Condivisione con Facebook
Il 25 agosto con i nuovi termini di servizio WhatsApp annuncia di voler condividere con Facebook alcuni dati: i numeri di telefono, i dati del profilo, l’uso dei dati come l’ultimo accesso al servizio, il dispositivo utilizzato, il sistema operativo, ecc..., i messaggi di stato e lo stato in linea.
Ricordiamo che WhatsApp è un servizio di messaggistica, senza pubblicità, molto apprezzato sopratutto per l’implementazione della cifratura end-to-end (comunque non sempre attiva, specialmente se le persone coinvolte nella conversazione hanno versioni diverse e meno recenti del software), e in particolare del protocollo Signal, considerato uno dei migliori se non il migliore. Questo sistema ovviamente protegge solo i dati in transito (e non i metadati) e non quelli conservati sul dispositivo. In tale senso ha fatto scalpore un articolo del ricercatore Jonathan Zdziarski, il quale ha scoperto che anche le chat cancellate dall’utente lascerebbero tracce, accessibili sia tramite il dispositivo che dal cloud, in caso di backup (un problema in realtà che pare affligga molti sistemi di messaggistica, compreso iMessage di Apple). In ogni caso la diffusione dell’applicazione e il suo sistema di cifratura ne hanno consentito l’adozione addirittura da parte di medici per dialogare a distanza con i pazienti, quindi con scambio di dati ad elevata sensibilità come quelli relativi alla salute.
Nel 2014 Facebook ha acquisito WhatsApp per 19 miliardi, creando un vero e proprio monopolio nel settore della messaggistica online.
Attraverso un maggiore coordinamento con Facebook, WhatsApp vuole realizzare nuove funzionalità, monitorando i parametri di utilizzo del servizio per combattere lo spam, collegando il numero di telefono dell’utente con i sistemi di Facebook per consentire a Facebook di offrire suggerimenti migliori per le connessione con amici (Facebook sarà in grado di suggerire i contatti WhatsApp come amici di Facebook), e inserzioni più pertinenti.
Ovviamente l’Azienda precisa che i dati dell’utente non saranno pubblicati su Facebook, quindi né foto, né conversazioni, né numero di telefono, nulla sarà visto da altri, e comunque le conversazioni rimarranno sempre private, non leggibili nemmeno da WhatsApp o Facebook. Inoltre, gli utenti che hanno già un profilo Facebook possono anche non accettare tale condivisione dei dati (qui le istruzioni per non accettare la condivisione dei dati), e perfino chi ha già accettato i nuovi termini di servizio ha altri 30 giorni di tempo per rifiutare la condivisione dei dati. Chiaramente il problema non si pone per chi non ha alcun profilo Facebook.
Detto in breve Facebook vuole utilizzare i dati raccolti da WhatsApp per migliorare la già avanzata profilazione dei propri utenti a fini pubblicitari. Del resto era impensabile che non finisse così, Facebook ha sempre integrato i dati dai servizi acquisiti, come accadde con Instagram nel 2012, ed anche in quell’occasione la giustificazione dell’integrazione dei dati era per combattere lo spam e creare nuove funzionalità.
Accuse da EPIC
Secondo EPIC (Electronic Privacy Information Center, un gruppo di ricerca pubblico a difesa dei consumatori, con sede a Washington) questa modifica dei termini di servizio è in violazione delle regolamentazioni in materia. A differenza dell’Europa, negli USA non esiste il vincolo della finalità, in base al quale vi è obbligo di utilizzare i dati raccolti solo per i motivi specifici che l’utente ha acconsentito al momento della raccolta, ma l’FTC (Federal Trade Commission), che si occupa, nell’ambito della tutela dei consumatori, della regolamentazione della privacy, può vietare pratiche sleali e ingannevoli (sezione 5 Federal Trade Commission Act), cioè che provocano o rischiano di provocare gravi pregiudizi ai consumatori o alla concorrenza.
In tale prospettiva, la FTC valuta che una società non può modificare le impostazioni relative alla privacy dei suoi utenti, né può utilizzare i dati dei suoi utenti per motivi diversi da quelli della raccolta, a meno che non sussista un nuovo consenso. Un problema analogo si pose nel 2007, al momento dell’acquisizione di DoubleClick (l’azienda che si occupa degli annunci pubblicitari) da parte di Google, acquisizione che all’epoca fu autorizzata, ma col dissenso del Comissario Pamela Harbour, che precisò che in realtà non sapevano cosa esattamente potesse fare Google con le informazioni acquisite tramite DoubleClick.
La modifica violerebbe anche un ordine della FTC. EPIC contesta, infatti, anche le modalità per rifiutare le condivisione, che di fatto è un opt-out, e non invece un opt-in come EPIC ritiene dovrebbe essere nel caso specifico, in quanto esiste un ordine specifico della FTC che impone a Facebook di chiedere un consenso preventivo (opt-in).
In sostanza l’accusa di EPIC è di aver mentito agli utenti quando nel 2014, al momento dell’acquisizione da parte di Facebook, i dirigenti di WhatsApp si impegnarono a non condividere o vendere informazioni di identificazione personale, come il numero di telefono, il nome e il profilo dei dati. Per questo motivo EPIC ha presentato una denuncia alla FTC.
La giustificazione da parte dell’azienda è semplice, la condivisione dei dati è limitata, e comunque è necessaria per testare nuove funzionalità progettate a fini di tutela degli utenti, per consentire una comunicazione con le imprese, quali la ricezione di notifiche da parte delle banche in caso di frode, o ritardi da parte delle compagnie aeree.
A ben vedere, però, leggendo i dettagli dei TOS si scopre che anche in caso di rifiuto di condivisione dei dati con Facebook, parte dei dati saranno comunque condivisi non solo con Facebook ma anche con il gruppo di aziende di Facebook, che consta di 10 aziende compreso WhatsApp.
Il gruppo di aziende di Facebook continuerà a ricevere e utilizzare queste informazioni per altri scopi, come il miglioramento dei sistemi infrastrutturali e di consegna, comprendere come i nostri o i loro servizi vengono utilizzati, assicurare i sistemi, la lotta contro le attività di spam, abusi, o violazioni (FAQ domande frequenti)
Quindi, a prescindere dal consenso o meno dell’utente, ci sarà una condivisione di dati per scopi tecnici, e cioè a fini di lotta contro spam, abusi e violazioni, senza specificazione di quali dati saranno condivisi, per cui l’assenza del consenso (il rifiuto) del cliente servirà solo ad impedire di condividere i dati a fini pubblicitari e promozionali.
La questione dei dati condivisi è importante. Dai TOS di WhatsApp, infatti, apprendiamo che l’azienda non raccoglie dati quali nomi, mail, indirizzi o altre informazioni dall’utente, ma solo il numero di telefono. Ed è appunto il numero di telefono che WhatsApp vuole condividere con Facebook. Con l’acquisizione di WhatsApp, Facebook in realtà ha comprato un elenco telefonico da un miliardo di utenti, molti dei quali già iscritti a Facebook. Nel caso in cui anche Facebook avesse il vostro numero di telefono (da anni Facebook insiste con gli iscritti perché forniscano il numero di telefono) allora sarebbe semplicissimo abbinare tutte le informazioni contenute sui server di Facebook, comprese tutte quelle personali (indirizzi, nomi, mail, fotografie, volti, luoghi visitati, ecc...), con i dati forniti da WhatApp, così realizzando un ulteriore passo nella profilazione degli utenti. Addirittura in tal modo Facebook potrà abbinare i profili aperti con nomi non reali (pseudonimi) ai numeri di telefono effettivi. Intendiamoci, non è che Facebook è particolarmente interessata a conoscere il nostro nome reale, ciò che gli interessa, piuttosto, è conoscere le nostra abitudini e abbinarle tutte ad un unico profilo. In particolare Facebook avrebbe la possibilità di conoscere con quali aziende scambiamo messaggi, con quali categorie di professionisti, e così via.
È interessante notare che anche Facebook ha un proprio sistema di messaggistica, e quello di Facebook (Messenger) notoriamente fa una raccolta estesa di dati. Nel novembre del 2010, ad esempio, modificò il funzionamento del servizio impedendo la cancellazione di chat senza nemmeno chiedere un consenso preventivo (opt-in).
Reazione europee
Il Data Protection Commissioner olandese ha avviato un'indagine sull’acquisizione, concentrata sulla raccolta dei dati e i possibili abusi di tali informazioni. Il Garante per la privacy per lo Stato tedesco dello Schleswig-Holstein (uno dei più attivi in materia) ha avviato un’indagine concentrandosi sul principio di finalità, in base al quale in Europa i dati acquisiti per uno scopo non possono essere utilizzati per uno scopo diverso, a meno ché non vi sia un nuovo consenso da parte degli utenti. Il Garante italiano si è detto preoccupato per le possibili conseguenze, l’ICO inglese ha precisato che monitorerà la situazione e il CNIL francese ha detto che “la posta in gioco è il controllo di singoli utenti sui propri dati quando sono combinati dai principali operatori di Internet”.
La questione principale nella prospettiva europea è data dalla condivisione dei dati, comunque ammessa tra controllante e controllate, purché, appunto, sia per finalità note agli interessati. l’attuale normativa in realtà prevede una restrizione alle finalità amministrativo-contabili, per cui una finalità di profilazione richiede un nuovo ed ulteriore consenso. Infatti, WhatsApp sta chiedendo un nuovo consenso, anche se con modalità probabilmente non conformi, trattandosi di un opt-out, e comunque limitato alla sola condivisione a fini di profilazione, mentre per la condivisione a fini tecnici ritiene non vi sia alcuna necessità di consenso.
Ma i Garanti nazionali dovrebbero porsi anche un problema ulteriore, e cioè l’allargamento da parte di Facebook della quantità di informazioni relative agli utenti, tale da creare un profilo sempre più dettagliato delle abitudini dei consumatori, un profilo che ormai investe qualsiasi aspetto della nostra vita, compreso le comunicazioni online. Facebook e WhatsApp hanno mentito ai consumatori al momento dell’acquisizione (e a testimonianza di ciò vi è la lettera inviata all’epoca dalla FTC), è questo è un problema serio, non solo di diritti, ma anche di etica e rispetto dei consumatori. Si tratta di proteggere le scelte degli utilizzatori di WhatsApp dall’incorporazione delle loro informazioni personali nell’enorme database di profili di utenti, costituito a fini pubblicitari da Facebook. Probabilmente della questione si discuterà in un incontro tra i rappresentanti delle autorità, cioè il Working Party Article 29, che dovrebbe aversi a fine mese.
Fino al 25 settembre sarà possibile rifiutare la condivisione dei dati con Facebook a soli fini promozionali, la condivisione a fini tecnici non può essere rifiutata.
-----------------------
AGGIORNAMENTO 20 novembre 2016:
A seguito di una serie di iniziative dei Garanti europei, tra i quali quello tedesco che ha ordinato la sospensione della condivisione dei dati tra Facebook e WhatsApp, con concellazione dei dati eventualmente già trasferiti tra i due servizi, e altri Garanti che hanno avviato istruttorie sulla pratica svolta da Facebook e WhatsApp, Facebook ha smesso di condividere i dati tra i due servizi, almeno temporaneamente fino a quando non sarà più chiara la situazione legale. Si deve tenere presente, però, che molti dati sono già stati trasferiti tra i due servizi.
