Il passagio dei dati tra social viola la privacy
Home » News » Focus

Il passaggio tra WhatsApp e Facebook dei dati degli utenti non rispetta le norme privacy

Pier Paolo Muià Referente per le sezioni dedicate a privacy, IP e internet law , responsabilità medica e civile, e condominio

Versione PDF del documento

Garante per la protezione dei dati personali: provvedimento n.462 del 4 ottobre 2018

Riferimenti normativi: 11, 13, 23, 24 del Codice in materia di protezione dei dati; art 6, par 1, lettera da b) a f) e 60 del GDPR.

Fatto

A seguito di un’operazione di acquisizione da parte di una Società operante nel campo dei social network (Facebook) di un’applicazione di messaggistica (WhatsApp), l’Autorità garante per la protezione dei dati personali aveva avviato un’istruttoria nei confronti di entrambe Società per determinare la correttezza del trattamento dei dati posto in essere in fase di acquisizione.

Infatti, a seguito dell’avvenuto passaggio di proprietà, l’applicazione di messaggistica aveva apportato delle modifiche in ordine ai termini e all’informativa sulla privacy dei propri servizi, finalizzate a rendere accessibili alla nuova Società proprietaria dell’app una serie di informazioni concernenti i singoli account degli utenti. Il nuovo trattamento di cui si richiedeva il consenso avrebbe avuto quale finalità quella di (i) Business Analysis Analytics (attività di de-duplicazione degli account sulle varie app appartenenti al nuovo gruppo facente capo alla Società gestrice del social network allo scopo di individuare gli utenti attivi su di esse, attività di analisi della frequenza e delle caratteristiche di utilizzo delle applicazioni condotta su base anonima e aggregata); (ii) System Security Purpose (sicurezza e antispam che permetteva all’app di messaggistica di condividere e ricevere informazioni relative ad account abusivi, pericolosi o illeciti che fossero attivi nelle società del gruppo societario); (iii) Targeted Advertising Purpose (utilizzo dei dati degli utenti dell’app per promuovere prodotti e inserzioni pubblicitarie sul social network).
Proprio in riferimento a quest’ultima finalità – promozione prodotti e inserzioni pubblicitarie – WhatsApp aveva richiesto ai propri utenti di manifestare la propria adesione alla comunicazione dei dati a Facebook entro 30 giorni, specificando, altresì, che l’eventuale diniego avrebbe comportato l’interruzione del servizio di messaggistica.

A fronte delle modifiche apportate ai termini ed all’informativa sulla privacy l’app aveva messo a disposizione degli utenti due opzioni per manifestare il proprio consenso, la prima opzione era rappresentata da un apposito campo contenente l’indicazione “accetto”, la seconda era rappresentata da un link “leggi”. Questo link consentiva di accedere ad una schermata denominata “aggiornamenti chiave” dove l’utente poteva consultare il documento relativo all’informativa privacy. In questa schermata risultava essere già preselezionata l’opzione che permetteva di condividere le informazioni del proprio account di messaggistica, fatta eccezione del numero di cellulare e delle chat, con il social network.

Nel corso dell’istruttoria operata dal Garante entrambe le Società avevano fornito delucidazioni, e la Società di messaggistica aveva fornito delle precisazioni in ordine alla categoria di dati che sarebbero stati forniti alla nuova Società proprietaria, tra cui il numero telefonico dell’utente, codici di rete e nazionalità del dispositivo, informazioni sulla piattaforma, la versione dell’applicazione utilizzata e flags per permettere il rilevamento dell’accettazione dell’aggiornamento e delle scelte di controllo fatte, le informazioni sull’ultimo accesso dell’utente, la data di registrazione dell’account sull’app di messaggistica.

La decisione del Garante

Al termine dell’istruttoria il Garante si è espresso negativamente sul trattamento dei dati personali operato dalle Società, ritenendo lo stesso illecito perché posto in violazione della normativa in materia di privacy.

Il Garante in primo luogo si è soffermato ad analizzare l’informativa data agli utenti e relativa alla comunicazione dei dati forniti a terzi (la Società acquirente infatti appare come terzo, essendo entrambe autonomamente titolari dei dati). L’informativa, secondo il giudizio del Garante, era priva degli elementi essenziali e tassativi previsti dal codice privacy. In particolare non veniva fornito all’interessato l’elemento sostanziale che aveva reso necessario modificare le informazioni agli interessati, vale a dire la condivisione con Facebook dei dati relativi all’account di WhatsApp, ma si limitava a comunicare un generico cambiamento della c.d privacy notice. Non venivano, poi, indicate in modo preciso e chiaro né i dati oggetto di trattamento né le finalità dello stesso, in particolare quelle di carattere pubblicitario.

Anche con riguardo al consenso il Garante si è espresso negativamente, rilevando che questo non poteva considerarsi espressamente, specificatamente e liberamente manifestato. Questo perchè veniva richiesto attraverso un modello con casella già fleggata, sia perché il mancato consenso aveva come conseguenza l’interruzione di un servizio ormai divenuto di generale utilizzo.

In ultimo il Garante si è espresso in ordine al legittimo interesse, chiamato in causa dalle due Società in fase di istruttoria, le quali avevano sostenuto che non era necessario ottenere un consenso specifico da parte degli utenti potendosi fondare su basi giuridiche alternative, come, appunto, gli interessi legittimi. Sul punto il Garante ha negato che nel caso di specie fosse configurabile il legittimo interesse, in quanto non solo non era stata avviata la procedura di bilanciamento degli interessi coinvolti a cura dell’Autorità stessa, ma non erano stati comunque forniti idonei elementi di valutazione per poter verificare se il trattamento perseguisse effettivamente il legittimo interesse dichiarato, come la sicurezza, o se fosse necessario per la realizzazione dell’interesse, cioè contribuisse alla sua realizzazione, meglio di altre possibili soluzioni meno invasive, o se tale trattamento, oltre ad essere idoneo e necessario, fosse finalizzato alla produzione di un beneficio nella realizzazione del legittimo interesse la cui importanza sia superiore allo svantaggio arrecato agli interessati.

In ordine a quest’ultimo aspetto analizzato il Garante si è poi riservato di valutare insieme all’Autorità di controllo capofila (art 60 e ss. del GDPR) la corretta applicazione della disciplina laddove la Società di messaggistica intendesse effettuare i trattamenti dei dati a prescindere dal consenso, invocando le diverse basi giuridiche in alternativa al consenso a norma del nuovo GDPR.

Volume consigliato

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)

Stefano Comellini, 2018, Maggioli Editore

L’opera è un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in consi- derazione degli adempimenti che imprese e soggetti pubblici devono...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it