Informativa sulla privacy

L'informativa sulla privacy ex art. 13 GDPR

L’informativa sulla privacy e il modo in cui devono essere informati i consumatori su come sono trattati i propri dati personali in conformità con la legge

 

Cos’è l’informativa sulla privacy

Ogni qualvolta accediamo ad un sito web o ci iscriviamo ad una nuova piattaforma[1], spesso ci viene chiesto di dichiarare di aver letto ed approvato Privacy Policy e Termini e Condizioni di utilizzo. Ma di cosa si tratta? Entrambi i documenti costituiscono degli accordi giuridicamente vincolanti, tuttavia:

  • Il documento “Termini e Condizioni” è volto a tutelare il titolare del sito web o App a cui accediamo ed è il documento con cui quest’ultimo può definire le condizioni di utilizzo del proprio servizio, serve quindi a tutelare la proprietà intellettuale, ad evitare abusi all’interno del sito/App, a definire diritti ed obblighi nei confronti degli utenti;
  • L’informativa sulla privacy è richiesta per legge, nello specifico dal GDPR, ed è volto a tutelare gli utenti che, tramite tale documento, vengono informati sul modo in cui sono trattati i loro dati personali in conformità con la legge.

 

In particolar modo, l’informativa sulla privacy o privacy policy è disciplinata dall’art. 13 GDPRInformazioni da fornire qualora i dati personali siano raccolti presso l’interessato”.

Nello specifico il GDPR (“General Data Protection Regulation”), è il Regolamento europeo n. 2016/679, entrato in vigore il 24 maggio 2016, ma si è iniziato ad attuare solo a partire dal 25 maggio 2018[2]. Tale regolamento ha l’obiettivo di chiarire in che modo i dati personali devono essere raccolti, utilizzati e condivisi per poter garantire una maggiore protezione dei dati e delle informazioni personali dei cittadini europei.

Ma quando è dovuta l’informativa sulla privacy? Essa è sempre dovuta ogni volta vi sia un trattamento di dati, a meno che non si tratti di dati anonimi o dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista dal regolamento europeo) o comunque di dati raccolti per attività a carattere esclusivamente personale.

Il titolare del trattamento dati ha l’obbligo di fornire ad ogni utente, prima ancora che diventi interessato, ovvero prima ancora che inizi il trattamento dei suoi dati, una comunicazione denominata appunto informativa sulla privacy che ha lo scopo di fornire le informazioni richieste dal GDPR sulla maniera in cui opera il titolare stesso, in particolar modo quali dati vengono raccolti, quali sono le basi giuridiche e le finalità del trattamento e quali sono i diritti e obblighi degli interessati.

 

I principi generali alla base della protezione dei dati

L’informativa sulla privacy è dovuta agli utenti nel rispetto dei sei principi che sono alla base della protezione dei dati personali e che sono individuati all’art. 5 del GDPR:

  • Principio di liceità, trasparenza e correttezza: tramite l’informativa viene garantito il diritto individuale di ogni utente ad essere informato in maniera chiara e trasparente su come vengono trattati i suoi dati raccolti;
  • Principio di limitazione della finalità: all’interno dell’informativa devono essere espressamente indicati quali sono gli scopi per cui si raccolgono e conservano i dati di ogni utente; pertanto, il trattamento di tali dati potrà avvenire solo in maniera compatibile ai fini esplicitamente indicati nell’informativa;
  • Principio di minimizzazione dei dati: il titolare del trattamento può elaborare solo le categorie di dati personali espressamente indicati nell’informativa e strettamente necessarie al raggiungimento delle finalità per i quali sono trattati;
  • Principio di esattezza: i dati trattati devono essere sempre accurati e aggiornati e nel caso di inesattezza devono essere tempestivamente cancellati o rettificati;
  • Principio di limitazione della conservazione: i dati raccolti devono essere conservati unicamente nell’arco di tempo necessario al conseguimento delle finalità per i quali sono trattati;
  • Principio di integrità e riservatezza: i dati personali di ogni utente devono essere trattati in modo da garantirne un’adeguata protezione e sicurezza;
  • Principio di accountability o di responsabilizzazione del titolare: tramite l’informativa il titolare del trattamento dati ha l’obbligo di rendere conto agli utenti del proprio operato.

 

Contenuto e modalità dell’informativa privacy

L’art. 13 del GDPR individua il contenuto minimo che deve essere presente all’interno dell’informativa.

In primo luogo, devono essere indicati i dati identificativi (nome o denominazione e domicilio o sede) del titolare del trattamento e i dati di contatto del DPO, ovvero il Data Protection Officer che è la figura responsabile per la protezione dei dati degli utenti.

È inoltre obbligatorio indicare quali sono esattamente le categorie di dati trattati, quali sono le finalità del trattamento (mentre non è necessario specificare quali sono le modalità del trattamento stesso) e quale è il periodo di conservazione dei dati.

Fondamentale è specificare quale sia la base giuridica del trattamento ai sensi dell’art. 6 del GDPR; infatti, la raccolta e l’utilizzo dei dati personali possono essere:

  • Basati sul consenso dell’interessato, in questo caso l’informativa sulla privacy non è solo dovuta in base al principio di trasparenza e correttezza, ma ha anche lo scopo di permettere che l’interessato possa dare validamente il proprio consenso ed è quindi condizione di legittimità del trattamento stesso;
  • Giustificati dall’adempimento di obblighi contrattuali e/o obblighi di leggi ai quali è soggetto il titolare del trattamento;
  • Necessari per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • Fondati su interessi legittimi del titolare, i quali devono essere espressamente indicati all’interessato;
  • Essenziali per l’esecuzione di un’attività di pubblico interesse.

 

Tra le informazioni necessarie da indicare all’interno dell’informativa sulla privacy vi è anche l’individuazione dei soggetti destinatari ai quali i dati possono essere comunicati e questa indicazione non può essere mai generica, ma tali soggetti terzi devono sempre essere specificatamente individuati.

Inoltre, all’interno dell’informativa deve essere precisato se il conferimento dei dati ha natura obbligatoria o facoltativa e quali sono le conseguenze di un eventuale rifiuto al trattamento e se il titolare ha intenzione di attuare un trasferimento transfrontaliero di dati, ovvero di salvare e utilizzare i dati in paesi extra-UE.

In aggiunta, è doveroso elencare quali sono i diritti dell’interessato, deve infatti essere garantito ad ogni utente il diritto di accesso ai propri dati personali e di ottenere la rettifica o la cancellazione dei dati stessi, ogni interessato ha il diritto di chiedere una limitazione del trattamento dati o di opporsi ad esso, può in ogni momento revocare il proprio consenso ed ha la facoltà di presentare reclamo all’autorità di controllo.

Infatti, in caso di violazione in materia di informazione agli utenti, l’autorità di controllo può procedere con un’indagine e può eventualmente sanzionare il titolare anche con il blocco di tutti i dati raccolti ed elaborati in violazione delle norme, inoltre, gli utenti possono avviare un’azione per chiedere il risarcimento danni contro il titolare del trattamento.

Infine, per quanto riguarda le modalità con cui deve essere resa l’informativa sulla privacy, quest’ultima deve avere forma concisa, deve essere chiara, facilmente accessibile ed intellegibile per l’interessato nel rispetto del principio di trasparenza. Inoltre, l’informativa deve essere resa per iscritto o con altri mezzi che siano comunque idonei a comprovare l’esistenza dell’informativa stessa e a consentire alle autorità di vigilanza di verificarne completezza e correttezza.


Abuso di posizione dominante

L'abuso di posizione dominante nell'era digitale: il caso Google

Le recenti multe irrogate alla società Google dalle Autorità Antitrust evidenziano la rilevanza della disciplina europea sull’abuso di posizione dominante nel mondo digitale

 

La posizione dominante di Google

Al giorno d’oggi, Google LLC è una delle più grandi aziende informatiche a livello globale ed offre una vasta quantità di servizi online di cui tutti noi usufruiamo quotidianamente come il motore di ricerca Google, il sistema operativo Android, i servizi web YouTube, Gmail, Play Store, Google Traduttore, Google Maps e tanti altri. Inoltre, Google è gestore di un circuito pubblicitario online che consente agli inserzionisti di promuovere i propri servizi e ai proprietari di siti web di guadagnare pubblicando annunci pubblicitari sui loro siti.

Risulta quindi chiaro che Google, si trovi in una situazione di posizione dominante nei settori in cui opera.

Per posizione dominante si intende il raggiungimento da parte di una impresa di una significativa quota di mercato del settore in cui agisce relativa alla produzione e vendita di beni e servizi.

Tale posizione consente all’impresa che la detiene di operare sul mercato in maniera indipendente rispetto a concorrenti, fornitori e consumatori e quindi di trovarsi in una condizione di netta superiorità rispetto alle aziende concorrenti dettando così essa stessa le regole di mercato, imponendo ad esempio alle altre aziende concorrenti un determinato prezzo e/o specifiche caratteristiche del prodotto.

Pertanto, la posizione dominante fa sorgere in capo al suo titolare una responsabilità “speciale” in quanto l’impatto di una sua condotta, di per sé lecita, avrà un effetto più significativo dell’effetto che avrebbe la medesima condotta tenuta da un operatore qualsiasi. L’impresa in posizione dominante ha dunque la responsabilità di non tenere un comportamento che in qualche modo scompagini lo svolgimento di una corretta concorrenza all’interno del mercato.

L’ordinamento europeo non considera la posizione dominante di una o più imprese come una situazione illecita in quanto tale. Il raggiungere grandi dimensioni ed agire su larga scala o in più mercati non distorce la concorrenza di per sé, al contrario risulta essere a favore dei consumatori poiché significa che il titolare di tale posizione offre qualità e/o prezzo dei prodotti che soddisfano maggiormente le loro esigenze rispetto a quanto offerto dalle aziende concorrenti.

Risulta invece vietato l’abuso di tale situazione di posizione dominante: è illecito il comportamento di un’azienda dominante che sfrutti il proprio potere economico in modo da impedire ai concorrenti di operare regolarmente sul mercato provocando di conseguenza anche un danno ai consumatori.

 

Il riferimento normativo comunitario: l’art. 102 del TFUE

La principale fonte di regolamentazione della fattispecie di abuso di posizione dominante a livello comunitario è rappresentata dall’art. 102 del Trattato sul funzionamento dell’Unione Europea il cui primo comma recita:

È incompatibile con il mercato interno e vietato, nella misura in cui possa essere pregiudizievole al commercio tra Stati membri, lo sfruttamento abusivo da parte di una o più imprese di una posizione dominante sul mercato interno o su una parte sostanziale di questo”.

 

Pertanto, la ratio della norma è quella di punire quelle pratiche che, a prescindere dall’intenzionalità, stravolgono l’equilibrio della concorrenza a vantaggio dell’impresa dominante che le compie, la quale utilizza sistemi che fanno in modo che la concorrenza non sia più fondata sul merito e sulla qualità delle prestazioni e modifica così la struttura dell’offerta tanto da compromettere la libertà d’azione dei consumatori.

Infatti, le imprese dominanti, in virtù della posizione in cui si trovano, possono incidere negativamente sia sulle scelte dei concorrenti sia, di conseguenza, su quelle dei consumatori. Nello specifico si parla di:

  • abuso di impedimento, quando la condotta è lesiva dei concorrenti e
  • abuso di sfruttamento, quando danneggia la clientela.

 

Ed è proprio sulla base di una violazione dell’art. 102 del TFUE che l’azienda Google è stata più di una volta aspramente sanzionata dalle Autorità Antitrust per aver provocato importanti limitazioni della concorrenza nel mercato. A tal riguardo, nel 2021 si sono verificati due casi significativi che vedono protagonista l’azienda statunitense.

 

Il caso italiano: Google nell’accesso al mercato delle App

Nel maggio 2021, l’AGCM, Autorità Garante della Concorrenza e del Mercato in Italia, ha sanzionato le società Alphabet Inc. (Holding di Google LLC), Google LLC e Google Italy S.r.l. per violazione dell’art. 102 del TFUE costringendole al pagamento di una multa di oltre 102 milioni di euro per abuso di posizione dominante.

Nello specifico, l’abuso di Google riguardava l’accesso al mercato delle App.

Nel comunicato stampa del 13 maggio presente sul sito ufficiale dell’AGCM si legge:

“Attraverso il sistema operativo Android e l’app store Google Play, Google detiene una posizione dominante che le consente di controllare l’accesso degli sviluppatori di app agli utenti finali. Occorre ricordare che in Italia circa i tre quarti degli smartphone utilizzano Android. Inoltre, Google è un operatore di assoluto rilievo, a livello globale, nel contesto della cosiddetta economia digitale e possiede una forza finanziaria rilevantissima”.

 

Il caso di specie vedeva contrapposti Google e la società italiana Enel X Italia, quest’ultima ha sviluppato l’App JuicePass con lo scopo fornire servizi relativi alla ricarica delle auto elettriche (ricerca di colonnine di ricarica, navigazione, prenotazione e gestione della sessione di ricarica), tuttavia tale App, nei due anni successivi alla realizzazione della stessa, non è stata presente su Android Auto, l’estensione di Android per le automobili di proprietà di Google che consente all’utente di utilizzare le app quando è alla guida.

La stessa Autorità Garante della Concorrenza e del Mercato ha affermato che: “Per sviluppare app compatibili con Android Auto, gli sviluppatori utilizzano gli strumenti di programmazione resi disponibili da Google e non potrebbero utilizzarne altri. In altre parole, Google è la sola fonte degli strumenti di programmazione necessari per sviluppare app pubblicabili su Android Auto. Google si trova, pertanto, nella posizione di decidere quali app possono essere presenti su Android Auto e quali no, così frapponendosi tra gli sviluppatori e gli utenti finali”.

Infatti, Google, nonostante la richiesta di Enel X Italia, non aveva predisposto le soluzioni informatiche adeguate affinché JuicePass potesse essere disponibile su Android Auto ostacolando ingiustificatamente la possibilità per Enel X di vedere la propria App disponibile su tale piattaforma e di conseguenza impedendo ai consumatori di usufruire dell’applicazione stessa.

In questo modo Google ha favorito la propria app Google Maps, che può invece essere utilizzata su Android Auto e che fornisce, proprio come JuicePass, servizi funzionali alla ricarica delle auto elettriche.

Alla luce di ciò, l’Antitrust italiana ha affermato che la condotta posta in essere dal colosso statunitense costituisca un abuso di posizione dominante in violazione dell’articolo 102 del TFUE e pertanto ha:

  • irrogato una sanzione di € 102.084.433,91,
  • obbligato Google a porre immediatamente fine a tali comportamenti distorsivi della concorrenza e ad astenersi in futuro dal porre in essere comportamenti analoghi, inoltre
  • imposto a Google di mettere a disposizione di Enel X strumenti per la programmazione di applicazioni in modo che anche la sua App proprietaria possa essere disponibile su Android Auto.

 

Il caso francese: l’abuso di posizione dominante di Google nella pubblicità online

Un mese dopo la sanzione irrogata dall’AGCM Italiana, anche l’Antitrust francese ha multato per 220 milioni di euro Google per abuso di posizione dominante, stavolta nell’ambito del digital advertisement.

La sanzione è sopraggiunta a seguito di azioni legali avviate, già nel 2019, dai tre gruppi di media News Corp, il giornale Le Figaro e il gruppo Rossel La Voix che hanno accusato Google di avere un monopolio sulle vendite di annunci pubblicitari online.

Nello specifico, Google è proprietario di DFP (Double Click for Publishers) che è proprio il sistema con cui editori di siti e app possono vendere i propri spazi pubblicitari e di AdX (Google Ad Exchange) una piattaforma online in cui, attraverso un sistema di aste, editori e inserzionisti si incontrano e contrattano sugli spazi pubblicitari.

Secondo l’Autorità francese Google avrebbe approfittato di questa situazione e dei dati raccolti attraverso i propri servizi per riservare un trattamento preferenziale alle sue piattaforme DFP e AdX incoraggiando gli inserzionisti a scegliere le proprie offerte a discapito dei suoi competitor nel mercato dell’adv online.

In questo modo la società statunitense, approfittando della propria condizione di dominio nei server pubblicitari per siti e App, ha non solo penalizzato la concorrenza nel mercato della pubblicità online, ma ha anche aumentato la sua stessa posizione dominante.

Il provvedimento preso dall’Autorità francese risulta essere estremamente rilevante in quanto si tratta di uno dei primi casi mondiali in cui l’Antitrust interviene nel mondo delle pubblicità online. Infatti anche la Presidente dell’Autorità della concorrenza francese, Isabelle de Silva, ha dichiarato che: “La decisione di sanzionare Google ha un significato molto speciale perché è la prima decisione al mondo per indagare su processi algoritmici complessi”.

In conclusione, Google ha accettato di pagare tale multa, ha dichiarato che cambierà le proprie condotte e ha individuato degli impegni vincolanti per tre anni per facilitare i concorrenti nel mercato delle pubblicità online.

Si tratta di impegni vincolanti solo in Francia, ma che Google potrebbe utilizzare come modello per risolvere controversie analoghe anche in altri Paesi.


Aggiornamento dei termini WhatsApp

L'aggiornamento dei termini e dell'informativa privacy di WhatsApp

L’aggiornamento dei termini di servizio e della nuova informativa privacy di WhatsApp dimostra l’importanza del GDPR in Europa

 

La nuova iniziativa di WhatsApp: l’aggiornamento dei termini e la nuova informativa privacy

WhatsApp sta aggiornando i propri termini e l’informativa sulla privacy”, recita così il titolo dell’avviso apparso, nel mese di gennaio 2021 all’apertura dell’app, agli utenti italiani della celebre applicazione di messaggistica istantanea. Per continuare ad usare WhatsApp è quindi necessario accettare il nuovo aggiornamento dei termini e condizioni, infatti in caso di mancata accettazione non sarà più possibile utilizzare l’app stessa. Inizialmente la scadenza per accettare tali modifiche era stata fissata all’8 febbraio, ma è stata successivamente posticipata al 15 maggio per far sì che gli utenti possano rivedere e comprendere al meglio i cambiamenti e per cercare di bloccare la loro “fuga” verso altre app rivali come Telegram e Signal.

Ma cosa significa questo avviso? Cosa comporta accettare i nuovi termini d’uso e l’informativa privacy? Quali risvolti può avere tale modifica sul trattamento dei nostri dati personali?

L’iniziativa dell’azienda WhatsApp Inc., facente parte dal 2014 del gruppo Facebook Inc., ha come obiettivo quello di ampliare l’interazione tra l’App di messaggistica e le altre aziende del gruppo, soprattutto Facebook e Instagram, in modo da profilare meglio gli utenti e migliorare la loro esperienza nell’utilizzo delle app del gruppo medesimo.

Questo però ha suscitato grande preoccupazione tra gli utenti che hanno iniziato a temere che la riservatezza della loro attività online possa essere messa in pericolo e che tale data sharing possa minare la loro privacy.

 

Cosa cambia, utenti europei ed extraeuropei a confronto

Esiste una notevole differenza tra la modifica dei termini e dell’informativa privacy di WhatsApp per gli utenti europei rispetto a quella rivolta agli utenti extraeuropei e questo grazie al GDPR, il regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni devono trattare i dati personali. Grazie al GDPR, che limita fortemente un trasferimento di dati di questo genere, la privacy dei cittadini UE è maggiormente protetta rispetto a quella dei cittadini del resto del mondo.

Nello specifico, il Regolamento europeo n. 2016/679, noto anche come GDPR (“General Data Protection Regulation”) è entrato in vigore il 24 maggio 2016, ma si è iniziato ad attuare solo a partire dal 25 maggio 2018. Tale regolamento ha come obiettivo quello di chiarire il modo in cui i dati personali debbano essere utilizzati, raccolti e condivisi in modo da garantire una maggiore protezione dei dati e delle informazioni personali dei cittadini europei. Il GDPR si applica quando vi è un’organizzazione che offre beni o servizi a cittadini europei a prescindere dal fatto che l’organizzazione abbia o meno sede nell’Unione Europea.

Nel caso di specie, la sede dell’azienda WhatsApp Inc. si trova oggi a Menlo Park in California, ma ha anche una sede di riferimento per l’Europa a Dublino, denominata WhatsApp Ireland Limited.

È proprio grazie alla presenza del GDPR in Europa che, confrontando l’avviso comparso agli utenti europei rispetto a quelli non europei, emerge l’assenza di un punto fondamentale riguardante proprio la possibilità per WhatsApp di collaborare con Facebook per una maggiore integrazione tra i vari servizi forniti dall’azienda stessa, infatti agli utenti extraeuropei compare un ulteriore punto tra gli aggiornamenti chiave elencati nell’avviso riguardante proprio “How WhatsApp partners with Facebook to offer integrations across the Facebook Company products”[1].

Ciò comporta che per gli utenti extraeuropei che accettano la nuova informativa privacy, WhatsApp renderà obbligatoria la condivisione dei loro dati con l’azienda madre Facebook anche per scopi commerciali e di marketing. Pertanto, Facebook, una volta analizzati i vari dati raccolti su WhatsApp, potrà sfruttarli per mostrare ai singoli utenti pubblicità personalizzate e annunci mirati basati sui loro specifici interessi ed abitudini.

Invece, per gli utenti europei le nuove condizioni da accettare non riguardano il trasferimento di dati al gruppo Facebook, ma hanno principalmente lo scopo di fornire informazioni circa il servizio di WhatsApp Business, l’applicazione di messaggistica pensata per le aziende e che permette di interagire con i propri clienti in maniera più diretta ed automatica.

Tuttavia ciò non significa che nell’area europea WhatsApp non possa in alcun modo raccogliere e condividere dati degli utenti con Facebook, infatti al momento già vi sono alcune informazioni che sono comunicate al famoso social network e che sono espressamente elencate sul sito di WhatsApp nella sezione “Sicurezza e Privacy” della pagina FAQ[2], tra queste vi sono: numero di telefono e prefisso internazionale, versione dell’applicazione, versione del sistema operativo, identificativi del dispositivo, informazioni di utilizzo, data di registrazione dell’account, tipo di funzioni utilizzate e loro frequenza di utilizzo, infine informazioni necessarie a promuovere la sicurezza, la protezione e l’integrità all’interno delle aziende di Facebook. Si tratta di dati condivisi solo per scopi tecnici e di sicurezza e non per scopi commerciali e di marketing.

Infatti, la condivisione di questo genere di dati tra aziende è permessa dal GDPR proprio perché lo scopo è puramente tecnico e di sicurezza, mentre non sono permesse condivisioni di dati a scopo commerciale e di marketing cosa che invece, a partire dal 15 maggio, avverrà nel resto del mondo, ovvero saranno comunicate a Facebook informazioni da cui si possono ricavare le abitudini e gli interessi degli utenti come ad esempio l’ultimo accesso nell’app, la sua presenza online e gli aggiornamenti dello stato.

 

L’intervento di WhatsApp per sedare le polemiche

L’avviso riguardante il nuovo aggiornamento ha suscitato grande preoccupazione tra gli utenti di tutto il mondo, per questo il 12 gennaio WhatsApp, attraverso il proprio profilo Twitter, ha voluto precisare “Il nostro aggiornamento dell’informativa non influisce sulla privacy dei tuoi messaggi con amici o familiari” e ha voluto inoltre ribadire che i messaggi privati continueranno comunque ad essere protetti dalla crittografia end-to-end, ciò significa che WhatsApp non può in nessun modo leggere il contenuto dei messaggi o ascoltare le chiamate che gli utenti si scambiano e che quindi le chat sono accessibili solo al mittente e al destinatario.

In allegato a tale messaggio, l’account Twitter ufficiale di WhatsApp ha postato un’immagine in cui chiarisce che:

  • Né WhatsApp né Facebook possono leggere i tuoi messaggi privati o ascoltare le tue chiamate;
  • Non teniamo traccia delle persone che chiami o a cui invii messaggi;
  • Né WhatsApp né Facebook possono vedere la posizione da te condivisa;
  • WhatsApp non condivide i tuoi contatti con Facebook;
  • I gruppi rimangono privati;
  • Puoi attivare i messaggi effimeri;
  • Puoi scaricare i tuoi dati;

 

Anche, Niamh Sweeney, Director of Policy di WhatsApp per l’area europea, ha voluto specificare che gli aggiornamenti relativi all’informativa privacy non entreranno in vigore per gli utenti europei. Infatti, con un post su Twitter, anche lei ha chiarito: “Non ci sono modifiche alle pratiche di condivisione dei dati di WhatsApp in Europa a seguito di questo aggiornamento. Resta il fatto che WhatsApp non condivide i dati degli utenti dell’area europea con Facebook con lo scopo di utilizzarli per migliorare i suoi prodotti o le pubblicità”.

Pertanto, al giorno d’oggi, il GDPR tutela i cittadini europei evitando che Facebook possa usare i dati dei loro account WhatsApp per migliorare le loro esperienze con i prodotti di Facebook o per mostrare pubblicità più pertinenti sullo stesso social network. Ma non è detto che in futuro ciò non possa succedere e che anche per gli utenti europei si verifichi ciò che da maggio già avverrà nel resto del mondo, infatti sullo stesso sito di WhatsApp, nella pagina “Sicurezza e Privacy” della pagina FAQ, l’azienda stabilisce che “Qualora in futuro decidessimo di condividere tali dati con le aziende di Facebook per questo scopo, lo faremo solo dopo aver raggiunto un accordo con la commissione per la protezione dei dati irlandese o IDPC (Irish Data Protection Commission) su un meccanismo che in futuro consenta tale utilizzo”.

 

L’intervento del Garante italiano sull’aggiornamento termini di WhatsApp

A seguito delle numerose polemiche e timori sorti anche tra gli utenti italiani in relazione all’aggiornamento dei termini di WhatsApp e sull’informativa privacy, il GPDP, il Garante italiano per la protezione dei dati personali, ha espresso il proprio disappunto riguardo l’avviso comparso agli utenti dell’App.

Nello specifico, il 14 gennaio, il Garante privacy ha pubblicato sul proprio sito ufficiale un comunicato in cui afferma che “Il messaggio con il quale WhatsApp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio – in particolare riguardo alla condivisione dei dati con altre società del gruppo – e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy”.

Pertanto, secondo il Garante, il nuovo testo dei termini e dell’informativa privacy non risulta sufficientemente chiaro e non permette agli utenti di comprendere a pieno quali siano le modifiche apportate e quali dei loro dati saranno effettivamente trattati dall’azienda, tale informativa non risulta quindi idonea a consentire agli utenti di manifestare la propria volontà di accettare tali modifiche in maniera libera e consapevole.

Il Garante si è quindi riservato di intervenire d’urgenza per tutelare gli utenti italiani e per far rispettare la disciplina in materia di protezione dei dati personali e ha portato il caso all’attenzione dell’EDPB (European Data Protection Board), il Comitato europeo per la protezione dei dati che riunisce le varie autorità privacy europee.

Informazioni

In riferimento al GDPR (testo integrale): https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC

In riferimento alla pagina FAQ di WhatsApp: https://faq.whatsapp.com/general/security-and-privacy/how-we-work-with-the-facebook-companies/

In riferimento al comunicato del Garante privacy italiano: Whatsapp: Garante privacy, informativa agli utenti poco chiara…. – Garante Privacy

In riferimento all’intervento di Niamh Sweeney su Twitter: https://twitter.com/NiamhSweeneyNYC/status/1347184963016339457

Per approfondire l’argomento “WhatsApp”, è possibile leggere anche l’articolo al seguente link: http://www.dirittoconsenso.it/2020/12/03/whatsapp-in-aula/

[1] “Come WhatsApp collabora con Facebook per offrire integrazioni tra i prodotti della società Facebook”

[2] “Frequently Asked Questions” – “Domande poste frequentemente”