Clubhouse: dal successo globale alle sanzioni privacy

Clubhouse è un social network basato esclusivamente su interazioni vocali che si è guadagnato gli onori della cronaca nel pieno della pandemia globale, grazie all’introduzione di un lato più umano all’interno di una piattaforma social: rilasciato per la prima volta a marzo 2020, è arrivato a contare nel 2021 oltre 16 milioni di utenti attivi al mese a livello globale, di cui circa 90 mila solo in Italia, per poi vedere un drastico calo di download e iscritti.

In via preliminare, il Garante ha affermato l’applicabilità all’azienda americana del Regolamento (UE) 2016/69 (“GDPR”), in virtù della sussistenza del criterio di c.d. targeting (art. 3, c.2 lett. a) del GDPR), e ciò a prescindere dal fatto che Alpha Exploration non intendesse - per lo meno nella fase iniziale della sua diffusione - offrire i suoi servizi ad interessati presenti sul territorio italiano. 

Molteplici i profili di illiceità riscontrati dall’Autorità: a titolo meramente esemplificativo e non esaustivo sono state rilevate scarsa trasparenza sull’uso dei dati degli utenti e dei loro “amici”; possibilità per gli amministratori delle stanze di memorizzare e condividere gli audio senza il consenso delle persone registrate; errata (se non del tutto assente) individuazione delle basi giuridiche del trattamento, con particolare riferimento ai trattamenti effettuati per finalità di marketing e profilazione; violazione del principio di limitazione della conservazione dei dati personali in connessione alla memorizzazione per tempi indefiniti delle registrazioni effettuate dal social per contrastare eventuali abusi.

Oltre alla corposa sanzione pecuniaria, il Garante ha imposto ad Alpha Exploration una serie di misure correttive a tutela degli utenti, tra cui la conduzione di una valutazione d’impatto ex art. 35 del GDPR, l’integrazione della propria privacy policy e la nomina di un rappresentante all’interno dell’Unione. È stato altresì vietato ogni ulteriore trattamento delle informazioni svolto per marketing e profilazione in assenza di uno specifico consenso dell’utente.

L’analisi del Garante ha inoltre il merito di mettere a nudo alcune preoccupanti dinamiche di funzionamento della piattaforma americana: si fa riferimento in particolare alla registrazione preventiva e indiscriminata di tutte le conversazioni tenutesi su Clubhouse “per finalità di indagine su eventuali violazioni delle linee guida della comunità”, trattamento che - secondo la difesa della società - troverebbe fondamento nel legittimo interesse del titolare. 

La censura dell’Autorità a tal riguardo evidenzia l’assoluta sproporzione tra un monitoraggio che viene descritto come “diffuso e pervasivo” e la finalità di prevenire e contrastare eventuali comportamenti non conformi, soprattutto se si considera che alcuni dei diritti da valutare in sede di bilanciamento trovano espresso riconoscimento e tutela a livello costituzionale (si pensi ai diritti di libertà di associazione, di espressione e di pensiero). Ma non solo: il GPDP stabilisce espressamente che, anche a volerne ammettere la legittimità, un simile trattamento non potrebbe che essere sorretto dalla base giuridica del consenso libero e consapevole dell’interessato.

Altro tema che merita attenzione sotto questo profilo è la sonora bocciatura da parte del Garante della possibilità - sostenuta da Clubhouse - di fondare le proprie attività di profilazione ai fini della personalizzazione del servizio sulla base giuridica contrattuale. 

Facendo proprie le statuizioni del WP29 e dell’EDPB, il Garante ribadisce che l’esecuzione di un contratto non costituisce di norma base giuridica appropriata per un trattamento “svolto ai fini del miglioramento di un servizio o dello sviluppo di nuove funzioni nel contesto di un servizio esistente”. 

Una posizione che sembra rispecchiare il contenuto della recente decisione assunta ex art. 65 del GDPR dall’EDPB nei confronti dell’autorità di controllo irlandese nell’ambito del procedimento nei confronti delle piattaforme targate Meta.

Se consideriamo che i trattamenti di dati personali per finalità di c.d. “moderazione” e personalizzazione dei contenuti costituiscono il cuore pulsante delle piattaforme social - da Facebook a Twitter, da Tik Tok a Instagram - e le fondamenta del relativo business model, non è inverosimile che la decisione del Garante italiano rappresenti il preludio ad una serie di interventi sui social media da parte delle autorità europee che si fondino su presupposti similari, se non del tutto analoghi. 

Il provvedimento nei confronti di Clubhouse rende evidente come il concetto di privacy by design sia forse la sfida più impegnativa e onerosa che il legislatore europeo impone alle aziende e come esso assuma un peso specifico ancor più elevato nel contesto digitale. L’efficace integrazione dei principi previsti dalla normativa privacy sin dalle prime fasi dei processi di sviluppo e progettazione di soluzioni di natura tecnologica costituisce oramai un elemento irrinunciabile per risultare competitivi sul mercato dell’Unione ed evitare a posteriori di subire rilevanti danni sia sotto un profilo economico che reputazionale.