NON APRITE QUELLA STANZA - QUANTO PENSAVATE POTESSE DURARE CLUBHOUSE IN CINA? LA GRANDE MURAGLIA DIGITALE HA SUBITO BLOCCATO LA PIATTAFORMA DOVE SI DISCUTE DEI TEMI DEL MOMENTO (FIGURIAMOCI SE PECHINO AVREBBE LASCIATO PARLARE LIBERAMENTE DI TAIWAN E UIGURI) - OCCHIO ANCHE IN EUROPA: LA TUTELA DELLA PRIVACY NON È ADEGUATA AI NOSTRI STANDARD E I DATI PERSONALI NON SI SA BENE CHE FINE FACCIANO. IL GARANTE VUOLE VEDERCI CHIARO...
1 - CLUBHOUSE, UNA PARENTESI DI LIBERTÀ IN CINA PRIMA DEL BLOCCO
Filippo Santelli per www.repubblica.it
È stato bello finché è durato. Nelle ultime settimane i cinesi si erano tuffati in massa su Clubhouse, il social delle discussioni audio a inviti più in voga del momento, conversando con sorprendente libertà anche su temi di norma oscurati dalla censura, da Taiwan allo Xinjiang. Ma, come previsto, è durato poco: da ieri sera gli utenti del Dragone che cercano di aprire l’app sbattono su un messaggio di errore, impossibile connettersi al server.
La Grande Muraglia Digitale con cui il regime circonda il web mandarino, isolando i cittadini dalle idee pericolose che circolano nel mondo, ha ricostruito il suo fronte invalicabile. Ed è quasi impossibile che Clubhouse, cacciata fuori come Facebook o Twitter, venga lasciata rientrare.
codici in vendita in cina per clubhouse
Lanciata ad aprile del 2020, l’applicazione è stata disponibile per un mesetto sull’App Store cinese, prima di essere ritirata. Ma i cittadini del Dragone la potevano comunque scaricare attraverso uno Store straniero, a cui molti hanno accesso.
La sua popolarità è esplosa la scorsa settimana, quando Elon Musk, adorato in Cina, si è palesato in una delle “stanze” di discussione. A quel punto migliaia di persone sono partite alla caccia degli inviti necessari a iscriversi, tanto che sui siti di e-commerce è partito un mercato nero dei codici, con tariffe fino a 50 euro.
Non è possibile dire quanti l’avessero scaricata. La maggior parte degli utenti erano giovani, membri della comunità hi-tech, studenti, creativi o persone con esperienze all’estero.
Protetti dal fatto che la app non tiene traccia delle conversazioni, in molti si sono lanciati a discutere temi sensibili. In una delle stanze cittadini della Cina continentale e di Taiwan, che Pechino considera una provincia da riunificare, si sono confrontati sui rapporti reciproci.
In un’altra, musulmani della minoranza uigura e han, l’etnia dominante cinese, hanno discusso dei campi di rieducazione dello Xinjiang. Sempre in modo civile. Che non sarebbe durata lo immaginavano tutti: uno dei gruppi si intitolava “quanto resisterà Clubhouse in Cina?”.
Non è un caso che il blocco sia arrivato prima delle vacanze del Capodanno lunare, quando i cinesi hanno tanto tempo libero per chiacchierare. Si capirà se i suoi cloni locali, già spuntati, verranno lasciati vivere. Pare difficile, specie se prometteranno la stessa privacy e la stessa libertà. Clubhouse resterà l’apertura di un attimo, il luogo per dibattiti che in Cina sono proibiti. Ma a cui alcuni cinesi, questa storia lo conferma, avrebbe voglia di partecipare.
2 - CLUBHOUSE PROTEGGE LA PRIVACY? TUTTI I BUCHI NELL’INFORMATIVA (E IL GARANTE CHIEDE CHIARIMENTI)
Alessandro Vinci per www.corriere.it
Non si arresta l’ascesa di Clubhouse, il social network (100% vocale) del momento, passato in pochi giorni da 2 milioni a oltre 5 milioni di utenti complessivi. Tra le chiavi del suo successo, paradossalmente il fatto di non essere accessibile a tutti. Al momento utilizzabile solo da chi possiede un iPhone, infatti, si basa su un esclusivo meccanismo a inviti: anche effettuato il regolare download, in mancanza di un apposito link fornito da un amico già iscritto non è possibile partecipare ad alcuna room.
Ma c’è un dettaglio di primaria importanza: gli inviti sono limitati. Di conseguenza, parallelamente al crescente successo dell’app, ad aumentare di giorno in giorno è anche la platea degli interessati che bramano di entrare. Qualcuno è perfino disposto a pagare: online si segnalano già i primi casi di compravendita di codici, con prezzi fino a 30 euro (ma non mancano pacchetti da 100).
In una smania tanto generalizzata, appare pressoché impossibile che qualcuno, pur avendone titolo, rinunci a utilizzare la piattaforma poiché insoddisfatto della protezione dei propri dati personali. Il problema tuttavia si pone urgentemente, perché il solo fatto che Clubhouse cancelli le registrazioni audio alla chiusura delle stanze (salvo segnalazioni di illeciti durante la conversazione) non può essere sufficiente per considerare il servizio rispettoso della privacy degli utenti. Infatti ad oggi non lo è affatto.
Due problemi principali
Anzitutto si potrebbe evidenziare come l’informativa di Clubhouse si trovi su un sito – notion.so – che nulla ha a che fare con quello ufficiale dell’app – joinclubhouse.com –, risultando così difficilmente consultabile. Inoltre è esclusivamente in inglese, dunque incomprensibile per tutti gli utenti che non lo masticassero. Ma questo (purtroppo) capita di frequente.
A colpire in particolar modo, perciò, sono altri due elementi. Il primo: il fatto che per utilizzare l’app sia necessario accettare la privacy e i termini del servizio con un unico clic. Una palese violazione del Considerando 32 del Gdpr europeo sulla protezione dei dati personali, che sancisce la necessità che l’interessato esprima un consenso specifico e granulare, cioè mirato per ogni singola finalità del trattamento.
Già questo elemento potrebbe bastare per mettere nei guai Alpha Exploration, la società californiana che possiede Clubhouse: «Ci sono trattamenti che richiedono un consenso a parte, sempre libero e specifico – spiega al Corriere l’avvocato Diego Dimalta, esperto in diritto delle nuove tecnologie e co-founder di Privacy Network –: è illegittimo chiederlo una volta sola e prendere poi tutto il pacchetto. Lo ha già affermato in passato, al cospetto di casi analoghi, l’European Data Protection Board, organo indipendente che riunisce i Garanti dei Paesi Ue».
Il secondo elemento critico è invece la totale mancanza di validi riferimenti giuridici per i cittadini Ue. L’informativa, infatti, dedica una sezione aggiuntiva soltanto al California Privacy Act, valido naturalmente per i soli cittadini dell’omonimo Stato Usa: nulla si legge in merito al Gdpr di Bruxelles né tanto meno al codice della privacy italiano.
«Lo si insegna per prima cosa in tutti i corsi per il trattamento dei dati – esordisce l’avvocato Giovanni Ricci dello studio Edoardo Ricci di Milano, esperto in protezione dei dati personali –: l’elemento più banale di un’informativa è il titolo. E questo titolo deve essere “ai sensi” di norme specifiche, altrimenti è inutile. Su Clubhouse manca dunque completamente una copertura giuridica fondamentale per gli utenti italiani ed europei».
Trasparenza, questa sconosciuta
Dall’assenza di menzioni al Gdpr deriva un’eccessiva genericità del documento. Perché Clubhouse non tratta solo dati audio, ma svolge un’intensa attività di profilazione archiviando dati personali, tracciando tutto ciò che facciamo all’interno dell’app e immagazzinando i più svariati metadati. Proprio come tutti gli altri social network.
Ebbene, una volta elencate undici finalità del trattamento (prive però, come visto, di base giuridica), il testo non fornisce alcun termine alla conservazione delle informazioni, ma si limita a parlare di «tutto il tempo ragionevolmente necessario per gli scopi descritti nella presente informativa». Della serie: trasparenza zero.
«Queste cose non sono accettabili per un’azienda il cui core business consiste proprio nel trattamento dei dati – sostiene Dimalta –. La mancanza di una base giuridica non ti permette di capire cosa fa l’app con le tue informazioni: con quale meccanismo svolge la profilazione o le invia all’estero? Non si sa. Né vengono chieste autorizzazioni specifiche. E questo è molto grave, se si considera che a luglio è stato annullato il Privacy Shield».
Ma Dimalta mette nel mirino anche la sincronizzazione della rubrica, obbligatoria per poter trasmettere inviti ai propri contatti: «Anche in questo caso – dice – l’European Data Protection Board ha già manifestato perplessità in situazioni analoghe».
Non bastasse, si legge che la società non vende i dati personali degli utenti, ma può «condividerli» con i suoi affiliati: anche questo tipo di operazione, a norma di Gdpr, richiederebbe l’ottenimento di un’autorizzazione specifica. Dulcis in fundo, manca anche la possibilità di ritirare i consensi e di ricevere un pacchetto riepilogativo dei propri dati in possesso della piattaforma.
Assenti ingiustificati
Consensi personali a parte, spicca anche l’assenza di un rappresentante europeo (previsto dall’articolo 27 del Gdpr), ossia la figura che agisce per conto del titolare o del responsabile del trattamento e li rappresenta nei loro obblighi ai sensi del regolamento.
«Anche questo è gravissimo – riflette Ricci –, perché il rappresentante vale come riferimento sia per i titolari dei dati sia nei rapporti con le autorità di regolazione nazionali». Nessuna traccia nemmeno del data protection officer (articolo 37), il professionista chiamato, tra le altre cose, a intervenire in caso di violazioni e ad aiutare il responsabile del trattamento – nella fattispecie Clubhouse – a implementare le procedure di sicurezza necessarie a far sì che i dati vengano gestiti conformemente al Gdpr.
Ma non c’è granché da stupirsi se si considera che, proprio alla voce «Security», l’informativa recita in maniera assai poco rassicurante: «Usi il servizio a tuo stesso rischio». Perché è vero che «nessuna trasmissione Internet o e-mail è mai completamente sicura o priva di errori», ma poi occorre sempre valutare quanto il servizio stesso si dia da fare per prevenire sottrazioni di dati o problemi di altro tipo.
In questo caso però esprimersi in merito è impossibile, dato che, nuovamente in violazione al Gdpr, non viene menzionata nessuna misura di sicurezza. Insomma, secondo Ricci «Clubhouse deve rifare tutto da zero: riscrivere l’informativa, rimettere a punto le procedure, spiegare dove conserva i dati, con quali misure di sicurezza, per quanto tempo, come li cancella, se li anonimizza e via dicendo. Stupisce davvero questo approccio quasi alla cieca da parte di un’app scaricabile anche in Europa».
Lungi dal voler giustificare disattenzioni di questa portata, Dimalta cerca comunque di offrire una chiave di lettura dell’accaduto: «Clubhouse è di fatto ancora in fase beta, e come ho l’impressione che sia esploso senza quasi che i suoi creatori se l’aspettassero. L’informativa è quindi rimasta la stessa destinata al pubblico americano, ma proprio per questo non vedo perché nei prossimi mesi la situazione non debba cambiare: se Clubhouse, come sembra, vuole davvero competere con i giganti del settore, si adeguerà».
L’intervento del Garante
Resta ora da capire se l’avvenuto sbarco in Europa della piattaforma con un’informativa tanto disastrosa abbia già determinato l’arrivo di una salatissima sanzione. Come illustra Dimalta, infatti, il Gdpr opera secondo il principio dell’accountability (in italiano, responsabilità), che non prevede verifiche a priori da parte delle autorità nazionali, ma solo provvedimenti a posteriori in caso di inosservanze: «È un elemento che risulta vincente perché non è burocratico – afferma il co-founder di Privacy Network –. Il vecchio metodo dell’autorizzazione preventiva avrebbe ingolfato i Garanti, così invece sono le possibili sanzioni (fino al 4% del fatturato aziendale) a dissuadere chi vorrebbe operare in malafede».
Il problema è che Clubhouse non ha ancora fatto nulla per adeguarsi al nuovo quadro normativo: «Accountability significa che chi vuole trattare i dati personali è chiamato ad adempiere a determinati obblighi prima di iniziare a farlo, altrimenti scattano le sanzioni – spiega Ricci –. Clubhouse, invece, sembra aver ignorato completamente perfino i principi base della privacy by design e della privacy by default».
D’altronde gli strumenti per mettersi in regola non mancherebbero: «C’è per esempio la consultazione preventiva oggetto dell’articolo 36 del Gdpr – conclude Ricci –: una preziosa risorsa di interlocuzione che consente di chiedere un parere pro veritate e di ottenere indicazioni utili. Il problema è che quando viene utilizzata il Garante ti mette “sotto osservazione”, e finché non sei accountable non ti fa partire. Per questo in pochi vi ricorrono».
Per il social network fondato lo scorso marzo da Paul Davison e Rohan Seth potrebbero essere quindi all’orizzonte i primi guai. Nelle ultime ore, infatti, è emerso che proprio il Garante italiano ha inviato nei giorni scorsi ad Alpha Exploration una richiesta formale di delucidazioni sugli aspetti più oscuri della sua informativa: dalle procedure di archiviazione e cancellazione dei dati al loro trasferimento negli Stati Uniti, dalla sincronizzazione della rubrica all’eventuale analisi biometrica delle tracce audio, fino a maggiori dettagli sulla profilazione a scopo pubblicitario.
La società avrà quindici giorni di tempo per rispondere (e auspicabilmente agire di conseguenza), poi l’autorità valuterà che tipo di azioni intraprendere. Effettivamente, un pizzico di lungimiranza in più da parte di Clubhouse non avrebbe guastato.
