Whatsapp, scambio dati illecito con Facebook: rischia sanzione privacy da 50 milioni
Whatsapp è nel mirino del Garante privacy irlandese, che sarebbe pronto a dare una severa sanzione per irregolarità in relazione all’informativa agli utenti e alla poca trasparenza nel trasferimento dei dati tra l’app di messaggistica e Facebook. Anche il garante privacy Italiano è intervenuto in proposito.
Irregolarità nell’informativa rivolta agli utenti e la sua trasparenza, con riferimento alla condivisione dati fra Whatsapp e Facebook: per questi motivi, il Garante privacy irlandese sarebbe pronto a comminare all’app di messaggistica istantanea una sanzione da 50 milioni di euro, a quanto riferisce il giornale d’inchiesta Politico.
L’indagine del Garante irlandese va avanti da tempo, infatti sei mesi fa aveva chiesto a Facebook di far pervenire le sue osservazioni, anche perché appesantita dal meccanismo del cosiddetto One-Stop-Shop (Vedi più sotto che cos’è) per cui il Garante presso il cui Paese l’azienda indagata ha stabilito la sua sede principale coordina le altre autorità coinvolte nell’ipotesi in cui gli interessati di differenti stati siano coinvolti nella violazione. Ora a quanto pare il Garante irlandese è però ora alle fasi finali della procedura e ha sottoposto il provvedimento finale, per osservazioni, alle altre autorità garanti coinvolte.
Whatsapp, perché il Garante irlandese sta indagando
Mentre nel resto del mondo Facebook condivide i dati degli utenti Whatsapp con Facebook anche per finalità marketing e di profilazione (sebbene non intenda – per ora – veicolare pubblicità direttamente sull’applicazione) in Europa ciò, secondo l’informativa, non accade (salvo per scopi tecnici e di sicurezza). Resta da vedere (e questo sarà verosimilmente l’oggetto del provvedimento del Garante irlandese):
- se davvero Whatsapp condivide con Facebook dati solo per scopi tecnici e di sicurezza;
- se il trattamento di questi dati è o meno legittimo;
- se di questo trattamento gli utenti sono correttamente edotti nell’informativa.
Riguardo alla cifra della sanzione, se guardiamo al fatturato mondiale totale annuo dell’esercizio 2019 di Facebook (dato che sarà preso a riferimento dal Garante per la comminazione della sanzione (salvo non siano disponibili i dati del 2020) pari a 70,697 miliardi di dollari, ci accorgiamo che la misura della sanzione ipotizzata non si avvicina nemmeno al limite del 4% del fatturato annuo globale previsto dall’art. 83 GDPR (il limite massimo di sanzione è pari a oltre un miliardo di euro). Nel frattempo, Facebook (o meglio Whatsapp Ireland) ha accantonato (come emerso nel novembre scorso) ben 77,5 milioni di euro per coprire i costi di un’eventuale sanzione da parte della DPC irlandese.
Il precedente: Google, Amazon e le sanzioni della Cnil (Commission nationale de linformatique et des libertés – autorità amministrativa indipendente francese – ha il compito di garantire l’applicazione della legge sulla protezione dei dati personali)
La sanzione del Garante irlandese, anche se le notizie di stampa dovessero trovare conferma, non raggiungerebbe comunque i livelli di quella comminata dal Garante Francese a Google, che ammonta a ben 100 milioni di Euro. La CNIL nel dicembre scorso ha infatti inflitto sanzioni a Google e ad Amazon (quest’ultima per 35 milioni di euro) per l’illecito trattamento dati effettuato attraverso i cookie. In particolare accedendo al sito google.fr il Garante francese (che nel caso non ha fatto ricorso al meccanismo dello “sportello unico” previsto dal Regolamento 679/2016, che avrebbe portato la competenza ancora una volta a Dublino) ha verificato che immediatamente vengono scaricati sul computer dell’utente una serie di cookie (anche di profilazione e marketing), senza che vi fosse la possibilità di opporsi al trattamento e prima ancora che l’utente potesse esercitare le proprie preferenze attraverso il banner cookie.
L’iniziativa del Garante privacy italiano
Come nel caso del “ban” a TikTok il Garante privacy nostrano è invece intervenuto assecondando il sentimento popolare contro Whatsapp, reagendo avverso l’aggiornamento dell’informativa privacy proposto dal servizio di messaggistica (e quindi cavalcando l’ondata di sospetto che ha accolto queste modifiche) e lamentando in un comunicato del 14 gennaio scorso la scarsa chiarezza dell’informativa aggiornata (rilievo, questo, ineccepibile, sebbene valido anche per la precedente versione dell’informativa) e minacciando interventi d’urgenza (ipotesi, questa, che sembra esagerata se solo si pensa che l’informativa di Whatsapp, prima e dopo l’aggiornamento, risulta perfettamente in linea con tutte quelle dei vari servizi di messaggistica concorrenti e comunque di numerosissimi altri servizi web basati negli USA).
La sanzione per il data breach di Twitter
Fine modulo
Anche Twitter ha subìto una sanzione di 450.000 euro dal Garante irlandese per un data breach avvenuto ancora nel 2019 e che ha compromesso dati di account di cittadini europei. Il Data Protection Commissioner irlandese ha ritenuto (con un provvedimento del 15 dicembre scorso) che il social network non abbia reagito tempestivamente ad un data breach (un bug che rendeva visibili i tweet privati degli utenti) scoperto nel gennaio 2019, comunicando oltre le 72 ore previste dal GDPR la violazione e non documentandola adeguatamente.
Anche nel caso di Twitter, come verosimilmente accadrà quando verrà comminata la sanzione a Whatsapp/Facebook, si sono levate critiche sia sulla eccessiva “clemenza” del Garante irlandese con le grandi compagnie USA (il Garante voleva infatti ridurre la sanzione a Twitter) sia sull’inefficienza del meccanismo dello “sportello unico” (One-Stop-Shop) che ha di molto rallentato l’accertamento, specie perché in moltissimi casi sovraccarica di lavoro il sottodimensionato Garante irlandese.
One stop shop (sportello unico)
Il nuovo Regolamento europeo per la protezione dei dati personali introduce il principio dello sportello unico (one stop shop).
Poiché l’obiettivo del regolamento europeo è quello di armonizzare le norme e l’applicazione di tali norme nel territorio dell’Unione, tale principio stabilisce che le imprese, e in genere i titolari del trattamento, avranno a che fare con una sola Autorità di controllo, cioè quella del paese dove hanno la sede principale, piuttosto che con le autorità di 28 Stati europei. Ciò che decide l’autorità di controllo nazionale (es. le norme vincolanti di impresa) trova applicazione anche negli altri paesi dell’Unione.
Questo
principio, fortemente auspicato dalle imprese, porta alla
semplificazione delle procedure e dovrebbe garantire una maggiore
coerenza delle decisioni. Di contro consente
all’azienda di scegliersi l’Autorità di vigilanza con
la quale avrà a che fare, potendo ovviamente decidere dove stabilire
la sede nell’ambito del territorio dell’Unione. Sono, però, nate
vibranti polemiche, in quanto tale principio comporta maggiori
difficoltà per i cittadini, i cui reclami dovranno essere
indirizzati all’Autorità del paese dove ha sede l’azienda, che
potrebbe anche essere differente dal paese di residenza del cittadino
che ritiene di aver subito un torto. Quindi i
cittadini potrebbero incontrare difficoltà dovute alla distanza (e
alla differenza di lingua) per
far valere i propri diritti.
Inoltre,
tale principio si pone anche in contrapposizione
con i principi alla base della normativa posta a tutela dei
consumatori,
che radica la competenza di un Giudice presso la residenza del
consumatore medesimo. Tutto ciò finisce per alimentare l’idea di
un’Europa burocratica e lontana dai cittadini. Per questo motivo il
principio è stato temperato.