Dal Garante Privacy arriva una multa ai danni di Clubhouse, il popolare social network di chat vocali. La sanzione è di ben due milioni di euro. La cifra si spiega con il fatto che il Regolamento Europeo in materia di protezione dei dati personali (GDPR) vincola il calcolo delle sanzioni al fatturato del soggetto condannato. Peraltro, alla luce della gravità delle violazioni riscontrate dal Garante, la multa non è nemmeno particolarmente severa, visto che, come si legge nel provvedimento, è pari al 10 % del massimo edittale!

Le premesse

Clubhouse è un network che consente agli utenti di creare delle “stanze” di conversazione, o anche semplicemente di partecipare alle conversazioni create da altri. Inizialmente sviluppato per funzionare solamente su dispositivi Apple, ha successivamente preso spazio anche sui sistemi Android. Per effetto, la base di utenti è cresciuta in modo esponenziale. Come spesso capita nel mondo tech, l’incremento in termini di consumatori finali (e di fatturato) non è andato di pari passo con l’adeguamento privacy che simile mutamento esigerebbe. E qua si arriva, appunto, alla sanzione del Garante.

Il provvedimento è piuttosto articolato e comincia chiarendo un punto fondamentale: nonostante Clubhouse sia di proprietà di una società statunitense, sussiste la competenza del Garante privacy italiano. Questo in quanto il trattamento di dati personali è classificabile come transfrontaliero: in termini semplici, anche se la società ha sede negli USA, le persone che usano il suo prodotto (e i cui dati personali sono trattati), risiedono infatti in Italia. Poiché, quindi, la società si rivolge espressamente ad un pubblico (anche) europeo, è chiamata a rispettare le regole che vigono su quel territorio.

Le violazioni riscontrate

Chiarito questo concetto, il Garante passa in rassegna le varie violazioni riscontrate. Che cominciano con l’informativa resa agli utenti, considerata lacunosa e poco trasparente. Chi utilizza Clubhouse, quindi, non riceve una chiara indicazione sul modo in cui la società andrà a trattare i suoi dati personali. Va ricordato che nell’espressione “dato personale” è inclusa anche la voce, essendo essa un’informazione riferita ad una persona individuabile. Ebbene, Clubhouse si basa proprio sull’utilizzo della voce dei suoi utenti.

E qua si arriva alle ulteriori contestazioni. Il Garante ha infatti riscontrato che il social registra le conversazioni e le conserva per un tempo indefinito. La società ha giustificato questa conservazione con esigenze legate al contrasto di eventuali abusi. Una giustificazione che non ha convinto il Garante. Si è inoltre accertato che Clubhouse opera una profilazione dei suoi utenti, in assenza di una base giuridica adeguata. Questo specifico trattamento, infatti, non è indispensabile per rendere il servizio richiesto dagli utenti. Non è piaciuto al Garante il fatto che, al momento di iscrizione a Clubhouse, il software vada a “scandagliare” la rubrica dei contatti, per cercare quali tra questi siano già utenti del servizio. A chi, tra questi, non è utente, infatti, andrebbe rivolta un’informativa. Si è infine riscontrata una serie di carenze ulteriori, che coinvolgono la valutazione di impatto privacy e la designazione di un responsabile esterno.

Le misure correttive

Il Garante ha imposto l’adozione di una serie di misure correttive. Tra le principali, c’è l’integrazione dell’informativa, dando conto di tutti i trattamenti operati e delle relative basi giuridiche e fornendo indicazioni circa i tempi di conservazione dei dati. Ma vengono anche richieste modifiche al funzionamento del software. In particolare, gli utenti dovrebbero essere avvisati della possibilità che la loro voce sia registrata, prima di accedere alla stanza. Altri adempimenti sono indicati in maggior dettaglio nel provvedimento, che può essere letto qui.