Il caso Whatsapp: una riflessione sui rapporti U.S.A. – U.E. in materia di privacy

Logo Whatsapp con sfondo verde

All’inizio dell’anno fece estremo scalpore la presentazione da parte di Whatsapp di una nuova informativa privacy e di nuovi termini di servizio, in vigore a partire dal gennaio 2021; a circa due mesi di distanza, e nelle more della pronuncia dell’E.D.P.B., in questo articolo si farà un riepilogo della vicenda, evidenziandone gli aspetti problematici anche tramite un’analisi delle differenze tuttora esistenti tra la gestione della privacy negli Stati Uniti e all’interno dell’Unione Europea.

La Vicenda

Il giorno 4 gennaio 2021 sul sito di Whatsapp compariva un banner che annunciava l’aggiornamento dei termini di servizio e dell’informativa privacy, invitando a visitare una diversa pagina per maggiori informazioni; il link in questione rimandava ad una schermata con ulteriori quattro collegamenti:

  • Aggiornamenti chiave: forniva una breve panoramica dei punti salienti dell’iniziativa;
  • Termini di servizio
  • Informativa Privacy
  • Codice Europeo delle comunicazioni elettroniche

Termini di Servizio e Informativa Privacy avevano contenuto diverso a seconda che l’utente risiedesse o meno nella “Regione Europea”: queste differenze riguardavano, tra le altre, l’età minima per l’iscrizione (più alta all’interno dell’Unione) e in particolare la parte sulle attività globali di data sharing, che manca completamente nella versione destinata agli utenti europei.

In questa sezione veniva comunicato che Whatsapp avrebbe condiviso “informazioni a livello globale, sia internamente con le aziende di Facebook che esternamente con i nostri partner, con i fornitori di servizi e con le persone con cui l’utente comunica nel mondo, nel rispetto della presente informativa sulla privacy”; nella versione europea, al contrario, alla voce “Collaborazione con le altre aziende di Facebook”, veniva precisato che Whatsapp avrebbe sì condiviso informazioni con le altre aziende del gruppo ma che queste non sarebbero potute essere utilizzate da queste per fini propri.

In entrambi i casi veniva inoltre previsto un termine all’8 febbraio per l’accettazione delle modifiche operate, pena l’interruzione del servizio.

In data 14 gennaio, con un comunicato pubblicato sulla propria pagina ufficiale1, il Garante della Privacy è intervenuto sulla questione affermando che la comunicazione da parte di Whatsapp era poco chiara e intellegibile, con particolare riferimento alla parte inerente alla condivisione di dati con le altre società del gruppo e investendo della questione lo European Data Protection Board (E.D.P.B.), pur riservandosi di agire in via d’urgenza per la tutela degli utenti italiani.

Da parte sua Whatsapp ha chiarito che le modifiche introdotte non avrebbero impattato sulla privacy dei messaggi scambiati “con amici e familiari”2, ma avrebbero bensì riguardato solo le comunicazioni fatte ad aziende tramite la funzione business dell’applicazione; diversi portavoce dell’azienda hanno altresì smentito la possibilità di cambiamenti alle modalità di condivisione dei dati di Whatsapp nella regione europea.

Infine, la compagnia ha rimandato al 15 maggio la data per l’approvazione della nuova informativa, data in cui saranno disponibili le nuove opzioni business.

La Posizione del Garante: distanze tra tutela della riservatezza negli U.S.A. e all’interno dell’U.E.

Bandiera europea e americana per indicare le problematiche legate al trasferimento dei dati nel caso Whatsapp e Facebook

La rapida e decisa reazione del Garante trova le sue radici nella recente storia delle relazioni tra Stati Uniti ed Unione Europea con particolare riferimento alla tutela dei dati personali, di cui si ripercorrono brevemente i passi.

A partire dall’anno 2000 il trasferimento dei dati di cittadini europei verso gli U.S.A., per fini commerciali, era regolato dall’accordo c.d. “Safe Harbor”: le compagnie americane, certificando la propria conformità ai principi indicati nella Direttiva 95/46 sulla protezione dei dati3, potevano liberamente acquisire e trattare i dati in questione per le proprie finalità; è importante precisare che il possesso di questi requisiti, che doveva essere soggetto ad ulteriori certificazioni ad intervalli prestabiliti, veniva verificato dai privati, sotto la gestione della Federal Trade Commission (subordinata al Dipartimento del Commercio degli Stati Uniti d’America) e non dalle autorità Europee.

Tale impostazione, peraltro rivelatasi ben poco efficace nella tutela dei dati acquisiti dalle compagnie americane, veniva definitivamente superata a seguito della sentenza Schrems I, pronunciata in data 6 ottobre 2015 dalla Corte di Giustizia dell’Unione Europea in esito alla causa C-362/14; a seguito dell’importante pronuncia della Suprema Corte Europea, di cui si invita alla lettura, venne raggiunto un nuovo accordo tra Unione Europea e Stati Uniti in materia di trasferimento dati, il c.d. “EU-US Privacy Shield”, la cui adeguatezza veniva accettata dalla Commissione con la decisione esecutiva 2016/1250.

Anche in questo caso, tuttavia, rimanevano aperte alcune perplessità in merito all’effettivo livello di tutela dei dati personali trattati all’interno degli Stati Uniti: infatti, il diritto statunitense imponeva alle aziende operanti nei settori delle telecomunicazioni ovvero dei servizi internet di mettere a disposizione i dati personali di cittadini stranieri alle autorità nazionali (quali F.B.I. e N.S.A., per citarne alcune) in esecuzione di particolari programmi di sorveglianza e sicurezza interna. Tra queste aziende rientrava, tra le altre, anche il gruppo Facebook.

Tale situazione veniva denunciata dall’attivista austriaco Maximillian Schrems, il quale ancora una volta riuscì a portare la problematica gestione dei dati personali all’interno degli U.S.A. all’attenzione della Corte di Giustizia dell’Unione Europea; in esito alla causa C-311/18, in data 16 luglio 2020 la Corte pronunciava la discussa sentenza Schrems II con la quale invalidava la decisione di esecuzione relativa all’adeguatezza della protezione offerta dal Privacy Shield, dichiarando così non sicuro il trasferimento dei dati verso gli Stati Uniti.

Alla luce di quanto sin qui detto, è facile comprendere la perplessità del Garante Italiano di fronte alla confusionaria informativa presentata da Whatsapp e la conseguente decisione di portare la questione all’attenzione dell’E.D.P.B., a maggior ragione se si considera che il gruppo Facebook non sembra aver fatto alcuno sforzo per adeguarsi alla citata sentenza.

È infatti opportuno considerare che la S.A. irlandese, parte costituita nella causa C-311/18, ha ingiunto alla società di Mark Zuckerberg di interrompere ogni condivisione dei dati con gli Stati Uniti anche al fine di conformarsi alla sentenza sopra citata, ingiunzione che non è stata ad oggi accolta da Facebook, che ha anzi promosso contro la stessa una richiesta di judicial review presso la Suprema Corte irlandese.

Peraltro, recenti provvedimenti del governo americano4 parrebbero indicare che la distanza tra Stati Uniti ed Unione Europea sulla questione privacy è destinata ad aumentare.

Scadenza del 15 maggio e possibili scenari futuri

Come già detto in precedenza, Whatsapp ha rimandato al 15 maggio, data in cui saranno disponibili le nuove opzioni business del servizio di messagistica statunitense, l’approvazione della nuova informativa e l’introduzione delle modifiche ai termini di servizio; in attesa di quella data, e nelle more della pronuncia dell’E.D.P.B., è lecito interrogarsi su quali possano essere gli esiti futuri di questa vicenda.

Sicuramente, oltre a rendere più comprensibile l’informativa, Whatsapp dovrà certamente risolvere le evidenti problematiche in materia di consenso emerse nel documento del 4 gennaio u.s.: molti hanno lamentato la totale mancanza di granularità del consenso, dal momento che con una sola manifestazione di assenso si andrebbe ad accettare di cedere qualsiasi tipo di dato e per qualsiasi finalità. Per quanto il Garante italiano non abbia fatto specifico riferimento a tale questione, considerando la posizione già presa dall’E.D.P.B. in materia di consenso5 essa rimane una problematica aperta che non può certo essere ignorata.

In materia di condivisione dei dati con le altre società del Gruppo Facebook, invece, bisogna evidenziare come il GDPR, anche alla luce dell’interpretazione data dalla Corte di Giustizia nella citata sentenza Schrems II, impedisca allo stato degli atti ogni tipo di trasferimento verso gli Stati Uniti. Resta tuttavia aperta, per quanto appaia al momento alquanto improbabile, la possibilità di un nuovo accordo a livello governativo tra Stati Uniti e Unione Europea per regolamentare il trasferimento dei dati, assicurando un livello di protezione adeguato a quello previsto dalla normativa comunitaria.

Altresì possibile rimane la c.d. “soluzione irlandese”, ovvero una limitazione della condivisione dei dati alle sole società del Gruppo Facebook aventi sede all’interno dell’Unione Europea (come Facebook Ireland Ltd.).

Quel che è certo è che il GDPR si è dimostrato un efficiente strumento a tutela dei dati personali dei cittadini europei e anche grazie all’importante intervento della Corte di Giustizia in materia esso continuerà a svolgere i suoi importanti effetti anche in futuro. Al momento, quindi, gli utenti Whatsapp sul territorio dell’Unione potranno dormire sonni tranquilli.


1 Si veda qui per il comunicato della SA Italiana, pubblicato in lingua italiana e inglese

2 Si vedano sul punto le faq pubblicate da Whatsapp in merito all’informativa in questione

3 I principi in questione erano i seguenti: Notifica, Scelta, Trasferimento, Sicurezza, Integrità dei dati, Accesso, Adeguatezza

4 Sulla vicenda legata all’Ordine Esecutivo 13984, che non tratteremo per economia espositiva, si consiglia la lettura del seguente articolo

5 Si vedano sul punto le linee guida 05/2020 sul consenso ai sensi del G.D.P.R. adottate dallo European Data Protection Board in data 04/05/2020

Condividi:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Share on email
Email
Torna su