’UE;
  • prevedere una funzionalità che informi gli utenti, prima dell’ingresso in una stanza di conversazione, della possibilità che la chat venga registrata;
  • implementare un meccanismo che infromi gli utenti sull’uso che l’azienda farà dei dati personali;
  • effettuare la valutazione d’impatto sul trattamento dati effettuato tramite la piattaforma.

Il provvedimento completo è disponibile qui