martedì, Marzo 19, 2024
Uncategorized

Clubhouse, dalla popolarità alle perplessità: le indagini del CNIL

  1. Introduzione. Clubhouse, il social esclusivo tra limiti e problematiche

Clubhouse è il social network che recentemente ha attirato l’attenzione di tutti, per le sue innovazioni rispetto ai social già in voga ed utilizzati dalla più parte degli utenti attivi sul web[1].

Si tratta di un social network con sole chat audio, che basa la totalità delle sue interazioni al solo utilizzo della voce degli utenti,ed è accessibile solo su invito.

È stato lanciato lo scorso anno (precisamente nell’aprile 2020), dalla società Alpha Exploration Co., con una valutazione economica, già nel primo anno di lancio, di quasi 100 milioni di dollari, valutazione che ha raggiunto già dopo pochi mesi il miliardo di dollari[2].

Dapprima estremamente esclusivo, utilizzato da volti noti del mondo dello spettacolo per lo più statunitense, in poco tempo il social network si è diffuso in tutto il mondo raggiungendo i due milioni di utenti, seppure rimanendo accessibile solo in seguito alla ricezione di un invito ad approdarvi[3].

Clubhouse è strutturato in stanze virtuali, nelle quali gli utenti presenti possono scambiarsi messaggi vocali. Quando la stanza viene chiusa i messaggi inviati si cancellano; tuttavia, i messaggi possono essere mantenuti se, durante la conversazione, vengono segnalate violazioni degli standard aziendali[4].

Ogni stanza creata ha un amministratore (admin), il cui compito è quello di moderare gli interventi degli invitati ed il loro comportamento. All’interno di ogni stanza è possibile, infatti, avere uno tra i seguenti tre ruoli: moderatori, speaker o ascoltatori. Il moderatore ha, come predetto, il compito di gestire la conversazione, invitare altri utenti o togliere la possibilità di parlare agli utenti già presenti. Lo speaker è colui che, al momento prestabilito, ha ricevuto l’abilitazione a parlare, mentre l’ascoltatore è colui che partecipa silente alla conversazione e può chiedere di essere abilitato a parlare. Le conversazioni possono avere ad oggetto gli argomenti più disparati[5], a tal punto che alcuni Stati hanno prontamente bloccato l’utilizzo del social, che consentirebbe ai cittadini un livello di libertà d’espressione su temi politici troppo vasto[6].

Pochi mesi fa, a febbraio 2021, lo Stanford Internet Observatory[7] ha rilevato alcune vulnerabilità di sicurezza informatica e parecchie incertezze legate all’effettiva protezione della privacy degli utenti, da parte dell’applicazione. È quindi partita un’inchiesta dalla quale è emerso che un’ingente quantità di dati viene trasmessa da Clubhouse ad una società cinese, tale Agora, con sede a Shangai, con il rischio non del tutto immaginario di fornire i file audio delle conversazioni degli utenti al governo cinese.

Altro problema importante segnalato riguarda l’obsolescenza delle tecniche di crittografia dell’applicazione, che permetterebbero di intercettare, registrare e trascrivere ciò che viene condiviso all’interno delle stanze di discussione[8].

Il Garante italiano della Privacy nei mesi scorsi era già intervenuto, in relazione a queste e altre problematiche, per capire come avvenissero il trattamento dei dati nella rubrica dei propri contatti e l’adeguamento delle privacy policy di Clubhouse al GDPR, inviando peraltro ad Alpha Exploration Co., proprietaria della piattaforma, una lettera al fine di ottenere un riscontro su tali questioni. In generale, il Garante ha rilevato che l’informativa privacy dell’applicazione ignora il GDPR e che le finalità con cui i dati vengono trasferiti ed il periodo in cui la piattaforma li trattiene sono poco chiari.

In risposta allo Stanford Internet Observatory, Alpha Exploration Co. ha riferito di stare rafforzando progressivamente le misure di sicurezza di Clubhouse, mediante la prevenzione di blocchi che impediscono all’app di trasmettere i dati dell’utenza ai server cinesi. Tuttavia, i problemi relativi alla privacy ed in generale alla sicurezza degli utenti non si sono fermati a febbraio 2021.

  1. L’indagine dell’Autorità garante per la privacy francese nei confronti dell’app

Il Garante italiano per la protezione dei dati personali non è stata l’unica autorità europea che, sul tema, ha progressivamente sollevato dubbi e perplessità sulle modalità di raccolta, aggregazione ed archiviazione dei dati da parte di Clubhouse.

Il mese scorso anche l’Autorità garante per la privacy di Amburgo ha sollevato preoccupazioni riguardo a Clubhouse, affermando di aver chiesto all’app per ulteriori informazioni su come protegge la riservatezza degli utenti europei e dei loro contatti[9].

Il 17 marzo 2021 la Commission nationale de l’informatique et des libertés (per brevità, CNIL), ossia l’autorità amministrativa indipendente francese, che assicura l’applicazione della legge sulla tutela dei dati personali, ha infatti annunciato l’apertura di un’indagine su Clubhouse, al fine di comprendere se il social rispetta le norme europee in tema di protezione dei dati personali. La conseguenza di un mancato rispetto di tali normative da parte dell’app comporterebbe una sanzione inevitabile. Ciò si è verificato in conseguenza di una petizione, creata in Francia da cittadini preoccupati per la sorte dei propri dati personali, che aveva raggiunto quasi 15.000 firme col fine di richiedere un intervento normativo sul punto[10].

Il CNIL ha iniziato ad indagare a seguito delle perplessità sollevate, come si è visto, dai cittadini nonché da molte importanti istituzioni, per comprendere in che modo Clubhouse disponga dei dati privati raccolti, tenendo presente che all’interno dell’Unione Europea, il social non ha alcuna entità aziendale. L’Autorità è stata chiara ed esaustiva nell’affermare che se venisse confermato che l’app non rispetta la normativa europea sulla protezione dei dati personali, il CNIL applicherà le proprie sanzioni[11].

Come si è visto, Clubhouse non ha un’entità aziendale in alcuna parte del territorio dell’Unione, ciò significa che l’app può essere esaminata da qualsiasi Autorità garante Europea per la protezione dei dati personali che riceve un reclamo o che, in ogni caso, ha le proprie preoccupazioni sulle modalità di trattamento dei dati dei cittadini europei.

Nell’UE, i casi di protezione dei dati transfrontalieri che coinvolgono i colossi tecnologici, tendenzialmente evitano questo scenario poiché il Regolamento generale sulla protezione dei dati (GDPR) include un meccanismo che convoglia i reclami tramite un supervisore principale dei dati, ovvero l’agenzia nazionale in cui ha sede l’attività nell’Unione Europea. Si tratta del principio del one-stop-shop, introdotto dall’art. 60 del GDPR, che non si può applicare al caso di specie, poiché Clubhouse non ha una sede nel territorio dell’Unione Europea. Il che, complica ulteriormente il quadro di riferimento[12].

  1. La privacy policy aziendale e gli obblighi (violati) di conformità al GDPR

Nella politica per la privacy aziendale di Clubhouse figura la frase: “Società non vende i tuoi dati personali“. Tuttavia, vengono elencati una serie di motivi per i quali tali dati possono essere condivisi con terze parti, ad esempio per “servizi pubblicitari e di marketing“.[13]

In tale contesto, i motivi di perplessità che hanno spinto diverse autorità, come si è visto, a richiedere un riscontro alla società che ha diffuso Clubhouse, possono distinguersi in alcuni essenziali punti[14], che riguardano:

  • la base legale che autorizza alcuni trattamenti dati, in particolare relativamente alla registrazione temporanea degli audio, le informazioni sui partecipanti e le loro interazioni, la profilazione a scopo pubblicitario ed il trasferimento dei dati verso gli Stati Uniti;
  • la finalità attraverso cui i dati vengono trasferiti ed il periodo di tempo in cui vengono trattenuti.

Va infatti rilevato che, seppure -come già menzionato- Clubhouse non abbia un’entità aziendale all’interno del territorio dell’Unione Europea, l’app ha comunque l’obbligo di adeguare la propria politica alla normativa europea sulla protezione dei dati personali, poiché tratta comunque dati appartenenti a cittadini europei.

Anzitutto, alla luce della privacy policy di Clubhouse, attualmente aggiornata al 15 giugno 2019, ben prima delle problematiche sollevate dalle varie Autorità garanti per la protezione dei dati personali, si evidenziano alcune violazioni dei principi cardine del GDPR: va osservato, infatti, che per accedere al servizio l’utente deve accettare unitariamente la privacy policy ed i termini generali di servizio. Una siffatta configurazione risulta in evidente contrasto con il dettato di cui all’art. 7 del Regolamento Europeo per la protezione dei dati personali, che al suo comma 2, dispone che: “Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante.”[15]

Inoltre, la privacy policy che Clubhouse, ancora oggi, dopo gli interventi delle Autorità garanti europee, sottopone all’interessato, è caratterizzata da una serie di gravi omissioni in relazione a quanto disposto dal GDPR.

L’art. 6, c.1, lett. c) del Regolamento, infatti, dispone debba essere edotto riguardo la base giuridica del trattamento dei suoi dati personali. Ebbene, Clubhouse non fornisce uno specifico riferimento alle condizioni di liceità del trattamento. Sempre in riferimento a violazioni relative all’art. 6 del GDPR, altra essenziale omissione all’interno dell’informativa, riguarda la profilazione: nonostante, infatti, Clubhouse effettui concretamente un trattamento aggregato dei dati personali dei propri utenti, non viene a tal proposito richiesto alcun consenso espresso e specifico agli interessati. [16]

Peraltro, manca ogni riferimento alle idonee garanzie di cui all’art. 13, c.1, lett. f) del GDPR (che statuisce che “ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili”). Tali garanzie, ove applicabile, sono da fornire agli interessati qualora, come in questo caso, i dati personali vengano trasferiti presso server statunitensi[17].

Anche nell’ottica del post-Schrems II, ossia dal momento che la Corte di Giustizia dell’Unione Europea ha invalidato, con sentenza, il Privacy Shield, rendendo più complesso il trasferimento transfrontaliero di dati tra Europa e Stati Uniti, l’assetto della materia diventa ancora più delicato e meritevole d’attenzione, anche e soprattutto nelle privacy policy aziendali[18].

Ai sensi dell’art. 27 del GDPR, manca inoltre la designazione di un rappresentante all’interno del territorio europeo. La gravità della violazione viene risaltata dal fatto che Clubhouse tratta su larga scala ed in modo continuativo dati dei cittadini europei, specialmente negli ultimi mesi, nei quali l’applicazione è risultata essere una delle più scaricate all’interno del territorio dell’Unione[19].

Peraltro, le indicazioni della piattaforma in materia di responsabilità per violazione o perdita dei dati vanno in direzione completamente opposta a quanto previsto dall’art. 5, c. 2 del GDPR, che sancisce il cd. principio di accountability[20]. I gestori del software, in particolare, escludono ogn tipo di responsabilità a proprio carico in relazione ad eventuali data breach, esplicitando che l’utente utilizza il servizio “a proprio rischio”.

È evidente, alla luce dei predetti rilevamenti, che senza la predisposizione di un adeguato impianto privacy, anche i progetti apparentemente più efficaci ed innovativi si scontrano con rilevanti ostacoli nella propria espansione sul mercato.

[1] T. Lorenz, Clubhouse Makes Way for Influencers, in The New York Times, 23 dicembre 2020, reperibile al sito: https://web.archive.org/web/20210105054933/https://www.nytimes.com/2020/12/23/style/clubhouse-app-influencers.html. Per approfondire si veda G. Calimà, La privacy su Clubhouse è in pericolo? In Ius In Itinere, 8 marzo 2021, reperibile al sito: https://www.iusinitinere.it/la-privacy-su-clubhouse-e-in-pericolo-36192.

[2] Dato aggiornato al 21 gennaio 2021. Sul punto: A. Levy, S. Rodriguez, Silicon Valley is going crazy for Clubhouse, a social media app with 1,500 users that’s already worth $100 million, in CNBC, 20 maggio 2020, reperibile al sito: https://www.cnbc.com/2020/05/20/clubhouse-app-is-where-mc-hammer-and-jared-leto-chat-with-vcs.html.

[3] E. Griffith, T. Lorenz, The Hot New Thing in Clubby Silicon Valley? An App Called Clubhouse, in The New York Times, 19 maggio 2020, reperibile al sito: https://web.archive.org/web/20210108011523/https://www.nytimes.com/2020/05/19/technology/clubby-silicon-valley-app-clubhouse.html.

[4] V. Berra, Clubhouse, l’app (solo per iPhone) che conferma l’ingresso nell’era delle live sui social, in OpenOnline, 1 Febbraio 2021, reperibile al sito:  https://www.open.online/2021/02/01/cosa-e-clubhouse/#:~:text=Clubhouse%20funziona%20attraverso%20le%20Room,o%20delle%20persone%20che%20seguiamo.

[5] R. Touma, Clubhouse app: what is it and how do you get an invite to the audio app Elon Musk uses?, in The Guardian, 15 Febbraio 2021 reperibile al sito: https://www.theguardian.com/technology/2021/feb/17/clubhouse-app-invite-what-is-it-how-to-get-audio-chat-elon-musk.

[6] In Cina si è usato Clubhouse per aggirare la censura, finché è durata, in Il Post, 8 febbraio 2021, reperibile al sito: https://www.ilpost.it/2021/02/08/clubhouse-cina/.

[7] E. Cryst, Clubhouse in China: Is the data safe?, in Stanford Internet Observatory, 12 Febbraio 2021, reperibile al sito: https://cyber.fsi.stanford.edu/io/news/clubhouse-china.

[8] ANSA, Clubhouse: dubbi su privacy e dati a società cinese, reperibile al sito: https://www.ansa.it/sito/notizie/tecnologia/internet_social/2021/02/15/clubhouse-dubbi-su-privacy-e-su-dati-a-societa-cinese_a652e156-6dff-4746-b43b-a63108673a6d.html.

[9] K. Matussek, German Regulator voices privacy concerns over Clubhouse App, in Bloomerg Law, 2 febbraio 2021, reperibile al sito: https://news.bloomberglaw.com/privacy-and-data-security/german-regulator-voices-privacy-concerns-over-clubhouse-app.

[10] Cfr. https://actions.sumofus.org/a/clubhouse-cette-application-qui-sait-tout-de-vous.

[11] CNIL, La CNIL ouvre une enquête sur l’application Clubhouse, 17 marzo 2021, reperibile al sito: https://www.cnil.fr/fr/la-cnil-ouvre-une-enquete-sur-lapplication-clubhouse.

[12] N. Lomas, Frances’s privacy watchdog probes Clubhouse after complaint and petition, in TechCrunch, 17 marzo 2021, reperibile al sito: https://techcrunch.com/2021/03/17/frances-privacy-watchdog-probes-clubhouse-after-complaint-and-petition/

[13] Cfr. Privacy Policy in .

[14] V. Berra, Clubhouse e i dubbi sulla privacy. Il Garante italiano chiede chiarimenti: “Vogliamo capire cosa non stanno dicendo”, in OpenOnline, 8 febbraio 2021, reperibile al sito: https://www.open.online/2021/02/08/clubhouse-e-i-dubbi-sulla-privacy/.

[15] Cfr. Art. 7 GDPR, reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento.

[16] Cfr. Art. 6 GDPR, reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento.

[17] Cfr. Art. 13 CGPR, reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento.

[18] D. Irmici, Social Network e Privacy: il caso Clubhouse, in SAPGLEGAL, 22 febbraio 2021, reperibile al sito:  https://sapglegal.com/it/2021/02/22/social-network-e-privacy-il-caso-clubhouse/.

[19] Cfr. Art. 27 GDPR, reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento.

[20] Cfr. Art. 5 GDPR, reperibile al sito: https://www.garanteprivacy.it/il-testo-del-regolamento.

Francesca Bucci

Praticante avvocato presso l'Istituto Nazionale della Previdenza Sociale; appassionata di diritto e nuove tecnologie, in particolare delle problematiche giuridiche sollevate dall'utilizzo di algoritmi nell'ottica della prevenzione e repressione dei reati, collabora con l'area IP & IT.

Lascia un commento