venerdì, Marzo 29, 2024
Uncategorized

La privacy su Clubhouse è in pericolo?

Quello dei social network è un mondo estremamente competitivo e dunque in continua evoluzione, numerose sono infatti le innovazioni che periodicamente cambiano il volto delle piattaforme esistenti e altrettanto numerosi sono i tentativi di realizzarne di nuove. In questo senso merita una menzione speciale Clubhouse, il nuovo social sviluppato dall’azienda statunitense Alpha Exploration, che ha saputo sfruttare la dilagante ascesa delle live, dovuta soprattutto alla pandemia da Covid-19, per emergere come fenomeno di massa. La novità di questa piattaforma, lanciata nell’aprile 2020 e per ora disponibile solo per gli utenti Apple, è, oltre al fatto che vi si può accedere solo per inviti, la totale assenza di contenuti scritti ovvero di natura visiva, niente post tradizionalmente intesi dunque. Il suo funzionamento si basa infatti sulle room, vale a dire chat vocali, gestite da uno o più moderatori, alle quali si può partecipare passivamente in qualità di ascoltatori e nelle quali si può eventualmente, altresì, prendere la parola. In altri termini, è possibile dare vita e partecipare a veri e propri dibattiti orali. Oltre che per la crescita, sia in termini di utenti che di valore economico[1], l’app è salita alla ribalta anche per i dubbi relativi alla tutela della privacy, tanto da indurre il Garante italiano ad inviare allo sviluppatore una lettera di chiarimenti in relazione ai punti più controversi in merito al trattamento dei dati personali[2].

L’Autorità ha fatto presente in primo luogo la totale assenza di una valida base giuridica giustificativa del trattamento mancando, all’interno dell’informativa privacy[3], che contempla esclusivamente i diritti degli utenti garantiti dalla legislazione californiana[4], ogni riferimento al GDPR. Al riguardo l’articolo 3 paragrafo 2 del Regolamento europeo stabilisce a chiare lettere che le norme in esso contenute si applicano a tutti gli interessati stabiliti in territorio europeo anche quando il titolare del trattamento non è stabilito nell’Unione[5]. Tra l’altro, per casi di questo tipo, l’articolo 27 del Regolamento dispone che “il titolare del trattamento o il responsabile del trattamento designa per iscritto un rappresentante nell’Unione”, ma in relazione a Clubhouse non sembra esistere al momento una figura di questo tipo.

In secondo luogo, l’Autorità ha messo nel mirino la poca trasparenza relativa ai trattamenti di determinati dati, su tutti le registrazioni delle chat vocali. L’informativa privacy prevede infatti che il titolare del trattamento registri temporaneamente l’audio delle room mentre queste sono in diretta allo scopo di utilizzare i file ricavati nell’ambito di eventuali indagini relative alla violazione delle condizioni di utilizzo del social, per poi cancellarli soltanto una volta raggiunte le finalità preposte, o alla fine della live se non sono emerse violazioni nel corso della stessa. Dalla privacy policy, tuttavia, nulla emerge in relazione alla durata delle indagini, con la conseguenza che la conservazione dei dati suddetti può avere una durata concretamente indefinita in palese violazione del GDPR che sul punto dispone in maniera cristallina che gli interessati devono essere resi edotti del periodo di conservazione ovvero, qualora ciò non fosse possibile, dei criteri individuati per determinare tale periodo.

Un altro aspetto controverso consiste nella possibilità per l’app di accedere alla rubrica dei contatti degli utenti, una condizione necessaria visto il funzionamento ad inviti di Clubhouse. In questo modo tuttavia si darebbe modo al titolare del trattamento di acquisire informazioni di soggetti diversi dagli utenti (cioè i contatti telefonici) che mai altrimenti ci entrerebbero in contatto[6].

Non mancano poi dubbi, sui quali l’Autorità vuole vederci chiaro, relativi al trasferimento dei dati personali degli utenti europei verso l’“estero”, l’informativa si limita infatti a prevedere che, all’atto dell’iscrizione, l’utente comprende e riconosce che i suoi dati saranno trasferiti verso i server dislocati negli Stati Uniti. Si tratta questa, tuttavia, di una fattispecie assai delicata, che impone ai fornitori di servizi una maggiore chiarezza, soprattutto se si considera che il cosiddetto Privacy Shield, ossia l’accordo tra Unione Europea e States che attribuisce alle aziende americane obblighi più stringenti in relazione alla tutela dei dati personali degli europei è stato invalidato nel 2020, in quanto giudicato inadeguato, dalla Corte di Giustizia dell’UE per il tramite dell’ormai celeberrima sentenza “Schrems II”[7].

Infine, l’autorità desidera chiarimenti sui metodi di profilazione a scopo commerciale utilizzati dal social ma soprattutto sulle procedure adottate al fine di rendere effettivo il divieto di utilizzo nei confronti dei minori, sulla scia di quanto richiesto a TikTok[8].

Come se non bastasse l’app sembra essere caratterizzata da notevoli falle nella sicurezza, che inevitabilmente mettono a repentaglio i dati, come visto, già troppo poco protetti degli utenti. Come dimostrato da uno studio dello Stanford Internet Observatory il social vocale si servirebbe della collaborazione di un’azienda cinese avente sede a Shangai, “Agora”, la quale fornirebbe all’app in questione l’intera struttura di back-end, ossia quella parte del social non visibile all’utente e che permette all’interfaccia (ossia la struttura di front-end, visibile all’utente) di funzionare. Qualsiasi azione degli utenti genera dunque un traffico verso l’esterno, che secondo il SIO sarebbe diretto appunto in Cina sottoforma di metadati non crittografati. Ciò significa che qualsiasi parte terza potrebbe essere in grado di intercettare tali dati e dunque giungere a conoscenza di informazioni delicate, quali l’identità degli utenti e addirittura gli audio delle chat vocali. E non è escluso che tale soggetto terzo possa essere rappresentato dal governo della Repubblica Popolare, che invero potrebbe ottenere le informazioni che ritiene più opportune in maniera del tutto legale, semplicemente obbligando Agora a fornirgliele per ragioni di sicurezza nazionale, una fattispecie contemplata infatti dalle leggi locali. E non è escluso che questo sia effettivamente successo, quantomeno in relazione a quei pochi utenti cinesi che hanno avuto la breve possibilità di sperimentare l’utilizzo dell’app[9].

Nonostante le smentite di rito e le rassicurazioni circa la sicurezza, si è successivamente giunti a conoscenza di un possibile data breach. Un non meglio identificato utente del social, successivamente bannato, sarebbe infatti stato in grado di trasferire audio da più room di Clubhouse, alle quali partecipava, verso un sito esterno, e quindi condividerli in tutto il globo[10]. Invero, l’utente bannato è stato in grado di ricondividere gli audio non per mezzo di falle nella sicurezza interna al social quanto per averne violato le condizioni di utilizzo, che vietano infatti di registrare o ottenere, ed eventualmente divulgare, in qualunque modo le conversazioni. Pur non essendosi trattato dunque di un vero e proprio data breach i timori sulla sicurezza rimangono tuttavia intatti dando adito a dubbi non indifferenti che meritano risposte immediate. Al riguardo, la lettera di chiarimenti del Garante è stata inviata agli sviluppatori nei primi giorni di febbraio, per cui sono certamente attesi, di qui a breve, nuovi interessanti sviluppi sulla vicenda.

[1] Caffo A., Come funziona Clubhouse, la piattaforma solo vocale, www.ansa.it, https://www.ansa.it/sito/notizie/tecnologia/internet_social/2021/01/28/come-funziona-clubhouse-il-social-network-del-momento_0e48f78a-2b9e-49eb-96a2-ad109481d40c.html, 5 febbraio 2021.

[2] Longo A., Il Garante per la privacy scrive a Clubhouse: “Il trattamento dati non segue le regole europee”, www.repubblica.it, https://www.repubblica.it/cronaca/2021/02/08/news/clubhouse_il_garante_per_la_privacy_troppe_violazioni_delle_regole_italiane_e_europee_-286611050/.

[3] Informativa sulla Privacy di Clubhouse, consultabile qui: https://www.notion.so/Privacy-Policy-cd4b415950204a46819478b31f6ce14f.

[4] California Consumer Privacy Act, consultabile qui: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5.

[5] È proprio il caso dell’app di cui ci si occupa, il cui sviluppatore per il momento non ha sede in territorio comunitario.

[6] Comunicato stampa dell’Authority per la protezione dei dati personali della Città di Amburgo, consultabile qui: https://datenschutz-hamburg.de/assets/pdf/2021-02-02-press-release-clubhouse.pdf.

[7] Per approfondire, Fragalà G., Schrems II: il Privacy Shield UE-USA non è adeguato, 2020, disponibile qui: https://www.iusinitinere.it/schrems-ii-il-privacy-shield-ue-usa-non-e-adeguato-29649, e Valeriani A., Post Schrems II: le indicazioni dell’EDPS e dell’EDPB, 2020, disponibile qui: https://www.iusinitinere.it/post-schrems-ii-le-indicazioni-delledps-e-delledpb-32310.

[8] Clubhouse, diversamente dagli altri social, fissa come età minima addirittura i 18 anni. Per approfondire la questione TikTok, Fragalà G., TikTok: il Garante Privacy limita l’utilizzo del social, 2021, disponibile qui: https://www.iusinitinere.it/tik-tok-il-garante-privacy-limita-lutilizzo-del-social-34936.

[9] Poco dopo il lancio (non ufficiale) l’app è stata infatti bandita dal territorio cinese a causa dell’eccessiva libertà di parola che, secondo le autorità locali, veniva concessa agli utenti, alcuni dei quali si è scoperto essere stati protagonisti o comunque aver partecipato a dibatitti aventi come oggetto tematiche invise a Pechino (su tutte, la questione di Hong Kong e la situazione della minoranza degli Uiguri nella provincia dello Xinjang), Santelli F., Clubhouse, una parentesi di libertà in Cina prima del blocco, www.repubblica.it, https://www.repubblica.it/esteri/2021/02/08/news/cina_clubhouse_social_censura-286651406/, 2021.

[10] Tarabay J., Mehrotra K., Clubhouse Chats Are Breached, Raising Concerns Over Security, www.bloomberg.com, https://www.bloomberg.com/news/articles/2021-02-22/clubhouse-chats-are-breached-raising-concerns-over-security, 3 marzo 2021.

Gennaro Calimà

Nato a Castrovillari, in provincia di Cosenza, il 9 giugno 1994. Dopo aver conseguito la maturità scientifica si iscrive al corso di laurea in Giurisprudenza dell'Università della Calabria presso la quale consegue nel 2020 il titolo di dottore magistrale discutendo una tesi in Diritto processuale penale dal titolo "Le nuove frontiere delle neuroscienze nel processo penale". Dallo stesso anno, oltre ad aver intrapreso la pratica legale, ha iniziato a collaborare con Ius in itinere per l'area "IP & IT".

Lascia un commento