Le violazioni della privacy costano caro: sanzione da 2 milioni di euro per Club House.

Con provvedimento del 6 ottobre 2022, l’Autorità Garante per la Protezione dei Dati Personali ha inflitto una sanzione da 2 milioni di euro, pari al 10 % del massimo edittale, ad Alpha Exploration, società con sede negli Stati Uniti proprietaria del social Club House, per diverse violazioni del Regolamento 2016/679.

E’ stato impartito, inoltre, l’ordine di adottare una serie di misure a tutela degli utenti della piattaforma.

La società americana ha negato l’autorità del Garante sostenendo che inizialmente Club House non avrebbe dovuto offrire servizi nell’Unione Europea ma esclusivamente nel territorio statunitense. La Società, quindi, quantomeno fino al 4 agosto 2021, non avrebbe dovuto osservare il Regolamento.

Il primo tema di particolare interesse affrontato, dunque, nel provvedimento è quello della giurisdizione e della competenza del Garante.

Il Garante ha precisato che la giurisdizione, nel caso in cui il titolare del trattamento non abbia una sede e/o rappresentanza nell’UE, deve essere valutata ai sensi dell’art. 3 par. 2, lett. a) del Regolamento ovvero secondo il criterio del c.d. “targeting”, valutando dove si trovano gli utenti ai quali il servizio è offerto. Sulla base di tali considerazioni ha ritenuto sussistente la giuridiszione italiana che, peraltro, seppur inizialmente negata da Club House, era stata ammessa dalla società a far data dall’agosto 2021.

Il Garante italiano ha precisato inoltre che, non essendoci stabilimenti nel territorio dell’UE, in base al disposto dell’art. 55, par. 1 del Regolamento, “ogni Autorità di controllo è competente ad eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del (…) regolamento nel territorio del rispettivo Stato membro”.

Ma che tipo di social è Club House?

La peculiarità di Clubhouse è legata all’utilizzo della voce e delle conversazioni per fare network.

Il punto di forza sotto il profilo del marketing è l’esclusività della piattaforma alla quale si può accedere solo su invito di chi è già iscritto.

Gli utenti possono essere attivi, se scelgono di aprire una stanza tematica oppure passivi, se semplicemente accedono ad una stanza altrui in veste di ascoltatori.

L’App, lanciata nel 2020, ha avuto un rapido successo, passando dai 5.000  utenti attivi nel mese di settembre 2020 a circa 115.000 nel mese di novembre dello stesso anno. Nel giro di tre mesi è arrivata ad avere 16 milioni di utenti attivi al mese anche se oggi la  moda sembra essere già finita.

Le violazioni riscontrate e i punti rilevanti del provvedimento

Con l’atto di avvio del procedimento del 7 marzo 2022, il Garante Privacy ha contestato ad Alpha Exploration la violazione delle disposizioni in tema di informativa, ai sensi degli artt. 5, par. 1, 12, 13 e 14 del Regolamento:

📌   Omesse informazioni sul sul trattamento agli interessati che conferivano i propri dati personali (fino al 4 agosto 2021);

📌 Omesse informazioni sul trattamento ai soggetti (non membri del social) le cui numerazioni telefoniche sono presenti nella lista contatti degli utenti che hanno acconsentito alla loro condivisione con Clubhouse;  

📌 Poca chiarezza, comprensibilità e trasparenza delle indicazioni sui termini del servizio (successivamente al 4 agosto 2021);

📌  Informazioni inidonee in merito ai tempi di conservazione dei dati degli utenti.

Si legge infatti, nel comunicato del 5 dicembre dell’Autorità,  che sono

 Numerose le violazioni riscontrate dall’Autorità: scarsa trasparenza sull’uso dei dati degli utenti e dei loro “amici”; possibilità per gli utenti di memorizzare e condividere gli audio senza consenso delle persone registrate; profilazione e condivisione delle informazioni sugli account senza l’individuazione di una corretta base giuridica; tempi indefiniti di conservazione delle registrazioni effettuate dal social per contrastare eventuali abusi. Alla società, che dovrà adottare una serie di misure per mettersi in regola, è stato inoltre vietato ogni ulteriore trattamento delle informazioni svolto per marketing e profilazione senza uno specifico consenso 

Costituisce un aggravante, ai sensi art. 83, par. 2, lett. a), del Regolamento, il particolare settore in cui opera Alpha Exploration ovvero quello dei social network di dimensione mondiale che, dunque, hanno la possibilità di incidere, con i suoi trattamenti, in rilevanti porzioni della vita privata delle persone fisiche, nei loro diritti e nelle loro libertà.

Inoltre è stato conferito rilievo alla durate delle violazioni che relativamente a molte condotte contestate era, alla data dell’istruttoria,  ancora in essere, coinvolgendo numerosissimi soggetti.

Le prescrizioni adottate.

Il Garante ha stabilito che il social network dovrà:

• introdurre una funzionalità che consenta agli utenti di apprendere, prima dell’ingresso nella stanza di conversazione, della possibilità che la chat venga registrata;
• introdurre un protocollo teso ad informare i “non utenti” sull’uso che verrà effettuato dei loro dati personali;
• integrare l’informativa, specificando:

1.  quale base giuridica si applichi ad ogni finalità del trattamento;
2.  i tempi di conservazione dei dati personali e dei file audio;
3. le informazioni necessarie riguardo al “rappresentate designato” (necessario per chi, come la Alpha Exploration, offra servizi ai cittadini europei non essendo stabilita nel territorio UE)

Club House dovrà, inoltre, effettuare una valutazione d’impatto sui trattamenti di dati effettuati mediante la piattaforma.

ℹ️ 𝗣𝗲𝗿 𝘂𝗹𝘁𝗲𝗿𝗶𝗼𝗿𝗶 𝗶𝗻𝗳𝗼𝗿𝗺𝗮𝘇𝗶𝗼𝗻𝗶:

☎️ 06.45551103

📧  amministrazione@studiosalvioni.it

🌐  www.studiosalvioni.it

#privacy #online #sanzioni #garante #regolamento #UE #social #trattamento