La voce è il nuovo dato prezioso, da condividere e da tutelare. È necessario, dunque, che Clubhouse sia chiaro e preciso sulle finalità e le modalità del trattamento dei dati di cui dispone, nel pieno rispetto della privacy

 

Il social esclusivo

Prima di parlare di Clubhouse e di privacy, una rapida introduzione per rispondere ad una semplice domanda: cos’è Clubhouse?

È l’inizio di una nuova era di Internet, con una modalità di interazione non solo visiva ma anche vocale[1]. È un social network americano fondato di recente, ad aprile 2020, da Paul Davison e Rohan Seth con 12 milioni di dollari[2]. Diversamente dagli altri social, prevede solo contenuti audio ma la sua caratteristica più interessante è l’esclusività. Al momento, infatti, è aperto solo a chi dispone di iOS ma nelle prossime settimane dovrebbe debuttare anche all’interno di Google Play Store per smartphone Android. Ulteriore peculiarità è che si può accedere solo su invito, è possibile però iniziare a registrarsi con l’account che si vorrà utilizzare una volta invitati o dopo che una persona che è nei propri contatti decide di anticipare l’ingresso di qualcuno sbloccandolo dalla lista di attesa.

Clubhouse è una sorta di podcast interattivo in tempo reale, l’obiettivo è di creare uno spazio di riflessione e di discussione, ogni stanza è una chat tematica in cui si può scegliere di partecipare alla conversazione o limitarsi ad ascoltare. Si differenzia da un podcast, però, perché Clubhouse è in diretta e la conversazione nella stanza avviene in quel dato momento, perdura fin quando la stanza resta aperta e non è possibile scaricare o recuperare in seguito la chat avvenuta.

All’utente spetta la scelta di essere semplicemente ascoltatore, seguendo le varie discussioni, o prenderne parte attivamente registrando il proprio vocale. Tutti i messaggi audio postati non possono in alcun modo uscire da Clubhouse: la piattaforma, infatti, ne impedisce la condivisione, il download o la registrazione.

Ci chiediamo dunque, se Clubhouse sia un nuovo competitor per la radio e per i podcast o un alleato per l’interazione con pubblico. Risposte certe per ora non ne possiamo individuare. Certo è che la sua popolarità è salita esponenzialmente: in soli dodici mesi di esistenza la app Clubhouse ha già raggiunto la valutazione di quasi un miliardo di dollari.

 

La voce come strumento per allenare l’intelligenza artificiale

Clubhouse ci porta verso un nuovo trend, più semplice e più trasparente: è la prima innovazione dei social a 5-6 anni dalle storie su Instagram.

C’è uno spirito e un atteggiamento aperto all’innovazione che non appartengono ai social che conosciamo: raramente qui si tende ad inasprire il dibattito o a polarizzarsi su posizioni definite perché Clubhouse è volto piuttosto all’arricchimento di visioni e pensieri. Entrando in una stanza, ognuno può prendere la parola liberamente o semplicemente ascoltare ma alimenta così notevolmente la banca dati dell’intelligenza artificiale. In che modo poi Clubhouse riesca a garantire il rispetto della privacy è tutto da vedere.

Quando si decide di postare qualcosa su Instagram, Tiktok e Facebook si ha un ampio spazio di riflessione e si cerca di evitare che quell’immagine o quel post siano contrastanti con il pensiero del soggetto o svelino qualcosa che lo stesso non vuole affidare alla grande macchina del marketing digitale. Il post quindi, tende ad essere alterato da ciò che è visto meglio dalla maggior parte dei follower. In Clubhouse invece, grazie alla presenza di un moderatore, il ruolo è di maggiore sostanza, in quanto consente di prestare attenzione a quel che succede, valorizzare i protagonisti e dare voce a tutti, garantendo così la continuità degli interventi stessi. La voce è più libera, non ha vincoli di ripensamento e rappresenta appieno lo stato d’animo della persona che parla.

La chiarezza e la trasparenza di questo social, però, non sono del tutto privi di inganno: i software sono in grado di leggere le conversazioni e di estrapolarne l’emotività e la sincerità. Se sommiamo la presenza con la quale una persona è su Clubhouse, le stanze nelle quali entra, il tipo di credito che riceve nel momento in cui viene chiamata a parlare in diretta, le parole che pronuncia, si delinea un profilo umano molto più accurato rispetto a quello che può emergere dai social tradizionali e forse anche in modo meno consapevole. Ad oggi è possibile osservare che l’ubiquità degli algoritmi ha degli effetti potenzialmente rivoluzionari sia nell’ambito della vita quotidiana che nella ricerca sociale. Tuttavia, capire le modalità attraverso cui gli algoritmi operano è un’indagine decisamente complessa e coinvolge sicuramente la privacy.

 

Criticità in tema privacy: Clubhouse non rispetta la normativa europea

Clubhouse sembra essere un’app privacy-oriented, non è interessata alla condivisione di testi, file, o altro, ma si incentra sull’ascolto di conversazioni, che non sono né condivise né registrate e che vengono, almeno in teoria, subito cancellate dall’app[3].

Se guardiamo alla privacy policy del social network ci accorgiamo però che Clubhouse presenta carenze dal punto di vista della privacy e una scarsa tutela dei dati personali degli utenti.

È un’app in beta, una versione di software non definitivo, perciò presenta numerosi interrogativi e anche parecchie discrasie rispetto alla normativa europea: vi sono infatti pesanti lacune nell’adeguamento al GDPR[4].

A suscitare dubbi iniziali è l’assoluta mancanza di un consenso, sulla base del considerando (Recital) 32 del GDPR: è da ritenere che “il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano”.

In base a quanto stabilito nel GDPR, il soggetto interessato può esprimere il suo consenso[5] al trattamento dei suoi dati non necessariamente con riferimento a tutte le tipologie di trattamento, può infatti darlo anche solo con riguardo ad alcune tipologie di dati. La privacy e termini di servizio di Clubhouse vengono invece accettati con un unico click, in evidente violazione del principio di specificità e granularità del consenso. L’informativa di Clubhouse, al contrario, impone all’utente di accettare tutto o essere libero di non usare l’app e non accedere quindi al servizio.

Passaggio essenziale per poter procedere all’iscrizione è l’obbligo di condividere la rubrica del cellulare: la privacy policy parla di condivisione volontaria dei dati di rubrica, anche se di fatto per dare attuazione al sistema degli inviti si tratta di un passaggio praticamente obbligato e decisamente invasivo.

 

I diritti dei cittadini europei e il trasferimento dei dati

Ulteriore carenza è da individuare nella mancanza di individuazione e riconoscimento dei diritti dei cittadini europei: l’informativa non considera minimamente i diritti dei cittadini europei ma è presente solo una sezione dedicata agli abitanti della California e che fa riferimento alla possibilità di esercitare i diritti stabiliti  dal California Consumer Privacy Act.  I dati vengono trasferiti in USA, ma non vengono indicate le garanzie che consentono tale trasferimento, non viene specificato alcunché riguardo alle modalità con cui avviene il trasferimento dei dati, né se Clubhouse abbia adottato le garanzie previste dalle clausole contrattuali standard approvate dalla Commissione UE, né se abbia adottato quelle misure ulteriori per rispondere alle criticità del trasferimento dati negli Stati Uniti evidenziate nella sentenza Schrems II, tutto in aperto contrasto con articolo 13 par.1 lett. F) del Regolamento.

Clubhouse, tramite la propria piattaforma, tratta su larga scala e in modo non occasionale dati personali di cittadini europei, e quindi la mancata nomina di un rappresentante europeo ai sensi dell’art. 27 GDPR risulta una mancanza alquanto grave, specie in considerazione del successo che l’app di Clubhouse sta riscuotendo anche in Europa.

 

La condivisione dei dati personali e le finalità del trattamento

Emergono, inoltre, ulteriori criticità in relazione alle possibili condivisioni dei dati personali che Clubhouse potrebbe effettuare con i propri affiliati senza che sia necessaria una preventiva comunicazione all’utente e soprattutto senza che quest’ultimo abbia fornito un apposito consenso al riguardo.
L’informativa riporta che “la società non vende i dati personali ma in determinate circostanze potrebbero essere condivisi con terze parti senza ulteriore avviso”.

Quindi i dati non sono venduti ma vengono condivisi in particolare con i loro “affiliati”, attuali e futuri. Il GDPR invece prevede all’art. 22 e al considerando 71 un consenso specifico per la profilazione e per la “condivisione”.  Non solo in Clubhouse non esiste questo tipo di consenso ma non viene nemmeno distinto il pulsante di accettazione dei termini e condizioni da quello della privacy.

Alcune informazioni, anche dopo la disinstallazione dell’account, potrebbero rimanere nei sistemi, si parla di profilazione ma non si comprende come, perché e con quali scopi, o se i bot – che sono dei veri e propri algoritmi di intelligenza artificiale in grado di analizzare e comprendere il linguaggio di utenti che interagiscono con loro –  saranno utilizzati per “leggere” le conversazioni. Del resto non è ancora chiaro il modello di business e come si monetizzerà.

Per quanto riguarda la finalità di trattamento dei dati personali, come stabilito dall’art. 5 comma 1, lett. b) del GDPR, i dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo da non essere incompatibili con tali finalità. Clubhouse si prodiga nella propria informativa ad individuare un lungo elenco di attività, che però non sono in alcun modo supportate da alcuna base giuridica, come invece vorrebbe il GDPR.

Inoltre, se guardiamo la garanzia che l’informativa offre agli utenti in tema di sicurezza dei dati, non si è per niente rassicurati: You use the Service at your own risk. We implement commercially reasonable technical, administrative, and organizational measures to protect Personal Data”.

Quindi, chiunque utilizzi il servizio di Clubhouse lo fa a proprio rischio e pericolo con conseguente rischio di violazione della privacy, in quanto l’azienda adotta solamente le misure tecniche “commercialmente ragionevoli” per la protezione dei dati personali.

Clubhouse pubblicizza il proprio servizio con l’impegno a non registrare le conversazioni che vengono condivise in streaming, però le cose in realtà non funzionano esattamente così. L’informativa riferisce, infatti, che le sessioni audio vengono registrate ogniqualvolta viene riportata una violazione dei termini di servizio da un utente durante lo streaming. La registrazione “temporanea”, quindi, viene mantenuta per un tempo indefinito dall’app, ovvero fino a quando ciò è “ragionevolmente necessario” per ragioni commerciali o legali. Il regolamento impone di cancellare i dati una volta raggiunta la finalità per cui quei dati sono stati raccolti e trattati, art. 5, comma 1, lett. e), del GDPR. Clubhouse, invece, stabilisce in modo generico che terrà i dati fino a quando saranno necessari o utili e li cancellerà al raggiungimento del termine più lungo e senza alcun rispetto per il principio di limitazione delle finalità, limitazione della conservazione e del principio di minimizzazione.

 

Attenzione ai minori

E per i minori invece? Che dicitura è prevista? A quanto risulta, Clubhouse non ha implementato particolari meccanismi di verifica dell’età minima, con il risultato che un minorenne potrebbe agevolmente entrare nell’app e accedere a contenuti dedicati ad un pubblico adulto. Semplicemente viene stabilito che il servizio non è rivolto a persone di età inferiore ai 18 anni. Chiarisce inoltre che la Società non raccoglie consapevolmente dati personali da individui di età inferiore ai 18 anni. E se qualcuno ha motivo di credere che un individuo di età inferiore ai 18 anni abbia fornito dati personali alla Società tramite il Servizio, è compito di chi se ne accorge segnalarlo a Clubhouse così da eliminare tali informazioni dal database. La policy si presenta un po’ scarna: forse sulla scia emozionale lasciata dal recente caso TikTok[6], un controllo maggiore sarebbe doveroso.

 

Controlli contingentati, saranno efficaci?

La mancanza di una policy chiara e precisa non comporta assenza totale di controllo, Clubhouse ha iniziato un po’ a pulire il suo ambiente selvaggio con la possibilità di utilizzare il ban, quello strumento che viene utilizzato per vietare l’accesso e l’interazione di un determinato soggetto con gli altri. Sono partite dunque delle raffiche di ban nelle stanze italiane perché ancora non si è ancora capito cosa sia permesso e cosa invece vietato. Ad esempio, un account è stato bannato perché ha cambiato troppe volte l’immagine del profilo. Ban per parolacce o ban per stanze in cui è passato un contenuto non consono. Il ban è inviato a chi ha violato il sistema ma viene mandato anche un warning a chi ha fatto entrare la persona su Clubhouse. Il ban è senza dubbio lo scudo di protezione ma non è utile usarlo se non si è capito da cosa sia giusto difendersi e fino a che punto possa essere considerato come protezione efficace.

È tutto registrato dall’algoritmo con un sistema “to speech to text” per cui l’audio è trascritto in semantica. C’è un dubbio linguistico però: come facciamo a sapere che l’algoritmo comprenda ciò che stiamo dicendo in italiano? Clubhouse è un’applicazione che ruota attorno al suono della voce: è diventato necessario quindi studiare il trend della voce per capire l’emotività e lo stato di salute di un soggetto. Il consumatore quindi non solo viene intercettato per quello che fa, ma per come lo fa e per quello che sente.

 

Tante domande e poche risposte: il Garante della Privacy pretende chiarezza

C’è anche un’analisi biometrica delle tracce audio? Qual è il rischio? Si può passare dai data breaches a voice breaches? La voce in quanto tale non è considerata come un dato biometrico: nel GDPR, infatti, il dato biometrico è chiaramente definito come quell’informazione che è il risultato di un processo tecnico che partendo da un dato ideologico lo trasforma in un identificativo univoco di quel soggetto a cui la voce appartiene, la sua voce digitale piuttosto che il fondo dell’iride o la forma del volto. Quindi vediamo che una foto del volto non è considerata un dato biometrico, ma il trattamento rappresentato dalla pixellatura e dalla analisi geometrica del volto trasforma quella fotografia in un dato biometrico.  È necessario che vengano svolte delle analisi biometriche sul dato personale voce, perché il dato biometrico appartiene al corpo e si presenta come la nuova password.

Il problema maggiore risiede nell’analisi di quanta percezione c’è in capo agli utenti del fatto che attraverso la voce vengono rilasciate una grande quantità di informazioni liberando in modo disinvolto un dato rilevante e sensibile.

Il Garante Privacy chiede di avere delle risposte tempestive e trasparenti da Clubhouse: vuole vederci chiaro sull’uso dei dati che l’app fa dei suoi iscritti.

Le novità sono molte, non solo sull’attenzione del funzionamento algoritmico, ma anche di marketing: Clubhouse, infatti, è l’unico social media in cui il logo cambia ogni mese riportando l’immagine dell’utente che in quel periodo è stato più attivo. La policy è da modificare con il rispetto della normativa europea, ma è da riconoscere che il successo di questo social è avvenuto perché è considerato realmente una grande novità: più è esclusivo, maggiore è la curiosità che suscita negli utenti e perciò più ampia sarà la richiesta di farne parte. Nonostante la superficialità con cui Clubhouse sia stato inserito nel contesto mondiale, senza tener conto del rispetto di norme e dei dati delle persone, in realtà è proprio la vacuità dei contenuti a lasciare il posto a uno spazio di riflessione e di maggiore profondità. È senza dubbio un’inversione di tendenza: per il momento, vale la pena godersi questo ritorno al passato e alla bellezza del suono della voce con l’auspicio di una risposta esaustiva da parte di Clubhouse al Garante Privacy.

Informazioni

GDPR, Regolamento Generale sulla Protezione dei Dati

[1] La sua ascesa non ha avuto freni, da gennaio ha iniziato a spopolare in Italia e a entrare a far parte della vita delle persone per ventiquattr’ore al giorno. Da febbraio il social network è passato da circa tre milioni a più di 8 milioni di istallazioni.

[2] Negli USA il social gode di un grande successo con diversi vip iscritti: Elon Musk, proprietario della Tesla, su Clubhouse ha discusso delle sue aziende attirando oltre 5mila iscritti in una stanza; non da meno è stato Mark Zuckemberg che ha mandato in tilt l’app per via dei molti utenti che hanno provato ad accedere alla sua stanza. In Italia invece, il successo lo ha raggiunto nel giro di poche settimane all’inizio del 2021.

[3] La privacy e il trattamento dei dati personali di Roberto Giuliani; 2018; (DirittoConsenso) https://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/

[4] General Data Protection Regulation approvato con Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 e applicabile a decorrere dal 25 maggio 2018.

[5] Diritto di accesso e tutela della privacy: un equilibrio complesso di Elena Cancellara; 2020; (DirittoConsenso) https://www.dirittoconsenso.it/2020/11/09/diritto-di-accesso-tutela-privacy-equilibrio-complesso/

[6] Provvedimento del 22 gennaio, 2021 [9524194], link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9524194