Sanzione a WhatsApp: Le Big Tech inizino a preoccuparsi (sul serio) dei dati degli utenti.

Due settimane fa, i giornali riportavano la notizia di una clamorosa sanzione comminata dal Garante Privacy irlandese ai danni di Whatsapp. La straordinarietà del provvedimento stava nell’ammontare della multa, pari a 225 milioni, cifra che è apparsa del tutto eccezionale agli occhi dell’opinione pubblica.

Per usare l’espressione utilizzata dal Garante, il social non avrebbe rispettato il principio di trasparenza durante il trattamento dei dati personali degli utenti, previsto espressamente dal GDPR, il Regolamento Europeo di riferimento in ambito privacy.

In cosa consiste il principio di trasparenza? 

Il principio attiene alle informazioni che vengono fornite all’interessato.

Queste devono spiegare i punti essenziali del trattamento: chi raccoglie i dati, a chi vengono comunicati, con che modalità vengono conservati, per quali finalità (ad esempio se per finalità di marketing o profilazione), eccetera. Affinché l’interessato venga reso consapevole di tutte le attività di trattamento, è indispensabile che le informazioni siano fornite con un linguaggio semplice e chiaro, e che siano sempre accessibili per una eventuale verifica. 

La condotta tenuta da WhatsApp ha violato palesemente questo principio: il social è, infatti, stato accusato di aver tenuto all’oscuro gli utenti riguardo alla condivisione dei dati che conduce regolarmente con altre aziende del gruppo Facebook, di cui l’app di messaggistica fa parte dal 2014. 

Perché l’ammontare della sanzione a WhatsApp è così elevato? 

Ciò che può sorprendere, come fa notare Max Schrems – rinomatissimo avvocato che opera nel settore della privacy e fondatore di Noyb, Centro europeo per i diritti digitali – è che 225 milioni di euro rappresentano solo 0.08% del fatturato del gruppo Facebook. Mentre il GDPR prevede multe fino al 4% del fatturato nel caso in cui durante il trattamento dei dati vengano violati dei princìpi essenziali. 

A proposito è da sottolineare che inizialmente il Garante irlandese aveva proposto una sanzione di “soli” 50 milioni di euro. L’ammontare definitivo è infatti dovuto all’intervento dell’EDPB, il comitato europeo per la protezione dei dati personali, che ha ordinato all’autorità Garante di rivedere la quantificazione della multa al rialzo. 

Si tratta, dunque, di una sanzione sicuramente severa, ma non infondata e la prima derivante dall’intervento sinergico tra le massime autorità Privacy competenti. È proprio questa – più dell’ammontare della sanzione – la caratteristica rilevante di questo provvedimento. Il dialogo tra le autorità rappresenta un nuovo modus operandi che ha tutte le carte in tavola per garantire una sicurezza più efficace della privacy degli utenti e infliggere una punizione decisa ai colossi del web che non rispettano le disposizioni del GDPR. 

Infatti, più volte negli ultimi anni le aziende cd. Big Tech sono state accusate di occuparsi troppo approssimativamente della tutela dei dati personali dei loro utenti. 

Per citare solo i casi più recenti relativi alla galassia di Mark Zuckerberg, Facebook, in aprile, ha subito un furto di dati di dimensioni gigantesche, che ha coinvolto globalmente più di 536 milioni di account; WhatsApp, nel 2018, era stata oggetto di un severo provvedimento del Garante Privacy che sanciva il divieto di cessione dei dati degli utenti a Facebook; ancora, pochi giorni fa sono emersi i risultati di un’inchiesta condotta dall’organizzazione giornalistica ProPublica che sostiene come WhatsApp abbia molti impiegati che analizzano il contenuto di messaggi segnalati come “problematici” da un sofisticato software in grado di bypassare la crittografia “end-to-end” della piattaforma. 

In conclusione, l’auspicio è che la tutela dei dati personali dell’utenza venga (realmente) posta in cima alle priorità delle società Big Tech. Il provvedimento del Garante irlandese, potenziato dall’intervento dall’ EDPB, si inserisce proprio nel solco di questa ambizione, elevandosi a monito per le altre aziende che dispongono di grandi quantità di dati personali. 

Daniele Dhoor Singh 

Lascia un commento