Clubhouse è il social del momento e, complice forse il fatto che per ora è accessibile solo su invito, non si parla d’altro.
Prima di iscriversi ad un servizio, una piattaforma, un social è però buona norma leggere attentamente l’informativa sul trattamento dei dati personali: vediamone insieme il contenuto e quali sono le principali criticità che emergono.
Clubhouse e privacy: dati trattati e finalità
Oltre a quanto esplicitamente chiesto all’utente all’atto dell’iscrizione e agli audio e ai contenuti condivisi, Clubhouse tratta diversi ulteriori dati, quali:
- persone, account, gruppi nella rete dell’utente e modalità di interazione con loro,
- informazioni della rubrica per suggerire all’utente altri profili e viceversa,
- uso del servizio e quindi tipi di conversazioni, contenuti condivisi, funzionalità, azioni, persone e account con cui l’utente interagisce, tempo, frequenza e durata dell’utilizzo,
- interazioni con le pagine di Cloubhouse sui social media (Instagram, Facebook, Medium, Twitter, Tiktok e LinkedIn),
- dati di navigazione e del dispositivo e dunque orario, frequenza e durata della connessione, browser utilizzato, sistema operativo, interazione con il sito, pagine visitate, nome del dispositivo,
- posizione dell’utente ottenuta dall’indirizzo IP,
- in caso di campagne email, indirizzo email e IP, data e ora di cui l’email viene aperta ed eventuali clic su link contenuti nell’email,
- dati raccolti da terze parti (quando ad esempio si crea un account usando un servizio esterno quale Twitter), con aggiornamento periodico di queste informazioni, degli elenchi di amici o di follower,
- cookie,
- preferenze per i contenuti e le funzionalità del servizio, anche per prodotti e servizi futuri.
L’ultimo punto lascia particolarmente perplessi, costituendo una vera e propria attività di profilazione effettuata senza il necessario consenso dell’utente.
Finalità e modalità dei trattamenti effettuati da Clubhouse
Le finalità del trattamento sono indicate nell’informativa in modo poco chiaro, essendo genericamente indicati scopi connessi alla fornitura del servizio, alla creazione e gestione degli account, allo sviluppo di nuovi prodotti o al miglioramento di quello attuale, al rispetto dei termini di servizio, prevenzione di attività criminali e usi impropri, ottemperanza agli obblighi legali e difesa dei diritti.
Non è data indicazione chiara neppure circa la data retention, poiché i dati vengono conservati da Clubhouse «per il tempo ragionevolmente necessario agli scopi descritti nell’informativa» o «per il tempo previsto dalla legge». Non è, dunque, possibile conoscere il tempo di conservazione dei dati, né i criteri utilizzati per definire tale periodo.
Comunicazione e diffusione dei dati personali
Oltre ai casi di comunicazione dei dati personali per la difesa di diritti della società o per prevenire frodi o abusi, Clubhouse può condividere i dati personali degli utenti con i propri fornitori (come, ad esempio, fornitori di servizi hosting, applicazioni audio e infrastrutture, servizi cloud e servizi di tecnologia dell’informazione, gestione di eventi, software di comunicazione e-mail e servizi di newsletter, servizi di pubblicità e marketing, servizi di pagamento, gestione delle relazioni con i clienti e servizi di assistenza clienti e servizi di analisi web) e con i propri «affiliate», attutali e futuri.
I server, inoltre, sono situati negli Stati Uniti.
Clubhouse e GDPR
Non sono pochi i problemi che l’informativa di Clubhouse pone secondo la normativa europea sul trattamento dei dati personali, a cominciare dalla mancanza di molte informazioni “minime” richieste dal GDPR all’art. 13.
Vi sono poi altre questioni dubbie: per esempio, non sono esplicitate le finalità del trattamento, è totalmente assente l’individuazione di una base giuridica che ne assicuri la liceità, né sono indicate le garanzie per il trasferimento dei dati fuori dall’Unione Europea. Vengono previste delle attività di trattamento automatizzato / profilazione, ma non sono chiare finalità e modalità. È molto generica, inoltre, l’indicazione dei tempi di conservazione e manca completamente qualsiasi riferimento ai diritti che il GDPR riconosce all’interessato. I dati, inoltre, non sono venduti, ma possono essere condivisi con gli “affiliati”.
Non vi è, infine, la possibilità di esprimere (e quindi di non esprimere) il consenso: privacy e termini di servizio vengono accettati contestualmente con un unico clic.
Clubhouse e minori
L’informativa specifica che il servizio non è rivolto a persone di età inferiore ai 18 anni e che dunque non sono trattati dati di minori.
Staremo a vedere se l’Autorità Garante per la Protezione dei Dati Personali interverrà per chiedere delle modifiche sul punto, come di recente è accaduto nei confronti di Tik Tok.